GDPR (General Data Protection Regulation)

Právní problematika, závazná legislativa, provozní a lokalizační údaje, atd.
helapc
Příspěvky: 850
Registrován: 7 years ago

Re: GDPR (General Data Protection Regulation)

Příspěvekod helapc » 7 months ago

Nepotřebuješ, na tyhle data máš oprávněný nárok
0 x

rsaf
Příspěvky: 881
Registrován: 12 years ago

Příspěvekod rsaf » 7 months ago

Jasně že víme. Provedeš analýzu - sepíšeš jaká data zpracováváš (získáváš, uchováváš a pracuješ s nimi), kdo a jak je ve firmě zpracovává. U každého zpracování určíš, na základě jakého právního titulu je zpracováváš:
1) Plnění právní povinnosti - uchovávání dat ti ukládá nějaký zákon (data retention, zákonem dané náležitosti smluv..)
2) Plnění smlouvy nebo jednání o jejím uzavření - logicky jsou nějaká data nezbytná k tomu, aby jsi plnil smlouvu se subjektem údajů - jako ISP potřebuješ znát fakturační adresu, adresu instalace, nějaké kontakty, nějaké technické údaje...
3) Veřejný zájem - se běžně podnikatele spíše netýká
4) Životně důležitý zájem - u ISP taky příliš nepřichází v úvahu
5) Oprávněný zájem - je v podstatě vše co si jsi schopen obhájit, že nezbytně potřebuješ - fotky pro lepší zajištění servisu, LOGy a statistiky pro řešení potíží a reklamací apod.
6) Souhlas se zpracováním osobních údajů - k tomu přistoupíš až v okamžiku, kdy na zpracovávaná data nejsi schopen aplikovat nic z výše uvedeného.

Upozorňuji, že zdaleka nejde jen o to CO za data se skladuje ale především JAK se pak s nimi pracuje. Např. LOGy z DNS serverů můžeš automatizovaně zpracovávat a vytvářet nějaké anonymní statistiky (počet dotazů z celé sítě...) apod. a toto můžeš snadno označit za oprávněný zájem. Pokud by jsi ale ze stejných dat např. analyzoval na jaké weby uživatel chodí a podle toho např. vytvářel cílenou reklamu nebo nějaké "hodnocení" uživatele, tak už to jednoznačně oprávněný zájem nebude a potřeboval by jsi souhlas.

Když už budeš mít hotovou tu analýzu, doplníš do ni jak jsou data zabezpečena proti úniku a ztrátě, po jaké době mají být skartována, přidáš nějakou obecnou omáčku kolem manipulace s osobími daty a toto vydáš ve firmě jako směrnici - všichni povinně podepíšou.

Každopádně, pokud máš jen LOGy v běžném rozsahu a data nezbytná pro poskytnutí služby, nijak podrobněji ve vztahu k uživateli nic nezpracováváš a nic nepředáváš (neprodáváš) dalším subjektům, schováš vše pod 1,2,5 souhlas nepotřebuješ.

Uvědom si, že subjektem údajů jsou nejen zákazníci ale i dodavatele (nájmy střech...) a také zaměstnanci.

Zpracování by mělo být transparentní - informace o zpracování (tedy co, za jakým účelem, na jakém právním základě) by bylo dobré z pohledu zákazníka zveřejnit (třeba na webu podobně jako VOP), zaměstnance (kde se toho asi zpracovává více) prokazatelně informovat (třeba zápis z porady...).
Pozor na nějaké strojové zpracování, které může mít na subjekt údajů přímé následky. Např. pokud automatizovaně sleduješ výkonnost zaměstnanců, nebo ti GPSka automaticky hlídá překročení povolené rychlosti ve firemních autech, neměly by takto získaná data mít automatizovaný vliv na výplatu (prémie...). Tzn. pokud někdo jezdí autem moc rychle, tobě o tom přijde mail a ty mu sáhneš na prémie je to OK. Pokud by se místo mailu rovnou automaticky udělalo -500 na výplatě, je to problém.
1 x

