Új hozzászólás Aktív témák
-
titán
Eljön a május 25, és én leszek a világ adatvédelmi trollja. Mindenkit (céget), akit utálok, mindenkivel, akivel bajom van, és minden konkurenciámat fel fogom nyomni, mert a mai állapotokat látva senki sem fog megfelelni a GDPR szabályozásnak. A sütikérdés egy borzalom. Vannak elképzelések és megoldási próbálkozások, láttam mindenféle hülyeséget, jelenleg de egyik sem (0%) kompatibilis a GDPR szabályozással.
És az én sütjeim az én személyes adatom. Borzalom, hogy azzal visszaélnek. Mindent meg fogok tenni a saját személyes adataim védelmében.
A gond, hogy az informatikusok nem értenek a joghoz, a jogászok pedig a technológiához. Ha viszont a két csoport együtt próbál működni, akkor pedig nem értik meg egymást.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
-
titán
Az a baj, hogy a szakértelemről sem lehet igazán tudni, hogy valóban ért-e hozzá. A múltkor voltam egyik ügyvédemnél tök más témában, aki nagy multiknak dolgozik be gdpr témában külsősként. Az ilyen szeánszok általában 5-10 külső-belső ügyvéd/jogász, és ugyanennyi infós brainstormingjából állnak. Ehhez képest amikor megemlítettem pár buktatót a történetben, csak lesett kerek szemekkel, hogy erre basszus, nem gondoltak, meg erre sem, meg erre sem. Legalább 4-5 kiemelt problémát találtam, amit még csak meg sem említettek soha. Ez lesz az évtized szívása. Az adatvédelmi hatóság fog a legnagyobbat szívni, annyi munkát adok nekik, hogy egy fél Magyarországnyi munkaerőt felvehetnek
evDirect villanyautós töltőhálózat
-
titán
válasz macilaci78 #128 üzenetére
Annyi fölösleges szó esik a szabályzatról. Ahhoz csak egy félkegyelmű jogász kell. Egy zugírász is összetákol egyet. De a kutya nem a szabályzatban elásva, hanem annak a megvalósításában. Na ott fog megbukni mindenki, mint Rottenbiller.
evDirect villanyautós töltőhálózat
-
titán
30k/óra
Az nem is sok. A múlt héten 40/óráért adtam tanácsot az ügyvédemnek. A tanácsot és a 40/órát is én adtam (jó, ez túlzás, mert 40 perc alatt más témában elvégezte a tanácsadási feladatait, és úgyis megkezdett órás, úgyhogy az én tanácsadási időmért legalább nekem nem kellett külön fizetnem )
evDirect villanyautós töltőhálózat
-
titán
Azért ezzel vitatkoznék. Az egyik legjobban elterjedt, a Woocommerce (kb minden 3. Mo-n) nem tud végrehajtani egy komplett adattörlést. Ha egy ügyfél azt kéri, hogy minden adatát töröld, akkor komoly fejvakarás lesz mindenhol. Én is ilyet használok, és én megoldottam, de lesznek még ebből gondok.
evDirect villanyautós töltőhálózat
-
titán
Jó, akkor egy kis bosszantó:
A Wordpress deleteme csak az accountot tudja törölni, és az ahhoz kapcsolódó pár dolgot. A woocommerce adatokat nem, ráadásul a belépés nélküli vásárlás során nagyon nehezen összeszedhető adatok keletkeznek. Máshova kerül az előfizetések kezelése, máshova a rendelés közvetlen adatai, és máshova az értékelések. A GDPR szerint az ügyfélhez kapcsolódó összes, azaz összes adatot össze kell fésülni és törölni kell. Nem elég a fiókot. Itt meg kell különböztetni a jogszabályi előírások alapján kötelezően megőrzött adatokat (ami a számlázáshoz szükséges), és mondjuk a szállítási adatokat, ami nem. Itt megint jön a kérdés, hogy ha a számlázószoftvernek átadásra került az adat, és nem közvetlenül a woocommerce számláz, akkor meg szabad-e őrizni a számlázási adatokat? (nem)
És akkor nem beszéltünk a kötelező, időszakos, automatikus (akár kézi automatikus) törlésekről, amit mindenkinek a saját szabályzata szerint eljárva kell végrehajtani a fentiekre vonatkozóan.
Továbbá az ip cím is személyes adat. Márpedig az összes alapbeállítású web szerver ip-címet és vele együtt tevékenységet logol egy fájlba. Márpedig személyes adatot az ügyfél előzetes, határozott hozzájárulása alapján lehet csak rögzíteni. Az sem jó, hogy a nyitólapon engedélyt kérsz, mert a log fájl már a nyitó lapra lépést is rögzíti.
Ez az ip-címes szívás közvetlenül még nem jelent problémát, ezért sokan leszarják. Igen ám, de egy adatvédelmi incidens (feltörték a szervert, és ellopták a logfájlt) során a nem tarolható adatok is kikerülhetnek. És akkor jön ám a bünti ezerrel.
Menjünk tovább. A sütik is személyes adatnak minősülnek. Márpedig sütit elhelyezni is csak a fentiek szerint lehet. Megint nem jó megoldás a rendszeresen alkalmazott, hogy a korábbi nyitólapon elhelyezünk egy sütis kérdést, hogy hozzájárul-e a sütik rögzítéséhez. A probléma abból áll, hogy a legtöbb webáruházas (meg mindenféle) rendszerek már a nyitólapon is elhelyeznek egy tonna sütit, márpedig ha az ügyfél még nem nyomott rá az igenre, akkor azok nem kerülhetnének fel. Ezt úgy akarják sokan (az összes variáció, amit csak láttam) megoldani, hogy ha nem járul hozzá gombot nyomja, akkor rögtön törlik a felírt sütiket. A nagy lóf..zt. Ha az ügyfél az engedély megtagadása helyett a böngésző bezáró gombjára tehénkedik, akkor a süti ott marad. Feljelent -> bünti, hiszen az előzetes engedélye nélkül került fel.
