@5perc: A felvetett kérdésekkel kapcsolatban konkrét választ csak az eset összes körülményének ismeretében, a tervezett adatkezelés alapos elemzésével lehet adni. Mindenképpen azt javaslom, hogy az adatkezelés megkezdése előtt konzultáljon szakemberrel, hogy az adatkezelés megfeleljen a jelenleg hatályos és alkalmazandó Infotv. (2011. évi CxII. törvény) rendelkezéseinek, illetve 2018. május 25-ét követően az európai adatvédelmi rendeletnek (GDPR).
Általánosságban elmondható, hogy az adatkezelés tekintetében meg kell határozni egy jogszerű célt és biztosítani kell, hogy az adatkezelés törvényes és tisztességes legyen, továbbá, hogy csak azokat az adatokat kezeljék, amelyek a cél eléréséhez elengedhetetlenül szükségesek. Vizsgálni kell azt is, hogy milyen jogalapon kerülhet sor az adatkezelésre. Az adatkezelés tekintetében mindenképpen gondoskodni kell a megfelelő jogalap meglétéről.
Felhívom a figyelmet arra is, hogy a jelenleg hatályos és alkalmazandó Infotv. alapján az adatkezelőt - meghatározott kivételektől eltekintve - az adatkezelés megkezdése előtt az adatvédelmi hatóság (NAIH) felé bejelentési kötelezettség is terheli (adatvédelmi nyilvántartás).
Korábbi kommentjéhez kapcsolódóan azt fontos jelezni, hogy jogi személyek tekintetében nem beszélhetünk személyes adatokról. Egy központi telefonszám vagy email cím, amely nem kapcsolódik egy természetes személyhez, főszabály szerint nem minősül személyes adatnak. Ugyanakkor egy üzletkötő személyes telefonszáma, illetve email címe már igen.
Az Ön által hivatkozott BM Rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényhez kapcsolódóan rendez részletszabályokat. Ugyanakkor ez a BM rendelet, és a 2013. évi L. törvény az az állami és önkormányzati szervek elektronikus információbiztonságára vonatkozik, ezen szervek tekintetében állapít meg kötelezettségeket. Azon szervezetek, cégek stb., amelyek nem tartoznak ebbe a körbe, nem kell, hogy alkalmazzák magukra nézve a 2013. évi L. törvény és a BM rendelet előírásait. Ettől függetlenül természetesen lehet "meríteni" az ezekben foglalt intézkedések közül annak érdekében, hogy az adatkezelő megfeleljen a rá egyébként irányadó adatvédelmi és adatbiztonsági követelményeknek.
Tudom, ez nem egy szolgáltatás, de ha tud, kérem mégis segítsen akár egy-két konkrét kereső címszóval: internetes mikro vállalkozást indítanék. Milyen szabályok vonaltoknak az üzleti érdekből való utólagos, vagy akár előzetes kizárásra,? Tiltó listát szeretnék kezelni. Ehhez ezektől a nem "ügyfelektől" biztosan nem kapok hozzájárulást, viszont a - valós üzleti kockázat - szolgáltatásom minőségét veszélyeztető, konkurensek által okozott szándékos károkozás miatt kénytelen lennék kezelni őket. A fentebb említett példák hasonó, analóg, létező esetek. A lehető legminimálisabb, nyilvánosan, weboldalakról hozzáférhető adatokat, a jogi személyek üzletkötőinek "hivatalos" telefonszámait szeretném listázni egy adatbázisban, ami a szerződési feltételek inputjaként jelenne meg.
A másik dolog, ami nem tiszta: ha a BM 41/2015 (net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=a1500041.bm) szerint járok el, az nagyjából lefedi az eu-s adatkezelési kockázatok kezelési szabályait? Feltételezve, hogy magán és jogi személyek személyes, de nem hiperérzékeny adatait kezelem rendszer-szerűen, nagy mennyiségben, tehát 4-es osztályba sorolom magam.
Az adatkezelés tényét és fajtáit az eu-s rendelet alapján is elég a naih-hoz bejelenteni?
Ha 27001-es auditot szeretnék, van lehetőségem, hogy a vállalkozásom bizonyos szerződéseit kizárjam a vizsgálatból? Nem szeretném az egyszerűbb adatakezelésekre is rendszerszerűen ráhúzni a szigorúbb szabályokat - pl a fejlesztőgépek zárt hálózatú, internet hozzáférés nélküli bekötését - , mivel teljesen eltérő
szolgáltatások.
És ugye ott van, hogy a személyes adatokat két lépcsős bejelentkezésen keresztül kellene üzemeltetni, miközben az internetről bejelentkező ügyfelek egymás adatait korlátozottan a saját accountjukkal egyszerűen elérhetik.
Bizonyos szolgáltalások megkövetelik a kétlépcsős bejelentkezést. Ehhez elég ha sms kódot kérek, vagy más technikai eszköz is szükséges.
@A teremőr: Köszönöm a kiegészítést! A bírság témája megérdemel majd egy külön posztot vagy akár több posztot is. Egyébként a bírság összege 10 millió euró, illetve az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-a lehet (a magasabb összeg alkalmazandó), illetve súlyosabb jogsértés esetén akár 20 millió euró vagy előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %--a is lehet (szintén a magasabb összeget kell alkalmazni).
Tekintettel arra, hogy rendeletről van szó, amely a tagállamok területén közvetlenül alkalmazandó, így a bírság összege tekintetében a magyar jogalkotó nem hozhat eltérő szabályokat.
Egy kiegészítés a bloghoz, ha már emlegette a bírságot. A bírság mértéke horrorisztikus összeg lehet, mivel az az előző évi konszolidált árbevétel 2 vagy 4 százaléka az ügy típusától függően.
Ezzel egy KKV-t, de legfőképp egy mikró vagy kis vállalkozást padlóra lehet küldeni, ha mondjuk év elejére jön ki a fizetési kötelezettsége.
Tudom, hogy alapvetően a multinacionális cégek megrendszabályozása volt a fő csapás iránya, de ha ezt a magyar parlament nem kezeli akkor nagy anyázások jöhetnek.
@poklaszlo: A bírság mértékét kár volt kihagyni a cikkből, mert az igazán megrázó tud lenni.
Az ügy típusától függően az előző évi konszolidált nettó árbevétel 2 vagy 4 százaléka. Ez egy kis vagy mikró vállalkozást könnyen padlóra tud tenni, ha rosszkor lesz esedékes.
Tisztázzunk valamit!
A KKV szektor a legtrehányabb a korszerű modszerekkel kapcsolatban.
Az előírtak gyakorlatilag a törvény nélkül is alapnak kellene hogy legyenek, de ma ez a társasági halmaz az, amely 1 forintot nem áldosz sem az adatbiztonságra, sem a tudatos adatkezelésre.
Mi egy olyan megoldást kíbálunk két éve, ami megakadályoz minde illegális hozzáférést a cég adataihoz, akár a TEK és a NAV is rátörhet ökotársos stílusban egy cégre, csak azt találja, amit a törvény előír. Elvihet bármit, a munka perveken belül folyatódhat.
Hogy ez a biztonság teljesüljön, alap az adatkezelési szabályok kidolgozása és bevezetése.
Értelemszerűen gyakorlatilag senkit nem érdekel, hiszen mennyivel jobb kétszeres áron a szart használni, majd egy NAV ellenőrzéskor akár napokra, hetekre leállni?
Kamerarendszereket (is) szerelünk mint cég, elképesztő az, ami az úgynevezett adatvédelem címszó kapcsán törvénybe került.
Szerintem a hülyeségek széles tárháza de a kérdésem, hogy a cikket végigolvasva sem jutottam el oda, hogy ez miben érinti a hazai kis közép mikró vagy makro vállalkozásokat?
Engem tudom a szakmai részt tekintve.
A másik, hogy hol marad az adatvédelem (tudom itt költői a kérdés) mikor napi szinten 50-60 emailt kapok a céges fiókomba (az ugyanazona domain-en regisztrál sajátneves címre egyet sem) amit olvasatlanul dobok a kukába.
A másik, hogy napi szinten vannak telefonhívásaim, amik arról szólnak, hogy adománnyozzak ennek vagy annak az alapítványnak, a Heim Pál kórháznak (itt a név cserélhető bármelyik másikra) beteg gyereknek, a mentősöknek, a másik meg hogy fektessek be náluk általuk tőzsdézzek az értékpapírjaimat hozzájuk vigyem náluk legyen , vagy ilyen olyan biztosítás vagy banki hitel és épp ami szembe jön.
