Új hozzászólás Aktív témák

  • bambano

    titán

    LOGOUT blog

    ettől féltem, hogy a naih se fogja megérteni a gdpr-t, és ezért ökörséget beszél.
    bejött.

    a gdpr azt mondja, hogy van adatkezelő, ebben az esetben a prohardver, és van adatfeldolgozó. az adatfeldolgozó az adatkezelő írásos utasítása alapján végzi el az adatkezelő által meghatározott adatfeldolgozási feladatokat. ebben az esetben az adatkezelőnek nyilvántartást kell vezetnie az adatfeldolgozókhoz történő adattovábbításairól, ami alapján a törlési kérelem továbbítható.

    miután a google nem adatfeldolgozója a ph!-nak, ezért a ph! nincs vele semmilyen jogviszonyban, így a ph! nem kötelezhető arra, hogy ő intézkedjen egy olyan kérdésben, amihez nincs köze. a google saját elhatározásából, saját céljai szerint kezeli az adatokat (helyesen: lopja), tehát panaszt tenni nála kell.

    mennyire jó lenne, ha az összes jogászt kizárnák a gdpr értelmezéséből, de a geometria zseniket mindenképpen.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • mjani1172

    addikt

    válasz bambano #1 üzenetére

    "mennyire jó lenne, ha az összes jogászt kizárnák a gdpr értelmezéséből,"

    Meg úgy egyébként mindenhonnan. Ez az egész baromság a jogászok agyszüleménye, és jövőbeni pénzkereseti lehetősége.

  • bambano

    titán

    LOGOUT blog

    válasz mjani1172 #2 üzenetére

    önmagában a gdpr szerintem nem baromság, csak látszik rajta, hogy itt-ott lobbiérdekek belekerültek, amiről a jogászok nem tudták, hogy problémás vagy önellentmondásos.

    mondjuk mi mondhatnánk, hogy a gdpr problémás, mert az infotörvény szigorúbb volt, szerintem, nekünk az jobb volt.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • gabor7th

    addikt

    Meddig őrzi meg a Google?

    A számítástechnika új negatív trendjei: ujtechkor.blog.hu

  • dajkopali

    addikt

    válasz gabor7th #4 üzenetére

    ezt senki nem tudja - megvannak a törlési szabályok, ennek eleget is tesznek, de azt soha senki nem fogja tudni, hogy egyébként a törölt tartalmak valahol nem őrződnek-e meg

    "fácánjava calvadosban/teljesítünk, egyre jobban " - Konok Péter

  • gabor7th

    addikt

    válasz dajkopali #5 üzenetére

    Mi meddig érhetjük el, azt lehet tudni?

    A számítástechnika új negatív trendjei: ujtechkor.blog.hu

  • bambano

    titán

    LOGOUT blog

    válasz dajkopali #5 üzenetére

    de nem csak azt nem tudod, hogy a google nem őrzi-e meg valahol a törölni kért tartalmat, hanem azt se, hogy más cégek nem töltötték-e le azt és nem őrizték-e meg.

    például nem tudhatod, hogy egy internet szolgáltató web cache-jében nem maradt-e meg az adat, mert nem tudod, hogy letöltötte-e. például régebben az opera mobilos böngészője úgy működött, hogy tömörítésre használatos proxykon keresztül működött.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • bambano

    titán

    LOGOUT blog

    egyébként jön még az a vicces kör, hogy a ph!, itcafe, stb. adatkezelése nem lehet ebben a kérdésben azonos a hardverapróval, mert a gdpr tiltja az elfeledtetéshez való jogot jogi igények előterjeszthetősége miatt :)

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • nosayton

    újonc

    válasz bambano #3 üzenetére

    Amíg nem vonják vissza, addig nem az Infótörvényt kell figyelembe vennünk, mivel az a szigorúbb? Vagy azt már visszavonták?
    Komoly kérdés, nem csak kötekedek!

  • bambano

    titán

    LOGOUT blog

    válasz nosayton #9 üzenetére

    szerintem erre senki nem tud hitelt érdemlő választ adni.
    a gdpr kötelezően alkalmazandó. az infotörvény meg hazai jog. ami nem lenne baj, ha sikerült volna harmonizálni a kettőt, de nem sikerült.

    szerintem azt nem tudod megtenni, hogy az infotörvényt veszed figyelembe, mert az szigorúbb. max. ha mindkét fél magyar. de ha az, aki - szerinted - rosszul kezelte az adataidat az infotörvény szerint, külföldi, akkor rá nem vonatkozik csak a gdpr, az meg lehet, hogy engedi.

    igazából az infotörvénynek egy módosítása volt eddig, ami nagyjából arról szólt, hogy a naih a kijelölt hatóság. meg elkészült egy bővebb módosító javaslat (T/623), amit nem fogadott még el a Ház. na ha az átmegy, akkor itt lesz fejvakarás bőven.

    mondjuk én biztos nem fogom a fejem vakarni, annál jóval hevesebb reakció várható :P

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • Waikiki

    tag

    válasz bambano #1 üzenetére

    1. A NAIH pontosan ugyanazt mondta, amit te, szóval mi a probléma a véleményével? A PH! kötelezettsége csak annyi, hogy az általa üzemeltetett tartalomkezelő rendszerben meg kell jelölnie az általa törölt adatot. Ez viszont nem jogászi félreértelmezés, mert pontosan erről szól a 17(2) cikk.

    2. Az adatkezelőnek NEM kell adattovábbítási nyilvántartást vezetnie a GDPR alapján. Ez egy Infotv.-es fogalom, amit a GDPR NEM ír elő az adatkezelő kapcsán. A GDPR csak annyit mond, hogy az adatkezelési nyilvántartásban, az adatkezelések kapcsán fel kell tüntetni a címzetteket, illetve a tájékoztatóban szintén tájékoztatni kell az érintetteket a címzettekről. Mindez azonban nem jelent az adattovábbításokról való nyilvántartás-vezetési kötelezettséget.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • nosayton

    újonc

    válasz bambano #10 üzenetére

    Jogos, igazad van. Az a baj, hogy tényleg nem találni még szakértőt sem, aki teljesen tisztában lenne a dolgokkal :-/

    Ha ezt az említett módosítást megszavazzák, az kalandos lesz. Már így is elég nagy felmordulást okozott a cégnél, hogy variáltunk az IBSZ-ünkön :D

  • Waikiki

    tag

    válasz bambano #10 üzenetére

    1. A GDPR rendelet, ami közvetlenül alkalmazandó a tagállamokban akkor is, ha tagállami jogi előírás azzal ellentétes rendelkezést tartalmaz. Ha egyértelmű összeütközés van, akkor a rendelet szabályai irányadóak. A probléma ott van, ahol a tagállami szabályozás speciálisabb, de a korábbi rossz implementáció miatt rossz rendelkezést tartalmaz.
    Klasszikus példa a személy- és vagyonvédelmi törvény alapján a kamerás megfigyelésnél az érintett hozzájárulása. A valóságban a kamerás megfigyelésnél az adatkezelő jogos érdeke lenne a jogalap, de az Infotv. nem ismer ilyet, hanem csak szanaszéjjel farigcsált, az adatvédelmi irányelv jogos érdekére még csak nem is hasonlító valamit. Itt például az a kérdés, hogy a GDPR által lehetővé tett, valós jogalapot alkalmazza az adatkezelő, vagy mivel a törvény speciális szabályozást tartalmaz, így azt kell alkalmazni annak ellenére, hogy rossz, és meg kell várni a tagállami módosítást?

    2. Csak azoknak lesz fejvakarás, akik nem olvassák el figyelmesen a módosító javaslat. 1. §-át. A módosítás nagy része ugyanis nem vonatkozik az adatkezelők túlnyomó többségére. Kodifikációs szempontból elég balf... megoldás, hogy így csinálják, de a hatszor módosított, gránitszilárdságú Alaptörvény után az ember már semmin sem csodálkozik.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • #06658560

    törölt tag

    válasz bambano #1 üzenetére

    "a gdpr azt mondja, hogy van adatkezelő, ebben az esetben a prohardver, és van adatfeldolgozó. az adatfeldolgozó az adatkezelő írásos utasítása alapján végzi el az adatkezelő által meghatározott adatfeldolgozási feladatokat. ebben az esetben az adatkezelőnek nyilvántartást kell vezetnie az adatfeldolgozókhoz történő adattovábbításairól, ami alapján a törlési kérelem továbbítható."

    Ehhez tudnád linkelni a vonatkozó jogszabályi részt?
    Ugyanis a PH adatkezelő mivolta mellé itt a google egyfajta adatfeldolgozóként is értelmezhető, ami alapján a cachelés alapvetően opt-in változóvá válna. Ami nem lenne feltétlen rossz.
    Viszont ha a cachelés ilyen módon történik, akkor jön a további kérdés, ha egy ISP a helyi szabályok miatt cachel valamit, mondjuk az én profilom, mert egy ügyfele megnézte a privát adatlapom, akkor arról kit kell értesíteni, hogy lehet eljárni így jogilag helyesen?

  • borg25

    senior tag

    LOGOUT blog

    Ezt valaki értelmezné nekem:

    "Prohardvernek is van kötelezettségünk: a törölt tartalmat töröltnek kell jelölni a motor számára."

    Nekem ez fából vaskarika. Törlöm, tehát az adat elvész. Innentől kezdve hogy tudom a motor számára jelölni, hogy ezt töröltem? Oké mondhatom azt, hogy a hozzászólásnak van egy sorszáma, az alapján hivatkozhatnék rá, ha az a keresőmotor is mint index használná, de tuti nem használja, mert ő szövegként lementette az egészet (max értelmezte a linkeket.) Szóval a maximum amit meg lehetne tenni, hogy a fórumhozzászólást megtartom, csak a szöveget és a hozzászóló nevét nullázom ki. (felülírom üres tartalommal)

  • #06658560

    törölt tag

    válasz borg25 #15 üzenetére

    Gondolom az adatbázishoz kapcsolódó hivatkozásokhoz kell valami taget tenni, ami a google motorja által valamilyen keresett adat helyére kerül, amiből tudja, hogy mire hivatkozik, és azt akkor legyen szíves kipucolni a saját rendszeréből. Ahogy most is lehet kérni, ne cacheljen egy oldalt, valami plusz beírásával.

  • Waikiki

    tag

    válasz #06658560 #14 üzenetére

    A Google egészen biztosan nem lesz adatfeldolgozó, mivel a keresőszolgáltatáshoz kapcsolódó indexelés önálló adatkezelés lesz, nem pedig a PH nevében végzett tevékenység.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • Kékes525

    félisten

    válasz dajkopali #5 üzenetére

    "de azt soha senki nem fogja tudni, hogy egyébként a törölt tartalmak valahol nem őrződnek-e meg"

    Ez minden digitális tartalomra elmondható. Különösen azokra, amelyek valamikor az interneten voltak. Bárki lemásolhatja és örök időkig tárolhatja azokat a lebukás veszélye nélkül.

    Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #11 üzenetére

    "A NAIH pontosan ugyanazt mondta, amit te": elismerem, ebben a mondatodban sok igazság van.
    de nekem katyvaszos az az állásfoglalás, ahol nem sikerül a google konkrét szerepét rendesen meghatározni. enélkül az sem definiálható, hogy mit várhatunk el a google-tól.

    "Az adatkezelőnek NEM kell adattovábbítási nyilvántartást vezetnie a GDPR alapján.": szerintem több dolog is van a gdpr-ban, amit taxatíve nem ír elő, de a konkrétan leírt elvárásoknak csak úgy lehet megcsinálni, ha megcsinálod. Konkrétan hogyan tudnád tájékoztatni az adatfeldolgozódat vagy a címzettet arról, hogy felejtéshez való jogot, módosításhoz való jogot, korlátozáshoz való jogot akar érvényesíteni valaki, ha nem tudod, hogy kiknek az adatát továbbítottad?

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #13 üzenetére

    klasszikus példa, hogy a magyar törvények szerint a spam opt-in, a gdpr szerint meg opt-out.
    ezért önmagában megérdemelnének egy szívlapátos arcmasszázst brüsszelben.

    a másik jó példa, hogy az arckép nem speciális adat mindaddig, amíg nem felismerésre alkalmas rendszerrel dolgozzák fel. ami nonszensz, mert nem lehet olyan rendszerben értelmesen felhasználni, ahol ne lenne felismerés.

    "Csak azoknak lesz fejvakarás, akik nem olvassák el figyelmesen a módosító javaslat.": te például olvastad a leendő új 5. paragrafust? Esetleg az új 8. paragrafust?

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • bambano

    titán

    LOGOUT blog

    válasz #06658560 #14 üzenetére

    "Ugyanis a PH adatkezelő mivolta mellé itt a google egyfajta adatfeldolgozóként is értelmezhető": valóban ez a látszat. de nem az, mert a google nem a ph utasításai alapján dönt az adatkezelésről. az adatfeldolgozó fontos ismérve, hogy önállóan nem hoz döntést az adatkezelés kérdéseiben.

    "arról kit kell értesíteni, hogy lehet eljárni így jogilag helyesen?": sehogy. azt a passzust kell kihasználni, miszerint az értesítésnek a költségvonzatát is figyelni kell: magyarul nem értesítesz senkit, mert lehetetlen mindenkit értesíteni a technológia mai szintjén elfogadható költségekkel.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • bambano

    titán

    LOGOUT blog

    válasz borg25 #15 üzenetére

    itt azt lehet szakmailag tenni, hogy a ph!-ról kitörlöd az adatokat, ettől azok az oldalak, amelyeken ezeket az adatokat közzétették, megváltoznak. majd valahogy rá kell venned a guglit, hogy ezeket az oldalakat törölje a tárolt változatokból és töltse le újra a módosult verzióban. tehát magát az adatot törlöd, az oldalt, ahol az adat megjelent, pedig megjelölöd frissítésre.

    ez egyébként annyira nem lehetetlen küldetés http headerekkel, a gond az, hogy hány helyen van másolat az oldalról, amiről nem is tudsz. mert a gugli az egy, azt tudhatod. és a többi?

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • Waikiki

    tag

    válasz bambano #19 üzenetére

    "Konkrétan hogyan tudnád tájékoztatni az adatfeldolgozódat vagy a címzettet arról, hogy felejtéshez való jogot, módosításhoz való jogot, korlátozáshoz való jogot akar érvényesíteni valaki, ha nem tudod, hogy kiknek az adatát továbbítottad?"

    Erre általános választ nem lehet adni, mert az adatfeldolgozási tevékenységtől függ, és egyszerűen úgy kell kialakítani az adattovábbítás folyamatát, hogy erre is gondoljon az adatkezelő, ez lenne a privacy by design. Teljesen más megoldás kellhet attól függően, hogy az adatfeldolgozó egyszeri alkalommal vesz át adatot az adatkezelőtől (pl. egyszeri DM kampány lebonyolítása) vagy az adatok átadása folyamatos / ismétlődő jellegű.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #23 üzenetére

    "Erre általános választ nem lehet adni": ez a jogászi blabla :P

    a számítástechnikai válasz meg az, hogy nem lehet. ha nem naplóztad az adattovábbítást, akkor nem lehet megmondani, hogy kinek kell szólni. vagyis a gdpr nem írja elő, hogy legyen napló, viszont ha nem csinálsz naplót, nem tudsz megfelelni egyéb gdpr-os követelményeknek.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • tonyrulez

    őstag

    Nem csak a Google cache-el, Bing is, és ott van a Wayback Machine is. Aztán ki tudja még hány helyen lehet róla másolat. Vicces lenne hogy a tartalomkezelőnek ilyenkor utána kellene járnia, hogy melyik helyen van épp róla cache, aztán mindenhova benyújtani törlési kérelmet, lekövetni hogy megtörtént-e és visszajelezni az eredeti kérelmezőnek. Úgyhogy egyetértek ezzel az állásponttal.

    4 8 15 16 23 42

  • Waikiki

    tag

    válasz bambano #20 üzenetére

    "klasszikus példa, hogy a magyar törvények szerint a spam opt-in, a gdpr szerint meg opt-out.
    ezért önmagában megérdemelnének egy szívlapátos arcmasszázst brüsszelben."

    Miért Brüsszelben, miért nem a Kossuth téren? Elvégre két éve ismert volt a GDPR szövege, hogy nem sikerült mind a mai napig összhangba hozni a reklámtv.-t?

    Ebben az esetben amúgy simán lehetne jogos érdekből is adatot kezelni DM kapcsán, mivel mind a (47) preambulumbekezdés, mind pedig a tiltakozás jogánál levő rendelkezésből levezethető lenne, csak nem nagyon merik meglépni az adatkezelők, mert egy szimpla adatkezelési kérdésből a magyar jogalkotó miatt alkotmánybírósági ügy lenne.

    "a másik jó példa, hogy az arckép nem speciális adat mindaddig, amíg nem felismerésre alkalmas rendszerrel dolgozzák fel. ami nonszensz, mert nem lehet olyan rendszerben értelmesen felhasználni, ahol ne lenne felismerés."

    ???
    (51) preambulumbekezdés egyértelműen szól erről.
    A probléma az arckép kapcsán másutt lehet: az arckép nem azért lesz különleges adat, mert biometrikus adat, hanem mert a faji eredetre vonatkozó információt hordozhat.

    "te például olvastad a leendő új 5. paragrafust? Esetleg az új 8. paragrafust?"

    Te láthatóan még a figyelemfelhívásom ellenére sem nem olvastad el az új 2. § (2) bekezdést, mivel akkor egyértelmű lenne számodra, hogy az új 2. § (3) bekezdés alapján az általad citált jogszabályhelyeket kizárólag a bűnüldözési, nemzetbiztonsági és honvédelmi adatkezeléseknél kell alkalmazni, melyekre viszont a GDPR nem is terjed ki a 2(2)(d) cikk alapján, vagyis szó sincs kollízióról.
    (Pontosabban: az 5. § egyes bekezdéseit a GDPR-os adatkezelések kapcsán is kell alkalmazni, lásd az új 2. § (2) bekezdés, de nem igazán értem, hogy azokkal mi a problémád.)

    [ Szerkesztve ]

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #26 üzenetére

    "Miért Brüsszelben, miért nem a Kossuth téren?": a jogszabályi ütközés feloldásának matematikailag két megoldása lehet: vagy a magyart változtatják meg a gdpr szerint, vagy a gdpr-t a magyar szerint. Ebből te alapértelmezed, hogy csak az lehet a jó, ha a magyart hozzáigazítják a gdpr-hoz.

    az én értelmezésem meg az, hogy azt kell javítani, ami rossz. ha a magyar jó, akkor a gdpr-t kell a magyar alapján átszabni, a másik esetben fordítva. és mivel a magyar a jó, a magyar verzió felel meg a gdpr szellemének, ebből egyenesen következik, hogy a gdpr-t kell javítani, mivel az nem felel meg a saját maga által támasztott követelményeknek. legalábbis a spammelés kérdésében.

    világosan látszik, hogy ez egy olyan pontja a gdpr-nak, amit mocskos lobbiérdekek miatt véstek bele. nem zárnám ki a másik lehetséges variációt se, miszerint a kodifikálók nem értettek ahhoz, amit kodifikáltak, de nem hiszek benne, hogy ez lenne az ok.

    "Ebben az esetben amúgy simán lehetne jogos érdekből is adatot kezelni DM kapcsán": fogalmazzunk úgy, hogy szabad. a dm a gdpr szerint jogos érdek. amivel tökön lövi saját magát. ami miatt szerintem szívlapáttal kellene pofánverni az összes jogászt, aki ezt bele merte írni. hogy lehet a saját személyes adatommal való visszaélés egy cég profithajhászásának jogos érdeke? ezt a baromságot hogy merték rendeletbe foglalni?

    "Te láthatóan még a figyelemfelhívásom ellenére sem nem olvastad el...": rendben, legyen igazad, nekifutok mégegyszer.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • Waikiki

    tag

    válasz bambano #24 üzenetére

    Ez nem jogászi blabla. A te hibád az, amibe az adatkezelők túlnyomó többsége beleesik:
    - nem akar vele foglalkozni,
    - ezért nem ismeri a jogszabályt,
    - ezért egy olyan rapid, sablon megoldást keres, amelyben csak az "adatkezelő neve" sort kell átírnia, és azzal le van tudva a megfelelés.

    Az adatkezelők képtelenek megérteni, hogy nincsenek sablon megoldások. A megoldás az, hogy minden szervezetnek fel kell mérnie az adatkezeléseit és ezekre egyedileg kell megoldásokat kreálni, ami igen, azonos lesz a másik szervezetével, ha ott is ugyanilyen adatkezelés van, és azt ugyanilyen körülmények közt végzik. Csakhogy a felmérés időbe kerül. Aki pedig most kezd el ezzel foglalkozni, az azt mutatja, hogy eddig lesz*rta, pedig már az infotv. alapján is tisztában kellett volna lennie az adatkezeléseivel.

    Amúgy magyarázd már meg, hogy miért lesz ugyanolyan az alábbi két adatkezelés:
    - a szervezet a partnereinek rendezvényt szervez és a partnerek neveit továbbítja a rendezvényszervező cégnek a beléptetés, ültetési rend, regisztráció, stb. érdekében.
    - vállalkozáscsoportban a leányvállalatok számára a bérszámfejtést az anyavállalat végzi.

    Mindkét adatkezelésben van adatfeldolgozó, és szerinted ugyanazon szabályokat kellene alkalmazni az adatok frissítésére? És szerinted miért nem egyértelmű, kinek történt adattovábbítás, illetve milyen adatokat továbbítottak az adatfeldolgozónak?
    És ezek igen, ugyanúgy adatkezelések, azonban nemcsak IT-s szemüvegen kell nézni a világot, mert marha könnyen félrevisz.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #28 üzenetére

    "A te hibád az, amibe az adatkezelők túlnyomó többsége beleesik:": az én "hibám", hogy informatikusként azt is látom, hogy a gdpr elvárásainak mi a célja és informatikailag hogyan lehet megvalósítani.

    a gdpr-nak NEM LEHET megfelelni rendes informatikai tudás nélkül, ami a jogászoknak nincs meg.

    "ezért egy olyan rapid, sablon megoldást keres, amelyben csak az "adatkezelő neve" sort kell átírnia, és azzal le van tudva a megfelelés.": én pont nem ezt a verziót képviselem, de erről nem foglak túl sokat győzködni.

    "Amúgy magyarázd már meg, hogy miért lesz ugyanolyan az alábbi két adatkezelés": ezt nem fogom neked megmagyarázni, mert én nem ezen az állásponton vagyok.

    "- ezért nem ismeri a jogszabályt,": legutoljára az 1/2002. im rendeletet olvasgattam...

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #26 üzenetére

    ilyenek vannak a t/623-as módosító törvényjavaslatban:
    "a) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli,"

    ez, számomra, azt mondja, hogy ezt a paragrafust civil adatkezelés esetén figyelembe kell venni.

    "b) az a) pontban meghatározottak hiányában az az adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult,"

    ez a paragrafus is azt sugallja számomra, hogy nem bűnügy adatkezelés esetén ezt is figyelembe kell venni.

    ezzel viszont jól kitoltak egy csomó adatkezelővel, mert a jogász a vagy logikai kapcsolatot nem ismeri, helyette és-t használt, ami azt jelenti, hogy (például mi,) az internet szolgáltató akkor kezelhet személyes adatot a szolgáltatásához, ha erre törvény felhatalmazza ÉS az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult.

    ez a két paragrafus a pongyola megfogalmazás miatt úgy is értelmezhető, hogy teljesen szembemegy a GDPR-ral, meg úgy is, hogy csak kicsit. ráadásul a számviteli törvényt is sérti, meg még sorolhatnám.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • Fionn

    tag

    A cikk alapvetően jó (hogy jogilag mennyire helyes vagy nem az nem érdekel) de valamiért kicsit mentegetőző szaga van, ám lehet csak a saját példa miatt érződik.

  • Waikiki

    tag

    válasz bambano #27 üzenetére

    Ne haragudj, de te itt a szubjektív véleményedet kevered a tényekkel.

    A tények:
    1. A rendelet a tagállamokban közvetlenül alkalmazandó, külön tagállami aktus nélkül. A tagállami jogszabály legfeljebb kiegészítheti a rendeletet, de semmiképp sem tartalmazhat azzal ellentétes szabályt, még akkor sem, ha a tagállami szabály hamarabb keletkezett: ebben az esetben módosítani kell a jogszabályon.

    2. Nincs olyan, hogy a "GDPR szellemisége". Alapelvei vannak, amelynek azonban meg tud felelni egy jogos érdeken alapuló DM-es adatkezelés.

    3. A jogos érdek alapján történő DM adatkezelés nem visszaélés, hanem jogszerű adatkezelés, főképp majd az ePrivacy rendelet alapján, ha azt a mostani változatban fogadják el.

    A te szubjektív véleményed az, hogy a DM-re vonatkozó rendelkezés nem jó, illetve az, hogy visszaélés. Ezen viszont már felesleges vitatkozni, mert ez a te meglátásod, legyen így.

    Én ezt a kérdést cizellálnám kicsit, miszerint a szolgáltatód küldi-e vagy olyan szervezet, akivel semmilyen viszonyban nem vagy: az előbbi esetében ugyanis teljesen érthető az igény, és egyáltalán nem jelent akkora problémát, főleg akkor, ha a szolgáltatód rendben le is kezeli az igényeidet. A gond inkább ott van, amikor valaki, valahogy megszerzi a címedet, és úgy küld rá hirdetéseket - vagyis a legklasszikusabb szpem értelmében. Ez utóbbin a GDPR amúgy nem tud segíteni, mert aki eddig is szpemmelt, azt a GDPR sem fogja érdekelni.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #32 üzenetére

    "Ne haragudj, de te itt a szubjektív véleményedet kevered a tényekkel.": nem. én tényeket emlegetek.
    "A rendelet a tagállamokban közvetlenül alkalmazandó, külön tagállami aktus nélkül": ha látsz valahol olyat, hogy én ezt vitattam, mutasd meg. ha pedig nem, akkor a kifogásaidat azokkal az állításaimmal szemben fogalmazd meg, amiket valóban megtettem.

