GDPR compliance as a service

 ( trey | 2018. május 4., péntek - 8:38 )

Save thousands on GDPR compliance

Simply paste our JavaScript snippet into your website's code. We'll check every visitor of your site and will block access to users located within the EU.

AHAHAHAHAHAH :D

Nem értem, minek fizetünk egy valag pénzt mindenféle ügyvédeknek erre.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Abszolút logikus megoldása a dolognak. Mi is valószinüleg a kisebb ellenállás irányába megyünk, az ügyfelek többsége cég. A van pár magánszemély, nekik megköszönjük az eddigi bizalmat, és elbúcsúzunk tőlük. Kiszámoltuk, hogy még mindig olcsóbb úgy, ha az ezekből származó bevételtől elesünk, mintha belemennénk ebbe a GDPR játékba. A magánszemélyekből származó bevételek alapján olyan 2-300év alatt meg is térülne...

Tároljátok pl. valahol a cégek kapcsolattartóinak mobil számát?

Persze. De ezek céges előfizetések/flották, tehát Gipsz Jakabnak ilyen szempontból baromira semmi köze hozzá.

Hiszed...
A NAIH állásfoglalása szerint mivel általad nem tudható, hogy folytat-e magán beszélgetést is az adott telefonszámon az illető, ezért a cégesnek vélt telefonszám is magánjellegű adatnak minősül, ha tárolod, akkor vonatkozik rá a jogszabály.

Be kell írni disclaimerbe, hogy ide csak business telefont szabad megadni, checkbox-szal kell jelölni az adatkezelés elfogadását, és mosod kezeid. Szerintem elég könnyű vonalat húzni céges és magán adatok között. A rájuk vonatkozó törvények is egészen mások (nem csak GDPR szempontjából).

Ez majdnem olyan, mintha én megadnám egy regisztrációnál hogy Zsírkréta utca 194 a cégem címe, és a második emeleten lakó Brünhilda néni bemószerol a hatóságnál, hogy az ő magáncíme mit keres az adatbázisban. Kontextustól függ, hogy az adat PII vagy nem, és nem csak az adatot gyűjtő, hanem az adatot szolgáltató entitás felelőssége is a megfelelő kontextus.

Mi az, hogy business telefon? A központi számra gondolsz? Mert ha valakihez közvetlen számod van, ami alapvetően ő használatában van, az személyes adat.

ne már

De bizony az, tessék a személyes adat definícióját elolvasni az EU-s szabályzatban.

Egy cég címét, telefonszámát, bankszámlaszámát, cégautók rendszámát, stb. nem lehet személyhez kötni, ezért nem PII. Attól, hogy a cég címén emberek dolgoznak, a telefont egy ember veszi fel, a cégautót egy ember vezeti, stb., az akkor is céges adat. Mi dolgozunk cégekkel és magánszemélyekkel is, és az ügyvédek szerint ez így stimmel. Habár ez nem Magyarország, de a GDPR nem is magyar találmány, ugyanúgy vonatkozik mindenkire. (Persze a NAIH lehet szigorúbb...)

Ha a központi számot hívod, ott „valaki” veszi fel, nem személyes adat. Ha közvetlenül a „célszemély” számát hívod, az személyes adat, akkor is, ha az előfizetés a cég nevén van. Nem azért, mert a telefontársaság hozzá tudja rendelni, hanem azért, mert te.

ÉS ha a telefonszám feladatkörhöz van kötve? Sales telefonszám, pénzügy telefonszám stb? Ez esetben mindegy, hogy mindig a Marika veszi fel, nem?

Tételezzük fel, hogy Marika a pénzügy asszisztense, ezért mindig ő veszi fel a telefont, így nem személyes adat.
Ha viszont Marika a pénzügyes, úgy személyes adat lesz, ha Marika néven tárolod, de nem, ha úgy, hogy „pénzügyes”. (Bár, utóbbi esetben is az, ha úgy jutsz a számhoz, hogy a cég weboldalán a kapcsolatok között úgy szerepel, hogy „Marika, pénzügyes: 06-…”.)

(Hogy szakadna rá az ég arra, aki ezt az egészet kitalálta.)

Komoly helyen miért tárolnék céges kontakt adatbázisban Marikát? Maximum a saját telefonkönyvemben, ha kifejezetten ismerem az illetőt. A mikrovállalkozásokat ez valóban érintheti, de ezeken a helyeken egyébként sem jelent nagy terhet a GDPR (pl. mert nem tipikusan az egyszeri pénzügyes Marika fog az adatainak a törlésével élni, és mert ahol nincs rendes adatbázis, ott úgyis könnyű a manuális törlés). Komoly helyeken, megfelelő adatvédelmi nyilatkozattal+szerződéssel+rendszerekkel+ügyvédekkel megtámogatott helyen meg nincs olyan, hogy "jaj ide lehet hogy Marika a saját telefonszámát adta meg". Ha ő azt írta be a CÉGNÉV mezőbe, hogy Marika, akkor így járt, én nem fogom az adóhatóság nyilvántartásával összevetni, nincs is rá jogom. Ellenkezőleg, adózási okokból kötelességem megtartani, mint céges szerződéses adatot.

„Maximum a saját telefonkönyvemben, ha kifejezetten ismerem az illetőt.”
Itt a bibi. Ugyanis lényegtelen, ha cég-cég viszonylat miatt tárolod. Nem elég, hogy személy szerint csak te tárolod így a cégnél, mert felmentést csak az ad, ha „természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik”.

Hmm... Ezek szerint nem menthetem el - mint magánszemély - mások telefonszámát?
Csak a face-n meg a google-n lévő címjegyzéket szabad használni (mert az biztosan GDPR compliant)?

szerk: bocsi, a végén látom hogy mint természetes személy tárolhatom.
DE! Mi van akkor ha, mint természetes személy, csinálok egy weboldalt, ahol lehet regisztrálni, meg fut mögötte egy szerver, stb. Ekkor vonatkozik rám a GDPR?

„természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik”
Ha erre rá tudod húzni, nem.

Képzelj el egy weboldalt, ahol cégek tudnak regisztrálni, és ez kifejezetten le van írva az adatvédelmi nyilatkozatban. Cég adószáma, cég címe, cég telefonszáma mezők vannak a formon, stb. És ez után valaki odamegy és beírja a saját telefonszámát. Én nem ismerem se az embert, aki regisztrált, se a céget, mert ez egy automata rendszer. Ekkor nekem mi alapján kéne egyáltalán feltételezni, hogy PII van nálam? "Papírom" van róla, hogy nem az, és nem tudom személyhez kötni. (Aztán a céget pl. egy adóhatóság tudja emberhez kötni, vagy a telefontársaság, de ez nem rám tartozik.) És mivel az emberke céges telefonszámnak adta meg ezt, ezért nincs joga törlést kérni, mert nekem adózási és egyéb cégekre (nem személyekre) vonatkozó törvények miatt meg kell őriznem sok-sok évig. Persze mindennel lehet kötekedni, szeretném meglátni az első ilyen per lefolyását...

Muszáj vagy egy embert is kötni az egészhez, mert nem cég, hanem ember köt a cég nevében szerződést. Szóval talán nem gond, ha garantálod, hogy csak társas cég regisztrálhat, egyéni vállalkozó, egyéni cég nem.

Az egyik témához nagyon értő előadó a következő problémakört vetette fel, amikor hasonló érveléssel kérdezett egy hallgató:
- kapunk egy e-mailt X.Y embertől, aki beleírja a telefonszámát, amin elérhető a levél aláírásába
- válaszolunk neki, hogy sorry, mi csak cégekkel kötünk üzletet.

Ekkor már megvalósul az adatkezelés. És ami a nagyon durva, hogy -szerinte-, ha az e-mail-t mondjuk egy webkávézó gépéről küldték, és ennek a gépnek az ip címe szerepel nálatok a levelező szerver logjában, akkor ez az ip cím is arra a 15 percre, amíg megírta a levelet személyes adatává vált, és ezért a levelező szerver logjára is ugyanúgy ki kell terjedni a szabályzatnak, az egy év utáni megsemmisítésnek, stb. stb. Még akkor is, ha semmilyen gyakorlat nincs nálatok arra, hogy a levelező logjait elemezzétek, pusztán csak íródnak a logok...

Ezek és hasonlóak miatt mondom, hogy mindenkit érint, és szerintem senki sem tud megfelelni neki... Túl elméleti, túl elvont, gyakorlati oldalról megvalósíthatatlan elvárások vannak.

Ezt azért nem lehet ennyiben elintézni.

Először is, attól, hogy egy emailben megjelenik valaki neve, nem feltétlenül vonatkozik rá a GDPR (pl. https://thenextweb.com/eu/2018/05/03/no-gdpr-wont-let-you-read-your-bosss-emails-about-you/).

Kettő, kinél van az email szerver? Ha te üzemelteted, tényleg szívás, sok dolgod lesz vele. De ha pl. Gsuite-ot vagy ilyesmit használsz, akkor az adatkezelő a Google. Te beállíthatsz egy email retention policy-t, és kb. jó vagy. El lehet lesni tőlük, hogy hogyan kell ezt csinálni.

Harmadszor, a GDPR kifejezetten azokra a személyes adatokra vonatkozik, amiket valaki feldolgoz. Ha neked egy /tmp/xyz123.txt fájlban véletlenül benne van valakinek a neve, de ez nem rendszeresen és nagy mennyiségben kerül oda, és nem olvassa senki sem, akkor nehezen képzelem el, hogy bárki megbüntetne érte. Elméleti síkon lehet vitatkozni, hogy ez mennyire gáz, de gyakorlati értelmét nem látom.

Negyedszer, létezik pl. mérlegelés. Létezik olyan, hogy a céged működéséhez vagy valami egyéb törvénynek való megfeleléshez muszáj megtartani valamilyen adatot (dokumentálod, hogy mi a retention policy, maximum egy törlési kérelemnél kell vakarni a fejedet).

A GDPR akkor érint rosszul valakit, ha masszívan, direktben személyesen adatot gyűjt és feldolgozza. Ezeknek az eseteit valóban át kell gondolni. Lehet azon a határeseteken vitatkozni, hogy valami adat PII vagy nem, de a PII birtoklása önmagában nem bűn, a fontosabb kérdés, hogy mihez kezdesz azzal az adattal.

A pereskedő trollok nyilván nem a kis cégek ellen fognak menni, a nagyok meg ügyvédekkel bevédik magukat és simán megfelelnek majd a szabályoknak.

"...és nagy mennyiségben kerül oda, és nem olvassa senki sem, akkor nehezen képzelem el, hogy bárki megbüntetne érte. Elméleti síkon lehet vitatkozni, hogy ez mennyire gáz, de gyakorlati értelmét nem látom."

Pont erről írtam. Hogy elméleti jogászok készítették az egészet, és egyáltalán nem gyakorlatias. Ettől még - elvileg - a szabály az szabály. És, ha elméleti jogvédők fogják értelmezni, akkor elképzelhető, hogy nem lesz túl gyakorlatias az az értelmezés.

Én olyan előadáson ültem, ahol azt mondta a szakértő, hogy ha törvényi megfelelés miatt kell az adat, azt természetesen nem szabad törölni / megsemmisíteni. Ellenben a törlést kérőt pontosan tájékoztatni kell, hogy milyen okból, milyen formában, milyen adatát tartod nyilván a törlés után. (Az, hogy nem tudsz róla, hogy van róla adatod nem mentesít, az nem tartozik a "meg kell tartani a törvények miatt" katagóriába. Legyen az mondjuk az e-mail aláírása a ticketing rendszerben.)

