Az Európai Unió tagállamaiban működő azon szervezeteknek, amelyek személyes adatokat kezelnek, a korábbinál szigorúbb előírásnak kell megfelelniük. Az un. GDPR rendelet a természetes személyek, személyes adatok kezelése kapcsán fogalmaz meg előírásokat. Angolul General Data Protection Regulation, magyarul Általános Adatvédelmi Rendeletként ismert.

Az Európai Parlament, illetve az Európai Unió Tanácsa 2016 április 27-én fogadta el a GDPR-rendelet néven ismert jogszabályt. Az általános adatvédelmi rendelet szövege elérhető az alábbi linkre kattintva: http://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:32016R0679&from=HU

A GDPR rendelet célja, hogy a természetes személyeknek a személyes adatok kezelése tekintetében védelmet biztosítson. Emellett a rendelet szabályozza az ilyen természetű adatok áramlásának folyamatát is. A rendelet hatása nem kellően ismert a magyarországi adatkezelő szervezetek számára.

A rendelet 2018. május 25-én lépett hatályba.

⭐ Stella

Rendben. Figyelemmel kisérem.

Surface Book és egy Csúz a körtefán!. Pentax-szal fényképezve!

Helyes

evDirect villanyautós töltőhálózat

Figyelem a topikot én is.

Üdv Mindenkinek!

Beszéltem egy céggel (webspecialisták), az ügyintéző azt mondta, a NAIH nem enged harmadik félnek auditálni a témakörben, magyarán mindenki, aki ilyesmit hirdet, az hazudik. Tudtok erről valamit?

köszönjük... szerintem nagyon jó ötlet volt

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Íme egy doc sablon adatkezelési tájékoztató készítéséhez. Használjátok egészséggel:-)
https://drive.google.com/file/d/1J-4tLf5vsRGikQsdWAIHHQeQeQc8BPYz/view?usp=sharing

[ Szerkesztve ]

Jó kezdeményezés, köszi

Nem használok AD-blockert a PH! oldalain!

1000 hála érte

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

"Tudtok erről valamit?": igen.
"a NAIH nem enged harmadik félnek auditálni a témakörben": ez egy kicsit karcos megfogalmazás, explicit nem igaz, implicit igaz.
"magyarán mindenki, aki ilyesmit hirdet, az hazudik.": ez viszont 100%-ban igaz.

a valóság a következő:
a gdpr tagállami jogalkotó számára teszi kötelezővé, hogy kijelölje az adott tagállamon belül a felügyeleti hatóságot. a gdpr a felügyeleti hatóság számára teszi kötelezővé, hogy pontosítsa az auditálást végző céggel szembeni követelményeket, ami alapján egy cég auditálásra jogot kap.

tegnap jelent meg itt is, a neten is az, hogy a kormány benyújtotta az országgyűlésnek azt a törvényjavaslatot, ami az infotörvényt módosítja, tehát ha ezt elfogadták, akkor már van felügyeleti hatóságunk, ha nem, akkor még nincs. de mivel a felügyeleti hatóság legkorábban ma, vagy egy jövőbeni időpontban lesz kijelölve, következésképpen azt a munkát, ami az auditorokkal szembeni követelményeket elkészíti, még nem végezhették el.

ha megszavazzák az infotörvény módosítását, attól kezdve lesz felügyeleti hatóság, utána elvégezve a szükséges rendelet alkotási munkát, fogja majd várhatóan rendeletben a naih kihirdetni az auditorokkal szembeni követelményeket, és utána lehet auditálni az auditorokat, kaphatnak az auditor cégek feljogosítást az auditálásra.

tehát aki ma auditornak mondja magát, az valóban hazudik.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Látom elég nagy sikere van a BKIK Adatkezelési Tájékoztató mintának.
Mivel tagja vagyok én is ezt használom .., természetesen átírva ...

[ Szerkesztve ]

Műanyag, alumínium és motoros redőnyök, valamint szúnyoghálók készítése, szerelése. www.szaboredony.hu

Katasztrófavédelem lett az Információ Biztonsági Hatóság is, ez hivatalos, Május 10.-től, 17-18.án meghackelték a médiaszerverüket,ami a mai napig nem működik,minden kezdet nehéz...

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

"Milliárdos károkat okozhatott a GDPR-pánik, pedig messze nincs még vége"

És egy kis vidámság

Feel Good Inc.

The G-D-P-R Song - nagyon jó !

1151,AM4,1366,2011, - Lapok,procik,vinyók,tápok,vga-k -akciósan. - 70-2340239

Van itt még zizz bőven

Pl. Nagyrészt webfejlesztők pörgünk a sütikezelésen, lehet-e tiltani, mit lehessen tiltani, hogy oldjuk meg, hogy bármikor tiltható/engedélyezhető legyen

Gyakorlatban meg egy nagy oldalon sem láttam ilyet, max. Elfogadom gombot...

Akkor most mi van?

Nem használok AD-blockert a PH! oldalain!

Joomlára van olyan kieg, ami elfogadás előtt nem tölt be cookiet. Sztem wordpressre is. A többi nyilván készül.

Van, kivéve ha van valami még, pl egy YT videó

Nem használok AD-blockert a PH! oldalain!

Egy csomó nagy oldal kezdődik sütimentes, pucér, fehér lappal. Azok akik megértetették a jogszabályt.

evDirect villanyautós töltőhálózat

És ezeknél bármikor ki/be kapcsolhatom a sütiket? Küldj egy linket, kérlek, még nem jártam ilyen oldalon.

Köszi

Nem használok AD-blockert a PH! oldalain!

Azt úgy vágod, hogy ezek a süti elfogadásos dolgokat EDDIG IS így kellet volna még a GDPR előtt! Semmit nem volt szabad tárolni YT videó playert betölteni se addig.
Csak eddig mindenki leszarta... Ez a nagy büdös, és ezért jó a GDPR mert talán most be is lesz tartva ami eddig nem....

Egyébként van jó pár oldal ami komolyabbna veszi. Ott van pl az extream digital (bár ott pont nem GDPR ready mert 1-2 pipa be van pipálva default, de maga a cookie elfogadós rész az eléggé komplex) és láttam az elmúlt héten jó pár ilyen vagy hasonló megoldást. "Csomagokban" és akár egyenként is ki be pupálható sütiket és volt olyan pl Yahoo aszem, aki meg az adatmegosztós részt teljesen konfigurálhatóvá tette. ( több 100 harmadik fél akik felé megosztották az adataidat egyenként kikapcsolhatóak voltak)

[ Szerkesztve ]

"640 kByte memória mindenre elegendő"

Köszi, utána nézek

Nem tudom eddig mennyire volt ilyen szigorú ez a dolog, de megoldást nem láttam rá. Passzolom mi legyen a YT videókkal hallottam olyan véleményt is, hogy az az oldal működéséhez szükséges, holott minimum véleményes

Nem használok AD-blockert a PH! oldalain!

Én ezt ajánlom neked olvasásra. kiberblog

Finn the human

amikor kérdeztük a jogászt erről ő sem tudott rá érdemben válaszolni és pont ezért kérdezem, hogy hol van ez így megoldva, hogy darabonként be kell állítgatni a sütiket, mert még nem láttam, de amiket kaptam holnap megnézegetem

mellesleg technikailag minden egyes oldalnál meg kellene állni, míg a sütik tárolását el nem fogadják...

ezt azért látta valaha egy webfejlesztő és nem szólt ellene senki?

Nem használok AD-blockert a PH! oldalain!

Szerintem ez megfelelőnek tűnik. De, hogy őszinte legyek elég idegesítőnek tűnik. Kíváncsi lennék hány lehetséges vásárló megy át emiatt másik oldalra.

Ez tényleg klafa és van egy fő elfogadom gomb, amit szerintem mindenki fog nyomkodni

visszavontam ez azt akarja, hogy egyesével nyomkodják végig, izééé

ezt is visszavontam megvan a minden engedélyezése, hmm

[ Szerkesztve ]

Nem használok AD-blockert a PH! oldalain!

nem, nem szabályos.
egyébként meg mi a fenének ennyi cookie egy weblapra?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Miért nem jó?

Mi a baj vele?

Nem használok AD-blockert a PH! oldalain!

Pedig nem lett volna egy rossz megoldás.. Legalábbis jobb, mint az eddigiek.

[ Szerkesztve ]

Finn the human

a szabály az, hogy alapértelmezetten minden tiltott, és jól tájékozottan, tevőleges hozzájárulással kell engedélyezni.
először is ezen a webhelyen az alaphelyzet az, hogy egyik sincs bejelölve, így nem tudod, hogyha nem választod ki egyiket se, akkor mi az eredmény.
másodszor a kis ablakban leírt dolgok nagy kamu dumák mellett azt erőltetik, hogy egyben fogadd el az összeset.
harmadszor, ha mindegyiket tiltod, akkor az oldalból semmi nem fog működni, ami megintcsak jogellenes.
negyedszer ha mindent tiltasz, akkor is otthagy egy kukit a böngészőben.
ötödször ha letiltod a javaszkript futtatását a böngészőben, akkor sokkal jobb szolgáltatást kapsz, mintha engedélyezed, de a kukiat tiltod. ezt explicit bünteti a gdpr.

de még mindig érdekelne, mi a bánatnak ennyi kuki, miért nem lehet rejtett változókkal megoldani a problémákat?

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

ötödször, hogy már kérdés nélkül is elhelyez egy kupac kopasz kukit, amik, ha rögtön bezárod a böngészőt, megmaradnak

evDirect villanyautós töltőhálózat

ráadásul prestashop van mögötte, amit, ha jól emlékszem, nem lehet úgy felrakni, hogy a diszken letiltod a futtathatóságot, mert a nyomoronc template megoldása nem engedi.
viszont a gdpr megköveteli tőled, hogy mindent tegyél meg a biztonság érdekében.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Egyetértek azzal, amit GDPR-el próbálnak elérni. De őszintén kíváncsi lennék arra, hogy egy olyan webshopot üzemeltető (1 max 2 fő), aki pl. Presta, Opencart, Woocommerce-t használ, hogyan tud ennek megfelelni? Ha a technikai dolgokra nincs külön ember, egyszer meg lehet csináltatni valakivel, de valószínűleg minden frissítés után meg kellene tenni. Kicsit olyan érzésem van, hogy bármennyire is szeretne valaki ennek megfelelni, elég nehéz ügy. Nem a nagy cégekre gondolok, hanem az 1-2 fős bt.kre Kft.kre.

[ Szerkesztve ]

többféle kukit raknak fel ezek a vackok, amiknek a jogossága is többféle.
az, hogy teleszórják google analitics kukival, tökre értelmetlen. semmiféle haszna sincs, amit másképp, hasonlóan egyszerűen vagy még egyszerűbben ne lehetne megoldani.
facebook like meg share meg twitter dettó ökörség. bót. vásárolok. nem reklámozom a bótot. szerintem ez önmagában nonszensz, hogy a marketinget és annak költségeit egy csomó web rátolja az olvasókra, ezzel spórol.

majd most ezeket a hülyeségeket a gdpr rendbe teszi.

másik része meg azok a kukik, amik elvileg a webshop működéséhez kellenek. konkrétan itt ez az órabolt a keresett márkát is kukiban tárolja. ezt már elvileg lehetne tolerálni, de mégiscsak töketlen programozókra enged következtetni, hogy ezt így oldották meg, nem pedig rendes session managerrel. ezeket a dolgokat a prestának meg a wordpressnek kellene megoldania úgy, hogy egyszer váltanak, átszervezik az egész kócerájt, és utána más szemléletben dolgoznak tovább.

szerintem megfeleli normálisan sehogy, mert az nem járható út, hogy 32 oldalas tájékoztatót végiglapozol és a végén mindegyiknél adsz egy engedélyt. az sem járható út, amit ez az órabolt csinált, hogy van egy totál használhatatlan felület, amivel egyesével engedélyezni tudsz egy kosár kukit, közben arra bazíroznak, hogy úgyis hamar megunja a vevő, majd ráklikkel a mindent egyben-re. ezt kifejezetten hangsúlyozottan tiltja a gdpr, hogy a vevő által nem megtett dolgokra alapozzanak. parasztosan fogalmazva: fárasztásos módszer.

szerintem egy kukit fel lehet rakni, ha nagyon muszáj, amiben van egy session-id, a többi meg adatbázis, oszt jónapot.

tény, hogy ez a vonat régen kisiklott, csak most jött elő az igény, hogy mégiscsak helyre kellene tenni, és ilyenkor már nagyon fáj.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

De ha például semmi ilyen social dolgokat, youtube stb. letiltasz, csak tisztán Worcommerce megy, akkor vajon a webshop üzemeltetőjének lehet e problémája? Persze a motort is saját felelősségre használja, de ez így eléggé nonszensz.

a gdpr nem mondja meg, hogy hogyan csináld a dolgaidat, csak a tájékoztatási kötelezettséget erőlteti.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

De nemcsak webshop bán van social cucc, és nem csak azért hogy reklámozd. Persze most, ha téged ezek zavarnak kikapcsolhatod. Csak te abba nem gondolsz bele, illetve valakik valahol nem gondolták végig (nem biztos a jogalkotó), hogy az emberek nagy részét nem zavarja, de örülnek, ha kényelmesebb a vásárlás (gyk. Azt ajánlást neki, amit éppen keres).

Kell egy kis idő, mire mindenki rendezi sorait...

Nem használok AD-blockert a PH! oldalain!

és ez neked miért jelent gondot, hogy erőlteti a tájékoztatást?

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

Vannak fejlesztők, őket lehet megbízni a feladattal ha a webáruház üzemeltetője nem tudja magának megoldani. Értelem szerűen a fejlesztő sokkal többe kerül, mint egy elkészített modul.
De Opencarthoz én még nem láttam GDPR kompatibilis cookie consent modult, de készül hozzá azt mondták.

⭐ Stella

ha nem vetted volna észre, én vagyok az egyik abból a kb. 4 emberből, akinek semmi gondja sincs a gdpr-ral.
sőt, én kifejezetten örülök neki.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ezt értem, de van e esetleg olyan fejlesztő, aki felelősséget is vállal?

a gdpr egyértelműen meghatározza, hogy ki a felelős adatvédelmi kérdésekben: a cég döntéshozója.
ezt nem tudod áttolni senki másra.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem tudom ezt most komolyan kérdezed vagy csak poénból. Egy fejlesztő nem vállalja a felelősséget jogi ügyekben, ez a cégvezető dolga. Meg az is, hogy ellenőrizze a fejlesztő munkáját. Ha nem bízik magában, akkor pedig egy GDPR szakértőt kérjen fel erre jó pénzért. Mondjuk ő már vállalhat felelősséget egy komplett audit után.

⭐ Stella

A felelősség szerződéssel közvetve átruházható. Az esetleges károkért lehetne anyagi felelőséget vállalni, nem tiltja jogszabály.

evDirect villanyautós töltőhálózat

az adatvédelmi felelősség nem átruházható.
maximum kártérítési felelősségre lehet szerződni.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem viccből kérdeztem. Tegyük fel van egy kis cég, akinek a vezetője totál fogalmarlan IT dolgokban. Megbíz egy fejlesztőt, legjobb jóindulattal megbízik abban, hogy a fejlesztő jól elvégzi a dolgát. De mi van ha nem? Csak arra szeretnék kilyukadni, hogy hiába próbálna valaki mindent betartani, esetleg önhibáján kívül is lehet galiba belőle. Nem egy Extreme digital, Mediamarkt nagyságú webáruházra gondolok, hanem egy kis cégre, ahol esetleg alkalmazott sincs.

Ha tutira akar menni, akkor fejlesztő után befizet egy weboldal-auditra is.

⭐ Stella

GDPR-NAIH hack:
A leggyorsabb ingyenes audit, ha feljelenti a cég magát a NAIH-nál. Mivel a legújabb előterjesztés szerint nem büntetnek elsőre, hanem csak figyelmeztetnek...jó eséllyel éppen a szükséges hiányosságokat fogják feltárni

Kár lenne azt az első alkalmas dolgot ilyesmire ellőni.

Azért kíváncsi leszek mekkora kapacitás lesz ellenőrizni.

a legújabb előterjesztés szerint a hatóságnak kötelessége megfontolni, hogy elsőre nem csak büntetni lehet.
sehol nem mondják, hogy nem büntetnek elsőre.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Sajnos nem találom a legújabb tervezetet, a tavalyi szerint kifejezetten az van benne, hogy elsőre is büntetni kell. A legutóbb bejelentett módosítás szövegét még nem láttam. Ha valaki megtalálta, belinkelhetné.

A tavalyi tervezet szerint:

"61. § (1) Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság
a) a 2. § (2) és (4) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben az általános adatvédelmi rendeletben meghatározott jogkövetkezményeket alkalmazhatja,"

[...]

"(3) Az (1) bekezdés a) pontjában meghatározott jogkövetkezmények alkalmazása során a Hatóság a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény 12/A. § (1) bekezdésének alkalmazását mellőzi."

(A 2.§ (2) és (4)-ből a (2): "(2) E törvényt a teljesen vagy részben automatizált eszközzel, valamint a manuális módon végzett adatkezelésre és adatfeldolgozásra egyaránt alkalmazni kell.", tehát kb minden.)

Eszerint azt mondja ki a javaslat, hogy a KKV Tv. szerinti első alkalmas bírságmentesség nem alkalmazható. De hangsúlyozom, ez a tavalyi.

a tavalyi tervezetet kukázták, mert annyira rosszul sikerült, hogy nem merték áttolni.

[link]: "75/A. § A Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó – jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott – előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt – az általános adatvédelmi rendelet 58. cikkével összhangban – elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik."

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hát ja, “elsősorban” :/
Ez nem túl megnyugtató így az adatkezelőknek.

[ Szerkesztve ]

jééééézus...
elolvastam a T/623. számú törvényjavaslatot, amiben arra tesznek erőtlen, de legalább ótvar kísérletet, hogy a gdpr-t implementálják az infotörvénybe.

ennyi orbitális baromságot egy pdf-be összehordva rég láttam. tényleg nincs egy ember az országgyűlésben meg az igazságügy minisztériumban, aki képes egy rendes mondatot leírni, esetleg később meg is érti azt?

mi lesz azokkal a dolgokkal, ahol egyértelműen ütközni fog a magyar és a nemzetközi jog? ki fogják kapcsolni az összes előfizetőnél a netet meg a telefont...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez már eléggé overkill webes rendelésnél:

⭐ Stella

miért? ászf-et eddig is el kellett fogadnod, szállítási, fizetési információkat egyébként se árt tudni.
a gdpr-t nem kell elfogadni, ennyi a hibája.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Egyébként elég rossz az eddigi tapasztalatom alapján a weboldalak gdpr implementációja. A legtöbb esetben egyszerűen feldobják infókát, hogy változott valami szabályzat, és csak van egy OK / bezárás gomb. Néhány esetben feldobják, hogy ha nem fogod el, akkor nem léphetsz az oldalra és ha nem nyomsz OK-ot, akkor elirányít valahova. Nagyon minimális eset van ahol ténylegesen dönthetsz arról, hogy elfogadod vagy elutasítod.

Ingyen megszerezhető "belső adatkezelési/nyilvántartási szabályzat mintáról" tud valaki? Ilyen kéne...állítólag.

nem lehet normális mintát csinálni, és nem lehet normálisan felhasználni.
szerintem ne erőltesd a kérdést.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Mindig erre jutok én is csak a főnököm mondogatja, hogy "nem kéne egy ilyen?"
7 személyes iroda vagyunk, magunkon kívül nem igazán dolgozunk személyes adattal...szóval akkor ez így marad, köszi:-)

Az a "baj", hogy ha vannak szerződéses partnereitek, vagy akár e-mailben megkeres Gipsz Jakab a gipszjakab@gmail.com-ról, akkor már kell lennie szabályzatnak ezen adatok kezelésére (az én olvasatomban).

kell komplett adatvédelmi felkészítés, nem ez a probléma.
a probléma az, hogy minden cég egyedi, így a rájuk vonatkozó adatkezelési cuccoknak is egyedieknek kell lenniük. tehát hiába szerzel be egy általános szabályzatot, azt olyan szinten testre kell szabni, hogy egyszerűbb specializálva megírni nulláról.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szabályzat nem kötelező, kevered a tájékoztatóval.

Still stands Thine ancient sacrifice, An humble and a contrite heart.

A héten elvégeztem egy ilyen képzést (természetesen a cég finanszírozásában), jelenleg várom a vizsgaeredményt.
Van pár hasonló képzés a piacon, szerintem ez a jobbak közé tartozik (persze ez sem tökéletes). Nem egy rakétatudomány a GDPR, de azért tudtam még a jól felkészülteknek is meglepetést okozni (van 1-2 akna a preambulumban).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Egy külföldi webáruház számomra felháborító módon sérti a GDPR-t, konkrétan nem tudok leiratkozni Messengerben küldött személyes reklám üzenetekről, harmadik kísérletre sem, csak elnézést kérnek. Hol lehet ezt jelenteni?

Elvben bármelyik EU-s adatvédelmi hatóságnál jelezheted; nyilván célszerű vagy a magyar, vagy - ha az adatkezelő EU-s országban ténykedik - az adatkezelő országának megfelelő hatóságnál bejelenteni.
A magyar hatáság elérhetősége: www. naih.hu; ugyfelszolgalat@naih.hu.
Lehet hogy érdemes lenne írnod még egy levelet, hogy a GDPR alapján tiltakozol az adataid kezelése ellen, illetve a továbbiakban nem járulsz hozzá az adatok kezeléséhez, és amennyiben záros határidőn belül nem törlik az adataid, a hatósághoz fordulsz.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Szerintem nem kell sehol GDPR-re hivatkozni már május 25 óta. Illik ezt komolyan venni. NAIH-on keresztül is fel lehet nyomni őket szerintem.

⭐ Stella

NAIH-on keresztül is fel lehet nyomni őket szerintem

Szerinted a hozzászólásomban melyik hatóság elérhetősége szerepel?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Egy szóval nem mondtam, hogy te nem ezt írtad. Nem tudom mi a gondod.

⭐ Stella

nekem nincsenek jó tapasztalataim a naih segítőkészségével kapcsolatban.
én először a szolgáltató tagállamában próbálkoznék.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Sziasztok!

Belföldi adatvédelmi rendeletek, szükséges engedélyek kérdésén akadtam fent.

Lenne egy cég,ami versenyeket szervezne, és díjakat osztana ki. A játék tisztaságának védelméhez hozzátartozna, hogy egy adott személy csak egyszer nyerhet, és ahhoz tudnom kellene azonosítani az illetőt. Belföldi természetes személyek azonosításra alkalmas adatot kellene tárolnom a versenyre benevezettekről, és feljegyezve tartanom azokat az adatokat a nyertesekről. Normál esetben elkérem a személyi igazolvány fénymásolatot, amit megtartok. Arról persze tájékoztathatom az illetőt, semmi vész, nem akarom én azt eltitkolni.

A jogi kérdésem az, hogy túl az általános felhasználási feltételek részletes leírásán kötelezett vagyok-e valamilyen engedély megszerzésére is, hogy olyan adatokat legalább titkosított formában tárolhassak?

Ha van a problémára valami kitalált okosság, bármilyen logisztikai framework, talán valami ügyfélkapu fejlesztés (?), annak is örülnék. A játék tisztaságának viszonylagos védelme lenne az összes cél, a személyes adatokra igazából semmi szükségem.

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Szerintem először is olvasd el legalább egyszer a GDPR-t (esetedben a preambulum kihagyható, így már nem olyan hosszú), és nem árt az Infotv. átlapozása sem.
Pár tipp:
- Személyes adatok kezelése során, a legfontosabb az adatkezelés elveinek (GDPR 5. cikk) betartása.
- Ebből a célhoz kötöttség máris teljesül, bár kicsit konkréttabban kellene megfogalmaznod a célt.
- Jogalapként az érintett hozzájárulását kell megszerezned (praktikusan írásban); ezen túlmenően nincs szükséged más engedélyre.
- Az adattakarékosság elvének betartásához viszont már tenni kellene. A személyi igazolvány másolata nem túl szerencsés, kifejezetten ellenkezik a Hatóság álláspontjával. Mivel azokat az egyedi azonosítókat, amelyek önmagukban is azonosítják az érintetteket (pl. adóazonosító, TAJ), csak a vonatkozó jogszabályban meghatározott esetekben lehet kezelni, valamint az 1996. évi XX: törvény kimondja, hogy "a polgárt a természetes személyazonosító adataival kell azonosítani" (ezek a családi és utóneve, születési családi és utóneve, születési helye és ideje, valamint az anyja születési családi és utóneve), így leginkább ebben az irányban kellene elindulnod véleményem szerint. A személyi bemutatásával, felveszed az adatokat valami adatbázisba, esetleg a csak a személyi igazolvány számot (adott időpontban az is beazonosít egy adott érintettet), és annyi. Már ha tényleg ennyire fontos szempont, hogy tiszta legyen a játék, hogy megérje a sok adminisztráció...
- A korlátozott tárolhatóság elvének való megfelelés miatt, meg kellene fogalmaznod, hogy meddig tárolod ezeket az adatokat. Ez nem igazán derül ki abból, amit írtál: egy adott játék (kör, forduló, akármi) tisztaságának védelme a cél, vag ha valaki egyszer nyert nálatok, az soha többet nem nyerhet? Előbbi esetben az adott játék végéig, utóbbi esetben meghatározott ideig (pl. az érintett hozzájárulásának visszavonásáig) tárolhatod az adatokat. Ez persze azt is jelenti, hogy egy, az adatkezelési szabályokban jártas egyén, simán kijátszhatja ezeket a szabályokat, hiszen bármikor visszavonhatja a hozzájárulását az adatkezelésedhez, és akkor nem marad jogalapod (jogos érdekből pedig nem gondolnám, hogy kezelheted az adatokat). Mondjuk egy adott játékon belül, feltétele lehet a játékban való résztvételnek az adatkezeléshez való hozzájárulás.
- Az egyik legfontosabb követelmény az érintettek tájékoztatása az adatkezelésről: a helyszínen és/vagy a neten el kell készítened egy jól megfogalmazott adatkezelési tájékoztatót (kicsit túrsz a neten, és találsz példákat). Ebben le kell írnod az adatkezelés legfontosabb paramétereit (adatkezelő beazonosítása, cél, jogalap, kezelés időtartama, esetleges adattovábbításra vonatkozó infók stb.).

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"csak a vonatkozó jogszabályban meghatározott esetekben lehet kezelni,": meg az érintett önkéntes hozzájárulása alapján.

ha az a játék menete, hogy az érintett önként csatlakozik, és önként adja meg az adatait a játék szabályai szerint, akkor bármilyen adatot kezelhet.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Köszönöm a tippeket. A személyi igazolvány szám tényleg nem nyerő ötlet. Jobb a természetes személyi azonosító adatok jegyzése.

Viszont az adatok törlésének kérdésével valamit tennem kellene. A játék koncepciója megkívánja, hogy sok nyertes lehessen. A koncepció szempontjából durva megvalósítás úgy tenni fel a kérdést, ki nyerhet, és ki nem. A kicsit kifinomultabb forma, hogy ki nyerhet hamarabb és ki később? Később az is nyerhessen, aki első körben nem tudott, ha van kedve benevezni újra. Viszont aki egyszer már nyert, azt jó lenne legalább a következő 3 évre eltiltani a nevezéstől, hogy másoknak is legyen esélye. És ahhoz kellenének nekem egyértelmű azonosító adatok, amiknek a törlésére nem kötelezhet a nyertes. Vajon van arra egyértelmű jogi lehetőség, vagy legalább kiskapu, vagy törvényt kell szegnem hozzá?

Az 5. cikk (1) e) pontján gondolkodom, hogy a fenti elv minősíthető-e közérdekűnek, vagy statisztikainak?

e) tárolásának olyan formában kell történnie,
amely az érintettek azonosítását csak a személyes
adatok kezelése céljainak eléréséhez szükséges
ideig teszi lehetővé; a személyes adatok ennél
hosszabb ideig történő tárolására csak akkor kerülhet
sor, amennyiben a személyes adatok kezelésére a
89. cikk (1) bekezdésének megfelelően közérdekű
archiválás céljából, tudományos és történelmi kutatási
célból vagy statisztikai célból kerül majd sor, az e
rendeletben az érintettek jogainak és szabadságainak
védelme érdekében előírt megfelelő technikai és
szervezési intézkedések végrehajtására is
figyelemmel („korlátozott tárolhatóság”);

Forrás: [link] L 119/36

[ Szerkesztve ]

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Ha csak úgy magától, önként dalolva megadja, akkor igen (bár a célhoz kötöttség elvének mindenképp meg kell felelni, és necces lesz elmagyarázni a Hatóságnak, hogy miért csakis és kizárólag (pl.) a TAJ alkalmas arra, hogy egy nyereményjátékban a résztvevőket azonosítsa)...
De ha ezt feltételül szabják egy játékban való résztvételhez, az szerintem (tekintettel az 1996. évi XX. tv. 20. §.-ból kiolvasható jogalkotói szándékra) aggályos.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

A játék feltételéül tudod szabni, hogy a nyertes adatait, a sorsolástól számított 3 évig tároljátok, nyeremény ismétlés elkerülése céljából. Bele kell írni a játék szabályzatába, hogy amennyiben visszavonja az adatkezeléshez szükséges hozzájárulást, akkor vissza kell szolgáltatnia a nyereményt. Ezzel szerintem lefeded a jogi részt.
Az általad kinézett jogalap egyértelműen nem ez az eset, gyakorlatilag csak állami szereplőkre alkalmazható az e/ pont, felejtsd el, neked egyértelműen az érintett hozzájárulása lesz a jogalapod.

