GDPR aneb další způsob, jak likvidovat nezávislá a alternativní média. To snad není možné. Pro malé podniky a weby je takřka nemožné splnit všechny požadavky, které nová směrnice EU ukládá:

Server podnikatel.cz píše:

Naprostá většina lidí je stále zmatena a není schopna jasně říct, jaké konkrétní kroky bude potřeba do účinnosti GDPR podniknout pro to, aby mu plně vyhověla. Nařízení GDPR však vstupuje v účinnost už 28. května 2018, na uskutečnění změn tak už mnoho času nezbývá. Na druhou stranu všechny děsí nové sankce, které se mohou vyšplhat až ke 20 000 000 EUR, nebo půjde-li o podnik, až do výše 4 % jeho celosvětového ročního obratu, což může být likvidační pro naprostou většinu společností.

[wp_ad_camp_2]

Podle gdprnarizeni.cz z nařízení vyplývá pro podnikatele 5 povinností:

Ochrana dat
GDPR rozšiřuje definici osobních údajů. Nově budou osobními údaji také e-mail, telefonní číslo, fotografický záznam, IP adresa nebo hojně diskutované cookies. Nařízení přidává rovněž novou kategorii tzv. genetických a biometrických údajů. Tyto údaje, stejně jako údaje o rasovém či etnickém původu, politických názorech, zdravotním stavu nebo sexuální orientaci, bude možné zpracovávat pouze ve velmi přísném režimu.

Pseudonymizace
Pseudonymizace osobních údajů je proces, kdy se identita skryje. Cílem pseudonymizace je mít možnost získávat další údaje jednotlivce, aniž by bylo nutno vědět, o koho přesně jde. Slouží k tomu různé klíče a kódování.

Vedení záznamů
Správci údajů od května nebudou muset plnit takzvanou oznamovací povinnost u Úřadu pro ochranu osobních údajů (ÚOOÚ) před zahájením zpracování těchto údajů. Nově ale budou muset vést záznamy o veškeré činnosti, která se zpracováním údajů souvisí.

Pověřenec pro ochranu osobních údajů
Zejména do korporátního života vnáší GDPR novou funkci nezávislého kontrolora, pověřence pro ochranu osobních údajů (DPO – Data Protection Officer). Jeho hlavním úkolem bude monitorovat soulad zpracovávání osobních údajů s povinnostmi, které z GDRP vyplývají. Dále bude pověřenec provádět interní audity, školit pracovníky a starat se o celou agendu vnitřní ochrany dat.

Nahlášení zcizených dat
Každé závažné porušení ochrany osobních údajů, každé odcizení dat i každý neoprávněný přístup k těmto datům budou správci povinni ohlásit nejpozději do 72 hodin. Nemělo by se tedy již stávat, že se o takových kauzách masivního úniku osobních dat dozvídáme až po několika letech

[wp_ad_camp_2]

Spousta lidí o tomto nařízení ještě stále ani netuší, natož, aby se podle něj zařizovala. Sankce za jeho porušení jsou však skandální a pro většinu malých podniků naprosto devastující. Nyní již článek z aeronetu, který se GDPR a jeho potencionálním vlivem na alternativní média zabývá podrobněji…

raja

Dnes po půlnoci, v pátek 25. 5. 2018, vstupuje na celém území EU v platnost předpis General Data Protection Regulation, známý spíše pod zkratkou GDPR, což je drakonický předpis na ochranu osobních dat občanů Evropské unie. Všichni z vás, kdo jste na internetu aktivní a používáte emaily a další služby, jste určitě v posledních týdnech zaplaveni poštou a komunikací od provozovatelů služeb o tom, kde vás upozorňují na to, že jsou připraveni na GDPR a jakým  způsobem budou ochraňovat a zpracovávat vaše data. Každý subjekt v EU, který shromažďuje data, se musí od dnešního dne řídit novou směrnicí GDPR ve vztahu k ochraně osobních údajů. Protože dostáváme do redakce stovky emailů na toto téma, přicházíme s tímto článkem, který by měl pomoci i ostatním provozovatelům alternativních zpravodajských webů v ČR a na Slovensku. Seznam doporučení je pouze orientační a může se lišit v jednotlivých případech u jednotlivých webů.

Největším bodem zodpovědnosti provozovatelů webů v ČR je od dnešního dne proces “registrací” na webových stránkách. Proces registrace na webové stránce je podle GDPR procesem sběru dat a provozovatel webu musí přizpůsobit ochranu dat takto nasbíraných od koncových uživatelů. Protože redakce AE News věděla o projektu GDPR už od roku 2015, zrušili jsme již před 3 roky všechny registrace a umožnili jsme diskutování pod našimi články zcela volně a anonymně. Neprovádíme tedy sběr dat, nevytváříme registrace a neuchováváme osobní údaje diskutérů, ani ty anonymní. Tyto údaje se totiž uchovávají lokálně na počítačích uživatelů v souborech “cookies”.

Tyto údaje si můžete smazat ručně tím, že v browseru smažete cache s cookies. Máte tak plnou kontrolu nad svými anonymními údaji, které GDPR ani nijak neošetřuje, protože GDPR se týká pouze reálných osobních údajů jako jsou jméno, příjmení, datum narození, adresa bydliště, rodné číslo, počet dětí, rodinný stav, jména dětí a další. Osobním údajem je i emailová adresa nebo telefon, pokud je uveden spolu s jednoznačným identifikačním osobním údajem osoby, např. jménem a příjmením. Pokud je uvedeno pouze samotné telefonní číslo nebo email bez jména, nepodléhá tato informace GDPR, protože telefon i email jsou veřejně dostupné údaje a samy o sobě, pokud nejsou spojeny s osobou, nejsou osobním údajem.

[wp_ad_camp_2]

Registrace diskutérů jsou sběrem osobních dat podle regulací GDPR

Na české i slovenské alternativě však existují stovky webů, které požadují po diskutérech, aby se nejprve zaregistrovali a teprve poté mohou diskutovat. Všechny tyto weby by měly v následujících dnech a týdnech přijmout taková opatření, která je ochrání před případnými komplikacemi v budoucnosti. Pokud totiž na některém webu dojde k úniku informací o registracích a web neměl systém registrací ošetřený v souladu s GDPR, může dojít k cíleným útokům a žalobám pro porušení ochrany osobních údajů. Jak totiž uvádí jmenovitě jedno z ustanovení GDPR, proces registrace uživatele je procesem zpracování soukromých osobních údajů, které identifikují konkrétní osobu, a to i v případě, že by místo svého jména a příjmení vyplnila přezdívky. GDPR nerozlišuje v obsahu sbíraných dat, rozlišuje pouze samotný proces sběru informací, které identifikují jednu konkrétní osobu od všech ostatních, bez ohledu na to, jestli jde o osobu fyzickou nebo virtuální.

Sbírání dat o uživatelích prostřednictvím registrací na diskusních webech a fórech je tak hlavním bodem, kterým se GDPR přímo dotýká provozovatelů alternativních zpravodajských webů. Provozovatelé těchto webů mají na výběr dvě možnosti, jak se vyhnout komplikované správě soukromých údajů diskutujících na svých webech. První možností je cesta, kterou již před 3 roky nastoupil právě náš Aeronet. To znamená zrušení uživatelských registrací, smazání dosud vytvořených diskusních účtů a umožnění diskutování lidem volně, anonymně, komukoliv, bez registrací. Tato cesta je výhodná v tom, že se zcela vyhnete sběru dat osobních údajů a jejich následné správě, managementu a ochraně. Nevýhodou je, že musíte technicky zabezpečit nástroje umělé inteligence, které budou chránit obsah anonymní diskuse od robotů, automatizovaného spamu a trollů. Nástroje jako Captcha, Akismet a další nástroje tuto funkci v podstatě zajišťují.

[wp_ad_camp_2]

Převedení zodpovědnosti za GDPR na třetí stranu? Ano, ale má to své háčky a mouchy

Druhou možností je přenesení zodpovědnosti za sběr dat na třetí osobu, která provozuje diskuse. Pokud nechcete umožnit anonymní diskuse na svém webu, můžete integrovat do svého systému diskusní plugin třetí strany. Mezi nejznámější patří Disqus plugin pro diskuse a Facebook diskusní plugin, který na váš web překopíruje diskusní vlákno z Facebooku. Oba dva pluginy přenáší registraci a správu osobních dat na třetí osobu, konkrétně na společnosti Disqus, inc. a Facebook. Provozovatel webu tím přenáší podle ustanovení GDPR zodpovědnost za registrace, sběr a zpracování osobních dat na třetí subjekt. Ovšem pozor, tyto pluginy požívají vlastní API rozhraní, které umožňuje tzv. export informací mimo prostředí a infrastrukturu třetí strany provozovatele pluginu. Poslední kauza a skandál Facebooku a společnosti Cambridge Analytica je toho krásným příkladem, jak pomocí programového rozhraní Facebook API vytahovala Cambridge Analytica osobní informace o desítkách milionů Američanů.

Po tomto skandálu došlo k masivnímu osekání funkcí Facebook API pro programátory, ovšem API ostatních sociálních sítí a služeb nadále umožňují operace vytahování informací o koncových uživatelích, takže deployment diskusních pluginů třetích stran vás teoreticky nemusí zbavit zopdovědnosti za sběr soukromých údajů. Např. stačí, když API diskusního panelu poskytuje služby exportu CVS/XML informací o uživatelích diskusí. A hned to spadá pod ustanovení GDPR o sběru osobních dat. Dalším velkým problémem jsou internetové shopy, které logicky z principu věci musí sbírat soukromé údaje, protože jinak by nešlo zboží doručit a zaplatit.

Cokoliv tedy prodáváte na webu, podléháte GDPR, i kdyby šlo jen o prodej reklamních triček nebo hrnečků s motivy alternativního serveru. I zde máte možnost přenést zodpovědnost za provoz eshopu na třetí osobu, když na web uvedete pouze odkaz a bránu, která nakupujícího přesměruje na eBAY, Amazon nebo X-cart aplikaci. Ovšem i zde platí to samé, co u diskusních pluginů, že mnoho informací a osobních dat umí tyto prodejní brány exportovat a dokonce zpřístupňovat z vaší vlastní domény.

[wp_ad_camp_2]

Ochrana osobních dat občanů nebo nástroj na postupnou likvidaci nepohodlných serverů a malých firem?

Porušení ochrany GDPR, kdy dojde ke zneužití nebo odcizení osobních údajů, a pokud je zjištěno, že web sbíral osobní údaje a neměl přitom zabezpečení podle auditu GDPR, je sankcionováno horentními likvidačními sumami až do výše 100 milionů EUR. Kdo che psa bít, hůl si vždycky najde. Velké firmy s mamutími rozpočty si dokáží ošetřit své sítě a infrastrukturu pro splnění stovek předpisů GDPR, ale malé weby to může zlikvidovat. Řešením je tedy proces, kdy se zcela vzdáte sběru a správy osobních dat, anebo přenesete tento sběr na 3. strany. Teprve čas ukáže, jestli GDPR vzniklo pro ochranu soukromí a dat občanů, nebo pro likvidaci nepohodlných serverů a alternativy, která má tu drzost, že nemá miliony dolarů na právní konzultace a audity v souladu s bezpečností podle GDPR.

Nejen o GDPR budeme hovořit dnes od 19:00 hodin na Svobodném vysílači CS v mém pravidelném pořadu. Vrátíme se ještě k Marakéšské deklaraci a událostem v poslanecké sněmovně, probereme i zrušení schůzky Donalda Trumpa s Kim Čong Unem a dostane se určitě i na další témata. Všichni jste srdečně zváni k poslechu.

Vážení čtenáři, náš server nahrazuje roli mainstreamových médií a přinášíme zásadní informace a kauzy, které veřejnoprávní a velká média ignorují. Přinášíme informace zdarma a bez otravné reklamy a bannerů na našem webu. Pokud se vám líbí naše práce, přispějte prosím, podle svých možností, jakoukoliv částkou našemu projektu na zachování jeho provozu. Náš server funguje pouze z darů a příspěvků našich čtenářů. Bez vás nemůže náš projekt pokračovat. Každé málo pomáhá a přispět nám můžete bankovním převodem, PayPalem, Bitcoinem nebo poštovní poukázkou na účet, všechny informace najdete na naší obvyklé darovací stránce zde. Pro naše pravidelné podporovatele jenom upozornění, že došlo ke změně čísla našeho bankovního účtu. Děkujeme za Vaši neutuchající podporu! Naše práce a úspěchy jsou umožněny jen díky Vaší podpoře.

Záznam pořadu