Fórumok
Van egy excel adatbázis, amiben 3 oszlopban, a következő "azonosítók" vannak:
A - sorszám
B - ügyfél neve
C - dátum
A kérdésem az, ha az embereknek a neve szerepel egy ilyen adatbázisban, ám semmilyen egyéb nem, akkor ez GDPR köteles-e?
Hozzászólások
Rossz a kérdés amit feltettél.
Indulj el a kályhától és nézd meg, hogy milyen adatokat, milyen célból és milyen felhatalmazás alapján kezelsz.
Azokat az adatokat kezelem csak, amik szerepelnek a kérdésben is.
Alapvetően az, hogy Kovács József, még önmagában nem alkalmas egy személy konkrét beazonosítására. Ettől függetlenül személyes adatnak minősül a név is. Ezért nem értem, hogy most akkor ezzel mi a helyzet?
"Mert értek a kutyákhoz."
Azért nem érted, mert a kérdés lényegi részére nem válaszoltál: "milyen célból és milyen felhatalmazás alapján"
Az a kérdés, hogy kell-e ezekhez ebben a formában felhatalmazás egyáltalán?
"Mert értek a kutyákhoz."
Kb két lehetőséged van:
- Elolvasod a rendelet teljes szövegét és megérted a szellemiségét. Ezután lehet olvasgatni különféle szakértők, állami szervezetek értelmezéseit.
- Fizetsz valakit aki helyetted végig gondolja a folyamatokat és dokumentál.
Kell. Hogy miért, azt csak akkor lehet megmondani, ha ismert az adatkezelés célja és az adatok forrása (vagyis milyen felhatalmazás útján kezeled az adatokat).
A példa kedvéért: van egy 1-es sorszámú kártya, amin nem szerepel név, csak a sorszám. Van egy adatbázis, ami megvan a helyi péknél is és nálam is, amiben csak a név szerepel és a sorszám, ami arra jogosítja fel a kártya tulajdonosát, hogy minden hónapban egy darab kenyeret ingyen vehet át a péktől. A jogosultságát azzal igazolja a kártyatulajdonos, hogy bemutatja a személyi igazolványát, amiben már azonosítható a neve. A kártyatulajdonos hozzájárul egyébként ahhoz, hogy szerepeljen csak a neve az adatbázisban.
Ezek fényében mi a helyzet?
"Mert értek a kutyákhoz."
Szóval nem elég, hogy te kezelsz személyes adatokat, még a pék is, aki ráadásul még személyit is kér.
A GDPR fogalommeghatározása: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható
Én pl. elég könnyedén beazonosítható vagyok a nevem alapján, a Google minden találata a nevemre konkrétan rám vonatkozik.
Ez egy hülye példa, ugyanis miért kéne az ingyen kenyérre jogosító kártya (amely az ingyen kenyérre való jogosultságot bizonyítja) mellé személyi igazolvány?
Hiszen pont ez az ingyen kenyérre jogosító kártya lényege, hogy egy, a személyi igazolványtól meg mástól független azonosító.
Miért kéne a személyit elkérni? A jogosultságát azzal igazolja a kártyatulajdonos, hogy bemutatja a kártyát.
A te értő olvasásoddal van baj, nem a példával. A kártya egy jogosultság, amivel idegen is át tudja venni a havi 1 db kenyeret, miközben csak annak jár, akinek a nevére szól. Ám mindez nem része a GDPR problémának, jobb lenne arra koncentrálnál.
"Mert értek a kutyákhoz."
De, része a problémának.
Ha embernek szól a jogosultság, minek a kártya? Felírod az emberkék személyi azonosítóját, kezeled, vonatkozik rá a GDPR és ennek megfelelően kell eljárnod.
Ha a kártyának szól a jogosultság, kiosztod a kártyákat, nem tudod, melyik kié, nem is törődsz vele, és nem kell GDPR-ral foglalkoznod, mert nem kezelsz személyes adatot.
Nem kezeli senki sem a személyi igazolvány adatait, csak megtekinti és kész az azonosítás. És még mindig nem írok fel mást, csak a nevet, semmi mást.
"Mert értek a kutyákhoz."
A név személyes adat, nem írhatod csak úgy fel, a GDPR hatálya alá tartozik.
Nem is értem, hogy juthat valaki eszébe csak úgy elkérni és gyűjteni emberek személyes adatait pláne nem a személyit elkérni, még ha csak megtekíntésre is, mindenféle szabályozás nélkül.
Rajtam kivul csak egy embert hivank ugy az orszagban, ahogy engem, o pedig az apam. A vezeteknevem olyan ritka, hogy aki azt viseli szegrol-vegrol tuti a rokonom. Nem mindenkinek van Kovacs Jozsef jellegu neve.
Amugy meg a kontextus is sokat szamit. Ha pl valami kistersegi nemibeteg gondozohoz adsz ki sorszamokat, akkor egy behatarolhato teruletrol beszelunk, ahol lehet, hogy nem is lakik olyan sok Kovacs Jozsef.
https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-per…
Ezt olvasgattam.
"Mert értek a kutyákhoz."
Próbáld megérteni is.
--
https://iotguru.cloud
Azt kérdezném tőled, hogy mit akarsz csinálni, ezzel az excel táblával: Miért készíted töltöd fel adatokkal. Ha erre válaszolsz, akkor talán közelebb kerülünk a kérdéshez.
A példa kedvéért: van egy 1-es sorszámú kártya, amin nem szerepel név, csak a sorszám. Van egy adatbázis, ami megvan a helyi péknél is és nálam is, amiben csak a név szerepel és a sorszám, ami arra jogosítja fel a kártya tulajdonosát, hogy minden hónapban egy darab kenyeret ingyen vehet át a péktől. A jogosultságát azzal igazolja a kártyatulajdonos, hogy bemutatja a személyi igazolványát, amiben már azonosítható a neve. A kártyatulajdonos hozzájárul egyébként ahhoz, hogy szerepeljen csak a neve az adatbázisban.
Ezek fényében mi a helyzet?
"Mert értek a kutyákhoz."
..legyen olyan egyedi a sorszám, ami feleslegessé teszi a személyi bemutatását pl.
--
God bless you, Captain Hindsight..
Ez alapján már azonosítható a személy, így a GDPR hatálya alá tartozik.
Ez alapján egyértelműen a személy önmagát azonosítja be, nélküle nem azonosítható be.
"Mert értek a kutyákhoz."
... tárold titkosítva, aztán mondd azt, hogy nincs ilyened :D
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
"tárold titkosítva, aztán mondd azt, hogy nincs ilyened :D"
Járható lenne az út, ám akkor a péknek is titkosítania kellene, és amikor ellenőrzésre kerül a sor, győzze visszafejteni :-)
"Mert értek a kutyákhoz."
... 2 másodperccel tovább tart betölteni az xls-t :D
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
Viccnek jo, de mielott valaki komolyan venne, a titkositas jogilag nem valtoztat azon a tenyen, hogy szemelyes adatot kezelsz.
A személyes adat kezelése ez esetben evidens, de egy titkosított fájlról egyik bölcs jogász sem tudja megállapítani még azt se, hogy az xls lenne. ... tehát a "személyi adatok" (nevek) tételes tárolása nem bizonyítható.
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
Mar leszamitva azt, hogy a pelda szerinti peknek valahogy megiscsak bele kell olvasni az Excel-tablaba.
A GDPR az adatkezelés folyamatát nézi, interakcióban a személyes adat gazdájával. Mindegy, hogy ezt milyen módon teszed, nem az számít, hogy egy jogász érti-e a titkosított fájlodat, hanem az, hogy amikor _elkéred_ és amikor _használod_ a személyes adatot, akkor egyáltalán elkérheted-e és használhatod-e. Az, hogy konkrétan milyen módon tárolod, az irreleváns.
--
https://iotguru.cloud
Miért van nálad ilyen adat? Azaz mi az adatkezelés célja?
Erre nem válaszoltál még.
Azért van nálam ilyen adat, mert nyilvántartom azokat, akik önként megadták az adataikat, hogy tudjam, ki vette igénybe a havi egy darab kenyér szolgáltatást.
"Mert értek a kutyákhoz."
Akkor vonatkozik rád a GDPR. Nem kezelhetsz személyes adatot csak úgy. Akkor sem, ha önként adják meg - bár eleve ilyen nincs.