Ami az előző hozzászólásomból kimaradt, és ide is kívánkozik: a fentiek nem minősülnek jogi tanácsnak, azokért felelősséget nem áll módomban vállalni.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Az 1996. évi XX. törvényből kiolvasható jogalkotói szándék szerint a hatóságokra vonatkozik elsősorban, és azt akadályozza meg (egyébként rendkívül ostobán, köszönjük S. Lacika), hogy a hatóságok összekapcsolják az adatbázisaikat.

Szerintem erre az adatkezelésre nem vonatkozik.

Szerintem itt a legfontosabb, hogy az érintett valóban jól tájékozottság állapotában adja a hozzájárulását az adatkezeléshez.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hálás köszönetem a jogi tanácsokért

កុំភ្លេចប្រើភាសាអង់គ្លេសក្នុងបរិយាកាសអន្តរជាតិ។

Hello,

Fél-off.
Rendszeresen kapok olyan leveleket a postaládámba, amiknek a címzettje nincs a ládán. Többnyire végrehajtó cégektől Valamikor ott lakott, de azóta már kétszer cserélt a lakás gazdát (én meg albérlő vagyok).
A postán már tettem panaszt, elhajtottak.
Mennyire ütközik az adatvédelmi törvénybe, ha olyan postaládába dobálja a postás a leveleket, amin nem szerepel a címzett neve, azaz láthatólag másé? Elég érzékeny személyes adatok lehetnek ezekben...

Mutogatni való hater díszpinty

szerintem semennyire.
ha rendes akarsz lenni, akkor visszaviszed a postára a címzett ismeretlen helyre távozott felkiáltással.
ha meg nem, akkor ledarálod.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A franc, pedig akartam cumiztatni a postát most már én is
Amúgy simán visszavinni nem lehet, mert
nem vehetik át

Van ugye "címzett ismeretlen" jelző, de azt egy ideje nem nagyon akarják rátenni... gondolom az egyszeri postásnak az nem jó pont...?

Azt hittem, behalok
Azóta bedobálom a szabadon álló postaládákba.
Volt, amit kihoztak még egyszer.

[ Szerkesztve ]

Mutogatni való hater díszpinty

"Van ugye "címzett ismeretlen" jelző, de azt egy ideje nem nagyon akarják rátenni...": de nem kell döntési lehetőséget hagyni nekik. ráírod tollal, beviszed a postára, megmondod, hogy nem tudod, hol a címzett, és otthagyod, mielőtt kinyitják a szájukat.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem GDPR: Van erre egy postai formanyomtatvány... persze a lakástulaj írhatja alá, nem te, de kitöltöd, leadod a postán, és többet nem hozzák ki ezeket a leveleket, hanem mennek vissza automatikusan címzett ismeretlen megjelöléssel. Pár adat kell rá, beikszeled, hogy nem tudod ki ez az ember, és leadod... többet nem hozzák ki. ( azthiszem leadáskor kérték a lakcímkártyát, szóval lehet, hogy a leadáshoz is kelleni fog a tulaj )

( én is szívtam ezzel sokáig, mert az előző tulaj kiadta a lakást, és mindenféle bűnöző be volt ide jelentve, aztán küldözgették nekik a leveleket a behajtó cégek, jártak ide a rendőrök is miattuk... utóbbitól nehezebb volt megszabadulni, de a levelekre ez bevált )

[ Szerkesztve ]

Főbérlő nem foglalkozik vele, ő simán kidobálja A nyomtatványt tudom, de gondoltam megfogom a postát, illetve tényleg, ez nagyon nincs rendben, hogy mások leveleit akkor is kapom, ha nincs a neve kint, meg már ki van írva, hogy ne dobálja be.

[ Szerkesztve ]

Mutogatni való hater díszpinty

uuuhhh!!!

Nagyon belenyúltál! Jelzem, ha egy g.ci pénzéhes ügyvédje is lenne a cégnek és tudomást is szerez rólam hogy pontosan megismerted a nem neked szánt levél tartalmát - hiszen hivatkoztál rá - akkor kellemetlen napokat, heteket, hónapokat szerzel magadnak... szerintem hibáztál. Ezt ugyanis jó pár évig lazán elővehetik.

Untig elegendő lett volna, ha a feladónál érdeklődsz, hogy ki ez az idegen személy, akinek a levél érkezett, mikor egyedül vagy tulajdonos és másnak sem engedélyt, sem lehetőséget nem adtál erre. Ergó: zaklatnak!
Sőt! Te kérsz tájékoztatást, hogy milyen jogon keresnek a te tulajdonadban idegeneket?!
Ez a forgatókönyv téged helyez előnybe.

Nem is tudom... Szerintem nézz utána a tulajdoni lapodnak frissítve... Lehetőséged és jogod van hozzá, és úgy tudom neked ez ingyenes is.
És a rendőrségen is tennék egy kis(több órás seggelést megér) tapogatózást, hogy nézzenek már utána, hogy kik szerepelnek a nyilvántartásban, ki van bejelentve az ingatlanba - és ekkor előveszed a saját kis friss tulajdoni lapodat.
A tulajdoni lapod nem fogja megmondani, kik vannak még a címen.

Ha megvan - a te ügyvéded már jobban tud muzsikálni ezekkel a friss papírokkal.

Surface Book és egy Csúz a körtefán!. Pentax-szal fényképezve!

[link] az osztrák posta a lakosság egyharmadának személyes adatait eladta.

most fogunk látni egy hatályos jogszabályértelmezést, amiből minden kiderül a gdpr-ral kapcsolatban.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Érdekes hír, több kérdést is felvet:
1. A "feltételezett politikai hovatartozás" személyes adatnak minősül?
2. Az adatkezelés jogalapja vajon mi lehetett a Posta szerint?
3. Kíváncsi vagyok a véleményedre: konkrétan melyik előírását sértették meg egészen biztosan a GDPR-nek?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Jah, és egy másik hír: amikor túltolják a GDPR-t:
[link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"1. A "feltételezett politikai hovatartozás" személyes adatnak minősül?": igen.
9. cikk. 1. bek:
"A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok"

a posta elég pontosan meg tudja állapítani a politikai véleményedet abból, hogy milyen újságot rendelsz, milyen pártoktól kapsz gyakrabban levelet. tehát ha azt adta el, hogy te x párt tagja vagy, az találgatás, és vitatható, hogy személyes adat-e, de ha azt adta el, hogy te megrendelted x politikai csoportosulással azonosított újságot, az konkrétan személyes adat, ami politikai véleményre utal.

"2. Az adatkezelés jogalapja vajon mi lehetett a Posta szerint?": nyilván téves jogalap.

"3. Kíváncsi vagyok a véleményedre: konkrétan melyik előírását sértették meg egészen biztosan a GDPR-nek?": van néhány, amit nem sértettek meg... egyrészt olyan célból kezeltek adatokat, amire nem volt jogalapjuk. másrészt olyan helyre továbbították az adatokat, ahol nem lehetett biztosítani az érintettek jogait, se a törléshez, se a betekintéshez, stb. semmihez való jogot nem tudsz biztosítani, mert nem tudod, hogy hova került az adatod. ehhez nem kértek és kaptak engedélyt.

Szerintem az alapkérdés egyszerű: az osztrák állam egy jelentős befizetője az eu-nak. a hibát az osztrák állam 52%-os tulajdonában levő cég követte el. elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

egyébként a profilalkotással kapcsolatos cikkeket is megszeghették...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hát én pont az egy adott párttól érkező újságot rakom a macska alom és a tartó közé, mert remekül felszívja a folyékony eredményt. Sokszor szándékosan ha van rajta arckép akkor az nézzen felfelé (jó jó persze rákerül az alom). És amikor dobom ki az almot akkor egybe kicsúszik, nem marad az alomtartó alján macskapiszok.
De persze a színes képek egyes színei olykor ráragadnak az aljára. Ki szoktam mosni.
Szóval nálam eléggé nehéz megállapítani a politikai hovatartozást.
(nem vicc, valóban így csinálom!)

[ Szerkesztve ]

Vintage Story PH szervere újra fut!

Nos, akkor menjünk sorban.

1. A feltételezett politikai hovatartozást a cikk szerint az "életkor, a nem, a cím és a szavazókörök adatainak összevetésével állították össze". Ebből nekem az jön le, hogy összevetették hogy adott szavazókörben milyen pártra szavaztak legtöbben (életkor és nem szerinti megoszlásban), és ezt kezelték. Véleményem szerint ez nem meríti ki az általad idézett definíciót, mivel a lfenti összehasonlítás aligha alkalmas a feltételezett politikai hovatartozás értelmes megállapításához (hiszem még az is lehet, hogy adott érintett nem is a lakhelye szerinti szavazókörben szavazott). A régi Infotv-es definíció ("...levont következtetés...") alapján én is hajlanék a véleményedre, de a GDPR-es terminológia alapján inkább nem.

2. Téves jogalap? Jogos érdeken alapuló adatkezelés még lehet (persze ehhez kell érdekmérlegelési teszt is), tehát azt biztos nem mondanám rá élből, hogy erre az adatkezelésre (és az ilyen típusú adatkezelésekre) ne lehetne jogalapot találni.

3. Egészen biztos, hogy megsértették az érintett tájékoztatásának kötelezettségét - számomra a meglévő információk alapján ennyi, ami tutibiztos. Annak eldöntése, hogy még milyen passzust sértettek meg, szerintem további információt igényel.

elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet.

És ha csak egy "fél-gigabüntetést" szabnak majd ki? A gigabüntetés és a sajtpapír között azért van pár fokozat...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Te az ingyen és nyilván kéretlenül érkező reklámújságra gondolsz, ő meg az előfizetéses pártlapokra gondolt...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"52%-os tulajdonában levő cég követte el. elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet"
Pont itt a gond... Mivel nem olyan, hogy EU adatvédelmi hatóság jár el hanem a helyi szervek (minden osrszágban a helyi szervek tartják be a törvényeket nem az EU megy oda dádázni) így az egyik állami osztrák szervezetnek kellene megbüntetni egy másik céget ami gyakorlatilag állami vállalat (52%tulajdonrész)...
Sajnos kétlem, hogy giga büntetést szabnának ki. Valami lesz talán... de giga szinte biztos nem.