És úgy általában, igen, senki nem fog megjelenni nálad, hogy ellenőrizze, hogy jól csinálod-e a dolgokat. A gond akkor van, ha rádszáll egy megélhetési feljelentő, és jól előkészített módon szépen behúz a csőbe...

Elírtam, NEM nagy mennyiség akart lenni.

Most kaparhatják a szemüket :D

"If you aren't targeting EU users, simply use GDPR Shield to block all traffic from the EU"

Azért így már több értelme lehet, bár nem tudom, hogy EU-n kívüli vállalkozással mit tud kezdeni az EU, ha telibeszarják a GDPR-t. :)
EU-n belül meg miért üzemelne olyan szolgáltatás, aminek az EU-s kliensek nem célcsoport.

Kliens nem csak magánszemély lehet, hanem cég is. Ez az egész agyf@sz a magánszemélyekre és azok személyes adataira vonatkozik. Cégnek nem nagyon vannak személyes adatai. De egyébként EU-n belül is lehet olyan vállalkozás, aminek üzleti megfontolásból az EU nem célcsoportja. Mondjuk kapcsolatrendszer révén csinálsz egy céget, itt élsz, a szolgáltatást innen nyújtod, de mondjuk a Közel-Keletre dolgozol, ott van a piacod. Személyes ismeretségi körömben is van ilyen.

Utóbbiakra is vonatkozik ez a GDPR marhaság?

Igen.

Olyan jó, hogy erről ma szólt nekem a könyvelőm, hogy kell egy ilyen doksi e hónap 24-ig...
Jelen pillanatban azt se tudom mi ez.
Csak adott egy lapot, valakinek az elérhetőségével, aki 70-90 ezerért megcsinálja nekem.
Hát a faszomnak van erre pénze, asszem itt zárom be a vállalkozásomat.
Kösz Brüsszel, elmentek a kurva anyátokba!

De mégis mit kell beleírni?
Tudom az ügyfelek címét, tel. számát, mail címét, cPanel hozzáférését.
Vagy nincs erre valami formadoksi, mit átírok az én adataimra azt jól van?

jogiforum.hu esetleg? Ott van pár jogász. Némelyik még értelmes is. ;)

Találtam egy letölthetőt: http://letoltes.nyomtatvany.net/adatvedelmi-adatkezelesi-szabalyzat.html
De ezért és elkérnek majdnem egy 10-est!
Na lessük meg torrenteken is...

Két kibaszott éve pörög ez a dolog, egy éve nem változott érdemben a szöveg.
Itt hónapok óta pörgünk ezen, mint malac a nyárson, és neked csak most tűnik fel?

+1

Nem olvasok minden topicot, erre is most azért kattintottam, mert ma szólt a GDPR-ről a könyvelőm :O

Érted, két éve!
Mondhatnám azt is, hogy ha két év az átlagos reakcióidőd, akkor veled is lehet baj.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Na várj, ezeket a személyes adatokat egész eddig kezelted. Ehhez eddig is szükség volt adatvédelmi szabályzatra (plusz NAIH bejelentésre stb.)

Hát én annak idején bementem a helyi könyvelőhöz, hogy vállalkozást szeretnék indítani.
Elküldött az okmányirodába ezért-azért, 2-3 múlva már KATA-s vállalkozó lettem, idestova 4. éve.
A büdös életbe még erről a NAIH-ról sem hallottam.
A GDPR-ről is csak azért, mert ma szólt róla xD

Akkor ez eleg durva PEBKAC, es egesz eddig jogellenesen taroltal / kezeltel szemelyes adatot. Ahhoz, hogy milyen vallalkozo vagy, ennek semmi koze

Nem is szeretem ezt a könyvelőt, bár jó fej, csak elhallgat dolgokat amikről tudnom kellene. És felvetődik a kérdés: mennyi minden lehet még amiről nem tudok? :O

Na mindegy, egyúttal akkor ez a bejelentés is pótolva lesz...

Megszűnik a bejelentés, már ne pótold :D

https://7blog.hu/gdpr/

(Mondjuk vannak benne szvsz orbitalis baromsagok is)

\o/

Nah akkor egy kérdés: Ha van egy fasza adatvédelmi nyilatkozatom, akkor azt be kell küldenem bármilyen szervezetnek? Vagy elég ha csak az ügyfeleknek mutogatom?

Mondjuk ne a könyvelőtől várd el, hogy a cégeddel kapcsolatos MINDEN jogi kötelességet tudja, neki a számviteli törvény ismerete, meg az adózási szabályok kellenek. Örülj, hogy szólt, baromira nem feladata a cégvezetés.

+1

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

A könyvelőnek ez nem dolga.

Ő nem a főnököd.
Nem a céged adótanácsadója.
Nem a céged marketingese.
Nem a céged vezetője.
Nem a céged pénzügyi vezetője.
Nem a céged jogi tanácsadója.
Nem az anyád.

*Persze kivételek lehetnek. :)

Érdekes, ha egy IT-s-ból akarnak mindenest csinálni az megsértődik. Talán pont egy IT-snak nem kellene mindenesnek néznie a könyvelőjét.

Dehogy kezelte jogellenesen.
„Nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely:
a) az adatkezelővel munkaviszonyban, tagsági viszonyban, óvodai nevelésben való
részvételre irányuló, tanulói vagy tanulószerződéses jogviszonyban, kollégiumi
tagsági viszonyban vagy - a pénzügyi szervezetek, közüzemi szolgáltatók,
elektronikus hírközlési szolgáltatók ügyfelei kivételével - ügyfélkapcsolatban álló
személyek adataira vonatkozik.”

http://naih.hu/files/avatar_gy_i_k_2017_10.pdf

Hmm. Mea culpa

Annyit mondok, a papír önmagában lófasz meg esti fény... Mögötte a megvalósítás a lényeg. És annak megvalósítása simán belefuthat milliókba is már egy kis cégnél is.
--
"Sose a gép a hülye."

De ez az egész nem hoz semmi újdonságot MAgyarországon, az eddigi szabályokhoz és gyakorlathoz képest. Aki eddig is megfelelt, annak ez sem kihívá.s Gondolm eddig mindenki leszarta. De az meg IJ.

Idézet:
egész nem hoz semmi újdonságot MAgyarországon

Masszív +0.5, mert hoz újdonságot: neked, mint magánszemélynek lesznek jogaid az országhatáron túl is (ugye egységes szabályozás híján adott ország szabályai éltek +/- minimális nemzetközi szabályozás) - ami mindenképp pozitív.
Az viszont igaz, hogy az eddigi hazai szabályozás is feltűnően szigorú volt (és a két törvény szelleme nagyon hasonló), úgyhogy túl sok minden mint cég nem változik.

De Brüsszel a hibás ezért is... :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Azért két nagyon fontos dolog változik:
1. a bizonyítási kényszer a megvádolton van, nem a vádlón. Tehát, ha valaki azt mondja, hogy Te kiadtad az adatait, mint cég, akkor neked, a cégnek kell bizonyítanod, hogy nem tettél ilyet. Ez elég szokatlan a mai jogrendekben.
2. a bírságok tétele igen-igen megnőtt, és nincs kedvezmény, ugyanannyit fizet egy egyszemélyes bt, mint egy multi:
"K: A GDPR előírásainak megszegésekor a kisvállalatoknak csak kisebb büntetést kell fizetniük?

V: A büntetés mértéke a GDPR alapján vállalatnagyságtól független; azaz (például) a BMW AG és (például) Kovács Géza húszkörtefás őstermelő büntetése egyforma (lehet) (az éves bevétel 2/4 százaléka, illetve 10/20 millió Euro – a magasabb érték). A tényleges büntetés már eltérő (lehet): a magasabb éves bevétel magasabb büntetést jelent(het)."

Ez a büntetés maximális mértéke. Nem a mértéke. Nagyon fontos különbség.

Meglátjuk.
Adó formájában behajtható, nem pántlikázott bevétel lesz ez a magyar költségvetésnek.
Rossznyelvek szerint, ha szükség van egy kis plusszra ez tökéletes bevételi forrás lesz.
Én nem vagyok a téma szakértője, csak néhány előadást hallgattam a témakörben, fenntartom, hogy nem lehet megfelelni neki, és bőven tönkre lehet tenni embereket és cégeket a bírság mértéke és a bizonyítási kényszer megfordítása miatt.

Központi költségvetésbe megy EU szinten, nem marad helybe a pénz (szép is lenne, felhasználnák ezt politikai célokra akkor).

Nem tudom. Én egy előadáson hallottam, hogy a NAIH panaszkodik, hogy embert kellene biztosítania, de nem pántlikázottak a pénzek, azok a _magyar_ központi költségvetés bevételei általánosságban, hiába van több feladata, hajt be több pénzt, nem - feltétlenül - kap belőle a megnövekedett költségei fedezésére.

Egy kicsit keresgéltem, mindenhol közigazgatási bírság kiszabásáról írnak. Magyar jog szerinti közigazgatási bírság az EU-hoz folyna be? Nem gondolom, hogy így lenne, de lehet. Tudsz esetleg linket adni, hogy így lenne?

„bizonyítási kényszer a megvádolton van, nem a vádlón. […] Ez elég szokatlan a mai jogrendekben”

Akkor még nem találkoztál a NAV-val. :)

Én igen, meglepően pozitív élmény volt.

tl;dr
- (érkezik egy szabad szemmel jól látható fizetési felszólítás)
- figyi srácok, az ügyvédem és én elbasztuk, nem lehetne ez kevesebb? (nem lehetne kihúzni? :D)
- de.

Hát, ha előbb jön a határozat, mint az inkasszó, az biztos pozitív élmény. Én elég negatívan éltem meg fordítva, főleg, hogy ők b*szták el, mi szívtunk miattuk majdnem egy évig.

Akkor ez mostanában volt. :)

Nekem anno volt vagyonosodásim. Az másként ment. Ha akkor én vagyok Kósa Lajos, akkor a 800 milla miatt elkérték volna az ajándékozási illetéket is kamattal, büntivel, mert vélelmezik, ha aláírtam akkor megkaptam. (Ha pedig nem kaptam meg, akkor bizonyítsam be!) Anno így mentek ezek. Életszerű volt a vezérszó, minden "életszerű" vagy "nem életszerű" volt, amivel lehetett téged szopatni.

Ja, három éve kb, nem régi sztori.

Azt az egyet nem értem, hogy egy cég hogy a fenébe tudná _bizonyítani_ azt, hogy nem adta ki valakinek a más adatait? Ehhez mindössze arra lenne szükség, hogy a cég összes dolgozóját 7/24 megfigyeljék videóval, hangfelvétellel, minden elektronikus kommunikáció rögzítésével. És persze az megfigyelést végzők is személyes adatot tárolnak, szóval őrizni kell az őrizőket is, valamint satöbbi.

Ez egy jó kérdés. Bennem is felmerült. Az okosok szerint olyan folyamatokat kell kialakítani, amely bizonyítja, hogy a lehető legalaposabban járt el a cég. Csak az kap jogot, akinek jár, követhető, hogy mikor kérte le az információt, akkor éppen milyen adatot tudhatott meg a magánszemélyről, stb. stb.
Nyilván van felelőssége annak, aki lekéri az adatot (papírt ír alá, hogy rendeltetésszerűen használja, stb.), de a cél az, hogy az adat a leginkább védve legyen, és csak az, és csak addig férhessen hozzá, amig jogosult rá / szüksége van rá a munkájához.

Ismét csak azt írom, hogy elméleti jogászok készítették, szerintem csak törekedni lehet a megfelelésre, megfelelni nem lehet a rendeletnek... A cél maga jó, de lehetetlen küldetés elé állítja a cégeket, és főleg azokat, akiknek nincs elég pénzügy az ügyvédekre, de kifognak egy vagy több megélhetési feljelentőt...

Mint adattároló szemszögből írtam ezt.

Én kétlem, hogy bárki meg tudna felelni a GDPR-nak.
Max. a lehető legjobban csökkenteni annak az esélyét, hogy megbüntessék.
De megfelelni akkor sem fog tudni.
Ezt az egészet elméleti jogászok hozták össze, annak minden előnyével és hátrányával.

ha nincs 90 ezred hirtelen kiadasra, akkor szerintem is jobb, ha becsukod azt a "vallalkozast"

> hirtelen
> két év

amúgy meg +1

ha ket ev alatt nincs 90 ezre, az meg rosszabb, akkor kb kar bekapcsolni azt a szamitogepet "munka" cimen

Egy szaros papírra PDF-re, amit én is megírok pár nap alatt nincs is.
Az ügyvéd erre beszed 90-100 ezret, aztán mit csinál? Sablonokból össze copy-paste-eli Ő is.
Ezzel megint azoknak tömik csak meg a zsebét akik már kurvára nincsenek rászorulva ekkora haszonra. Az egyszerű polgár aki csak próbál megélni valahogy, azt meg ilyen szarságokkal zseblik ki, hogy még véletlenóül se legyen jó nekik.

És igen, képzeljétek el, van akinek 9000 Ft is sokat számít egy hónapban, nem hogy 90 ezer!

Az egész vállalkozási tevékenység folyamatára az jellemző, hogy elvégezheted az azzal kapcsolatos adminisztrációt vagy megfizethetsz ezért valakit. Megbízási kényszer nincs.

Van egyszerű megoldás: egyáltalán ne tárolj személyes adatot, maximum cégest. Ha nincs nálad PII, akkor nem vonatkozik rád a GDPR.

Ha mindenképp kezelsz személyes adatot, akkor gondolom már eleve van valami szerződés, ami alapján ezt begyűjtöd az ügyfeleidtől, és tele van a net adatkezelésre vonatkozó sablonokkal, amit azért nem olyan bonyolult saját kútfőből belemásolni a szerződésbe. De a papír tényleg nem elég, nagyon is számít, hogy aktívan hogyan használod/véded a személyes adatokat.

Vedd észre, hogy van benne ráció. Ha én rád bízok valami személyes adatot, és te visszaélsz vele, vagy egyszerűen ellopják tőled, nyilván nagyon mérges leszek rád, és a GDPR alapján foglak feljelenteni :).

A GDPR miatt ettől több munkád akkor lesz, ha valaki pl. az adatai törlését, vagy kiadását kéri tőled, de erre kis cégeknek szerintem nem nagyon kell számítania.

Nem ilyen egyszerű.

Az én oldalaim pl. reklámbevételekből tartják fent magukat.
Mivel az új törvény szerint a süti kezelések is GDPR kötelesek, így a személyre szabott reklámok megjelenítéséhez is felhasználói beleegyezés kell.
Most kb. az emberek harmada hagyja csak jóvá a süti felugrót az oldalon. Tehát harmad annyi bevételem lesz. Az egyik hobbi oldalam így be is halt. Nem termeli ki a fenntartási költség harmadát sem.

De ezzel még nem ér véget a történet, mert a nem személyre szabott reklámok is sütiket használnak, így ahhoz is a felhasználók beleegyezése kell. Tehát tovább töredezik a bevétel. Így a másik oldalam is hamar behalhat.

A szomorú az, hogy látom, hogy a konkurensek nagyban letolják ezeket a törvényeket. Én meg igyekszem törvény tisztelő lenni, meg nincs gyomrom feljelentgetni sem őket.

Nem értem, hogy a te hozzászólásod hogy kapcsolódik az enyémhez. Kinek van itt reklámos honlapja?

Személyes adatok kezeléséről volt szó. A reklámok is személyes adatokat kezelnek.

Blintux annyit írt, hogy tudja az ügyfelei némely adatát, és én neki írtam, reklámról nem volt szó.

Ok. Bocs, hogy beleszóltam.

> így a személyre szabott reklámok megjelenítéséhez is felhasználói beleegyezés kell.

That's the point. Én például a büdös életben nem fogok beleegyezni egyik oldalon sem a személyre szóló reklámokba. Miért? Mert csak az oldal üzemeltetőjének jó, én a begyűjtött adataimért cserébe egészen pontosan _semmit_ nem kapok.

> a nem személyre szabott reklámok is sütiket használnak

Feltételezem, valamilyen 3rd party közvetítőt (pl. AdWords) használsz, mert amúgy egy reklám beszúrásához a HTML kódba nem kell süti. És hát el is érkeztünk a kedvenc GDPR-mellékhatásomhoz: végre elkezd(het) jól járni az ügyfél. Kell az életkorom? Miért? Mit kapok cserébe?

> nincs gyomrom feljelentgetni sem őket

Hát ez már OSI Layer 8 probléma, ha valaki megszegi a törvényt, ráadásul a te károdra, akkor fel kell őket jelenteni. Ezért tartunk el egy rendfenntartó apparátust nem kevés pénzből. Persze vehetnénk belőle minden évben egymillió lélegeztetőgépet is abból a pénzből, de azért mégiscsak szükség van erre is. :)

>én a begyűjtött adataimért cserébe egészen pontosan _semmit_ nem kapok.

Értem én, hogy mire szeretnél kilyukadni.
Viszont ez nem ilyen egyszerű.
Vegyük pl. a google keresőjét. Ha nem lennének reklámok, akkor nem lenne pénz az oldal működtetésére. Tehát egy fontos szolgáltatástól esnél el, vagy fizethetnél érte pl. havi 2000 Ft-ot. Ha összeszámolod hány oldalt használsz simán kijöhet 100 ezres tétel is. Amit most ingyen használsz.

Nálam pl. nem volt kérdés eddig a reklámok megjelenítése. Simán letilthatta a felhasználó egy "reklámok tiltása" linkkel. Most viszont azt látom, hogy azok a felhasználók is kiesnek, akik szívesen nézegetik amúgy a reklámokat. Egyszerűen a felhasználók kétharmadát nem is érdekli, hogy mi van és rá sem kattint arra, hogy eltűnjön a süti popup.
Eddig csak annyi volt benne, hogy "oldalunk használatával elfogadod, hogy sütiket helyezzünk el a gépeden."

Persze jogos a kérés, hogy ne így gyűjtsenek adatokat. Szerintem simán lehetne addig lebontani a reklámok testreszabását, amikor még nem azonosítható be a személy. Pl. mosógépre kerestél tegnap. Hozzáadhat a mosógép / mosópor érdekli 2018.05.06-án csoporthoz. Ha nem keresel / kattintasz ilyesmire, akkor pl. 20 nap múlva kivenne ebből a csoportból.

Illetve ebből a szempontból túl is megy a törvény a célon. A nem személyre szabott reklámoknál is kérdésessé vált a használat. Nem úgy van, hogy kiraksz egy reklámot és kész. Aki fizet érte szereti mérni a dolgokat. Hányan látták, hányan kattintottak rá, nem-e manipulálták a kattintásokat stb. Ezért ehhez is kellenek sütik.

Értem én hogy neked ez anyagilag fáj, de ezt a mesét hagyjuk már, hogy a kugli 2k huf és hogy szumma havi százezres tétel lenne az, amit eddig reklámnézegetéssel teljesített a júzer...

"a begyűjtött adataimért cserébe egészen pontosan _semmit_ nem kapok."

Szoktál böngészni? A Google-t, Facebook-ot, talán még részben a HUP-ot is azért kapod ingyen, mert van rajta reklám. Azt is nézd meg, hány százezer blog, YouTube csatorna, stb. van, szoktál ilyeneken tájékozódni bármiről? Nagyon sok ilyen cucc ellenszolgáltatás nélkül indul, de hamar elfogy a motiváció (jön egy családtag, egy új munkahely, megunják, mittudomén, velem is előfordult párszor). A reklám a szükséges rossz. Addig jó, amíg csak egy-két fanyalgó van, de ha túl sokan lesznek, akkor majd lehet a szegényesebb kontent és/vagy paywall-ok miatt fanyalogni.

Mind a kettőtöknek mehetne a válasz, de ha csak ezt a fél sort olvastátok, akkor valóban nincs értelme. Reklámozni PII-gyűjtés nélkül is lehet. Konkrétan kiemeltem a posztomban is, hogy nem a reklámozás intézményével van a bajom, hanem az ehhez kapcsolódó adatgyűjtéssel.

> Google
Egész nyugodtan lehetne hirdetéseket mutatni csak a beíert keresőszavak alapján, teljesen felesleges ehhez tudni a nevemet.

> Facebook
Kb a Google-höz hasonlóan itt is lehetne a deperszonalizált adatok (pl. nyilvános posztok, lájkok, stb.) alapján hirdetni. Kérd ki a data dumpot a FB-tól, majd csodálkozz el, hogy az elérhetőségeidet hányszor adták ki harmadik személynek. Például miért kapja meg Jake La Furia, akiről konkrétan azt sem tudom, hogy ki a faszom egyáltalán az én személyes elérhetőségeimet?

> hány százezer blog
Mivel a blogok jellemzően egy adott témáról szólnak, lehetne az adott témába vágó hirdetéseket, szponzorált tartalmakat megjeleníteni, minek ide PII?

> YouTube csatorna
Same as above. Sokkal szívesebben nézem az általam érdekelt csatornák szponzorált tartalmait, mint a videót mondat közben félbeszakító big data alapján nekem ajánlott szart, ami annak ellenére is teljesen érdektelen, hogy mindent tud rólam a fasz YouTube.

tl;dr meg lehet élni _reklámokból_ anélkül is, hogy a vércsoportomat is tudná rólam egy cég, aki pedig továbbra is a személyes adataim adás-vételéből akar megélni azért nem fogok könnyeket hullatni (sőt, a fenti kollégával ellentétben nekem nekem nem fog morális gondot okozni egy feljelentés megírása sem)

Igazad van, hogy lehetne témába vágó reklámot is odatenni. Ha cookie nélkül mész oda, valószínűleg az is fog történni. De nekem pl. a www.smbc-comics.com oldalon sose képregényes vagy vicces reklámok jönnek, hanem most pl. egy szekrény, amit múlt héten kerestem. Ebből azért tényleg vissza lehetne venni egy kicsit. Minél jobban "ismernek" téged, annál hatásosabb reklámot tudnak mutatni, és ezért fizetnek a hirdetők, tehát ezt adják a reklám szolgáltatók is. Ez olyan terület, ahol a töredék százaléknyi hatékonyság növelés is millió dolláros üzlet.

"Reklámozni PII-gyűjtés nélkül is lehet", lehet csak ertelme nincs: ha nekem autos reklamaokat dob fel, ami engem nem erdekel es nem is fogok kattintani (es venni autot) az olyan mintha nem is lenne ott reklam. akar kismacska videokat is tehetne oda. ha meg nincs reklam akkor visszajutottunk oda hogy mibol tartsa el az oldal magat.

ui: en is gyulolom a reklamokat, ha reverans ha nem.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nekem a Sorozatjunkie/Filmbuzi teljes hátteres reklámjai ugranak be, mint ellenpélda. (vagy lásd a hupon a fizetett álláshirdetés/fizetett poszt témakörét)

Valszeg lehet úgy is hirdetni egy adott oldalon, hogy jól eltalálja a célközönséget, mégse kelljen hozzá PII gyűjtés. De ehhez kell egy méret, az igaz - a hobbiblogomba senki nem akar majd semmit hirdetni.

+1

> a hobbiblogomba senki nem akar majd semmit hirdetni

#define hobbiblog, de ugye specifikusan ott senki nem akart hirdetni eddig sem. Ugyanúgy az AdSense-ből fog kiesni az a havi harminc fillér, csak felhasználókövetés nem lesz benne.

> Ugyanúgy az AdSense-ből fog kiesni az a havi harminc fillér, csak felhasználókövetés nem lesz benne.

mondjuk az AdSense előnye pont az, hogy minden felületre próbál valami értelmes reklámot adni.
ha csak random pakolja a vilmos' random thoughts blogba a hirdetéseket, az se a hirdetőnek, se a blogtulajnak nem jó.

(az más kérdés, hogy ez mennyire jó összességében, hogy minden szar felületre kerülhet reklám, s ebből pénz, de a hobbi tartalom-előállítóknak rövid távon ad megtérülést)

> ha nekem autos reklamaokat dob fel, ami engem nem erdekel es nem is fogok kattintani

De nem azt mondtam, hogy mindenki reklámozzon bele a vakvilágba, hanem hogy ha generálsz valamilyen tartalmat, akkor ahhoz kapcsolódó legyen a reklám is. Így a példánál maradva, ha nem érdekelnek az autók, miért olvasol autós blogot? (Minekmentoda?)

> en is gyulolom a reklamokat, ha reverans ha nem

Az "is" viszont tévedés, nekem nincs bajom a tartalomhoz kapcsolódó, nem adathalász, nem tolakodó reklámokkal.

az vilagos hogy a barkacsbolt/blog ne reklamozzon autokat, de mondjuk egy index fooldali (vagy barmi ott ami nem tematikus rovat) hir megis mit reklamozzon? azt nezi autokedvelo meg nezem en is. hogy lesz ebbol olyan reklam amire kattintani fog valaki, es igy megeri a reklamozonak is?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Egykor nyomtatott újságokat is eltartottak a reklámok, szóval nem látom itt a technikai lehetetlenséget.

Az nem volt kikerulheto. Ma az interneten a YT-ob leszamitva (ott is csak elvetve, de dolgozom rajta) gyakorlatilag sehol nem latok reklamot, ez nagy kulonbseg.

YT, mint youtube? :o
FF+ABP/uBlock origin és nincs reklám. Egyelőre.

Igen. Nálam a hálózat elején egy Pihole is figyel, végpontokon mindnehol egy uBlock vagy azzal egyenértékű és így 99%-ban nyugalom van.

Fura. Én még nem láttam yt-n reklámot, ha FF alól nézegettem.

És ezen hogy segít a testreszabott reklám? Ugyanúgy lehet blokkolni azt is meg a simát is.

a nyomtatott ujsagot az elofizetok meg a "haverok" tartottak el. talan a tv/radio amit a reklamok tartanak meg el, de ott meg a kikapcsologombon kivul nemvolt mas adblock :(

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Not my problem. :)

Lehet előfizetéses modellben gondolkodni, szponzorált tartalmakat gyártani, generikus reklámot kirakni (amúgy a tévében sincs tematikus reklám), EU-s támogatást kérni, állami támogatást kérni, bezárni a boltot, stb.

Az én személyes adataim menthetik csak meg az online újságírást?

Óriásplakáton sincs személyre szabott reklám, mégis nagy biznisz. Szerintem a Google marketingzsenisége abban rejlett, hogy elhitette a reklámozókkal meg a reklámfogyasztókkal, hogy a személyre szabott jobb. Nem jobb, csak más. Én például reklámra nem igazán kattintottam. Talán ha párszor, a Google-nél a találatok felett megjelenőre. De amúgy meg nem. Mivel tudom, hogy reklám, pont ezért nem kattintok rá.

> (amúgy a tévében sincs tematikus reklám)

Ez így nem teljesen igaz, célcsoportokat mérnek, és próbálnak a jellemző célcsoportra tagetált reklámokat tenni az egyes blokkokba. ( a "próbálnak" nyilván ennél bonyolultabb, hogy a tv vs reklámozó vs mennyibe fáj hogy alakul ki)

Oké de az nem személyre szabott. Ezt a fajta reklámot adatgyűjtés nélkül is lehet, lásd a tévé.

nem mondtam, hogy személyre szabott, azt mondtam, hogy tematikus :) Illetve azt is te mondtad.

Nálam:

- általános: ez tényleg szar, random oldalakra random copypaste reklám, tényleg semmi értelme - adatvédelmi szempontból rendben
- tematikus: még érdekes is lehet, az oldal tartalmától / a videó tartalmától / a beírt keresőszavaktól / stb. függő hirdetés - adatvédelmi szempontból rendben, ide tartoz(hat) a tévéreklám, de általában inkább a fentibe szokott
- személyre szabott: PII alapú delivery - adatvédelmi szempontból pusztuljon aki kitalálta

Csak hogy tényleg ne legyen keverés. :)

Szerintem nem volt :)

Kimaradt a személyre szabott PII-mentes reklám. Tehát amikor pl. böngészési előzmények alapján kitalálja, hogy dohányzol, és cigi reklámot kapsz. Szerintem nagyon igyekeznek, hogy az így begyűjtött adat ne legyen PII, illetve ezek ugyebár privát böngésző módban is működnek. Vagy én vagyok eltévedve és erre is rásütik, hogy PII?

> böngészési előzmények alapján kitalálja, hogy dohányzol

Jogilag megfogtál, JPÉ szerint viszont baromira zavarna, ha valamilyen pszeudonimizált ID alapján (vagy ne adj Isten simán IP cím) egészségügyi adatokat tárolnának rólam.

Ugyanezel megfontolás alapján, amikor az egyik korábbi munkahelyemen a kollégák egy óvatlan pillanatban a magára hagyott gépen egy melegpornó oldalt állítottak be kezdőlapnak, aminek következtében _egy_, azaz 1 db megtekintés után megjelent egy gay-friendly utazásszervező cég reklámai mindenfelé a neten.

Na most ilyen nem célzott reklámokkal indulunk 25-től.
Bár nagy érvágás lesz. Az EU-soknak nem lesz célzott reklám.

Kérünk azért állásfoglalást a NAIH-tól. Mert elég nagy lesz a sejtett forgalom kiesés.

Dolgozunk egy csapattal aki több nagyobb forgalmú oldallal is kapcsolatban van. Rajtunk kívül ezt senki sem veszi komolyan.

Ráadásul nem is az oldalakon külön-külön kellene ezeket szerintem kezelni. Hanem a böngészőkben. Pl. telepítéskor megkérdezné, hogy "szeretnél célzott reklámokat látni a felkeresett oldalakon?". A Chrome-ban is van erre egy beállítás: harmadik féltől származó sütik tiltása. Valami ilyesmit terveznek egyébként az új EU-s süti törvényben is.

Az EU kicsit átesik a ló túloldalára és tönkreteszik az internetet... Jöjjön ismét a sötét középkor.

Szerintem tul nagy a buntetes ahhoz, hogy ne vegyek komolyan. Foleg a nagyobb cegek/oldalak eseten, ahol ez ki is derulhet.

--
Any A.I. smart enough to pass a Turing test is smart enough to know to fail it. -Ian McDonald

Hát nem tudom. Ahogy elnézem az egyik legnagyobb portál adatvédelmi szabályzatának utolsó frissítése 2012.

Sajnos a jogászok nem biztos, hogy be merték vállalni, hogy az mekkora bevétel csökkenéssel járna, ha meg kellene felelni a törvénynek szigorúan. Ha bevállalták is, a cégek is mérlegelhettek, hogy mekkora bevételtől eshetnek el így. A pénz nagy úr.

A másik nagy portál csoportnál meg az a gyanúm, hogy megpróbálják ezt a jóváhagyást rátolni a felhasználó böngészőbeállításaira. Ami megint csak inkább fekete mint szürke megoldás. Kivéve, ha le lesznek tiltva május 25-től a profilt alkotó reklámok.

De majd meglátjuk május 25-én. :-)

Ráadásul lehet abba a hitbe ringatták magukat, hogy még nincsenek rendes gyakorlati ítéletek, így inkább csak figyelmeztetések lesznek. Szerintem meg komoly büntetések egyből. Ezt a NAIH elnökével készült interjú alapján állítom. Most a kisvállalkozásokat sem védi az első "ejnye-bejnye". Egyből büntetni fognak. Nem is magyar viszonyokhoz mérten, hanem EU-s mércével.

Egyébként a törvény is ellent mond magának több ponton. Tehát valamennyire igaza is van a jogászoknak, hogy még nem kiforrott, nincs még "gyakorlat".

Hát akkor írd meg te, nem kell rá ügyvédi ellenjegyzés. Vagy töltsd le aprópénzért a fent említett sablont. Vagy tölts le ncore-ról egyet ingyen.

Ugyanezt csinaljak az programozok is, csak a stackoverflowrol :D

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Mondjuk ha ez elterjed, és az lesz az eredmény, hogy az amerikai/távol keleti cégek nem szolgáltatnak majd az EU-ba, akkor szerintem az EU vezetés eléggé népszerűtlen lesz bizonyos körökben.
--
Csaba

Akkor most rendeljünk még az Ali-ról, amíg még lehet? :D

Szerintem is a magyar államhoz folyik be a kiszabott bírságok összege. Ha van ezzel ellentétes információtok, akkor kivele. :)

Jöjjön a többi is, ezért abszolút nem kár.

Elfilóztam azon, hogy mi lenne a helyzet, ha mondjuk a Google jelentené be, hogy ő akkor május 26-tól nem szolgáltat az EU-ba.
--
Csaba

Olyan cégnek, ami nem akarja betartani a GDPR-t, miért is akarnám megadni bármilyen (akár céges) adatomat?

Ez hogy jön ide?
Google bizonyos esetekben opcionálisan, máskor (pl. Androidos mobilok esetében) kötelezően gyűjt személyes adatokat (ha mást nem, a mobilod számát és egyéb azonosítókat, amik személyes adatnak számítanak)

Ennyi. (<-- Nem szarkazmus, igazad van.)

Vicces lenne, de még megtörténhet. Csak azt nem tudom eldönteni, hogy ettől jobb vagy rosszabb lenne-e nekünk.

Tfh nem hülyék vezetik a Google-t, erre viszonylag kicsi az esély, tekintve hogy mekkora ez a piac.

+1, adott egy cég teljes hozzáféréssel a levelezésedhez, ami "measures e‑commerce through a technology that automatically recognizes commercial emails and extracts purchase information from them", és nem hajlandó betartani az adatvédelmi szabályozást?

Ja, hulljon a férgese.

Azért elgondolkodtató hogy ki a csoda használta ezt a "zseniális" email filtert. Ennyire be lehet hülyíteni az embereket?!

- Ismersz jó GDPR szakértőt?
- Igen.
- Megadnád a telefonszámát?
- Nem szabad.

ÁÁÁÁÁÁ
Hatalmas +1