Autor Zpráva
mimochodec
Profil
Mám dotaz napůl technický, napůl právní.
Mám web, kam chodí dvě skupiny lidí, říkejme jim Zákazníci a Dodavatelé. Dodavatelé tam můžou konfigurovat a nabízet svou službu, Zákazníci ji pak můžou využívat. Z principu je nutné, aby si Dodavatel ke každé zakázce zapsal údaje o Zákazníkovi (mj. kvůli fakturaci D vůči Z). Takže teoretický ideál by byl, kdyby i všichni Zákazníci byli registrovaní a dali souhlas k použití svých kontaktních údajů všemi Dodavateli.

Realita je ale samozřejmě jiná, takže existují i Zákazníci, kteří souhlas nedají, tudíž potom co obchod, to jisté technické komplikace. Navíc existuje i alternativa, že Dodavatel se pro danou akci kontaktoval se Zákazníkem jinou cestou než přes web a v rámci aplikace ho musí vložit ručně, čímž vznikají nežádoucí duplicity.

Kardinální problém nastává v momentu, kdy se Zákazník, který v několika izolovaných exemplářích (přidaných různými Dodavateli) už v databázi existuje, rozhodne zaregistrovat a zpřístupnit data všem Dodavatelům.


Zajímají mě dvě věci.
- Jednak to, jestli to současné řešení nějak neporušuje nějaké zákony o osobních datech - Dodavatel má k dispozici (a uchovává) všechny kontaktní údaje o Zákazníkovi, který byť jen jednou využil jeho služby a využívá je opakovaně. Tyto údaje nevidí žádný jiný Dodavatel, dokud to Zákazník explicitně neodsouhlasí.
- Druhá věc je dotaz, jak byste řešili stav, kdy se Zákazník chce zaregistrovat a svoje data zpřístupnit všem Dodavatelům.
jakre
Profil
mimochodec:
neporušuje nějaké zákony o osobních datech
Porušuje Zákon o ochraně osobních údajů, a to již v prvním odstavci pátého paragrafu:

Správce je povinen
a) stanovit účel, k němuž mají být osobní údaje zpracovány


Z vašeho textu jsem pochopil ("kteří souhlas nedají"), že osobní údaje zpracováváte a uchováváte bez vědomí návštěvníka, to je nelegální.


Dále zřejmě porušuje druhý odstavec pátého paragrafu:

Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat*


* situace, při kterých lze tento druhý odstavec vypustit, jsou vypsané zde.
mimochodec
Profil
jakre:
Jestli správně chápu ten text v odkazu, všude je tam řeč o osobních údajích, přitom ale ten pojem sám nikde definován není, to mi připadá docela vtipné. V mém případě jde o něco, co se v podstatě shoduje s klasickými fakturačními údaji.

Správce je povinen
a) stanovit účel, k němuž mají být osobní údaje zpracovány


Účel je jednoznačný. Má proběhnout nějaká transakce, která bude evidována a mj. fakturována. Varianta, že by se údaje Zákazníka neuchovaly pro budoucí použití, je kontraproduktivní pro obě strany i v případě nejobyčejnějšího eshopu, notabene v tomto případě. Už v momentu, kdy Dodavatel přidává Zákazníka do databáze, ho můžu zřetelně seznámit s jeho povinností Zákazníka o tom informovat.


Správce může zpracovávat osobní údaje pouze se souhlasem subjektu

Nelze fakt, že ty údaje poskytl sám subjekt, považovat za souhlas?
jenikkozak
Profil
mimochodec:
Jestli správně chápu ten text v odkazu, všude je tam řeč o osobních údajích, přitom ale ten pojem sám nikde definován není, to mi připadá docela vtipné.
Vtipné to až tak moc není. Definice údajů je v hlavě I. Ty čteš druhou. (Z osmi.)

Vaše odpověď

Mohlo by se hodit

Kategorie Obsah webu se věnuje otázkám:
  • autorského práva,
  • o čem a jak psát,
  • sociálních sítí.

Upozorňujeme, že názory ajťáků a právníků se mohou dost lišit. Počítejte s tím, že na této diskusi jsou inteligentní lidé s obecným právním rozhledem, můžou vám poradit dle svého nejlepšího vědomí a svědomí, ale nemůžou poskytnout žádnou garanci, že neskončíte za mřížemi. Na opravdové konzultace si pořiďte opravdového právníka.

Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: