GDRP: co se mění z pohledu uchování dat rubrika: Návrh

2 Vaclav Jurecek
položil/-a 7.12. 8:55
 
upravil/-a 12.12. 6:29

Všude se dočtete o obecných pravidlech a změnách, které plynou z GDPR, ale nikde jsem zatím nenašel nejakou praktickou metodiku, co to znamená pro vývojáře applikaci. A to ať už webových nebo klidně server klient desktopové aplikace. Zajíma mě, jestli někdo víte co přesně znamená GDPR z pohledu vývojáře na několika otázkach níže.

1) Musím jinak ukládat dat o zákaznících v uložišti, nejak je třeba šifrovat, nebo ukládat někam uplně jinam?

2) Jak mám příjmout a odbavit objednváku, když zákazník nedá souhlas se zpracováním a uložením údajů, ale musím mu umožnit objednávku vytvořit? Osobní údaje potřebuju pro informace o změně stavu objednávky, o informaci o výsledku platby kartou atd., potřebuju mu aspoň poslat email, ale když mi nedá souhlas, email mu nepošlu. Teoreticky nemůžu pak ani obchodníkovi poslat email s údaji zákazníka, protože tím porušuju jeho nesouhlas.

3) Co se stane když při vytvoření objednávky dostanu souhlas se zpracováním, který následně zákazník odvolá. Mažu zákazníka i objednávku?

4) Můžu ukládat IP adresu uživatele? Ta ho dokáže identifikovat, a tím pádem bych se při přístupu na web měl zeptat, ok chceš mi dát svou IP adresu? Když řekne že ne, musím jeho záznam smazat z access logu server :)?

5) Můžu dál používat cookies?

6) Vzhledem k tomu, že na každou "aktivitu" potřebuju souhlas (odeslání emailu, uložení adresy, uložení IP, poslaní cookie, poslaní newsletter, zařazení do soutěže atd), jak prakticky bude vypadat objednávka/registrace? Součástí formu bude 10 checkboxů ?

7) Musím jako zhotovitel eshopu poskytnout obchodníkovi informace o tom, kdy jak a který zákazník dal nebo zrušil souhlas s každým z těch 10 checkboxu z předchozí otázky, aby on jako obchodník mohl prokázat případnému kontrolnímu subjektu, kdy jaký zákazník provedl jakou změnu. Jak to prakticky potřebuju dělat? Pro každý z 10 souhlasů si vést log změn ve smysl 1.1 dal souhlas, 2.2. zrušil 3.3 dal zase souhlas aby obchodník dokázal kontrolnímu úřadu vysvětlit proč zrovna 10.1 mohl poslat zákazníkovi email a 10.2 už ne?

EDIT 12.12.:
8) Pseudoanonymizace dat, tedy: "Zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům." Jako ano vím že můžu, nemusím, je to jen volitelná věc. Nicměně kdybych chtěl, jak tohle můžu pojmou prakticky. Ja si to představuju tak, že údaje označené jako citlive (email, rč, adresa atd) uložím do samostatné tabulky tak, a že spojující klíč obou tabulek nebude pouhé číslo, ale bude muset být počítáný aplikační logikou tak, aby případný utočník který ukrade databazí nedokázal bez znalosti dat v aplikaci spojit data obou relací a získat tak mou kompletní adresu, rodné číslo, email, atd. Navíc osobní data v uložišti můžu zašifrovat a rozšifrovávat je opět až v aplikaci. Chápete to stejně? Bude to někdo dělat?

Update, pridavam jeste celkem dobry informacni zdroj:

Komentáře

  • Rike : Ad 2) Četl jsem slajdy nějakého lektora a ten výslovně uvedl, že uvedení údajů nezbytných pro realizaci objednávky samozřejmě odeslání objednávky podmiňuje. Bohužel ale jinak vše ostatní bylo nanejvýš obecné, takže v tom taky tápu. 7.12. 13:32
odkaz
10 Jakub Macek
odpověděl/-a 7.12. 22:30
 
upravil/-a 7.12. 22:31

Nechápu, proč všichni vidí GDPR jako nějakou absurdní věc. Jde o obyčejnou ochranu osobních údajů, navíc, která se měla provádět i doteď, jen se na to v ČR dost intenzivně kašle.

Jestliže mám vyřídit objednávku, tak pochopitelně potřebuju od zákazníka posbírat ty údaje, které souvisí s vyřízením. Nějaké jméno, nějaká adresa kam to doručit, nějaké údaje, co napíšu na fakturu. Emailová adresa abych mu mohl poslat kopii objednávky a obchodní podmínky, a telefon, pokud je možné, že s ním budu muset telefonovat.

Objednávka jde do účetnictví, stejně jako faktura, takže ty osobní údaje tam budou uložené z právního titulu. Uložené údaje za sebou nebudu trousit celým webem jako odrobinky. Zákazníka budu kontaktovat výhradně za účelem, za kterým jsem ta data posbíral - vyřízení jeho objednávky.

Jestliže jej chci otravovat něčím jiným, třeba nabídkami s akčním letákem, tak se ho musím zeptat "máš zájem o akční leták, řekněme jednou měsíčně? já si kvůli tomu uložím tvoji emailovou adresu a pak ji dám ještě agentuře, která to pro mě rozesílá".

IP adresu si bude ukládat server pro své účely zajištění plynulého provozu. Myslím, že zásah do tohoto, stejně jako třeba nějaké absurdní nápady o routerech, lze považovat za disproporčně nákladné. Navíc je třeba se sám sebe zeptat, jestli ty logy nějak zpracovávám.

Pokud s osobními údaji toho zákazníka budu chtít provádět 10 různých věcí, tak ano, bude tam 10 zatržítek. Ještě lépe by bylo, kdyby tam byl pouze jedno, že souhlasím s uložením údajů pro potřeby registrace na webu a jejich předvyplnění do objednávky a stačí. Když budu chtít soutěž, tak si kliknu na to gigantické tlačítko "Soutěž". Tam může být další zatržítko.

Já osobně doufám, že to omezí "syslení" osobních údajů na dobu "až budeme mít nějaké marketingové pracovníky". Další nové povinnosti souvisí s tím, že je skutečně potřeba sepsat, co se bude sbírat, co se s tím bude dělat a kdo to bude dělat. Ze své praxe vím, že většina firem s osobními údaji zachází dost ledabyle - Excely, co putují jako příloha řetězového emailu a podobně.

Cookies nikdy nebyl problém používat. Viděl jsem weby, kde si pomocí cookie může návštěvník vybrat, jestli ho chce vidět modrý nebo růžový. To nelze kvalifikovat jako osobní údaj. Problém je ve všech těch sledovačích typu Google Analytics. Netvařme se, že nevíme, proč celá ta věc vzniká. Beztak to má alespoň polovina z nás v prohlížeči bloknuté (alespoň já ano). Prostě se to musí deklarovat předem a vyžádat si souhlas. Tesco taky nenasadí detektiva na každého, kdo projde dveřmi.

Akorát ta poslední otázka je trochu chyták. Momentálně mi není zřejmé, jestli v tomto případě převažuje zákonná povinnost zpracovatele osobních údajů evidovat souhlas, nebo právo na výmaz.

Komentáře

  • Jakub Macek : Tak to nakonec nebylo až tak složité najít. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&... "Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data." Tedy toto se netýká vyřizování objednávky, ale případů, kde je nutný souhlas. Každopádně se jedná tím pádem o právní titul uchovávat nezbytné údaje pro prokázání souhlasu. Protože umím anglicky, tak jsem si vygooglil pokyny úřadu pro ochranu osobních údajů v UK, který přímo píše v dokumentu https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-..., že k prokázání postačuje kryptografický hash. Lze tedy na vyžádání prokázat, že osoba s konkrétními údaji souhlasila aniž bych měl ty samotné údaje. Dokážu si představit, že v rámci přiměřené námahy by velkým zpracovatelům prošlo ponechat si třeba první písmeno z emailové adresy kvůli vyhledávání. 7.12. 22:47
  • Vaclav_Vanek : Pokud jde o ten akční leták jednou měsíčně, který bude k věci (např. objednal jsem si z eshopu s elektroniku a přijde mi newsletter s elektronikou) tak se jedná o "oprávněný zájem". A stejně jako k té faktuře k tomu nepotřebuješ explicitní souhlas se zpracováním osobních údajů. Nicméně pokud ten léták už bude personalizovaný, tak už by souhlas byl potřeba. Zdroj: přednáška Petry Stupkové na Barcampu Ostrava 2017 - určitě budou videa, tak si počkejte :) 8.12. 9:09
  • dzejkob : Absurdní to je z toho titulu, že ochran osobních údajů již je dostatečně. A na ošetření kšeftování s osobními údaji přeci nepotřebujete takový moloch regulí. Případ eshopu bude více či méně banální. Problém je, že se to týká téměř všech institucí, kterým se budou komplikovat procesy. Ale hurá, všichni mají zase co na práci. 8.12. 12:39
  • bubla : K té poslední otázce, jestli převažuje zákonná povinnost zpracovatele osobních údajů evidovat souhlas, nebo právo na výmaz, tak podle mých informací (školení GDPR v Gopasu) jednoznačně převažuje zákonná povinost. Ale je tu jiný problém, podle mě asi závažnější, než potřeba přidat pár zatržítek se souhlasy, a to je po skončení zákonné povinnosti uchovávat nějaká data (tedy např. 5 let po poslední objednávce) povinnost data smazat, což většina systémů neumožňuje. A často ani prostě vůbec nejde smazat například kvůli cizím klíčům v databázi, se zákazníkem by jste museli smazat objednávku a faktury a to většinou nechcete z nějakých statistických důvodů. Takže je potřeba udělat poměrně hluboké zásahy do systému, vazbu objednávka->zákazník mít nepovinou, nebo umět anonimizovat zákazníka nebo něco takového. 8.12. 16:08
  • Kit : Zahlédl jsem zde možnost nahradit údaje při anonymizaci jejich hashem. 8.12. 16:26
  • Jakub Macek : @dzejkob Já mám rád, když teorie odpovídá experimentálním datům. A protože z praxe vím, že nějakým chráněním osobních údajů se zabývá tak jedna firma ze sta, tak to dostatečné být nemůže. Dalším příkladem budiž nevyřešení opt-in souhlasu u sledovacích cookies v českém právu. Procesy se naopak zjednoduší těm, kteří chtějí prodávat v rámci celé EU, protože nebudou muset řešit tyto výjimky. 9.12. 14:11
  • Vaclav Jurecek : Dik. Ja mam ten nazor stejny/podobny tvemu, jen jsem zamere polozil nekolik az ad absurdum otazek, aby se ta diskuze tocila kolem neceho konkretniho. Doplnil bych jeste jednu viz 8. nahore. 12.12. 6:23

Pro zobrazení všech 7 odpovědí se prosím přihlaste:

Rychlé přihlášení přes sociální sítě:

Nebo se přihlaste jménem a heslem:

Zadejte prosím svou e-mailovou adresu.
Zadejte své heslo.