Lesz majd ebből még sírás. A kormány, a nagy cégek hogy állnak felkészülés terén?

általánosságban nem tudom, de egy sajtóanyagra emlékszem konkrétan, ebben a hazai bankok azt mondták, hogy már most készen állnak

"fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter

lehet, hogy noob a kérdés, de nem találtam választ rá... a "right to be forgotten" csak nyilvánosan elérhető adatbázisokból történő törlésre vonatkozik, vagy pl előző munkáltató is kötelezhető arra, hogy minden adott illetőhöz tartozó adatot (incl általa küldött e-mailek) törlésre kerüljenek?

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

Nálunk már elment kolléga ilyen képzésre, hogy képben legyünk.
Most tervezünk egy nagyobb IT fejlesztést, annál ezt már figyelembe vesszük. Országos állami cég.

A sörben az a jó, hogy legyél bárhol a világon, kizárólag az első háromnak fáj az ára!

Az azért lenne érdekes, mert Magyarországon a munkáltatót törvény kötelezi minden, a dolgozó munkaviszonyának igazolásához, befizetéseihez kapcsolatos adat ötven évig tárolására- nyugdíjjal kapcsolatos ügyekhez.

pont az ilyen jellegű dolgok miatt (is) kérdezem

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

Indirekt módon rendelkezik erről a nyugdíjtörvény. Egyes területeken viszont konkrétan elő van írva, pl. a közszolgálati tisztviselőkről szóló 2011. évi CXCIX. törvény 184. §. (4) bekezdésében:
(4) A személyi anyagot - kivéve, amelyet a (3) bekezdés alapján átadtak - a jogviszony megszűnésétől számított ötven évig meg kell őrizni. [link]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Az adatkezelés jogalapja többféle lehet. Az olyan adatkezelések, amiket törvény ír elő, kötelező adatkezelésnek minősülnek. Azokat nem tudod töröltetni (ez a GDPR-ben is benne van). A levelezésed nem tartozik ebbe a körbe, azt bizonyos idő után mindenképp törölniük kell (ugyanakkor több szempontból is védhető, ha ezt nem teszik meg rögtön a munkaviszony megszűnését követően).
Bonyolítja a helyzetet, ha a céges infrastruktúrán engedélyezve volt a magánjellegű levelezés (vagy ha nem volt tiltva).

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Egyébként az Infotv. eddig is meglehetősen szigorú rendelkezéseket tartalmazott, a bizonyítási kényszer eddig is az adatkezelőn volt a NAIH gyakorlata szerint, szóval amelyik cég nem "GDPR-kompatibilis", az a jelenleg hatályos szabályozásnak sem felelt meg (persze azért van 1-2 új rendelkezés)...
Meglátásom szerint a legnagyobb problémát a cégeknek az adatkezelés időtartalmi korlátainak betartása (azaz ha már nem teljesül a célhoz kötöttség elve, és/vagy megszűnik a jogalapja az adatkezelésnek, törölni kellene az adott adatot) jelenti majd, valamint az olyan finomságok, hogy pl. a munkahelyen elektronikus megfigyelő rendszerrel történő adatkezelés tekintetében érdekmérlegelési tesztet kell(ene) elvégezni stb. Jah, és az adatvédelmi hatásvizsgálatok elmaradása.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Mivel jelenleg 65 év a nyugdíjkorhatár, aki 18 évesen elkezd dolgozni, annak 47 év munkaviszonya lesz addig, így kellhet papír ennyi idővel korábbról. Aki tizennégy évesen kezd dolgozni ilyen-olyan okokból, annak ötvenegy éve lesz.

#12 bambano: A tavalyi év sláger botrányai alapján az állami vonalon és nagy cégeknél minden rendben van mondatokkal azért óvatosan bánnék.

[ Szerkesztve ]

a nagyobb állami intézményekre (nem feltétlenül vállalatok, hanem közigazgatás, önkormányzat, stb) eddig is volt ilyen szabály, a 2013. évi L. törvény. ha annak megfeleltek, a gdpr már laza örömködés lesz csak.

baj azoknál lesz, akik úgy gondolták, hogy nem érdekli őket az "ötvenes", azokat vagy nem fogja érdekelni a 679-es se, vagy ronda időszak következik.

tippem szerint a kormányra meg nem vonatkozik a gdpr, mert ha emlékeim nem csalnak, arra külön felmentő klauza van a gdpr-ban azzal a kitétellel,hogy rájuk a következő vonatkozik, a 2016/680-as rendelet. de lehet, ebben tévedek.

a közüzemi szolgáltatóknál sincs akkora gond, mert pár éve végigtoltak egy auditálási kötelezettséget a nagyobbaknál, így aki azon átment, az kb. tudja, mi a pálya. (egész pontosan mindenkit auditáltak, akinél a számlán forgalom/fogyasztásfüggő tétel van. az más kérdés, hogy kabaréba fulladt az egész...)

gond szerintem a kisméretű magáncégeknél van, pont ezért tűnik haszontalannak 250 fősnél nagyobbak között felmérni. ezek a kisméretű magáncégek valószínűleg teljesen tájékozatlanok a kérdésben, úgy értem, még mindig tájékozatlanok.

szerk: (#2) dajkopali: a bankokra eddig is szigorúbb szabályok vonatkoztak, külön törvény és mnb-s módszertani útmutató volt rájuk.

az igazi érintettek szerintem azok, akikre eddig csak az infótörvény vonatkozott, és azok, akik méretük és kockázati besorolásuk alapján eddig semmit nem tettek. főleg a kicsik.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Anulu kérdése alapján nem feltétlenül a jogalap az érdekes, hanem azt a kérdést kell feltenni: anulu milyen adatait, és milyen célból kezeli a cég? Ugyanis adatkezelésenként kell meghatározni, hogy mikor kell törölni az adatot, részben a jogalap függvényében
Pl.:
- munkaügyi (munkaviszonnyal kapcsolatos) adatok
- bérszámfejtési, adózási adatok
- ha van, akkor munkaidőnyilvántartásban tárolt adatok
- informatikai rendszerekben tárolt adatok: AD jogosultsági adatok, levelezőrendszerben kezelt személyes adatok (pl. emailek - ha engedélyezett a magán használat)

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

"A tavalyi év sláger botrányai alapján az állami vonalon és nagy cégeknél minden rendben van mondatokkal azért óvatosan bánnék.": ha nagyon durván akarok fogalmazni, akkor a gdpr arról szól, hogy gyártottál-e megfelelő mennyiségű papírt. arról csak áttételesen szól, hogyha ezt a köteg papírt ésszel gyártottad le, és hiszel is benne, akkor biztonságosabb lesz a működésed.

szerintem a gdpr formális bevezetésével nem lesz gond az állami intézményeknél. megvan a kellő mennyiségű papír.

amire burkoltan céloztál: ebből sajnos nem következik 100% bizonyossággal, hogy a biztonság is megfelelő lesz. ez már egy teljesen másik tészta.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"az adatkezelés időtartalmi korlátainak betartása": a privát magánvéleményem az, hogy józan ésszel ezt lehetetlen betartani. egyrészt a backupok kezelése lehetetlen, másrészt olyan vicces helyzet is előállhat, hogy köteles vagyok tárolni egy adatot, amit nem adhatok ki a hatóságnak. lol.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Az 5. hozzászólás vonatkozásában írtam, amit. A kötelező adatkezelésekre biztos, hogy nem vonatkozik a felejtés joga.
Természetesen alapvetően igaz amit írsz, ugyanakkor az "adatkezelésenként kell meghatározni, hogy mikor kell törölni az adatot, részben a jogalap függvényében" megfogalmazás azért erős kiegészítésre szorul, félreértésekre adhat alkalmat.
A kötelező adatkezelések vonatkozásában nincs kérdés (ezért fontos a jogalap: szerintem ez az első szűrő). A többi adatkezelés kapcsán a legfontosabb, hogy a célhoz kötöttség elve érvényesüljön. Ha az nincs meg, akkor hiába van jogalapom (pl. az érintett hozzájárulása folytán), nem lesz jogszerű az adatkezelés. Ha van célhoz kötöttség, de nincs (vagy nem megfelelő: pl. hozzájárulás munkaviszony esetén) jogalap, akkor jön a jogos érdek (érdekmérlegelési teszt, ami alapján vagy kezelhető az adat, vagy nem; ennek megfelelően kell eljárni).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Az első részt osztom, a második rész vonatkozásában konkrétan mire gondolsz?

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Azért ez messze nem ilyen egyszerű: az információbiztonság csak egy része a GDPR-nak, és itt jól fog jönni: az igazi kihívás az, hogy az adatkezeléseket úgy kell dokumentálni, hogy az bármikor a hatóság (NAIH) rendelkezésére lehessen bocsátani, illetve az érintett számára teljesen transzparens legyen az adatkezelés: mert hogy mondjuk jogszabályon alapul, attól még a munkavállalókat ugyanúgy tudni kell tájékoztatni, illetve az ügyfeleket hasonlóképp.

Tegye már fel a kezét az, aki egy ügyfélkapus bejelentkezéssel lekérdezett OEP-es betegút-lekérdezésnél egyértelműen meg tudja mondani, hogy milyen adatai merre közlekednek, mi alapján kezelik az adatait (jogszabály? Melyik? Mi a pontos jogszabályhely?), kik az adatfeldolgozók, ésatöbbi.

A közüzemi szolgáltatók auditáltatási kötelezettsége szintén nem jelentős, mert a zártság követelménye és az adatvédelem teljesen másról szól: a zártság ugyan ügyféladatokkal dolgozik, de hiába a zártsági tanúsítvány, ha az ügyfelek szerződéseit pl. nem semmisítik meg a megőrzési idő végén.

Azt kell látni, hogy a GDPR egy adott szervezet teljes adatkezelését érinti, beleértve az ügyfelek, és a munkavállalók adatait is, és ez utóbbi csoportnál rendszeres a tájékoztatás elmaradása, lásd anulu példája.

A bankoknál konkrétan szopás van egyrészt amiatt, hogy a természetes személy ügyfelek adatai banktitoknak ÉS személyes adatnak is minősülnek, másrészt ezen intézményeknél évtizedeken át elszabotálták az adatok megőrzési időn túli törlését, ami most bosszulja meg magát. Továbbá az MNB konkrétan lesz*rja az adatvédelmet, ha olyanja van.
Példa:a tavaly nyári pénzmosás-megelőzési törvénybe bekerült a személyigazolvány fénymásolása, amitől a NAIH prüszköl. A NAIH még éppen veszettül levelezgetett a minisztériummal, hogy ezt nem kéne, de az mégis bennehagyta a törvényben, az MNB pedig konkrétan tökönrúgta a NAIH-ot azzal, hogy a törvény végrehajtási rendeletébe beletette az online azonosítást, külön beleírva, hogy ennek során a kamerába úgy kell megmutatni a személyazonosító okmányt, hogy az egyértelműen felismerhető legyen - azaz kvázi digitális másolatot kell készíteni róla.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

1. Nem lehetetlen az, csak ésszel, normális mentési stratégiával kell élni. Nincs értelmes indoka annak, hogy egy szervezet 5-10 évvel ezelőtti backupokat őrizgessen, hacsak nincs erre konkrét jogi előírás.(FONTOS! nem keverendő össze az adatok adatvédelmi szempontú megőrzése a biztonsági mentések időtartamával!)

2. Miért lenne vicces? Ha a hatóságnak nincs törvényi felhatalmazása arra, hogy hozzáférjen az adatokhoz, miért akarnád odaadni neki? A hatósági felhasználás csak egy a rengeteg adatfelhasználási lehetőség, illetve cél közül. Pont ezt kell megérteni az adatkezelőknek: nem kell fosni a hatóságtól, ha egyértelmű, hogy a jogszabály már nem teszi lehetővé az adatszolgáltatást, akkor nem adható ki neki, csak ezt megfelelő indokolással le kell írni.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

arra, hogy a számviteli törvény miatt 8 évig tárolnom kell az ügyfelek adatait, és hiába vannak meg ezek az adatok, két év után hatósági megkeresésre nem adhatom ki.

meg olyan vicces dolgok is vannak, hogy ugyanazt az adatot bűncselekmény gyanúja esetén kiadhatom, szabálysértés gyanúja esetén nem.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez így nem jó több okból sem.

1. Jogalap mindig van, csak kérdés, hogy mi. A jogos érdek egy jogalap a több közül, pontosan ugyanolyan, szintű, mint a törvényi kötelezettség vagy a hozzájárulás - a GDPR-ban ehhez jön még 4 másik, és közülük a szerződés végrehajtása nagy karriert fog befutni. A törvényen (GDPR: jogi kötelezettség teljesítése) alapuló adatkezelés is csak egy a sok közül, annyiben konnyebbség, hogy itt nem az adatkezelőnek kell kitalálni a dolgokat, hanem azt már készen kapja.

2. Azért, mert egy adatkezelés kötelező, azaz törvényen alapul, attól még nem jelenti azt, hogy a törlésre vonatkozó kötelezettség nem érinti. A törvény ugyanis egy kötelező adatkezelés kapcsán előírhat tárolási időt (normálisan ezt meg is kellene tenni), ezen időszak után ugyanúgy törölnie kell az adatkezelőnek, és ha nem teszi, akkor jön a törléshez való jog. (Lásd személy- és vagyonvédelmi törvénynek a kamerás megfigyelésekre, elektronikus beléptetőrendszerre, stb. vonatkozó rendelkezései, de a számviteli törvény 8 éves bizonylatmegőrzési kötelezettsége is ugyanez.)

Az idézett részben amúgy nem ezen volt a hangsúly, hanem azon, hogy anulu kérdése önmagában nem értelmezhető, mert az ő személyes adatait különböző adatkezelések keretében kezeli a munkáltatója, és nem lehet kérni általánosan, hogy töröljék az adatait. Ha rendesen ki van munkálva az adatkezelés, akkor a cég jogszerűen kezeli tovább az adatait a munkaviszony megszűnése után is, nem törvényen alapuló adatkezelés esetén is (pl. bankfiókos ügyintézőnél pl. jogszerű lehet a naplóállományokban a belépések időpontjainak kezelése a kilépés után is, bizonyos ideig), erre például jó eszköz lesz a jogos érdek.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

"A közüzemi szolgáltatók auditáltatási kötelezettsége szintén nem jelentős": tévedés.
az auditálás nem a zártságról szólt. a közüzemi szolgáltatóknál az történt, hogy előírták nekik, hogy hiába nem önkormányzati szervek, meg kell felelniük az ötvenes törvénynek. hogy finoman fogalmazzak: akik az ötvenes törvényt csinálták, erősen "inspirálódtak" az iso 2700x-ből, ezért akik megfeleltek a törvénynek, azok könnyedén meg fognak felelni a gdpr-nak is.

tehát aki megfelelt az auditon, annak most nagyságrendekkel kevesebb gondja van, mint akik nem foglalkoztak ezekkel a kérdésekkel. figyelem: olvasás terén kihívásokkal küzdők kedvéért: ez a mondat nem állítja, hogy azoknak semmi dolga sincs. azt állítja, hogy kevesebb.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"Nem lehetetlen az, csak ésszel, normális mentési stratégiával kell élni. Nincs értelmes indoka annak, hogy egy szervezet 5-10 évvel ezelőtti backupokat őrizgessen, hacsak nincs erre konkrét jogi előírás.": súgok: VAN.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Hogy egy klasszikust idézzek: ez nem jó, több okból sem:

1. Jogalap mindig van, csak kérdés, hogy mi.
Szerinted a gyakorlatban minden egyes adatkezelésnek, amit adott cégek végeznek, van jogalapja? Ez finoman fogalmazva is LOL. Még az előző munkahelyemen sem volt így, pedig nekik külön adatkezelési törvényük is van (2013. évi 97-es).

2. Természetesen úgy értettem a kötelező adatkezelést, hogy adott adatkezelés vonatkozásában a jogalap is adott ÉS a jogszabály adta időtartamon belül is járunk (azt gondolom ez triviális).

Az idézett részben amúgy nem ezen volt a hangsúly, hanem azon, hogy anulu kérdése önmagában nem értelmezhető, mert az ő személyes adatait különböző adatkezelések keretében kezeli a munkáltatója, és nem lehet kérni általánosan, hogy töröljék az adatait.

Ez tökéletesen így van, ugyanakkor nem cáfolja azt, amit írtam (a válaszom a beszélgetés folyamra irányult, mint már írtam, az 5. háesz kapcsán).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Hááát, a "nagyságrendekkel" erős túlzás: az Ibtv. (és az ISO 27001) teljesen másmilyen követelményeket támaszt, mint a GDPR, melyek csak részben, az információbiztonságnál fedik egymást picit, hogy mást nem mondjak, a nem elektronikusan kezelt személyes adatokra nem vontakozik.

A GDPR egyértelműen a személyes adatok kezelésére fókuszál, függetlenül azok formájától, és kizárólag ezek kapcsán ír elő masszív dokumentációs kötelezettséget (ami magában foglalja a folyamatok újragondolását is).

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

a gdpr azt definiálja, hogy az érintett és az adatkezelő viszonya milyen lehet.
ezt olvashatod ki a rendelet szó szerinti értelmezéséből.

ha pedig úgy döntesz, hogy meg akarsz felelni a gdpr-nak, akkor a vége az, hogy iso2700x szerinti információbiztonsági irányítási rendszert fogsz kiépíteni, aminek a része a sérülékenység-vizsgálat, kockázatelemzés, pdca, stb. stb. ugyanúgy, ahogy azt az 50-es törvény meg az itil leírja.

feltéve, hogy nem jogász szemmel nézed, mert akkor nem tudom, mit mond.

egy kerék van, ezért újrafeltalálni nem csak felesleges, hanem lehetetlen is. csak egyszer gdpr-nak hívják, máskor meg itilnek, harmadszor meg 27001-nek.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Szerinted a gyakorlatban minden egyes adatkezelésnek, amit adott cégek végeznek, van jogalapja? Ez finoman fogalmazva is LOL.

Kell, hogy legyen, különben nem jogszerű. 2011. novemberében született EU bírósági ítélet óta alkalmazható a jogos érdek Magyarországon is közvetlenül, az irányelv alapján annak ellenére, hogy az Infotv. nem tartalmazza, azaz 7 éve lehetne jogos érdekre alapozni adatkezeléseket Magyarországon. Különösen ideértve például a munkaügyi adatkezeléseket.

LOL

2. "2. Természetesen úgy értettem a kötelező adatkezelést, hogy adott adatkezelés vonatkozásában a jogalap is adott ÉS a jogszabály adta időtartamon belül is járunk (azt gondolom ez triviális)."

Egyáltalán nem az.
Ugyanis egy megfelelően kimunkált, jogos érdeken alapuló adatkezelésnél a megőrzési időn belül pontosan ugyanannyira jogosult az adatkezelő az adatok kezelésére és utasíthatja el az adatok törlésére vonatkozó igényt, mintha az adatkezelés szabályait jogszabály rendezné. Vagyis önmagában nem igaz az, hogy a kötelező adatkezeléseknél nem lehet törlést kérni, a többinél igen.

Kérni mindent lehet, de:
- a jogi kötelezettségen alapuló adatkezelések esetében a 17. cikk (3) bekezdés b) pontja,
- jogos érdek esetében a 17. cikk (1) bkeezdés c) pontja vagy a 21. cikk (1) bekezdése (természetesen megfelelően alátámasztva) alapján fogja elutasítani.

Ez tökéletesen így van, ugyanakkor nem cáfolja azt, amit írtam (a válaszom a beszélgetés folyamra irányult, mint már írtam, az 5. háesz kapcsán).

Csak nem pontos, mert a felejtés jogával más esetben sem élhet az érintett.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Ugyan, mondj már pár olyan olyan esetet, amikor egy adott rendszer 10 évvel ezelőtti állapotát kell helyreállítani.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Szó nincs erről.

A GDPR direkt nem mond semmit, hogy mit és hogyan kell csinálni. Az ISO 2700x csak egy lehetséges megvalósítása - az információbiztonsági résznek. A GDPR szövegéből az látszik, hogy a dokumentáltságot várják majd el a hatóságok, amelybe beleértendő az is, hogy a dokumentumban foglaltak azért komolyan vehetőek legyenek. Ha a szervezet ezeket meg tudja csinálni ISO 2700x nélkül, akkor hajrá.

A GDPR azonban részben jogi dolog is, amelyre viszont semmilyen segítséget nem ad a szabvány, és hiába van pöpec ISO2700x rendszered, a hatóság attól még szétaláz, ha az informatikai vezetőből csinálsz DPO-t, az adatkezelési tájékoztatóban a megőrzési időnél csak az adatkezelés céljának megvalósulásáig szöveg szerepel, az adatfeldolgozói szerződésben pedig nem találhatóak meg a 28. cikk szerinti pontok.

Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

Példa erre:

MNB hitelregiszter 10 évre visszamenőleg szeretné látni idősorosan az összes banki adatot tételesen!
Olyan adatokat amiket akkor még nem is tároltak a rendszerek.

Ebben a hitelregiszterben az ügyfelet pontosan lehet azonosítani.
PL név kezelésére engedmény: vezetéknév 5 betű+keresztnév 5 betű+születési dátum, 2. sor lakhely...

Amúgy ha jól tudom az ügyfél adatokat az ügyfél táblában 6 évig lehetne megőrizni... az utolsó releváns ügylet megszűnése után

Akkor most mi van?

[ Szerkesztve ]

A GDPR kimondja többek között, hogy érdekmérlegelési tesztet kell készítened jogos érdeken alapuló adatkezelés vonatkozásában. Ha megmondod, hogy ezt miképp vezeted le a 2013. évi L. törvényből, akkor megsüvegellek...
Abban igazad van, hogy a GDPR információbiztonsági megfelelőségi része "letudható" az L. törvénynek való megfeleléssel, de ez "csak" egy (hangsúlyos) része a feladatnak.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Kell, hogy legyen, különben nem jogszerű.

Bingó!

A többire csak címszavakban:
- a jogos érdeken alapuló adatkezelés az Infotv- ben is megvan, csak korlátozottan használható,
- a kettes pont vonatkozásában egész másról írsz, mint én (a triviálist arra értettem, amit írtam, nem amit bele akarsz látni),
- nem írta azt sem, hogy a felejtés jogával más esetben nem élhet az érintett.

A részemről lezárnám a vitát: szemmel láthatóan az a típusú jogász vagy, akinek mindig IS igaza van (a lényeget kiemeltem).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Mondjuk akkor, ha egy adatbázis nem időkövetett mezőket is tartalmaz (amelyek adattartalma valamely adatszolgáltatás szempontjából releváns), és mivel nincs pénzük adattárházra, archiválni pedig nem tudnak, a mentéseiket megőrzik az örökkévalóságig.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

5-10 évet írtál, és van: 2000. évi C. törvény, 169. par. 2. bek.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

emlékeim szerint az 50-es törvény nem beszél jogos érdekről, az egész jogszabály által előírt kötelező adatkezelésről szól. de lehet, hogy tévedek.

ugyanígy, a közüzemi szolgáltatók esetében sincs túl sok önkéntes adatkezelés, nálunk pl. egyetlen egy adat van, amit önkéntes engedély alapján kezelünk, az összes többire kőkemény jogszabályi előírás van. mondjuk ebből a szempontból ez lehet, hogy szerencsés, mert nem kell találgatni, hogy mi legyen.

oké, elmondom, hogy hogy látom ezt az egész miskulanciát:
a gdpr-nak való *ÉRDEMI* megfelelésben az a választóvíz *SZERINTEM*, hogy sikerült-e már a dolgozók agyát átállítani a biztonságtudatosságra, illetve a folyamat alapú működésre. ha ez sikerült, akkor ettől kezdve hogy az 50-es törvénynek felelsz meg, iso27001-es auditra hajtasz vagy a 679-nek felelsz meg, az már apróság.

kb. mint az autóvezetés: gyalogból sofőrré válni sokkal nagyobb különbség, mint benzines autóról átszokni dízelre vagy kéziváltósról automatára. se 50-esnek, se gdpr-nak, se 27001-nek nem megfelelő cégből valamiféle rendezettség felé elmozdulni, megtenni a kezdőlépést, szerintem nagyobb feladat, mint utána azt mondani, hogy megfeleltünk az 50-esnek, akkor most változunk, hogy a gdpr-nak is megfeleljünk.

ha már van egy irányítási rendszered, abból gdpr kompatibilis rendszert csinálni kozmetikai különbség ahhoz képest, amikor nemhogy irányítási rendszered sincs, de még a fejekben is akkora kupleráj van minden téren, hogy meg se értik, miféle elköteleződést akarsz belőlük kicsiholni.

nekem, személy szerint, sokkal egyszerűbb dolgom van azzal a főnökkel, aki az elmúlt pár évben már hajlandó volt alacsonyabb szinten foglalkozni a kérdéssel (más jogszabályok miatt), mint azzal, amelyik tojik az egészre magasról és azt gondolja, hogy majd ezt is megveszi a piacon a kofáktól, mint a 9001, 14001, 27001 tanúsítványokat...

és ebben kismértékben sem számít, hogy melyik szabály mit mond. csak az számít, hogy az egyik főnöknek fontos, hogy érdemben foglalkozzunk vele és ott csak kismértékű ellenállást kell leküzdeni, a másiknak meg nem, ott inkább a betonfalnak megyek, mert az puhább.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Meg se lepődök. Majd amikor az első audit, vagy állami bírság jön, akkor lesz szemétállamozás.

Mutogatni való hater díszpinty

Miért kell 50 évig tárolni ezeket az adatokat ? Nem lehet lehívni mondjuk a nyugdíj-járulék rendszeréből ?

1151,AM4,1366,2011, - Lapok,procik,vinyók,tápok,vga-k -akciósan. - 70-2340239

ráhibáztál.
egyrészt nem lehet (mert az oep rendszere túl pontatlan).
másrészt ha le lehetne, az azt jelentené, hogy náluk tárolják 50 évig.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"mert az oep rendszere túl pontatlan"
Na én ezen halok be. Ha a vállalkozó nem könyvel pontosan, akkor meg szét van szívatva.

Mutogatni való hater díszpinty

azé' a történetben az is játszik, hogy ahhoz, hogy most nyugdíjba menő adatait 50 évre visszakeresd, ami jócskán a számítástechnika előtti időszak, fel kellett volna tolni az összes adatát retrográd módon adatbázisba. ezt senki nem tette meg, illetve az irattárakba beküldött adatok is hiányosak. a cégeknél meg vagy megvan az adat, vagy nincs, rendszerint kupleráj van az irattárakban, és minél régebbi adatra vagy kíváncsi, vagyis minél lazább központi szabályozási időszakból kellene adat, annál nagyobb lutri.

tehát nem csak az oep sara, hogy gáz van. ahogy haladunk előre az időben, és egyre inkább központosított adatkezelésű időszakról lesz szó, annál pontosabb adatokat kapsz majd.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

arról van valakinek tapasztalata, hogy a konkrét személy beazonosíthatóságának hol van a határa?
pl. a cégnél jelenleg csak egy Nagy Sándor dolgozik, így a neve alapján már egyértelműen beazonosítható egy belső rendszerben, de azért ez még nem olyan mint az adó/tb/személyi szám

a név az mindig személyes adat.

de ha konkrétabbat kérdezel, konkrétabb választ kapsz.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

a jogszabályban ez olvasható:
"4. cikk Fogalommeghatározások
E rendelet alkalmazásában:
1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;"

a fenti mondatból hiányzik nekem az alany, azaz ki képes azonosítani a természetes személyt?

Ha egy rendszer adattáblájában nincs kulcs mező, ami egy személyt egyértelműen azonosítani tudna, csak egy név mező szerepel benne, akkor ez alapján (adatszivárgás esetén) egy járókelő számára nem azonosítható a természetes személy - de pl. a cég alkalmazottai kizárásos alapon tudják esetleg egy név alapján is, ki a természetes személy - ha nincs névrokona ott

segítséget szeretnék kérni. tudom, másik oldalra mutat a link, de érdekes a kérdéskör: erről van szó.

mi a helyzet azokkal a cégekkel, ahol akármilyen okból proxyn _minden_ user accounthoz rendelve logolva van. ha jól értem ebből, ez úgy módosul, hogy csak azokat az oldalakat lehet logolni, amik explicit tiltottak, amik nem azokat viszont nem lehet úgy monitorozni, hogy az oldal megnyitása / onnan file letöltése bárhogy is (user név, gép IP) felhasználóhoz legyen köthető.

valaki aki járatos a témában meg tudna cáfolni / erősíteni? illetve ha tudna valaki abban segíteni, hogy melyik cikket érdemes ebből jobban szemügyre venni, azt is megköszönném.

előre is köszönöm!

[ Szerkesztve ]

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB