GDPR: a (web)fejlesztőt kötelező feltüntetni a weboldalon ?!

Offtopic

Sziasztok

Egy weboldalhoz backend fejlesztést végeztem, majd később időszakosan karbantartom. GDPR szakértőket is bevontak a projektbe, akik azt mondják, hogy a frontend webfejlesztőt és én backend fejlesztőt is kötelező megjelölni a weboldalon, név, lakcím formában, hogy az érdeklődök tudják, hogy kik kezelik az adatokat.
Nekem, mint KATA-s egyéni vállalkozónak a címe a családi lakhelyem. Nem kívánom ország-világ tudtára adni. Főként nem érzem korrektnek. Az én adataimat ki védi meg? Ha nagyon belemegyünk: másfelől a projekt kapcsolati hálójának bemutatása potenciális veszélyforrás is az adatok biztonságára nézve.

1. Tényleg van ilyen marhaság? Webshopnál már láttam megjelölni a webhosting céget, de a fejlesztőt még soha.

2. Ha tényleg kötelező, milyen kiskapu van a postafiók létrehozáson és ev. telephely áthelyezésen kívül?

  • 154 megtekintés

( SzBlackY | 2021. 12. 20., h – 13:20 )

Tényleg van ilyen marhaság?

Nem marhaság, teljesen jogos. Minden adatkezelőt és adatfeldolgozót fel kell tüntetni, márpedig ha te hozzáférsz az adatokhoz, akkor a kettő közül valamelyik vagy.

Nekem, mint KATA-s egyéni vállalkozónak a címe a családi lakhelyem. Nem kívánom ország-világ tudtára adni.

Ezt sakkozd le a NAV-val, ők már rég megtették helyetted az adószámkeresőn (leánykori nevén "Áfaalanyok egyszerű lekérdezése") keresztül...

Ha tényleg kötelező, milyen kiskapu van a postafiók létrehozáson és ev. telephely áthelyezésen kívül?

Kiskapu passz, megoldás lehet, hogy úgy intézitek, hogy soha ne férj hozzá személyes adathoz (értsd: ne legyen hozzáférésed a rendszerhez, csak a kódot add át, az adatkezelő meg házon belül üzemeltesse...)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

semmi jogalapja nincsen annak, hogy Proci85 adatai (fejlesztő minőségében) szerepeljenek az oldalon.

A NAIH szerint "Proci85 (ev.)" székhelye személyes adat, de közérdekből nyilvános (https://naih.hu/files/NAIH-2018-5233-4-V.pdf). A jogalaphoz pedig a jogi kötelezettség teljesítése (fel kell tüntetni az összes adatkezelőt és feldolgozót) is pont megfelel...

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Köszönöm szépen, hogy utánanéztél. Akkor ez szívás. Röviden és tömören: kapják be!

A közérdekből nyilvános kifejezés erősen bicskanyitogató. Milyen közérdeket szolgálunk azzal, ha tudják? Idejön Béla bácsi a lakásomra ellenőrizni az adatokat vagy bármilyen hatóság? Előbbinek semmi köze ebben a formában, utóbbinak meg van hivatalos csatornája. Komolyan nem értem. Ez egy hatalmas nagy baromság akárhonnan is nézem. Ráadásként úgy látom, hogy KATA-s nem adhat meg postafiókot székhelynek (fixme!)

"Ezt sakkozd le a NAV-val, ők már rég megtették helyetted az adószámkeresőn (leánykori nevén "Áfaalanyok egyszerű lekérdezése") keresztül..."

Nem a totális elbújás a cél, mert a mai világban kb esélytelen, de tálcán nem kínálnám fel minden gyütt-ment látogatónak meg, ha valaki rákeres google-n rögtön feldobja a címem. A NAV adatbázisából gondolom nem mazsolázik a google, meg oda kell egy interakció: célzott keresés.

"Nem marhaság, teljesen jogos."

Elfogadom a jogosságát, csak a kivitelezést nem. Megoldható lenne úgy is, hogy megvan belső doksiként, ami korlátozottan terjeszthető, kikérhető az érdeklődök számára céllal megjelölve. Nem publikba nyomva mindenki arcába, mert őszintén: minek?
Fura ez az egyoldalúság. Mi védjük az ügyfél adatait, ahol már egy név is személyes adat, visszafele meg nem működik ez(?). Az adatbiztos válasza erre az volt, hogy az egyéni vállalkozónak vannak kötelességei, ez is ez. Hát nem tudom...nem egy kft-ről van szó és annak tégla utcai telephelyéről. Az egyéni vállalkozó telephelyre rendszerint, ahol a családjával él. Más kategóriába kellene essen. Tudom, paranoid vagyok, de ez van :)

( NevemTeve | 2021. 12. 21., k – 11:42 )

Ne legyél se adatkezelő, se adatfeldolgozó. Szoftvert és/vagy informatikai szolgáltatást adsz el az illető cégnek, de az ügyfeleikhez nem kell közöd legyen.