    Ettől teljesen független, külön történet, hogy én azt állítom, hogy a gdpr ebben a kérdésben hibás. abból az állításomból, hogy a gdpr hibás, nem lehet semmiféle következtetést levonni arra nézve, hogy hogyan gondolom a hiba javítását. A te hsz-ed azt sugallja, hogy szerintem gerilla módon kellene ezt javítani. Ez a sugalmazás téves. Szerintem a brüsszeli jogalkotóknak kellene kijavítani ezt a rendeletben.

    "Nincs olyan, hogy a "GDPR szellemisége".": de, van, nagyjából 30 oldalon, 173 paragrafusban írják le a preambulumban, hogy szerintük mit és hogyan kellene. Vannak alapelvek is, de az az 5. cikkben van részletezve.

    "A jogos érdek alapján történő DM adatkezelés nem visszaélés": ez nézőpont kérdése. A gdpr betű szerinti értelmezése alapján legális, ezt nem vitatom. két probléma van vele:
    1. a magyar jogban eddig biztosított jogomat csorbítja, és ezért nem tetszik.
    2. direkt marketing esetén nem lehet teljesíteni azt az alapelvet, hogy a személyes adattal az érintett rendelkezik. az opt-out helytelen értelmezése a preambulumban leírt dolgoknak.

    "az előbbi esetében ugyanis teljesen érthető az igény": de engem nem érdekel x.y cég profithajhászása. én értem, hogy neki van igénye, nekem meg vannak jogaim, és nincs olyan társadalmi igény, hogy az ő profitérdeke az én személyes jogaimat felülírja. keressen pénzt másképp.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • Waikiki

    tag

    válasz bambano #29 üzenetére

    "A te hibád az, amibe az adatkezelők túlnyomó többsége beleesik:": az én "hibám", hogy informatikusként azt is látom, hogy a gdpr elvárásainak mi a célja és informatikailag hogyan lehet megvalósítani.

    a gdpr-nak NEM LEHET megfelelni rendes informatikai tudás nélkül, ami a jogászoknak nincs meg.

    Neked két alapvető tévedésed van. Azt hiszed, hogy:
    1. A GDPR informatikai kérdés. Nem CSAK informatikai. Iratkezelési, folyamatszabályozási kérdés is. Amikor az a kérdés, hogy a fájlszerveren hogyan tárolja a szervezeti egység az adatokat, az sokkal inkább folyamatszabályozás: hogyan tárolják a fájlokat, hogyan lehet azokat / azokból törölni, ha kell, hogyan változtassák meg a jelenlegi folyamatokat, és így tovább. Amikor az a kérdés, hogy egy rendszerben mennyi idő után töröljék az adatokat (és ennek mi legyen az indoka), az egyáltalán nem informatikai kérdés, az informatikai felszín ellenére; az informatikai kérdés az, hogy hogyan töröljenek / anonimizáljanak, de erre vannak az informatikusok, majd ők megmondják. Én még nem láttam olyan informatikust, aki ezen szerepkörében dolgozva ne tette volna fel azonnal a kezét abban a pillanatban, amikor egy ilyen esetben túlléptek a szűk értelemben vett informatikai kérdéseken és a folyamatot kezdték el kapirgálni: márpedig az adatvédelmisnek a folyamat szintjén is értelmeznie kell az adatkezeléseket.

    2. azért, mert informatikus vagy, azonnal értesz a GDPR-hoz. Ennek amúgy három oldalága van:
    a) Informatikusként nem feltétlenül fogsz tudni jogi kérdésekben is megfelelő válaszokat adni. Lehet, hogy az informatikához értesz, de a GDPR-os melónak is a része, mint amikor egy adatfeldolgozói szerződéstervezetet kell véleményezni, és mondjuk rájönni, hogy miért baromság az egész. (Május 25. kapcsán a cégek pl. azt csinálták, hogy adatfeldolgozói szerződéseket akartak aláíratni boldog-boldogtalannal, még olyanokkal is, akikkel ügyfél-szolgáltató viszonyban vannak.)
    b) Jogászok nem értenek informatikai kérdésekhez. Ez egy kicsit lekezelő, de annál nagyobb marhaság. Lehet, hogy te nem találkoztál velük, de akkor az a melóhelyed HR-jének sz@r kiválasztási procedúrájának eredménye. Az odáig stimmel, hogy a GDPR alkalmazásához szükséges valamennyi informatikai tudás, tapasztalat, azonban ez sokkal több jogászban megvan, mint amennyire te azt hiszed, pont azért, mert korábban akár adatvédelmi, akár informatikával kapcsolatos jogi pozíciókban dolgoztak, ahol a tapasztalatot megszerezték. Nem fognak egy informatikus mérnököt kiváltani sosem, de nem is kell, mert...
    c) a GDPR csapatmunka, nem pedig egyszemélyes móka. A DPO feladata jellegét tekintve a belső ellenőrzéshez, illetve a compliance-hez hasonlít, de amíg az előbbieknek van szervezete, addig a DPO egyszemélyes móka. Komolyabb tanácsadó cégeknél, illetve nagyobb cégeknél vannak IT-s, IT biztonsági szakemberek, akik tudják szállítani a megfelelő informatikai megoldási javaslatot. Egy jó GDPR-os szakembernek értenie kell a joghoz, valamint erős informatikai szemléletének kell rendelkeznie, de nem neki kell ötletekkel jönnie az alkalmazandó informatikai megoldásra.

    "legutoljára az 1/2002. im rendeletet olvasgattam..."

    lehet, hogy te olvasol, de egy 8 ezres FB csoport hozzászólásainak tapasztalata alapján a potenciális adatkezelők túlnyomó többsége el sem olvasta még most sem a GDPR-t, hanem ahogy írtam, instant megoldásokat akar.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • Waikiki

    tag

    válasz bambano #30 üzenetére

    "ez, számomra, azt mondja, hogy ezt a paragrafust civil adatkezelés esetén figyelembe kell venni."

    Ne haragudj, de ez már tényleg kezd fárasztó lenni. Kétszer hívtam fel a figyelmed, hogy olvasd már el a módosító javaslat 1. §-át, ami azt a nyomorult 2. § (2) bekezdést módosítja, és jól láthatóan vagy nem olvastad el, vagy nem tudod értelmezni. Így szól pontosan:

    Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet a III-V. és a VI/A. Fejezetben, valamint a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23-24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)-(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52-54. §-ban, az 55. § (1) és (2) bekezdésében, az 56-60. §-ban, a 60/A. § (1)-(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)-(10) bekezdésében, a 62-71. §-ban, a 72. §-ban, a 75. § (1)-(5) bekezdésében és az 1. mellékletben meghatározott kiegészítésekkel kell alkalmazni.

    Amit te beidéztél, az az 5. § (1) bekezdésének a) és b) pontja. Kérlek, mutasd már meg, hogy a fenti jogszabályszöveg mely része mondja ki, hogy a civil adatkezelés kapcsán alkalmazni kell. (Az 5. §-ból csak a (3)-(5), (7) és (8) bekezdéseket rendeli alkalmazni, az (1)-et nem.)

    "mert a jogász a vagy logikai kapcsolatot nem ismeri, helyette és-t használt, ami azt jelenti, hogy (például mi,) az internet szolgáltató akkor kezelhet személyes adatot a szolgáltatásához, ha erre törvény felhatalmazza ÉS az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult."

    Hagyjuk már ezt a jogászfikázást, mert tényleg unalmas, és kissé ciki is, ha az ehhez csomagolt értelmezés mindezek mellé még hibás is.
    Az internet szolgáltatóra a fent idézett jogszabályhely alapján nem vonatkozik az általad citált két bekezdés, mivel az a módosított 2. § (3) bekezdés alapján csak a honvédelmi, nemzetbiztonsági, bünügyi célú adatkezelésekre vonatkozik. Az internetszolgáltató melyik ezek közül?

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • Waikiki

    tag

    válasz bambano #33 üzenetére

    ""Nincs olyan, hogy a "GDPR szellemisége".": de, van, nagyjából 30 oldalon, 173 paragrafusban írják le a preambulumban, hogy szerintük mit és hogyan kellene. Vannak alapelvek is, de az az 5. cikkben van részletezve."

    Rendben, nézzük így.
    Pontosan mely részével ellentétes a jogos érdekből végzett DM adatkezelés, le tudnád vezetni? Különös tekintettel amúgy arra, hogy az általad a GDPR szellemiségének nevezett preambulumbekezdések egyike, a (47) konkrétan példaként hozza a DM célú megkeresést a jogos érdekből végzett adatkezelésre.

    ""A jogos érdek alapján történő DM adatkezelés nem visszaélés": ez nézőpont kérdése. A gdpr betű szerinti értelmezése alapján legális, ezt nem vitatom. két probléma van vele:"

    Te magad írod, hogy jogilag helyes, de mégis visszaélés? Érdekes...

    "2. direkt marketing esetén nem lehet teljesíteni azt az alapelvet, hogy a személyes adattal az érintett rendelkezik. az opt-out helytelen értelmezése a preambulumban leírt dolgoknak."

    ???
    Miért ne tudna rendelkezni róla, amikor bármikor tiltakozhat a 21(2) cikk alapján? Ráadásul ha megnézed a 21. cikket, akkor amíg az általános tiltakozási jognál az adatkezelő tovább kezelheti az adatot, ha igazolja a kényszerítő jogos érdekét, addig a 21(3) cikk a DM kapcsán nem biztosít ilyen lehetőséget az adatkezelőnek, hanem azonnal törölnie kell az adatot.
    Szóval teljesen helyes értelmezése, mert az opt-out pont arról szól, mint amit a jogos érdekből történő adatkezelés kapcsán benyújtott tiltakozás jelent: EZ az opt-out. Ez jogilag tökéletesen jó, csak ismétlem, a te szubjektív nézőpontodnak nem tetszik. De ez viszont már más kérdés.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #34 üzenetére

    "a gdpr-nak NEM LEHET megfelelni rendes informatikai tudás nélkül, ami a jogászoknak nincs meg.": ebből az állításból nem következik, az az állítás, amit te sugallsz, hogy szerintem a gdpr kizárólag informatikai kérdés. én semmi ilyesmit nem állítok.

    " Azt hiszed, hogy: 1. A GDPR informatikai kérdés.": ez nem igaz, ezt csak te hiszed.
    Már leírtam korábban itteni topicokban, most leírom megint, hogy mit hiszek:
    - a gdpr szövegének 90%-a jogi kérdéseket takar, jogi következményeket hoz, 10%-a meg informatikait (de lehet, hogy 10-nél kevesebb az informatika)
    - a gdpr-ra való felkészülés és annak korrekt végrehajtása 10% jogi lépéseket igényel és 90% információbiztonságit.

    "Én még nem láttam olyan informatikust": meghívlak egy sörre, de csak személyesen.

    "azért, mert informatikus vagy,": azért, mert te azt akarod látni, hogy informatikus vagyok, akkor az vagyok? ha nagyon szigorúan vesszük a papírjaim tartalmát, nem is vagyok informatikus :P

    "Jogászok nem értenek informatikai kérdésekhez.": ezt, sajnos, személyesen tapasztaltam. most abba ne menjünk bele mélyen, hogy én ennek örülök.

    "Egy jó GDPR-os szakembernek értenie kell a joghoz, valamint erős informatikai szemléletének kell rendelkeznie, de nem neki kell ötletekkel jönnie az alkalmazandó informatikai megoldásra.": egy idealizált világban a jó gdpr-os szakember fel tudja tenni a szükséges konkrét kérdéseket, amiket ha a jogi részleg megválaszol, akkor lesz rendes gdpr megfelelés. a való világnak abban a szeletében, amiben én élek, a jogi részleg leggyakrabban nincs, vagy alkalmatlan erre. tehát kénytelen vagy előbb-utóbb magad jogtárat olvasni.

    ha az történne, amit te emlegetsz, hogy jogász ért a gdpr-hoz, és van informatikai szemlélete, akkor a mélyebb kérdések 99%-a nem kerülne felszínre és nem foglalkoznának a megfeleléssel. szerintem jobb eredményt ér el a jó informatikus, aki belemászik a jogba, mint a jogász, aki belemászik az informatikába. ezt az is alátámasztja, hogy a világban csak matekból sikkes hülyének lenni. ha egy informatikus azt mondja, hogy nem ért a magyar irodalomhoz, akkor lenézik. ha egy jogász azt, hogy hülye a matekhez, az király csávó.

    "de egy 8 ezres FB csoport hozzászólásainak tapasztalata alapján a potenciális adatkezelők túlnyomó többsége el sem olvasta még most sem a GDPR-t, hanem ahogy írtam, instant megoldásokat akar.": ez az egy pont, amiben teljesen egyetértek :)

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #36 üzenetére

    "a (47) konkrétan példaként hozza a DM célú megkeresést a jogos érdekből végzett adatkezelésre.": mert azt hiba volt beleírni a gdpr-ba. vagy nem hiba, hanem nokiás doboz.

    "Te magad írod, hogy jogilag helyes, de mégis visszaélés? Érdekes...": nem azt írtam, hogy helyes, hanem azt, hogy legális. próbáljuk meg megérteni a különbséget aközött, hogy mit enged meg egy rendelet, meg aközött, hogy mit engedne meg egy olyan rendelet, amit a jó erkölcs figyelembevételével hozzáértők írtak volna meg. próbálj meg különbséget tenni aközött, hogy valami megfelel a törvény betűjének, meg aközött, hogy nemcsak legális, hanem támogatom is, mert helyesnek gondolom.

    "Miért ne tudna rendelkezni róla, amikor bármikor tiltakozhat a 21(2) cikk alapján? ": azért, mert arról dönthetsz, hogy lekerülj a listáról AZUTÁN, miután egyszer már megspammeltek. Az alapfelállás a következő: x cég erőszakosan akar piacon terjeszkedni, ezért reklámemailek küldésére adja a fejét.

    egy normális világban, ami a magyar törvények szerint eddig volt, csak akkor küldhet reklámot, ha ezt te előre engedélyezted. tehát amíg nem kap tőled engedélyt, addig nem reklámozhat, nem küldhet engedélykérést reklám küldésére, stb. addig TE semmit nem tudsz a cégről és ez így helyes.

    most meg elküldi neked a reklámját, emailben, mert annak a költsége nagyon alacsony. ezzel már ráderőszakolta magát, felhasználta az adataidat, és célt is ért, mert az engedélyed nélkül elolvastad a reklámját. tehát ő teljesítette a gazdasági érdekét. ezek után rádlőcsölte annak minden költségét és fáradalmát, hogy az ő mocskától megszabadulj, vagyis neked azok után, hogy láttad a reklámját, tevékenyen le kell iratkoznod a szemetjéről. tehát te dolgozol, ő meg gazdagodik.

    ez az indoka annak, hogy miért gyűlölöm a spammereket és miért kretén ez a paragrafus a gdpr-ban. nem tudsz kontrollt gyakorolni az adataid fölött, mert erőszakkal használják, és csak utólag tudsz valami pótcselekvést tenni.

    a gdpr-t meg ott sérti, hogy itt megtörténik az adatkezelés, és utólag tiltakozhatsz ellene. vannak dolgok, amik nem visszafordíthatóak, ezekben az esetekben kizárólag az előzetes tiltás és opt-in működik. a gdpr jelenlegi formájában azt jelenti, hogy az érintett adatok fölötti rendelkezési joga másodlagos a vállalatok profitéhsége mögött. akkor mi a francnak az a másik 87 oldalnyi szöveg, ami az ellenkezőjét akarja bizonygatni.

    de gondolkodj másképp: ha az, aki a lányodat megerőszakolta, utána bocsánatot kér, megoldás? boldog nagyapja leszel egy olyan gyereknek, aki erőszakból született, de bocsánatot kért? a lányod összes lelki baja elmúlik egycsapásra, ha bocsánatot kértek? én nem gondolnám ezt.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • Waikiki

    tag

    válasz bambano #37 üzenetére

    azért, mert te azt akarod látni, hogy informatikus vagyok, akkor az vagyok? ha nagyon szigorúan vesszük a papírjaim tartalmát, nem is vagyok informatikus :P

    Idézet tőled: az én "hibám", hogy informatikusként azt is látom, hogy a gdpr elvárásainak mi a célja és informatikailag hogyan lehet megvalósítani.

    "egy idealizált világban a jó gdpr-os szakember fel tudja tenni a szükséges konkrét kérdéseket, amiket ha a jogi részleg megválaszol, akkor lesz rendes gdpr megfelelés. a való világnak abban a szeletében, amiben én élek, a jogi részleg leggyakrabban nincs, vagy alkalmatlan erre. tehát kénytelen vagy előbb-utóbb magad jogtárat olvasni."

    Az ilyen szakembert mondjuk egy DPO pozícióban az első héten rúgják ki, mert ha a jogi részleget kérdezi, akkor hogy fog jogi jellegű adatvédelmi kérdéseket megválaszolni? Ha a jog, akkor minek a DPO? Lásd az előbb említett adatfeldolgozói szerződések véleményezése. Vagy ha unión kívüli adattovábbítások vannak, akkor ott kőkemény jogi értelmezések vannak, amelyekhez adatvédelmi ismeretek kellenek.
    Valószínűleg rosszul csináljátok, és meg kellene fontolni a fordítottját: egy jogász végzettségű DPO-t alkalmaztok, aki megkérdezi az informatikát, mit és hogy kellene csinálni. Egy jogász hamarabb fog eljutni, ha nem is az informatikai mélyebb ismeretekhez, de hogy releváns kérdéseket tud feltenni az informatikusoknak, mint az informatikuks, hogy jogi problémákat válaszoljon meg, és tudja jogi keretek közé helyezni a kérdést.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • Waikiki

    tag

    válasz bambano #38 üzenetére

    ""Miért ne tudna rendelkezni róla, amikor bármikor tiltakozhat a 21(2) cikk alapján? ": azért, mert arról dönthetsz, hogy lekerülj a listáról AZUTÁN, miután egyszer már megspammeltek. Az alapfelállás a következő: x cég erőszakosan akar piacon terjeszkedni, ezért reklámemailek küldésére adja a fejét."

    És ez a cég honnan is szerzi meg a címedet? Ha nem tőled közvetlenül, akkor az első küldeménynél értesítenie kell az adatkezelésről a 14. cikk alapján, és 1 üzenet után lemondod. Ha a szolgáltatód, akkor ugyanez. Lehet ezen problémázni, de a GDPR-ral kaptál a kezedbe egy nagyon erős és veszélyes kontrollt a küldő felett.
    Szóval miután évtizedek óta kapja az ember tucatszámra a szpemeket, és jön egy szabály, ami szervezett és egyértelmű körülmények közt ezt lehetővé teszi, cserébe nagyon erős jogokat ad, hirtelen fájni kezd a dolog? Ahogy érzed.
    Amúgy az ePrivacy rendelet tervezete a jogos érdek mint jogalap alkalmazását csak a szolgáltatódnak fogja lehetővé tenni, másnak nem.