"640 kByte memória mindenre elegendő"

1. Amit leírtál az a profilalkotás... Ami szintén benne van GDPR-ban és ha nem járulsz hozzá, hogy az adataidat felhasználják rá akkor nem szabadna használni. Nem a semmiért a minden közvéleménykutatás vagy épp népszámlálás vagy minden csoda anonim és beleegyezés szükséges. (és ezek után az anonimitást is, hogy a picsbe garantálja az osztrák posta... nem hogy a belegyezést).
Itt jól össze van szedve amúgy, bár nem a legfrissebb [link]

2. Postai szolgáltatást igénybe veszed ha akarod ha nem, ez nem futárszolgálat vagy közmű ahol szerződést írsz alá. Küldenek valamit neked az állami postán azt megkapod. Feladsz valamit a postán másnak akkor se írsz alá ÁSZF-et meg adatkezelési nyilatkozatot. Tehát ez egy olyan cég ami végül adatokat tárol rólad ha akarod ha nem... ezért pont, hogy extrán oda kéne figyelni az adatkezelésre.
Tehát nincs jogalapja eladni belegyezésed nélkül a hozzád társított adatokat, vagy csak a profilt sem. (legalább is GDPR alapján nem szabadna... és a szabad és a lehet sajnos nem ugyan az)

"640 kByte memória mindenre elegendő"

na látod, erről szólt az eredeti hsz-em, hogy most kapunk egy precedens értékű jogértelmezést.
szerinted erre lehet jogos érdeken alapuló jogalapot találni, szerintem meg ezért kettő a mellbe, egy a fejbe.

1. "...a cikk szerint" a cikkben az van benne, amit a vétkes kijelentett mosakodás gyanánt.

hogy megy ez a magyar postánál: van már elektronikus feladóvevény és elektronikus postakönyv is. ha valaki levelet akar kiküldeni sok címzetnek, akkor jó eséllyel nem kézzel fogja megcímezni a leveleket és a postakönyvet sem kézzel fogja kitölteni, hanem használja a posta elektronikus rendszereit. vagyis ha pl. kapsz egy konzultációs levelet, akkor van rólad/mindenkiről egy excel tábla a postánál. ezeket összevetve és kielemezve pontosan tudják, hogy melyik párthoz tartozol. ezt kibeszélni nyilván nem fogják, nehogy a tömeg rájuk gyújtsa a székházat.

a magam részéről azt feltételezem, hogy pontosan tudnak mindenkiről minden fontosat.

az osztrák kürt meg nagyot kaszál éppen nato kompatibilis vinyó megsemmisítési szolgáltatással...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

1. Mutass rá arra a részre a GDPR-ben, ami szerint profilalkotást csak az érintett hozzájárulásával lehet végezni.
2. Semmilyen összefüggés nincs a (kvázi) monopolhelyzet és a jogalap elfogadhatósága között, egy monopolhelyzetben levő cégnek pont ugyanazokat a feltételeket kell teljesítenie egy jogos érdeken alapuló adatkezelés során, mint egy tökéletesen versenyző piac random résztvevőjének.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

a magam részéről azt feltételezem

Én szeretek tényekből kiindulni... Mindenesetre érdekes ügy, az biztos. Egyébként ha jól rémlik, már az adatkezelési tájékoztató elmaradása is elégséges a "gigabírsághoz", úgyhogy ebből a szempontból tökmindegy, hogy még hány passzus megsértését húzzák rájuk,elvileg nincs jelentősége.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

a tény az, hogy azt állítottam: kapunk egy értelmezést arról, hogy a hatóság mit gondol a gdpr-ról.
és elég, ha a vizsgáló hatóság foglalkozik a tényekkel, mi, itten a gittegyletbe' nyugodtan írhatunk véleményt is

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

tudtok olyan hatályos jogszabályról, ami előírja, hogy az adatfeldolgozást végző helyiségbe való belépést naplózni kell? emlékeim szerint régen volt ilyen, de most nem találok.

tia

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Személyes adatok kezelése vonatkozásában, vagy általánosságban?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

nem értem a kérdésedet. kell belépési napló vagy nem?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Oké, akkor egyszerűsítsük le.
Személyes adatkezelés vonatkozásában nem tudok ilyen jogszabályi kötelezettségről, de pl. a minősített adatok tekintetében igen.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Van két új határozat a NAIH oldalán, tanulságosak: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

és nem ez a kettő az, amiből lehet csemegézni...

apa, kezdődik!

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

hála a wp29-nek, találtam ilyen jogszabályt.
kiráááály

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Konkrétan?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

gdpr preambulum 49. paragrafus.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

???
GDPR innen: [link]

A preambulum 49. pontja vagy bekezdése (nem paragrafus):

(49) Az érintett adatkezelő jogos érdekének minősül a közhatalmi szervek, számítástechnikai vészhelyzetekre reagáló egység (CERT), hálózatbiztonsági incidenskezelő egységek (CSIRT), elektronikus hírközlési hálózatok üzemeltetői és szolgáltatások nyújtói, valamint biztonságtechnológiai szolgáltatók által végrehajtott olyan mértékű személyes adatkezelés, amely a hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos, vagyis adott titkossági szinten az érintett hálózat vagy információs rendszer ellenálló képessége az e hálózatokon és rendszereken tárolt vagy továbbított adatok, valamint az e hálózatok és rendszerek által nyújtott vagy rajtuk keresztül elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, integritását és bizalmas jellegét sértő véletlen eseményekkel, illetve jogellenes vagy rosszhiszemű tevékenységekkel szemben. Ez magában foglalhatja például az elektronikus kommunikációs hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú programterjesztés megakadályozását, továbbá a szolgáltatás megtagadásával járó támadások, valamint a számítógépes és elektronikus kommunikációs rendszerekben való károkozás megállítását.

Ebben nem nagyon látom hogy mire gondolsz.
Egyébként ha már kötözködök: adatfeldolgozást (ezt írtad a 119-ben), mint olyat, nem definiál a GDPR (ellentétben a régi Infotv-el). Adatkezelést, adatkezelőt, adatfeldolgozót igen. Gondolom adatkezelést értettél adatfeldolgozás alatt.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

jogszabályra hivatkozással nem tudom megoldani a kamerázást, mert nincs rá jogszabály.
de mivel nem akarom önkéntes hozzájárulással, így elsőre nem volt ötletem.
másodjára van: jogos érdek, ami többek között azon a paragrafuson is alapszik.

a bekezdést hívjuk paragrafusnak is.

"Egyébként ha már kötözködök": el is várom tőled, hogy ne végezz félmunkát, hogy nézne már ki

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Továbbra sem értem a gondolatmenetet.
Az eredeti felvetésed az volt, idézem, hogy tudtok olyan hatályos jogszabályról, ami előírja, hogy az adatfeldolgozást végző helyiségbe való belépést naplózni kell?

Az idézett pont szövege, a kiemelés (a fentiekhez hasonlóan) tőlem:
Ez magában foglalhatja például az elektronikus kommunikációs hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú programterjesztés megakadályozását, továbbá a szolgáltatás megtagadásával járó támadások, valamint a számítógépes és elektronikus kommunikációs rendszerekben való károkozás megállítását.

Tehát feltételes módban ír, nem kötelezettségként. Másrészt megakadályozásról ír, tehát egy zárt ajtó véleményem szerint elégséges (a kulcshoz értelemszerűen csak azoknak kell legyen hozzáférése, akik feljogosítottak az adatkezelésre). Ebből sehogy sem tudom kiolvasni a naplózási kötelezettséget. Egyébként a szövegkörnyezetből sokkal inkább logikai, mintsem fizikai védelemre asszociálnék (authentikáció, antimalware, tűzfal, IDS/IPS illetve DDoS védelem).

Egyébként a kamerázásvonatkozásában , ha munkahelyi (és nem mondjuk az ügyfelek, vásárolók stb. vonatkozásában jelenik meg), akkor jogalapként csak a jogos érdek jöhet szóba, ezt teljes mértékben osztom.

Egyébként (nagy általánosságban) a beléptetést szerintem csak akkor kötelező naplózni, ha a belépés egyben automatikusan az adatokhoz való hozzáférést is jelent (mint minősített adatkezelés esetén az I. osztályú biztonsági terület fogalma, amikor is az adott irodában az asztalon hevernek, elzárás nélkül a titkos doksik). Amennyiben ez nem így van (mert pl. a belépőnek még hozzá kell férnie az adatbázishoz is, praktikusan egy jelszóval, és a hozzáférés természetesen naplózódik), akkor nem kötelező a belépések naplózása.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"Továbbra sem értem a gondolatmenetet.": mert nem az egész gondolatmenetet írtam le itt, csak azt az egy-két csücskét, amihez segítséget kértem volna.

"a beléptetést szerintem csak akkor kötelező naplózni": ha jogszabály előírja vagy adott esetben a vezető kockázatviselési hajlandóságába már nem fér bele a kockázata.

kérdés: az utolsó paragrafusodban leírtak hogyan valósulnak meg abban az esetben, ha a szerverszobáról van szó, és például az adatbázishoz való hozzáférés megtörténhet a diszk kitépésével? illetve tudjuk, hogy a konzolos hozzáférést nem olyan egyszerű rendesen megvédeni abban az esetben, ha valaki fizikailag is jelen van.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A szerverszoba vonatkozásában valóban indokolt a naplózás, de szerintem azt az ISO27K és/vagy a 41/2015-ös BM rendelet előírásai indokolják, nem a GDPR (ironikus módon ez a naplózás is természetesen egy személyesadat-kezelés, aminek jogalapja - jogszabályi előírás hiányában - adot esetben a jogos érdek lehet).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

ezek közül ránk az iso 27001 és a 41/2015-ös bm rendelet sem vonatkozik.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

de nem az a kérdés, hogy én megfelelek-e a saját érdekmérlegelési tesztemen, mert nyilván megfelelek.
a kérdés az, hogy ezt a tesztet a hatóság is elfogadja-e.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nyilván, ezért kell jó tesztet csinálni... Azt gondolom, hogy a cél abszolút elfogadható, az érintettek jogai nem csorbulnak különösebben - feltéve hogy azért megfelelő korlátok kerülnek kijelölésre, pl. nem lesznek megtartva a logok évekig stb.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"nem lesznek megtartva a logok évekig stb.": nem nem, nyilván nem lesznek megtartva a logok évekig, csak addig az 5 évig, ameddig az eht megköveteli.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Melyik paragrafusra gondolsz?
A 2003. évi C. törvény - ismereteim szerint - maximum 1 év megőrzési időt ír elő bizonyos adatok vonatkozásában (mellesleg ennek elvét is erősen vitatja a NAIH, amint az egy az illetékes miniszternek címzett, a neten fellelhető NAIH levélből kitűnik), és ezen megőrzendő adatok között nem igazán szerepel a szerverszoba beléptetéséhez kapcsolódó naplózás...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

[link] találtam egy remek oktatóvideót adatvédelmi képzéshez. elsőre poénnak tűnik, de véresen komoly.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Tépett csirkés szendvics sajtos káposztasalátával???

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

van benne egy mozdulat, amire szerintem fel lehet/kell építeni az adatvédelmi képzést

aki megtalálja, kap egy virtuális hátba veregetést.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Trolling: ON

-Paradicsomos trutyi kóstolásánál.

-Buci nem kóstolásánál.

Kettő lett maradhat?

Eladó Bosch IXO nyomatékadapter 1500/db egy-több-sok mint a kínainál

ha trollkodás nélkül írtad volna, akkor a "Paradicsomos trutyi kóstolásánál." lenne a helyes válasz.

a gizi nem oda koncentrált, amit csinál (mert elfelejtette a fokhagymát, ez elvonta a figyelmét), mégis automatikusan védelmi intézkedést tesz (megfújja, hátha meleg), amikor kóstol. ezt hoznám példának arra, hogy jó lenne eljutni az adatvédelem területén is oda, hogy tudatalatti szinten berögzült védekező mechanizmusokat használjanak.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Gondoltam, hogy ilyesmire gondolsz, csak túlságosan utópisztikusnak gondoltam.

Jelenleg még az is probléma sokszor, hogy a meggypirosan izzó kanalat ne mélytorkozzák le, és ha szóváteszed akkor értetlenkednek, hogy nem is lehet az olyan forró...

Eladó Bosch IXO nyomatékadapter 1500/db egy-több-sok mint a kínainál

Most akkor én kérelmezzem, hogy ne használják az adataimat?! Nem ellentmondásos ez kicsit? Nem az lenne az alap, hogy ne használják?!

[ Szerkesztve ]

https://www.youtube.com/watch?v=mkDSGbRyjz8&list=PLVJH24yGtE_w5Ke4aWmRV8erFQmqRD1dK Minden egyes új rész rátesz még egy lapáttal :-D

De pont elvileg a belegyezést kell kérni és azt kijelenteni.

"640 kByte memória mindenre elegendő"

Használhatják, mert a névjegyzékbe felvett személyek listája "publikus" értsd pénzért megvásárolható pártoknak.
Szóval külön kell kérni a tiltást. (én már megtettem vagy 10 éve).

Ezt az oldalt is érdemes átnézni.

⭐ Stella

természetesen nem használhatja, adhatja ki, ez a btk szerint minősített bűncselekmény.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hát én máshogy tudom. Most nincs időm megkeresni a pontos leírást, ezt találtam gyorsban Google-el:

"A választási eljárásról szóló törvény (Ve.) lehetővé teszi az országgyűlési választásra nyilvántartásba vett jelölteknek, hogy a kampány céljaira a szavazóköri névjegyzékben szereplő választópolgárok nevét és lakcímét igényeljék az illetékes választási irodától, a listát állító pártok ugyanezeket az adatokat a Nemzeti Választási Irodától (NVI) kaphatták meg."

⭐ Stella

és akkor értelmező olvasással felfedezzük a "mások" vs. "nyilvántartásba vett jelöltek + pártok" illetve a "használják" vs. "kampány céljaira használják" kifejezések közötti különbséget.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

volt nagy megvilágosodás a múlt héten a gdpr 20. cikkelyével kapcsolatban...
érdeklődés esetén leírom

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az Az adathordozhatósághoz való jog? Halljuk!
Szerintem viszonylag világosan fogalmaz a rendelet, kinek kellett megvilágosodnia?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

mint írtam, nekem, és azügyben, hogy milyen értelmes felhasználása van.
maga a szabály tiszta, csak eddig lövésem nem volt, hogy mikor lehet használni.
most már tudom. például amikor másik fogorvoshoz mész.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

És milyen formátumban kaptad az adatokat? Word doksik vagy CSV file + képek?

⭐ Stella

mint írtam, nekem,

Most nem azért, de a "volt nagy megvilágosodás" kitételből, honnan kellene tudnom (nekem vagy bárkinek, rajtad kívül), hogy pont te voltál a megvilágosodás alanya, és nem bárki más (akinek a megvilágosodását figyelemmel kísérhetted, netalántán éppen te voltál az, aki a megvilágosodását okozta)???

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hm?

⭐ Stella

nem kértem ki az adatot, elméletben láttam meg a kérdést és a választ.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ügyfélkapun lehet jelezni, hogy nem járulsz hozzá a továbbiakban és többet nem kereshetnek felesleges hülyeségekkel. Többek között nemzeti konzultáció.

ha már úgyis kihalt a topic, legyen egy kis szakmai kvíz:
konkrétan meddig kell megőrizni a számlákat?

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez nem GDPR hatókör:

Az adózás rendjéről szóló 2003. évi XCII. törvény 47.§-ának (1) bekezdése értelmében, a jogszabályban előírt bizonylatot, könyvelést, nyilvántartást – ideértve a gépi adathordozón rögzített adatokat is, - úgy kell kiállítani illetve vezetni, hogy az ellenőrzésre alkalmas legyen. A 47. § szerint, az iratokat az ezek vezetésére kötelezett adózó az adóhatósághoz bejelentett helyen köteles őrizni.

Az iratokat a könyvelés, feldolgozás időtartamára más helyre lehet továbbítani, de az adóhatóság felhívására azokat 3 munkanapon belül be kell mutatni. Az iratokat az adózónak - a nyilvántartás módjától függetlenül, tehát az elektronikus számlát és egyéb iratokat is, - az adó megállapításához való jog elévüléséig, a halasztott adó esetén a halasztott adó esedékessége naptári évének utolsó napjától számított 5 évig kell megőriznie.

Ebből következik, hogy - az adózónak, vagyis bármely vállalkozásnál a vezetőnek, végelszámolás esetén a végelszámolónak, felszámoláskor a felszámolónak van megőrzési kötelezettsége, melyet a könyvelőre áthárítani nem lehet; - sokan úgy gondolják, hogy a megőrzési idő 5 év, de ez nem így van; - az adózással kapcsolatos iratok megőrzésének általános időtartama a bevallás benyújtásának éve plusz öt év, tehát valójában hat év; - az önellenőrzés is bevallás, így a benyújtás éve plusz öt év a megőrzési ideje az önellenőrzési nyilvántartással és az önellenőrzés összes bizonylatával együtt.

Ellenőrzésre a határidőben beadott bevallás évét követő ötödik év végéig bármikor sor kerülhet, ez az az időpont, ameddig mindenképp meg kell őrizni azokat az iratokat, amelyek egy ellenőrzés során relevánsak lehetnek. A számviteli törvény ennél hosszabb határidőt állapít meg: a számviteli bizonylatokat főszabály szerint nyolc évig köteles megőrizni az az adózó, aki a törvény hatálya alá tartozik.

⭐ Stella

triplán rossz válasz.
az artv-t 2017-ben lecserélték, tehát nem 2003. évi ... törvénynek hívják.
az szvtv nem mond olyat, hogy nyolc évig vagy köteles megőrizni a bizonylatokat.
a két szabály ellentmond egymásnak.
a gdpr pedig ott lép be a képbe, hogy a bizonylatok személyes adatokat is tartalmaznak, így azokat addig kezelheted, amíg van rájuk jogalap.

ha triviális lenne, nem kérdeztem volna...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Számviteli (vagy hívd akárminek) törvény felülírja GDPR-t, ezt már kimondták a májusi bevezetés előtt is.

⭐ Stella

egyrészt nem írja felül, mert nincs közöttük ellentmondás.
másrészt nem írja felül, mert a gdpr magasabb rendű jogszabály.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Honnan veszed, hogy magasabb rendű GDPR? Bocs, de ez nagyon nem így van. Nem semmisíthetsz meg számlákat azért, mert az ügyfél visszavonta a hozzájárulását személyes adatainak kezeléséhez.

⭐ Stella

van itt baj...
miért semmisítenék meg számlákat csak azért, mert az ügyfél visszavonta a hozzájárulását a személyes adatainak kezeléséhez???

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hagyjuk.

A kérdésedre a válasz: 8 évig.

Over and out.

⭐ Stella

szerintem meg ne hagyjuk.

mivel a gdpr rendelet, ezért az a tagállami jogban további jogi aktus nélkül alkalmazandó. ezt úgy oldották meg, hogy egy törvénnyel kigyalultak mindent az infotörvényből, amire a gdpr vonatkozik.

a számlát nem az ügyfél hozzájárulása alapján kezelem, tehát az ügyfélnek nincs lehetősége azt visszavonni.
A kérdésemre pedig nem válasz a nyolc év, a számviteli törvény nem ír ilyet.

engem még mindig érdekel, hogy tud-e valaki konkrét, hihető, paragrafussal alátámasztott választ.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

https://net.jogtar.hu/jogszabaly?docid=a0000100.tv

Nekem anno a könyvelő ezt küldte amikor rákérdeztem, és ebben 8 évet említenek. Azért kérdeztem rá mert az adózás rendjéről szóló törvény 5 éve ír elő, de ez meg 8 at és elvileg felülírja.

A bizonylatok megőrzése
169. § (1) * A gazdálkodó az üzleti évről készített beszámolót, az üzleti jelentést, valamint az azokat alátámasztó leltárt, értékelést, főkönyvi kivonatot, továbbá a naplófőkönyvet, vagy más, a törvény követelményeinek megfelelő nyilvántartást olvasható formában legalább 8 évig köteles megőrizni.
(2) * A könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot (ideértve a főkönyvi számlákat, az analitikus, illetve részletező nyilvántartásokat is), legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni.
(3) A szigorú számadású bizonylatok rontott példányaira is vonatkozik a (2) bekezdés szerinti megőrzési kötelezettség.
(4) A megőrzési időn belüli szervezeti változás (ideértve a jogutód nélküli megszűnést is) nem hatálytalanítja e kötelezettséget, így az (1), illetve (2) bekezdés szerinti bizonylatok megőrzéséről a szervezeti változás végrehajtásakor intézkedni kell.
(5) * Az elektronikus formában kiállított bizonylatot - a digitális archiválás szabályairól szóló jogszabály előírásainak figyelembevételével - elektronikus formában kell megőrizni, oly módon, hogy az alkalmazott módszer biztosítsa a bizonylat összes adatának késedelem nélküli előállítását, folyamatos leolvashatóságát, illetve kizárja az utólagos módosítás lehetőségét.
(6) * Az eredetileg nem elektronikus formában kiállított bizonylatról - a papíralapú dokumentumokról elektronikus úton történő másolat készítésének szabályairól szóló jogszabály előírásainak figyelembevételével - készített elektronikus másolattal az e törvény szerinti bizonylatmegőrzési kötelezettség teljesíthető, ha a másolatkészítés alkalmazott módszere biztosítja az eredeti bizonylat összes adatának késedelem nélküli előállítását, folyamatos leolvashatóságát, illetve kizárja az utólagos módosítás lehetőségét.

"640 kByte memória mindenre elegendő"

no, közeledünk, de ebben sem 8 évet emlegetnek.

jól láthatóan a második bekezdés azt mondja, hogy a számlákat LEGALÁBB 8 évig meg kell őrizni. Ehhez képest az első meg azt, hogy a mérleget legalább 8 évig meg kell őrizni (egyes esetekben 10 évig), és a második bekezdés miatt addig, amíg a mérleget őrzöd, addig a számlákat is kell.

Ha 2010. januárjában kiállítottam egy számlát, azt a 2011. májusában beadott mérlegben szerepeltetem, azt alsó hangon, ha semmi más eset nem történik, 2019. májusában dobom ki. Tehát a számlát MINIMUM 9 évig meg kell őriznem, feltéve, hogy semmi más nem történik.

De ezzel az állítással két baj van:
1. én jutottam el idáig, hivatalos megerősítésről nem tudok
2. sérti a gdpr-t.

azért sérti a gdpr-t, mert ha a 2017. évi, ismétlem, kétezer-tizenhét évi CL. törvény 78-as és 202-es paragrafusait nézzük, az arról szól, hogy az adólevonási jog elévüléséig kell tárolni a bizonylatokat. Ez logikus, amíg a nav-nak intézkedési joga van, addig legyen meg az azt bizonyító vagy cáfoló bizonylat. Csak ez 6 évről szól (a beszámoló beadása évének dec. 31-hez képest 5 év), tehát az szvtv + három évet előír úgy, hogy ahhoz már joghatás nem tartozik, ami sérti a gdpr-t.

más: egy informatikai szakportálon tudjunk már különbséget tenni az = és a <=, >= operátorok között, mert ez szégyen.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Igaz. Amúgy én is nézegettem most és nem találtam semmit, bár nem hiszem el, hogy pl könyvelő cégek nem kértek már jogorvoslatot vagy hivatalos állásfoglalást (ami elvileg publikus), csak nem nagyon találni (legalább is én nem találtam).

"640 kByte memória mindenre elegendő"

nem vettem észre korábban, de megkaptuk a precedens értékű jogértelmezést: 18 millió euró
[link]

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Sziasztok!
Van arról bármilyen tapasztalat, hogy külföldi szerveren lévő honlap üzeneltetőinek mennyire megy utána a NAIH egy eljárás esetén?

Tegyük fel, hogy adott egy kisebb forgalmú fórum weboldal, magyar nyelven, magyar felhasználóknak. Az üzemeltető magánszemély , üzleti tevékenységet nem végez, hobbi célból üzenelteti az oldalt és teljesen anoním próbál maradni, semmilyen információt nem oszt meg magáról.

Az oldal egy USA szolgáltatónál lévő szerveren fut és a .com végződésű domain név egy másik USA szolgáltatónál van hostingolva rejtett adatokkal.

Az oldal nem felel meg a GDPR előírásoknak, nincs NAIH száma. Mi történik ha valaki mondjuk feljelenti az oldalt a NAIH-nál?

Ilyen esetben merre indul el a NAIH? Elindul egyáltalán valamerre? A web hosting cégtől vagy a domain szolgáltatótól fogja kikérni az üzemeltető adatait, esetleg mindkettőtől?
És az USA cégek ilyen megkeresés esetén teljesen együttműködnek és kiadnak minden kért információt az ügyfelükről?

Van ilyen vagy hasonló esetre bármilyen példa, precedens? Ha nincs, akkor szerintetek mi lehett a legvalószínűbb forgatókönyv?

[ Szerkesztve ]

nem tudok precedensről, ezért amit írok, az hit:
1. attól függ a naih aktivitása, hogy mekkora kárt okoz a weblap, vagyis mekkora bírságot lehet rá kiróni ELVILEG.
ha a weblap nem sok vizet zavar, arra szavaznék, hogy tesznek a beadványra.

konkrét ellenirányú tapasztalatom van: ha a jogsértés várhatóan komolyabb, arra azonnal ugranak.

2. az is számít, hogy milyen minőségű a beadvány. tartok tőle, hogy ebben az esetben oda kell figyelni, hogy mindent beleírj, ami számít.

3. összességében azt gondolom, hogy reális és magas valószínűsége van annak, hogy nem fognak foglalkozni a beadvánnyal. ebben az esetben mehetsz más eu-s adatvédelmi hatóságokhoz. sajnos fennáll a veszélye, hogy nulla reakciót kapsz, ami azért gond, mert hitem szerint akkor mehetsz felsőbb hatósághoz, ha a helyitől van elutasításod.

4. fogalmam sincs, mekkora reakciót vált ki az amcsi cégekből ez. van rá reális esély, hogy szintén tesznek az egészre.

ja, fontos, hogy a megfelelő hatóságnak írj!!! Magyarországon internetes szolgáltatással kapcsolatban KETTŐ darab hatóság van: a NAIH és az NMHH. ha nem találod el, hogy melyiknek kell az adott témában írni, simán lepattintanak.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nagyszerű leírás, hálásan köszönöm a részletes választ!

köteles vagy személyhez kötni az ip címet, konkrétan az adott internet kapcsolatra szerződő félhez. tehát ha elkövetnek egy disznóságot a neten, nem biztos, hogy a szolgáltató meg tudja mondani, hogy ki tette, de azt biztosan meg tudja, hogy ki a szerződő fél, akihez a rendőrséget továbbküldik.

a natolt hálózatok esetén pedig tárolni kell a nat táblát, különben a rendőrség szétrúgja a se..d hátsódat. ezt onnan tudom ennyire konkrétan, hogy az enyémmel már megtették.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

egy adat nem attól függően személyes adat vagy sem, hogy valaki tudja-e belőle azonosítani az érintettet, hanem attól, hogy lehet-e azonosítani.

az ip cím alapján történő azonosítást nem a hárombetűsök végzik, hanem a szolgáltató.

a routered logja háztáji adatkezelésnek minősül, tehát elvileg tárolhatod, amíg nem dolgozod fel.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Sziasztok,

Egy hobbi blogoldal (Wordpress) létrehozásába vágtam a fejszémet, a design és az oldal váza már készen van, viszont most újra visszaléptem jó sokat a GDPR miatt.

Nincs hozzászólási lehetőség, nincs felhasználói fiókozás, viszont egy kapcsolatfelvételi űrlapon meg kellene adni az illető nevét és címét ha szeretne írni bármilyen ötletet/véleményt
(ezen adatokat nem is tárolja a Contact Form 7 plugin).

Van erre valami pár mondatos/bekezdéses minta?

Sütik is csak a beágyazott youtube videók (saját felvételek) miatt vannak, amiket az alábbi szöveggel úgy érzem lefedek. Ez a szöveg minden oldalról elérhető lesz az "Adatvédelem és adatkezelés" linkre kattintva.
"A www.*.hu domain alatt üzemelő webportál működtetője az alábbi tájékoztatást adja a portállal kapcsolatos adatkezelési tudnivalókról.

Sütik kezelése
A portál nem helyez el semmilyen sütit az érdeklődő látogatók számítógépén. (A portál kinevezett szerkesztőinek, kezelőinek a gépein a rendszer kezeléséhez szükséges munkamenet sütik tárolódnak.)

Egyéb követőkódok
A portál saját rendszere semmilyen követőkódot nem telepít (harmadik féltől származót sem).

Harmadik féltől származó tartalmak
Előfordulhat, hogy egyes tartalmaknál külső forrásból beágyazott tartalom (pl. videó) jelenik meg, ami úgy viselkedik, mintha meglátogattunk volna egy másik honlapot. Ez a (külső) webhely lehetséges, hogy adatot gyűjt a látogatókról, sütiket vagy harmadik féltől származó követőkódot használ, figyeli a beágyazott tartalommal kapcsolatos felhasználói viselkedést,
ha rendelkezünk felhasználói fiókkal és be vagyunk jelentkezve az oldalra."

Szvsz bőven elég, ha az eddig meglévő adatkezelés szöveghez hozzácsapod, hogy az oldal NEM GYÚJT, NEM TÁROL semmilyen személyes adatot, a kapcsolat form is csak egy emailt küld az oldal szerkesztőinek.

Én kérek elnézést!

"csak egy emailt küld az oldal szerkesztőinek.": vagyis a logokban tárolod a személyes adatait.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hja, de ha nem saját szerveren fut a cucc (99%-ban nem saját szerveren futnak az ilyen minimalista projektek)? Akkor ránézni se tudok a szerver logokra.

Én kérek elnézést!

