Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
GDPR (General Data Protection Regulation)
Jasně že víme. Provedeš analýzu - sepíšeš jaká data zpracováváš (získáváš, uchováváš a pracuješ s nimi), kdo a jak je ve firmě zpracovává. U každého zpracování určíš, na základě jakého právního titulu je zpracováváš:
1) Plnění právní povinnosti - uchovávání dat ti ukládá nějaký zákon (data retention, zákonem dané náležitosti smluv..)
2) Plnění smlouvy nebo jednání o jejím uzavření - logicky jsou nějaká data nezbytná k tomu, aby jsi plnil smlouvu se subjektem údajů - jako ISP potřebuješ znát fakturační adresu, adresu instalace, nějaké kontakty, nějaké technické údaje...
3) Veřejný zájem - se běžně podnikatele spíše netýká
4) Životně důležitý zájem - u ISP taky příliš nepřichází v úvahu
5) Oprávněný zájem - je v podstatě vše co si jsi schopen obhájit, že nezbytně potřebuješ - fotky pro lepší zajištění servisu, LOGy a statistiky pro řešení potíží a reklamací apod.
6) Souhlas se zpracováním osobních údajů - k tomu přistoupíš až v okamžiku, kdy na zpracovávaná data nejsi schopen aplikovat nic z výše uvedeného.
Upozorňuji, že zdaleka nejde jen o to CO za data se skladuje ale především JAK se pak s nimi pracuje. Např. LOGy z DNS serverů můžeš automatizovaně zpracovávat a vytvářet nějaké anonymní statistiky (počet dotazů z celé sítě...) apod. a toto můžeš snadno označit za oprávněný zájem. Pokud by jsi ale ze stejných dat např. analyzoval na jaké weby uživatel chodí a podle toho např. vytvářel cílenou reklamu nebo nějaké "hodnocení" uživatele, tak už to jednoznačně oprávněný zájem nebude a potřeboval by jsi souhlas.
Když už budeš mít hotovou tu analýzu, doplníš do ni jak jsou data zabezpečena proti úniku a ztrátě, po jaké době mají být skartována, přidáš nějakou obecnou omáčku kolem manipulace s osobími daty a toto vydáš ve firmě jako směrnici - všichni povinně podepíšou.
Každopádně, pokud máš jen LOGy v běžném rozsahu a data nezbytná pro poskytnutí služby, nijak podrobněji ve vztahu k uživateli nic nezpracováváš a nic nepředáváš (neprodáváš) dalším subjektům, schováš vše pod 1,2,5 souhlas nepotřebuješ.
Uvědom si, že subjektem údajů jsou nejen zákazníci ale i dodavatele (nájmy střech...) a také zaměstnanci.
Zpracování by mělo být transparentní - informace o zpracování (tedy co, za jakým účelem, na jakém právním základě) by bylo dobré z pohledu zákazníka zveřejnit (třeba na webu podobně jako VOP), zaměstnance (kde se toho asi zpracovává více) prokazatelně informovat (třeba zápis z porady...).
Pozor na nějaké strojové zpracování, které může mít na subjekt údajů přímé následky. Např. pokud automatizovaně sleduješ výkonnost zaměstnanců, nebo ti GPSka automaticky hlídá překročení povolené rychlosti ve firemních autech, neměly by takto získaná data mít automatizovaný vliv na výplatu (prémie...). Tzn. pokud někdo jezdí autem moc rychle, tobě o tom přijde mail a ty mu sáhneš na prémie je to OK. Pokud by se místo mailu rovnou automaticky udělalo -500 na výplatě, je to problém.
1) Plnění právní povinnosti - uchovávání dat ti ukládá nějaký zákon (data retention, zákonem dané náležitosti smluv..)
2) Plnění smlouvy nebo jednání o jejím uzavření - logicky jsou nějaká data nezbytná k tomu, aby jsi plnil smlouvu se subjektem údajů - jako ISP potřebuješ znát fakturační adresu, adresu instalace, nějaké kontakty, nějaké technické údaje...
