GDPR (General Data Protection Regulation)

[rsaf]

Troufnu si tvrdit, že malý ISP žádný souhlas nepotřebuje.
O zákaznících evidujeme osobní údaje nezbytné pro smluvní vztah (jméno, příjmení, dat. nar., trvalé bydliště) a dále nutné pro zajištění provozu služby (telefon, mail, adresa místa instalace). Z daty pracujeme pouze v rozsahu nezbytném pro poskytnutí naší služby, přístup k nim mají administrativní pracovníci (za účelem administrativy) a technici (za účelem zajištění servisu). Data (kontakt) využíváme i pro direct marketing (občasné newslettery).
O dodavatelích a dalších partnerech (umístění zařízení...) evidujeme jen data nutná pro smluvní vztah a nutná pro využití předmětu smlouvy (musím na něj mít kontakt, když potřebuji k němu na střechu...), v zásadě stejně jako u zákazníků
O zaměstnancích evidujeme jen data nezbytná pro pracovně právní vztah, zpracovává je pouze vedení a externí mzdová účetní na základě smlouvy přičemž smlouva obsahuje klauzule o zpracování...

U všech výše uvedených případů je běžné, že se takové zpracování provádí a dá se vyvozovat, že i subjektu údajů (zákazníkovi) je zřejmé, že takovéto zpracování je nezbytné. Jedná se tedy o oprávněný zájem a souhlas nepotřebujeme. https://www.dpo4u.cz/l/opravneny-zajem/

Dále máme potencionální osobní data v data retention, lozích serverů (mail/dns/web), lozích síťových prvků... Tato data jsou anonymizovaná (IP adresa je údaj který sám o sobě neumožní identifikaci konkrétní osoby) a zpracováváme je na základě:
- zajištění bezpečného a spolehlivého provozu služeb - prohlížíme a analyzujeme logy pro anonymní statistické účely, identifikaci problémů a útoků, ovšem v tomto případě nepracujeme s identifikčními údaji klienta (=hledáme odkud útok šel a až na základě toho dohledáváme klienta a kontaktujeme ho. Nejdeme do dat s tím, že by nás zajímalo "co dělá a posílá konkrétní klient". Toto provádíme na základě oprávněného zájmu zajištění spolehlivého a bezpečného provozu služby, potažmo sítě. Souhlas opět nepotřebujeme
- požadavku oprávněných orgánů na provozní a lokalizační údaje (policie...). Toto provádíme na základě a v rozsahu, které nám ukládá zákon (https://cs.wikipedia.org/wiki/Data_rete ... _v_%C4%8CR). Souhlas ani zde nepotřebujeme.

Výše popsané by pak mělo existovat formou interní směrnice, tedy:
- CO evidujeme
- KDE to leží a jak je to zajištěné proti úniku nebo ztrátě (zálohy, hesla, zámky, šifry, zabezpečovačky, režimový vstup do místností...)
- JAK to zpracováváme
- KDO to zpracovává
- NA ZÁKLADĚ čeho to zpracováváme (zákon, oprávněný zájem, souhlas)

Se směrnicí se musí prokazatelně seznámit všichni zaměstnanci (tedy ví, s čím pracují a jak s tím mají zacházet), vedení musí dodržování směrnice prosazovat a kontrolovat.

Ovšem jestli ukládání logů a dat na DR je soustavné a rozsáhle zpracování (tedy potřeba DPO...)posoudit nedokážu.

[rsaf]

a co kdyz i pres "opravneny zajem" souhlasit nebude?

Oprávněný zájem = neptáš se ho, souhlas se neřeší. Pokud ti odmítne dát údaje do smlouvy, tak ji nejspíše neuzavřete a služba se nekoná.
Ovšem jeho osobní údaje (na základě oprávněného zájmu a tudíž bez potřeby souhlasu) už zpracováváš tím, že např. poslal poptávku připojení mailem a napsal tam své jméno, bydliště a telefon. Oprávněný zájem zde bude nejspíše převyšovat i nad "právem na zapomnění", takže i kdyby to vyžadoval, nemusíš takové údaje o něm zlikvidovat.

[reset]

a neni to nakonec uplne k hovnu, jak jsem psal na zacatku?
Proste koza se nazrala ...

