nem is állítottam, hogy egy törvény fedi le az összes területet. Erre utal az írásomban a PÉLDÁUL kifejezés.
Egészen pontosan ezt írtad: ezt eddig is szankcionálta a törvény, például a 2013. évi L törvény, ez pedig ebben a formában nem igaz, mert a magánszférát ért hekkertámadásokkal nem foglalkozott jogszabály, csak az állami intézményeknek kellett felkészülniük. És pont ez itt az újdonság.
Ha rossz helyre küldik a számlaegyenleged, akkor az a bizalmasság sérülése miatt információbiztonsági incidens is.
Az igaz, csakhogy ez az esemény még a 2013. évi L. törvény biztonsági esemény fogalmának sem felel meg, mivel nem érint elektronikus információs rendszert. Viszont adatvédelmi incidens lesz.
elszámoltathatóság: Nem, az Infotv.-ben NINCS ilyen alapelv, és maga a jogszabály sem mond ki ilyet sehol.
Jogalapok: nem arról beszélek, hogy egy konkrét adatkezelésnek legyen jogalapja, hanem általános jelleggel, hogy az adatkezelések milyen jogalappal történhetnek: lásd GDPR 6. cikk (1) bekezdés. Ezekből ebben a formában kizárólag a hozzájárulás van az Infotv.-ben, a többi jogalap csak szénné farigcsálva van benne, ami nem felel meg az irányelvek jogharmonizációs kötelezettségének. Az Eht., az NMHH rendeletek ezeket a jogalapokat alkalmazzák az ágazati adatkezelésben, amelyek alapján vagy jogszabályon alapulnak, vagy az érintett hozzájárulásán. Csakhogy ezen kívül még lehet 4 másik.
akkor ő ezt vajon abban a hiszemben teszi, hogy nem fogod megadni a banknak a számlaszámát?
Itt nem az én adatkezelésem az érdekes, hanem az utalást végző banké. A bank velem szerződéses viszonyban van, de amikor utaláskor én megadom a te nevedet és számlaszámodat, akkor a bank a te adataid vonatkozásában is adatkezelő lesz, vagyis a személyes adataidat nem közvetlenül az érintettől, vagyis tőled, hanem tőlem felvéve kezdi kezelni. És a GDPR 14. cikk alapján elvileg a banknak valahogy tájékoztatni kellene az adataid kezeléséről.De ebben az esetben én elképzelhetőnek tartom a 14. cikk (5) bekezdés b) pontjának alkalmazását, miszerint a tájékoztatás aránytalanul nagy erőfeszítést igényelne.
Adatvédelmi hatásvizsgálat NINCS, adatvédelmi audit van, a kettőnek semmi köze egymáshoz (előbbit az adatkezelő végzi egyes saját adatkezelései vonatkozásában külön-külön, másikat általános jelleggel a NAIH végzi az adatkezelő teljes adatkezelési tevékenysége kapcsán.
Előzetes konzultáció (pontosabban konzultációs kötelezettség) szintén NINCS, márcsak azért is, mert ez a konzultáció az adatvédelmi hatásvizsgálathoz kapcsolódik szorosan, annak bizonyos kimenetele esetén kötelező a hatósághoz fordulni. Ez konkrétan egy önfeljelentés szagú dolog az adatvédelmi incidens bejelentéséhez kapcsolódóan, és egyelőre mindenki irtózik tőle, mert mindkettőnél köteles az adatkezelő konzultálni a hatósággal egy olyan helyzetben, amikor az adatkezelésének jogszerűségével kapcsolatban kételyek merülnek fel.
UPDATE: kötelező erejű vállalati szabályozás (BCR) van az Infotv.-ben, csak ott kötelező szervezeti szabályozásnak hívják.
[ Szerkesztve ]
Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1