"Hogyapicsábane", írta trey, miközben a folyosón várta a kihallgatótiszt érkezését, két állig felfegyverzett TEK-legény között. :DDDDD
---
Ó, hogy a hatalmas Kublaj kán üssön rajtad, és a házad népén!
Nem tudja véletlenül valaki, hogy a GDPR is lehetővé teszi, hogy a törlés bonyolultságára hivatkozva a személyes adatok törlését visszautasitsa a kezelő? (mint az adatvédelemi törvény esetén)
(GDPR jegyében él a cég, a vállalati jogász azt állította, hogy a munkaállomások (rezervált?) IP címe is személyes adatnak minősül.)
Néhány éve volt már itt is: látszólag feltört router, szolgálató javaslatára rendőrségi feljelentés, hogy legyen valami nyoma, ha a vélt feltörés kapcsán valami illegális dolgot művelnek a nevemben.
Hetekkel, talán hónapokkal később értesítettek, hogy a párom használta... (mert technikai okok miatt anno az ő nevére lett bekötve, de az elmúlt két évet leszámítva a közelében sem járt)
Akkor ez most kinek a személyes adata volt? :)
Ez is inkább "attól függ".
Nyilván, ha annyit mondok, hogy 57.72.246.18, az nem személyes adat.
De ha ebből el lehet jutni, akár más adatok hozzákombinálásával egy személyhez, más a helyzet.
Egy GDPR előadáson azt mondta az előadó, hogy ha két adatbázis összekapcsolható (és így lehet személyt beazonosítani), de nincs összekapcsolva, akkor azzal nem kell foglalkozni GDPR szempontból.
Ha én egy adatbázisban letárolok személy azonosító számokat (X-YYYYYY-ZZZZ), és mondjuk a kedvenc színét, az nem személyes adat? Hiába nincs meg nálam az adatbázis a nevekkel, születési időpontokkal, attól még olyan adatot kezelek, ami 100%-ban azonosít egy magyar állampolgárt.
fixme, de ott mar a szemelyi azonosito is olyan adat, nemkell ahhoz szineket tarolni.
de ha jol latom itt az ip cimrol megy az vita. tehat a helyes peldad: letarolod hogy adott ipcimnek mi a kedvenc szine. igy szemelyes adat az ip vagy sem?
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
> ha két adatbázis összekapcsolható [...], akkor ...
Ja, derék jogászaink a legnagyobb nyugalommal használnak olyan fogalmakat, amiknek nincs is tartalma... Pl hogy a választás előtt "összekapcsolják" az X nyilvántartást az Y nyilvántartással, aztán ismét "szétválasztják"
Még ha lenne is jelentéstartalma annak, hogy 'adatbázisok összekapcsolása' (mint ahogy nincsen), akkor sem tiszta, hogy kinek a személyiségi jogai sérülnek szerinted.
Jók az érveid; főleg az tetszik a levezetésedben, hogy a gondolatok hibátlan logikai láncot alkotnak, mindenféle tekintélyérv és személyeskedés nélkül.
Önmagában tényleg nem, de ha _létezik_ olyan entitás, aki elvileg képes összekötni az IP-t a userrel, akkor igen. A gyakorlatban márpedig az ISP átlalában létezik. :)
Nem attól válik ez szemelyés adattá, hogy valahol valakinek van valami adatbázisa, amiből összeköthető a két adat, hanem ha egyértelműen megállapítható bárki számára, az ip mögött lévő ember személye! Tehát az ip önmagában még nem személyes adat.
-- "Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Inkább a "bárki", hiszen pl egy levelezési cím is akkor válik személyes adattá, ha tartalmazza a címzett valamilyen személyes adatát is (pl. név). Ezt az adatot vannak, akik még tudják szerezni (pl. nyilvántartó, hatóságok emberei), ettől viszont még önmagában nem válik azzá, hiszen a széles nagyközönség számára még nem válik elérhetővé, a cím nem kapcsolható a címzett személyéhez.
-- "Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Én úgy tudom, hogy GDPR szempontból nem az számít, hogy valaki más, a nála lévő adatokkal együtt össze tudja-e rakni, hogy ki az illető, hanem hogy az adott cég meg tudja-e tenni a számára elérhető adatokból. Szóval _valaki_.
Hát, hát... Nem biztos, hogy így van, mert ezt olvastam:
- Személyes adatnak minősül valamennyi, az érintettel kapcsolatba hozható adat.
- Az adatkezelés megállapíthatósága nem függ az adatkezelés időtartamától.
Ha az erintettel kapcsolatba hozható, akkor egyertelmuen az - ehhez az kell, hogy az erintettrol származó adatok és az érintett személyi azonositasara alkalmas adatai osszekapcsolhato módon legyenek tárolva.
-- "Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
A kollégának nincs IP-címe (általában), a kolléga gépének van IP-címe. A logokból az deríthető ki, hogy a DHCP szerver a gépnek milyen IP-címet adott és mikor - ezen a részen semmilyen személyes adat sincs.
Ha vezetsz nyilvántartást arról, hogy melyik gép kié (pl. a PC27 Józsikáé), akkor ott már adatkezelést végzel, és ezt a nyilvántartásodat Józsika kérésére módosítanod kell úgy, hogy a nyilvántartásból ne lehessen megállapítani, hogy PC27 Józsikáé volt. Ennek a legtipikusabb módszere, ha Józsika nevét átírod TöröltFelhasználó8-ra vagy sha256("Józsika") értékre.
A dolognak van egy csomó szépsége egyébként, mert simán lehet/van olyan rendelkezés másik jogszabályban, hogy bizonyos adatokat meg kell őrizned X ideig, pl. ilyen lehet az IP-címek kiosztásának adata is. Ilyen esetekben válik el, hogy TöröltFelhasználó8 vagy sha256("Józsika") a helyes megközelítés - az első esetben vezethetsz egy hét pecsét alatt vezetett nyilvántartást a Józsika - TöröltFelhasználó8 összerendelésről, amibe pl. írni lehet, de olvasni csak az ügyvédi letétbe helyezett kulcs segítségével lehet, amit bírósági eljárás során lehet kikérni. A második esetben a hash függvénnyel azt akartam érzékeltetni, hogy tényleg visszafejthetetlen legyen a név elkódolása.
Még érdekesség, hogy a szalagra archivált adatokból nincs az a jogász, aki egyértelműen ki merné jelenteni, hogy nem kell törölni. A legbiztonságosabb valószínűleg az, ha letagadod, hogy lézetnek a szalagjaid :-D
Utolsó vicces: a GDPR élő emberekre vonatkozik. Halott emberek adatait úgy kezeled, ahogy akarod. A személyes adatokhoz való jog nem öröklődik.
Szerencse, hogy nem csak az EU-ban bejegyzett cégekre/domainekre vonatkozik a GDPR, hanem mindenkire, akinek a szolgáltatása EU-s állampolgár számára elérhető.
akinek a szolgáltatása EU-s állampolgár számára elérhető.
ez igy eben a formaban nem igaz. Azert mert elerheto meg nem elegendo indok. Jol is neznenk ki ha ez nem igy lenne mert akor epulhetne a nagy EU tuzfal.
(23) Annak biztosítása érdekében, hogy a természetes személyeket e rendelet szerinti védelemtől ne lehessen
megfosztani, helyénvaló, hogy ha az adatkezelési tevékenységek termékeknek vagy szolgáltatásoknak az említett
érintettek részére történő nyújtásához kapcsolódnak, az Unióban tevékenységi hellyel nem rendelkező adatkezelő
vagy adatfeldolgozó az Unióban tartózkodó érintettek személyes adatainak kezelését e rendelet betartásával
végezze, függetlenül attól, hogy ahhoz társul-e kifizetés. Annak megállapítása érdekében, hogy az ilyen adatkezelő
vagy adatfeldolgozó kínál-e termékeket és szolgáltatásokat Unió területén lévő érintetteknek, meg kell
bizonyosodni arról, hogy nyilvánvaló-e, hogy az adatkezelő vagy adatfeldolgozó az Unió egy vagy több
tagállamában az érintettek számára szolgáltatásokat tervez nyújtani. Nem tekintendő e szándék nyilvánvaló
jelének az a puszta tény, hogy az adatkezelő, adatfeldolgozó vagy valamely közvetítő honlapja, e-mail címe vagy
más elérhetősége hozzáférhető az Unió területén, sem pedig az adatkezelő tevékenységi helye szerinti harmadik
országban általánosan használt nyelv használata, ha viszont például az adatkezelő olyan nyelvet vagy pénznemet
használ, amely egy vagy több tagállamban is általánosan használatos, és így lehetőséget biztosít termékeknek és
szolgáltatásoknak az említett másik nyelven történő megrendelésére, vagy az Unióban tartózkodó fogyasztókra
vagy felhasználókra tesz utalást, az egyértelműen jelezheti, hogy az adatkezelő említett érintetteknek az Unió
területén termékeket vagy szolgáltatásokat szándékozik kínálni.
Nekem ugy remlik, csak a nem EU tagorszagoket. Maskulonben az EU mar verne az asztalt, hiszen az EU-s allampolgarok adatait EU teruleten kell tarolni, nem?
Szerk: na, ahogy ezt leirtam, 3 percre ra kaptam egy levelet a security at facebookmail.com cimrol, hogy review-oljam a policy valtozasokat...
Igen. A gyakorlat valószínűleg az lesz, hogy a tagállami adatvédelmi hatóságok majd bírságolják őket, nem fizetnek majd, és végső esetben pedig esetleg elérhetetlenné teszik az oldalakat az adott tagállamból (bár ez utóbbiban azért nem vagyok biztos).
Először is mutass valakit, aki tisztában van azzal, hogy mi az a GDPR. De ne ügyvédi irodákkal gyere, akik mostanában a saját "Y2K"-szerű üzletét látják benne és valami konferencián megegyeztek, hogy ezzel az ürüggyel letarolják a piacot, mert ilyennel mi is találkoztunk.
50 oldala kérdezz-felelek kérdőívekkel futkároznak, visszakérdezve a kérdésekre a kérdést sem értik, de több milliós díjakon osztják az észt.
Tehát, akkor minek is kellene pontosan megfelelni? :D
Amennyi nekem lejött, viszonylag egyszerű: a kolléga azt kéri, hogy töröld minden személyes adatát, ekkor te törlöd minden személyes adatát? Akár ki is lehet próbálni :D.
A kapcsolat űrlapon található elérhetőségekre érkező e-mail megfelelő lesz. Szerintem semmilyen irányelv, rendelet vagy törvény nem kötelez arra, hogy fórumtopikokból kukázza ki az üzemeltető, hogy az ő adatait töröltetni akarja.
Erre szerettem volna ravilagitani, hogy valoszinu ez igy volt/van, Majus 25-utan mert nem foltetlen csak az ostobak eszkoze lehet, hanem a hup rosszakaroie is. Ezt egy aranylag egyszeru adatvedelmi nyilatkozattal el lehet kerulni.
De a fórum üzemeltetője nem köteles átolvasni mindent. Lehet, hogy a "Géza törlése" jelenthet IT témát is, de lehet egészségügyi intézkedés is (segge vagy felfekvése). Sőt az üzemeltető lehet nem is tud azon a nyelven, amelyen a téma folyik: arab nyelv vagy elvakult anyukák magyar nyelvű (de érthetetlen) topicja.
És ha szőrszálhasogatásnak érzed, amit írtam, akkor a GDPR is az.
Nem a GDPR a szorszalhasogato. Igen, az uzemelteto(k)nek fejfajast okoz es okozhat ha nincs(enk) tisztaban ezen szabalyozassal es nem hozza(k) meg a szukseges intezkedeseket es igy konnyen kihasznalhato "okot" adnak a szorszalhasogatok taboranak.
Analogiaval elve tegyuk fel hogy ha a HUP uzemeltetoje nem lenne tisztaban azzal, hogy az oldal Drupal tartalomkezelore epul es azt idorol, idore nem frissitene, akor az oldalt nem tornek fol, azert mert az uzemelteto nem tud, nem akar es nem is erdekli ez a resze a szolgaltatas uzemeltetesenek?
Ez egy analogia es semmi koze a valosaghoz, mivel az oldal uzemeltetoje valoszinuleg a tole telheto legtobbet megtesz, hogy az oldal biztonsagos es hasznalhato legyen.
Mi programozok sokszor abba a tevedesbe esunk, hogy egy oldal uzemeltetese arrol szol, hogy a szerver es a kod helyesen mukodjon, de egy oldal uzemeltetese nem csak ennyibol all.
Amugy az adatvedelmi nyilatkozatot es szemelyes adatok vedelmet nem a GDPR talalta ki, hanem kiegesziti azt. Van ra szabaly, ha jol sejtem 1996-bol, csak edig nagyon kis szazaleka az uzemeltetoknek volt/van tisztaba vele. Valoszinu, hogy par ponton tullottek a celon a szigoritasokkal, foleg azzal, hogy a tul elvont fogalmazas melle nem keszitettek konkret ajanlast / ajanlasokat arrol, hogy software tervezes es fejlesztes szemszogbol mit is kellene tenni.
Peldaul hasonlokra gondolok: a szemelyes adatok tarolasat legalabb SHA256 szintu titkositassal tarolni, a kulcsot es a titkositas feloldasat pedig x, y, z modszerekkel vedeni. Ami mar egy mezei programozonak sokkal tobbet mond mint a jelenlegi megfogalmazas. Termeszetesen itt is figyelni kellene arra, hogy ne lojenek tul a celon, tehat csak mint ajanlas szerepeljen, igy nem korlatozva ujabb vagy meredeken mas technologiak letjogosultsagat/fejlodeset.
Peldaul hasonlokra gondolok: a szemelyes adatok tarolasat legalabb SHA256 szintu titkositassal tarolni, a kulcsot es a titkositas feloldasat pedig x, y, z modszerekkel vedeni.
Ti, "fejlesztok", megtanulhatnatok, hogy az sha256 az egy hash algoritmus, nem titkosit semmit...
--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...
Az egy dolog, de remekül látszik, hogy az informatikus szakokon az a "mi szükség van erre?" egy féléves jog előadás mégsem hülyeség: titkosíthatod a személyes adatot amennyire csak akarod, de ez adatkezelési szempontból teljesen irreleváns. Ha létezik elvi mód az adat visszaállítására (lásd titkosítás vs hash vs deperszonalizáció) akkor az személyes adatként kezelendő.
Nem allitottam sehol, hogy a titkositas a szemelyes adatot szemelyteleniti (anonimizalja). A titkositas bizonyos szintu vedelmet ad ami adatszivargas eseten lenyegesen lecsokkentheti az okozott kart. Peldaul egy SQL injection-el ha sikerul is kinyerni az adatokat, a kulcs megszerzese nelkul hasznalhatatlan es ertektelen kacat marad.
"Peldaul hasonlokra gondolok: a szemelyes adatok tarolasat legalabb SHA256 szintu titkositassal tarolni, a kulcsot es a titkositas feloldasat pedig x, y, z modszerekkel vedeni."
Érdekelne, hogy ennek a gyakorlatban hogy kellene kinéznie anélkül, hogy a fejlesztést indokolatlanul komplexé tenné. Tegyük fel van egy online bolt. Semmi komplex, még online fizetés sem kell, kezeljünk csak termékeket felhasználókkal, szállítási címekkel. Utóbbi személyes adat. Én naívan berakom egy adatbázisba ugyanúgy, mint akármi mást. Az adatbázis szerver nyilván korlátozott jogosultsággal érhető el, de itt szó sincs semmiféle titkosításról. Esetleg el kellene kódolnom minden egyes rekordot, és úgy tárolni az adatbázisban? Innentől az adatbázis használhatósága erősen romlik.
Azt hallottuk már, hogy mi programozók buták vagyunk, azt még nem, hogy milyen épkézláb megoldások vannak, és hol az a határ, ami már megfelelne :)
Nem allitottam, hogy tudom a megoldast de keresem en is mind szerintem mindenki aki tisztaban van vele, hogy ha tetszik, ha nem a GDPR Majus 25-en ervenybe lep.
A GDPR a szemeley adatok tarolasara es kezelesere vonatkozik, tehat ebbol kikovetkeztetheto, hogy a szemelyes adatokat kell vedeni es nem az egesz adathalmazt.
En addig jutottam, hogy a legkezenfekvobb megoldas az, hogy a szemelyes adatokat titkositva tarolom le es azt amin keresni kell pszeudoannonimizalom valamien modon (pl. keresomotor ami nem tarolja "relativ" konnyen viszanyerheto/viszavezetheto modon a teljes adathalmazt (pl. sphinx, solr). Ennek szerintem elegendonek kellene lennie egy aranylag kis forgalmu oldal/szolgaltatas eseten (termeszetesen ez csak a technikai resze, a GDPR e mellet meg egy halom papirmukaval es szabalyozassal jar. le kell dokumentalni minden lepest ami a szemelyes adatokkal kapcsolatba hozhato. Ajanlott minden ponton elemezni a biztonsagi kockazatot).
Amit meg ezen kivul a GDPR ker az egy nyilvantartas a szemelyes adatokat erinto barmely muveletrol. Pl szemelyes adat tarolasa, frissitese, lehivasanak nyoma kell maradjon egy "log"-ban.
A tevedes elkerulese vegett megjegyzem, hogy nem rendelkezem se ugyvedi se semmilyen jogi kepzesem. Programozo vagyok es tobszor atnyalaztam a GDPR-t az elmult par hetben, 3 kulonbozo nyelven.
Szabadidomben a jelenleg elerheto "Zero-knowledge proof" technologiara epulo megoldasokat nyalazgatom, mert ugy gondolom az egy megoldas lehet a titkositott adaton torteno keresesre a titkositas feloldasanak igenye nelkul. Ha pedig foltetlen kell a kereses, akor azt a kockazati tenyezok figyelembe vetelevel es azzal aranyos vedelemmel kell kiepiteni.
A peldadra kiterve az attol fugg, hogy mennyire fontos es indokolt a szemelyes adatokon torteno kereses. Egy kis webshop eseten szerintem kozelit a nullahoz, tehat titkosithatod a nevet, cimeket, telefonszamot, stb.
"A peldadra kiterve az attol fugg, hogy mennyire fontos es indokolt a szemelyes adatokon torteno kereses. Egy kis webshop eseten szerintem kozelit a nullahoz, tehat titkosithatod a nevet, cimeket, telefonszamot, stb."
Akár azt is mondhatnám, hogy rossz a példa. De nem az. Mert mondjuk egy webshop raktáros felületének lehet szüksége van arra, hogy a megrendeléseket területek szerint csoportosítva kérdezze le.
" Programozo vagyok es tobszor atnyalaztam a GDPR-t az elmult par hetben, 3 kulonbozo nyelven."
Nekem őszintén nem jutott eszembe az alapos átnyálazás. Egyáltalán jó kérdés, hogy kinek a felelőssége ennek a betartatása? Nekem mint programozónak tisztába kell lennem minden jogszabállyal és aszerint elkészítenem az alkalmazást? Esetleg a megrendelőnek, vagy projekt menedzsernek kell ezeket tudnia, és a feladatkiírásban szerepeltetni?
Mi a garancia arra, hogy nem?
Amig csak specifikacio alapjan irod a kodot, nem helyezed uzembe, nem fersz hozza a szemelyes adatokhoz elmeletileg nem vonhatnak felelossegre. De akor sem art tisztaban lenni a GDPR-ben foglaltakkal, mivel hogyan tudnad eldonteni, hogy a rendszer amin fejlesztel nem e tartalmaz olyan adatokat amik a GDPR ala tartoznak.
Simal elofordulhat, hogy megkapod a hozzaferest egy API-hoz ami szemelyes adatokat tartalmaz es akor mar meg is van a gond, ha te nem jelzed surgosen, hogy mar bizony ezeket az adatokat neked nem szabadott volna megkapni es potencialis "data breache" esete forog font. Ha nem vagy ennek tudataba es fejlesztes kozben, akarva vagy akatod ellenere, szemelyes adatokat kersz le, irsz folul, modositasz, torolsz, netalan meg egy veletnel fojtan kimegy 1-2 email valos cimre, meg is van a nagy baj, mivel azt mar te kuldted a felhasznalok beleegyezeset nelkul. Tehat a megbizo mellett te is benne vagy a slamasztikaban. O mert szemelyes adatokat szivarogtatott, te meg illetektelenul szerzett "szemelyes adatokkal eltel visza". Termeszetesen siman elofordulhat, hogy meguszod problema nelkul, de elofordulhat, hogy meghordoznak amig tisztazod magad.
Amugy ha arra adod a fejed, hogy atolvasod a GDPR-t es nem a vilag egyik legnyugodtab emberei koze szamitasz szerintem erdemes ezt egy olcso eszkozon tenni. Nagyon sokat haborogtam es a space billentyut sikerult 3 darabba tornom az elso nap.
Őszintén? Nem tudom. Baromira nem tudom, hogy hogy működik ez, utána kell és fogok nézni amint lesz rá értelmesen időm. Addig csak tapogatózok. Mindenesetre ez nekem úgy tűnik, hogy sok esetben komoly átalakítást és fejlesztéseket vonna maga után ahhoz képest, hogy van egy szem adatbázis, meg egy szem oldal, ami használja azt, és elgondolkodtató, hogy ha ezt esetleg a vezetőség nem akarná finanszírozni, akkor nekem mint megbízottnak hol van beleszólásom, jogos elvárásom, akármim velük szemben.
A vezetosegnek sincs mas valasztasa, sot, foleg nekik nincs mivel tobb iranybol be van ez biztositva a GDPR-ben. Foleg a vezetosegnek van sok vesztenivaloja, mivel ha jol ertelmeztem a birsagot az cegre rojak ki. A ceg persze indithat utolag polgari pert ha bizonyitani tudja, hogy a te baklovesed okozta a problemat, de ahoz, hogy ezt bizonyitani tudjak elob bizonyitaniuk kell, hogy betartottak es betartjak a GDPR-ben eloirtakat ami ha igy lenne akor eleve nem kerulne sor a birsagolasra, szolva infinit loop
Az en ertelmezesem szerint a hosting szolgaltato is GDPR koteles ezert az is elofordulhat, hogy nagyon sok tarhelyszolgaltato nem fog szerzodest kotni vagy a meglevot kenytelen lesz folmondani, ha a nem tartod be a GPDR-ben eloirtakat es ugyanez forditva is igaz.
Ó dehogy nincs. Főleg kis startupnál, nem is tájékozódnak, elhessegetik a dolgot, mondván hogy nem fontos, ugyan ki ellenőrizne, a cég amúgy is félig meddig szürke területen mozog a minimálbérrel fizetett programozókkal, és a plaintext jelszavakkal, amit persze ha jelzel csak kiröhögnek.
Az elso foljelentesnel meg kopogtat az "audit" es lakat, a birsagot meg a ceg tulajdonos/vezeto vagy fene tudja ki kell allja, de szinte biztos, hogy nem a programozo (hacsak nem o a tulaj is egyben)
Igen, abban biztos vagyok, hogy az ilyen arcok egyszerűen nem mérlegelik a kockázatot, és a vak szerencse miatt (értsd: "eddig is ment így, minek most izélni" hozzáállás miatt) leszarom módban folytatják tovább.
Persze ilyeneknek egyáltalán nem éri meg dolgozni. Kérdés, hogy a következő hely miben lesz jobb. És hányszor váltasz munkát elvi kérdések miatt, amikor úgy döntesz, hogy kell a pénz, és leprogramozod inkább a feladatot ahogy specifikálják.
Szerintem ez pont az a pelda, ami megerositi a GDPR letjogosultsagat. Azon egyen akit annyira nem erdekli a szemelyes adatok biztonsaga, de begyujtene azokat az eleve bele se vagjon. Azt meg nem hiszem el, hogy egy programozo keptelen lenne "normalis" ceghez szerzodni.
Lehet egy ideig nem fogja oket erdekelni, de amint folbukkannak a mediaban a hirek 10 millios birsagokrol valoszinuleg elgondolkodnak majd rajta.
(4) Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű
közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb
2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni:
...
(5) Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű
közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb
4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni:
Nem tudom hogyan all ehez a biztosito piac, de remelem hamarosan elo fognak allni kimondottan programozokra szabott csomagokkal.
Ehhez először azt kéne tudni például, hogy melyik személyhez tartozik például fejesjoco nevű account.
Mert ha idejön Orbán Viktor, hogy márpedig fejesjoco az az ő accountja, és az ő személyes adatai, tessék törölni, akkor mit mondasz? Hogy nem is az övé, hanem Soros Györgyé?
Azért csinálja, hogy ártson. A britek kiszállásával az EU (benne mi) megszabadulna egy rakás pakisztáni migránstól, akik a celldömölki keresztyén integritást veszélyeztetik present perfect continuousban. Ezt a fellélegzést nem akarja Soros; az aknamunkához regisztrálta a fejesjoco nicket.
Hááát... még több személyes adat tárolásával lehetőség nyílik a beazonosításra, hogy törölni lehessen azt az egy személyes adatot, ami jelenleg tárolva van.
Valóban összehasonlítható minden tekintetben a HUP a különféle cégekkel, a különféle cégek súlyával. Egyszer ezen már végigmentünk, ideidéztem az ombudsman idevágó állásfoglalását ezzel kapcsolatban, de akkor érdekes módon elhalt ez a szál a kritizálók részéről.
A topikkal kapcsolatban pedig májusig semmilyen teendő nincs.
btw ez a GDPR akkora kibaszás mindenkivel szemben .. értem én hogy átláhtatóság, meg adatvédelem, meg miegymás.... De ez a GDPR jelenleg olyan mint a Microsoft EULA* értelmezése.
Ahhoz is kell 3 jogász + egy microsoft ember + még 3 ember aki tudja miről van szó...
Ezt egy kis cég nem fogja tudni teljesíteni saját maga... már ha egyről beszélünk... :/
Értem én, hogy ők el tudnák magyarázni, hogy ők mit akartak a licenccel.
De valószínűleg a Sun se pont olyan dolgokat akart a Java licenccel, amire az Oracle végül felhasználta, amikor hozzá átkerült az IP.
És még utána is sok minden múlik azon, hogy hanyadik kört futod a bírósággal, és épp melyik bírónak milyen hangulata van, meg mennyire van kedve világszinten beleszarni a ventillátorba.
Hogy nekem nem megy a figyelmes olvasás, azt már megszoktam.
Neked miért? Vagy a hasonlatoknál hiányoztál magyar óráról?
A MS EULA értelmezésére írta krix az ú.n. költői túlzás eszközét és egy szépséges hasonlatot alkalmazva, hogy az értelmezéséhez kell legalább három mikroszoftos ember is :)
Ui: megérne egy posztot, hogy ki, miért nem figyel oda, miért nem olvassa el azt, amire válaszol, ha egyébként megérti...
Nade erről beszélek, hogy mit nem kéne / mit látsz/láttok rosszul:
- Ez pont olyan, hogy látok egy MS eulá-t, akkor kapásból feltételezem, hogy annak a helyes értelmezése az, amit az MS ügyvédei szerinti értelmezése
- Ha elmegyek szavazni, akkor arra húzom be az X-et, aki már itt van egy ideje, mert ő már biztos eleget lopott, és akkor most már lehet, hogy csinálni is fog valamit. (Épp Puzsér-t nézek a másik tab-on :D)
- S.í.t.
Erre reflektáltam: NEM!
Már ezért sz..r a hasonlat eleve.
Attól, még hogy a MS (bár, ők már lassan nem, lásd másik hír, másik szálában a hozzászólást, miszerint az ms ügyvédei sóhajtoznak, látván a másik csürhe pofáján a vastag bőrt, hogy akár ott is dolgozhatnának...) ügyvédei szeretnék azt hinni, hogy a világ arra mozog, amerre ők mozdítják, ez maximum a hibaüzeneteiken besírő emberek hangulatán keresztül érvényesül.
De attól ők még nem lesznek hatóság/ bíróság/ whatever!
A GDPR esetén viszont, inkább a magyar adótörvényekhez hasonlítható: Valamit szeretne a törvényalkotó. Sikerül valami baromságra összehozni a megfogalmazást, majd a végrehajtáshoz aztán kiadnak 1-2-x értelmezést mellé, hogy hogy is kell érteni. De a "forrás" ugyanaz.
-> Ezért sántít rohadtul az MS-es hasonlat! Ott bármennyire is szeretnék, ez a két entitás különböző, még a gdpr/adótörvények esetén a jogalkotó és a helyes értelmezést megfogalmazó fél ugyanaz a forrás.
Ha egy listát kell vezetni egy forumról vagy weboldalról vagy egy klubból kitiltottakról és a kitiltott kéri hogy töröljék az adatait, akkor mi alapján fogják tudni hogy Ő ki van tiltva? :)
Példának okáért ott van a Parlamenttől kitiltott képviselő. Ha ő május 25 után kéri az adatai törlését akkor utána be fog tudni menni?
Elég a GDPR megfelelésnek ha biztonsági szempontból megfelelő a szolgáltatás (friss szoftverek + megfelelő szintű adatmentés) + ledokumentálom az adatkezelés technikai folyamatát (arra az esetre ha ellenőrzik) + az ÁSZF-ben nyilatkozok arról hogy ki kezeli hogyan és milyen adatát a felhasználónak és milyen módon kérheti a törlését? És meg is tudom valósítani a törlést?
Hozzászólások
"Hogyapicsábane", írta trey, miközben a folyosón várta a kihallgatótiszt érkezését, két állig felfegyverzett TEK-legény között. :DDDDD
---
Ó, hogy a hatalmas Kublaj kán üssön rajtad, és a házad népén!
Hhahahaha :D
Az én véleményem erről:
https://youtu.be/dF3kRVHAjvg?t=2m7s
--
Tanya Csenöl az új csatorna
Nem tudja véletlenül valaki, hogy a GDPR is lehetővé teszi, hogy a törlés bonyolultságára hivatkozva a személyes adatok törlését visszautasitsa a kezelő? (mint az adatvédelemi törvény esetén)
(GDPR jegyében él a cég, a vállalati jogász azt állította, hogy a munkaállomások (rezervált?) IP címe is személyes adatnak minősül.)
Kiindulva a GDPR szellemiségéből: nem. A jogászotoknak pedig igaza volt, ebben az esetben az IP is személyes adat.
Kiváncsi vagyok, hogyan fogják megoldani, hogy mondjuk a DHCP szerverek backup-olt log-jaiból kikerüljön a kolléga IP címe, X évre visszamenjen.
Kb.: oldják meg... :\ Ha már itt tartunk, akkor ebben az esetben a logok is személyes adatok, azok is adatkezelést valósítanak meg ilyen esetben.
A logok különösen, mert időpont + IP cím = beazonosítható valaki.
Néhány éve volt már itt is: látszólag feltört router, szolgálató javaslatára rendőrségi feljelentés, hogy legyen valami nyoma, ha a vélt feltörés kapcsán valami illegális dolgot művelnek a nevemben.
Hetekkel, talán hónapokkal később értesítettek, hogy a párom használta... (mert technikai okok miatt anno az ő nevére lett bekötve, de az elmúlt két évet leszámítva a közelében sem járt)
Akkor ez most kinek a személyes adata volt? :)
"mert technikai okok miatt anno az ő nevére lett bekötve": kellett volna használatba adási/vételi szerződés, felelősségátruházási nyilatkozattal. :)
Pont úgy mint a neveden lévő kocsit a feleséged használja és nincs róla papír. A rendőr nem tudhatja, hogy nem váltatok-e el és ő csak úgy ellopta.
De ha így nézzük, akkor kell már reggel egy "ágyból felkelési szándéknyilatkozat és fi*g*si terv" is...
Csak azt próbáltam demonstrálni, hogy mennyit ér egy IP cím, mint személyes adat - egyes esetekben.
Az ip-cim önmagában még nem személyes adat.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Ez is inkább "attól függ".
Nyilván, ha annyit mondok, hogy 57.72.246.18, az nem személyes adat.
De ha ebből el lehet jutni, akár más adatok hozzákombinálásával egy személyhez, más a helyzet.
Üdv,
Marci
Nem egészen. Ha az ip-cim egyértelműen osszekapcsolhato a személyes adattal, csak akkor minősül át azzá.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Egy GDPR előadáson azt mondta az előadó, hogy ha két adatbázis összekapcsolható (és így lehet személyt beazonosítani), de nincs összekapcsolva, akkor azzal nem kell foglalkozni GDPR szempontból.
#define összekapcsolható
Ha én egy adatbázisban letárolok személy azonosító számokat (X-YYYYYY-ZZZZ), és mondjuk a kedvenc színét, az nem személyes adat? Hiába nincs meg nálam az adatbázis a nevekkel, születési időpontokkal, attól még olyan adatot kezelek, ami 100%-ban azonosít egy magyar állampolgárt.
fixme, de ott mar a szemelyi azonosito is olyan adat, nemkell ahhoz szineket tarolni.
de ha jol latom itt az ip cimrol megy az vita. tehat a helyes peldad: letarolod hogy adott ipcimnek mi a kedvenc szine. igy szemelyes adat az ip vagy sem?
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Osszekapcsolhato: az adatsor konkrét személyhez köthető.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
> ha két adatbázis összekapcsolható [...], akkor ...
Ja, derék jogászaink a legnagyobb nyugalommal használnak olyan fogalmakat, amiknek nincs is tartalma... Pl hogy a választás előtt "összekapcsolják" az X nyilvántartást az Y nyilvántartással, aztán ismét "szétválasztják"
Az osszekapcsolas pillanatában megvalosul a személyiségi jog sérelme, ez nem függ az időtől.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Még ha lenne is jelentéstartalma annak, hogy 'adatbázisok összekapcsolása' (mint ahogy nincsen), akkor sem tiszta, hogy kinek a személyiségi jogai sérülnek szerinted.
Azért, mert te nem érted, még nem biztos hogy nincs is. :) a másik részét gondold át mégegyszer!
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Jók az érveid; főleg az tetszik a levezetésedben, hogy a gondolatok hibátlan logikai láncot alkotnak, mindenféle tekintélyérv és személyeskedés nélkül.
Na látod! :)
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
SQL szintaxist kellett volna írnom?
https://www.w3schools.com/sql/sql_join.asp
Önmagában tényleg nem, de ha _létezik_ olyan entitás, aki elvileg képes összekötni az IP-t a userrel, akkor igen. A gyakorlatban márpedig az ISP átlalában létezik. :)
https://www.whitecase.com/publications/alert/court-confirms-ip-addresse…
Nem attól válik ez szemelyés adattá, hogy valahol valakinek van valami adatbázisa, amiből összeköthető a két adat, hanem ha egyértelműen megállapítható bárki számára, az ip mögött lévő ember személye! Tehát az ip önmagában még nem személyes adat.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Bárki, mint akárki aki meg akarja tudni, vagy bárki, mint akár csak egyetlen személy?
> ha egyértelműen megállapítható _valaki_ számára
fix'd :)
Inkább a "bárki", hiszen pl egy levelezési cím is akkor válik személyes adattá, ha tartalmazza a címzett valamilyen személyes adatát is (pl. név). Ezt az adatot vannak, akik még tudják szerezni (pl. nyilvántartó, hatóságok emberei), ettől viszont még önmagában nem válik azzá, hiszen a széles nagyközönség számára még nem válik elérhetővé, a cím nem kapcsolható a címzett személyéhez.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Én úgy tudom, hogy GDPR szempontból nem az számít, hogy valaki más, a nála lévő adatokkal együtt össze tudja-e rakni, hogy ki az illető, hanem hogy az adott cég meg tudja-e tenni a számára elérhető adatokból. Szóval _valaki_.
Üdv,
Marci
Ha az illető cégnek ilyen adatsor van a birtokában, akkor vonatkozik rá a GDPR, hiszen személyes adatokat kezel.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Ha az illető cégnek ilyen adatsor van a birtokában, akkor vonatkozik rá a GDPR, hiszen személyes adatokat kezel.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Hát, hát... Nem biztos, hogy így van, mert ezt olvastam:
- Személyes adatnak minősül valamennyi, az érintettel kapcsolatba hozható adat.
- Az adatkezelés megállapíthatósága nem függ az adatkezelés időtartamától.
Forrás: https://naih.hu/files/Adatved-allasf-NAIH-377-2014-anonim-nyilv.pdf
Ha az erintettel kapcsolatba hozható, akkor egyertelmuen az - ehhez az kell, hogy az erintettrol származó adatok és az érintett személyi azonositasara alkalmas adatai osszekapcsolhato módon legyenek tárolva.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
sub
A kollégának nincs IP-címe (általában), a kolléga gépének van IP-címe. A logokból az deríthető ki, hogy a DHCP szerver a gépnek milyen IP-címet adott és mikor - ezen a részen semmilyen személyes adat sincs.
Ha vezetsz nyilvántartást arról, hogy melyik gép kié (pl. a PC27 Józsikáé), akkor ott már adatkezelést végzel, és ezt a nyilvántartásodat Józsika kérésére módosítanod kell úgy, hogy a nyilvántartásból ne lehessen megállapítani, hogy PC27 Józsikáé volt. Ennek a legtipikusabb módszere, ha Józsika nevét átírod TöröltFelhasználó8-ra vagy sha256("Józsika") értékre.
A dolognak van egy csomó szépsége egyébként, mert simán lehet/van olyan rendelkezés másik jogszabályban, hogy bizonyos adatokat meg kell őrizned X ideig, pl. ilyen lehet az IP-címek kiosztásának adata is. Ilyen esetekben válik el, hogy TöröltFelhasználó8 vagy sha256("Józsika") a helyes megközelítés - az első esetben vezethetsz egy hét pecsét alatt vezetett nyilvántartást a Józsika - TöröltFelhasználó8 összerendelésről, amibe pl. írni lehet, de olvasni csak az ügyvédi letétbe helyezett kulcs segítségével lehet, amit bírósági eljárás során lehet kikérni. A második esetben a hash függvénnyel azt akartam érzékeltetni, hogy tényleg visszafejthetetlen legyen a név elkódolása.
Még érdekesség, hogy a szalagra archivált adatokból nincs az a jogász, aki egyértelműen ki merné jelenteni, hogy nem kell törölni. A legbiztonságosabb valószínűleg az, ha letagadod, hogy lézetnek a szalagjaid :-D
Utolsó vicces: a GDPR élő emberekre vonatkozik. Halott emberek adatait úgy kezeled, ahogy akarod. A személyes adatokhoz való jog nem öröklődik.
Ez nem teljesen így van:
https://naih.hu/files/Ajanlas_online-adatok-halal-utani-sorsarol.pdf
Tudom, ezt ismerem. Ajánlás, amiből (egyelőre) nem lett semmi. :-(
Egy halotthoz is ugyanúgy kötődnek személyes adatok, amelyekkel nem lehet visszaelni.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Még a MAC cím is személyes adatnak minősül.
Abbol lesz személyes adat, amelyből egyértelműen következtetni lehet a hasznalojanak személyére. A Mac-address önmagában még nem ilyen.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
A GDPR-nek megfelelni végtelen munka, az EU-t elhagyni és offshore vállalta válni olcsó és bevett gyakorlat.
Nekem jó a hup.onion is.
Szerencse, hogy nem csak az EU-ban bejegyzett cégekre/domainekre vonatkozik a GDPR, hanem mindenkire, akinek a szolgáltatása EU-s állampolgár számára elérhető.
És hogy ellenőrzik? Odamennek kukumbukuba egy bírsággal?
ez igy eben a formaban nem igaz. Azert mert elerheto meg nem elegendo indok. Jol is neznenk ki ha ez nem igy lenne mert akor epulhetne a nagy EU tuzfal.
mmm... tehát egy dealextreme vagy aliexpress beleesik a szórásba.
A "nagyok" alapbol mind GDPR ala esnek.
Téényleg! Ez jó hír, köszi! :)
thread nekromancia:
https://444.hu/2018/04/19/a-facebook-az-osszes-europai-felhasznalojat-a…
Nekem ugy remlik, csak a nem EU tagorszagoket. Maskulonben az EU mar verne az asztalt, hiszen az EU-s allampolgarok adatait EU teruleten kell tarolni, nem?
Szerk: na, ahogy ezt leirtam, 3 percre ra kaptam egy levelet a security at facebookmail.com cimrol, hogy review-oljam a policy valtozasokat...
Úgy érted, hogy pl Kínára is? :)
Megnézném ezt a gyakorlatban :)
Igen. A gyakorlat valószínűleg az lesz, hogy a tagállami adatvédelmi hatóságok majd bírságolják őket, nem fizetnek majd, és végső esetben pedig esetleg elérhetetlenné teszik az oldalakat az adott tagállamból (bár ez utóbbiban azért nem vagyok biztos).
Hát ez popcorngyanús lesz.
Ez nem lehet egy opcio, szerintem ezt nem is erdemes szamitasba venni. Mas modot kell keresni ennek lerendezesere.
Először is mutass valakit, aki tisztában van azzal, hogy mi az a GDPR. De ne ügyvédi irodákkal gyere, akik mostanában a saját "Y2K"-szerű üzletét látják benne és valami konferencián megegyeztek, hogy ezzel az ürüggyel letarolják a piacot, mert ilyennel mi is találkoztunk.
50 oldala kérdezz-felelek kérdőívekkel futkároznak, visszakérdezve a kérdésekre a kérdést sem értik, de több milliós díjakon osztják az észt.
Tehát, akkor minek is kellene pontosan megfelelni? :D
--
trey @ gépház
Amennyi nekem lejött, viszonylag egyszerű: a kolléga azt kéri, hogy töröld minden személyes adatát, ekkor te törlöd minden személyes adatát? Akár ki is lehet próbálni :D.
Hivatalos kérés nem érkezett eddig. Amint megérkezett, törlésre kerül.
--
trey @ gépház
Erdekelne, hogy mit ertesz "hivatalos keres alatt"?
A kapcsolat űrlapon található elérhetőségekre érkező e-mail megfelelő lesz. Szerintem semmilyen irányelv, rendelet vagy törvény nem kötelez arra, hogy fórumtopikokból kukázza ki az üzemeltető, hogy az ő adatait töröltetni akarja.
--
trey @ gépház
Ezert fontos az adatvedelmi nyilatkozat, amiben ez az informacio szerepel, kulonben a forumtopikokban intezet kerest is annak kell venni ;)
A hiányában is elég ostobának kell lenni ahhoz, hogy fórumtopikban rinyáljon valaki, amikor van az oldalon elérhetőségek link.
--
trey @ gépház
Erre szerettem volna ravilagitani, hogy valoszinu ez igy volt/van, Majus 25-utan mert nem foltetlen csak az ostobak eszkoze lehet, hanem a hup rosszakaroie is. Ezt egy aranylag egyszeru adatvedelmi nyilatkozattal el lehet kerulni.
https://hup.hu/node/157752#comment-2194377
--
trey @ gépház
"elég ostobának kell lenni"
Ez alapból adott.
De a fórum üzemeltetője nem köteles átolvasni mindent. Lehet, hogy a "Géza törlése" jelenthet IT témát is, de lehet egészségügyi intézkedés is (segge vagy felfekvése). Sőt az üzemeltető lehet nem is tud azon a nyelven, amelyen a téma folyik: arab nyelv vagy elvakult anyukák magyar nyelvű (de érthetetlen) topicja.
És ha szőrszálhasogatásnak érzed, amit írtam, akkor a GDPR is az.
Nem a GDPR a szorszalhasogato. Igen, az uzemelteto(k)nek fejfajast okoz es okozhat ha nincs(enk) tisztaban ezen szabalyozassal es nem hozza(k) meg a szukseges intezkedeseket es igy konnyen kihasznalhato "okot" adnak a szorszalhasogatok taboranak.
Analogiaval elve tegyuk fel hogy ha a HUP uzemeltetoje nem lenne tisztaban azzal, hogy az oldal Drupal tartalomkezelore epul es azt idorol, idore nem frissitene, akor az oldalt nem tornek fol, azert mert az uzemelteto nem tud, nem akar es nem is erdekli ez a resze a szolgaltatas uzemeltetesenek?
Ez egy analogia es semmi koze a valosaghoz, mivel az oldal uzemeltetoje valoszinuleg a tole telheto legtobbet megtesz, hogy az oldal biztonsagos es hasznalhato legyen.
Mi programozok sokszor abba a tevedesbe esunk, hogy egy oldal uzemeltetese arrol szol, hogy a szerver es a kod helyesen mukodjon, de egy oldal uzemeltetese nem csak ennyibol all.
Amugy az adatvedelmi nyilatkozatot es szemelyes adatok vedelmet nem a GDPR talalta ki, hanem kiegesziti azt. Van ra szabaly, ha jol sejtem 1996-bol, csak edig nagyon kis szazaleka az uzemeltetoknek volt/van tisztaba vele. Valoszinu, hogy par ponton tullottek a celon a szigoritasokkal, foleg azzal, hogy a tul elvont fogalmazas melle nem keszitettek konkret ajanlast / ajanlasokat arrol, hogy software tervezes es fejlesztes szemszogbol mit is kellene tenni.
Peldaul hasonlokra gondolok: a szemelyes adatok tarolasat legalabb SHA256 szintu titkositassal tarolni, a kulcsot es a titkositas feloldasat pedig x, y, z modszerekkel vedeni. Ami mar egy mezei programozonak sokkal tobbet mond mint a jelenlegi megfogalmazas. Termeszetesen itt is figyelni kellene arra, hogy ne lojenek tul a celon, tehat csak mint ajanlas szerepeljen, igy nem korlatozva ujabb vagy meredeken mas technologiak letjogosultsagat/fejlodeset.
Peldaul hasonlokra gondolok: a szemelyes adatok tarolasat legalabb SHA256 szintu titkositassal tarolni, a kulcsot es a titkositas feloldasat pedig x, y, z modszerekkel vedeni.
Ti, "fejlesztok", megtanulhatnatok, hogy az sha256 az egy hash algoritmus, nem titkosit semmit...
--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...
Es megerkezett goromba sj ur is :)
Termeszetesen igazad van es elirtam, van e ra bocsanat, vagy sj mesternel ez nem fordulhat elo?
ha valaki figyelmeztet, hogy valamit elbasztal, akkor egybol goromba? Na de ha elirtad, javitsd hat ki...
--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...
Megyek es keszitek egy popcorn-t, kersz te is?
hat ez k gyenge volt. Miert nem irtad, hogy nem birod a kritikat? Legalabb megsporolhattad volna a szajtepest...
--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...
Az egy dolog, de remekül látszik, hogy az informatikus szakokon az a "mi szükség van erre?" egy féléves jog előadás mégsem hülyeség: titkosíthatod a személyes adatot amennyire csak akarod, de ez adatkezelési szempontból teljesen irreleváns. Ha létezik elvi mód az adat visszaállítására (lásd titkosítás vs hash vs deperszonalizáció) akkor az személyes adatként kezelendő.
Nem allitottam sehol, hogy a titkositas a szemelyes adatot szemelyteleniti (anonimizalja). A titkositas bizonyos szintu vedelmet ad ami adatszivargas eseten lenyegesen lecsokkentheti az okozott kart. Peldaul egy SQL injection-el ha sikerul is kinyerni az adatokat, a kulcs megszerzese nelkul hasznalhatatlan es ertektelen kacat marad.
"Peldaul hasonlokra gondolok: a szemelyes adatok tarolasat legalabb SHA256 szintu titkositassal tarolni, a kulcsot es a titkositas feloldasat pedig x, y, z modszerekkel vedeni."
Érdekelne, hogy ennek a gyakorlatban hogy kellene kinéznie anélkül, hogy a fejlesztést indokolatlanul komplexé tenné. Tegyük fel van egy online bolt. Semmi komplex, még online fizetés sem kell, kezeljünk csak termékeket felhasználókkal, szállítási címekkel. Utóbbi személyes adat. Én naívan berakom egy adatbázisba ugyanúgy, mint akármi mást. Az adatbázis szerver nyilván korlátozott jogosultsággal érhető el, de itt szó sincs semmiféle titkosításról. Esetleg el kellene kódolnom minden egyes rekordot, és úgy tárolni az adatbázisban? Innentől az adatbázis használhatósága erősen romlik.
Azt hallottuk már, hogy mi programozók buták vagyunk, azt még nem, hogy milyen épkézláb megoldások vannak, és hol az a határ, ami már megfelelne :)
Nem allitottam, hogy tudom a megoldast de keresem en is mind szerintem mindenki aki tisztaban van vele, hogy ha tetszik, ha nem a GDPR Majus 25-en ervenybe lep.
A GDPR a szemeley adatok tarolasara es kezelesere vonatkozik, tehat ebbol kikovetkeztetheto, hogy a szemelyes adatokat kell vedeni es nem az egesz adathalmazt.
En addig jutottam, hogy a legkezenfekvobb megoldas az, hogy a szemelyes adatokat titkositva tarolom le es azt amin keresni kell pszeudoannonimizalom valamien modon (pl. keresomotor ami nem tarolja "relativ" konnyen viszanyerheto/viszavezetheto modon a teljes adathalmazt (pl. sphinx, solr). Ennek szerintem elegendonek kellene lennie egy aranylag kis forgalmu oldal/szolgaltatas eseten (termeszetesen ez csak a technikai resze, a GDPR e mellet meg egy halom papirmukaval es szabalyozassal jar. le kell dokumentalni minden lepest ami a szemelyes adatokkal kapcsolatba hozhato. Ajanlott minden ponton elemezni a biztonsagi kockazatot).
Amit meg ezen kivul a GDPR ker az egy nyilvantartas a szemelyes adatokat erinto barmely muveletrol. Pl szemelyes adat tarolasa, frissitese, lehivasanak nyoma kell maradjon egy "log"-ban.
A tevedes elkerulese vegett megjegyzem, hogy nem rendelkezem se ugyvedi se semmilyen jogi kepzesem. Programozo vagyok es tobszor atnyalaztam a GDPR-t az elmult par hetben, 3 kulonbozo nyelven.
Szabadidomben a jelenleg elerheto "Zero-knowledge proof" technologiara epulo megoldasokat nyalazgatom, mert ugy gondolom az egy megoldas lehet a titkositott adaton torteno keresesre a titkositas feloldasanak igenye nelkul. Ha pedig foltetlen kell a kereses, akor azt a kockazati tenyezok figyelembe vetelevel es azzal aranyos vedelemmel kell kiepiteni.
A peldadra kiterve az attol fugg, hogy mennyire fontos es indokolt a szemelyes adatokon torteno kereses. Egy kis webshop eseten szerintem kozelit a nullahoz, tehat titkosithatod a nevet, cimeket, telefonszamot, stb.
"A peldadra kiterve az attol fugg, hogy mennyire fontos es indokolt a szemelyes adatokon torteno kereses. Egy kis webshop eseten szerintem kozelit a nullahoz, tehat titkosithatod a nevet, cimeket, telefonszamot, stb."
Akár azt is mondhatnám, hogy rossz a példa. De nem az. Mert mondjuk egy webshop raktáros felületének lehet szüksége van arra, hogy a megrendeléseket területek szerint csoportosítva kérdezze le.
" Programozo vagyok es tobszor atnyalaztam a GDPR-t az elmult par hetben, 3 kulonbozo nyelven."
Nekem őszintén nem jutott eszembe az alapos átnyálazás. Egyáltalán jó kérdés, hogy kinek a felelőssége ennek a betartatása? Nekem mint programozónak tisztába kell lennem minden jogszabállyal és aszerint elkészítenem az alkalmazást? Esetleg a megrendelőnek, vagy projekt menedzsernek kell ezeket tudnia, és a feladatkiírásban szerepeltetni?
A rosz hir az, hogy mindenkinek aki a szemlyes adatokkal kapcsolatba kerul/kerulhet
De én nem kerülök, én csak a kódot írom egy specifikáció szerint. Mit tehetek, ha adnak egy adatbázis sémát, vagy egy apit, hogy használjam ezt?
Mi a garancia arra, hogy nem?
Amig csak specifikacio alapjan irod a kodot, nem helyezed uzembe, nem fersz hozza a szemelyes adatokhoz elmeletileg nem vonhatnak felelossegre. De akor sem art tisztaban lenni a GDPR-ben foglaltakkal, mivel hogyan tudnad eldonteni, hogy a rendszer amin fejlesztel nem e tartalmaz olyan adatokat amik a GDPR ala tartoznak.
Simal elofordulhat, hogy megkapod a hozzaferest egy API-hoz ami szemelyes adatokat tartalmaz es akor mar meg is van a gond, ha te nem jelzed surgosen, hogy mar bizony ezeket az adatokat neked nem szabadott volna megkapni es potencialis "data breache" esete forog font. Ha nem vagy ennek tudataba es fejlesztes kozben, akarva vagy akatod ellenere, szemelyes adatokat kersz le, irsz folul, modositasz, torolsz, netalan meg egy veletnel fojtan kimegy 1-2 email valos cimre, meg is van a nagy baj, mivel azt mar te kuldted a felhasznalok beleegyezeset nelkul. Tehat a megbizo mellett te is benne vagy a slamasztikaban. O mert szemelyes adatokat szivarogtatott, te meg illetektelenul szerzett "szemelyes adatokkal eltel visza". Termeszetesen siman elofordulhat, hogy meguszod problema nelkul, de elofordulhat, hogy meghordoznak amig tisztazod magad.
Amugy ha arra adod a fejed, hogy atolvasod a GDPR-t es nem a vilag egyik legnyugodtab emberei koze szamitasz szerintem erdemes ezt egy olcso eszkozon tenni. Nagyon sokat haborogtam es a space billentyut sikerult 3 darabba tornom az elso nap.
> Mi a garancia arra, hogy nem?
Őszintén? Nem tudom. Baromira nem tudom, hogy hogy működik ez, utána kell és fogok nézni amint lesz rá értelmesen időm. Addig csak tapogatózok. Mindenesetre ez nekem úgy tűnik, hogy sok esetben komoly átalakítást és fejlesztéseket vonna maga után ahhoz képest, hogy van egy szem adatbázis, meg egy szem oldal, ami használja azt, és elgondolkodtató, hogy ha ezt esetleg a vezetőség nem akarná finanszírozni, akkor nekem mint megbízottnak hol van beleszólásom, jogos elvárásom, akármim velük szemben.
A vezetosegnek sincs mas valasztasa, sot, foleg nekik nincs mivel tobb iranybol be van ez biztositva a GDPR-ben. Foleg a vezetosegnek van sok vesztenivaloja, mivel ha jol ertelmeztem a birsagot az cegre rojak ki. A ceg persze indithat utolag polgari pert ha bizonyitani tudja, hogy a te baklovesed okozta a problemat, de ahoz, hogy ezt bizonyitani tudjak elob bizonyitaniuk kell, hogy betartottak es betartjak a GDPR-ben eloirtakat ami ha igy lenne akor eleve nem kerulne sor a birsagolasra, szolva infinit loop
Az en ertelmezesem szerint a hosting szolgaltato is GDPR koteles ezert az is elofordulhat, hogy nagyon sok tarhelyszolgaltato nem fog szerzodest kotni vagy a meglevot kenytelen lesz folmondani, ha a nem tartod be a GPDR-ben eloirtakat es ugyanez forditva is igaz.
"A vezetosegnek sincs mas valasztasa"
Ó dehogy nincs. Főleg kis startupnál, nem is tájékozódnak, elhessegetik a dolgot, mondván hogy nem fontos, ugyan ki ellenőrizne, a cég amúgy is félig meddig szürke területen mozog a minimálbérrel fizetett programozókkal, és a plaintext jelszavakkal, amit persze ha jelzel csak kiröhögnek.
Az elso foljelentesnel meg kopogtat az "audit" es lakat, a birsagot meg a ceg tulajdonos/vezeto vagy fene tudja ki kell allja, de szinte biztos, hogy nem a programozo (hacsak nem o a tulaj is egyben)
Igen, abban biztos vagyok, hogy az ilyen arcok egyszerűen nem mérlegelik a kockázatot, és a vak szerencse miatt (értsd: "eddig is ment így, minek most izélni" hozzáállás miatt) leszarom módban folytatják tovább.
Persze ilyeneknek egyáltalán nem éri meg dolgozni. Kérdés, hogy a következő hely miben lesz jobb. És hányszor váltasz munkát elvi kérdések miatt, amikor úgy döntesz, hogy kell a pénz, és leprogramozod inkább a feladatot ahogy specifikálják.
Szerintem ez pont az a pelda, ami megerositi a GDPR letjogosultsagat. Azon egyen akit annyira nem erdekli a szemelyes adatok biztonsaga, de begyujtene azokat az eleve bele se vagjon. Azt meg nem hiszem el, hogy egy programozo keptelen lenne "normalis" ceghez szerzodni.
Lehet egy ideig nem fogja oket erdekelni, de amint folbukkannak a mediaban a hirek 10 millios birsagokrol valoszinuleg elgondolkodnak majd rajta.
Nem tudom hogyan all ehez a biztosito piac, de remelem hamarosan elo fognak allni kimondottan programozokra szabott csomagokkal.
Ehhez először azt kéne tudni például, hogy melyik személyhez tartozik például fejesjoco nevű account.
Mert ha idejön Orbán Viktor, hogy márpedig fejesjoco az az ő accountja, és az ő személyes adatai, tessék törölni, akkor mit mondasz? Hogy nem is az övé, hanem Soros Györgyé?
hmm
Huh, bazmeg. A Soros már a HUP tagságán belül van?
Épp most olvasom, hogy bele akar kókklerkedni a Brexit-be is:
https://www.portfolio.hu/gazdasag/megfurna-a-brexitet-soros.276041.html…
Durva!
--
trey @ gépház
Azért csinálja, hogy ártson. A britek kiszállásával az EU (benne mi) megszabadulna egy rakás pakisztáni migránstól, akik a celldömölki keresztyén integritást veszélyeztetik present perfect continuousban. Ezt a fellélegzést nem akarja Soros; az aknamunkához regisztrálta a fejesjoco nicket.
10q
------------------------
{0} ok boto
boto ?
szétadlak :)))
Engem gyíkká változtatott!
Külföldön keresem a pénzem, akkor most már haza se mehetek, mert külföldről pénzelt migráns lennék? 'sztakurva, milyen témák mennek itt :D
"Külföldön keresem a pénzem"
Most már aztán tényleg lebuktattad magad, Soros György!
Nem zörög a haraszt, ha nem fújja a paraszt!
--
trey @ gépház
rosszul írtad.. a vége "ha nem fújja a Soros" <- ez lenne a megfelelő ide :D
Ja, az öregember szereti mindenbe beleütni az orrát. :/
--
trey @ gépház
Hááát... még több személyes adat tárolásával lehetőség nyílik a beazonosításra, hogy törölni lehessen azt az egy személyes adatot, ami jelenleg tárolva van.
Első körben egy privacy notice azért nem ártana...
Üdv,
Marci
Szerintem májusra meglesz.
--
trey @ gépház
Pedig annak volt egy fűszeres mellékíze, amikor különféle cégek adatkezelési irányelveit épp itt kritizálták... ;)
Üdv,
Marci
Valóban összehasonlítható minden tekintetben a HUP a különféle cégekkel, a különféle cégek súlyával. Egyszer ezen már végigmentünk, ideidéztem az ombudsman idevágó állásfoglalását ezzel kapcsolatban, de akkor érdekes módon elhalt ez a szál a kritizálók részéről.
A topikkal kapcsolatban pedig májusig semmilyen teendő nincs.
--
trey @ gépház
Nem emlékszem, hogy összehasonlítottam volna.
Üdv,
Marci
Én megtettem helyetted. ;)
--
trey @ gépház
btw ez a GDPR akkora kibaszás mindenkivel szemben .. értem én hogy átláhtatóság, meg adatvédelem, meg miegymás.... De ez a GDPR jelenleg olyan mint a Microsoft EULA* értelmezése.
Ahhoz is kell 3 jogász + egy microsoft ember + még 3 ember aki tudja miről van szó...
Ezt egy kis cég nem fogja tudni teljesíteni saját maga... már ha egyről beszélünk... :/
+1
microsoft ember ehhez minek?
Értem én, hogy ők el tudnák magyarázni, hogy ők mit akartak a licenccel.
De valószínűleg a Sun se pont olyan dolgokat akart a Java licenccel, amire az Oracle végül felhasználta, amikor hozzá átkerült az IP.
És még utána is sok minden múlik azon, hogy hanyadik kört futod a bírósággal, és épp melyik bírónak milyen hangulata van, meg mennyire van kedve világszinten beleszarni a ventillátorba.
Hogy nekem nem megy a figyelmes olvasás, azt már megszoktam.
Neked miért? Vagy a hasonlatoknál hiányoztál magyar óráról?
A MS EULA értelmezésére írta krix az ú.n. költői túlzás eszközét és egy szépséges hasonlatot alkalmazva, hogy az értelmezéséhez kell legalább három mikroszoftos ember is :)
Ui: megérne egy posztot, hogy ki, miért nem figyel oda, miért nem olvassa el azt, amire válaszol, ha egyébként megérti...
Nade erről beszélek, hogy mit nem kéne / mit látsz/láttok rosszul:
- Ez pont olyan, hogy látok egy MS eulá-t, akkor kapásból feltételezem, hogy annak a helyes értelmezése az, amit az MS ügyvédei szerinti értelmezése
- Ha elmegyek szavazni, akkor arra húzom be az X-et, aki már itt van egy ideje, mert ő már biztos eleget lopott, és akkor most már lehet, hogy csinálni is fog valamit. (Épp Puzsér-t nézek a másik tab-on :D)
- S.í.t.
Erre reflektáltam: NEM!
Már ezért sz..r a hasonlat eleve.
Attól, még hogy a MS (bár, ők már lassan nem, lásd másik hír, másik szálában a hozzászólást, miszerint az ms ügyvédei sóhajtoznak, látván a másik csürhe pofáján a vastag bőrt, hogy akár ott is dolgozhatnának...) ügyvédei szeretnék azt hinni, hogy a világ arra mozog, amerre ők mozdítják, ez maximum a hibaüzeneteiken besírő emberek hangulatán keresztül érvényesül.
De attól ők még nem lesznek hatóság/ bíróság/ whatever!
A GDPR esetén viszont, inkább a magyar adótörvényekhez hasonlítható: Valamit szeretne a törvényalkotó. Sikerül valami baromságra összehozni a megfogalmazást, majd a végrehajtáshoz aztán kiadnak 1-2-x értelmezést mellé, hogy hogy is kell érteni. De a "forrás" ugyanaz.
-> Ezért sántít rohadtul az MS-es hasonlat! Ott bármennyire is szeretnék, ez a két entitás különböző, még a gdpr/adótörvények esetén a jogalkotó és a helyes értelmezést megfogalmazó fél ugyanaz a forrás.
"nem kell félni nem fog fájni"
"A magyar adatvédelmi jogszabály, az Infotörvény. eddig is a legszigorúbbak közé tartozott az Európai Unióban." :))
http://webjog.blog.hu/2017/05/03/ne_feljunk_a_gdpr-tol_5_tevhit_az_eu_u…
:)))
na és Prebake compilant-e?
~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack
subs
+
Ha egy listát kell vezetni egy forumról vagy weboldalról vagy egy klubból kitiltottakról és a kitiltott kéri hogy töröljék az adatait, akkor mi alapján fogják tudni hogy Ő ki van tiltva? :)
Példának okáért ott van a Parlamenttől kitiltott képviselő. Ha ő május 25 után kéri az adatai törlését akkor utána be fog tudni menni?
--
ESET és Synology hivatalos viszonteladó
elvileg azt mondjak hogy a "if hash($email) in $tiltolista then deny" mar megfelelo
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Elég a GDPR megfelelésnek ha biztonsági szempontból megfelelő a szolgáltatás (friss szoftverek + megfelelő szintű adatmentés) + ledokumentálom az adatkezelés technikai folyamatát (arra az esetre ha ellenőrzik) + az ÁSZF-ben nyilatkozok arról hogy ki kezeli hogyan és milyen adatát a felhasználónak és milyen módon kérheti a törlését? És meg is tudom valósítani a törlést?
kösz.
Nem
Miért is?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
Mert arra a kérdésre is jó válasz kell, hogy mely adatot miért, meddíg, és hány példányban kezeled.
És ez nem fért volna bele az előző válaszba?
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "
Eldöntendő volt a kérdés :)