Implementace GDPR pro e-shop
- tom
- Člen | 171
Ahojte,
chtěl bych poprosit o radu, případně nasměrování kde hledat dál.
Pro několik firem jsem v průběhu času udělal eshopy postavené na Nette a nyní s blížící se povinností GDPR, bych jim chtěl toto vyřešit. Zajímalo by mě k tomu pár věcí:
- mám do toho sám aktivně vstupovat a nabízet těm firmám nějaké řešení, anebo to řešení by měli požadovat oni a já plnit to co budou chtít?
- existuje někde detailnější seznam požadavků, které e-shop musí splňovat a jak?
- jsem já jako dodavatel řešení nějak zodpovědný za jejich případné chyby?
- je lepší si na to někoho kdo řekne jak to má fungovat najmout?
Určitě se ještě nějaké dotazy najdou, ale zatím alespoň toto.
Jak to řešíte vy?
Děkuji
- MajklNajt
- Člen | 498
Ahoj,
momentálne tiež riešim súlad s GDPR, čo sa tvojich otázok týka, ja postupujem nasledovne:
- klientom, s ktorými aktívne pracujem, som napísal taký všeobecný list, kde som im uviedol najhlavnejšie povinnosti a ponúkol riešenie technickej stránky (po právnej stránke si to musí každý klient vyriešiť sám); ostatných som len upozoronil, že si musia weby zosúladiť s GDPR – niektorí sa ozvali, niektorí na to kašlú…
- konkrétny zoznam požiadaviek asi neexistuje, ale v zásade ich je len pár
- mal by si spracúvať čo najmenej osobných údajov a čo najkratší čas (nevyhnutný pre dosiahnutie účelu), čiže nepýtať si napr. dátum narodenia, keď to nie je potrebné pre dodanie tovaru (jedine, že by to bolo vhodné až pre 18+ :)
- musíš návštevníka informovať (nejakou privacy policy), kto web prevádzkuje, aké všetky údaje o návštevníkoch zbieraš, na základe akého právneho titulu, ako dlho si ich budeš pamätať, komu ich postkytuješ + právo byť zabudnutý atď.
- každý údaj, ktorý o návšteníkovi zbieraš, môžeš zbierať len na základe nejakého právneho titilu (objednávka – právny titul je plnenie zmluvy, newsletter – právny titul bude súhlas, cookies – právny titul súhlas…) – súhlas musí byť vyjadrený samostatným vopred neoznačeným checkboxom, a musí byť preukázateľný, čiže by si zakliknutie checkboxu mal uložiť spolu s emailom (ak ide napr. o prihlásenie na odber noviniek)
- zodpovednosť dodávateľa je dosť otázna, primárne zodpovedá za súlad s GDPR klient, ale dodávateľ sa teoreticky môže považovať aj za sprostredkovateľa osobných údajov, ktorý tiež musí zabezpečiť súlad – toto by aj mňa dosť zaujímalo, tak ak má niekto nejaké bližšie info, sem s nimi…
- odborníka by si mal najať hlavne klient, pretože klient by mal tebe ako dodávateľovi riešenia poskytnúť všetky dokumenty (napr. privacy policy), podklady a informácie, ktoré máš na eshope zobraziť
Takisto by mala byť zabezpečená aj fyzická bezpečnosť údajov, čo je už ale viacmenej úloha dodávateľa webhostingu…
- tom
- Člen | 171
A po technické stránce je nutné ukládat ty osobní údaje nějak hashované?
MajklNajt napsal(a):
Ahoj,
momentálne tiež riešim súlad s GDPR, čo sa tvojich otázok týka, ja postupujem nasledovne:
- klientom, s ktorými aktívne pracujem, som napísal taký všeobecný list, kde som im uviedol najhlavnejšie povinnosti a ponúkol riešenie technickej stránky (po právnej stránke si to musí každý klient vyriešiť sám); ostatných som len upozoronil, že si musia weby zosúladiť s GDPR – niektorí sa ozvali, niektorí na to kašlú…
- konkrétny zoznam požiadaviek asi neexistuje, ale v zásade ich je len pár
- mal by si spracúvať čo najmenej osobných údajov a čo najkratší čas (nevyhnutný pre dosiahnutie účelu), čiže nepýtať si napr. dátum narodenia, keď to nie je potrebné pre dodanie tovaru (jedine, že by to bolo vhodné až pre 18+ :)
- musíš návštevníka informovať (nejakou privacy policy), kto web prevádzkuje, aké všetky údaje o návštevníkoch zbieraš, na základe akého právneho titulu, ako dlho si ich budeš pamätať, komu ich postkytuješ + právo byť zabudnutý atď.
- každý údaj, ktorý o návšteníkovi zbieraš, môžeš zbierať len na základe nejakého právneho titilu (objednávka – právny titul je plnenie zmluvy, newsletter – právny titul bude súhlas, cookies – právny titul súhlas…) – súhlas musí byť vyjadrený samostatným vopred neoznačeným checkboxom, a musí byť preukázateľný, čiže by si zakliknutie checkboxu mal uložiť spolu s emailom (ak ide napr. o prihlásenie na odber noviniek)
- zodpovednosť dodávateľa je dosť otázna, primárne zodpovedá za súlad s GDPR klient, ale dodávateľ sa teoreticky môže považovať aj za sprostredkovateľa osobných údajov, ktorý tiež musí zabezpečiť súlad – toto by aj mňa dosť zaujímalo, tak ak má niekto nejaké bližšie info, sem s nimi…
- odborníka by si mal najať hlavne klient, pretože klient by mal tebe ako dodávateľovi riešenia poskytnúť všetky dokumenty (napr. privacy policy), podklady a informácie, ktoré máš na eshope zobraziť
Takisto by mala byť zabezpečená aj fyzická bezpečnosť údajov, čo je už ale viacmenej úloha dodávateľa webhostingu…
- neznamy_uzivatel
- Člen | 115
Řeším to teď taky a prakticky je nutné zabezpečit i apache logy.
(např. https://www.ctrl.blog/…-server-logs (doporučuju ale
vyhledat i další podobné články))
Něco jako nešifrovaný log je zdá se nemyslitelné, jelikož nově je
i např. IP adresa osobní údaj a tak se s ní musí zacházet.
Tedy je na to aplikovatelná výjmka, kdy můžeš v rámci zabezpečení
serveru a zabránění podvodům logovat IP i bez souhlasu, nicméně takový
log musí být asi dostatečně zabezpečený a logovat třeba ip někam znovu
(do db třeba po online paltbě, textového logu něčeho, atd) už může být
taky problém, protože těžko obhájíš, že ukládáš osobní údaje
„duplicitně“ a někde třeba dokonce nešifrované…
V konečných důsledcích mi to připadá jako pěkný průjem, který nás
navíc nutí vymazat veškerou historii prodeje (tedy „osobní údaje“
z ní za veškerou historii shopu, jelikož dříve udělené souhlasy (pokud
nebyly získány v souladu s novou metodikou) jsou neplatné a nesmíme tyto
osobní údaje „spravovat“).
Takže máte třeba 3 roky starý nákup se zvýhodněnou zárukou na jméno a
mail (z marketingové akce, tedy mimo výjmku pro účely dodržení smlouvy) a
nemůžu ji dodržet, jelikož musím tuto informaci odstranit, jinak dvacet
bububu miliónů eur pokuty.
Je to ultimátní eurototalitní byrokratický průjem.
