GDPR kell-e ebben az esetben?

Offtopic

Van egy excel adatbázis, amiben 3 oszlopban, a következő "azonosítók" vannak:

A - sorszám
B - ügyfél neve
C - dátum

A kérdésem az, ha az embereknek a neve szerepel egy ilyen adatbázisban, ám semmilyen egyéb nem, akkor ez GDPR köteles-e?

  • 655 megtekintés

( dentzol | 2019. 10. 17., cs – 13:29 )

Rossz a kérdés amit feltettél.

Indulj el a kályhától és nézd meg, hogy milyen adatokat, milyen célból és milyen felhatalmazás alapján kezelsz.

Azokat az adatokat kezelem csak, amik szerepelnek a kérdésben is.
Alapvetően az, hogy Kovács József, még önmagában nem alkalmas egy személy konkrét beazonosítására. Ettől függetlenül személyes adatnak minősül a név is. Ezért nem értem, hogy most akkor ezzel mi a helyzet?

"Mert értek a kutyákhoz."

A példa kedvéért: van egy 1-es sorszámú kártya, amin nem szerepel név, csak a sorszám. Van egy adatbázis, ami megvan a helyi péknél is és nálam is, amiben csak a név szerepel és a sorszám, ami arra jogosítja fel a kártya tulajdonosát, hogy minden hónapban egy darab kenyeret ingyen vehet át a péktől. A jogosultságát azzal igazolja a kártyatulajdonos, hogy bemutatja a személyi igazolványát, amiben már azonosítható a neve. A kártyatulajdonos hozzájárul egyébként ahhoz, hogy szerepeljen csak a neve az adatbázisban.
Ezek fényében mi a helyzet?

"Mert értek a kutyákhoz."

Szóval nem elég, hogy te kezelsz személyes adatokat, még a pék is, aki ráadásul még személyit is kér.

A GDPR fogalommeghatározása: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható

Én pl. elég könnyedén beazonosítható vagyok a nevem alapján, a Google minden találata a nevemre konkrétan rám vonatkozik.

Ez egy hülye példa, ugyanis miért kéne az ingyen kenyérre jogosító kártya (amely az ingyen kenyérre való jogosultságot bizonyítja) mellé személyi igazolvány?
Hiszen pont ez az ingyen kenyérre jogosító kártya lényege, hogy egy, a személyi igazolványtól meg mástól független azonosító.
Miért kéne a személyit elkérni? A jogosultságát azzal igazolja a kártyatulajdonos, hogy bemutatja a kártyát.

A te értő olvasásoddal van baj, nem a példával. A kártya egy jogosultság, amivel idegen is át tudja venni a havi 1 db kenyeret, miközben csak annak jár, akinek a nevére szól. Ám mindez nem része a GDPR problémának, jobb lenne arra koncentrálnál.

"Mert értek a kutyákhoz."

De, része a problémának.
Ha embernek szól a jogosultság, minek a kártya? Felírod az emberkék személyi azonosítóját, kezeled, vonatkozik rá a GDPR és ennek megfelelően kell eljárnod.
Ha a kártyának szól a jogosultság, kiosztod a kártyákat, nem tudod, melyik kié, nem is törődsz vele, és nem kell GDPR-ral foglalkoznod, mert nem kezelsz személyes adatot.

Rajtam kivul csak egy embert hivank ugy az orszagban, ahogy engem, o pedig az apam. A vezeteknevem olyan ritka, hogy aki azt viseli szegrol-vegrol tuti a rokonom. Nem mindenkinek van Kovacs Jozsef jellegu neve.

Amugy meg a kontextus is sokat szamit. Ha pl valami kistersegi nemibeteg gondozohoz adsz ki sorszamokat, akkor egy behatarolhato teruletrol beszelunk, ahol lehet, hogy nem is lakik olyan sok Kovacs Jozsef.

( kikepzo | 2019. 10. 17., cs – 14:22 )

A példa kedvéért: van egy 1-es sorszámú kártya, amin nem szerepel név, csak a sorszám. Van egy adatbázis, ami megvan a helyi péknél is és nálam is, amiben csak a név szerepel és a sorszám, ami arra jogosítja fel a kártya tulajdonosát, hogy minden hónapban egy darab kenyeret ingyen vehet át a péktől. A jogosultságát azzal igazolja a kártyatulajdonos, hogy bemutatja a személyi igazolványát, amiben már azonosítható a neve. A kártyatulajdonos hozzájárul egyébként ahhoz, hogy szerepeljen csak a neve az adatbázisban.
Ezek fényében mi a helyzet?

"Mert értek a kutyákhoz."

( P3nész | 2019. 10. 17., cs – 14:28 )

Ez alapján már azonosítható a személy, így a GDPR hatálya alá tartozik.

( sigellef | 2019. 10. 17., cs – 15:40 )

... tárold titkosítva, aztán mondd azt, hogy nincs ilyened :D

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

A személyes adat kezelése ez esetben evidens, de egy titkosított fájlról egyik bölcs jogász sem tudja megállapítani még azt se, hogy az xls lenne. ... tehát a "személyi adatok" (nevek) tételes tárolása nem bizonyítható.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

A GDPR az adatkezelés folyamatát nézi, interakcióban a személyes adat gazdájával. Mindegy, hogy ezt milyen módon teszed, nem az számít, hogy egy jogász érti-e a titkosított fájlodat, hanem az, hogy amikor _elkéred_ és amikor _használod_ a személyes adatot, akkor egyáltalán elkérheted-e és használhatod-e. Az, hogy konkrétan milyen módon tárolod, az irreleváns.

--
https://iotguru.cloud

( persicsb | 2019. 10. 17., cs – 16:21 )

Miért van nálad ilyen adat? Azaz mi az adatkezelés célja?

Erre nem válaszoltál még.

Akkor vonatkozik rád a GDPR. Nem kezelhetsz személyes adatot csak úgy. Akkor sem, ha önként adják meg - bár eleve ilyen nincs.
Minden esetben, amikor elkéred az adatokat, tájékoztatnod kell, hogy milyen célból kéred el, és hogyan fogod tárolni, feldolgozni, valamint meg kell mutatnod, és a felhasználó jóváhagyását kell kérned az adatvédelmi szabályzathoz, amelynek GDPR kompatibilisnek kell lennie.

Akkor van könnyebb dolgod, ha:
1. Nem kezelsz személyes adatot
2. Azért kezelsz személyes adatot, mert törvény kötelez rá (pl. bankok, hatóságok).

Minden egyéb esetben bizony a GDPR úgy vonatkozik rád, mint bárki másra.

( joco01 v | 2019. 10. 17., cs – 17:18 )

A név személyes adat, ennyi. Lehet, hogy nem lehet belőle egyértelműen kideríteni, hogy kiről van szó, de ez mindegy. Adott esetben éppenséggel ki lehet deríteni. Ha pl. valaki ellopja az adatbázisod, aztán az utca túloldaláról nézi, hogy kik járnak feléd, máris össze lehet kapcsolni a nálad tárolt adatot a konkrét személlyel. Gondolj bele, ha nem így lenne, nagyon sokan mondhatnák, hogy rájuk nem érvényes a GDPR, mert pl. a Google azt mondhatná, hogy náluk ugyan megvan az ember neve, de a TAJ számát nem kérik be, ezért pl. a náluk létező Nagy István a világ 261 Nagy Istvánja közül bárki lehet. Tehát van GDPR, felelős vagy a biztonságos tárolásért, kell lennie adatkezelési policynek, törölnöd kell az adatokat ha arra kérnek, stb.

innentől már mindegy mit ad meg mellé az alany

Kb. nem, és ha itt nem írsz részleteket, tényleg keress egy jogászt. Maradva a fenti példádnál (pék és ingyenkenyér) a "mindegy mit ad meg mellé az alany"-ba gondolom beleérted, hogy _milyen_ ingyen kenyeret vitt. Amiből mondjuk kiderül, hogy Kovács Béla gluténérzékeny, Kiss Pista laktózérzékeny stb. (merthogy direkt a gluténmentes és laktózmentes kenyeret viszik), ami egészségügyi adat, úgyhogy már a különleges személyes adat kategóriában jársz, amire megint más szabályok vonatkoznak (ott jogalap csak a hozzájárulás lehet, komolyabb követelmény az adatminimalizálás elvének követése, ha megtörnek, nehezebben mondod, hogy arányos védelmet csináltál stb.)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> Kb. nem, és ha itt nem írsz részleteket, tényleg keress egy jogászt.

Akkor is, ha ir reszleteket. Tele van a thread mindenfele kommenttel, dobalozik mindenki a GDPR-ral, Infotv. szoba sem kerult, stb. Ez igy ertekelhetetlen. Le kell ulni egy jogasszal par orat beszelgetni, es kesz. Vagy elolvasni azt nehany jogszabalyt ami a temaba vag, ez idoben joval tobb, penzben meg joval kevesebb.

( uid_395 v | 2019. 10. 17., cs – 18:17 )

btw, az még nem derült ki, legalábbis számomra, hogy ez egy "belső" "adatbázis" azaz excel ? Vagy mi a szösz ?

Mert jön itt mindenki a pékekkel meg a kenyerekkel ...

Nekem kb. egy kártyás beléptető rendszer jutott eszembe elsőnek.

Az is GDPR alá eső történet lenne ?

> Mert jön itt mindenki a pékekkel meg a kenyerekkel ...

+1

> GDPR kell-e
> GDPR kompatibilis
> van GDPR
> Az is GDPR ?

Imho itt erdemes elengedni a threadet, ettol nem lesz okosabb a kerdezo. Infotv-t olvassa el, kezdetnek jo lesz. Kicsit tul van lihegve a GDPR. A nev meg persze hogy szemelyes adat.

Nem rendszer, hanem (jogi vagy természetes) személy az, ami adatot kezel, és nem szoftverrendszerekre, hanem (jogi vagy természetes) személyekre vonatkozik a GDPR, akkor is, ha papíron, akkor is, ha digitálisan tárolnak személyes adatot.

Az a beléptető rendszer nyilván valakié. Mondjuk egy cégé. Ha egy cég személyes adatokat tárol rólad, mert belépőkártyát ad neked, akkor GDPR nyilatkoztatot kell aláírnod, amelyben benne van, hogy megismerted az adatkezelési szabályzatukat, stb.

Értem, de fentebb írta pont Gelei , hogy InfoTV*.

GDPR-t mostanság mindenre ráhúzzák, holott lehet nem is az.

Beléptető rendszer esetében pl. arra gondolok hogy te megvettél egy komplett rendszert. Kapustól, "üres kártyástól", szoftverestől. És te egy cég vagy, aki a dolgozókat így engedi be az irodaházba, hogy itt kell ez + az + amaz. Itt ehhez meg ehhez kell hogy legyen beléptetőkártyád. Tehát a cég a saját dolgozóinak adja ki a kártyákat és saját üzemeltetésben végzi el a beléptető rendszer szoftveres adatbázis frissítését is. na most. Akkor ez szerintem nem GDPR.

Ne húzzuk rá ezt mindenre. Mert akkor ennyi erővel a munkaszerződésed is GDPR alá esik, ott meg aztán jóval több személyes adatod van :) Azt is tárolják elektronikusan... könyvelő, stb.

Csak ezért írtam, hogy picit túlGDPRizálva van ez az egész :)

De még mindig nem ismerjük a kérdező által üzemeltetett környezetet.

"Mert akkor ennyi erővel a munkaszerződésed is GDPR alá esik"
Ez így is van, az alá esik - a munkaszerződésedet mint adathalmazt GDPR-kompatibilis adatkezelési folyamatban kell kezelni.

Amikor belépsz a céghez, akkor bizony alá is kell írnod azt, hogy ismered és elfogadod a cég adatkezelési szabályzatát.
Lásd: https://jogaszvilag.hu/cegvilag/a-gdpr-kompatibilis-munkaltato/

Nincs ez túl-GDPR-izálva, csak meg kell érteni, hogy a GDRP az nem adatkezelő szoftverekre vonatkozik, meg adatokra önmagukban, hanem arra a folyamatra, hogy ha egy jogi vagy természetes személy személyes adatot kezel, azt hogyan kell tennie. Tök mindegy, hogy azt az adatot papíron, szoftveresen vagy hogyan kezeli.

( P3nész | 2019. 10. 18., p – 15:58 )

Nem akarom bonyolítani jobban a dolgot, csak megjegyzem, hogy itt nekem nagyon úgy tűnik, hogy a Pék és közted közös adatkezelés van, vagy a Pék adatfeldolgozód. Akkor köztetek is kell lennie egy szerződésnek adatkezelési szempontból.
Ha van még kérdésed keress meg nyugodtan

( sigellef | 2019. 10. 18., p – 20:46 )

Mondjuk, ehhez a "havi egy ingyen kenyér akcióhoz" nem kell személyes adat. Adsz a vásárlónak egy papírt, amin van egy KÓDSZÁM, és a hónapok mellett egy JELÖLŐNÉGYZET.
A vásárló bemegy a pékhez, a pék megnézi egy szövegfájlból, hogy volt-e ebben a hónapban használva a kártya (KÓDSZÁM-ot keres), ha nem volt, beixeli a JELÖLŐNÉGYZETET az adott hóra, és beírja a KÓDSZÁMot a havi szövegfájlba. ... és ad egy kenyeret.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.