Nekem az a része tetszik ami gumiszabályként van megfogalmazva, például hogy:

Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
the pseudonymisation and encryption of personal data;

Azt már nem írja le hogy mi a minimálisan elfogaható tiktkosítás - 3DES vagy AES, netán titkosított ZIP fájl?

VCIX-DCV,VCIX-NV,vExpert,vExpert Pro,vExpert NSX,VMCA - newman.cloud

Jó de akkor hol maradna a nagyképűsködés

kdvsdmnkrvndttrlgsdnhzzszlsmt

figyelembe véve a technika jelenlegi állását, a végrehajtás költségeit, valamint a feldolgozás természetét, terjedelmét, kontextusát és céljait, valamint a természetes személyek jogai és szabadságai eltérő valószínűségének és súlyosságának kockázatát, az adatkezelőnek és a feldolgozónak végre kell hajtania megfelelő technikai és szervezeti intézkedéseknél a kockázatnak megfelelő biztonsági szint biztosítása érdekében, ideértve többek között a következőket:

a személyes adatok álnév-elnevezése és titkosításaby.: Google translate

Release the cable hounds!

Ha te lennél egy Adatkezelő, te hogy oldanád meg, hogy a lehető legmagasabb szintű védelemmel és legbiztonságosabban tud tárolni a személyes adatokat?

"the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk"
az adatkezelőnek és a feldolgozónak végre kell hajtania megfelelő technikai és szervezeti intézkedések a kockázatnak megfelelő biztonsági szint biztosítása érdekében

szerintem minimum egy FIPS 140-2 Level 3, RSA-4096, AES256... van miből válogatni... szerintem

donmackó na, ezért nem használok szakszöveghez google fordítót... titkosításaby ez meg milyen szó?

[ Szerkesztve ]

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

"ám a szabályozás olyan bonyolult, helyenként nehezen értelmezhető, kissé homályos részleteket tartalmaz": aki olvasta a gdpr-t, az tudja, hogy pont nem bonyolult, a legnagyobb előnye pont az, hogy halál egyszerűen fogalmaz és több dolgot is pontosít, amit a régi törvények nem tettek meg. legjobb példa erre az opt-in definíciója.

"mielőtt bármilyen adat bekér tőlünk egy szervezet pontos tájékoztatást kell adnia, hogy mi az adatkezelés célja, hogyan kezeli az adatokat vagy például kik férhetnek hozzá": ezt ugye magyarul úgy írják, hogy bármilyen adatOT, a szervezet után vessző kell, a pontos tájékoztatásról meg annyit, hogy azt az eddigi törvény is kötelezővé tette.

"egy adatbázisból kérésünk esetén például e-mail-címünk törlésének elmaradása az eddigieknél jobban számonkérhető, szankcionálható lesz": ez is zagyvaság, magyarul úgy hangzik, hogy például kérésünk esetén email címünk egy adatbázisból történő törlésének elmaradása. egyébként ez is benne volt az eddigi törvényben.

"olyan eseteket is szabályoz és szankcionál a rendelkezés, amikor például egy hackertámadás következtében személyes adataink kikerülnek az adatkezelő rendszeréből, ellopják azokat vagy ha egy rendszerhiba miatt megsemmisülnek. Nagyobb lesz a felelősség az adatkezelőkön": ezt eddig is szankcionálta a törvény, például a 2013. évi L törvény.

a hozzáféréshez való jog eddig is benne volt a törvényben. meg a többi is. egy új jog került bele a rendeletbe, ami eddig nem volt: az automatizált döntés alóli kikerülés joga. eddig ez a magyar törvényekben nem volt benne.

"Nagyobb lesz az adatkezelők felelőssége egy-egy incidens kapcsán ezért, ha egy szervezet nem akar bírságot fizetni jobb, ha már most felkészíti, biztonságosabbá teszi adatkezelő rendszerét": no, kibújt a szög a zsákból, ez csak egy reklámcikk.

Egyébként a gdpr az eu MINDEN hivatalos nyelvén elérhető, így tehát magyarul is. szerintem egész jó a magyar fordítása, alig van benne hiba. ha valaki meg akarja keresni, akkor "AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE" néven keresse.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Mivel nem írja le hogy pontosan milyen, így gondolom mindenki a lehető legegyszerűbb és legolcsóbb módot fogja választani. A NAIH remélem elnéző lesz, mert az ilyen rugalmas szabályok mentén büntetni nem túl szép dolog.

Sok cég csak legyint hogy rájuk a GDPR nem vonatkozik, nem kezelnek adatot stb, de az a baj hogy mindenhol vannak szerződések, vannak saját dolgozók adataival teletömött táblázatok/adatbázisok és ezekre vonatkozik a szabályzás.

Az sem egyszerű rész, hogy ha valaki törlését kéri, akkor a mentésekből anyagi és technológiai lehetőségek következtében azt megtenni lehetetlen. Egy két éve mentett, akár kazettán lévő SQL mentésből kitörölni egy sort - úgy hogy a maradék adatbázis integritása nem sérül - lehetetlen.

VCIX-DCV,VCIX-NV,vExpert,vExpert Pro,vExpert NSX,VMCA - newman.cloud

Javítsatok ki, ha nincs igazam, de én úgy tudom, hogy uniós rendeletek alapján nem büntetnek magyar hatóságok. A magyar hatóságok csak a magyar törvények alapján büntetnek. A magyar országgyűlés feladata, hogy az uniós rendeleteket átültessék a magyar törvényekbe. Szóval nem érdemes erre a rendeletre hivatkozni, ha élni szeretnél valamely jogoddal.

Engem pl. anno megbüntettek a tömegközlekedésen. Miután kifizettem a büntetést, postai levélben kértem az összes adatom törlését. Választ nem kaptam. Kíváncsi lennék, hogy tényleg törölték-e. Sajnos fogalmam sincs, hogy milyen módon tudnék utána járni, de nagyon tetszik, hogy a cikk alapján erre majd lesz lehetőségem, sőt, ha mégsem törölték az adataimat, akkor fel is dobhatom őket, hogy megbüntessék őket. (Feltételezem pénzt ebből én nem kapnék, mivel kár nem ért.)

keveritek az információbiztonságot az informatikai biztonsággal
az első súlyosabb probléma, mint a második.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Egy ilyen rendeletnek nem az a dolga, hogy megnevezzen egy egy technológiát, amit akár fél év múlva lehet hogy le kell cserélni.
A korrekt viselkedés módját próbálja meg lefektetni.
Próbálja elejét venni az ostoba, vagy éppen gátlástalan és aljas adatkezelésnek, (és szankcionálhatóvá tenni a problémás helyzeteket).

A lónak is két oldala van mégsem hanglemez...

az informatikai biztonság valódi részhalmaza az információbiztonságnak.
az információbiztonság alapja meg az, hogy a hibákat emberek követik el, azok ellen kell felkészülni. ennek csak egy része, hogy programozz normálisan, legyen rendesen beállított tűzfalad, stb. sokkal fontosabb és nehezebben kezelhető része, hogy az egységsugarú dolgozód felfogja az adatbiztonsági dolgokat. egy buffer túlcsordulás kijavítása akár 5-10 perc alatt is meglehet. iq-t cserélni gizikében, az jóval munkásabb.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Rosszul tudod.

A rendelet közvetlenül hatályos a tagállamokban, és nem szükséges hozzá tagállamo jogalkotás, legfeljebb ott, ahol a rendelet kiegészítő szabályozást tesz lehetővé. Amire te gondolsz, az az irányelv.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Én még nem olvastam, valószínűleg nem is fogom aprólékosan átnyálazni, de... ez egy jogászok által összehozott szöveg, kizárt, hogy egyértelmű legyen.

Én egészségügyi szolgáltatóval jártam így, valamikor az elmúlt egy-két évben. E-mailben kértem, hogy töröljék az adataimat, válaszoltak, hogy törölték. Ehhez képest, néhány hónappal később még mindig ott volt minden adatom.

Ez (ahogy már Waikiki írta) közvetlenül alkalmazandó jogszabály. Ennek ellenére a magyar jogalkotás azt az utat választotta, hogy a 2011. évi CXII. törvényt, köznapi nevén az info törvényt átdolgozzák a gdpr-nak megfelelően, ami jövő májusban életbe lép (az új infotörvény. a gdpr 2016. májusa óta hatályos).

"postai levélben kértem az összes adatom törlését": tartok tőle, hogy a büntetések kezeléséhez előírt adatkezelés kötelező adatkezelés, nem önkéntes, így nem kérheted az adataid törlését. hogy választ nem kaptál, az baj.

"de nagyon tetszik, hogy a cikk alapján erre majd lesz lehetőségem": erre eddig is volt paragrafus a jogszabályban.

"ha mégsem törölték az adataimat, akkor fel is dobhatom őket, hogy megbüntessék őket.": most is feldobhatod őket, de tartok tőle, hogyha jogszerűen kezelték az adataidat és csak annyi jogsértést követtek el, hogy nem válaszoltak, akkor semmi eredménye sem lesz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

én viszont olvastam szinte az egészet (azokat a részeket átugrottam, ami a közüzemi szolgáltatókra nyilvánvalóan nem vonatkozik, az általános és az isp-kre vonatkozó specifikus részeket átnyálaztam). egyébként nem sok, 88 oldal.

például a kéretlen reklámlevelek esetén egész konkrét és közérthető megfogalmazást, meghatározást adtak arra, hogy mi az önkéntes hozzájárulás a levelek fogadására, ráadásul, ami például újdonság, azt is leírták, hogy mi nem az. nekem jobban tetszik, mint a magyar infotörvény szövege.

"Én egészségügyi szolgáltatóval jártam így, valamikor az elmúlt egy-két évben. E-mailben kértem, hogy töröljék az adataimat, válaszoltak, hogy törölték.": erre például a gdpr külön rendelkezéseket ad, és relatíve sok okot felsorol, amilyen célokból kezelni lehet az adatot. a magyar jogszabály meg, ha nem csal az emlékezetem, 50 éves adatmegőrzést ír elő. lebetűzöm, hogy látszódjon, nem elírás: ötven év.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

aki olvasta a gdpr-t, az tudja, hogy pont nem bonyolult, a legnagyobb előnye pont az, hogy halál egyszerűen fogalmaz és több dolgot is pontosít, amit a régi törvények nem tettek meg.

