Az elfogadható tagadás módszere a GDPR felnemkészülés után

 ( hup | 2018. július 13., péntek - 9:52 )

Ilyen és hasonló előadásokkal készülnek meetupjaink legjobb előadói az idei SYSADMINDAY-re! Itt lesz Bencsáth Boldizsár (CrySyS Lab) az utóbbi évek legizgalmasabb államok közötti támadások sztorijaival, Kocsis Tamás GDPR megmondásokkal, Angelo, a BIX üzemeltetője, Gál Tamás, a legismertebb hazai MS szakember, és Czakó Krisztián, a DevOps Akadémiától. További részletek »

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Csak én nem értem a címben szereplő mondatot?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Erre gondoltál?

Igen.

Ez bűncselekmény. Erre biztatnak?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Aki bölcsészre hallgat jogász helyett egy ilyen ügyben, az meg is érdemli, hogy a cége a süllyesztőben végezze...

Nem buncselekmeny, legfeljebb adatvedelmi vetseg.

"Személyes adattal visszaélés

219. § (1) Aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva

a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy

b) az adatok biztonságát szolgáló intézkedést elmulasztja, vétség: 1 év.

(2) (1): aki a személyes adatok védelméről v. kezeléséről szóló tv-i rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más v. mások érdekeit jelentősen sérti.

(3) 2 év: különleges adatra."
- a bűncselekmény elkövetésére való felbújtás önmagában is bűncselekmény.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

buncselekmeny csak jelentos erdekserelem okozasaval vagy haszonszerzesi cellal kovetheto el. A haszonszerzesi okbol elkovetett buncselekmeny meg csak egyenes szandekkal kovetheto el - azaz a magatartas kovetkezmenyeinek kivanasa kell hogy jellemezze (pl megolom a felesegem hogy hozzajussak az eletbiztositasahoz - egyenes szandek, a tett kovetkezmenye hogy hozzajutok a vagyonhoz).

Ezekre a peldakra egyik sem igaz, ezert erre nem a BTK hanem az Infotv. es a GDPR vonatkozik - ahol szinten nem buncselekmenykent kezelik a dolgot.

Erdemes pl megnezni ezt a NAIH hatarozatot: https://www.naih.hu/files/421_2013_hatarozat_anonim.pdf - van ebben minden, torolt adatok visszallitasa a geprol, aztan a dolgozo szex fotoival torteno nyomasgyakorlas, stb. BTK ugy? Nem, ez onmagaban nem, bar az erintett feljelentest tett : "A panaszos ezt követően rendőrségi feljelentést tett különleges személyes adatokkal való visszaélés
miatt, a nyomozást bűncselekmény hiánya miatt az ügyész lezárta"

Mi lett belole vegul? 1.5M adatvedelmi birsag.

Én voltam már tanukihallgatason hasonló úgy miatt, javaslom, hogy ne legyél olyan biztos a dologban, mert mire kimosod magad/kiderul a pontos tenyallas, hónapok telnek el, addig szénné vegzalnak. Aztán ott magyarazkodhatsz, hogy ez nem is jelentős erdekserelemmel jart, hanem csak kicsivel, a feljelento úgy is mindent meg fog tenni, hogy az ellenkezőjét bizonyitsa... :)
Ha te személyes adatokat kezelsz és durván megserted a kezelesre vonatkozó szabályokat (pl visszaelsz az adatokkal), akkor már önmagában megáll a jelentős erdekserelem cselekmény.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A pereskedes mindig hosszadalmas, es pl egy adatvedelmi, NAIH ugynel nincs is halaszto hatalya, a birsagot be kell fizetni, aztan lehet pereskedni - ebben az eseben nagyon ritka, hogy a birosag visszautalna meggondolasra a NAIH-hoz az esetet, onnan csak az EU birosag marad jogorvoslat.

A BTK dolog ugye mas. Teljesen igazad van abban, hogy erdemes mindig megfontolni mit nyer vagy veszit az ember, megvizsgalni a kockazatokat es a lehetseges karertekeket (GDPR-ban ez az erdekmerlegeles).

