Új hozzászólás Aktív témák
-
Waikiki
tag
Azért ez messze nem ilyen egyszerű: az információbiztonság csak egy része a GDPR-nak, és itt jól fog jönni: az igazi kihívás az, hogy az adatkezeléseket úgy kell dokumentálni, hogy az bármikor a hatóság (NAIH) rendelkezésére lehessen bocsátani, illetve az érintett számára teljesen transzparens legyen az adatkezelés: mert hogy mondjuk jogszabályon alapul, attól még a munkavállalókat ugyanúgy tudni kell tájékoztatni, illetve az ügyfeleket hasonlóképp.
Tegye már fel a kezét az, aki egy ügyfélkapus bejelentkezéssel lekérdezett OEP-es betegút-lekérdezésnél egyértelműen meg tudja mondani, hogy milyen adatai merre közlekednek, mi alapján kezelik az adatait (jogszabály? Melyik? Mi a pontos jogszabályhely?), kik az adatfeldolgozók, ésatöbbi.
A közüzemi szolgáltatók auditáltatási kötelezettsége szintén nem jelentős, mert a zártság követelménye és az adatvédelem teljesen másról szól: a zártság ugyan ügyféladatokkal dolgozik, de hiába a zártsági tanúsítvány, ha az ügyfelek szerződéseit pl. nem semmisítik meg a megőrzési idő végén.
Azt kell látni, hogy a GDPR egy adott szervezet teljes adatkezelését érinti, beleértve az ügyfelek, és a munkavállalók adatait is, és ez utóbbi csoportnál rendszeres a tájékoztatás elmaradása, lásd anulu példája.
A bankoknál konkrétan szopás van egyrészt amiatt, hogy a természetes személy ügyfelek adatai banktitoknak ÉS személyes adatnak is minősülnek, másrészt ezen intézményeknél évtizedeken át elszabotálták az adatok megőrzési időn túli törlését, ami most bosszulja meg magát. Továbbá az MNB konkrétan lesz*rja az adatvédelmet, ha olyanja van.
Példa:a tavaly nyári pénzmosás-megelőzési törvénybe bekerült a személyigazolvány fénymásolása, amitől a NAIH prüszköl. A NAIH még éppen veszettül levelezgetett a minisztériummal, hogy ezt nem kéne, de az mégis bennehagyta a törvényben, az MNB pedig konkrétan tökönrúgta a NAIH-ot azzal, hogy a törvény végrehajtási rendeletébe beletette az online azonosítást, külön beleírva, hogy ennek során a kamerába úgy kell megmutatni a személyazonosító okmányt, hogy az egyértelműen felismerhető legyen - azaz kvázi digitális másolatot kell készíteni róla.Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1
-
Waikiki
tag
1. Nem lehetetlen az, csak ésszel, normális mentési stratégiával kell élni. Nincs értelmes indoka annak, hogy egy szervezet 5-10 évvel ezelőtti backupokat őrizgessen, hacsak nincs erre konkrét jogi előírás.(FONTOS! nem keverendő össze az adatok adatvédelmi szempontú megőrzése a biztonsági mentések időtartamával!)
2. Miért lenne vicces? Ha a hatóságnak nincs törvényi felhatalmazása arra, hogy hozzáférjen az adatokhoz, miért akarnád odaadni neki? A hatósági felhasználás csak egy a rengeteg adatfelhasználási lehetőség, illetve cél közül. Pont ezt kell megérteni az adatkezelőknek: nem kell fosni a hatóságtól, ha egyértelmű, hogy a jogszabály már nem teszi lehetővé az adatszolgáltatást, akkor nem adható ki neki, csak ezt megfelelő indokolással le kell írni.
Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1
-
Waikiki
tag
Nem mellékesen megjegyzem, hogy a 8 éves megőrzés azt jelenti, hogy csak az egyik hatóságnak nem adhatod ki, a másik hatóság (NAV) kérheti. ;-)
Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1
-
Waikiki
tag
Hááát, a "nagyságrendekkel" erős túlzás: az Ibtv. (és az ISO 27001) teljesen másmilyen követelményeket támaszt, mint a GDPR, melyek csak részben, az információbiztonságnál fedik egymást picit, hogy mást nem mondjak, a nem elektronikusan kezelt személyes adatokra nem vontakozik.
A GDPR egyértelműen a személyes adatok kezelésére fókuszál, függetlenül azok formájától, és kizárólag ezek kapcsán ír elő masszív dokumentációs kötelezettséget (ami magában foglalja a folyamatok újragondolását is).
Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1
-
Waikiki
tag
Ugyan, mondj már pár olyan olyan esetet, amikor egy adott rendszer 10 évvel ezelőtti állapotát kell helyreállítani.
Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1
-
Waikiki
tag
Szó nincs erről.
A GDPR direkt nem mond semmit, hogy mit és hogyan kell csinálni. Az ISO 2700x csak egy lehetséges megvalósítása - az információbiztonsági résznek. A GDPR szövegéből az látszik, hogy a dokumentáltságot várják majd el a hatóságok, amelybe beleértendő az is, hogy a dokumentumban foglaltak azért komolyan vehetőek legyenek. Ha a szervezet ezeket meg tudja csinálni ISO 2700x nélkül, akkor hajrá.
A GDPR azonban részben jogi dolog is, amelyre viszont semmilyen segítséget nem ad a szabvány, és hiába van pöpec ISO2700x rendszered, a hatóság attól még szétaláz, ha az informatikai vezetőből csinálsz DPO-t, az adatkezelési tájékoztatóban a megőrzési időnél csak az adatkezelés céljának megvalósulásáig szöveg szerepel, az adatfeldolgozói szerződésben pedig nem találhatóak meg a 28. cikk szerinti pontok.
Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1
-
Egon
nagyúr
A GDPR kimondja többek között, hogy érdekmérlegelési tesztet kell készítened jogos érdeken alapuló adatkezelés vonatkozásában. Ha megmondod, hogy ezt miképp vezeted le a 2013. évi L. törvényből, akkor megsüvegellek...
Abban igazad van, hogy a GDPR információbiztonsági megfelelőségi része "letudható" az L. törvénynek való megfeleléssel, de ez "csak" egy (hangsúlyos) része a feladatnak."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
-
Az OEP sara viszont az, hogy nem kezelik rendesen az irattárukat (pont a visszamenőleges digitalizálás pl.). Szerintem adót - tb-t - stb-t azért fizetek, hogy ez rendben legyen.
Szóval értem én, hogy miért nincs rendben, csak nem nagyon érdekel.[ Szerkesztve ]
Mutogatni való hater díszpinty
-
-
E770
senior tag
a jogszabályban ez olvasható:
"4. cikk Fogalommeghatározások
E rendelet alkalmazásában:
1. „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;"a fenti mondatból hiányzik nekem az alany, azaz ki képes azonosítani a természetes személyt?
Ha egy rendszer adattáblájában nincs kulcs mező, ami egy személyt egyértelműen azonosítani tudna, csak egy név mező szerepel benne, akkor ez alapján (adatszivárgás esetén) egy járókelő számára nem azonosítható a természetes személy - de pl. a cég alkalmazottai kizárásos alapon tudják esetleg egy név alapján is, ki a természetes személy - ha nincs névrokona ott