Pak je rozdíl, jestli jsi správce, nebo zpracovatel. V našem případě (vlastní servery) jsme vlastně obojí a nidko neví, co máme dělat a jak. Dělo. Hlavně, že známe výši pokut. Každopádně hostingy (zpracovatelé) by asi měly hromadně aktualizovat smlouvy a třeba výchozí nákupní proces presty není z grpr kompatibilní (sdružený souhlas podmínky+marketing), atd… No tak jsem se chtěl jen vykecat a vynadávat :D
Mějte se soukromě a bezpečně :D
- manwe
- Člen | 44
@neznamy_uzivatel
Informace o objednavce musis uchovavat 10 let, to ti nakazuje obchodni
zakon (tusim). To se nemeni.
Viz
Právo na výmaz není absolutním právem. Může se uplatnit pouze za předpokladu, že nejsou osobní údaje již potřebné pro účel, pro který byly shromažďovány nebo zpracovávány. Dále k výmazu nemůže dojít, pokud existuje jiná právní povinnost nebo zákon, který výmazu brání, např. zákon o archivaci obsahuje povinnost organizací archivovat dokumenty obsahující osobní údaje po určitou, zákonem stanovenou dobu.
nebo
Při objednávce zboží je nutné zákazníka informovat o tom, že zpracováváte jeho osobní údaje. Podrobně jsou náležitosti dané informace stanoveny v čl. 12 GDPR či ust. § 11 zákona o ochraně osobních údajů – ve zkratce jde o informování o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, po jakou dobu budou osobní údaje uchovávány (ve Vašem případě doporučujeme nastavit max. 10 let – je možné, že se v budoucnu objeví spory, reklamace, apod., proto je ve Vašem oprávněném zájmu dané osobní údaje uchovávat s tím, že po uplynutí této doby je nutné osobní údaje zlikvidovat), dále musí být zákazník informován o jeho právech: např. o právu přístupu k osobním údajům, právu na opravu osobních údajů, právu na vysvětlení ohledně zpracování osobních údajů či např. právu požadovat výmaz osobních údajů (podrobně lze dohledat v zákoně na ochranu osobních údajů či nově od května v GDPR).
Editoval raddy668 (19. 4. 2018 9:40)
- neznamy_uzivatel
- Člen | 115
Stejně odpovědi na to prakticky neexistujou. Ani ti slavní ministerští joudové v tom nemají jasno…
Na jednom blogů (v jednom ze článků od shoptetu – https://help.shoptet.cz/topic/gdpr/) jsem právě četl, že
ty dříve udělené souhlasy pravděpodobně neplatí.
Takže ano, údaje o objednávce (číslo, VS, datum, notebook SN:123456, xy
Kč) si můžeš (musíš) nechat, osobní údaje ale ne?
Nebo jak bych to pak obhájil, že bez samostatného souhlasu ukládám mail,
telefon, jméno, když reálně dle zákonů nic z toho není potřeba,
k reklamaci stačí účtenka jako z kamenného obchodu..
Nebo třeba mám „newsletter“ na předobjendávky – zboží ještě neexistuje, ale už je info. Člověk přišel, zaškrtnul souhlas, zadal mail, že chce dostat info jakmile se spustí prodej. To taky musím všechno vymazat, protože ten souhlas prostě už nebude platný, jelikož nebyl oddělený, ale spojený s obch. podlímkama…
- MajklNajt
- Člen | 498
@neznamy_uzivatel
Takže ano, údaje o objednávce (číslo, VS, datum, notebook SN:123456, xy Kč) si můžeš (musíš) nechat, osobní údaje ale ne?
