GDPR v ČR od 25. 5. 2018. Jak se připravujete?

27. bře 2018 14:02 #134854

Odpověď od canal

Uživatel

Zdravim,
ja jen ze ted resim GDPR na eshopech pod Opencart a je tam ted jeden modul , ktery to cele paradne automatizuje.
Tak mozna jen pro inspiraci, taky cekam az se neco objevi pro Joomlu, mam tady par desitek webu, tak rad zaplatim za kvalitni modul

Diky.

Poděkovali: Cony

27. bře 2018 18:23 #134858

Odpověď od H13

Admin

A nelze to řešit přes email?

Zákazník: Chci být zapomenut
Prodejce: OK, podle emailu najde ID zákazníka a smaže z databáze vše s ID zákazíka, pošle email zákazníkovi: vše smazáno.

Pokud budeme optimisti, tohle se bude řešit jendou za čas, ale mít na stránce potenciálně nebezpečný formulář (vzhledem ke spamům, zneužití, atd.) kvůli tomu, no nevím. :idea:

Pokud bych takový formulář na webu měl, stejně by musel procházet autorizací (osobní zásah nutný, takže je jedno jestli to vyřizuji jen přes email, nebo přes formulář). Jak je to s IP, jak kontrolovat člověka, že mu patří daná IP:

Zákazník: chci vymazat veškeré údaje o mé IP u Vás (nejsem u Vás registrovaný). Jakým způsobem kontrolovat, zda tomu člověku ta IP skutečně patří? Rozhodně by to nešlo přes formulář, protože tam bychom se zacyklili, pokud by zákazník zadal IP na smazání, museli bychom jeho IP kontrolovat a tím pádem už bychom zase vytvořili další záznam jeho IP.

Další otázka je, co s fakturami? Přeci nemůžeme kvůli zapomenutí mazat údaje z faktur?

Phoca Cart - www.phoca.cz/phocacart - e-shop, e-commerce
Phoca Gallery - www.phoca.cz/phocagallery - obrázková galerie
Phoca Download - www.phoca.cz/phocadownload - stahování souborů
Phoca Guestbook - www.phoca.cz/phocaguestbook - guestbook

27. bře 2018 18:37 #134859

Odpověď od canal

Uživatel

Pres email to neni problem resit pro cloveka, ktery umi sahnout do databazy a sql selectem si vytahne potrebna data.
Klient ale kazdy takovyhle pozadavek posle na programatora.

Jinak u toho modulu se idenita overuje procesem - zadam email - prijde email s validacnim odkazem - potvrdim validacni odkaz - system zpracuje pozadavek a zasle vypis vsech dat ze systemu, ktere uchovava.
Pokud je to pozadavek na smazani udaju, tak ty, ktera nejsou potreba k fakturaci smaze, ostatni (tedy ty ktere musim mit kvuli fakturaci) ponecha, resp. anonymizuje. Fakturacni udaje maji samozrejme prednost pred GDPR, takze 10 let je nesmim mazat.

Jinak funkcnost toho OC modulu je (doufam ze nevadi slovenstina):
- vyziadanie a zaslanie vypisu vsetkych osobnych udajov uzivatela (emailom)
- vymazanie uctu a osobnych udajov uzivatela (pravo byt zabudnuty)
- zaznam suhlasu obchodnych podmienok a ich verzie
- pravo na prenos udajov (export v CSV) (v priprave)
- pravo na obmedzenie dalsieho spracovania os. udajov (v priprave)

27. bře 2018 20:18 #134863

Odpověď od Václav Žaloudek

Uživatel

Já to zatím řešim pouze u registrovaných. U neregistrovaných to mám vymyšleno zatím jen na papíře.

Jinak musím být přihlášen, pak mohu odeslat požadavek na zrušení, ten mě zašle email s url/bez. klíčem a po potvrzení url /zádání bez. klíče. Bude můj účet zrušen.

Ohledně faktur si myslím, že všichni faktury tisknou popřípadě je vytváří jinak než ve Virtuemartu. Takže i tam mažu uživatele a jeho aktivitu.

27. bře 2018 20:27 #134864

Odpověď od Martens

Uživatel

Ahoj, co se týče mazání ve Virtuemartu - otázkou je, co to udělá s referenční integritou na položky a pohyby..

Protože ve VM bude potřeba zanechat objednávky a jejich historii a zapomenutí osobních údajů provést anonymizací.

Nebo se mýlím?

27. bře 2018 20:31 #134865

Odpověď od MaK.

Zkušený uživatel

A nepodléhá tohle (faktury, účto) povinnosti uchovat doklady po dobu 10 let?

MaK.

--- -- -

27. bře 2018 22:10 #134867

Odpověď od HonzaG

Moderátor

Ano v tomto případě smažeš akorát telefon a email a všechny ostatní údaje ponecháš z důvodu "zákonné povinosti"

Spíš jde o to, že pokud někdo požádá o vymazání svých dat, tak v živém systému to nahradíš nějakým nesmyslem typu "smazaný uživatel" = provedeš anonymizaci, zrušíš přihlášení atd. a účetní doklady "zarchivuješ"

HonzaG

::: Nejsem tak bohatý, abych kupoval levné věci... :::

27. bře 2018 23:09 #134868

Odpověď od Cony

Moderátor

Ano faktury apod. podléhají zákonné lhůtě 10 let, tj. odtud mazat údaje nemůžete, podléhají vyššímu předpisu, GDPR se na ně nevztahuje. Tedy ty co se týkají daňového dokladu, tedy IČ, DIČ, adresa, ne už telefon, nebo email. Otázkou samozřejmě je, jestli objednávka = faktura. Pokud máte jen VM a používáte ho na vystavování "faktur", pak ano, pokud si objednávky kopírujete někam stranou do účta, pak asi ne, a GDPR podléhají.

Nicméně, zatím souhlasím s phocou, alespoň zpočátku hodlám řešit pomocí mailu s požadavkem. Do databáze by nemělo být potřeba šahat přímo, uživatel lze smazat přmo v administraci, editovat údaje v profilu také, editovat uživatele VM také, stejně tak u dalších rozšíření.

Nicméně snahu o nějaké univerzální řešení určitě kvituji, přimlouval bych se hlavně za "pluginovatelnost", aby se případně komponenta dala jednoduše pluginem rozšířit o podporu dalších rozšíření

28. bře 2018 01:04 #134870

Odpověď od H13

Admin

Plugin na to samozřejmě může být, ale já bych se vyhnul mazání (hlavně ID - protože těch provázaností v různých systémech/komponentách) může být hodně. Spíš bych to řešil tak, že by se prostě jméno/email/tel.číslo nahradilo nějakým jiným údajem (jak píše honzag).

Každopádně jednoduchý to nebude - většinou je databáze navrhnuta tak, že jméno/email/telefon apod. je uložené pouze na jednom místě a z toho místa je provázená s ostatními agendami. Jak pak udělat to, že se údaj z jedná agendy smaže a z druhé ne. To asi nepůjde.

28. bře 2018 02:45 #134871

Odpověď od Cony

Moderátor

H13 napsal: Každopádně jednoduchý to nebude - většinou je databáze navrhnuta tak, že jméno/email/telefon apod. je uložené pouze na jednom místě a z toho místa je provázená s ostatními agendami. Jak pak udělat to, že se údaj z jedná agendy smaže a z druhé ne. To asi nepůjde.

Část mazat, část "pseudonymizovat", jak tomu říkají. Když bude chtít někdo smazat účet na jednoduchým webu, tak by neměl být problém ho smazat. Řekl bych, že většina rozšíření s tím počítá, a pak zobrazuje něco jako "Neznámý".

A eshopy zase obvykle kopírují údaje přímo do objednávky (VM, Hikashop...), takže tam případně ta anonymizace....

Samozřejmě bude to případ od případu, rozšíření od rozšíření. Uvidíme, jak brzy se někdo s nějakým takovým požadavkem ozve. Tipl bych, že to bude v reakci na nějaký mailing nebo pod. jinak to asi nikdo moc řešit nebude.

30. bře 2018 12:45 #134936

Odpověď od Václav Žaloudek

Uživatel

Tak jsem do nastavení komponenty přidal 3varianty k virtuemartu.
1) Mazat uživatele a obj
2) Vymazat pouze osobní údaje
3) Smazat uživatele a objednávku neměnit

Každý uživatel si pak dokáže vybrat co mu vyhovuje.

To co píšu je rozšíření pro Joomlu, Acymailing, Virtuemart. Dále to bude pracovat s rozšířením, které triggruje onBeforeDeleteUser a onAfterDeleteUser. Další rozšíření jsem zatím neřešil, ještě tam mám dost práce.

Poděkovali: Cony, Bong, Bart

01. dub 2018 10:55 #134952

Odpověď od H13

Admin

Další otázkou je, jak spolu budou vycházet jednotlivá nařízení, příklad:

GDPR vs. MOSS

Zatímco u MOSS musíte dokázat, že daný uživatel je z EU nebo mimo EU, u GDPR musíte data, která jsou pro MOSS důležitá, mazat nebo anonymizovat. Jak pak dokázat, že ten nyní už anonym je z EU nebo mimo EU?

01. dub 2018 20:24 #134957

Odpověď od Cony

Moderátor

MOSS jsem zaplaťbůh zatím neřešil, ale co jsem tak četl po netu, tak třeba takový prodejci na Google market jsou z něj poměrně zoufalý, protože při prodeji mají v lepším případě jen mail, v horším ani to ne. Na eshopu zřejmě bude potřeba mít pole se státem, a mazat (anonymizovat) případně jen ostatní části adresy...

10. dub 2018 15:46 #135082

Odpověď od canal

Uživatel

Tak Joomlart uz s necim prichazi - viz preview .

Poděkovali: Bong

11. dub 2018 19:43 #135107

Odpověď od Ernst

Joomla Expert

něco nového k počtení - help.shoptet.cz/topic/gdpr/