3) Veřejný zájem - se běžně podnikatele spíše netýká
4) Životně důležitý zájem - u ISP taky příliš nepřichází v úvahu
5) Oprávněný zájem - je v podstatě vše co si jsi schopen obhájit, že nezbytně potřebuješ - fotky pro lepší zajištění servisu, LOGy a statistiky pro řešení potíží a reklamací apod.
6) Souhlas se zpracováním osobních údajů - k tomu přistoupíš až v okamžiku, kdy na zpracovávaná data nejsi schopen aplikovat nic z výše uvedeného.
Upozorňuji, že zdaleka nejde jen o to CO za data se skladuje ale především JAK se pak s nimi pracuje. Např. LOGy z DNS serverů můžeš automatizovaně zpracovávat a vytvářet nějaké anonymní statistiky (počet dotazů z celé sítě...) apod. a toto můžeš snadno označit za oprávněný zájem. Pokud by jsi ale ze stejných dat např. analyzoval na jaké weby uživatel chodí a podle toho např. vytvářel cílenou reklamu nebo nějaké "hodnocení" uživatele, tak už to jednoznačně oprávněný zájem nebude a potřeboval by jsi souhlas.
Když už budeš mít hotovou tu analýzu, doplníš do ni jak jsou data zabezpečena proti úniku a ztrátě, po jaké době mají být skartována, přidáš nějakou obecnou omáčku kolem manipulace s osobími daty a toto vydáš ve firmě jako směrnici - všichni povinně podepíšou.
Každopádně, pokud máš jen LOGy v běžném rozsahu a data nezbytná pro poskytnutí služby, nijak podrobněji ve vztahu k uživateli nic nezpracováváš a nic nepředáváš (neprodáváš) dalším subjektům, schováš vše pod 1,2,5 souhlas nepotřebuješ.
Uvědom si, že subjektem údajů jsou nejen zákazníci ale i dodavatele (nájmy střech...) a také zaměstnanci.
Zpracování by mělo být transparentní - informace o zpracování (tedy co, za jakým účelem, na jakém právním základě) by bylo dobré z pohledu zákazníka zveřejnit (třeba na webu podobně jako VOP), zaměstnance (kde se toho asi zpracovává více) prokazatelně informovat (třeba zápis z porady...).
Pozor na nějaké strojové zpracování, které může mít na subjekt údajů přímé následky. Např. pokud automatizovaně sleduješ výkonnost zaměstnanců, nebo ti GPSka automaticky hlídá překročení povolené rychlosti ve firemních autech, neměly by takto získaná data mít automatizovaný vliv na výplatu (prémie...). Tzn. pokud někdo jezdí autem moc rychle, tobě o tom přijde mail a ty mu sáhneš na prémie je to OK. Pokud by se místo mailu rovnou automaticky udělalo -500 na výplatě, je to problém.
1 x
-
Tereza0706
- Příspěvky: 2
- Registrován: 6 years ago
Možná hloupý dotaz ale informací je tolik, že už ani nevím z čeho vycházet. Malá IT firma, zpracovali jsme analýzy rizik, nakládání s os. údaji, směrnice - jaký zaměstnanec má k čemu přístup. Na web umístíme informace o zpracování osobních údajů i s informací jaká firma má k údajům přístup (Externí učetní aj).Jmenovali jsme pověřence DPO.
Je toto dostačující? Budeme poté v souladu s GDPR? Nebo musíme splňovat ještě něco.
Veškeré údaje zpracováváme na základě oprávněného zájmu. Marketing neděláme a souhlas tedy vyžadovat nebudeme.
Díky za odpovědi.
Je toto dostačující? Budeme poté v souladu s GDPR? Nebo musíme splňovat ještě něco.
Veškeré údaje zpracováváme na základě oprávněného zájmu. Marketing neděláme a souhlas tedy vyžadovat nebudeme.
Díky za odpovědi.
0 x
Ahoj,
poskytne někdo vypracovanou analýzu? Samozřejmě za odměnu:) Napiště SZ. Děkuji
poskytne někdo vypracovanou analýzu? Samozřejmě za odměnu:) Napiště SZ. Děkuji
0 x
neumíte psát česky?
normálně si sepište jaké data na co evidujete kde je máte jak jsou zabezpečeny kd k nim přistupuje a podobně, nic bych na tom nehledal....
normálně si sepište jaké data na co evidujete kde je máte jak jsou zabezpečeny kd k nim přistupuje a podobně, nic bych na tom nehledal....
1 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
Neumím posoudit, zda je to správně, ale kolega Rsaf to popsal docela srozumitelně, zařídím se podle toho co nejlépe budu umět. mpcz, 24.5.2018
0 x
Ahoj
Dotaz
Musí mít tyto blbosti i živnostník s stovkou klijošů ? když mám jen jmeno adresu telefon případně mejl zakaznika
Dotaz
Musí mít tyto blbosti i živnostník s stovkou klijošů ? když mám jen jmeno adresu telefon případně mejl zakaznika
0 x
Stručná odpověď: Jo.
Delší odpověď: Jo, ale není to zase takový opruz, alespoň ve srovnání s jinou byrokracií takového živnostníka. Zpracuješ si ten papír jak popisoval kolega rsaf, zřejmě nejlepší a nejsrozumitelnější soupis, který jsem zatím viděl, v tvém případě to bude velmi jednoduché, ty kontakty přece máš kvůli smlouvě a zajištění servisu. To ostatní je jenom o tom popsat, jak to uchováváš - zaheslovaná databáze, šanon v zamčené skříni/zamčené kanceláři - jen tak v autě za palubní deskou všechny kontakty jistě nevozíš. Opět viz. kolega rsaf.
Delší odpověď: Jo, ale není to zase takový opruz, alespoň ve srovnání s jinou byrokracií takového živnostníka. Zpracuješ si ten papír jak popisoval kolega rsaf, zřejmě nejlepší a nejsrozumitelnější soupis, který jsem zatím viděl, v tvém případě to bude velmi jednoduché, ty kontakty přece máš kvůli smlouvě a zajištění servisu. To ostatní je jenom o tom popsat, jak to uchováváš - zaheslovaná databáze, šanon v zamčené skříni/zamčené kanceláři - jen tak v autě za palubní deskou všechny kontakty jistě nevozíš. Opět viz. kolega rsaf.
rsaf píše:Jasně že víme. Provedeš analýzu - sepíšeš jaká data zpracováváš (získáváš, uchováváš a pracuješ s nimi), kdo a jak je ve firmě zpracovává. U každého zpracování určíš, na základě jakého právního titulu je zpracováváš:
1) Plnění právní povinnosti - uchovávání dat ti ukládá nějaký zákon (data retention, zákonem dané náležitosti smluv..)
2) Plnění smlouvy nebo jednání o jejím uzavření - logicky jsou nějaká data nezbytná k tomu, aby jsi plnil smlouvu se subjektem údajů - jako ISP potřebuješ znát fakturační adresu, adresu instalace, nějaké kontakty, nějaké technické údaje...
3) Veřejný zájem - se běžně podnikatele spíše netýká
4) Životně důležitý zájem - u ISP taky příliš nepřichází v úvahu
5) Oprávněný zájem - je v podstatě vše co si jsi schopen obhájit, že nezbytně potřebuješ - fotky pro lepší zajištění servisu, LOGy a statistiky pro řešení potíží a reklamací apod.
6) Souhlas se zpracováním osobních údajů - k tomu přistoupíš až v okamžiku, kdy na zpracovávaná data nejsi schopen aplikovat nic z výše uvedeného.
Upozorňuji, že zdaleka nejde jen o to CO za data se skladuje ale především JAK se pak s nimi pracuje. Např. LOGy z DNS serverů můžeš automatizovaně zpracovávat a vytvářet nějaké anonymní statistiky (počet dotazů z celé sítě...) apod. a toto můžeš snadno označit za oprávněný zájem. Pokud by jsi ale ze stejných dat např. analyzoval na jaké weby uživatel chodí a podle toho např. vytvářel cílenou reklamu nebo nějaké "hodnocení" uživatele, tak už to jednoznačně oprávněný zájem nebude a potřeboval by jsi souhlas.
Když už budeš mít hotovou tu analýzu, doplníš do ni jak jsou data zabezpečena proti úniku a ztrátě, po jaké době mají být skartována, přidáš nějakou obecnou omáčku kolem manipulace s osobími daty a toto vydáš ve firmě jako směrnici - všichni povinně podepíšou.
Každopádně, pokud máš jen LOGy v běžném rozsahu a data nezbytná pro poskytnutí služby, nijak podrobněji ve vztahu k uživateli nic nezpracováváš a nic nepředáváš (neprodáváš) dalším subjektům, schováš vše pod 1,2,5 souhlas nepotřebuješ.
Uvědom si, že subjektem údajů jsou nejen zákazníci ale i dodavatele (nájmy střech...) a také zaměstnanci.
Zpracování by mělo být transparentní - informace o zpracování (tedy co, za jakým účelem, na jakém právním základě) by bylo dobré z pohledu zákazníka zveřejnit (třeba na webu podobně jako VOP), zaměstnance (kde se toho asi zpracovává více) prokazatelně informovat (třeba zápis z porady...).
Pozor na nějaké strojové zpracování, které může mít na subjekt údajů přímé následky. Např. pokud automatizovaně sleduješ výkonnost zaměstnanců, nebo ti GPSka automaticky hlídá překročení povolené rychlosti ve firemních autech, neměly by takto získaná data mít automatizovaný vliv na výplatu (prémie...). Tzn. pokud někdo jezdí autem moc rychle, tobě o tom přijde mail a ty mu sáhneš na prémie je to OK. Pokud by se místo mailu rovnou automaticky udělalo -500 na výplatě, je to problém.
0 x
Si vis pacem, para bellum.
MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.
MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.
A nemá nekdo nějákej prefabrikovanej papír že by se jen upravil dle potřeby a ne vytvářel nový
Zkusím to nějak udělat ale je to blbý nahlásila se ČTU na kontrolu a na toto nebude čas
Zkusím to nějak udělat ale je to blbý nahlásila se ČTU na kontrolu a na toto nebude čas
0 x
Začal bych něčím takovým https://imgur.com/a/t7fuiXN - každý si to musí dále rozpracovat, protože těch systému je jistě více než jedna evidence + účto + servisní listy...
Ono to dá dost práce si najít kde vlastně vše leží, kdo s tím pracuje, zdůvodnit si proč to máme...
Jako zdroj informací bych potom použil třeba zásady zpracování od O2 (https://www.o2.cz/osobni/586476-privacy_gdpr_mod/) kde jsou uvedeny prakticky všechny relevantní kategorie údajů i důvod zpracování a z větší části se to dá i opsat a vytvořit na zákaldě toho vlastní zásady, které se potom zveřejní.
Ono to dá dost práce si najít kde vlastně vše leží, kdo s tím pracuje, zdůvodnit si proč to máme...
Jako zdroj informací bych potom použil třeba zásady zpracování od O2 (https://www.o2.cz/osobni/586476-privacy_gdpr_mod/) kde jsou uvedeny prakticky všechny relevantní kategorie údajů i důvod zpracování a z větší části se to dá i opsat a vytvořit na zákaldě toho vlastní zásady, které se potom zveřejní.
1 x
0 x
ERnet tady, ERnet tam, ERnet vsude kam se podivam