GDPR; zbiranje, varstvo osebnih podatkov, piškotki

19 naročnikov

Naslednje leto maja prične veljat uredba o varstvu osebnih podatkov - GDPR.

Zanima me, če ima kdo že pripravljena obvestila (ali če pozna kdo kak primer) za obiskovalce spletnih strani, od katerih zbirate/zbirajo podatke, kateri piškotki se uporabljajo ter ostale informacije, kar zahteva GDPR? Kot kaže, bo potrebno pripraviti cel kup obvestil in tehničnih rešitev v zvezi s tem...precej bolj obsežno, kot je bilo treba do sedaj, kazni so pa sploh visoke.

Ta GDPR mi smrdi do neba, mislim da bi morali imeti vsi potrošniki sveta pravico do enakopravne zlorabe podaktov. Really crap..

Tud določenih stvari ne razumem recimo konkretno:

1) User se prijavi v email listo . Za dokazovanje soglasja ob prijavi se shrani referrer, ip, timestamp - ob emailu
2) User kasneje zahteva izbris podatkov, vsi podatki se izbrišejo
3) 1 Mesec kasneje user poda prijavo, da so mu bili poslani promocijski emaili brez soglasja..

You're fucked... Vsi podatki o soglasju so se brisali, hrkati z 2)..

Shranjevanje podatka o izbrisu podatkov :)

Nekako bo treba shranit podatke o izbrisu, samo kako boš to storil brez da shraniš tudi osebne podatke?

Razmišljam na glas.. v mailing listo dodaš poleg osnovnih podatkov še nek random unique generiran kljuc, katerega pripišeš v vsak mail nekje spodaj. Nato ko se user odjavi, zbrišeš njegove podatke, na poseben seznam pa zabeležiš ta ključ, da veš da je bil odjavljen. Če se zgodi zgornji scenarij, lahko na podlagi ključa iz maila vidiš kdaj je bil odjavljen.
Ključ, ki ga hraniš po izbrisu ostalih podatkov, se ne šteje več kot osebni podatek, ker ga ni mogoče povezati z osebo.

potem ti nič ne rabi, če ni povezan z dotično osebo :)

Če bi on kasneje rekel, da je prejel mail, bi lahko s pomočjo ključa v njegovem mailu ugotovil kdaj si ga odjavil.

Javornik:
Če bi on kasneje rekel, da je prejel mail, bi lahko s pomočjo ključa v njegovem mailu ugotovil kdaj si ga odjavil.

On ne bi reku, da je prejel mail.
On bi dal prijavo na tržni inšpektorat ali kar na policijo.

Pa si lahko potem ta unique ključ vtakneš nekam.. ker ga ne moreš matchat z ničemer.

Ali pa recimo .. drug primer.

Imaš forum, recimo da za webmasterje.

Uporabnik1 pošlje uporabniku2 PM da mu bo razbil glavo in njegovo mamo analno zlorabil.

Uporabnik2 odgovori, da bo naredil prijavo policiji, v kolikor uporabnik 1 ob dogovorjenem času in kraju ne pride na obredno fafanje z namenom opravičila.

Uporabnik1 pošlje request za izbris podatkov upravitelju foruma.

Upravitelj complija.

Uporabnik2 prijavi zadevo policiji, ker je ostal brez fafanja.

Policija zahteva podatke o uporabniku1.. Podatkov ni.

Kaj potem ?
Kdo fafa in kdo je analno zlorabljen ?

S tem zakonom mislim, da oboje hkrati dobimo vsi, ki imamo karkoli opravka z uporabniki.

Se opravičujem za obscene besede, na 3monitorju se mi predvaja vizualna demonstrativna simulacija tega, kaj dobijo upravitelji podatkov od GDPRja.. mislim, saj izgleda zanimivo.

In kakšne osebne podatke shranjuje takšen forum? Imenov in priimkov ne beleži... vse kar lahko beleži je recimo IP naslov, ampak vprašanje če se ta smatra kot osebni podatek. Po trenutnem zakonu je takole:

1.Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.

2.Posameznik – je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.

Ti kot upravitelj spletnega mesta pa po IP-ju ne moreš izvedeti imena in priimka, brez da bi v to vložil posebno velik napor, tako da...

Imas mail, mail ne samo da je unique ampak je lahko celo precej informativen (domena od delodajalca)

Pred nekaj leti so iz pisarne IP (ko je bila tam šefica še Nataša) meni odgovorili, da moj (konkretni - vzdevek na osebni domeni) e-mail ni moj osebni podatek, istočasno so pa v okviru zakona o piškotkih razlagali, da 1st party cookie v obliki hasha pa osebni podatek je. Mind blown. :)