(egyebkent az eredeti cikk felig-meddig vicc, kifigurazasa a dolgoknak, az alcime is az hogy minden viccnek a fele igaz)

Azonban azt erdemes atgondolni mit jelent a jelentos erdekserelem. Azert nehez ezzel foglalkozni, mert ez esetjog, esetenkent eltero es megitelendo helyzet. Altalanossagban az szamit jelentos erdekserelemnek, ha az elkovetett es megvalosult magatartas alkalmas erkolcsi vagy anyagi serelem okozasara, valamint alkalmas magan vagy kozerdek serelem okozasara.

Vannak minositett esetek, pl ha valaki meghekkeli az oldalt, es onnan adatokat vesz le es meg fel is hasznalja oket - az minositett eset. Ha meghekkeli es belep -de nem valtoztat, nem torol, nem vesz le adatot - akkor ott mar nehez jelentos erdekserelmet megallapitani (ha errol mondjuk ir egy cikket, publikalja hogy ezt cselekedte - az mar megint szamithat jelentos erdekserelemnek, szoval ez nem feher vagy fekete).

Abban igazad van, hogy merlegelni kell, en viszont azt mondom, hogy a kockazat-karertek alapjan igen is sok olyan helyzet van, amikor meg kell cselekedni a dolgot, mert a jogsertesbol szarmazo esetleges birsag/bunti/stb meg mindig alacsonyabb, mint az a kar, ami akkor eri a szervezetet, ha nem cselekszik. Merlegelni kell, donteni, cselekedni es valllalni a kovetkezmenyeket :)

Na most akkor ennek tükrében, elkoveti-e a cselekményt az, aki nyíltan a GDPR kijátszászára biztat?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Az a baj, hogy akik ilyesmiket leírnak, még büszkék is rá. (ritka nagy ostobaságra vall egyébként)
Remélem mihamarabb átemelik az EU-s szabályozást a magyar jogrendbe, a büntetési tételekkel együtt.

A GDPR mint EU regulation közvetlenül alkalmazandó, nem kell átemelni a magyar jogrendbe. Jogharmonizációra természetesen szükség van még.

Az a baj, hogy akik ilyesmiket leírnak, még büszkék is rá. (ritka nagy ostobaságra vall egyébként)

+1

a hivatkozott cikkben emlitett 'elfogadhato tagadas' valojaban otromba hazugsag. Raadasul az atlatszobb fajtabol.

Pl. eleve sulytalan a ceo/legal/hr 'Mi soha nem csinálunk ilyet!' hantaja, ha nincsenek szabalyozva a kerdes szereplo folyamatok. De tovabbmenve, ha egy kulso audit nem igazolja, hogy mi tenyleg sose, akkor az meg mindig a BS esete...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

A legjobb az, hogy a rendszergazda totális zsarolási potenciállal fog rendelkezni.. Azaz mennyit ér meg neked kedves
cégvezető, hogy ne teregesse ki a szennyest. Mert pityipalkó BT-nél lehet szórakozni, hogy csinálok új céget, egy
több száz fős vállalkozásnál már kevésbé...

Magyarországon sajnos/szerencsére elég kicsi az IT piac, egy ilyen akciót akkor érdemes csak bejátszani, ha tudsz kérni annyi pénzt ami kitart nyugdíjig/emigrálásig. Meg hát azt is érdemes belekalkulálni, hogy amikor valaki zsebéből megpróbálsz kihúzni pár milliót, akkor nem biztos, hogy kiszámítható lesz a reakciója. (vö. ötezer forintért is vertek már agyon embereket)

Másfelől persze létezik elképesztően triviális megoldás a fenti probléma elkerülésére: jogszabálykövető magatartást kell tanúsítani, és akkor nem tud megzsarolni a rendszergazda (ezzel, legalábbis).

-Kedves komkurens CEO! Szerintem ne vedd fel ezt a rendszergazdat, mert megfenyegetett, hogy bekop a GDPR sertes miatt!
-Megsertitek a GDPR-t?
-Ize..

A tobbi jogos.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Mint gelei is írta, kicsi a magyar IT piac. Bp-en sztem bármelyik random IT-ban dolgozó ember ismerősöm lehetne max 3 ugrással.
Emberünk jelentkezik új helyre dolgozni az előző fiaskó után. Facse, linkedin, fórum alapján előbb-utóbb kiderül valakinek az ismerősének az ismerőse által a története.

Vagy akár csak egy ajánlólevél v. hiánya is sokat mondó.
--

Semmit sem ér amíg főügyészt is nem hoznak onnan.

Vagy az ittenit elviszik innen...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

> Az a baj, hogy akik ilyesmiket leírnak, még büszkék is rá. (ritka nagy ostobaságra vall egyébként)

Pedig ez egy NAGYON okos dolog.
Te nem tudod, hogyan mukodik a vilag, nem lattal semmit belole vagy nem ertesz
semmit belole, nem tudsz semmit, arrogans es ostoba vagy.

Baromira nem okos dolog, mert feltételezi, hogy mindenki csöndben fog maradni, és érdeke is, és soha semmi nem fog kiszivárogni.
Na, itt szokott a dolog csúnyán megbukni, aztán meg jön a visítás, ha kapnak egy 20 millió eurós büntit.

Aha, szoval te is az a szabaly, torveny es burokracia imado vagy,
akik miatt olyan bonyolult lett a vilag.
Olyan bonyolult, hogy mar ti sem ertitek a mukodeset,
es egyszer majd csak osszeomlik, mint a kartyavar.
A civilizacionk osszeomlik, az emberiseg kihal,
de legalabb a bolygonk es a naprendszer fellelegezhet.

Nem kéne annyi füvet szívni, hidd el, nem tesz jót...

Elfogytak az ervek, jon a szemelyeskedes.

Amilyen az adjonisten. Te eddig érvet nem mondtál, de az észt osztottad. Amit persze lehet, csak magadat teszed nevetségessé.

En akkor is okosabb vagyok nalad.

Uhh bameg'... :P

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

te egy 2 hetes fikanick vagy - csak hogy te is tudd...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

gezaa: arrogans es ostoba vagy.
*4 hours later*
gezaa: Elfogytak az ervek, jon a szemelyeskedes

egy szóval nem mondta, hogy rád gondolt, simán lehet, hogy neki fogyott el

Magára nem gondolhatott, mert ami egyáltalán nem volt, az nem tud elfogyni.

Az emberiseg tragediaja lathato fontebb: a falkazas.
Egyedul meg ertelem nyoma fedezheto fel az egyenekben,
de igy egyutt lehuzzatok egymas agyilag.
Eselyetek sincs, hogy felerjetek az en zsenimhez.
Kar beletek a szo.

¯\_(ツ)_/¯

Az emberiség tragédiája valóban látható feljebb.

Kíváncsian várom, melyik nagytudású kukázott magának megint egy fikanicket.

Az előadásról

A GDPR sokakat érintő, ideglázzal és f*sással hasmenéssel járó akut népbetegség, amelyre sokféle gyógyszer és kezelés létezik. A legfontosabb azonban, hogy a teljes felépüléshez előbb át kell esnünk a gyógyulás alapvető öt stádiumán: a haragon, az alkudozáson, a depresszión, az elfogadáson – míg végül eljutunk a végső gyógyulás állapotába: az elfogadható, vagy hihető tagadás (plausible deniability) állapotába. Az előadás személetes példákon keresztül bemutatja, hogyan is működik az elfogadható, vagy hihető tagadás, és hogyan igazítható az IT és a rendszergazda élete a GDPR-éra környezetéhez.

Mint az erintett blogpost szerzoje, valamint a Sysadminday-en a tema eloadoja azt mondom, hogy aki nem tud a sorok kozott olvasni, az a sorokat se olvassa.

Nem kellene a gdpr-tol foso nepet amugy 20 millio euros buntetesekkel riogatni, hiszen pont azert szuletett a cikk is es az eloadas is, hogy feligmeddig kifigurazzuk a gdpr tanacsadokat - mindemellett vallalom, hogy foleg a nagyobb szervezetekben pontosan igy mukodik a dolog. A szervezetnek van jogos erdeke, megpedig az, hogy mukodjon, termeljen es profitot szerezzen. Ezert minden olyan folyamatot, behatast, kontrollt, amely ebben akadalyozza, elobb-utobb megkerul a szervezet es megkerul a szemely.

A HR-es attol meg nem fogja nem lecsekkolni a jelentkezot FB-on, mert a GDPR szerint erre nincs jogalapja - A HR-es erdeke, hogy jo munkaerovel lassa el a szervezetet, aki termel - ezert ugyanugy le fogja ellenorizni, mint a GDPR elott. Legfeljebb nem fogja ledokumentalni es korbekuldeni a cegen belul, hogy nezetek ezt a marhat, hat petardat dug az orraba.

A rendszergazda, vagy a security-s ugyanugy le fogja ellenorizni a gyanus dolgozo internet forgalmat, meg fogja nezni, milyen leveleket kuldott ki es kinek, hiszen az o es a szervezet erdeke is az, hogy a szervezet termeljen, ha ezt megakadajozza vagy veszelyezteti a felhasznalo (mert mondjuk a konkurencianak kuldozget ki bizalmas adatokat), az ellenorzest a leghatekonyabban es legreszletesebben meg fogjak csinalni, anelkul, hogy errol a felhasznalonak tudomasa lenne - legfeljebb nem fogjak leirni, vagy nem fogjak felhasznalni az eredmenyt (egyebkent a magyar jogrend megengedi az illegalisan gyujtott bizonyitekok felhasznalasat, viszont az illegalis cselekedet miatt termeszetesen jogi viszontlepesek tehetok az ereintett altal).

Csak a nagyon zold es infantilizmusig idealistak gondoljak azt, hogy a szervezet nem fog a leghatekonyabban es legeredmenyesebben fellepni az olyan esemenyek ellen, amelyek a mukodesenek celjat (a termelest) fenyegetik - csak azert, mert nehany infantilizmusig idealista jogasz az EU-ban osszeabdalt valami rendeletet.

A GDPR elvarja a szemelyes adatok kezelesenek kockazat-alapu ertekeleset es felmereset, erdekmerlegeles neven. Ez sem uj a nap alatt, kockazatelemzes mindig is letezett az informaciobiztonsagban, es a kisse szarkasztikus poszt es eloadas is ramutat arra, hogy minden adatkezelessel kapcsolatos folyamatban igen is helye van a merlegelesnek. Tehat, ha Gyuszival kapcsolatban felmerul a gyanu, hogy adatot lop, a kar ertke mondjuk 50ezer Ft - akkor felesleges es karos Gyuszit megfigyelni es ellenorizni, hiszen az altala okozott kar, es az adatvedelmi vetseg feltetelezett birsagkoltsege nem aranyos. Azonban ha Gyuszi cselekedet 5M ft kart okoz, okozhat - emelle a NAIH esetleg ha kiderul a megfigyeles kiszab 500e Ft, 1M fto birsagot - akkor igen is ellenorizze es monitorozza Gyuszit a szervezet, hiszen egy 500e, 1M ft lehetseges birsag megovja a szervezetet egy valoszinuen bekovetkezo 5M ft-os kartol.

Aki azt gondolja, hogy egy nagyobb szervezet nem kockazat-karertek alapon vedekezik, az teljesen rosszul latja a vilagot.

A magam reszerol en nagyon szeretem a GDPR-t, 20 eve foglalkozom informaciovedelemmel, serulekenyseg vizsgalatokkal, technologiai security-val, es most eloszor erzem 20 ev ota, hogy pozitiv iranyba mozdulnak a cegek a GDPR miatt (sajnos a 2011-es Infotv. eseteben elbiztam magam, akkor is azt hittem, hogy lesz eredmenye, nyilvan nem volt). Ennek ellenere nem vagyok szemellenzos, es pontosan tudom, hogy meg kell talalni a szervezet motivacioja (termeles) es az idealista rendelet kozotti egeszseges kapcsolatot, kulonben az lesz, hogy "mar majdnem GDPR-ready a ceg, de mar most sem tudunk dolgozni) - Vagy ahogy a legnagyobb social engineer, Cicero mondta: Summum ius, summa iniuria - azaz a teljes jog a legteljesebb jogtalansag.

aki nem tud a sorok kozott olvasni, az a sorokat se olvassa.

muhahalol. Ezt a BS-t olvasva minden hantazo fityeszes megnyalna a tiz ujjat.

megakadajozza [....] nezetek ezt ...

hat, ja. Aki meg irni nem tud a sorokban, azt mit is ne csinaljon? :-)

20 eve foglalkozom informaciovedelemmel, serulekenyseg vizsgalatokkal, technologiai security-val, es

meg mindig BS-t hantazok. Mert egyfelol meg az 5 fos kkv-k a 20 millio EUR buntetestol rettegnek (ami nyilvan nonszensz), masfelol meg ott vannak azok [a cegek], akik meg nagy ivben kakalnak az egeszre. Meg vannak az onjelolt BS-profetak (ez lennel te), akik - sajat bevallasuk szerint - nem ertik a gdpr-t, de meggyozodesuk, hogy a 20 evukkel el tudjak adni a mantrat.

Kezdjuk ott, hogy a HR miert ne ellenorizhetne le xy-t az FB-n? Foleg, ha a karrier oldalon ez vilagosan le van irva. De a gdpr azt sem tiltja, hogy a cegek megfigyeljek akar a dolgozok forgalmat is. Viszont bevezet olyan koncepciokat, mint pl. csak azt az adatot gyujtsd be, ami feltetlen szukseges, csak addig tarold, ameddig szukseges, csak az ferjen hozza, akinek szukseges, etc. Es leginkabb persze az erintettek korrekt tajekoztatasat, beleegyezesuk megszerzeset.

Aki egy messzirol jott 'IT security bolcsesz' (ez megint te lennel) hantajanal - ami raadasul egyreszt hamis, masreszt hazug (mert hogy hazugsagra biztat) - egy realisabb es jogilag megalapozottabb tajekoztatast szeretne a temaban, annak ezt a videot javaslom: https://www.youtube.com/watch?v=SYpFtJoeq7Q (mar korabban szerepelt egy hup topikban)...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Azert nem ellenorizheti (es nem artana elolvasnod a GDPR rendeletet valamint az Infotv-t) mert a FB felhasznalo nem adott ra engedelyt. Amikor a FB felhasznalo kitesz magarol adatokat azt nem AZERT es ABBOL a celbol teszi, hogy ezeket az adatokat az allasinterju elott, soran, utan velemenyformalasra felhasznaljak. A szervezetnek nincs jogalapja erre, es a jogos erdek sajnos csak abban az esetben fogadhato el jogalapnak, ha erre vonatkozoan a maganszemely engedelyt ad. A karrier oldalakon nem irjak le hogy hatterellenorzeshez megnzik a fb profilt, es nem eleg csak leirni - es ezt kell megerteni, hogy a tajekoztatas es a BELEEGYEZES nem ugyanaz.

Egy hatterellenorzes nem abbol all, hogy megnezzuk a profilt. Nyilvanvalo, hogy egyre tobben egyebkent is korlatozzak a nyilvanos profiltartalmat, azonban a korabbi (reszletes) HR-es gyakorlat ennel sokkal osszetettebb, csoportokon beluli viselkedesek megfigyelese, a hozzaszolasok, reakciok, magatartasi mintak osszeszedese, legyujtese, elemzese - ez kepezi alapjat hatterellenorzesnek. Ez a GDPR szerint nem megvalosithato (https://www.naih.hu/files/2016_11_15_Tajekoztato_munkahelyi_adatkezelesek.pdf - II/1.2 alapjan).

A sima nyilvanos profil megnezes (a GDPR szerint BETEKINTES) sem tortenhet meg csak abban az esetben, ha arrol elozetesen tajekoztatjak az erintettet, azaz az allashirdetesben feltuntetik, hogy bizony a kozossegi media oldalak profil adatait a munkaltato meg fogja nezni, es dontesehez felhasznalhatja az ott szerzett tapasztalatot. Es hogy idezzek is a NAIH allasfoglalasabol: Azaz a munkáltató nem „rejtheti el” ezen gyakorlatát a jelentkezők elől, fel kell fednie a kiválasztási folyamat minden lényeges részét. - es ez csak a nyilvanos profiladatra vonatkozik, azonban a korabbi reszletes hatterellenorzesi gyakorlatok messze nem csak a nyilvanos adatokbol taplalkoztak. Es ez a gyakorlat a GDPR-al sem fog megvaltozni, legfeljebb letagadjak, es nem fogjak dokumentalni.

A levelezes ellenorzesenek modjara is ajanlast tesz a NAIH, a 4.2.2-ben, idezek belole csak hogy latszodjon, mennyire nem gyakorlatias elgondolast akarnak alkalmaztatni:

"Ezen túlmenően a munkáltatónak az email fiók használatának ellenőrzése előtt közölnie kell a munkavállalókkal, hogy milyen érdeke miatt kerül sor a munkáltatói intézkedésre. " - Azaz ezt azt jelenti, hogy ellenorzes elott koteles tajekoztatni a munkavallalot arrol, hogy ellenorzes lesz. Nyilvan ennek a tajekoztatasnak aztan semmi hatasa nem lesz a postafiok adattartalmara :) - Ergo a korabbi gyakorlat, miszerint ha gyanus vagy, akkor elkezdik figyelni a levelezesedet (visszamenolegesen atnezik, es titokban bizonyos ideig gyujtik es vizsgaljak a leveleidet) - ennek a modszernek ezzel a GDPR szerint annyi.

"Így például az ellenőrzés első lépéseként az e-mail cím és a levél tárgyának az ellenőrzése is elegendő lehet, hiszen bizonyos esetekben már pusztán az e-mail cím felépítéséből és az e-mail tárgyából is lehet látni azt, hogy az magáncélú e-mail cím lesz, és ezért nem
szükséges megismerni az e-mail tartalmát. " - Kerdes, az email cimebol es targyabol honnan lehet a tartalomra kovetkeztetni? Felettebb eletszerutlen, hogy a gonosz munkavallalo az

cimre "itt kuldom a lopott adatokat" targgyal fog levelet kuldeni.

Es folytatva: "Az e-mail fiók használatánál főszabályként biztosítani kell a munkavállaló jelenlétét. A munkáltatói
ellenőrzés e formájánál ugyanis a munkavállaló és harmadik személyek különböző személyes
adatai lehetnek benne a levelezőrendszerben, amelyek megismerésére a munkáltató nem
jogosult. Ha ez ellenőrzésnél a munkavállaló jelen van, és jelezheti valamely email tartalmának
megtekintése előtt, hogy azok személyes adatokat tartalmaznak, akkor ezzel biztosítható, hogy a
munkáltató ne sértse meg ezt a tilalmat. "

Ez is eletszerutlen, es mondjuk ki, elegge eredmenytelenne teszi az ellenorzest, ha Gyula pont arra a levelre mondja hogy szemelyes, amiben az "erdekes" tartalmak vannak.

Szoval a korabbi gyakorlatok elvileg nem alkalmazhatoak, viszont mindenki ugyanugy alkalmazni fogja oket, mert a szervezet erdeke ezt kivanja meg.

A GDPR nem vezet be semmit, ami korabban az informaciovedelemben ne lett volna jelen. Az informaciovedelem arrol szol, hogy a klasszifikalt adatok melle vedelmi intezkedeseket es ellenorzeseket kell rendelni, a gdpr altal kiemelt szemelyes adat pontosan ugyanolyan vedendo adat, mint a marketing terv - csak a vedelmi intezkedesek masfelek, de semmi kulonbseg nincs modszertanilag (27001, stb).

Az onjelolt profetat visszautasitom, sajnos nem en kentem fel magam GDPR ugyben, megtettek ezt azok a konferenciak, oktatasok ahol van szerencsem/szerencsetlensegem eloadni :)

a jogos erdek sajnos csak abban az esetben fogadhato el jogalapnak, ha erre vonatkozoan a maganszemely engedelyt ad. A karrier oldalakon nem irjak le

ahogy a cookie consent ok-ra kattintva elfogadja az adatgyujtest/-kezelest a jomunkasember, ugyanigy a jelentkezes melle is le lehet irni, hogy a submit-ra kattintassal megadja a hivatkozott engedelyt, reszletek az xy linken, ahol korrekt modon le kell irni, hogy mirol van szo. Ha pedig nem fer bele xy-nak, akkor egyszeruen nem adja meg az engedelyt, es nem is jelentkezik.

a korabbi (reszletes) HR-es gyakorlat ennel sokkal osszetettebb,

fikcio. A linkelt pdf szerint eppenhogy "A Hatóság álláspontja szerint továbbá életszerűtlen elvárni a munkáltató oldaláról, hogy ne tekinthesse meg azokat a bárki számára elérhető, nyilvános információkat, amelyeket az álláshirdetésre jelentkező személy osztott meg magáról." - felteve, hogy a munkaltato nem megy at titkosrendorsegbe, ld. a tovabbi pontokat.

Azaz a munkáltató nem „rejtheti el” ezen gyakorlatát a jelentkezők elől, fel kell fednie a kiválasztási folyamat minden lényeges részét

ezt mondom en is: a korrekt tajekoztatas nelkul nem megy jogszeruen, de azzal viszont igen.

azonban a korabbi reszletes hatterellenorzesi gyakorlatok messze nem csak a nyilvanos adatokbol taplalkoztak. Es ez a gyakorlat a GDPR-al sem fog megvaltozni, legfeljebb letagadjak, es nem fogjak dokumentalni.

ez megint csak fikcio, meg ha lehetnek is ilyen cegek. De pont erre mondom, hogy eleg lepra dolog hazudni, es erre biztatni is (=amit te csinalsz). Masfelol letagadni barmit lehet. De egeszen mas az, amikor eljon az igazsag pillanata, es pl. egy audit eloveszi a HR-t (vagy masokat is), es atnezi, hogy valojaban mi is tortent.

"Ezen túlmenően a munkáltatónak az email fiók használatának ellenőrzése előtt közölnie kell a munkavállalókkal, hogy milyen érdeke miatt kerül sor a munkáltatói intézkedésre. "

nagy ugy: a jomunkasember belepeskor elolvassa, majd alairja. Ismet: a pdf-ben is szerepel, hogy a munkaltatonak jogos erdeke fuzodik a ceges mailboxok ellenorzesehez.

Kerdes, az email cimebol es targyabol honnan lehet a tartalomra kovetkeztetni?

itt kene egy kicsit tobb erto olvasas: ha nyilvanvalo a felado + subject alapjan, hogy maganjellegu a level (pl. From:

, Subject: legenybucsu elokeszuletek), akkor nem kell belenezni a levelbe. Ha nem nyilvanvalo, akkor bele kell nezni a levelbe.

"Az e-mail fiók használatánál főszabályként biztosítani kell a munkavállaló jelenlétét. [...] Ez is eletszerutlen, es mondjuk ki, elegge eredmenytelenne teszi az ellenorzest, ha Gyula pont arra a levelre mondja hogy szemelyes"

talan nem ennyire sulyos a helyzet: eloszor is Gyulat siman szankcionalni lehet, ha szemelyes ugyeit a ceges levelezesbe beviszi. Masreszt, Gyula konnyen lehet, hogy meggondolja magat, ha a ceg jogasza is a tetthelyen van, es elmagyarazza neki, hogy ha birosag ele kerul a dolog, es ott derul ki, hogy saros, akkor mehet a hid ala.

viszont mindenki ugyanugy alkalmazni fogja oket, mert a szervezet erdeke ezt kivanja meg.

nem. A szervezetnek at kell gondolnia, mit hogyan csinal, es amely gyakorlatot megtartja, azt megfeleloen dokumentalnia, szabalyoznia, stb. kell + a korrekt tajekoztatas es alairas beszerzese. Ez nagyon mas, mint az a fereg dolog, amit te propagalsz...

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol