Vlákno názorů k článku Internet je rozbitější a uživatelé hloupější, než odborníci na bezpečnost doufali od Jen poznámka - Tuším, že v Ekonomu byl rozhovor, kde v...
-
Jen poznámka (neregistrovaný)
Tuším, že v Ekonomu byl rozhovor, kde v nadsázce tvrdili, že GDPR tak, jak je, se vztahuje i na situaci, kdy si chcete uložit do paměti přístroje/cloudu telefonní číslo volající fyzické osoby. Když jsem si četl víc, tak z ničeho nevyplývalo, že to tak není. Neví k tomu někdo víc?
Jinak není pravda, že se nic moc proti legislativě a implementaci nemění. Vzniká nové právo na trvalé zapomenutí, přenositelnost a kontrolu udělených souhlasů. Vše vyžaduje mnohé zásahy do podnikových systémů.
-
Jinak není pravda, že se nic moc proti legislativě a implementaci nemění. Vzniká nové právo na trvalé zapomenutí, přenositelnost a kontrolu udělených souhlasů. Vše vyžaduje mnohé zásahy do podnikových systémů.
Ale to jsou postupy, které patřily k dobrým mravům i před zavedením GDPR. Poměrně jednoduchou úvahou dojdete k tomu, že např. bez kontroly udělených souhlasů byl předchozí zákon nevymahatelný. Takže buďto byl zbytečný (což asi nebyl účel zákonodárce), nebo je potřeba hledat jiný výklad.
To samé je právo na zapomenutí. Samozřejmě to neznamená výmaz informací o klientovi. To ostatně ani nemůžete, např. kvůli dokumentaci smluvních vztahů, nehledě na účetní předpisy (archivace účetních dokladů 10 let). Právo na zapomenutí znamená, že údaje, byť je máte, nesmí se v procesech firmy objevit nikde jinde, než kde je to nezbytně nutné. Např. obchodní zástupce nesmí vidět bývalého klienta, který si přál být zapomenut. Ale naopak účetní, která musí s doklady pracovat, toho samého klienta, údaje o něm vidět musí.
Všechno toto jsou postupy, které se jen upřesnily kvůli nejasnostem, ale mám zkušenost, že slušní lidé a slušné firmy neměly ani v minulosti problém si Vás vymazat z obchodních a marketingových databází.
Samozřejmě, do budoucna i systémy na uchování dat budou čím dál víc vstřícnější takovému oddělování. Ale GDPR NENÍ o IT, GDPR je o procesech. GRPD nepatří do ruky IT manažerovi, ale vedení společnosti.
-
Přenositelnost nikdy nepatřila "k dobrým mravům", to si zas nevymýšlejte.
No to tedy patřila! Pokud jste koupil databázi kontaktů a nenechal jste si doložit souhlasy, musel jste i před dřívějšími zákony považovat data za taková, že k nim nemáte souhlas. Ten souhlas osoby přeci nelze nahradit tím, že prodejce dat Vám napíše do smlouvy větu: "stvrzuji, že veškeré kontakty byly získány se souhlasem a lze je využít ...". To přeci i laik cítí, že není dostatečné a kontrolovatelné. Pak by by celá ustanovení zákona na ochranu osobních údajů byla nevykonatelná, a co je nevykonatelné, to zase nemusí být v zákoně.
Zde si lidé zvykli, že do zákonů se píší přesné postupy, jak mají fungovat. Naopak, zákon má definovat pouze cíl, ale postupy jen v co nejméně případech.
-
Jen poznámka (neregistrovaný)
Nemluvíme každý o něčem jiném? Přenositelnost znamená, že vám Facebook vykopíruje do standardního datového formátu (ať je to, co je to) všechny informace, co jste tam kdy zadal (a nejsou již trvale smazána), všechno know-how, které posbíral a na základě algoritmů vyvodil z vašeho chování a pohybu po stránkách, a tohle všechno bez jakékoli práce získá třeba Google+, když to bude umět importovat.
Smazat - jistě, nejsem proti, ale přenášet i data po zpracování, protože i to je osobní údaj, to je imho nesmysl, nehledě na to, že to fakt není triviální záležitost. -
j (neregistrovaný)
Az na to, ze ta prenositelnost se tyce prave a jen tech osobnich udaju, ne zadnych dalsich statistickych a jinych dat. V praxi jde o to, ze kdyz se regnes rekneme v alze, a pak chces neco koupit v czc, tak muzes po alze chtit aby predala tvoji adresu czc. Ale nemuzes chtit, aby jim predala tvoji nakupni historii, protoze to neni osobni udaj.
