neděle 10. června 2018

Maloměsto kontra GDPR

GDPR vtrhlo i k nám, a proto jsme zahlceni tunami papírů od jednotlivých institucí, s nimiž přicházíme do kontaktu.

Také ve sportovním kroužku, kam chodí moji synové, jsem obdržela příslušný formulář. Trochu mne to překvapilo, pokládala jsem to za nadbytečné, protože samozřejmě klub musí nějaké informace o dětech, které na sportovní aktivity dochází, zpracovávat z podstaty věci. Ale neměla jsem chuť se tím detailně  zabývat. Formulář jsem proto jen zběžně přelétla očima. Záhlaví jsem vyplnila, dále tam bylo poučení, jaké údaje klub zpracovává. Zarazila jsem se u políčka, kde se mělo zaškrtnout, zda mi klub může posílat marketingová sdělení.

Proč to tam je? Dosud mi žádná marketingová sdělení neposílali, nepředpokládám to ani do budoucna a o tato sdělení nestojím. Takže jsem políčko nechala neproškrtnuté, jakože se zasílám marketingových sdělení nesouhlasím, formulář jsem podepsala a odevzdala.

Do klubu chodí dětí hodně, takže i při příštím tréninku různí rodiče a další doprovázející rodinní příslušníci stále šustili GDPR-formulářem. Mezi nimi jsem potkala trenéra.

"Už jsem vám to podepsala minule. Nezaškrtla jsem tam to posílání marketingových sdělení, doufám, že s tím nebude nějaký problém...?", ptala jsem se spíše konverzačně.
"Kdepak, nebude," mávnul rukou trenér. "Já jsem to proškrtnul za vás."
Rozesmála jsem se.
"Tak to jsem jako neslyšela."
"Vždyť já jsem taky nic neřekl!"
"Tak nashledanou," rozloučila jsem se vesele a obrátila se na cestu domů.

Kdepak tady, tady jsme na maloměstě. Na nás si nějaká Unie nepřijde.
Však mi si s tím GDPR poradíme.


16 komentářů:

  1. Mám pocit, že celé GDPR je jen takové chlácholení a ve skutečnosti o nás mají všichni informací až až.

    OdpovědětVymazat
    Odpovědi
    1. Sejre,
      v té podobě, jak se to provádí, to tak určitě je.
      Všichni všechno podepište a jede se dál jako dosud.
      Když vidím ty tuny papíru, které se kvůli tomu potisknou, tak si myslím, že GDPR je hlavně zločin na lesech.

      Vymazat
  2. Jo, tohle je klasika. U sportovního oddílu bych to ještě chápal (nerovná se toleroval - sám to tak pro naše členy fakt nedělám), ale mně se to stalo před pár dny v nejmenovaném bankovním domě. Zcela vážně tam nebyl opt-out - prostě jen checkbox "souhlasím". Prý když to nezaškrtnu, tak to znamená, že nesouhlasím. Pokud tedy někomu neselže propiska a nějak se to ex post nezaškrtne samo, že.

    Informací o nás má každý dost - teď jen vyplave na povrch, kdo co má a jak s tím nakládá. A pár subjektů s tím možná přestane šeredit.
    Ale co - jako "osoba odpovědná" mám aspoň novou hračku. Jako s tím EET ;-).

    OdpovědětVymazat
    Odpovědi
    1. Ještě se vracím k minulé diskusi.

      Gravere,
      to by sis mohl otevřít internetovou poradnu:-)
      Hračku máme všichni, někteří tedy pro zlost.

      Bankovní formulář dobrý, asi je nutné si bankovní dokumenty fotit před tím, než je člověk vrátí bance:-)

      Vymazat
  3. S GDPR jsem strávila i trochu "zábavných" momentů.

    Např. mi klient pošle Smlouvu o zpracování osobních údajů (naše firma vystupuje jako zpracovatel, jedná se většinou o outsourcing mzdové evidence) asi tak na 35 stránek, z které vyrozumím požadavek výhradně šifrované mailové komunikace. Komunikuji s klientem jak šifrování zajistit a zjišťuji, že klient je vlastně překvapen, co a proč to po něm chci. (Doteď nic nešifrujeme a doteď není ten 35 stránkový canc podpesaný - nikoli z nedostatku vůle na naší straně.)

    Tentýž klient mi vyřizuje "vzkaz" od jejich právního oddělení, že v případě, když využíváme cloudové služby Microsoftu (neproztřetelně jsem prozradila, že máme Office 365), je potřeba přinutit Microsoft, aby s naší malou kanceláří uzavřel jakousi právní doložku, kterou jejich právní oddělení připravilo z důvodu, že osobní údaje opouští (prý v tom cloudu) EU. Pokusila jsem se z toho vyvlíknout s tím, že nic EU neopouští (datová centra MS jsou v Dublinu a Amsterodamu) s odkazy na materiály k nastudování. Právní oddělení zatím mlčí, asi to studují :).

