[link] az osztrák posta a lakosság egyharmadának személyes adatait eladta.

most fogunk látni egy hatályos jogszabályértelmezést, amiből minden kiderül a gdpr-ral kapcsolatban.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Érdekes hír, több kérdést is felvet:
1. A "feltételezett politikai hovatartozás" személyes adatnak minősül?
2. Az adatkezelés jogalapja vajon mi lehetett a Posta szerint?
3. Kíváncsi vagyok a véleményedre: konkrétan melyik előírását sértették meg egészen biztosan a GDPR-nek?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Jah, és egy másik hír: amikor túltolják a GDPR-t:
[link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"1. A "feltételezett politikai hovatartozás" személyes adatnak minősül?": igen.
9. cikk. 1. bek:
"A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok"

a posta elég pontosan meg tudja állapítani a politikai véleményedet abból, hogy milyen újságot rendelsz, milyen pártoktól kapsz gyakrabban levelet. tehát ha azt adta el, hogy te x párt tagja vagy, az találgatás, és vitatható, hogy személyes adat-e, de ha azt adta el, hogy te megrendelted x politikai csoportosulással azonosított újságot, az konkrétan személyes adat, ami politikai véleményre utal.

"2. Az adatkezelés jogalapja vajon mi lehetett a Posta szerint?": nyilván téves jogalap.

"3. Kíváncsi vagyok a véleményedre: konkrétan melyik előírását sértették meg egészen biztosan a GDPR-nek?": van néhány, amit nem sértettek meg... egyrészt olyan célból kezeltek adatokat, amire nem volt jogalapjuk. másrészt olyan helyre továbbították az adatokat, ahol nem lehetett biztosítani az érintettek jogait, se a törléshez, se a betekintéshez, stb. semmihez való jogot nem tudsz biztosítani, mert nem tudod, hogy hova került az adatod. ehhez nem kértek és kaptak engedélyt.

Szerintem az alapkérdés egyszerű: az osztrák állam egy jelentős befizetője az eu-nak. a hibát az osztrák állam 52%-os tulajdonában levő cég követte el. elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

egyébként a profilalkotással kapcsolatos cikkeket is megszeghették...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hát én pont az egy adott párttól érkező újságot rakom a macska alom és a tartó közé, mert remekül felszívja a folyékony eredményt. Sokszor szándékosan ha van rajta arckép akkor az nézzen felfelé (jó jó persze rákerül az alom). És amikor dobom ki az almot akkor egybe kicsúszik, nem marad az alomtartó alján macskapiszok.
De persze a színes képek egyes színei olykor ráragadnak az aljára. Ki szoktam mosni.
Szóval nálam eléggé nehéz megállapítani a politikai hovatartozást.
(nem vicc, valóban így csinálom!)

[ Szerkesztve ]

Vintage Story PH szervere újra fut!

Nos, akkor menjünk sorban.

1. A feltételezett politikai hovatartozást a cikk szerint az "életkor, a nem, a cím és a szavazókörök adatainak összevetésével állították össze". Ebből nekem az jön le, hogy összevetették hogy adott szavazókörben milyen pártra szavaztak legtöbben (életkor és nem szerinti megoszlásban), és ezt kezelték. Véleményem szerint ez nem meríti ki az általad idézett definíciót, mivel a lfenti összehasonlítás aligha alkalmas a feltételezett politikai hovatartozás értelmes megállapításához (hiszem még az is lehet, hogy adott érintett nem is a lakhelye szerinti szavazókörben szavazott). A régi Infotv-es definíció ("...levont következtetés...") alapján én is hajlanék a véleményedre, de a GDPR-es terminológia alapján inkább nem.

2. Téves jogalap? Jogos érdeken alapuló adatkezelés még lehet (persze ehhez kell érdekmérlegelési teszt is), tehát azt biztos nem mondanám rá élből, hogy erre az adatkezelésre (és az ilyen típusú adatkezelésekre) ne lehetne jogalapot találni.

3. Egészen biztos, hogy megsértették az érintett tájékoztatásának kötelezettségét - számomra a meglévő információk alapján ennyi, ami tutibiztos. Annak eldöntése, hogy még milyen passzust sértettek meg, szerintem további információt igényel.

elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet.

És ha csak egy "fél-gigabüntetést" szabnak majd ki? A gigabüntetés és a sajtpapír között azért van pár fokozat...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Te az ingyen és nyilván kéretlenül érkező reklámújságra gondolsz, ő meg az előfizetéses pártlapokra gondolt...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"52%-os tulajdonában levő cég követte el. elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet"
Pont itt a gond... Mivel nem olyan, hogy EU adatvédelmi hatóság jár el hanem a helyi szervek (minden osrszágban a helyi szervek tartják be a törvényeket nem az EU megy oda dádázni) így az egyik állami osztrák szervezetnek kellene megbüntetni egy másik céget ami gyakorlatilag állami vállalat (52%tulajdonrész)...
Sajnos kétlem, hogy giga büntetést szabnának ki. Valami lesz talán... de giga szinte biztos nem.

