Jak začít s GDPR?

[Mark55]

Ahoj, uz jste resili GDPR ?
Vubec nevim kde zacit  a co vlastne resit.
Kdyby prisla nejaka kontrola co po me bude chtit, musim mit nejake papiry, jestli se me zeptaji jestli osobno data zakazniku jsou zabezpecana tak reknu ano a bude to jako v pohode ?!? ;-)
Hadam, ze ne, ale co po budou chtit ? Mala firma o 4 lidech.
Mark

[Reklama]

[V.]

Určitě bude kontrolu zajímat, co od zákazníků chceš vědět za jejich údaje, jak je informuješ o tom, co o nich víš. Jak to uschováváš a i jak loguješ co jsi od koho vyzvěděl, jak jsi s tím naložil.

Tj. bude je zajímat jak formální tak věcná stránka. Pokud na to nebudou prdět a nebudou chtít jen udělat fajfku, že u tebe byli.

[kkt1]

Ahoj, uz jste resili GDPR ?
Vubec nevim kde zacit  a co vlastne resit.
Kdyby prisla nejaka kontrola co po me bude chtit, musim mit nejake papiry, jestli se me zeptaji jestli osobno data zakazniku jsou zabezpecana tak reknu ano a bude to jako v pohode ?!? ;-)
Hadam, ze ne, ale co po budou chtit ? Mala firma o 4 lidech.
Mark

Trochu pozde to zacinas resit, ale presto: zjisti si co jsou osobni udaje, zamysli se nad tim kde vsude je mate (zakaznici, zamestnanci, mozna dodavatele,...) a definuj jakym zpusobem je zpracovavas (od duvodu nabyti, zpracovavani, skladovani az po likvidaci). Pokud jsi v tom ztracenej, porad se s pravnikem, nebo si najdi firmu/cloveka ktera to udela s tebou.

[CoffeeMan]

Začít máte zde:

http://www.sagit.cz/info/uz-ochrana-osobnich-udaju-gdpr

[O]

Kontroly chodí jen na udání.
GDPR je o tom, že osobní údaje (jakékoliv informace o identifikovatelné osobě) je možné mít jen v případě, kdy k tomu je dán některý z důvodů uvedený v textu GDPR. Tím je např. jednání o uzavření smlouvy a její plnění, plnění právní povinnosti (vyplývající ze zákoníku práce, z daňových předpisů - nejčastěji), ochrana důležitých oprávněných zájmů (sem se typicky schovávají kamerové systémy) nebo souhlas (ten ale musí být udělen samostatně od jakýchkoliv jiných souhlasů a aktivně - žádná před zaškrtnutá políčka). Obvykle platí, že pokud zpracování osobních údajů podřadíš pod některých z těchto důvodů, je vše v pořádku. Pokud ne, potřebuješ souhlas. Pokud ho nemáš, data mažeš. Mazat se musí i již nepotřebná data a obecně se musí minimalizovat osobní údaje jen na ty nejdůležitější.
GDPR pak je o zabezpečení osobních údajů, a to jak v papírové podobě, tak v digitální. Digitální podobu považuji za větší riziko. Žádný konkrétní standard ochrany není předepsán. Má se přihlížet k rozsahu zpracování a rizikům. Žádné oficiálně certifikované GDPR produkty neexistují.
Hlavně GDPR není žádnou revolucí. Výše uvedené již v zásadě vyplývá ze současného zákona o ochraně osobních údajů. Jen se to dříve moc nedodržovalo.

[Reklama]

[CoffeeMan]

Hlavně GDPR není žádnou revolucí. Výše uvedené již v zásadě vyplývá ze současného zákona o ochraně osobních údajů. Jen se to dříve moc nedodržovalo.

Tak

[linuxovýkrál]

Kdyby prisla nejaka kontrola co po me bude chtit, musim mit nejake papiry, jestli se me zeptaji jestli osobno data zakazniku jsou zabezpecana tak reknu ano a bude to jako v pohode ?!? ;-)

Jasně. Funguje to stejně jako třeba u finančáků. Optají se tě jestli je vše ok, ty řekneš že ano a seš v pohodě 

... ne nebudeš v pohodě. GDPR je obsáhlá záležitost, záleží na hromadě věcí a nedá se paušalizovat. Jestle ses dneska probudit tak si někoho zaplať protože tě to bude stát několik let života a stejně to nepochopíš.

[linuxovýkrál]

Kontroly chodí jen na udání ...
Hlavně GDPR není žádnou revolucí. Výše uvedené již v zásadě vyplývá ze současného zákona o ochraně osobních údajů. Jen se to dříve moc nedodržovalo.

Jo jo, pani u zastávky povídala.

[CoffeeMan]

Kontroly chodí jen na udání ...
Hlavně GDPR není žádnou revolucí. Výše uvedené již v zásadě vyplývá ze současného zákona o ochraně osobních údajů. Jen se to dříve moc nedodržovalo.

Jo jo, pani u zastávky povídala.

Ale ono tam opravdu není nic extra navíc. Akorát se to nasypalo na hromadu. Že s tím mají firmy problém? No já se nedivím, když se podívám na svůj mail. Vždyť to tady bylo a je jako v banánistánu.

[Mark55]

No prave, me prijde, ze delame vsechno tak nejak OK.
Data se nikde nevaleji, mame nejake pritupova prava, kdo nemusi videt to ci ono, tak k tomu nema pristup, zalohy jsou sifrovane apod.
Pokud musim vyplnit nejake papiry tak nevim presne kde a co, protoze jsem zadne papiry primo k GDPR nenasel, jestli mam sepsat nejakou analyzu kde si zlustruje nase uloziste, vstupy a vystupy dat tak to klidne udelat, ale cele mi to prijde jako takove dost navolno, jak budu kontrole neco dokazovat, ukazu jim papiry, ze jsme si delal analyzu procesu a pohybu dat ve firme, jak oni mi budou neco dokazovat ?

Kdyz si zaplatim firmu, tak co bude jejim vystupem prace ? Papiry nebo doporuceni nebo co ?
M.

[kkt1]

No prave, me prijde, ze delame vsechno tak nejak OK.
Data se nikde nevaleji, mame nejake pritupova prava, kdo nemusi videt to ci ono, tak k tomu nema pristup, zalohy jsou sifrovane apod.
Pokud musim vyplnit nejake papiry tak nevim presne kde a co, protoze jsem zadne papiry primo k GDPR nenasel, jestli mam sepsat nejakou analyzu kde si zlustruje nase uloziste, vstupy a vystupy dat tak to klidne udelat, ale cele mi to prijde jako takove dost navolno, jak budu kontrole neco dokazovat, ukazu jim papiry, ze jsme si delal analyzu procesu a pohybu dat ve firme, jak oni mi budou neco dokazovat ?

Kdyz si zaplatim firmu, tak co bude jejim vystupem prace ? Papiry nebo doporuceni nebo co ?
M.

Myslim, ze jsi nepochopil smysl GDPR. Kdyz si udelas nejakou analyzu ale ve skutecnosti osobni udaje ktere zpracovavas nebudou v bezpeci a nejaky z tvych zamestnancu je veme, nebo chybou v procesu je nekde mas dostupne na webu, tak prvni Franta poda na tebe oznameni v tom lepsim pripade, v tom horsim te pozene k soudu. Tebe jako firmu to ve finale muze stat spoustu penez, tudiz je ve tvym zajmu aby jsi ty data mel v bezpeci. Urednikum to bude u zadele, ty budou chtit videt predevsim procesy.

[Sten]

Data se nikde nevaleji, mame nejake pritupova prava, kdo nemusi videt to ci ono, tak k tomu nema pristup, zalohy jsou sifrovane apod.
Pokud musim vyplnit nejake papiry tak nevim presne kde a co, protoze jsem zadne papiry primo k GDPR nenasel, jestli mam sepsat nejakou analyzu kde si zlustruje nase uloziste, vstupy a vystupy dat tak to klidne udelat, ale cele mi to prijde jako takove dost navolno, jak budu kontrole neco dokazovat, ukazu jim papiry, ze jsme si delal analyzu procesu a pohybu dat ve firme, jak oni mi budou neco dokazovat ?

Co má ten záznam obsahovat, je popsané v GDPR. Ten záznam musí obsahovat nejen to, kde data jsou a jak jsou zabezpečena (včetně přístupů), ale také proč je vůbec potřebujete a kdy ta data budou odstraněna. A (pokud vám data neutečou) se IMO budou úřady nejvíc soustředit na tu druhou půlku spolu s kontrolou, jak dodržujete práva osob, jejichž údaje zpracováváte (právo na výmaz, právo na omezení zpracování, právo na opravu, právo na přístup, právo na přenos).

GDPR stojí na pricipu založeném na riziku, výchozí stav je, že data zpracovávat nesmíte, vy tedy musíte dokazovat, že splňujete podmínky, abyste ta data mohl zpracovávat.

[j]

...

Priprav si dobre upevnenou smycku, protoze pokud je tvoje povedomi takovy jak davas najevo ....

1) zadna kontrola chodit nebude. Organ(y/i?) budou reagovat na stiznosti/podani
2) ty musis dolozit, ze GDPR splnujes, kecy nikoho zajimat nebudou
3) pokud uz si na tebe bude nekdo stezovat, tak bude dost pravdepodobne mit v ruce i dost dukazu na to, aby dolozil, ze si GDPR porusil
4) z 90% to budou nasrani zamestnanci a nasrani zakaznici.
5) a pozor, protoze jde o legislativu EU, muze te kontrolovat i zahranicni organ libovolnyho statu EU, a to dokonce podle sve legislativy (ktera muze byt trochu jina ....), pokud mas data zahranicnich osob, mas je podle JEJICH prava.

A k veci, osobni udaje (coz je i firemni telefoni cislo a mail ... ale taky IP adresa nebo trebas nick ... a spousta dalsich veci) muzes mit pouze a vyhradne pokud

a) te k tomu opravnuje zakon
b) mas (a ses schopen dolozit) souhlas, ktery muze byt zcela kdykoli odvolan a NESMI byt podminkou poskytnuti sluzby - jeste letos za presne toto dostane flastr guugl, fb a dalsi.

Jinak je mit nesmis. I kdybys je vubec na nic nepouzival, tak uz samotna jejich existence v libovolny podobe (= i na papire) === dostanes flastr.

Takze muzes mit trebas udaje o zamestnancich, po dobu kterou definuje zakon, protoze ti zakon ty udaje mit narizuje. Muzes mit adresu zakaznika, ale pouze a vyhradne po dobu kdy ji nezbytne potrebujes = mezi objednavkou a dorucenim, k tomu te taky opravnuje zakon. Pokud chces tu adresu mit i po te = registrace na shop, MUSIS k tomu mit souhlas.

Se souhlasem muzes mit libovolny dalsi udaje, ale musis mit informovany souhlas = dotycny ti musi odsouhlasit kazde jedno vyuziti tech dat zvlast. Nepripada v uvahu ze si nechas odsouhlasit "muzu to vyuzivat jakkoli". Neco takovyho === zadnej souhlas nemas.

At uz mas data tak ci onak, ses dale povinen ta dada zabezpecit. A to ve dvou rovinach - technicky (= sifrovani, pod zamkem ....) a pak predevsim organizacne = musis mit interni smernice, ktery deklarujou kdo kdy a proc ma k tem datum pristup.

Dal ses povinej komukoli poskytnout vsechny osobni udaje ktery o nem evidujes, pripadne je poskytnout i treti strane pokud to tak chce, a to v elektronicky zpracovatelny podobe (csv, xml, ...). Mas na to 30 dnu max.

Pokud mas data v rezimu se souhlasem, ses povinen je v pripade ze dotycny souhlas odvola obratem znicit - nestaci je oznacit, proste je nesmis vubec mit. A to se netyce jen tebe, tyce se to pochopitelne i vsech pripadnych zpracovatelu, kterym si ta data predal.

...Digitální podobu považuji za větší riziko...

Sem zvedav, jak budes z papiru delat vypis jaka data mas. Navic u hromady firem ma k tem papirum pristup kde kdo, pripadne i zakaznici/navstevnici ...

Hlavně GDPR není žádnou revolucí. Výše uvedené již v zásadě vyplývá ze současného zákona o ochraně osobních údajů. Jen se to dříve moc nedodržovalo.

Ne tak uplne, trebas povinost data likvidovat, a poskytnou je jak dotycnemu tak treti strane tam nebyla. Stacilo tudiz, pokud si ta data ktera mas, nepouzival.

...Urednikum to bude u zadele, ty budou chtit videt predevsim procesy.

Ti budou chtit vybrat pokutu, protoze % z nich pujdou na jejich odmeny

[tt]

nepodnikaj jako spolecnost a gdpr mohou jit do zadeke)))
zadna spolecnost - zadne eu pravidla)))

[Lol Phirae]

nepodnikaj jako spolecnost a gdpr mohou jit do zadeke)))
zadna spolecnost - zadne eu pravidla)))

Ach bože... Zase blbě. Sem ty moudra z Horních Uher v poslední době padaj jak švestky na podzim.  Pro jistotu pro tebe rovnou v hornouherštině, možná to pochopíš:

Čl. 2 -  Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov: c) fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti;


Tím se opravdu NEmyslí SZČO.