Na itt hol az én adataim védelme?
És még egy.
A kamerarendszer telepítésnél kell(ene) egy adatvédelmi szabályzatot készíteni mondjuk üzlet esetén.
Ami ott kint kell legyen hogy aki szeretné az el tudja olvasni.
Na igen de!!
Ha addig nem akar valaki bemenni míg nem olvasta, de hogy olvashassa előtte be kéne mégis csak menni a megfigyelt területre, ez kb tisztára a 22-es csapdája c. könyv kicsi magyarban.
A másik, hogy ebben a szabályzatban meg az adatkezelő (sok esetben pl én meg a cégem) összes adata ott van
Kérdés: az én adataimat ki védi meg?
A következő kérdések merültek fel bennem, amikre nem találtam választ:
- Ha van egy rádiós műsorszóró vállalkozásom és a rendszeres betelefonálók közt vannak nemkívánatosak, azoknak a telefonszámát nyilvántarthatom-e? Gondolom taxis diszpécsercégre is ugyanez vonatkozik, ahol a címre kiálló gépkocsivezető számára elérhetetlen a megrendelő.
- Valamelyik posztban vagy rendeletben a jogi személyek személyes adatainak véldelméről olvastam. Ha az e-mailcím személyes adat és én spamleveleket szűrő cég vagyok, kezelhetek-e blacklistet, ami bizonyos létező jogi személyek küldő e-mailcímeit spamlistára tesz? Megtehetem-e ezt előzetesen, pl egy cégtárstól veszek ilyen jellegű információt.
Vagy ügyvezető vagyok egy cégnél és a rendszeresen marketing célból hívó vállalkozások összes, interneten, szabadon elérhető telefonszámát szeretném tiltani valamilyen módszerrel. Tegyük fel, hogy egy teljes vállakozás épül ilyen, nem alkalmi szolgáltatásra? Legális lehet?
@Gyűrött Papír: Önnek is köszönöm a visszajelzést! Sajnálom, ha száraznak tűnik az írás. Ahogy egy korábbi kommentre válaszul is írtam, ez a poszt egy általános figyelemfelhívás arra, hogy a KKV-knak is van teendőjük az adatvédelem területén. A jövőben olyan gyakorlatiasabb témák is terítékre kerülnek majd, amelyek - reményeim szerint - sokkal olvasmányosabbak lesznek!
@Kniight: Köszönöm a visszajelzést! Sajnos a téma rendkívül szerteágazó és egy rövid blogposzt keretében általánosságban nehéz nagyon kézzel fogható válaszokat adni. A poszt legfőbb célja az volt, hogy felhívja a KKV-k figyelmét arra, hogy nekik is van tennivalójuk az adatvédelem területén. Az, hogy egy-egy társaságnak pontosan mit kell tennie nyilván nem derülhet ki egy általános blogposztból, hiszen csak a konkrét adatkezelés részleteinek ismeretében lehet bármilyen teendőt azonosítani. Abban bízom azért, hogy néhányan, a posztot elolvasva elkezdenek foglalkozni a témával, és akkor már nem volt hiábavaló az írás. Van esetleg valami olyan konkrét kérdés, amelyre választ keresett a témával kapcsolatban és amelyet a poszt nem érintett?
@Kniight: A feléig olvastam, aztán beletekertem. Ugyanezt mondanám én is. Ez nem feltétlenül a szerző hibája, de olyan száraz lett, mint a prézlis fahéj.
GDPR
Adatvédelem mindenkinek / Data protection for everyone
Utolsó kommentek:
5perc 2017.06.13. 16:52:31
Köszönöm a válaszát, szavanként fogjuk értelmezni :)
Bejegyzés: Aki nem lép egyszerre....
poklaszlo 2017.06.13. 14:51:36
Általánosságban elmondható, hogy az adatkezelés tekintetében meg kell határozni egy jogszerű célt és biztosítani kell, hogy az adatkezelés törvényes és tisztességes legyen, továbbá, hogy csak azokat az adatokat kezeljék, amelyek a cél eléréséhez elengedhetetlenül szükségesek. Vizsgálni kell azt is, hogy milyen jogalapon kerülhet sor az adatkezelésre. Az adatkezelés tekintetében mindenképpen gondoskodni kell a megfelelő jogalap meglétéről.
Felhívom a figyelmet arra is, hogy a jelenleg hatályos és alkalmazandó Infotv. alapján az adatkezelőt - meghatározott kivételektől eltekintve - az adatkezelés megkezdése előtt az adatvédelmi hatóság (NAIH) felé bejelentési kötelezettség is terheli (adatvédelmi nyilvántartás).
Korábbi kommentjéhez kapcsolódóan azt fontos jelezni, hogy jogi személyek tekintetében nem beszélhetünk személyes adatokról. Egy központi telefonszám vagy email cím, amely nem kapcsolódik egy természetes személyhez, főszabály szerint nem minősül személyes adatnak. Ugyanakkor egy üzletkötő személyes telefonszáma, illetve email címe már igen.
Az Ön által hivatkozott BM Rendelet az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényhez kapcsolódóan rendez részletszabályokat. Ugyanakkor ez a BM rendelet, és a 2013. évi L. törvény az az állami és önkormányzati szervek elektronikus információbiztonságára vonatkozik, ezen szervek tekintetében állapít meg kötelezettségeket. Azon szervezetek, cégek stb., amelyek nem tartoznak ebbe a körbe, nem kell, hogy alkalmazzák magukra nézve a 2013. évi L. törvény és a BM rendelet előírásait. Ettől függetlenül természetesen lehet "meríteni" az ezekben foglalt intézkedések közül annak érdekében, hogy az adatkezelő megfeleljen a rá egyébként irányadó adatvédelmi és adatbiztonsági követelményeknek.
Bejegyzés: Aki nem lép egyszerre....
5perc 2017.06.11. 01:39:34
A másik dolog, ami nem tiszta: ha a BM 41/2015 (net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=a1500041.bm) szerint járok el, az nagyjából lefedi az eu-s adatkezelési kockázatok kezelési szabályait? Feltételezve, hogy magán és jogi személyek személyes, de nem hiperérzékeny adatait kezelem rendszer-szerűen, nagy mennyiségben, tehát 4-es osztályba sorolom magam.
Az adatkezelés tényét és fajtáit az eu-s rendelet alapján is elég a naih-hoz bejelenteni?
Ha 27001-es auditot szeretnék, van lehetőségem, hogy a vállalkozásom bizonyos szerződéseit kizárjam a vizsgálatból? Nem szeretném az egyszerűbb adatakezelésekre is rendszerszerűen ráhúzni a szigorúbb szabályokat - pl a fejlesztőgépek zárt hálózatú, internet hozzáférés nélküli bekötését - , mivel teljesen eltérő
szolgáltatások.
És ugye ott van, hogy a személyes adatokat két lépcsős bejelentkezésen keresztül kellene üzemeltetni, miközben az internetről bejelentkező ügyfelek egymás adatait korlátozottan a saját accountjukkal egyszerűen elérhetik.
Bizonyos szolgáltalások megkövetelik a kétlépcsős bejelentkezést. Ehhez elég ha sms kódot kérek, vagy más technikai eszköz is szükséges.
Bejegyzés: Aki nem lép egyszerre....
poklaszlo 2017.06.09. 19:47:16
Tekintettel arra, hogy rendeletről van szó, amely a tagállamok területén közvetlenül alkalmazandó, így a bírság összege tekintetében a magyar jogalkotó nem hozhat eltérő szabályokat.
Bejegyzés: Aki nem lép egyszerre....
A teremőr 2017.06.09. 19:39:36
Ezzel egy KKV-t, de legfőképp egy mikró vagy kis vállalkozást padlóra lehet küldeni, ha mondjuk év elejére jön ki a fizetési kötelezettsége.
Tudom, hogy alapvetően a multinacionális cégek megrendszabályozása volt a fő csapás iránya, de ha ezt a magyar parlament nem kezeli akkor nagy anyázások jöhetnek.
Bejegyzés: Aki nem lép egyszerre....
A teremőr 2017.06.09. 19:39:33
Az ügy típusától függően az előző évi konszolidált nettó árbevétel 2 vagy 4 százaléka. Ez egy kis vagy mikró vállalkozást könnyen padlóra tud tenni, ha rosszkor lesz esedékes.
Bejegyzés: Aki nem lép egyszerre....
Duplaxiii 2017.06.09. 19:39:26
A KKV szektor a legtrehányabb a korszerű modszerekkel kapcsolatban.
Az előírtak gyakorlatilag a törvény nélkül is alapnak kellene hogy legyenek, de ma ez a társasági halmaz az, amely 1 forintot nem áldosz sem az adatbiztonságra, sem a tudatos adatkezelésre.
Mi egy olyan megoldást kíbálunk két éve, ami megakadályoz minde illegális hozzáférést a cég adataihoz, akár a TEK és a NAV is rátörhet ökotársos stílusban egy cégre, csak azt találja, amit a törvény előír. Elvihet bármit, a munka perveken belül folyatódhat.
Hogy ez a biztonság teljesüljön, alap az adatkezelési szabályok kidolgozása és bevezetése.
Értelemszerűen gyakorlatilag senkit nem érdekel, hiszen mennyivel jobb kétszeres áron a szart használni, majd egy NAV ellenőrzéskor akár napokra, hetekre leállni?
Bejegyzés: Aki nem lép egyszerre....
lionking 2017.06.09. 19:38:51
Szerintem a hülyeségek széles tárháza de a kérdésem, hogy a cikket végigolvasva sem jutottam el oda, hogy ez miben érinti a hazai kis közép mikró vagy makro vállalkozásokat?
Engem tudom a szakmai részt tekintve.
A másik, hogy hol marad az adatvédelem (tudom itt költői a kérdés) mikor napi szinten 50-60 emailt kapok a céges fiókomba (az ugyanazona domain-en regisztrál sajátneves címre egyet sem) amit olvasatlanul dobok a kukába.
A másik, hogy napi szinten vannak telefonhívásaim, amik arról szólnak, hogy adománnyozzak ennek vagy annak az alapítványnak, a Heim Pál kórháznak (itt a név cserélhető bármelyik másikra) beteg gyereknek, a mentősöknek, a másik meg hogy fektessek be náluk általuk tőzsdézzek az értékpapírjaimat hozzájuk vigyem náluk legyen , vagy ilyen olyan biztosítás vagy banki hitel és épp ami szembe jön.
Na itt hol az én adataim védelme?
És még egy.
A kamerarendszer telepítésnél kell(ene) egy adatvédelmi szabályzatot készíteni mondjuk üzlet esetén.
Ami ott kint kell legyen hogy aki szeretné az el tudja olvasni.
Na igen de!!
Ha addig nem akar valaki bemenni míg nem olvasta, de hogy olvashassa előtte be kéne mégis csak menni a megfigyelt területre, ez kb tisztára a 22-es csapdája c. könyv kicsi magyarban.
A másik, hogy ebben a szabályzatban meg az adatkezelő (sok esetben pl én meg a cégem) összes adata ott van
Kérdés: az én adataimat ki védi meg?
Bejegyzés: Aki nem lép egyszerre....
5perc 2017.06.09. 15:32:39
- Ha van egy rádiós műsorszóró vállalkozásom és a rendszeres betelefonálók közt vannak nemkívánatosak, azoknak a telefonszámát nyilvántarthatom-e? Gondolom taxis diszpécsercégre is ugyanez vonatkozik, ahol a címre kiálló gépkocsivezető számára elérhetetlen a megrendelő.
- Valamelyik posztban vagy rendeletben a jogi személyek személyes adatainak véldelméről olvastam. Ha az e-mailcím személyes adat és én spamleveleket szűrő cég vagyok, kezelhetek-e blacklistet, ami bizonyos létező jogi személyek küldő e-mailcímeit spamlistára tesz? Megtehetem-e ezt előzetesen, pl egy cégtárstól veszek ilyen jellegű információt.
Vagy ügyvezető vagyok egy cégnél és a rendszeresen marketing célból hívó vállalkozások összes, interneten, szabadon elérhető telefonszámát szeretném tiltani valamilyen módszerrel. Tegyük fel, hogy egy teljes vállakozás épül ilyen, nem alkalmi szolgáltatásra? Legális lehet?
Bejegyzés: Aki nem lép egyszerre....
poklaszlo 2017.06.09. 14:59:28
Bejegyzés: Aki nem lép egyszerre....
poklaszlo 2017.06.09. 14:52:04
Bejegyzés: Aki nem lép egyszerre....
Gyűrött Papír 2017.06.09. 14:48:58
Bejegyzés: Aki nem lép egyszerre....
Kniight 2017.06.09. 14:29:15
Bejegyzés: Aki nem lép egyszerre....