Smlouvu ma jiz podepsanou, ale s GDPR nesouhlasi (trebaz principu)? Treba troll jako ja.

Ve vysledku to vubec nic neresi, je to jen buzerace pro spodni milion lidi, ostatni s tim stejne nejak vyjebou.

[zdenek.svarc]

Přátelé, některé poslední příspěvky ukazují naprostou nedostatečnost v chápání GDRP. K tomu není tohle vlákno. Nikdo to za Vás nenastuduje, bohužel. Běžte na

https://www.gdpr.cz
https://www.uoou.cz/gdpr-obecne-narizen ... 38/p1=3938

a studujte. Za jedno nebo dvě odpoledne máte nestudované vše podstatné, opravdu. Je to opruz, ale je to nutné. V tomhle vlákně pak řešme konkrétní případy a implementace. Děkuju za pochopení.

[KoZLiCeK]

docela dobre pochopitelne... https://www.cesnet.cz/wp-content/upload ... part-1.pdf

[okoun]

nevíte náhodou jestli nezaniknou s nástupem GDPR registry dlužníků? zjevně lidé tam zapsaní nedají souhlas pro GDPR a tak tam logicky nebudou figurovat, asi to opet nahrává lumpům?

[zdenek.svarc]

nevíte náhodou jestli nezaniknou s nástupem GDPR registry dlužníků? zjevně lidé tam zapsaní nedají souhlas pro GDPR a tak tam logicky nebudou figurovat, asi to opet nahrává lumpům?

Registry dlužníků vidím na bezsouhlasové tituly Oprávněný zájem správce a Veřejný zájem. Ještě jednou a snad naposled, není vždy bezpodmínečně třeba souhlasu ke zpracování osobních údajů.

[okoun]

dobře takže šmírování trafiku našich zákazníků vidím také jako oprávněný zájem správce a veřejný zájem což kvůli tomu evidujeme rodné číslo, adresu bydliště, ip adresu.....

[zdenek.svarc]

dobře takže šmírování trafiku našich zákazníků vidím také jako oprávněný zájem správce a veřejný zájem což kvůli tomu evidujeme rodné číslo, adresu bydliště, ip adresu.....

Kousek vedle. Šmírování se dá napasovat spíš na bezsouhlasový titul Plnění právní povinnosti, tedy k zajištění nařízení data retention. Opravte mě, jestli se mýlím.

[rsaf]

dobře takže šmírování trafiku našich zákazníků vidím také jako oprávněný zájem správce a veřejný zájem což kvůli tomu evidujeme rodné číslo, adresu bydliště, ip adresu.....

Kousek vedle. Šmírování se dá napasovat spíš na bezsouhlasový titul Plnění právní povinnosti, tedy k zajištění nařízení data retention. Opravte mě, jestli se mýlím.

Narazil jsi tedy při své analýze na něco, k čemu by ISP potřeboval souhlas?

[zdenek.svarc]

Narazil jsi tedy při své analýze na něco, k čemu by ISP potřeboval souhlas?

V podstatě cokoliv co má něco společného s marketingem. Jenže lokální ISP příliš nepracují bezkontaktně s cross selling nebo up selling nástroji. V rámci běžného výkonu ISP se mi to tedy jeví na bezsouhlasové tituly.

[rsaf]

Ovšem direct marketing (berme to jako občasný newsletter) spadá pod oprávněný zájem.
Většina z malých ISP, doufám, ty data neprodává.

[zdenek.svarc]

Ovšem direct marketing (berme to jako občasný newsletter) spadá pod oprávněný zájem.
Většina z malých ISP, doufám, ty data neprodává.

Newsletter, který je vydávaný za účelem budování zákaznické vazby bych si pod oprávněný zájem dokázal představit. A klidně součástí newsletteru může být lehké promo na cross selling. Důležité vidím, aby takový newsletter nebyl prvoplánově marketingový. Jasně, je to o argumentační základně.

[okoun]

aha takže až přijde kontrola na dodržování GDPR bude to asi souboj právníků co si kdo pod čím bude představovat zjevně

[rsaf]

Ne, to nebude. Bude to předložte, doložte, zdůvodněte. Na základě šetření vydá úřad rozhodnutí (vč. flastru) proti kterému se můžeš odvolat. Teoreticky to dojde ke správnímu soudu, na válku právníků dojde až tam.