GDPR a firemní osobní data v Dropboxu (free)

[Pavko]

Dobrý den, chtěl bych se zeptat, do jaké míry je/není legitimní mít firemní osobní data (necitlivá) v úložišti Dropbox (free)? Popřípadě, když si pořídíme jeho placenou službu, je z hlediska GDPR dostačující?

[Reklama]

[kkt1]

Dobrý den, chtěl bych se zeptat, do jaké míry je/není legitimní mít firemní osobní data (necitlivá) v úložišti Dropbox (free)? Popřípadě, když si pořídíme jeho placenou službu, je z hlediska GDPR dostačující?

To jste zacal resit gdpr dnes? Gratuluji! https://www.dropbox.com/security/GDPR

[Miroslav Šilhavý]

Dobrý den, chtěl bych se zeptat, do jaké míry je/není legitimní mít firemní osobní data (necitlivá) v úložišti Dropbox (free)? Popřípadě, když si pořídíme jeho placenou službu, je z hlediska GDPR dostačující?

To je čistě na Vás a Vašem úsudku. Když se stane průšvih, odskáčete to Vy.
Proto byste měli mít s Dropboxem smlouvu o tom, že případnou škodu zaplatí oni, pokud za ni budou odpovědni. Nevím, na kolik je reálné získat od nich takovou smlouvu a určitě nebudou odpovědní, pokud dojde k útoku hackera, který překoná jinak běžně uznávané zabezpečení.

Ale je to zcela na Vás, data můžete mít klidně na free Dropboxu a nikdo Vás za to pokutovat nebude. Odskáčete si to pouze v případě, že je nezabezpečíte, nebo když dojde k úniku (zneužití).

[j]

...

Jak bylo receno, je to tvuj problem, kdyz ty data z toho db nekde utecou, pokutu dostanes ty. A protoze s db zcela jiste nemas smlouvu na tema ze by pro tebe byl zpracovatelem, tak pokud k tem datum ma db pristup (= nejsou treba nejak nezavisle zasifrovany), tak tim GDPR porusujes i v pripade, ze se nedostanou ven - predavas je totiz treti osobe bez pravniho duvodu.

Takze staci, kdyz te praskne nastvanej zamestnanec a mas problem.

Data muzes predavat tretim osobam, pokud jsou tyto pro tebe tzv zpracovatelem = mas na to tema snima smlouvu. Mineno takovy data, ktery mas v rezimu ze zakona. U tech co mas se souhlasem na to musis mit samo ten souhlas.

A BTW: Plati to i pro (nejen)postu ... pokud neco posilas, a davas jim adresy, musis snima mit na to tema smlouvu ... .

[Miroslav Šilhavý]

A BTW: Plati to i pro (nejen)postu ... pokud neco posilas, a davas jim adresy, musis snima mit na to tema smlouvu ... .

Platí pravidlo přiměřenosti a smlouva může být uzavřena i ústně i konkluzí.
Pokud máte uzavřenou smlouvu (tj. zřízenou službu) s Dropboxem, je to technicky vzato zpracovatelská smlouva. Ale je poměrně Vaším mínusem, že jste si do té smlouvy neprosadil odpovědnost a sankce zpracovatele.

PS: Pošta má speciální zákony a listovní tajemství požívá ještě vyšší (speciálnější) ochrany.

[Reklama]

[karlik]

Pošta má speciální zákony a listovní tajemství požívá ještě vyšší (speciálnější) ochrany.

Tím myslíte jako to, že doručovatel může číst Vaši poštu a na základě toho rozhodovat, jestli ji doručí nebo tiše zahodí - jako například na mail.atlas.cz? 

[j]

....
PS: Pošta má speciální zákony a listovní tajemství požívá ještě vyšší (speciálnější) ochrany.

tady vubec neni rec o listovnim tajemstvi, na dopise nebo baliku je napsana adresa, a ten dopis nebo balik se povaluje v nejakym skladu kam muze leckdo, pripadne ho postaci klidne pohodej nekde v chodbe baraku, nebo dokonce predaj sousedum. Kdyz ten leckdo ten dopis veme a pohodi ho nekde, tak jde pruser za odesilatelem, protoze on nezajistil ochranu tech udaju.

Adresy se navic nedavaji jen poste, ale vsemoznym dalsim dopravcum. A ti si je (vcetne ty posty) davaji i do svych systemu, kde snima delaji vi buh co. Je proto treba smluvne zajistit, ze ta data po doruceni zlikvidujou.