De, igenis részben bonyolult, részben viszont inkább az a gond, hogy az eddig megszokott, sokkal egzaktabb szabályozás után a jogalkalmazók kezébe nem ad sorvezetőt, amihez igazodni lehetne, hanem a jogalkalmazóknak maguknak kell dönteniük, és aztán majd egy hatósági vizsgálatnál derül ki, hogy akkor jó-e vagy sem. A beépített/alapértelmezet adatvédelemre, illetve az adatkezelés biztonságára vonatkozó szövegezés a klasszikus példája lehetne ennek a problémának.

ezt eddig is szankcionálta a törvény, például a 2013. évi L törvény.

Leszámítva azt az apróságot, hogy az általad említett törvény nem terjedt ki a magánszférára, azonban a mostantól a GDPR révén a legutolsó kis garázscéges adatkezelésre is alkalmazandó.
Pluszban kevered az adatvédelmet az információbiztonsággal. Egy hekkertámadás önmagában még nem lesz automatikusan adatvédelmi incidens, az kell hozzá, hogy a személyes adatok bizalmassága, integritása, rendelkezésre állása sérüljön. Ha deface-elik a cég weboldalát, az információbiztonsági incidens lesz, de adatvédelmi már nem. Viszont ha hibás címzés miatt a havi folyószámla-kimutatások nem a számlatulajdonosnak mennek (pl. mert az ügyintéző elcseszte a címzéseket Excelben vagy akármi), hanem vadidegeneknek, akkor az adatvédelmi incidens lesz, viszont információbiztonsági nem.

"egy új jog került bele a rendeletbe, ami eddig nem volt: az automatizált döntés alóli kikerülés joga. eddig ez a magyar törvényekben nem volt benne."

Meg ami még nem volt benne, hogy csak a leglátványosabbakat említsem:
- az elszámoltathatóság kimondása;
- a hozzájáruláson kívül gyakorlatilag az összes többi jogalap, mert vagy nem volt benne, vagy a 95-ös adatvédelmi irányelvtől eltérő tartalommal kodifikálta a jogalkotó (az irányelv jogalapjai szó szerint megegyeznek a GDPR jogalapjaival, ehhez képest meg lehet nézni, hogy az Infotv.-ben mi van);
- az érintett értesítése abban az esetben, ha nem közvetlenül tőle szerzi meg a személyes adatát az adatkezelő (ez majd mindenkinek jusson eszébe, amikor legközelebb a netbankjában, utaláskor beírja a címzett nevét és bankszámlaszámát)
- adathordozhatóság joga;
- a beépített/alapértelmezett adatvédelem kimondása;
- adatvédelmi hatásvizsgálat és előzetes konzultáció
- magatartási kódex
- kötelező erejű vállalati szabályok

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

"Ennek ellenére a magyar jogalkotás azt az utat választotta, hogy a 2011. évi CXII. törvényt, köznapi nevén az info törvényt átdolgozzák a gdpr-nak megfelelően"

Nem dolgoznak át semmit.
A magyar jogalkotó legfontosabb kötelezettsége, hogy hatályon kívül kell helyeznie a tagállami szabályozást, hogy ne legyen ütközés, illetve néhány kiegészítő szabályt hoz (pl. milyen eljárásban fog eljárni a NAIH). Az Infotv. tavaly nyáron kijött, kb. alfa verziós módosítása 99%-ban nem az általános adatkezelésekre (azaz a GDPR által szabályozott adatkezelésekre), hanem a bűnügyi célú adatkezelésekre vonatkozott.
A módosítás szerkezete nagyon idióta, mert úgy néz ki, hogy van egy magyar törvény, ami kb. 5 sorban kimondja, hogy a személyes adatok kezelésére a GDPR-t kell alkalmazni ezen törvény X, Y, Z szakaszaival (néhol ellentmondva a GDPR-nak is), ezútán a fél jogszabály a bűnügyi adatkezelésről szól, a második fele pedig az információszabadságról. Ezzel csak az a baj, hogy magyar törvény nem mondhat ki olyat, hogy a GDPR alapján kell kezelni, mert ez olyan, mintha tagállami jogalkotás lenne, a GDPR viszont minden tagállami jogalkotástól független, kodifikációs szempontból problémás.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Ahol a magyar jogalkotásnak viszont nagy szerepe van, az az ágazati szabályok GDPR konformmá tétele.
Például kigyomlálhatnák az olyan hülyeségeket, mint a személy- és vagyonvédelmi törvényből a kamerás megfigyelésnél a hozzájáruláson alapuló képfelvétel-rögzítést a kötelező megőrzési idővel: józan (adatvédelmi) ész szerint ez az adatkezelő jogos érdeke lesz, érdekmérlegelési teszttel összekötve. Vagy például a banktitok szabályozása egyáltalán nem felel meg az adathordozhatóság követelményének.

[ Szerkesztve ]

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

En arra lennek kivancsi, hogy ez hogy viszonyul az egyeni vallalkozokhoz, akik valakivel "mint ceg" allnak uzleti kapcsolatban, ugyanakkor egy maganember szemelyes adatai azonositjak. Mondjuk, egy vallalkozas kiad munkakat egyeni vallalkozoknak, a teljesitmenyukrol statisztikat vezet, problemas lenne ha barki csak ugy toroltethetne a statisztikait ha rosszul teljesit.

Ebben nem az az érdekes, hogy AES vagy 3DES, mert a Taking into account the state of the art kitétel alapján a 3DES kiesik. Sokkal inkább mondjuk az, hogy milyen szintű dokumentáltság kellhet ahhoz, hogy a hatóság a Taking into account [...] the costs of implementation kitétel alapján egy nagy cégnek felrója, hogy nem AES-t használ, míg egy kis cégnél a költségekre való hivatkozással a 3DES alkalmazását is elfogadja.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Irreleváns az e.v. státusz, mert konkrét természetes személyekre vonatkozik az teljesítményméréses adatok kezelése. Ebben az esetben a vállalkozás ezeket az adatokat vagy jogos érdekből kezeli (és akkor kell mellé tennie egy érdekmérlegelési tesztet is), vagy sokkal egyszerűbb, ha a vállalkozókkal kötött szerződésbe beleírja a teljesítménymérést, és akkor a szerződés teljesítéséhez szükséges adatkezelésről van szó.

A jövőben a hozzájáruláson alapuló adatkezelések teljesen vissza fognak szorulni, és egyéb jogalapokat kell majd alkalmazni. A hozzájárulást pont azért szabad csak ésszel használni, mert az érintett bármikor visszavonhatja a hozzájárulást, és nagyon korlátozott ilyenkor az adatkezelés jogszerű folytatása.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

nézőpont kérdése, szerintem nem bonyolult.

sorvezetőt meg nem adhat, mert minden adatkezelés más, és ezért minden adatkezelést másképp kell megítélni. a kockázatok is mások, vidéki egy notebookot használó isp-t nehezebben törnek meg, mint egy bkk-t. Egyébként van munkacsoport, amelyik ad ajánlásokat.

"Leszámítva azt az apróságot, hogy az általad említett törvény nem terjedt ki a magánszférára": nem is állítottam, hogy egy törvény fedi le az összes területet. Erre utal az írásomban a PÉLDÁUL kifejezés.

"Pluszban kevered az adatvédelmet az információbiztonsággal.": nem, nem keverem.

Ha rossz helyre küldik a számlaegyenleged, akkor az a bizalmasság sérülése miatt információbiztonsági incidens is.

"- az elszámoltathatóság kimondása;- a hozzájáruláson kívül gyakorlatilag az összes többi jogalap,": elszámoltathatóság volt, jogalapok a különböző jogszabályokban benne voltak, pl. az internet szolgáltatás adatkezelésének jogalapja az eht-ban és egy nmhh rendeletben benne van, nem az infotörvényben.

"ez majd mindenkinek jusson eszébe, amikor legközelebb a netbankjában, utaláskor beírja a címzett nevét és bankszámlaszámát": amikor neked valaki azt mondja, hogy utalj át neki x forintot, és ezért megadja a bankszámlaszámát, akkor ő ezt vajon abban a hiszemben teszi, hogy nem fogod megadni a banknak a számlaszámát? vagy inkább abban a hiszemben teszi, hogy megadod, hogy elmenjen a pénz. körülírom másképp: egy felszólítást, hogy utalj, meg lehet-e úgy adni, hogy közben implicit nem adja meg az adatkezelési engedélyt is ehhez? szerintem nem. egyébként meg magáncélú adatkezelés, gdpr külön nyilatkozik róla.

adatvédelmi hatásvizsgálat és konzultáció eddig is volt, a naih csinálja.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

anonimizált, göngyölített adatok tárolása eddig sem volt jogsértő, ezután se lesz az.
majd hozzákötik a vállalkozói adószámodhoz ezt az adatot, és akkor nem lesz gond.

a cégjegyzék egyébként is egy rosszul definiált területe az adatvédelemnek.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az adoszam egyedi azonosító adat, egyértelműen személyhez köthető, így személyes adat lesz. (Mindaddig személyes adat, amíg akár az adatkezelo, akár más meg tudja oldani a hozzarendelest.)

Ha az adatok mondjuk egy random egyedi azonositohoz lennének kötve egyéb, azonositasra nem alkalmas adat nélkül, akkor oké lenne. De amúgy nem értem, hogy egy szerződéses viszonybol eredő, az elszámolást befolyásoló ertekelesnel miért kell félni attól, hogy tényleges adatkezelest végezzen a vállalkozó?

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

jó helyen van a VVT-ben a felvételek kötelező tárolási ideje...pl. elmész egy uszodába ahol figyelik a parkolót,bejáratot,biciklitárolót... na,elmész bringával, lerakod,lezárod,bemész úszni, arra battyok egy jólképzett zsivány, feltöri a bringád lakatják...mindent vett a kamera, 5perc múlva betelefonál a zsivány,hogy őt felvette a kamera és nem járul hozzá hogy a felvételt tárolják,töröljék. nos elvileg azonnal eleget kelléne tenni a kérésnek, tegyük fel, eleget tesznek a kérésnek,törlik a felvételt... eltelik 3óra mióta bementél, mész kifele, a bringád sehol... ellopták...látod van kamera... hopp akkor lopás,rendőrség,felvétel....ha a te elméleted vesszük alapul akkor hopp nincs felvétel a lopásról,mert egy a felvételen szereplő személy kérte hogy töröljék a felvételt...

jelenleg ugye alap esetben maximum 3nap után automatikusan törlik(vagy törölni kéne) az előző 72óra/3nap felvételeit... így mellesleg még van esély hogy a tolvajról/lopásról van felvétel...a te elméleted ezt az esélyt törölné el...tehát jó helyen van az kötelező 3nap... és a többi... ahhoz nem kell nyúlni,jó?

bambano ha az interneten csinálják az anonim felmérést az sosem anomim... ugyanis már az ip címed személyes adat,mert az alapján hozzád köthető,tehát személyes adatkezelés valósul meg akár csak a sütik esetében is... azok is tárolnak olyan adatot ami személyhez köthető,azokkal közvetett módon beazonosítható egy személy...

[ Szerkesztve ]

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

nem is állítottam, hogy egy törvény fedi le az összes területet. Erre utal az írásomban a PÉLDÁUL kifejezés.

Egészen pontosan ezt írtad: ezt eddig is szankcionálta a törvény, például a 2013. évi L törvény, ez pedig ebben a formában nem igaz, mert a magánszférát ért hekkertámadásokkal nem foglalkozott jogszabály, csak az állami intézményeknek kellett felkészülniük. És pont ez itt az újdonság.

Ha rossz helyre küldik a számlaegyenleged, akkor az a bizalmasság sérülése miatt információbiztonsági incidens is.

Az igaz, csakhogy ez az esemény még a 2013. évi L. törvény biztonsági esemény fogalmának sem felel meg, mivel nem érint elektronikus információs rendszert. Viszont adatvédelmi incidens lesz.

elszámoltathatóság: Nem, az Infotv.-ben NINCS ilyen alapelv, és maga a jogszabály sem mond ki ilyet sehol.

Jogalapok: nem arról beszélek, hogy egy konkrét adatkezelésnek legyen jogalapja, hanem általános jelleggel, hogy az adatkezelések milyen jogalappal történhetnek: lásd GDPR 6. cikk (1) bekezdés. Ezekből ebben a formában kizárólag a hozzájárulás van az Infotv.-ben, a többi jogalap csak szénné farigcsálva van benne, ami nem felel meg az irányelvek jogharmonizációs kötelezettségének. Az Eht., az NMHH rendeletek ezeket a jogalapokat alkalmazzák az ágazati adatkezelésben, amelyek alapján vagy jogszabályon alapulnak, vagy az érintett hozzájárulásán. Csakhogy ezen kívül még lehet 4 másik.

akkor ő ezt vajon abban a hiszemben teszi, hogy nem fogod megadni a banknak a számlaszámát?

Itt nem az én adatkezelésem az érdekes, hanem az utalást végző banké. A bank velem szerződéses viszonyban van, de amikor utaláskor én megadom a te nevedet és számlaszámodat, akkor a bank a te adataid vonatkozásában is adatkezelő lesz, vagyis a személyes adataidat nem közvetlenül az érintettől, vagyis tőled, hanem tőlem felvéve kezdi kezelni. És a GDPR 14. cikk alapján elvileg a banknak valahogy tájékoztatni kellene az adataid kezeléséről.De ebben az esetben én elképzelhetőnek tartom a 14. cikk (5) bekezdés b) pontjának alkalmazását, miszerint a tájékoztatás aránytalanul nagy erőfeszítést igényelne.

Adatvédelmi hatásvizsgálat NINCS, adatvédelmi audit van, a kettőnek semmi köze egymáshoz (előbbit az adatkezelő végzi egyes saját adatkezelései vonatkozásában külön-külön, másikat általános jelleggel a NAIH végzi az adatkezelő teljes adatkezelési tevékenysége kapcsán.
Előzetes konzultáció (pontosabban konzultációs kötelezettség) szintén NINCS, márcsak azért is, mert ez a konzultáció az adatvédelmi hatásvizsgálathoz kapcsolódik szorosan, annak bizonyos kimenetele esetén kötelező a hatósághoz fordulni. Ez konkrétan egy önfeljelentés szagú dolog az adatvédelmi incidens bejelentéséhez kapcsolódóan, és egyelőre mindenki irtózik tőle, mert mindkettőnél köteles az adatkezelő konzultálni a hatósággal egy olyan helyzetben, amikor az adatkezelésének jogszerűségével kapcsolatban kételyek merülnek fel.

UPDATE: kötelező erejű vállalati szabályozás (BCR) van az Infotv.-ben, csak ott kötelező szervezeti szabályozásnak hívják.

[ Szerkesztve ]

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Mi van akkor, ha üzemeltetek egy nyilvános internetes teret?
Mert törvény szerint nekem mint internetes hozzáférést biztosítónak kötelességem nyilvántartani, hogy ki mikor, hogyan netezik (meg a hétköznapi ügymenet miatt is kell).
Név, személyi szám, melyik géphez ült, mikor érkezett és mikor távozott. Így, ha törvénysértést követ el és jön a hatóság, akkor tudok adatot szolgáltatni nekik. Ezt törvény írja elő.

De mi van, ha az illető kéri az ő adatainak a törlését a rendszeremből a GDPR-ra hivatkozva?
Melyik törvénynek kell eleget tennem?
Töröljem az adatait, hogy nehogy megbüntessenek, de amikor meg jön a rendőrség, akkor nem fogom tudni kiadni nekik emiatt és akkor meg ezért büntetnek meg, mert ennek a törvénynek nem tettem eleget?

sáríála

Jelenleg pont, hogy hozzájárulás alapján KELL kezelni a videófelvételt, és hogy ne fordulhasson elő a hozzájárulás visszavonása, a jogalkotó kötelező megőrzési időt írt elő, amíg mondjuk feljelentésre fel lehet használni. Teljesen felesleges ez a jogi szörnyszülőtt.

Az uszodának azt kellene mondania, hogy nem a belépők hozzájárulása (GDPR 6. cikk (1) bekezdés a) pont) alapján, hanem jogos érdekből (GDPR 6. cikk (1) bekezdés f) pont), a látogatók vagyontárgyainak védelme érdekében rögzít felvételeket (az érdekmérlegelési tesztben kell részletesen kifejteni többek közt a célt is, illetve a megőrzési időt megfelelően indokolva), ami azzal jár, hogy nem kell az érintetteknek hozzájárulnia a felvételek készítéséhez, hanem csak a tudomásul vételhez van joguk, és tájékoztatni kell tudni őket az adatkezelésről, ergo nincs is hozzájárulás, amit visszavonhatnak. A GDPR ilyen esetben a 21. cikk szerinti tiltakozási jogot adja meg az érintetteknek.

Ez a megoldás az életszerű, nem pedig a "hozzájárulásos" kötelező megőrzés.

ha az interneten csinálják az anonim felmérést az sosem anomim... ugyanis már az ip címed személyes adat,mert az alapján hozzád köthető,tehát személyes adatkezelés valósul meg

Ha nem köthetők össze a válaszok az IP címmel, akkor lehetséges.Ha nemzetikonzultációsan csinálják meg, azaz mindenki orrba-szájba küldözgethet bármennyiszer bármilyen választ, és csak a választ tárolják el, akkor az olyan anoním, hogy ihaj.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Ha meg tudod mondani, hogy konkrétan melyik jogszabályi hely alapján kell neked adatot rögzíteni, akkor az adatkezelés nem hozzájáruláson alapul, hanem jogszabályon, így nem kérheti az adatainak törlését. Csak kérdés, hogy tényleg van-e ilyen jogszabály, és tényleg rád vonatkozik-e? Mert ha valójában nem vonatkozik rád, akkor nem gyűjthetsz azzal az indokkal, hogy a hatóság bármikor kérhet, mert ez készletező adatgyűjtés, és már a 91-es AB határozat kimondta az ilyen adatkezelések alkotmányellenességét.

Nem mellékesen az adatok kezeléséről szóló tájékoztatót attól még ugyanúgy kell írnod, hogy bármikor odaadhasd az ügyfeleknek, és ők láthassák, hogy miért kéred el az adatokat.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Elvileg a 2003. évi C. törvény az elektronikus hírközlésről című törvényben van leírva.

sáríála

ha nem köthető személyhez akkor igen,az valóban anonim... de amíg ezt nagyon sok helyen nem tartják be,addig maradjuk annál hogy személyes adat abban az esetben ha akár csak az ip cím,vagy hozzá rendelt azonosító alapján egy személy is beazonosítható...

Galaxy S23 5G 256GB//HP Victus 16+Rog Ally RC71L//Korábbi hsz-eim #97246720 név alatt...

megint felületesen olvasol. nem adószámot írtam, hanem vállalkozói adószámot.
a vállalkozói adószám vállalkozást azonosít, így nem minősül személyes adatnak.

úgy látom, kevered az informatikai biztonságot meg az információbiztonságot. ha rossz helyre küldenek egy számlakivonatot, akkor az nem informatikai biztonsági esemény, de információbiztonsági esemény.

"A bank velem szerződéses viszonyban van, de amikor utaláskor én megadom a te nevedet és számlaszámodat, akkor a bank a te adataid vonatkozásában is adatkezelő lesz, vagyis a személyes adataidat nem közvetlenül az érintettől, vagyis tőled, hanem tőlem felvéve kezdi kezelni.": na mégegyszer fussunk neki, mert ezt sem értetted meg: ha én azt akarom, hogy te nekem utalj, akkor:
1. az igaz, hogy a te bankod az én adataim tekintetében is adatkezelő lesz, valójában nem, hanem adatfeldolgozó.
2. a helyes kérdés az, hogy erre kapott-e a te bankod felhatalmazást, vagy nem. mert ha nem, akkor a te bankodnak értesíteni kell engem, ebben igazad van. DE:
3. az totálisan életszerűtlen, hogy azt mondom neked, utalj, itt van a számlaszámom, és közben nem adok engedélyt arra, hogy te átadd a számlaszámomat a számlakezelő bankodnak. ez veretes hülyeség. tisztában vagyok vele, hogy te csak akkor tudsz utalni nekem, ha az én azonosító adataimat megadod a bankodnak, következésképp nem tudom úgy átadni neked a számlaszámom, hogy ezzel egyidejűleg ne hatalmazzalak fel arra, hogy azt átadd a bankodnak. vagyis a bankodat felhatalmaztam az adataim kezelésére, így értesítenie nemigen van oka.
4. kérdés, hogy értesítésnek foghatom-e fel, hogy megjelenik a pénz a számlámon, és megjelenik az utalás ténye a bankszámla kivonatomon.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Akkor az adatkezelési tájékoztatóban azt kell leirni, hogy a bekert adatokat jogszabályi előírás alapján kezeled, és be kell hivatkozni az adatrogzitest elrendelo jogszabalyhelyet, a törvény megjelölése önmagában nem lesz elég. Le kell írni a kezelt adatokat, a megorzesi idejüket, stb., a GDPR részletesen leirja a 13. Cikk körül, miről kell tajekoztatni az érintetteket.

Karacsony előtt jelent meg a 29-es munkacsoport 260-as állásfoglalása a megfelelő tajekoztatasrol:

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

"Mi van akkor, ha üzemeltetek egy nyilvános internetes teret?": semmi.
"Mert törvény szerint nekem mint internetes hozzáférést biztosítónak kötelességem nyilvántartani, hogy ki mikor, hogyan netezik": így van. vagyis te nem végzel önkéntes adatkezelést, te kötelező adatkezelést végzel.

"De mi van, ha az illető kéri az ő adatainak a törlését a rendszeremből a GDPR-ra hivatkozva": nem kérheti, a gdpr sem engedi a kötelező adatkezelés esetén a törlést. azt mondja, hogy kezelhetsz adatot szerződés betartásához.

"amikor meg jön a rendőrség": arra viszont mocskosul figyelj oda, hogyha a rendőrség adatot kér, azt milyen jogcímen kéri, mert nekik se mindig sikerül betartani a törvényt. ez a tény a gdpr-tól és az infotörvénytől független.

szerk: a többi hsz-edre: fogod random internet szolgáltató ászf-ét, letöltöd, kipuskázod belőle a jogszabályi hivatkozásokat, és azt kell neked is meghirdetni. nem baj, ha az internet szolgáltató mksz tag, azoknak egyforma ászfjük van és az jó ilyen szempontból.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szia!

Köszönöm!

sáríála

Nem olvasok figyelmetlenul, te nem ismered a jogi szabályozást.
A egyéni vállalkozó adoszama az egyéni vallakozot azonosítja, és csak jelezném, hogy a 2009. évi CXV. törvény 2. § (1) bekezdése így hangzik:

2. § (1) Magyarország területén természetes személy [...] gazdasági tevékenységet egyéni vállalkozóként végezhet.

Az egyéni vallakozo egy olyan speciális gazdalkodoi forma, ami mögött egyetlen, konkrétan meghatarozhato természetes személy áll, így az ő azonositoja hiába a gazdasági tevékenységhez kapcsolódik, tökéletesen teljesíti a GDPR személyes adat fogalmát, azaz természetes személlyel kapcsolatba hozható adat. Ráadásul az egyéni vállalkozók nyilvantartasabol való lekerdezes nyilvános, így bárki konkrét személyhez tudja rendelni az adatokat, így nem lesz anonimizalt adat.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Minden vállalkozás esetén azonosít egy konkrét embert a vállalkozás adószáma, a cégjegyzésre jogosult személyt. Az egyéni vállalkozó ettől csak annyiban különbözik, hogy e.v. esetén nincs másik x darab ember is a cégben.

Minden vállalkozás esetén kint van a céginformációs adatbázisban a cégjegyzésre jogosult személyes adata a weben. Tehát a jogszabály ezt az adatot jelenleg nem tekinti védendő adatnak VAGY társadalmi érdeket fontosabbnak tart, mint a személyiségi jogokat ebben a kérdésben.

Következmény: a vállalkozói adószámot nem tekinti személyes adatnak a jogalkotó.

egyébként ez egy elcseszett területe a jognak.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Banki utalás:
1. De igen, adatkezelo lesz, mert penzintezetkent a fizetési forgalom lebonyolítása kapcsán adatkezelo lesz. Az adatfeldolgozoi státusz teljesen értelmezhetetlen, mert az én magáncélú adatkezelesem nem lesz alapja az atutalasnak, mint adatfeldolgozoi tevékenységnek (?!?!)
2.+3. Azt értsd meg, hogy az említett értesítési kötelezettségnek semmi köze a felhatalmashoz, nekem adott engedélyedhez: akkor kell értesíteni az érintettet, ha nem tőle vette fel az adatkezelo az adatot, és pont. Ennek az a lényege, hogy az adatkezelotol nem varhato el, hogy ellenőrizze azt, jogszerűen van-e az adatado birtokában az adat, ezért az atlathatosag érdekében egyszerűen eloirja, hogy mivel nem lehet biztos abban, hogy a harmadik személy tud-e arról, hol jár az adata, így tajekoztatasi kötelezettséget ír elő. Olvasd el a 14. Cikket.
4. Nem foghatod fel ertesitesnek, mert az említett 14. Cikk részletesen leirja, miről kell tajekoztatni az érintettet.

Ez a cikk minden olyan esetben problémát fog jelenteni, amikor az egyik fél harmadik személy adatait adja meg az adatkezelonek (pl online viragrendeles baratnonek, halálozási rendelkezés bankszamlanal, stb).

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Te most teljesen értelmetlenül osszekevered az almát a körtével, az egyéni vallakozot a gazdasági társasággal. Az egyéni vallakozo mindig ugyanaz a személy marad az azonosító mögött, míg a gazdasági társaságok azonosítója mögött egyrészt változatnak a személyek (az ügyvezető elküldésével talán változik a cegjegyzekszam vagy az adoszam?), másrészt több személy is van mögötte, nézd csak meg mondjuk egy nagyobb cég cegjegyzesre jogosultjainak listáját: ott kit akarsz azonosítani a cegjegyzekszammal?
A gazdasági társaságok azonosítói mindig az adott gazdálkodó szervezetet, nem pedig a benne lévő embereket azonositjak, mely alól az egyéni vállalkozó kivétel, mert ahogy az idézett törvényhely is egyértelműen kimondja, az egyéni vallakozo termszetes személy, így az ő azonosítója konkrét termszetes személyt azonosít, ahol nem lehetséges, hogy ugyanaz az azonosító egyszercsak más személyre vonatkozik.

A cegkivonat adataival pedig semmi probléma nincs, a nyilvanossagra hozatallal meg nem veszítik el személyes adat jelleguket, te kevered a személyes adat jelleget az adatkezeles egy speciális tevékenységével, a nyilvanossagra hozatallal.
A cegkivonatban lévő személyes adatok klasszikus példa az Infotv. Szerinti kozerdekbol nyilvános adatra (3. § 6. Pont) , amelynek ha a definícióját megnezed, akkor indirekt módon kiderul, hogy az olyan személyes adatot jelent, amelyet törvény kozerdekbol nyilvanossagra hoz. De attól még személyes adat marad, mert mindenki hozzafer. Attól még nem használható fel mondjuk DM levél kuldesere, mert a cegkivonatos adatkezelési cél és a DM két külön cél.

És megegyszer: a jogalkoto személyes adatnak azt tekinti, amely termszetes személlyel kapcsolatba hozható. PONT.
Ezért az egyéni vállalkozó egyedi azonosítója személyes adat lesz, amelyet ennek megfelelően kell kezelni. És ne keverd össze az egyéni vállalkozók adatainak kozhiteles nyilvántartásban elérhető nyilvanossagat a személyes adat jellegevel. Két, teljesen különböző adatkezelési celrol beszélünk. Sőt, pont azért kell személyes adatkent kezelni, mert az online lekerdezes alapján az említett teljesitmenymeros példában bárki egyértelműen vissza tudja fejteni, kire vonatkoznak a teljesitmenyi adatokaz egyéni vállalkozók eseteben.
Ez nem informatikai kérdés, hogy hozzaferheto-e az információ, hanem jogi kérdés, hogy mire használják az adatot.

Semmi elcseszes nincs benne. Ez pont ugyanaz, mint amikor pl az állami szervnek kozerdekbol, törvény által elrendelve közzé kell tennie egy csomó olyan adatot, ami személyes adat is, pl. a szervezeti egységek vezetoi, elerhetoseguk.

[ Szerkesztve ]

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Akik azon keseregnek, hogy valamilyen szolgáltató nem törölte az adataikat, azoknak érdemes azt is tudniuk, hogy a GDPR nem ír felül olyan törvényeket, amelyek x ideig valaminek a megőrzésére köteleznek egy szolgáltatót. Jó példa a számviteli törvény: a szigorú számadású bizonylatok törvényben meghatározott ideig megőrzésére akkor is köteles vagy, ha netán a jóképességű ügyfeled a szerződéses jogviszonyotok megszűntét a "töröljétek minden adatomat" című regényes fordulattal zárja :-)

Okos ember semmilyen, a szerződéssel kapcsolatba hozható adatot nem töröl az elévülési időn belül, ami általános szabályként 5 év a Ptk. Szerint.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

"az érintett értesítése abban az esetben, ha nem közvetlenül tőle szerzi meg a személyes adatát az adatkezelő"

Hmmmm... Ez érdekes. Soha, senkinek sem adtam engedélyt arra, hogy egy céggel, mint harmadik féllel megoszthassa a telefonszámomat. Minden Androidos eszközön az alapértelmezett fiók címtár szinkronja alapértelmezetten aktív. Egyszer sem értesített a Google, hogy ismerőseim telóinak szinkronizálása során hozzájutott a telefonszámomhoz. Akkor most hogy van ez?

Samsung XCover 6 pro, Tab S7+ 5G

Ezt értem, de a NAIH mit kér majd számon?

VCIX-DCV,VCIX-NV,vExpert,vExpert Pro,vExpert NSX,VMCA - newman.cloud

Hát igen, az ilyen helyzetek miatt kérdéses, hogy ez a rendelkezés ténylegesen milyen körülmények közt alkalmazható. Mert ott a kivételszabály, hogy nem kell az értesítés, ha lehetetlen vagy aránytalan nagy erőfeszítéssel járna, és a címtár szinkronja tipikusan ilyen, főleg egy Google méretű szervezetnél.

Nekem folyamatosan az az érzésem, hogy a GDPR-t a kkv-k szintjére lőtték be, és nem vették figyelembe, hogy a náluk nagyobb cégeknél mennyire alkalmazhatóak a szabályok.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1