Nebo jak bych to pak obhájil, že bez samostatného souhlasu ukládám mail, telefon, jméno, když reálně dle zákonů nic z toho není potřeba, k reklamaci stačí účtenka jako z kamenného obchodu..Nebo třeba mám „newsletter“ na předobjendávky – zboží ještě neexistuje, ale už je info. Člověk přišel, zaškrtnul souhlas, zadal mail, že chce dostat info jakmile se spustí prodej. To taky musím všechno vymazat, protože ten souhlas prostě už nebude platný, jelikož nebyl oddělený, ale spojený s obch. podlímkama…
treba si uvedomiť, že súhlas je iba jeden z viacerých možných právnych základov spracúvania osobných údajov, napr. pri tej predĺženej záruke musíš údaje spracúvať kvôli tomu, aby si mohol plniť svoj zmluvný záväzok, čiže tu je právny základ spracúvania „plnenie zmluvy“ – plnením zmluvy nie je len dodanie, ale aj zodpovednosť za vady (záruky) – nepotrebuješ teda žiadny súhlas dotknutej osoby. Čo sa týka rozsahu údajov, email, telefón, adresa a meno sú len základné kontaktné údaje pre komunikáciu so zákazníkom…
Pri tých predobjednávach by sa to tiež dalo aplikovať, nakoľko si myslím, že ide o činnosti smerujúce k uzatvoreniu zmluvy, čiže právny základ máš ten istý:
GDPR čl. 6 ods. 1 písm. b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy;
Vo všektých prípadoch však musíš ľudí informovať o tom, že ich údaje spracúvaš, na akom právnom základe, ako dlho atď… Čiže starým zákazníkom by som zaslal mail, že nakoľko trvá záruka, spracúvaš ich osobné údaje a budeš ich spracúvať do uplynutia lehoty na uplatnenie reklamácie…
Něco jako nešifrovaný log je zdá se nemyslitelné, jelikož nově je i např. IP adresa osobní údaj a tak se s ní musí zacházet.
Toto ma zaujíma, nakoľko tiež mám svoje VPS – ty máš ma serveri nejaké verejné logy? Lebo ak sa k ním vieš dostať iba po autentifikácií, prečo by si ich mal šifrovať?
- neznamy_uzivatel
- Člen | 115
@MajklNajt
ty máš ma serveri nejaké verejné logy?
Ale tady vůbec nejde o to, jestli mám veřejné logy. Jde jen o to, jestli
zpracováváš, nebo nezpracováváš osobní údaje.
Zpracovávat je a „zveřejňovat“ by byl problém i baz gdpr.
Ad plnění smlouvy, evidence dph, atd. – Ano, pokud zpracováváš tyto
údaje pouze v nejnutnějším rozsahu v rámci tohoto účelu, tak souhlas
žádat nemusíš. Ale dost pochybuju, že si nějaký eshop neukládá navíc
třeba email, jméno u nákupů fyzických osob, atd. toto už jsou osobní
údaje a nikde jsem nenašel, že by se měly uchovávat v rámci plnění
smlouvy. Klasický eshop tyto údaje nepotřebuje stejně jako jakákoli jiná
prodejna.
Takže jsou to „jen kontaktní údaje“? Ano, to jsou a jsou zákonem
označené za osobní údaje, které podléhají ochraně.
Otázka je, jak se k tomu budou stavět kontroly. Texty, které o tom
zveřejnil uoou jsou záměrně takové neurčité – počítám, že prostě
sami neví co s tím.
Prostě je zvrácenost, že „anonymní“ nákup na email v vydáním na
heslo v zásilkovně podléhá stejným
kontrolám/ochranám/evidencím/byrokracii jako složka tajného agenta
v prezidentově ochrance..
- MajklNajt
- Člen | 498
@neznamy_uzivatel
myslím, že sme sa trošku nepochopili:
- pýtal som sa, prečo by mali byť apache logy šifrované? ak obsahujú IP adresu, treba logy zabezpečiť pred neoprávneným prístupom, pred zneužitím atď. – preto som sa pýtal, či máš logy verejné, pretože ak sú neverejné, sú zabezpečené nejakým menom a heslom ⇒ načo ich ešte aj šifrovať?
- podľa mňa e-mail a telefón je rovnako potrebný pre plnenie zmluvy ako meno či adresa dodania – e-mail potrebuješ preto, aby si zákazníkovi mohol oznámiť, že si akceptoval objednávku alebo že si vyexpedoval tovar, telefón zas potrebuje kuriérska služba pri doručení (ok, vyberie si zásielkovňu, vtedy by si telefón nemusel pýtať…), v každom prípade, či na tieto údaje potrebuješ súhlas alebo nie, vždy ide o spracúvanie osobných údajov a musíš plniť GDPR (aj keby si ten email a telefón vôbec nepýtal)
Editoval MajklNajt (23. 4. 2018 12:55)
- neznamy_uzivatel
- Člen | 115
@pisa98 Všechny bez výjmky. Osobní údaj je nejen objednávka, ale např i komentář u zboží, hodnocení „spokojenosti“, všechny ip adresy, cookies, atd. Mrkni na video co jsem tady posílal.
@MajklNajt
- Četl jsi článek, co jsem odkazoval ohledně těch logů? Ona je to zatím teorie a odemě spíš otázka :)
Nicméně ten zákon neřeší způsob uložení dat. Jde výhradně o to,
zda spravuješ, nebo nespravuješ osobní údaje v rozsahu na který ti jiný
zákon nedává výslovně právo/povinnost. Je úplně jedno, jestli je osobní
údaj vystavený na webu, uložený v logu, nebo napsaný na papírku
v zamčeném šuplíku. Všechny povinnosti musíš splnit. Ochrana nad rámec
pouhého „hesla“ je pravděpodobně jen doporučení, ne povinnost. Problém
je v tom, že takový údaj tedy zpracováváš na základě nějakého
„oprávněného zájmu“ (pokud se tedy jedná konkrátně o IP v logu.) a
nemáš k tomu aktivní souhlas. Podle toho je třeba se k tomu chovat,
chránit, zamezit spojení s jinými daty např. za účelem mapování
chování jedinečného návštěvníka, včas smazat, … ?
Např. částečnou anonymizací už to osobní údaj nemusí být a můžeš ho
dokonce i předat jinam (google už třeba v analytics umí IP anonymizovat,
když se to nenastaví je google tvým zpracovatelem osobních údajů, protože
mu ty data předáváš… asi…)
Co se týče toho rozsahu (a vlastně i toho ip logu) je to tak, že pokud osobní údaje zpracováváš na základě řekněme toho oprávněného zájmu, nebo zákonné povinnosti (10 let daně, atd..) musíš ty prokázat, že to děláš správně a zodpovědně. Musíš vést záznamy, mít přehled kdo kdy má přístup k jakým údajům, atd.
Ale až tak hrozné to celkově asi nebude. Slušný nespamující eshop je asi schopen fungovat bez samostatných souhlasů se zpracováním (stačí splnit informační povinnost a dokážu si představit, že by šlo obhájit nad rámec jména a adresy i to telefonní číslo a email, pokud to bude opravdu výhradně k účelu vyřízení objednávky). Trochu sporné to bude s newslettery. Tam si myslím, že bude nutný samostatný souhlas, jelikož spamování mailu na základě předchozí objednávky opravdu nelze považovat za „oprávněný zájem“. Navíc tam často dochází k personalizaci na základě třeba dříve nakoupeného zboží, nebo nejčastěji procházených kategorií a tady už se asi není o čem bavit – bez platného souhlasu to legálně nelze.
- MajklNajt
- Člen | 498
@neznamy_uzivatel
toto, čo píšeš, je mne jasné – zhodujeme sa v tom, že akonáhle použiješ na webe čo i len cookie, spracúvaš osobné údaje a si povinný ich spracúvať v súlade s GDPR (aj keď ide len o funkčnú cookie, ku ktorej nepotrebuješ ani súhlas, musíš o tom minimálne informovať)…
zarazila ma jedine tá poznámka o šifrovaní logov – ako píšeš, GDPR nerieši žiadne konkrétne technické opatrenia pre konkrétny use-case, hovorí len „Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku“ – IP adresa sama o sebe je osobný údaj s nízkou závažnosťou pre práva a slobody osôb, čiže „heslo“ mi príde ako primerané technické opatrenie… aj tak sa však musíme o spracovávaní IP adresy zmieniť v privacy policy