Navic ten retez firem ktery se ucastnej muze byt pekne dlouhy. Trebas takovej Mall ti neco proda, ale ve skutecnosti ti to doda nekdo uplne jinej, a ten to dodava prostrednicvim nejakyho dopravce, takze mas minimalne 3 firmy ktery maji tvoji adresu. A kdyz si Mall necha od ty firmy podepsat, ze ty data zlikviduje, jinak vsechno plati, tak je jen logicky, ze ta chce presne totez po dopravci a ten pripadne po nejakym svym lokalnim subdodavateli.

[j]

Jop, to samo vubec neznamena, ze ten Mall tu pokutu nedostane, on ji dostane a zaplati, ale nasledne to bude vcetne nakladu na pravniky a dalsiho vymahat z toho svyho dodavatele, a ten pripadne z toho dopravce.

[Pošťák Ondra]

Adresy se navic nedavaji jen poste, ale vsemoznym dalsim dopravcum. A ti si je (vcetne ty posty) davaji i do svych systemu, kde snima delaji vi buh co. Je proto treba smluvne zajistit, ze ta data po doruceni zlikvidujou.

Jop, zlikvidovat údaje o tom, kdy, kam a komu jsem zásilku doručil, je vskutku báječný nápad. Zejm. u balíků v ceně (desítek) tisíc...  #facepalm

[Miroslav Šilhavý]

Jop, zlikvidovat údaje o tom, kdy, kam a komu jsem zásilku doručil, je vskutku báječný nápad. Zejm. u balíků v ceně (desítek) tisíc...  #facepalm

Přepravci stačí, když zachová číslo balíku (podací číslo) a doklad o doručení (podpis osoby). Nemusí k tomu dál evidovat celou adresu, nebo i telefon a e-mail. Pokud vznikne pochybnost o doručení balíku, reklamuje ten, kdo balík posílal. Prokáže se dokladem (podacím lístkem), kde bude jeho jméno a podací číslo. Přepravce už pak jen dohledá podací číslo a prokáže doručení. Celý ten proces se obejde naprosto bez toho, aniž by přepravce musel uchovávat plnou informační historii.

[Miroslav Šilhavý]

na dopise nebo baliku je napsana adresa, a ten dopis nebo balik se povaluje v nejakym skladu kam muze leckdo, pripadne ho postaci klidne pohodej nekde v chodbe baraku, nebo dokonce predaj sousedum

To je právě ta zásada přiměřenosti. Každý má na svém adrese jmenovku, tedy samo o sobě se nejedná o chráněný údaj v kontextu doručování.

Do poštovního skladu mají přístup jen poštovní zaměstnanci a je odpovědností pošty zajistit např. to, aby skladníci neopisovali adresy. Mimochodem, velká část doručovacího procesu je automatizovaná, rukama lidí prochází jen část balíků a jen z minima z nich musí přečíst adresu. Není tím sice vyloučeno to, že to udělat nemohou, ale je značně snížené riziko systematického úniku.

Obdobně nenarušuje soukromí veřejný náhled do katastru nemovitostí, nebo povinnost vyměnit si kontaktní údaje účastníky dopravní nehody. Ve všech uvedených případech (vč. pošty) existuje racionální důvod pro existenci údaje a manipulaci s ním. GDPR chrání před ZBYTEČNÝM uchováváním a manipulací.

[Lol Phirae]

Přepravci stačí, když zachová číslo balíku (podací číslo) a doklad o doručení (podpis osoby).

Jojo, určitě... A kdy a komu jste ty reklamované balíky doručil? No, to já nevím, já tady jenom vidím, že asi paní Klikiháková a pan Podpis Nečitelný. Jo a ten poslední asi slečně Tři Křížky. Tyhle věci já zásadně neuchovávám, pan Šilhavý říkal, že přece postačí podací číslo.

 

[Miroslav Šilhavý]

Jojo, určitě... A kdy a komu jste ty reklamované balíky doručil? No, to já nevím, já tady jenom vidím, že asi paní Klikiháková a pan Podpis Nečitelný. Jo a ten poslední asi slečně Tři Křížky. Tyhle věci já zásadně neuchovávám, pan Šilhavý říkal, že přece postačí podací číslo.

Má dnes nějakou větší vypovídací hodnotu, když k těm klikyhákům a nečitelným podpisům připojíte i adresu? Je v tu chvíli ten podpis méně klikyhákovatý a čitelnější? Ve chvíli reklamace se ta informace o té adrese znovu k tomu podacímu číslu spojí (dodá ji reklamující), takže pro vyhodnocení reklamace máte ve skutečnosti úplně stejné údaje. Jen jen nemusela držet zbytečně pošta.

To samé se týká e-shopů. Nemůsí vůbec uchovávat jména odběratelů na fakturách, leda když si o to zákazník, při dokladu nad 10 000 Kč řekne (kvůli kontrolnímu hlášení). Pro uplatnění reklamace není jméno na dokladu důležité. Když si jdu do Datartu koupit televizor, taky si moje jméno nezapisují. Proč by to tedy měl dělat e-shop?

[Ovrscout]

ehm, nejsem specialista ale podle mne platí, že aby byla faktura fakturou, tak musí mít dle zákona některé povinné údaje. Mezi ně patří označení účastníků. Nějaké anonymní označení by podle mne neprošlo před zákonem ani před kontrolou FU.
Navíc je ze zákona povinnost faktury uchovávat po stanovenou dobu(např. kvůli kontrolám). Čili minimálně po tuto dobu uchovávat musíte.
Podle mne je v GDPR jasně uvedeno, že zákonné požadavky mají přednost, navíc pokud máte jiný dobrý důvod (což už je složitější prokazovat, ale aspoň to musí dle GDPR být být v nějakém dokumentu sepsáno), tak můžete údaje uchovávat i déle.Pokud je máte dostatečně zabezpečeny(přiměřenost,...) - což platí bez ohledu na důvod uchovávání.

Co se týká doručování, nevím jak pro reklamaci doručení. Ale občas je pro zákazníka důležitější balík najít, než získat finanční náhradu. Takže zjistit kam balík skutečně doručili se hodí.  Občas zazmatkuje i odesilatel a pak je doručovatelská služba a její trackovací systémy jediná možnost jak balík najít.
Podle mne by bylo přiměřené ty údaje mazat až po nějaké době, třeba měsíci/půl roce(zahraniční zásilky opravdu někdy chodí s velkým zpožděním). Upozorňuji že teď nemluvím o fakturách/dokladech, ale o nějaké db pro vyhledávání doručených zásilek a trackovacích službách.

Samozřejmě, šedivá je teorie, zelený strom života.
Podle mne, padne ještě hodně pokut a soudů(což je aktuálně bohužel asi hlavní účel tohohle uspěchaného bastlu) než bude GDPR otesáno do nějaké smysluplné podoby pro všechny.

[Miroslav Šilhavý]

ehm, nejsem specialista ale podle mne platí, že aby byla faktura fakturou, tak musí mít dle zákona některé povinné údaje. Mezi ně patří označení účastníků. Nějaké anonymní označení by podle mne neprošlo před zákonem ani před kontrolou FU.

To právě není pravda. Je to právo kupujícího to požadovat, ale ne implicitní povinnost prodávajícího. Např. když jdete nakupovat do IKEA, můžete nakoupit třeba za 80 000 Kč a doklad se jménem Vám vystaví až na požádání.

Navíc je ze zákona povinnost faktury uchovávat po stanovenou dobu(např. kvůli kontrolám). Čili minimálně po tuto dobu uchovávat musíte.
Podle mne je v GDPR jasně uvedeno, že zákonné požadavky mají přednost, navíc pokud máte jiný dobrý důvod (což už je složitější prokazovat, ale aspoň to musí dle GDPR být být v nějakém dokumentu sepsáno), tak můžete údaje uchovávat i déle.Pokud je máte dostatečně zabezpečeny(přiměřenost,...) - což platí bez ohledu na důvod uchovávání.

Právě proto je rozumné, v zájmu prodávajícího, aby si tyto informace neukládal, pokud to zákazník nepožaduje. Zbytečně pak 10 let musí hlídat únik.

Co se týká doručování, nevím jak pro reklamaci doručení. Ale občas je pro zákazníka důležitější balík najít, než získat finanční náhradu. Takže zjistit kam balík skutečně doručili se hodí.  Občas zazmatkuje i odesilatel a pak je doručovatelská služba a její trackovací systémy jediná možnost jak balík najít.

To ano, ale bavíme se o tom, že dopravce zahodí informaci o adrese a trackingu poté, co je zásilka doručena (+ třeba 3 měsíce pro jistotu).