Dtto zapomeni, tvoji nakupni historii si alza klidne muze nechat, kdyz zlikviduje udaje, ktery tyhle data svazujou s tvoji osobou.
Mam prave na stole smlouvu, tyce se dorucovani zbozi. A dotycny subjekt v ni primo natvrdo a pod penalizaci(smluvni pokuta + pripadne uhrada vsech sankci a pokut) pozaduje, ze veskere osobni udaje budou ze vsech systemu odstraneny obratem po doruceni zbozi zakaznikovi.
Pricemz i kdyby to nechtel smluvne, tak by to stejne dotycny dorucovatel udelat musel, prave kvuli gdpr. Prave proto, ze tady ses v rezimu zpracovani dat "ze zakona" = dopravce adresu porebuje, jinak nic nedopravi, ale potrebuje ji presne a pouze do okamziku, kdy je doruceno, pak uz ne.
-
Opakovaně jsem v souvislosti s GDPR viděl a slyšel od právníků, že i chování a analýzy fyzické osoby na webu jsou jeho osobním údajem. Tak se v tom vyznejte.
Osobním údajem je všechno, co vede k identifikaci osoby, nebo zasahuje do soukromí. Takže např. údaj "Petr, který pracuje v lékarně na Náměstí Jiřího z Poděbrad a bydlí v Radlicích" už je osobní, resp. citlivá informace, protože prakticky s jistotou bude existovat pouze jedna osoba odpovídající tomuto popisu. Stejně jako je citlivým údajem biometrie, nebo např. osobnostní rysy chování.
Pokud chcete analyzovat chování návštěvníka webu, tak jedině tak, aby to nešly spojovat jeho jednotlivé návštěvy do sebe (= vyhnout se cookies), s výjimkou registrovaných uživatelů, pokud je to nutné pro technické zajištění provozu. Zbytek analýz musíte dělat tak, abyste získával pouze anonymní data - tedy aby sběr dat nešel např. spojit s logem přístupů a IP adresou apod. To není těžké zajistit, stačí sbírat anonymní data nezávisle od provozu a správy téhož serveru.
Samozřejmě výjimkou jsou služby po registraci, kdy je o takové Vaší činnosti návštěvník informován a vyjádřil souhlas s takovým zpracováním.
-
Teoreticky. Prakticky je to tak, že obchodník chce být cool, tak hodí FB plugin na komplet všechny stránky, aby se pochlubil, kolik lidí jeho pochybná firma zaujala. A i když se návštěvník nepřihlásí a nedá žádný souhlas, majitel bonzuje Cukrouškovi, co návštěvníka zajímá.
A co udělá Cukroušek? Spáruje si to, přechroupá a při nejbližší příležitosti zákazníkovi ve vedlejším tabu hodí reklamu na to samý zboží od konkurence, která víc zacálovala za reklamu...
-
Teoreticky. Prakticky je to tak, že obchodník chce být cool, tak hodí FB plugin na komplet všechny stránky, aby se pochlubil, kolik lidí jeho pochybná firma zaujala. A i když se návštěvník nepřihlásí a nedá žádný souhlas, majitel bonzuje Cukrouškovi, co návštěvníka zajímá.
No doufejme, že už i prakticky. Pokud Vám (např. zmíněný) FB nedá aspoň prohlášení o GDPR compliance, nebo lépe nebudete o tom mít uzavřenou smlouvu, pak je přímo hloupé něco takového na stránky umístit. Právě proto GDPR zavádí odpovědnost, aby za to ručil provozovatel stránek. On si musí svá rizika ošéfovat dál.
Docela zajímavá bude v tomto ohledu pozice odborných firem - např. výrobců webů. Ti jsou jednoznačně v pozici odborníka (§ 2950 OZ) a musejí dbát toho, aby jejich činností či radou nebyl ohrožen zájem zákazníka. Jinak nesou odpovědnost i oni. Nepochybuji o tom, že dřív nebo později bude někdo za podobný plugin na webu potrestán a nepochybuji ani o tom, že o náhradu škody se pak bude soudit právě podle § 2950 s dodavatelem webu.
-
j (neregistrovaný)
"Teoreticky. Prakticky je to tak ..."
Presne proto vzniklo GDPR, podle toho presne tohle nikdo delat nesmi, protoze je to jednoduse nelegalni. A doufam ze prave za tohle budou padat ty nejvyssi flastry a co nejdriv.
Jinak receno, uz tim ze fuckbooku nebo guuglu nebo komukoli tretimu predas IP bez prokazatelnyho souhlasu, tak porusujes zakon, protoze IP je osobni udaj i sama o sobe.
"...a nepochybuji ani o tom, že o náhradu škody se pak bude soudit právě podle § 2950 s dodavatelem webu."
Ani ne, dodavatel tam takovyhle kravince dava vyhradne na vyslovny prani/objednavku zakaznika. Nas zakaznik nas pan, chce sracku, zaplati sracku, dostane sracku."Nic proti expertům jako je Gemius, ale už by s tím šmírováním bez upozornění měli skončit, nebo se jim zle povede."
Vydrž, Prťka, vydrž! ... uz za nejaky 3 a fous mesice je muzes prasknout ;D, smirovat nemuzou ani s upozorneni, musej prokazat tvuj souhlas (sem zvedav jak)."... Po dokončení prodeje by bylo možno (dokonce vhodno) zapomenout i dodací adresu...."
Zrovna eshop je naprosto trivialni ... chces neco koupit = mas nasledujici moznosti.1) Das sem jednorazove adresu, v okamziku kdy zbozi prevezmes adresu mazem, logy s ipckama mame jen svoje, zadny 3ti strany, mazem po ... mesici/dvou. Totez dela dopravce pod sankcema.
2) muzes se tu regnout, nechces nam nechat adresu = nemusis, dalsi viz vejs. registrace == nejaky UID + nejaky pass. Pri kazdy objednavce zadas adresu znova, reklamace/objednavky/... sou svazany s UID (technicky aspekt = netreba souhlas)
3) chces aby si to adresu pamatovalo = tady odsouhlas, ze si budem az dokud to nezrusis pamatovat tvoji adresu, vyhradne za ucelem potencielniho dorucovani zbozi. Zadny PR vopruzy, zadny mailingy, natoz predavani nekam dorite.To UID = nejakej webem vygenerovanej string, protoze lidi sou debilove a pouzijou nick, coz je osobni udaj.
BTW: Sem zvedav, jak se budou mazat z bankovnich vypisu cisla uctu a jmena, ktery sou videt pri prichozi platbe. A to klidne i 30 let zpet.
-
"...a nepochybuji ani o tom, že o náhradu škody se pak bude soudit právě podle § 2950 s dodavatelem webu."
Ani ne, dodavatel tam takovyhle kravince dava vyhradne na vyslovny prani/objednavku zakaznika. Nas zakaznik nas pan, chce sracku, zaplati sracku, dostane sracku.To je velká otázka. Podle mě, ani na výslovné přání zákazníka nesmíte vědomě porušovat kogentní právní normy. Vzhledem k tomu, že GDPR je veřejnoprávní norma, jsou její ustanovení (patrně bez výjimky) kogentní.
BTW: Sem zvedav, jak se budou mazat z bankovnich vypisu cisla uctu a jmena, ktery sou videt pri prichozi platbe. A to klidne i 30 let zpet.
Zde dochází ke kolizi dvou různých práv či povinností. To se v právu stává často a je to řešitelné. Zejména se hledá způsob, jak vyhovět oběma normám. Je samozřejmě absurdní žádat banku, aby zapomněla veškeré údaje o Vás, včetně historie pohybů. Nicméně musí se dbát (a ono už dnes se úzkostlivě dbá) na to, aby se informace z banky a výpisů nedostaly do nepovolaných rukou. I samotné přečtení dat zanechává v bankovních systémech auditní stopu (povinně). Druhé paré výpisu má klient banky; tam je to jednoduché: bankovní výpis se bude archivovat (je lhostejno, jestli v papírové, či digitální podobě), a přístup k němu bude mít jen velmi úzký okruh lidí, ideálně se zavedením systému kontroly čtyř očí. K archivním účetním datům potřebujete mít přístup jedině během kontroly. Mezi roky se přenášejí zůstatky pomocí inventur účtů v účetnictví a vyřízené položky s přechodem na nový rok mohou z běžného používání zcela zmizet.
-
Jen poznámka (neregistrovaný)
Tím ale potvrzujete, že exportovatelný osobní údaj je i ono chování na webu, pokud je cíleně sbírané (a se souhlasem). A proto musí být i přenositelné. Jinými slovy, co jste si s vědomím návštěvníka nasbírali (prý se to týká i historie objednávek) a zanalyzovali, to mu musíte v rámci přenositelnosti umět poskytnout ve standardizovaném datovém formátu. A to skutečně není dnešní obvyklost, ani to není pokaždé jednoduché zadání.
-
Tím ale potvrzujete, že exportovatelný osobní údaj je i ono chování na webu, pokud je cíleně sbírané (a se souhlasem). A proto musí být i přenositelné.
Ta norma má dvě roviny, resp. dva účely.
Primárním účelem je, že máte právo vědět, jaké informace o Vás někdo uchovává. Vzhledem k tomu, že v minulosti vznikaly obstrukce např. tím, že povinné osoby poskytovaly informace jen na papíře, skenem, nebo jinak strojově nezpracovatelným způsobem, určuje GDPR povinnost předat tento "výpis" ve strojově čitelném formátu. To je celý účel tohoto ustanovení a větší záludnosti v něm nehledejte.
Druhým účelem je případná přenositelnost. Tedy, např. pokud mám na webové službě uloženy e-maily, musí mi poskytovatel služby umožnit získat data tak, aby byla přenositelná jinam (tedy ne jen PDF faksimile, ale přímo data).
Je samozřejmě absurdní přemýšlet o přenositelnosti statistik nebo nějaké interní struktury popisující Vaše chování na webu. Nastat to v okrajových případech může, ale nečekal bych, že to způsobí nějaké problémy v praxi.
-
Jen poznámka (neregistrovaný)
Chápejte ale, že ten, kdo to má implementovat, je povinen domýšlet všechny "absurdní varianty", protože je to on, kdo ručí proti likvidační pokutě za neprůstřelnou implementaci GDPR. Takže neexistuje nic jako "primární účel" atp. Existuje jen litera zákona. V tom mě nejvíc baví rady odborníků, že máme "použít selský rozum". Kde se prosím pěkně u soudu použil selský rozum jako kvalitifkovaný argument? Jak je právně definován? Soud přece posuzuje vinu vzhledem k zákonům, ne vzhledem k selskému rozumu. Tohle je premisa, kterou máme v právu už od dob Římanů.
-
xistuje jen litera zákona. V tom mě nejvíc baví rady odborníků, že máme "použít selský rozum". Kde se prosím pěkně u soudu použil selský rozum jako kvalitifkovaný argument? Jak je právně definován?
Mýlíte se. "Selskému rozumu" se říká teleologický výklad, a je to jeden z nejsilnějších výkladových postupů při aplikaci práva. Viz https://iuridictum.pecina.cz/w/V%C3%BDklad nebo http://www.ius-wiki.eu/teorie-prava/pfuk/teorka/zkouska/otazka-46.
-
Zajimave. Jak lze podle selskeho rozumu vykladat zakony, ktere jsou psany slovnikem a zpusobem, ktere se selskemu rozumu prici a dle selskeho rozumu kolikrat nedavaji smysl?
Problém je u velmi specializovaných zákonů. Například zákon o dani z přidané hodnoty je ve velké části nečitelný a nepochopitelný pro podnikatele, protože velká část ustanovení začne dávat smysl, až když pochopíte principy DPH v rámci celé EU. To je velmi problematické, neumím si např. představit instalatéra, nebo i provozovatele maličkého e-shopu, že dokáže porozumět takto důležitému zákonu.
Naopak, současný občanský zákoník je psaný velmi dobře, hezky strukturovaný a i laik dokáže pochopit, co se po něm žádá.
-
j (neregistrovaný)
"Naopak, současný občanský zákoník"
Jo, chtel bych videt, jak si nekdo cte tech "smesnych" 3 000 paragrafu jen obcanskyho zakoniku. Pricemz tech platnych paragrafu vsemoznych zakonu bude spis tak 30 000 ne-li vic. A k tomu pak prijdou jeste vyhlasky, provadeci predpisy, odkazy na vsemozny normy ... -
Jo, chtel bych videt, jak si nekdo cte tech "smesnych" 3 000 paragrafu jen obcanskyho zakoniku.
To si nemyslím, že je účel. Např. víte, jak fungují smlouvy o pronájmu či výpůjčkách, nebo že na zboží je 2letá záruka. Číst některé paragrafy ptořebujete jedině ve chvíli, kdy se chcete ujistit, jak přesně podle práva postupovat, jaké jsou náležitosti či lhůty. Většina ustanovení OZ jsou disponibilní, lze se od jejich litery odchýlit dohodou dvou stran (pakliže to nebude na úkor postavení stran vůči sobě, nebo proti dobrým mravům, nebo tam, kde zákon výslovně zakazuje se od něj odchýlit).
Domnívám se, že platných paragrafů budou stovky tisíc.
-
A proto pry neznalost zakona neomlouva ...
V tomhle state neexistuje clovek, ktery by denne neporusoval stovky predpisu, o kterych ani nevi, ze existujou.Jak v čem. Občanský zákoník v běžných situacích připouští zejména to, že se přihlíží jak k obecným, místním i konkrétním zvyklostem obou stran. Proto jsou ustanovení OZ disponibilní.
Něco jiného je to ve správním právu, kde ani úředník neví, co všechno za předpisy platí, ale má to vymáhat na občanech. To je samozřejmě špatně, správní právo by mělo do života zasahovat co nejmenší měrou, s odpuštěním, nesrat se tam, kde to fakt není potřeba. Ve správních normách je opravdu neskutečný bordel a překotný "vývoj". Slovo "vývoj" píši v uvozovkách, protože trend zesložiťování norem a přidávání výjimek bych já sám subjektivně za "vývoj" neoznačil.
-
A když to posbítá bez vědomí zákazníka s pomocí obrázků 1x1px, tak to taky může být hukot...
To bude asi největší praktická překážka, aby si firmy zvykly vyžadovat písemné smlouvy a v nich vymezení odpovědnosti za škodu vzniklou narušením soukromí. On už samotný access.log je plný informací, které je potřeba chránit. K němu má potenciálně přístup nejen provozvatel webu, ale i správce, hostér, ..., ... Je, aspoň nyní, zřejmé, že logy jsou součást technického řešení a nelze na ně nahlížet jako na primární narušení soukromí. Nicméně, musí se dbát na jejich ochranu.
Ono se to postupně usadí. Firmy si zvyknou na to, že se dá existovat s daleko méně daty, že nepotřebují znát o člověku všechno, včetně čísla bot.
Jakkoliv nesdílím zde prezentované obavy nad zaváděním GDPR, mně například zajímá vazba na účetnictví, kde je potřeba archivovat doklady 10 let. Je nyní zvykem, že v e-shopech, i při objednávkách do 10 000 Kč vystavuje dodavatel doklad (fakturu) na jméno odběratele, neb jej zná. Ale když se tak zamýšlím, tak minimálně při běžném prodeji by stačilo jen dočasně evidovat dodací adresu, ale doklad vystavovat (a tím pádem archivovat) ve zjednodušené formě (tedy bez uvedení odběratele). Podobně, jako když si jdu stejné zboží koupit do kamenného krámu. Jediné, co by se muselo vyřešit je ověřování delegace smluvní strany při řešení reklamací nebo odstoupení od kupní smlouvy (ale obojí je řešitelné i při obchodech v kamenných krámech, také bez sběru osobních údajů). Po dokončení prodeje by bylo možno (dokonce vhodno) zapomenout i dodací adresu.
-
Petr M (neregistrovaný)
Jenomže jméno na faktuře je spotřebiteli úplně nanic.
Můžu si koupit věc, za půl roku prodat kamarádovi, za dalšího půl roku to klekne a kamarád to jde reklamovat. Nebo je to dárek pro tetičku a rozbije se to až jí. Nikdo v praxi neřeší, že doklad není psaný na něho, dokonce ani nesmí.
Všechno, co je potřeba k reklamaci doložit, je že to bylo koupený u nich a nejsou to ještě dva roky (= účtenka s výrobním číslem a datumem nebo potvrzený záručák). A na to je i "Zákazník: Drobný prodej" na faktuře víc než je potřeba.
-
Obavam se, ze pozadavek na smazani veskerych osobnich udaju ze VSECH systemu obratem po doruceni je nerealny. V ucetnictvi by se preci melo objevit neco jako doprava zbozi od dodavatele A z B prijemci X v Y. Jinak si moc nedovedu predstavit, jak by se mohla nejaka cast faktury rozporovat (a ze by se v nasich podminkach hralo na cestne slovo, tomu moc neverim)
-
Obavam se, ze pozadavek na smazani veskerych osobnich udaju ze VSECH systemu obratem po doruceni je nerealny. V ucetnictvi by se preci melo objevit neco jako doprava zbozi od dodavatele A z B prijemci X v Y. Jinak si moc nedovedu predstavit, jak by se mohla nejaka cast faktury rozporovat (a ze by se v nasich podminkach hralo na cestne slovo, tomu moc neverim)
Naopak, je to docela dobře možné. Obchod je možno považovat za perfektní (= dokončený) okamžikem doručení. Pokud kupující chce využít práva na odstoupení od smlouvy, či reklamaci vady, je v první řadě na něm, aby prokázal existenci právního vztahu a nároku. Kupující tyto doklady drží - má fakturu (byť beze jména), případně dodací list, případně dokumenty od přepravní společnosti. Můžete mu poskytnou také ID transakce, které nebude spojeno s žádnu citlivou informací, ale pro Vás bude dalším vodítkem k ověření existence nároku.
Dále, obratem po doručení je myšlena přiměřená doba, např. 1-2 měsíce.
ČLÁNKY DO MAILU