Minden esetben, amikor elkéred az adatokat, tájékoztatnod kell, hogy milyen célból kéred el, és hogyan fogod tárolni, feldolgozni, valamint meg kell mutatnod, és a felhasználó jóváhagyását kell kérned az adatvédelmi szabályzathoz, amelynek GDPR kompatibilisnek kell lennie.
Akkor van könnyebb dolgod, ha:
1. Nem kezelsz személyes adatot
2. Azért kezelsz személyes adatot, mert törvény kötelez rá (pl. bankok, hatóságok).
Minden egyéb esetben bizony a GDPR úgy vonatkozik rád, mint bárki másra.
"Azért kezelsz személyes adatot, mert törvény kötelez rá."
Ekkor is vonatkozik rád a GDPR. ;)
Sehol nem állítottam, hogy nem. Csak épp nem úgy, mint bárki másra.
Azt írtam, ekkor könnyebb dolga van.
A név személyes adat, ennyi. Lehet, hogy nem lehet belőle egyértelműen kideríteni, hogy kiről van szó, de ez mindegy. Adott esetben éppenséggel ki lehet deríteni. Ha pl. valaki ellopja az adatbázisod, aztán az utca túloldaláról nézi, hogy kik járnak feléd, máris össze lehet kapcsolni a nálad tárolt adatot a konkrét személlyel. Gondolj bele, ha nem így lenne, nagyon sokan mondhatnák, hogy rájuk nem érvényes a GDPR, mert pl. a Google azt mondhatná, hogy náluk ugyan megvan az ember neve, de a TAJ számát nem kérik be, ezért pl. a náluk létező Nagy István a világ 261 Nagy Istvánja közül bárki lehet. Tehát van GDPR, felelős vagy a biztonságos tárolásért, kell lennie adatkezelési policynek, törölnöd kell az adatokat ha arra kérnek, stb.
Köszönöm, egyre inkább úgy néz ki, hogy maga a név is személyes adatnak minősül és innentől már mindegy mit ad meg mellé az alany.
"Mert értek a kutyákhoz."
Kb. nem, és ha itt nem írsz részleteket, tényleg keress egy jogászt. Maradva a fenti példádnál (pék és ingyenkenyér) a "mindegy mit ad meg mellé az alany"-ba gondolom beleérted, hogy _milyen_ ingyen kenyeret vitt. Amiből mondjuk kiderül, hogy Kovács Béla gluténérzékeny, Kiss Pista laktózérzékeny stb. (merthogy direkt a gluténmentes és laktózmentes kenyeret viszik), ami egészségügyi adat, úgyhogy már a különleges személyes adat kategóriában jársz, amire megint más szabályok vonatkoznak (ott jogalap csak a hozzájárulás lehet, komolyabb követelmény az adatminimalizálás elvének követése, ha megtörnek, nehezebben mondod, hogy arányos védelmet csináltál stb.)
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
> Kb. nem, és ha itt nem írsz részleteket, tényleg keress egy jogászt.
Akkor is, ha ir reszleteket. Tele van a thread mindenfele kommenttel, dobalozik mindenki a GDPR-ral, Infotv. szoba sem kerult, stb. Ez igy ertekelhetetlen. Le kell ulni egy jogasszal par orat beszelgetni, es kesz. Vagy elolvasni azt nehany jogszabalyt ami a temaba vag, ez idoben joval tobb, penzben meg joval kevesebb.
"egyre inkább úgy néz ki, hogy maga a név is személyes adatnak minősül"
Nem úgy néz ki, konkrétan meg van nevezve, hogy az.
https://hup.hu/node/166219?comments_per_page=9999#comment-2397254
btw, az még nem derült ki, legalábbis számomra, hogy ez egy "belső" "adatbázis" azaz excel ? Vagy mi a szösz ?
Mert jön itt mindenki a pékekkel meg a kenyerekkel ...
Nekem kb. egy kártyás beléptető rendszer jutott eszembe elsőnek.
Az is GDPR alá eső történet lenne ?
> Mert jön itt mindenki a pékekkel meg a kenyerekkel ...
+1
> GDPR kell-e
> GDPR kompatibilis
> van GDPR
> Az is GDPR ?
Imho itt erdemes elengedni a threadet, ettol nem lesz okosabb a kerdezo. Infotv-t olvassa el, kezdetnek jo lesz. Kicsit tul van lihegve a GDPR. A nev meg persze hogy szemelyes adat.
köszi +1
Nem rendszer, hanem (jogi vagy természetes) személy az, ami adatot kezel, és nem szoftverrendszerekre, hanem (jogi vagy természetes) személyekre vonatkozik a GDPR, akkor is, ha papíron, akkor is, ha digitálisan tárolnak személyes adatot.
Az a beléptető rendszer nyilván valakié. Mondjuk egy cégé. Ha egy cég személyes adatokat tárol rólad, mert belépőkártyát ad neked, akkor GDPR nyilatkoztatot kell aláírnod, amelyben benne van, hogy megismerted az adatkezelési szabályzatukat, stb.
Értem, de fentebb írta pont Gelei , hogy InfoTV*.
GDPR-t mostanság mindenre ráhúzzák, holott lehet nem is az.
Beléptető rendszer esetében pl. arra gondolok hogy te megvettél egy komplett rendszert. Kapustól, "üres kártyástól", szoftverestől. És te egy cég vagy, aki a dolgozókat így engedi be az irodaházba, hogy itt kell ez + az + amaz. Itt ehhez meg ehhez kell hogy legyen beléptetőkártyád. Tehát a cég a saját dolgozóinak adja ki a kártyákat és saját üzemeltetésben végzi el a beléptető rendszer szoftveres adatbázis frissítését is. na most. Akkor ez szerintem nem GDPR.
Ne húzzuk rá ezt mindenre. Mert akkor ennyi erővel a munkaszerződésed is GDPR alá esik, ott meg aztán jóval több személyes adatod van :) Azt is tárolják elektronikusan... könyvelő, stb.
Csak ezért írtam, hogy picit túlGDPRizálva van ez az egész :)
De még mindig nem ismerjük a kérdező által üzemeltetett környezetet.
"Mert akkor ennyi erővel a munkaszerződésed is GDPR alá esik"
Ez így is van, az alá esik - a munkaszerződésedet mint adathalmazt GDPR-kompatibilis adatkezelési folyamatban kell kezelni.
Amikor belépsz a céghez, akkor bizony alá is kell írnod azt, hogy ismered és elfogadod a cég adatkezelési szabályzatát.
Lásd: https://jogaszvilag.hu/cegvilag/a-gdpr-kompatibilis-munkaltato/
Nincs ez túl-GDPR-izálva, csak meg kell érteni, hogy a GDRP az nem adatkezelő szoftverekre vonatkozik, meg adatokra önmagukban, hanem arra a folyamatra, hogy ha egy jogi vagy természetes személy személyes adatot kezel, azt hogyan kell tennie. Tök mindegy, hogy azt az adatot papíron, szoftveresen vagy hogyan kezeli.
Köszönöm, ez nagy segítség, itt érthetően le van minden írva.
"Mert értek a kutyákhoz."
"De még mindig nem ismerjük a kérdező által üzemeltetett környezetet."
Digitálisan is tárolom az adatokat és a pék is megkapja excel formátumban. Ez a példa nagyon közel áll a valósághoz.
"Mert értek a kutyákhoz."
Nem akarom bonyolítani jobban a dolgot, csak megjegyzem, hogy itt nekem nagyon úgy tűnik, hogy a Pék és közted közös adatkezelés van, vagy a Pék adatfeldolgozód. Akkor köztetek is kell lennie egy szerződésnek adatkezelési szempontból.
Ha van még kérdésed keress meg nyugodtan
Mondjuk, ehhez a "havi egy ingyen kenyér akcióhoz" nem kell személyes adat. Adsz a vásárlónak egy papírt, amin van egy KÓDSZÁM, és a hónapok mellett egy JELÖLŐNÉGYZET.
A vásárló bemegy a pékhez, a pék megnézi egy szövegfájlból, hogy volt-e ebben a hónapban használva a kártya (KÓDSZÁM-ot keres), ha nem volt, beixeli a JELÖLŐNÉGYZETET az adott hóra, és beírja a KÓDSZÁMot a havi szövegfájlba. ... és ad egy kenyeret.
-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
Köszönöm, alapgondolatnak jó, elgondolkodok egy hasonlón.
"https://hunvagyok.hu "