"640 kByte memória mindenre elegendő"

1. Amit leírtál az a profilalkotás... Ami szintén benne van GDPR-ban és ha nem járulsz hozzá, hogy az adataidat felhasználják rá akkor nem szabadna használni. Nem a semmiért a minden közvéleménykutatás vagy épp népszámlálás vagy minden csoda anonim és beleegyezés szükséges. (és ezek után az anonimitást is, hogy a picsbe garantálja az osztrák posta... nem hogy a belegyezést).
Itt jól össze van szedve amúgy, bár nem a legfrissebb [link]

2. Postai szolgáltatást igénybe veszed ha akarod ha nem, ez nem futárszolgálat vagy közmű ahol szerződést írsz alá. Küldenek valamit neked az állami postán azt megkapod. Feladsz valamit a postán másnak akkor se írsz alá ÁSZF-et meg adatkezelési nyilatkozatot. Tehát ez egy olyan cég ami végül adatokat tárol rólad ha akarod ha nem... ezért pont, hogy extrán oda kéne figyelni az adatkezelésre.
Tehát nincs jogalapja eladni belegyezésed nélkül a hozzád társított adatokat, vagy csak a profilt sem. (legalább is GDPR alapján nem szabadna... és a szabad és a lehet sajnos nem ugyan az)

"640 kByte memória mindenre elegendő"

na látod, erről szólt az eredeti hsz-em, hogy most kapunk egy precedens értékű jogértelmezést.
szerinted erre lehet jogos érdeken alapuló jogalapot találni, szerintem meg ezért kettő a mellbe, egy a fejbe.

1. "...a cikk szerint" a cikkben az van benne, amit a vétkes kijelentett mosakodás gyanánt.

hogy megy ez a magyar postánál: van már elektronikus feladóvevény és elektronikus postakönyv is. ha valaki levelet akar kiküldeni sok címzetnek, akkor jó eséllyel nem kézzel fogja megcímezni a leveleket és a postakönyvet sem kézzel fogja kitölteni, hanem használja a posta elektronikus rendszereit. vagyis ha pl. kapsz egy konzultációs levelet, akkor van rólad/mindenkiről egy excel tábla a postánál. ezeket összevetve és kielemezve pontosan tudják, hogy melyik párthoz tartozol. ezt kibeszélni nyilván nem fogják, nehogy a tömeg rájuk gyújtsa a székházat.

a magam részéről azt feltételezem, hogy pontosan tudnak mindenkiről minden fontosat.

az osztrák kürt meg nagyot kaszál éppen nato kompatibilis vinyó megsemmisítési szolgáltatással...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

1. Mutass rá arra a részre a GDPR-ben, ami szerint profilalkotást csak az érintett hozzájárulásával lehet végezni.
2. Semmilyen összefüggés nincs a (kvázi) monopolhelyzet és a jogalap elfogadhatósága között, egy monopolhelyzetben levő cégnek pont ugyanazokat a feltételeket kell teljesítenie egy jogos érdeken alapuló adatkezelés során, mint egy tökéletesen versenyző piac random résztvevőjének.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

a magam részéről azt feltételezem

Én szeretek tényekből kiindulni... Mindenesetre érdekes ügy, az biztos. Egyébként ha jól rémlik, már az adatkezelési tájékoztató elmaradása is elégséges a "gigabírsághoz", úgyhogy ebből a szempontból tökmindegy, hogy még hány passzus megsértését húzzák rájuk,elvileg nincs jelentősége.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

a tény az, hogy azt állítottam: kapunk egy értelmezést arról, hogy a hatóság mit gondol a gdpr-ról.
és elég, ha a vizsgáló hatóság foglalkozik a tényekkel, mi, itten a gittegyletbe' nyugodtan írhatunk véleményt is

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

tudtok olyan hatályos jogszabályról, ami előírja, hogy az adatfeldolgozást végző helyiségbe való belépést naplózni kell? emlékeim szerint régen volt ilyen, de most nem találok.

tia

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Személyes adatok kezelése vonatkozásában, vagy általánosságban?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

nem értem a kérdésedet. kell belépési napló vagy nem?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Oké, akkor egyszerűsítsük le.
Személyes adatkezelés vonatkozásában nem tudok ilyen jogszabályi kötelezettségről, de pl. a minősített adatok tekintetében igen.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Van két új határozat a NAIH oldalán, tanulságosak: [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

és nem ez a kettő az, amiből lehet csemegézni...

apa, kezdődik!

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

hála a wp29-nek, találtam ilyen jogszabályt.
kiráááály

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Konkrétan?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

gdpr preambulum 49. paragrafus.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

???
GDPR innen: [link]

A preambulum 49. pontja vagy bekezdése (nem paragrafus):

(49) Az érintett adatkezelő jogos érdekének minősül a közhatalmi szervek, számítástechnikai vészhelyzetekre reagáló egység (CERT), hálózatbiztonsági incidenskezelő egységek (CSIRT), elektronikus hírközlési hálózatok üzemeltetői és szolgáltatások nyújtói, valamint biztonságtechnológiai szolgáltatók által végrehajtott olyan mértékű személyes adatkezelés, amely a hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos, vagyis adott titkossági szinten az érintett hálózat vagy információs rendszer ellenálló képessége az e hálózatokon és rendszereken tárolt vagy továbbított adatok, valamint az e hálózatok és rendszerek által nyújtott vagy rajtuk keresztül elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, integritását és bizalmas jellegét sértő véletlen eseményekkel, illetve jogellenes vagy rosszhiszemű tevékenységekkel szemben. Ez magában foglalhatja például az elektronikus kommunikációs hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú programterjesztés megakadályozását, továbbá a szolgáltatás megtagadásával járó támadások, valamint a számítógépes és elektronikus kommunikációs rendszerekben való károkozás megállítását.

Ebben nem nagyon látom hogy mire gondolsz.
Egyébként ha már kötözködök: adatfeldolgozást (ezt írtad a 119-ben), mint olyat, nem definiál a GDPR (ellentétben a régi Infotv-el). Adatkezelést, adatkezelőt, adatfeldolgozót igen. Gondolom adatkezelést értettél adatfeldolgozás alatt.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

jogszabályra hivatkozással nem tudom megoldani a kamerázást, mert nincs rá jogszabály.
de mivel nem akarom önkéntes hozzájárulással, így elsőre nem volt ötletem.
másodjára van: jogos érdek, ami többek között azon a paragrafuson is alapszik.

a bekezdést hívjuk paragrafusnak is.

"Egyébként ha már kötözködök": el is várom tőled, hogy ne végezz félmunkát, hogy nézne már ki

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Továbbra sem értem a gondolatmenetet.
Az eredeti felvetésed az volt, idézem, hogy tudtok olyan hatályos jogszabályról, ami előírja, hogy az adatfeldolgozást végző helyiségbe való belépést naplózni kell?

Az idézett pont szövege, a kiemelés (a fentiekhez hasonlóan) tőlem:
Ez magában foglalhatja például az elektronikus kommunikációs hálózatokhoz való engedély nélküli hozzáférés és a rosszindulatú programterjesztés megakadályozását, továbbá a szolgáltatás megtagadásával járó támadások, valamint a számítógépes és elektronikus kommunikációs rendszerekben való károkozás megállítását.

Tehát feltételes módban ír, nem kötelezettségként. Másrészt megakadályozásról ír, tehát egy zárt ajtó véleményem szerint elégséges (a kulcshoz értelemszerűen csak azoknak kell legyen hozzáférése, akik feljogosítottak az adatkezelésre). Ebből sehogy sem tudom kiolvasni a naplózási kötelezettséget. Egyébként a szövegkörnyezetből sokkal inkább logikai, mintsem fizikai védelemre asszociálnék (authentikáció, antimalware, tűzfal, IDS/IPS illetve DDoS védelem).

Egyébként a kamerázásvonatkozásában , ha munkahelyi (és nem mondjuk az ügyfelek, vásárolók stb. vonatkozásában jelenik meg), akkor jogalapként csak a jogos érdek jöhet szóba, ezt teljes mértékben osztom.

Egyébként (nagy általánosságban) a beléptetést szerintem csak akkor kötelező naplózni, ha a belépés egyben automatikusan az adatokhoz való hozzáférést is jelent (mint minősített adatkezelés esetén az I. osztályú biztonsági terület fogalma, amikor is az adott irodában az asztalon hevernek, elzárás nélkül a titkos doksik). Amennyiben ez nem így van (mert pl. a belépőnek még hozzá kell férnie az adatbázishoz is, praktikusan egy jelszóval, és a hozzáférés természetesen naplózódik), akkor nem kötelező a belépések naplózása.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"Továbbra sem értem a gondolatmenetet.": mert nem az egész gondolatmenetet írtam le itt, csak azt az egy-két csücskét, amihez segítséget kértem volna.

"a beléptetést szerintem csak akkor kötelező naplózni": ha jogszabály előírja vagy adott esetben a vezető kockázatviselési hajlandóságába már nem fér bele a kockázata.

kérdés: az utolsó paragrafusodban leírtak hogyan valósulnak meg abban az esetben, ha a szerverszobáról van szó, és például az adatbázishoz való hozzáférés megtörténhet a diszk kitépésével? illetve tudjuk, hogy a konzolos hozzáférést nem olyan egyszerű rendesen megvédeni abban az esetben, ha valaki fizikailag is jelen van.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A szerverszoba vonatkozásában valóban indokolt a naplózás, de szerintem azt az ISO27K és/vagy a 41/2015-ös BM rendelet előírásai indokolják, nem a GDPR (ironikus módon ez a naplózás is természetesen egy személyesadat-kezelés, aminek jogalapja - jogszabályi előírás hiányában - adot esetben a jogos érdek lehet).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

ezek közül ránk az iso 27001 és a 41/2015-ös bm rendelet sem vonatkozik.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

de nem az a kérdés, hogy én megfelelek-e a saját érdekmérlegelési tesztemen, mert nyilván megfelelek.
a kérdés az, hogy ezt a tesztet a hatóság is elfogadja-e.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nyilván, ezért kell jó tesztet csinálni... Azt gondolom, hogy a cél abszolút elfogadható, az érintettek jogai nem csorbulnak különösebben - feltéve hogy azért megfelelő korlátok kerülnek kijelölésre, pl. nem lesznek megtartva a logok évekig stb.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

"nem lesznek megtartva a logok évekig stb.": nem nem, nyilván nem lesznek megtartva a logok évekig, csak addig az 5 évig, ameddig az eht megköveteli.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Melyik paragrafusra gondolsz?
A 2003. évi C. törvény - ismereteim szerint - maximum 1 év megőrzési időt ír elő bizonyos adatok vonatkozásában (mellesleg ennek elvét is erősen vitatja a NAIH, amint az egy az illetékes miniszternek címzett, a neten fellelhető NAIH levélből kitűnik), és ezen megőrzendő adatok között nem igazán szerepel a szerverszoba beléptetéséhez kapcsolódó naplózás...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

[link] találtam egy remek oktatóvideót adatvédelmi képzéshez. elsőre poénnak tűnik, de véresen komoly.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Tépett csirkés szendvics sajtos káposztasalátával???

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

van benne egy mozdulat, amire szerintem fel lehet/kell építeni az adatvédelmi képzést

aki megtalálja, kap egy virtuális hátba veregetést.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Trolling: ON

-Paradicsomos trutyi kóstolásánál.

-Buci nem kóstolásánál.

Kettő lett maradhat?

Eladó Bosch IXO nyomatékadapter 1500/db egy-több-sok mint a kínainál

ha trollkodás nélkül írtad volna, akkor a "Paradicsomos trutyi kóstolásánál." lenne a helyes válasz.

a gizi nem oda koncentrált, amit csinál (mert elfelejtette a fokhagymát, ez elvonta a figyelmét), mégis automatikusan védelmi intézkedést tesz (megfújja, hátha meleg), amikor kóstol. ezt hoznám példának arra, hogy jó lenne eljutni az adatvédelem területén is oda, hogy tudatalatti szinten berögzült védekező mechanizmusokat használjanak.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Gondoltam, hogy ilyesmire gondolsz, csak túlságosan utópisztikusnak gondoltam.

Jelenleg még az is probléma sokszor, hogy a meggypirosan izzó kanalat ne mélytorkozzák le, és ha szóváteszed akkor értetlenkednek, hogy nem is lehet az olyan forró...

Eladó Bosch IXO nyomatékadapter 1500/db egy-több-sok mint a kínainál

Most akkor én kérelmezzem, hogy ne használják az adataimat?! Nem ellentmondásos ez kicsit? Nem az lenne az alap, hogy ne használják?!

[ Szerkesztve ]

https://www.youtube.com/watch?v=mkDSGbRyjz8&list=PLVJH24yGtE_w5Ke4aWmRV8erFQmqRD1dK Minden egyes új rész rátesz még egy lapáttal :-D

De pont elvileg a belegyezést kell kérni és azt kijelenteni.

"640 kByte memória mindenre elegendő"

Használhatják, mert a névjegyzékbe felvett személyek listája "publikus" értsd pénzért megvásárolható pártoknak.
Szóval külön kell kérni a tiltást. (én már megtettem vagy 10 éve).

Ezt az oldalt is érdemes átnézni.

⭐ Stella

természetesen nem használhatja, adhatja ki, ez a btk szerint minősített bűncselekmény.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hát én máshogy tudom. Most nincs időm megkeresni a pontos leírást, ezt találtam gyorsban Google-el:

"A választási eljárásról szóló törvény (Ve.) lehetővé teszi az országgyűlési választásra nyilvántartásba vett jelölteknek, hogy a kampány céljaira a szavazóköri névjegyzékben szereplő választópolgárok nevét és lakcímét igényeljék az illetékes választási irodától, a listát állító pártok ugyanezeket az adatokat a Nemzeti Választási Irodától (NVI) kaphatták meg."

⭐ Stella