    Xiaomi, LeEco, ZUK, (Yi M1 Mirrorless, Redmi Pro, 360N4S, Redmi Note 4, Mi5S (plus), Le Pro 3!!!! stb.) SPEmall kuponok https://goo.gl/P3v6B0 Hardverapro csoport: https://goo.gl/EPnfc1

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #39 üzenetére

    "Idézet tőled": francba, megfogtál :) egyébként azt a hibát követted el abban a mondatban, hogy attól, hogy azt mondtam, informatikus vagyok, még nem állítottam olyat, hogy más nem vagyok.

    "Az ilyen szakembert mondjuk egy DPO pozícióban az első héten rúgják ki": szerintem meg nem.
    először is azért nem, mert a gdpr szerint a dpo-nak alapvetően tanácsadási feladata van. a tanácsadási feladatot én úgy értelmezem, hogy megfelelő tanácsokkal a helyes irányba orientálja a vállalatot. az tény, hogy sok helyen azt gondolják, hogy a dpo-nak kell elvégeznie a munkát, ami a gdpr szerint nem igaz.

    maradjunk konkrét példánál: mint munkaadó, foglalkozni kell a letiltásokkal. a helyes eljárás szerintem az lenne, ha a dpo megkérdezné a jogi osztályt, hogy mi a letiltásban szereplő személyes adatok kezelésének jogalapja. ezzel a jogi osztály megkapná az orientációt, hogy minek kell utánajárni. utánajár, majd megmondja, hogy van rá igazságügyi minisztériumi rendelet, abban le van írva az eljárásrend, és a mellékletében le van írva a kezelendő adatok köre. tehát ebben az esetben a dpo elvégezte a tanácsadói munkáját, megfogta a jogász kezét és odavezette a megoldáshoz, majd a jogász elvégezte a ráeső feladatot.

    ezt lehet úgyis, hogy odamész a jogászhoz, hogy ez meg az a probléma, nyilatkozzon. a jogász meg azt mondja, hogy nem ért a gdpr-hoz, nem tudja. és akkor próbálod megmagyarázni, hogy nem a gdpr-hoz kellene értenie, hanem munkajoghoz vagy ilyenolyan más joghoz, de akkor se mond semmit. és akkor marad az, hogy a dpo utánanéz, megkeresi, és megmondja. ez azért nem jó, mert a dpo-nak ez nem feladata, és benne van a tévedés lehetősége is. a jogi nyilatkozatokért a jogász felel, a cégért kompletten meg a főnök. a dpo konkrétan nem felel ilyen hibákért.

    de olyan is van, hogy külső iroda adja a jogi képviseletet, felteszik nekik a kérdést, és visszajön egy orbitális marhaság. vagy a főnök nem értette meg a kérdést, vagy kiadta a gyakornoknak, akinek nincs iparági ismerete semmi, meg jogi se sok, és írnak valamit, amiről látszik, hogy nem jó.

    ezzel a két jogászi hozzáállással az elmúlt 6 hétben is találkoztam.

    "Lásd az előbb említett adatfeldolgozói szerződések véleményezése.": az adatfeldolgozói szerződéseket pénzügyi, pjt szerinti és egyéb szempontokból a jogi osztály véleményezi. szigorúan a jogi osztály. én elmondhatom róla a véleményemet, hogy mit gondolok róla ezeken a területeken, de az csak pletyka, mert nem hatásköröm. ezen túlmenően adok egy állásfoglalást az adatvédelmi kérdésekről, mert az meg az én hatásköröm, és abba a jogi osztály nem szól bele.

    fenti példával élve az az én dolgom, hogy elmagyarázzam, hogy milyen jogalap lehet, az meg az övé, hogy megtalálja.

    "Valószínűleg rosszul csináljátok, és meg kellene fontolni a fordítottját: egy jogász végzettségű DPO-t alkalmaztok, aki megkérdezi az informatikát, mit és hogy kellene csinálni.": isten őrizz. ha jogász dpo-t alkalmaznánk, az lenne a vége, hogy helyette kellene dolgoznom. így magam helyett végzem el ugyanazt a munkát.

    problémás az is, hogy te mindig informatikát emlegetsz. az informatika egy része a kérdésnek, a helyes kifejezés az információbiztonság.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

  • bambano

    titán

    LOGOUT blog

    válasz Waikiki #40 üzenetére

    mondok neked konkrét példát: nem spam, de majdnem.

    van egy trémobilos mobilom. a trékom, mint szolgáltató, értelemszerűen tudja a telefonszámomat, meg egy csomó személyes adatomat, mert az eht-ban (engedd meg, hogy paragrafust ne idézzek) le van írva, hogy milyen adatokkal kell megkötni a szerződést.

    a szerződéskötéskor megadtam, hogy a számomat nem szerepeltethetik előfizetői névjegyzékben, reklámot nem küldhetnek, stb. stb. ennek ellenére folyamatosan hívogatnak, hogy milyen üzleti ajánlataik vannak. én minden esetben elküldöm őket, és minden esetben felhívom a figyelmüket, hogy nem hívhatnak reklámmal, és megtiltom és töröljék a számomat, meg emlegetem nekik a btk 219-es paragrafusát, és ezt mindig tudomásul veszik, megígérik, hogy kivesznek az adatbázisból (bármit is jelentsen ez).

    és pár hét múlva megint hívnak. és ez ismétlődik ciklikusan.

    hát ennyit ér a tiltakozási jog. itt konkrétan az történik, hogy megszerzi az adataimat legális céllal (szerződéskötés), majd azt illegálisan olyan célra is felhasználja, amire én nem adtam engedélyt. és kapálózhatsz, hogy letiltsd, nem mész semmire. azt hiszem, hogy addig fognak a köcsögök kéretlen reklámmal szpemmelni, amíg sikerül egy hatóságnál bizonyítékokkal feljelenteni őket.

    "Szóval miután évtizedek óta kapja az ember tucatszámra a szpemeket, és jön egy szabály, ami szervezett és egyértelmű körülmények közt ezt lehetővé teszi, cserébe nagyon erős jogokat ad, hirtelen fájni kezd a dolog?": szóval miután... hmm. mi is az infótörvény rendes neve, 2011. évi CXII törvény az információs ....? vagyis 2011. évi. tehát 2011-től van erős jogom a spam ellen, mégse hatásos, akkor szerinted mostantól a sokkal gyengébb gdpr hatásos lesz? megmondom neked: nem lesz. de akkor is idegesít, hogy a jogomat gyengíti a rendelet. akkor is idegesít, ha eddig esetleg nem volt hatásos. a gyengébb rendelet még ennyire se lesz hatásos.

    Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Új hozzászólás Aktív témák