akichan
napoveda vypnout Akichan patička

Akihabara.cz


Autor Téma: GDPR  (Přečteno 15777 krát)

0 uživatelů a 1 Host prohlíží toto téma.

Offline killercats

  • Nováček
  • *
Re:GDPR
« Odpověď #30 kdy: 31. Leden 2018 - 18:58:33 »
killercats:
A) Doděláme. To je easy.
B) Ok, chápu. Budu s tím počítat v OP ke schválení. Takže do OP musím zahrnout i to, že uživatel souhlasí, že se může kdykoliv v časech budoucích změnit vlastník Akihabary. A že vlastně mi uděluje souhlas s prodejem jeho osobních údajů.
C) Snažil jsem se to několikrát přečíst a vždy s odstupem času, abych tomu více porozumněl a bohužel se trochu ztrácím.

Povinná data pro používání Aki jako registrovaný
/předmětná data Aki: email, heslo (v zašifrované podobě + sůl - to podmínky GDRP splňuje)
/data nepředmětná: nick

C I.) Je IMO blbost a trochu nereálný. Pro již tak nízkonákladovou Aki chceme zachovat náklady co nejníže. Technická proveditelnost s mými znalostmi - téměř nulová.
C II.) Neumím si představit, jak bych tohle využil. Možná mám nápad, ale musel bych si ho nějak vyzkoušet (viz odstavec dále).
C III.) Tomuto odstavci jaksi nerozumím. A zdá se mi to poněkud obšírné a složité.

Úvaha: pokud bychom se chtěli kompletně GDPR vyhnout (nebo zmírnit úpravy v rámci Aki), tak co opravdu potřebujeme je nick a heslo. Bez těchto dat se Aki prostě neobjede. Nejde pak být přihlášen (zajisté chápeš). Email vedeme jen pro obnovu hesla. Dokázal bych si představit, že email zašifrujeme na něco typu to*****@seznam.cz (správný název totojemujemail@seznam.cz). Vedle toho v databázi bude sloupec, kde email bude v šifrované podobě (např. MD5 - jen př.). A pokud by uživatel chtěl vyresetovat heslo, tak zadá svůj email, provede se (de)šifrování, které porovná zda-li zadaný e-mail souhlasí s údaji u nás v DB v šifrované podobě a pokud ano, tak pošleme na tento mail heslo k vyresetování. Po zpracování formuláře se mail v nešifrované podobě vymaže z paměti. Stejný postup by šel použít i při přihlašování emailem. Což aspoň podle mých úvah by mělo sedět na bod II. a s výslovným souhlasem se zpracováních OÚ i trochu na bod III. (Zde si nejsem jist, zdali to chápu správně.)

A nakonec v OP dát jednoznačné ustanovení, že ostatní údaje uživatel vyplňuje dobrovolně (nejsou povinná), tudíž mi k tomu nepotřebujeme dělat nějakou další šaškárnu okolo, protože to uživatel vyplňuje na vlastní zodpovědnost. Někde jsem na to našel právní předpis, že to tak i lze. (Opět prosím o potvrzení.)

Čímž se vlastně můžeme i vyhnout datu narození (pro zobrazení 18+) a sepíšou se rozšířená OP pro používání 18+, kde uživatel jen udělí souhlas Aki (pod paragrafem tím a tím) že je ve své zemi zletilý a může si obsah 18+ zobrazit. V současné chvíli tady nic na Aki takového není (možná je, ale není dostatečné). A tím bychom si usnadnili práci s GDPR.

Když tak mě oprav. Moc díky za tvoji spolupráci.

v GDPR primárně nrjde o data uživatelů nebo co snimi provedeš a o tom aby si k tomu měl oprávnění a by si o tom vedl záznam
pokud bych to mohl k něčemu přirovnat tak je to EET na data lidí podle ISO  ;)

B) pochopil jsi správně ale toto povolení nemusí být součástí nynějšího povolení správy osobních dat, a k datům bez povolení se musíš chovat jako že neexistují
c) omlouvám se nevždy je jednoduché to popsat. takže ještě jednou:
GDPR rozděluje data na osobní , citlivé a ostatní:
1. Údaje vedoucí k přímé identifikaci FO
Do této skupiny lze zařadit informace, které jsou jednoznačně ztotožnitelné s konkrétní FO. Příkladem může být: Příjmení, adresa, rodné číslo, číslo OP, číslo pasu, atd.

2. Údaje vedoucí k nepřímé identifikaci FO
Jsou informace, jejichž účelem je identifikace, nicméně nelze FO identifikovat přímo. Příkladem jsou již výše zmíněné síťové identifikátory (IP adresa), ale i telefonní číslo, email, cookies.

3. Další údaje, které jsou o FO shromažďovány
Toto je velmi specifická kategorie. Osobními údaji může být „úplně vše“, existuje-li někde „protikus“, který vede k identifikaci.
To znamená, shromažďuje-li instituce informace typu: Věk, vzdělání, pohlaví, velikost bot, míry, váha, atd., které slouží např. ke statistickém zpracování, o osobní údaje se nejedná. Je-li ale možné dohledat, že muž s velikostí bot 44, je pan Omáčka, pak již instituce spravuje osobní údaje.

dále pak GDPR nerozlišuje povinná či nepovinná osobní data ale pouze osobní data.




Offline killercats

  • Nováček
  • *
Re:GDPR
« Odpověď #31 kdy: 31. Leden 2018 - 19:14:52 »
Řeknu to možná laicky, ale Akihabara se musí vzdát jakékoliv zodpovědnosti o tom, co kdo o sobě zveřejní tady na Aki. A s tím uživatel musí jednoznačně souhlasit. To by právě měli řešit OP, které jdou mimo GDPR. Nás se GDPR spíše týká toho, abychom o uživatelích nesbírali něco o čem nevědí (nevyjádřili k tomu souhlas - opět odkaz na OP) a bez jejich vědomí to nepředávali dál.

Př: typickým prodejem dat na Aki by mohlo být následující: uživatel se podívá na profil svého oblíbeného anime a v reklamách při brouzdání netem, na něj vyskočí reklama kup si to a to v podobě tvého oblíbeného anime. To je prodej a to se naštěstí neděje. A doufám, že dlouho dít nebude. (Aspoň pod současným vedením)

Co se týče neregistrovaného návštěvníka a IP adresy, pokud IP adresu nepropojíš s něčím konkrétním je to údaj o sobě takřka nic neříkající (VPN, lokální operátor s veřejnou IP v Praze, dynamické IP, atp.).

Ale už to celkem začínám chápat. My nejsem firma ani neziskovka, tudíž by se nás GDPR mohlo vyhnout obloukem po širším rozboru, avšak to nemění nic věci na tom, že bychom GDPR měli ignorovat, určitě je zajisté vhodné brát to v potaz a nějak k tomu Aki ohnout. Ale tak, aby ji to nebolelo. Za týden v pátek mám pracovní schůzku, zkusím se optat na pár věcí.

1) odpovědnosti se nelze vzdát lze ale požádat o generální pardon od uživatele aby aki mohla dělat s daty vše co se jí zlíbí
2) ne i neregistrovaný návštěvník s názory je problém, IP adresa je jedna ze sledovaných údajů ( příklad: xxx.xxx.xxx.xxx má názor že zeman je blbec a jiný uživatel napadne aki zjistí si předmětnou adresu a na ní pošle DDoS utok xx však psal z práce a adresa je adresou nemocnice = trestný čin, předmětného pitomce chytne policie a on přizná že IP získal z AKI a v tu chvílí Dle GDPR na AKI míří pokuta za neochránění dat a může být větší než je trest útočníka)


Offline killercats

  • Nováček
  • *
Re:GDPR
« Odpověď #32 kdy: 31. Leden 2018 - 19:49:38 »
jinak pochycene postřehy k GDPR

1) omezení na 1000 uživatelů ne i když mi ukradnou data zmeho vebu o tchýni tak je to problém
2) omezit vše na nick / heslo / šifrovaný email je supr řešení
3) pokud se aki nějak vyhne zodpovědnosti GDPR s nakládáním s daty tak jedině : Ochraně dle GDPR nepodléhají anonymizované údaje, informace o zemřelých osobách, ani údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter. avšak pokud bude aki prodána / předána / převedena tak jsou to již data obchodní a ty GDPR podléhají i zpětně
4) můžeš si do souhlasu dát že se uživatel AKI vzdává Exportu svých osobních dat
5) při výmazu nemusíž mazat jeho příspěvky nebo názory pouze kompletně odstranit jeho nick / heslo / šifrovaný email potažmo nahradit xxxx / yyyyy / z***@***.**

na tvůj předchozí dotaz:
ÏII.) u osobních dat musíš na vyžádání vlastníka předmětných dat poskytnout dotyčnému přehled o nakládání s jeho daty
   a) zatím to vypadá že se to týká pouze citlivých dat (citlivá data = Jsou zvláštní kategorií osobních údajů zahrnující informace o rasovém původu, politických názorech, příslušnosti k náboženství či vyznání, členství v odborech, zdravotním stavu, sexuální orientaci, trestních deliktech, genetických a biometrických prvcích nebo veškeré osobní údaje dětí.)
   b) podle některých právních rozkladů by si mohl vlastníka požádat aby toto nechtěl a teoreticky byto tak mělo platit (musí rozhodnout první soud)
 

Offline Benda_11

  • Admin
  • Veterán
  • *******
  • Live a life in RL
Re:GDPR
« Odpověď #33 kdy: 03. Únor 2018 - 07:56:30 »
killercats: Během měsíce udělám návrh OP, kam vše zakomponuju. Rád bych tě požádala, kdyby sis pak třeba našel čas a zkusil si je letmo pročíst. Pokusím se je udělat co nejjednoduší na pochopení a délku.

Offline Haikner

  • Moderátor
  • Otaku
  • ******
Re:GDPR
« Odpověď #34 kdy: 03. Únor 2018 - 13:15:18 »
Je to o zmíněném CETA. Není to žádný zákon ale obchodní podmínka.  :)
To není příliš podstatné, jelikož zákony jsou jen jedny z mnoha pramenů práva (tedy zjednodušeně toho, na základě čeho můžou soudy rozhodovat). Možná je toho dokonce i víc, ale v základu se prameny práva dělí na:
Citace
  • Precedenty
  • Právní obyčeje
  • Normativní smlouvy
  • Normativní právní akty (právní předpisy)
    • Primární
      • Zákony
      • Kodexy (zákoníky)
      • Ústavní zákony
      • Zákonná opatření Senátu
    • Sekundární
      • Nařízení vlády
      • Vyhlášky ministerstev
      • Vyhlášky a nařízení orgánů územní samosprávy
  • Rozhodnutí Ústavního soudu
Přičemž mezinárodní smlouvy spadají pod normativní smlouvy a podle článku 10 Ústavy ČR mají přednost před vnitrostátním (naším) právem.
Citace
Článek 10
Vyhlášené mezinárodní smlouvy, k jejichž ratifikaci dal Parlament souhlas a jimiž je Česká republika vázána, jsou součástí právního řádu; stanoví-li mezinárodní smlouva něco jiného než zákon, použije se mezinárodní smlouva.
Každopádně o CETĚ už se napsalo víc, než dost, takže bych byl rád (a určitě nebudu sám), když by se tu už dál nerozebírala.
« Poslední změna: 03. Únor 2018 - 13:48:48 od Haikner »

Offline Trip

  • Sledovač
  • **
Re:GDPR
« Odpověď #35 kdy: 03. Únor 2018 - 14:04:18 »
Citace: Yosuzu
Je to o zmíněném CETA. Není to žádný zákon ale obchodní podmínka.  :)

...

Mňa by zaujímalo, kam zmizol celý Yosuzeho príspevok, na ktorý odkazuje aj Haikner..

Offline Yosuzu

  • Nováček
  • *
Re:GDPR
« Odpověď #36 kdy: 03. Únor 2018 - 19:12:52 »
OK, nebudu to dál rozebírat, jen jsem četl mnoho článků a dozvěděl se, že CETA není zákon ale obchodní smlouva.
Shrnutě: V této smlouvě se to týkalo hlavně firem (což bylo psáno s čisté teorie jelikož například amerika nic neruší a jejich stránky nic nemažou a fungují dál.
Takže jsem pouze oznámit, že zmíněná CETA by se nás něměla týkat a četl jsem to na mnoha odkazech.
Ale nejsem člověk který by rozuměl všem těm právním a zákoným prohlášením a chápu vás, jelikož nesete veškerou zodpovědnost.
Takže jak píše Haikner, to se ukáže až časem.
« Poslední změna: 03. Únor 2018 - 19:16:30 od Yosuzu »

Offline Benda_11

  • Admin
  • Veterán
  • *******
  • Live a life in RL
Re:GDPR
« Odpověď #37 kdy: 04. Únor 2018 - 09:44:45 »
killercats: ještě jedna věc k tomu GDPR. Pokud nemám souhlas, tak můžu údaje uchovávat u nás v DB, ale nesmím je zpracovávat a uživatelům cokoliv nabízet. Tudíž jedna z teoríí je taková, že kdyby stav Aki zůstal takový jaký je. Tak to vlastně není nic proti ničemu, nemám-li pravdu?

Offline killercats

  • Nováček
  • *
Re:GDPR
« Odpověď #38 kdy: 04. Únor 2018 - 14:50:09 »
killercats: ještě jedna věc k tomu GDPR. Pokud nemám souhlas, tak můžu údaje uchovávat u nás v DB, ale nesmím je zpracovávat a uživatelům cokoliv nabízet. Tudíž jedna z teoríí je taková, že kdyby stav Aki zůstal takový jaký je. Tak to vlastně není nic proti ničemu, nemám-li pravdu?
v podstatě ano
pokud odstraníš to nejhorší =
pohlaví a IP v foru, všechny informace k identifikaci uživatele aki zredukuješ na NIK tak vše ostatní jsou osobní názory a u těch lidí co nemáš povolení tak i nik ****

podle vyjádření z uoou není  provozovatel zodpovědný za osobní data poskytnutá v diskuzi pouze za osobní data subjektu v diskuzi nebo foru .... česky: co si kdo napiše je jeho věc a řídí se jinými právními předpisy a ty si zodpovědný pouze za data co ti ostatní svěří v identifikaci uživatele. pokud data v diskuzi nejsou předmětem obchodu

 

Offline Haikner

  • Moderátor
  • Otaku
  • ******
Re:GDPR
« Odpověď #39 kdy: 04. Únor 2018 - 23:06:08 »
A co se týče ochrany autorských práv, tak nějaká evropská nařízení s tím také nemají co do činění, nejsou vymahatelná. Nejprve je nutno implementovat je do vnitřní legislativy a ani pak nenaběhne žádné evropské komando.
Ok, ještě doplním k tomu, co jsem psal předtím. Unijní právo se dělí následujícím způsobem:
Citace
  • Nařízení – všeobecně závazné; nepřevádí se do národních řádů
  • Směrnice – závazné, jen co do výsledku, který má být dosažen; převádějí se do národních řádů; při nesplnění hrozí státu zahájení řízení o porušení smlouvy ze strany EU
  • Rozhodnutí - je závazné pro toho, komu je určeno (např. konkrétní zemi EU)
  • Doporučení a stanoviska – nezávazné; patří sem i rozsudky Evropského soudního dvora
Takže o směrnicích opravdu platí, že aby byly účinné, musí být přijaty do vnitrostátního práva, ale nařízení se do vnitrostátního práva přijímat nejen nemusí, ale dokonce ani nesmějí, pokud není v daném nařízení vysloveně uvedeno, že se to má udělat.
« Poslední změna: 04. Únor 2018 - 23:18:38 od Haikner »

Offline Benda_11

  • Admin
  • Veterán
  • *******
  • Live a life in RL
Re:GDPR
« Odpověď #40 kdy: 05. Únor 2018 - 17:07:45 »
Promazal jsem spam, který s tímhle topicem nemá co dělat. Koukám že si někteří pletou dojmy a pojmy, CETU s GDPR a naopak. Tohle téma je pouze pro GDPR, pokud by to jiní nepochopili. Všechny ostatní diskuze, otázky nesouvisející s tímto topicem, jsem odstranil a budoucí i odstraním. Pak se v tom má prase vyznat. A pokud si někdo myslím, že je to cenzura, jeho starost. Jen dělám pořádek na písku.

Offline Benda_11

  • Admin
  • Veterán
  • *******
  • Live a life in RL
Re:GDPR
« Odpověď #41 kdy: 05. Únor 2018 - 17:09:57 »
Mluvil jsem s killercats a nějak jsme se i shodli na tom, jak postoupit dál v GDPR. O dalším vývoji Vás budeme informovat. Nyní to nachvíli pustíme k ledu. Pokud je to opravdu tak jak si myslím, musí se udělat menší/větší zásahy do registrace a sběru informací. Vše je zatím ve fázi přípravách.

Offline Benda_11

  • Admin
  • Veterán
  • *******
  • Live a life in RL
Re:GDPR
« Odpověď #42 kdy: 07. Únor 2018 - 18:01:31 »
Takže změny s GDPR na Aki budou přibližně následující:

1) Upgrade smf fóra na novou verzi, kde tajně doufáme, že nějak vyjde vstříc GDPR. Pokud ne, budeme nuceni udělat vlastní zásahy. Což se nám moc nelíbí, abychom zachovali strukturu budoucích upgradů. Necháme se překvapit.

2a) Abychom minimalizovali dopady GDPR na Aki v přijímání bezpečnostních záležitostí, auditů třetích stran (za peníze) atd., z Aki jsme nuceni odstranit následující údaje, které si reg. návštěvník Aki může vyplnit ve svém profilu. Konkrétně se jedná: jméno, příjmení, věk, pohlaví, město, kraj, IP adresa. Nesmí být na to specifikovaná kolonka, však když si to uživatel vyplní do poznámky osobě nebo napíše osobě do fóra, je to v pohodě :D GDPR se dá oblafnout.

2b) Proběhne anonymizace e-mailových adres. V databázi se bude nacházet pouze jejich hash klíč a pak zanonymizovaná část adresy b****@centrum.cz. S tím souvisí jedna velká nepříjemnost z Aki se odstraní funkce o nově přidaných titulcích zasílaných e-mailem. Místo toho vznikne něco jako souhrn nově přidaných titulků, která vás zajímají.

3) Formulář pro zapomnění: odstranění veškerých dat z Akihabary o reg. uživateli.

Pokud se přijmou tyto opatření, není potřeba sepisovat OP pro používání Akihabary a přístupu pro 18+. K 18+ bohatě stačí současná varianta, která tu je. Což znamená, že opět můžeme od nynějška otevřít registrace. Až dáme věci do pohybu (čekáme na vydání nového fóra) veškeré body jeden po druhém zrealizujeme. Pevně věříme, že by jsme to mohli někdy v březnu stihnout.
« Poslední změna: 07. Únor 2018 - 18:03:09 od Benda_11 »

Offline VelkyBubak

  • vše je možné, jen něco je méně pravděpodobné
  • Admin
  • Veterán
  • *******
Re:GDPR
« Odpověď #43 kdy: 09. Únor 2018 - 17:48:00 »
Takže nám z GDPR zbydou přezdívky a maily. Není to tak že na obojí je třeba souhlas?

Offline killercats

  • Nováček
  • *
Re:GDPR
« Odpověď #44 kdy: 09. Únor 2018 - 18:52:53 »
Takže nám z GDPR zbydou přezdívky a maily. Není to tak že na obojí je třeba souhlas?
ano a ne
nik nelze považovat za ztotožňující identifikátor (nik: petrhujerzprahy / je čistě problém uživatele), není tedy předmětem ochrany GDPR
email je sice ztotožňujícím prvkem, avšak ne citlivý požívající zvláštní ochrany, jeho anonymizací v DB na tvar r***@s****m.cz ho lze degradovat na nechráněný údaj