Még órákig sorolhatnám a jogi és technikai buktatókat.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
titán
Idézet a GDPR-ből:
6. cikk
Az adatkezelés jogszerűsége
(1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.válassz: a b c d e f ?
ha pedig elviszik a logfáljokat, az csak abban az esetben probléma, ha az érintett és az ip cím közötti kapcsolat helyreállítható. ha nem, akkor ez az anonimizált személyes adat esete, ami, szerintem, nem számít.
Technikailag megvalósítható, úgyhogy szerintem meg igen. Egyébként pedig a "szerintem nem" sosem egy jó válasz. Mindig csak a "pontosan meghatározott nem" lehet jó válasz.Idézet a GDPR-ből:
(30) A természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel. Ezáltal olyan nyomok keletkezhetnek, amelyek egyedi azonosítókkal és a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyes profiljának létrehozására és az adott személy azonosítására.[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
titán
Már az is alkalmas a profilakotásra, hogy milyen weboldalt látogatott meg, még akkor is ha a látogatást nem folytatta. Ha bele akarok szállni, márpedig én oltári gdpr troll leszek, akkor simán be tudom bizonyítani, hogy egy esetleges súlyos adatvédelmi incidens esetén ezzel engem kár érhet. És akkor még nem beszéltem arról, hogy mi van akkor, ha az ügyfél törlést kér. Ha logolsz, akkor máris szopóágon vagy. Az egyetlen helyes és biztonságos megoldás az összes logolás kikapcsolása. Mondom, rengeteg olyan pont van, ahol a jog olyan elvárásokat támaszt, amiről még maga sem tudja, hogy ezt támasztotta, és főleg nem azt, hogy ezt technikailag hogy a büdös picsába kéne megvalósítani.
RudY
Itt is üti egymást a jogász és az informatikus némileg.
Mindig a jogász nyer. Az informatikus csak szív.[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
titán
a,b,c,f. az a,b,c szerintem egyszerűen ráhúzható, az f-et egy kicsit gyomrozni kell.
a) ??? Hozzájárulását adta?
Ezek közül milyen módon:
(32) Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.b) nincs szerződés a két fél között, ez kihúzva
c) Nincs jogi kötelezettség. Az ip-cím logolása lehetőség, nincs rá vonatkozó előírás. Az EU rendelet magasabb szintű jogforrás, mint a magyar törvény, ezért ha a törvény lehetővé tesz is, az önmagában nem számít.
f) abszolút kihúzva: kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé Márpedig a rögzítés pillanatában nem tételezhető fel, hogy bármilyen bűncselekményt kíván elkövetni.
Ha majd törvényi előírás lesz a logolás, akkor a c) alapján mehet. Addig nem.
#161
Hogy törlöd az adatait, ha felszólított? De egyébként igen, talán az egy megoldásszerűség lehet, ha azon az oldalon kapcsolod ki, ahol a hozzájárulást kéred. Mint a sütiknél. Viszont mivel ez nem szükséges az oldal működéséhez, talán nagyobb meló, mint direktben kikapcsolni a picsába.[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
titán
Egy másik vicces kérdés a biztonsági kamera képfelvétele. Mert érdekes módon csak a fényképfelvételeket zárja ki a jogszabály a hatálya alól, a mozgókép felvételeket valamiért kihagyták.
A fényképeket is csak akkor zárja ki, ha az nem kereshető, nem használnak biometrikus elemzést. De én megint be tudom bizonyítani, hogy egy súlyos adatvédelmi incidens (adatlopás) esetén a fényképeken, mint adatbázison el lehet végezni olyan műveleteket, amivel az én személyes adataim veszélynek vannak kitéve, át lehet rajtuk futtatni az arcképelemzést. Tehát már maga az adatbázis (a fényképek összessége) is jogszerűtlenül jött létre az engedélyem nélkül, még ha azt az adatkezelő nem is arcképelemzés céljából hozta létre. Ez kissé erőltetett, de ez megint a bírói gyakorlaton fog múlni.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
-
titán
Feltételes mód. Nem teszi kötelezővé. Nem jó. Mivel a GDPR magasabb szintű jogforrás, mint a magyar normál törvények (nem alaptörvény), ezért ahol a két törvény üti egymást, ott a GDPR rendelkezései érvényesek. Márpedig a GDPR 6. cikk 1. bekezdés c) pont így szól: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; Tehát még mindig nem jó a c pontra hivatkozni. A tartalomszolgáltatónak nincs jogi kötelezettsége rögzíteni az adatokat/IP-címet.
Mondom, hogy hatalmas a káosz még a jogászok fejében is a témával kapcsolatban. Nem azért, mert nem egyértelmű. Teljesen egyértelmű. Csak a jogászok nem értik a technológiát, az informatikusok meg nem értik a jogot. És nincs átfedés. Ebből jön a káosz.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat
-
titán
Vagy akkor is, ha feltörik a szerveredet, de senki nem tud olyan szervert mutatni amit nem lehet feltörni, tehát ez is betarthatatlan.
A szerver feltöréséért nem jár büntetés. Azért jár, ha ilyenkor olyan adat is kiszivárog, aminek nem lehetnél birtokában, mert nem kértél rá engedélyt. És lássuk be, hogy ez abszolút jogos. Ha az ügyfeled nem tudja, hogy kezeled az adatait, nem tudja, hogy ki van téve annak a veszélynek, hogy kiszivároghatnak az adatai tőled.
[ Szerkesztve ]
evDirect villanyautós töltőhálózat