Tereza0706
Příspěvky: 2
Registrován: 7 months ago

Příspěvekod Tereza0706 » 7 months ago

Možná hloupý dotaz ale informací je tolik, že už ani nevím z čeho vycházet. Malá IT firma, zpracovali jsme analýzy rizik, nakládání s os. údaji, směrnice - jaký zaměstnanec má k čemu přístup. Na web umístíme informace o zpracování osobních údajů i s informací jaká firma má k údajům přístup (Externí učetní aj).Jmenovali jsme pověřence DPO.
Je toto dostačující? Budeme poté v souladu s GDPR? Nebo musíme splňovat ještě něco.
Veškeré údaje zpracováváme na základě oprávněného zájmu. Marketing neděláme a souhlas tedy vyžadovat nebudeme.

Díky za odpovědi.
0 x

Spreamer
Příspěvky: 143
Registrován: 12 years ago

Příspěvekod Spreamer » 6 months ago

Ahoj,

poskytne někdo vypracovanou analýzu? Samozřejmě za odměnu:) Napiště SZ. Děkuji
0 x

Uživatelský avatar
okoun
Příspěvky: 5802
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 6 months ago

neumíte psát česky?

normálně si sepište jaké data na co evidujete kde je máte jak jsou zabezpečeny kd k nim přistupuje a podobně, nic bych na tom nehledal....
1 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...

mpcz
Příspěvky: 2288
Registrován: 12 years ago

Příspěvekod mpcz » 6 months ago

Neumím posoudit, zda je to správně, ale kolega Rsaf to popsal docela srozumitelně, zařídím se podle toho co nejlépe budu umět. mpcz, 24.5.2018
0 x

shooter
Příspěvky: 666
Registrován: 10 years ago

Příspěvekod shooter » 6 months ago

Ahoj
Dotaz
Musí mít tyto blbosti i živnostník s stovkou klijošů ? když mám jen jmeno adresu telefon případně mejl zakaznika
0 x

Uživatelský avatar
Myghael
Příspěvky: 1220
Registrován: 7 years ago

Příspěvekod Myghael » 6 months ago

Stručná odpověď: Jo.
Delší odpověď: Jo, ale není to zase takový opruz, alespoň ve srovnání s jinou byrokracií takového živnostníka. Zpracuješ si ten papír jak popisoval kolega rsaf, zřejmě nejlepší a nejsrozumitelnější soupis, který jsem zatím viděl, v tvém případě to bude velmi jednoduché, ty kontakty přece máš kvůli smlouvě a zajištění servisu. To ostatní je jenom o tom popsat, jak to uchováváš - zaheslovaná databáze, šanon v zamčené skříni/zamčené kanceláři - jen tak v autě za palubní deskou všechny kontakty jistě nevozíš. Opět viz. kolega rsaf.

rsaf píše:Jasně že víme. Provedeš analýzu - sepíšeš jaká data zpracováváš (získáváš, uchováváš a pracuješ s nimi), kdo a jak je ve firmě zpracovává. U každého zpracování určíš, na základě jakého právního titulu je zpracováváš:
1) Plnění právní povinnosti - uchovávání dat ti ukládá nějaký zákon (data retention, zákonem dané náležitosti smluv..)
2) Plnění smlouvy nebo jednání o jejím uzavření - logicky jsou nějaká data nezbytná k tomu, aby jsi plnil smlouvu se subjektem údajů - jako ISP potřebuješ znát fakturační adresu, adresu instalace, nějaké kontakty, nějaké technické údaje...
3) Veřejný zájem - se běžně podnikatele spíše netýká
4) Životně důležitý zájem - u ISP taky příliš nepřichází v úvahu
5) Oprávněný zájem - je v podstatě vše co si jsi schopen obhájit, že nezbytně potřebuješ - fotky pro lepší zajištění servisu, LOGy a statistiky pro řešení potíží a reklamací apod.
6) Souhlas se zpracováním osobních údajů - k tomu přistoupíš až v okamžiku, kdy na zpracovávaná data nejsi schopen aplikovat nic z výše uvedeného.

Upozorňuji, že zdaleka nejde jen o to CO za data se skladuje ale především JAK se pak s nimi pracuje. Např. LOGy z DNS serverů můžeš automatizovaně zpracovávat a vytvářet nějaké anonymní statistiky (počet dotazů z celé sítě...) apod. a toto můžeš snadno označit za oprávněný zájem. Pokud by jsi ale ze stejných dat např. analyzoval na jaké weby uživatel chodí a podle toho např. vytvářel cílenou reklamu nebo nějaké "hodnocení" uživatele, tak už to jednoznačně oprávněný zájem nebude a potřeboval by jsi souhlas.

Když už budeš mít hotovou tu analýzu, doplníš do ni jak jsou data zabezpečena proti úniku a ztrátě, po jaké době mají být skartována, přidáš nějakou obecnou omáčku kolem manipulace s osobími daty a toto vydáš ve firmě jako směrnici - všichni povinně podepíšou.

Každopádně, pokud máš jen LOGy v běžném rozsahu a data nezbytná pro poskytnutí služby, nijak podrobněji ve vztahu k uživateli nic nezpracováváš a nic nepředáváš (neprodáváš) dalším subjektům, schováš vše pod 1,2,5 souhlas nepotřebuješ.

Uvědom si, že subjektem údajů jsou nejen zákazníci ale i dodavatele (nájmy střech...) a také zaměstnanci.

Zpracování by mělo být transparentní - informace o zpracování (tedy co, za jakým účelem, na jakém právním základě) by bylo dobré z pohledu zákazníka zveřejnit (třeba na webu podobně jako VOP), zaměstnance (kde se toho asi zpracovává více) prokazatelně informovat (třeba zápis z porady...).
Pozor na nějaké strojové zpracování, které může mít na subjekt údajů přímé následky. Např. pokud automatizovaně sleduješ výkonnost zaměstnanců, nebo ti GPSka automaticky hlídá překročení povolené rychlosti ve firemních autech, neměly by takto získaná data mít automatizovaný vliv na výplatu (prémie...). Tzn. pokud někdo jezdí autem moc rychle, tobě o tom přijde mail a ty mu sáhneš na prémie je to OK. Pokud by se místo mailu rovnou automaticky udělalo -500 na výplatě, je to problém.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

shooter
Příspěvky: 666
Registrován: 10 years ago

Příspěvekod shooter » 6 months ago

A nemá nekdo nějákej prefabrikovanej papír že by se jen upravil dle potřeby a ne vytvářel nový
Zkusím to nějak udělat ale je to blbý nahlásila se ČTU na kontrolu a na toto nebude čas
0 x

rsaf
Příspěvky: 881
Registrován: 12 years ago

Příspěvekod rsaf » 6 months ago

Začal bych něčím takovým https://imgur.com/a/t7fuiXN - každý si to musí dále rozpracovat, protože těch systému je jistě více než jedna evidence + účto + servisní listy...
Ono to dá dost práce si najít kde vlastně vše leží, kdo s tím pracuje, zdůvodnit si proč to máme...

Jako zdroj informací bych potom použil třeba zásady zpracování od O2 (https://www.o2.cz/osobni/586476-privacy_gdpr_mod/) kde jsou uvedeny prakticky všechny relevantní kategorie údajů i důvod zpracování a z větší části se to dá i opsat a vytvořit na zákaldě toho vlastní zásady, které se potom zveřejní.
1 x

Uživatelský avatar
reset
Příspěvky: 2895
Registrován: 11 years ago
Bydliště: intERnet

Příspěvekod reset » 6 months ago

0 x
ERnet tady, ERnet tam, ERnet vsude kam se podivam


Zpět na „Právní záležitosti ISP“

Kdo je online

Uživatelé prohlížející si toto fórum: Myghael a 3 hosti