    Těch perel je víc, ale tohle bylo, myslím, nejlepší.

    Jinak mi GDPR vzalo asi tak 3 týdny čistého pracovního času (jen mě, ostatní lidi v naší kanceláři nepočítám), čímž jsem v pracovním skluzu a začínám trpět depresemi (jako ostatně každý červen), že všechny ty závěrky a daňová přiznání nemůžeme ve lhůtě stihnout :).

    Ivana

    OdpovědětVymazat
  4. A jen bych k tomu ještě dodala, že GDPR vneslo do naší malé firmy i pár pozitivních momentů. Např. jsem měla možnost opět všem vytmavit, že nechávají válet na kopírce různě vytištěné papíry, a ani moc nevypadat jako semetrika (ne že by mi to nebylo fuk) protože přeci GDPR. A pod výhrůžkou sankcí od Úřadu pro ochranu osobních údajů takové manýry zakázat (odvolání na možné sankce je prostě vždycky účinnější než na nějakou firemní a profesní etiku).

    A taky se přiznám, že mi moc nelíbila všeobecně rozšířená praxe, že se sdělují kdejaké mzdové informace volajícímu bankovnímu úředníkovi, který si chce ověřit, že potvrzení o příjmech si dotyčná osoba nevyrobila sama doma na koleně apod. Tak to se už teď taky neděje, teď už mají úředníci smůlu..

    Ivana

    OdpovědětVymazat
    Odpovědi
    1. Ivano,
      GDPR asi přineslo určité vyšší povědomí o tom, že nějaké osobní údaje existují, kdekdo je sbírá a že bychom o tom mohli přemýšlet.

      Jinak o komunikaci s klienty jsem také přemýšlela. Ale to si mám s matkami samoživitelkami psát šifrované maily?
      Cloudová řešení nepoužívám, toho se bojím, v advokacii byly dost boje, na co vše se vztahuje ochrana informací před státními orgány, nakonec se to tedy nějak vyřešilo, ale zatím to jde mimo mne. Beztak mi připadá, že ochrana se nejlíp zajišťuje pro papíry zamčené ve skříni.

      Vymazat
  5. "Tak to se už teď taky neděje" - ono se to nemělo dít ani doposud. GDPR na tom nic moc nemění.
    Ad předávání mimo EU (jen názor): jde o předávání *subjektům* mimo EU, tedy ne o to, kde se vyzicky nachází úložiště (což je u distribuovaných zdrojů ostatně téměř nemožné určit). Na cloud se dle GDPR nelze ani spoléhat, ani vymlouvat. Jestliže eviduji osobní údaje v excelovém souboru, uloženém na OneDrive, zřejmě nebudu s Microsoftem uzavírat ad hoc smlouvu o zpracování. Na druhou stranu, Microsoft kompatibilitu svých cloudových služeb ve smyslu zabezpečení dat oficiálně garantuje.

    OdpovědětVymazat
    Odpovědi
    1. "Tak to se už teď taky neděje" - ono se to nemělo dít ani doposud. GDPR na tom nic moc nemění. - No mění právě že tu zažitou praxi, a to docela v masovém měřítku.

      Ale možná byste mi uměl odpovědět na pár dotěrných otázek:

      1) Mailová schránka odchozí pošty: žádný z odeslaným mailů nemažu, už roky. Uchovávám je lhostejno zda z oprávněného zájmu či nikoli. Zpracovávám tím neoprávněně osobní údaje? Já bych řekla, že ano.

      2) Vizitky. Považuji je za přežitek, ale spousta mých kolegů nikoli a stále vlastní tzv. vizitkovníky, kde si je abecedně řadí. Potřebují k tomu od nynějška písemný souhlas subjektu údajů - majitele vizitky? Já si myslím, že ano.

      3) Poštovní služby. Občas posíláme osobní údaje doporučenou poštou (třeba výstupní mzdové dokumenty při ukončení pracovního poměru). Neporušujeme předáním osobních údajů poště (takové nezodpovědné instituci) podmínku přiměřeného zabezpečení údajů? Všichni řeší šifrované maily, ale klasická pošta je v pohodě?

      Ad Microsoft - no skoro si myslím, že licenční smlouvu na Office 365 máme přímo s českým Microsoftem. Takže já nic subjektu mimo EU vlastně nepředávám, to až další článek v řetězci. To je dobré vědět :).

      Ivana

      Vymazat
  6. 1) Pokud outbox obsahuje osobní údaje, tak je zpracováváte. Pokud ale jde pouze o vaši osobní agendu, tak na tu se GDPR nevztahuje.
    2) Dle mého názoru ne. Obecně záleží na důvodu. Pokud jde o oprávněný zájem (obchodní kontakty, smluvní vztahy...), souhlas nepotřebujete. Pokud např. o margetingový účel, pak už ano. Vizitky jsou ale specifické tím, že jejich předáním už subjekt konkludentně vyjadřuje průkazný souhlas se zpracováním.
    3) Vy přece ČP žádné osobní údaje nepředáváte - ty jsou v uzavřené obálce. Fakticky je to samozřejmě jinak, ale to už jde za ČP.

    Ad zažitá praxe: bohužel nikoliv v masovém měřítku. Představa, že od 25.5. přestanou všichni s vašimi osobními daty šeredit, pokud nemají váš souhlas, je bohužel poněkud nepřesná.

    OdpovědětVymazat
    Odpovědi
    1. Gravere, outbox obsahuje osobní údaje z podstaty věci, protože jméno, příjmení (eventuálně další kontaktní údaje) plus k tomu mailová adresa se za osobní údaje považují. Každá odpověď, kterou reaguji na přijatý e-mail, ve velké většině tyto údaje obsahuje. Takže téměř každý, kdo nepromazává svůj outbox, porušuje předpisy GDPR.

      Ad zažitá praxe: moje poznámka se týkala praxe volajících úředníků (banka, ale dělaly to často i zdravotní pojišťovny) a ověřování informací. Tahle praxe dostala stopku (jsou si toho vědomi především ti účedníci).

      Ad pošta: to bych stejně tak mohla tvrdit, že svému správci IT, který nám pronajímá místo na svých serverech a spravuje data, nepředávám ke zpracování žádné osobní údaje (uložené na těch serverech), ale jen soubory s čísly v binární soustavě (řetězce nul a jedniček).

      Ivana

      Vymazat
  7. Outbox: tak je tomu tedy ve vašem případě - já to popisoval obecně. Některé údaje se stávají osobními pouze v kombinaci s jinými, ne každá mailová adresa je osobním údajem, osobní agenda není ve scope GDPR... Čím přesně porušujete GDPR, když nepromažete outbox? Tím, že v něm máte nějaké osobní údaje? To snad není porušením GDPR.

    Volající úředníci: pokud volají, aby vám nabízeli služby, tak ano, tohle je jeden z mála segmentů, kterých by se to mohlo dotknout viditelně.

    IT: rozhodně ne - to srovnání je zcela mimo. Pokud IT služby outsourcujete a současně využíváte pro zpracování osobních údajů, pak je IT firma zpracovatelem a měli byste s ní mít smlouvu. Pošta se nestane zpracovatelem jen proto, že strčíte do obálky osobní data svých klientů a někam je pošlete.

    Nicméně, berte to jen jako názor, nikoliv jako pro bono konzultaci. Klientů pro GDPR mám víc, než je mi milé ;-).

    OdpovědětVymazat
  8. Já jsem se teď víckrát setkala s tím, že dodavatel softwaru pošle dlouhou smlouvu na zpracování osobních údajů, s důvodem "jednou za čas potřebujete naši podporu při opravě programu, databáze, a podobně, tak na to musíme mít podepsanou smlouvu".
    No, vznesla jsem u klienta dotaz, kolikrát k takové situaci došlo třeba v posledním roce, a zdálo se mi, že trochu moc otravuji:-) Jednodušší je to bez čtení podepsat.

    OdpovědětVymazat
    Odpovědi
    1. resp. vznesla jsem ten dotaz přímo u firmy, která smlouvu zaslala...

      Vymazat
  9. Pracuji ve velké korporaci a vím čeho jsme schopní. Snadno lze sdružit váš obličej s vaší kartou a IMEI vašeho telefonu odposlechnutý u pokladny a jak budete příště chodit po obchodu, budou vás a vaše blízké otravovat s tím, co si podle nich můžete chtít koupit (podle vašich preferencí odposlechnutých z webových stránek apod.). Takže pánům se v obchodním domě zjeví nějaké to erotické prádelko, dámám drahá kabelka. To bude vysvětlování.

    Ano co jste říkali potají, bude jednou hlásáno ze střech, říká Bible. Ale pokud možno, ne tak brzo...

    Proto GDPR fandím.

    Akorát mohli udělat nějaké lokální vyhlášky(?) upravující implicitní pravidla pro školy, kluby, oddíly (kroniky, weby) apod. Samozřejmě s možností OPT-OUTU. Ale co čekat od úředníků...

    OdpovědětVymazat
    Odpovědi
    1. Karle,
      radši nevědět, čeho všeho jsou korporace (a stát) schopní. Nejlepší na to nemyslet.

      Onehdy jsem přijela do Prahy k soudu a v mobilu mi přistála SMS avizující slevy v obchodě, který je poblíž a od jehož značky chodím pravidelně nakupovat kosmetiku, ale v jiném městě.

      Otázka je, jestli GDPR proti tomuhle něco zmůže. Nemyslím si.

      Vymazat

Poznámka: Komentáře mohou přidávat pouze členové tohoto blogu.