Köszönöm, reméltem hogy olcsón megúszom.

bambano Direkt utánaolvastam, "ezen adatokat nem is tárolja a Contact Form 7 plugin".
Ha tennék külön a pluginhoz adatbázist, akkor tárolná és nem "veszhetne el" üzenet. Nekem erre nincs szükségem, odaírom, hogy ha egy héten belül nem reagálok, vegye fel újra a kapcsolatot.

Az email szerver, amit használsz tárolja el, hogy mikor kinek küldött emailt, amire neked nincs túl sok ráhatásod, hogy mikor törlődik, pláne ha gmailt tervezel. Nem tudom, hogy ilyenkor mit lenne érdemes írni, mert ugye átadod a google-nek az adatokat, akik meg egyből elmentik a címjegyzékbe és még ki tudja hova. Utána kéne nézni a gmail adatvédelmi tájékoztatójának, és hogy hogyan lehet végleges törlést kérni a címekre. Plusz ha a te szervered küldi a gmail-es címedre a levelet, akkor a szerver üzemeltetőjétől is kéne kérni valami infot, hogy az email szerver logjaiban mi jelenik meg, és ha ott van a név és a cím, akkor az mikorra tűnik el belőlük.

Azt nem tudom, hogyha csak email címet teszel ki űrlap nélkül, akkor mi a helyzet. Mármint akkor is van e ez az adatkezelési herce hurca, de gyanítom, hogy van.

[ Szerkesztve ]

Buliban hasznos! =]

Az alapvető gondom ebben az egész történetben az, hogy azon rugózok (én hülye) miként ne sértsem senki jogait egy nyavalyás email küldésben.
Gondolom ez 10000 emberből egynek jut eszébe, aki sajnos pont én vagyok.

Az email cím kirakásnál pedig elegánsabb megoldást szeretnék.

Amúgy lesz párhuzamosan egy Facebook oldal is, ahová kikerülne a friss bejegyzés esetleg egy-két képpel megspékelve. Oda meg úgyis boldog boldogtalan kommentelhet, zaklathat, stb.

Hát ha nem akarsz ezzel szórakozni, akkor dobod az űrlapot, és beírod, hogy facebook-on zargassanak az ötleteikkel. Sajnos ilyen a GDPR. Nem tudom mennyire veszik komolyan ezeket amúgy, mert néhány email cím és név nem képez valami hatalmas értéket. Szóval akár össze is csaphatod az alapján, amiket írtam. A lényeg, hogy a minimumra törekedj a lehetőségekhez képest, és hogy a jogalapot írd le minden tárolt személyes adatra, illetve, hogy mikor kerül törlésre. Ha ez megvan, akkor nem hiszem, hogy belekötnek, mert triviális adatokról van szó, amiket mindenki mindenhol megad. De körül is nézhetsz, hogy más cégek hogyan csinálják ezt. Én láttam régebben valami tök jó GDPR-es tájékoztatót, el is mentettem a linket, de annyi bookmarkom van, hogy sajnos elveszik közöttük minden már.

Buliban hasznos! =]

Elegánsabb megoldás az lenne, ha adatbázisban tárolnád és gmail helyett a hosting szolgáltató emailes rendszerét használnád a levelezésre. Így elég lenne a szolgáltatódat megkérdezni, hogy mi a helyzet az email logokkal, az adatbázisodból meg akkor törlöd a véleményt, amikor akarod. A nick név jó ötlet a teljes név helyett. Lehet még tovább finomítani rajta, hogy kiveszed az emailt a rendszerből, és egy egyedi kulccsal lehet elérni a beszélgetést, ha több levélváltást akarsz, a kulcsot meg mondjuk cookie-ban lehetne tárolni a felhasználó böngészőjében. Aztán be lehet tenni egy törlés gombot, arra az esetre, ha az illető törölni szeretné a beszélgetést. Szóval az email kiiktatásával szerintem sokat tudnál dobni a rendszeren, de van annyi hátránya, hogy a felhasználó nem fog értesülni arról, hogy válaszoltál a kérdésére, csak akkor, ha visszanéz az oldalra.

[ Szerkesztve ]

Buliban hasznos! =]

a jogalapot írd le minden tárolt személyes adatra, illetve, hogy mikor kerül törlésre

Itt most arra gondolsz, hogy bárki kérheti adatai törlését vagy arra, hogy GDPR törvény javasolja a régóta tárolt, de nem használt adatok törlését? (pl regisztrált az oldalra 3 éve de azóta nem is járt az oldal közelében)

⭐ Stella

Jajj, egyre körülményesebbnek érzem ezt az egész sztorit.
Értem én, hogy jogalap, meg törlés, de mi hajtja?

Szóval. Nem vendégkönyv, nem csevegés, nincs regisztráció, nincs adattárolás.
Egy emailt küldene nekem a rendszer (nem, nem ment el semmit adatbázisba) ha valaki arra fogékony, hogy megdicsér, kötekszik, javasol, átkoz, stb.
Most ott tartok, hogy becenév és email sem kötelező mező, csak akkor, ha választ is remél...

Van egy olyan alapelv a minimumra törekvés mellett, hogy időben is próbálják minimalizálni, hogy meddig tárolják le. Szóval ha nem fontos, hogy ott maradjon, akkor egy idő után lehet törölni, pl a 3 éve nem bejelentkezett felhasználók ilyenek. A fenti példa azért érdekes, mert akár az utolsó üzenet után néhány héttel már törölhetőek a beszélgetések a személyes adatokkal együtt.

Buliban hasznos! =]

De van adattárolás, csak áthárítod a gmail-re és az összes adatot titkosítatlan csatornán küldöd el nekik. Egy adatbázis ennél egyszerűbb adatvédelmi szempontból, mert ott marad az oldal szerverén, nem adod át harmadik félnek, maximum a hosting szolgáltatód lát bele.

[ Szerkesztve ]

Buliban hasznos! =]

Sziasztok,

multi cégnél ahol dolgozom, most kötelezővé teszik az extra azonosítást (SMS, hívás, vagy ujjlenyomat) a céges környezet eléréséhez. Mivel nincs céges telefon, ezért a saját telefonszám használata kötelező.
Ez szerintetek mennyire GDPR kompatibilis, hogy saját számot kell megadni?
Köszi!

szerintem egyrészt nem annyira az. én vacilálnék a válasz fölött, de inkább nem, mint igen.
másrészt az a probléma ezzel, amit normális cég nem kockáztat, hogy minden önkéntes hozzájáruláson alapuló adatkezelés visszavonható. tehát ha azt akarják, hogy add meg a telefonszámodat, akkor mondd meg nekik, hogy jogod van a telefonszámod kezelésére adott felhatalmazást bármikor visszavonni és ezt kötelesek végrehajtani.

ebből nagyságrendekkel nagyobb kalamajka szokott következni, minthogy adjanak neked egy céges telefont.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Köszönöm a választ! Ami érdekessé teszi, az az hogy a Microsoft Azure-on keresztül megy az egész MFA. Azt mondják, hogy a telefonszám a mi cégünknél marad, és csak bizonyos emberek férhetnek hozzá, bizonyos esetekben. De ha meghallom, hogy Microsoft, már feláll a szőr a hátamon. Céges telefont nem fognak adni és nyilván az lesz, hogyha nem tetszik lehet menni (SSC Budapesten). Nem kényszerítenek, de mégis.

Főként kormányközeli oldalakon (pl origo) látok olyat, hogy cookie-k elfogadása, illetve ennek beállítása kapcsán feljön egy ablak százas nagyságrendű beállítással, amik egy része bekapcsolt állapotú és csak egyesével lehet tiltani őket.
Legutóbb a metropol.hu oldalon futottam bele.
A bekapcsoltak mellett egy olyan szöveg szerepel, hogy "Jogos érdek", magyarázatként meg az, hogy egyes szolgáltatók a beleegyezésem nélkül is kezelhetik a személyes adataimat.
Tudja valaki, hogy mi ez a jogos érdeknek nevezett dolog és mennyire legális?
És az, hogy annyi van, hogy kb húsz-huszonöt perc, mire minden ilyen bekapcsolt cookie-t letiltok?
Ezek nem sértik a GDPR-t?

a jogos érdek egy jogalap az adataid kezelésére, és ha tisztességes szakember tisztességesen lepapírozta, akkor legális.
adatkezelők akkor kezelhetik a beleegyezésed nélkül az adataidat, ha arra jogszabályi felhatalmazásuk van.

ennél bővebb infó hiányában csak feltételezni tudom, állítani nem, hogy nem sérti.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ha unatkoznál és nem sajnálod ha a reggelid visszajön, nyisd meg az origo.hu vagy a metropol.hu című szennylapok valamelyikét olyan böngészőből, amiben nincs ott egyetlen cookie-juk sem! Azt hiszem, a privát ablak nem nyerő, de ez most belegondolva lehet a 3rd party cookie-k blokkolása miatt.
Ezen a két oldalon biztosan megjelenik a nehezményezett rész.
És én hiányolom részükről az érdemi magyarázatot.

De idézem:

"Mit jelent a jogos érdek?

Vannak olyan szolgáltatók, amelyek nem kérik az Ön hozzájárulását, de jogos érdekeik alapján felhasználják az Ön személyes adatait."

Ez kb az amit te is írsz, csak ez nekem inkább jogi maszatolásnak tűnik, nem legális felhasználásnak.
És ahogy írtam, látszólag ezek is tilthatóak, de csak egyesével, ami gyakorlatilag lehetetlenné teszi a tiltást.

De időközben találtam egy szolgáltató specifikus listát, ami szolgáltatónként változik:

"Jogos érdek:
Biztonság, csalás megelőzése és hibakeresés biztosítása
Hirdetés vagy tartalom technikai szolgáltatása

Adatgyűjtési módok:
Offline adatforrások egyeztetése és összevonásaKülönböző eszközök összekapcsolása
Az automatikusan elküldött eszközjellemzők fogadása és felhasználása az azonosításhoz
Pontos geolokációs adatok felhasználása"

Ezzel gyakorlatilag a jogos érdekre hivatkozva megkerülik a tiltásomat alapesetben.