GDPR (General Data Protection Regulation)

[zdenek.svarc]

Toto je prostě pecka. Pár trezorů mi prošlo rukama, ale toto vidím poprvé. Dnes dorazil Brihard Protector a na čelní straně jsou výřezy přesně na přiložení 9V baterky pro případ, že by došla šťáva baterkám uvnitř. Toto fakt navrhoval člověk s hlavou na správném místě. Tak kdo hledá trezory na dokumenty k vůli GDPR, tady je můj tip.

brihard.jpg (77.84 KiB) Zobrazeno 3324 x

[okoun]

nemáte někdo prosím mustr jak má vypadat nějaký dodatek ve smlouvě, kde je specielní souhlas s podpisem zákazníka právě pro souhlas s osobníma údajema na to GDPR?
díky

[stepan.benes]

Zásadní otázka není jak souhlas vypadá, ale jestli souhlas potřebuješ ...

[rsaf]

Jaká osobní data zákazníků (a kde) máte jako ISP? Mě napadá:
1) jméno/datum narození/adresa/email/telefon v CRM
2) informace o provozu v data retention systému
3) logy z DNS serverů
4) logy z mailserverů
5) logy s různých síťových prvků - v hodně divokém výkladu GDPR by bylo možné za osobní údaje považovat např. časy zapnutí/vypnutí zařízení, přihlášení na APčka... protože by se podle nich např. dalo zjistit, kdy je zákazník doma...
6) provozní statistiky - i podle grafu trafficu se o uživateli dá něco usoudit (kdy je doma, zda používá nějakou streamovací videoslužbu...)
7) jméno příp další údaje napsané na spoustě míst po síti (CPE pojmenované jménem klienta, graf ve statistikách popsaný jménem klienta...)
osobní údaje o klientovi na papírových servisních listech techniků

Jaké jsou důvody pro uchovávání takových dat?:
1) oprávněný zájem - zákazníka služby potřebujeme umět identifikovat a kontaktovat
2) podle zvláštního právního předpisu
3) oprávněný zájem - zajištění bezpečného a spolehlivého provozu služby
4) oprávněný zájem + zvláštní právní předpis
5) oprávněný zájem - zajištění bezpečného a spolehlivého provozu služby
6) oprávněný zájem - zajištění bezpečného a spolehlivého provozu služby
7) zde by bylo dobré se osobních údajů zbavit a nahradit je jiným identifikátorem
oprávněný zájem - zákazníka služby potřebujeme umět identifikovat a kontaktovat

Pokud se data nepoužijí k jinému účelu než je uvedeno výše, souhlas se zpracováním pravděpodobně vůbec není potřeba. Souhlas by bylo potřeba až pro nějaké další zpracování, které se neschová pod oprávněný zájem..., třeba:
- rozesílání reklamních sdělení - vlastích nebo i cizích. A myslím si, že pokud 2x do roka rozešlu zákazníkovi nějaký newsletter o vlastních službách, nemuselo by to být považováno za reklamní sdělení
- profilace zákazníka na základě dat z bodů 2) - 6) - pokud bych analyzoval logy z DNS a další logy... mohl bych např. za účelem reklamy (personalizované nabídky služeb) vytvářet poměrně detailní profil zákazníka. Stejně jako to třeba provádí google který ví co si píšeme v mailech (gmail), co hledáme na internetu, kam chodíme na internetu (google analytics), kam jezdíme (android/google maps).....

[zubodravec]

Taky docela vtipny, report o provedene kontrole zpracovani osobnich udaju nalezenych na skladce, provedene zverolekarem )
https://www.uoou.cz/kontrola%2Dzpracova ... =1&p1=1277

.

Toto je prostě pecka. Pár trezorů mi prošlo rukama, ale toto vidím poprvé. Dnes dorazil Brihard Protector a na čelní straně jsou výřezy přesně na přiložení 9V baterky pro případ, že by došla šťáva baterkám uvnitř. Toto fakt navrhoval člověk s hlavou na správném místě. Tak kdo hledá trezory na dokumenty k vůli GDPR, tady je můj tip.

brihard.jpg

[okoun]

Jaká osobní data zákazníků (a kde) máte jako ISP? Mě napadá:
1) jméno/datum narození/adresa/email/telefon v CRM
2) informace o provozu v data retention systému
3) logy z DNS serverů
4) logy z mailserverů
5) logy s různých síťových prvků - v hodně divokém výkladu GDPR by bylo možné za osobní údaje považovat např. časy zapnutí/vypnutí zařízení, přihlášení na APčka... protože by se podle nich např. dalo zjistit, kdy je zákazník doma...
6) provozní statistiky - i podle grafu trafficu se o uživateli dá něco usoudit (kdy je doma, zda používá nějakou streamovací videoslužbu...)
7) jméno příp další údaje napsané na spoustě míst po síti (CPE pojmenované jménem klienta, graf ve statistikách popsaný jménem klienta...)
osobní údaje o klientovi na papírových servisních listech techniků

Jaké jsou důvody pro uchovávání takových dat?:
1) oprávněný zájem - zákazníka služby potřebujeme umět identifikovat a kontaktovat
2) podle zvláštního právního předpisu
3) oprávněný zájem - zajištění bezpečného a spolehlivého provozu služby
4) oprávněný zájem + zvláštní právní předpis
5) oprávněný zájem - zajištění bezpečného a spolehlivého provozu služby
6) oprávněný zájem - zajištění bezpečného a spolehlivého provozu služby
7) zde by bylo dobré se osobních údajů zbavit a nahradit je jiným identifikátorem
oprávněný zájem - zákazníka služby potřebujeme umět identifikovat a kontaktovat

Pokud se data nepoužijí k jinému účelu než je uvedeno výše, souhlas se zpracováním pravděpodobně vůbec není potřeba. Souhlas by bylo potřeba až pro nějaké další zpracování, které se neschová pod oprávněný zájem..., třeba:
- rozesílání reklamních sdělení - vlastích nebo i cizích. A myslím si, že pokud 2x do roka rozešlu zákazníkovi nějaký newsletter o vlastních službách, nemuselo by to být považováno za reklamní sdělení
- profilace zákazníka na základě dat z bodů 2) - 6) - pokud bych analyzoval logy z DNS a další logy... mohl bych např. za účelem reklamy (personalizované nabídky služeb) vytvářet poměrně detailní profil zákazníka. Stejně jako to třeba provádí google který ví co si píšeme v mailech (gmail), co hledáme na internetu, kam chodíme na internetu (google analytics), kam jezdíme (android/google maps).....

nu je pár dnů do zapnutí GDPR ale jako má teda někdo vůbec jasno? ip adresy zákazníků evidujeme kvůli špehování provozu pro policii, to samé platí u trvalého bydliště a rodného čísla, kde nám to přímo ČTU nařizuje, email evidujeme kvůli fakturám a zasílání zpráv když je nějaká změna na síti a tak, to samé u mobilu...

[rsaf]

To jsi si to trošku moc zjednodušil. S adresou klienta určitě denně pracují technici, účetní...

[rsaf]

Takový "amatérský" postup. Možná to nebude ve 100% v souladu s GDPR ale lepší než nic a stejně se to bude muset dříve nebo později udělat. U menšího ISP je to práce na max. dva dny:
1) sepsat jaké osobní údaje a kde leží (vč. papírových evidencí)
2) sepsat kdo a proč s těmi údaji pracuje (vč. vydávání dat policii, jiným úřadům...)
3) u každého zpracování podle bodu 2 zjistit, zda toto zpracování je nezbytné pro chod služby (oprávněný zájem) nebo zda mi to ukládá nějaký zákon. Pokud to nevyjde, musí se řešit souhlas, nebo takové zpracování/ukládání ukončit
4) u všech zpracování podle bodu 2 stanovit rizika úniku a ztráty dat, následně popsat opatření která jsou provedena (mělo by se udělat "rozumné maximum"), pokud opatření ještě nejsou, tak je stanovit a zavést
5) sepsat směrnici, která podle bodu 2 popíše kdo s jakými daty a za jakým účelem může pracovat příp. co musí podle bodu 4 dodržet pro jejich ochranu. Takovou směrnici dát zaměstnancům podepsat

Může z toho např. vyjít:
- do rádií.. přestaneme psát jména a budeme tam psát jen ID klienta/služby
- na serveru s data retention nebudeme mít stejný root login jako na jiné linux servery, nebudou tam mít přístup všichni technici ale jen vybraní
- technici jsou poučeni, že servisní listy nepohazují za předním oknem auta ale mají je ve složce, u zákazníka je jen tak kolem sebe nerozhazují, co nejdříve je odevzdávají na firmě aby u sebe neměli historii za dva týdny
- asistentka je poučena, že konkrétní šanony s dokumenty (mj. s údaji o zaměstnancích a mzdách) se ukládají v uzamčené skříni (do místnosti totiž mají přístup i technici a uklízečka), nenechávají se jen tak rozložené na stole, u kterého si proti asistentce sedne zákazník když přijde něco řešit (může je mít na stole za sebou...)
- přístup do CRM je samozřejmě na HTTPs ale kromě jména a hesla jsme zavedli ještě přihlášení certifikátem, případně je přístup možný jen z firemní sítě a technici se tam připojí VPNkou...

[okoun]

hmm zákazník po nás chce prohlášení či dodatek ke smlouvě ohledně souladu s evropským nařízením GDPR? na Vámi provozovaný internet.

nějak netuším jak to chápat?

[dantasik]

​https://www.o2.cz/osobni/586476-privacy_gdpr_mod/


Asi chce něco takového.
A nejspis staci poslat nejaky takovyto canc emailem a udělat klikatko:


​


Aktualizace souhlasu se zpracováním osobních údajů pro obchodní účely



















Vážený pane Tasáry,



k tomu, abychom pro Vás mohli vytvářet co nejvhodnější nabídky a zlepšovat naše služby, je zapotřebí aktualizace Vašeho souhlasu se zpracováním osobních údajů pro obchodní účely. Aktualizaci potvrdíte jediným kliknutím v tomto e-mailu.



Potřeba aktualizace souhlasu vychází z nového nařízení Evropské unie, tzv. GDPR, které bude účinné od 25. 5. 2018. Jeho cílem je vyšší ochrana fyzických osob z hlediska podmínek využívání jejich osobních údajů.



Potvrzuji, že jsem oprávněn jednat jménem společnosti NITEX ISP s.r.o. a jsem oprávněn jejím jménem udělit společnosti O2 Czech Republic a.s. souhlas se zpracováním osobních údajů pro obchodní účely.

​Prosím, přečtěte si text souhlasu se zpracováním osobních údajů pro obchodní účely a potvrďte souhlas tlačítkem výše.



Udělení souhlasu je užitečné pro zlepšení Vašich služeb
Potvrzuji, že jsem oprávněn jednat jménem účastníka služby poskytované společností O2 Czech Republic a.s., IČ 601 93 336, DIČ CZ60193336, se sídlem Za Brumlovkou 266/2, 140 22 Praha 4 – Michle („O2“), a jménem účastníka uděluji O2 souhlas s využitím veškerých identifikačních, kontaktních, provozních, včetně lokalizačních, a jiných údajů generovaných při poskytování služeb nebo získaných při komunikaci s účastníkem („údaje“) pro obchodní účely. Pro případ, že se údaje vztahují k subjektům odlišným od účastníka, za kterého jednám, potvrzuji, že účastník je oprávněn tento souhlas udělit. Údaje se mohou vztahovat ke všem smlouvám o poskytování služeb sjednaných mezi O2 a účastníkem, včetně smluv uzavřených v budoucnosti. Jednotlivé kategorie zpracovávaných osobních údajů jsou detailně popsány v dokumentu Zásady zpracování osobních údajů pro zákazníky O2 dle GDPR („Zásady“), který je na www.o2.cz.



Aby bylo možné vytvářet pro Vás vhodné nabídky
Obchodní účely zahrnují zejména činnosti spočívající v třídění údajů, uchování údajů o typovém chování, vypracování anonymizovaných analýz, vytváření cílených nabídek a dále samotné oslovení jménem O2 s obchodní nabídkou produktů a služeb O2 nebo třetích stran, a to písemně, telefonicky, internetovou reklamou a elektronickou komunikací prostřednictvím služeb O2 a kontaktů, které O2 poskytnu. Pokud účastník umožní využívání služeb O2 nebo kontaktů, které O2 poskytl, dítěti mladšímu 16 let, potvrzuji, že zákonný zástupce dítěte souhlasí s oslovením dítěte obchodními nabídkami prostřednictvím těchto služeb a kontaktů.



Je to na Vás
Kompletní podmínky použití osobních údajů jsou uvedeny v tomto souhlasu, v Zásadách a v příslušných právních předpisech. Poskytnutí tohoto souhlasu je dobrovolné a účastník jej může odvolat způsoby stanovenými v Zásadách. Souhlas je účinný ode dne jeho udělení, nejdříve však od 25.5.2018 po dobu využívání služeb O2 a následující 4 roky poté, pokud jej účastník neodvolá. Informace o právech účastníka v souvislosti se zpracováním údajů na základě tohoto souhlasu jsou v Zásadách.

[okoun]

no jo ale to jsme furt u toho jestli tedy je třeba řešit ten souhlas nebo neřešit? kdy se toto jako bude vědět už

[ludvik]

Zrovna nedávno jsem se to snažil jednomu vysvětlit. Nepomohlo. A to jsem mu popsal, kolik různých firem bude muset se stejným požadavkem oslovit jen kvůli administraci svého webshopu v Coolhousingu (no ... prostě v Praze). Dokonce i technologie jsem mu vysvětloval, aby mu došlo, že i když bych chtěl, tak ty jeho data prostě nevidím, takže nevím co mu vůbec potvrdit. Výsledek byl ten, že je rád že to děláme tak jak děláme a že tedy pro nás není žádný problém mu ten papír napsat a podepsat ...

hmm zákazník po nás chce prohlášení či dodatek ke smlouvě ohledně souladu s evropským nařízením GDPR? na Vámi provozovaný internet

I když jsem schopen pochopit strach z tohoto gumového předpisu, nejsem schopen chápat, jaké všechny požadavky tam kdekdo vidí.

[reset]

a co kdyz zakaznik nebude souhlasit s GDPR ?

[KoZLiCeK]

a co kdyz zakaznik nebude souhlasit s GDPR ?

opravněný zajem, bude muset...

[reset]

a co kdyz i pres "opravneny zajem" souhlasit nebude?