Igen, ez a vonal lesz meglovagolva szerintem.

Az Integrity tartott korábban előadást abban, hogy ennyi erővel a postát és minden alvállalkozóját meg lehetne jelölni meg hozzájárulást kérni adatfeldolgozásra, hogy hozzáférhet az én borítékban szállított személyes adataimhoz. Aztán a helyzet az, hogy hozzáférhet, ha kinyitja a borítékot, de az már BTK-s kategória. Ugyanígy a rendszergazda is hozzáférhet az ügyfelek levelezéséhez, de nem teheti meg, mert BTK szerint felelősségre vonható. Tehát nem kérünk hozzájárulást egy esetleges illegális tevékenység végzésére. A kettő ütné egymást.

Esetemben van egy belső rendszer, adatok jönnek-mennek, de nem nézek bele. Az adatfeldolgozás helye pedig nem saját telephelyen történik, ahol rendelkezni kell az adatok további sorsáról szerződés bontás után. Hanem a megrendelő szerverén, ahol a hozzáférést visszavonja és kész.
Példaként felhő szolgáltatót, könyvelő irodát láttam, ahol tényleg adatok kerülnek más "telephelyre", itt nem. Nem értem az adatvédelmi biztost miért mondja, hogy adatfeldolgozó minőségben vagyok.

De ha tesztelési célból bele tudsz nézni, akkor már adatfeldolgozó vagy. Senkit nem érdekel, hogy valójában utóbbi hónapokban nem is néztél bele. De ha megvan rá a lehetőséged, hogy hozzáférj az adatokhoz akkor adatfeldolgozó vagy.

Lehet olyan, hogy tesztelés céljából hozzá kell férned, le kell töltened egy időre saját számítógépre adatokat.

Pl. ha én adataim lennének abban az adatbázisban, akkor engem érdekelne, hogy ki pontosan az a fejlesztő, aki hozzá tud férni az én adataimhoz. Az pont nem érdekel, hogy valójában nem férsz hozzá, ezt nem tudom ellenőrizni. Ha megvan rá a lehetőséged, hogy hozzáférj, akkor én úgy veszem, hogy hozzá is fogsz férni az adataimhoz, tehát szívesen megnézném az erről szóló részt az adatvédelmi nyilatkozatban.

( Proci85 v | 2021. 12. 21., k – 11:57 )

Szerkesztve: 2021. 12. 21., k – 11:58

Futottam egy kört nagyobb sw fejlesztő cégnél. Azt mondják lehet, hogy a törvény ez, de soha semmilyen gyakorlatot nem láttak erre. Sőt, végeztek munkát nagy multiknak, hivataloknak is,ahol drága ügyvédek komoly GDPR szerződéseket rakta össze. Soha sehol nem kerültek feltüntetésre a fejlesztők pedig hozzáférnek átadás után is az adatokhoz teljes vagy rész üzemeltetés miatt. Fura is lenne egy nagy projektnél több alvállalkozó jelen lenne a weboldalon....

Mert ha van egy fejlesztő cég, akkor elég csak a fejlesztő cég nevét, címét odaírni. Utána már nem kell tovább részletezni, hogy konkrétan kik a fejlesztők, alvállalkozók. Ha a fejlesztő cég hozzáfér az adatokhoz, akkor odaírják a fejlesztő cég adatait, és ennyi.

De te itt a leírás alapján egyedül vagy a fejlesztő cég, egyéni vállalkozói minőségben. Tehát fel kell tüntetni a neved, címed.

Mivel hozzáférsz az adatokhoz, ezért adatfeldolgozó vagy, tehát be kell kerülnöd az adatvédelmi nyilatkozatba. Ezt mondja ki a GDPR.

Amúgy miért baj ez? Szerinted hányan fogják ezt elolvasni?

A kibocsátott számlán ott vannak az adataid. A NAV-nál és a nyilvantarto.hu-n is le tudja kérdezni bárki (igaz, ahhoz tudni kell az adószámodat).

Ha Kft-d lenne, akkor még ráadásul ezeket az adatokat is publikálnák rólad az e-cegjegyzek.hu-n:

-teljes név

-anyja neve

-születési idő

-lakcím

-email cím

-adóazonosító jel

ezekből mindig a legfrissebb, mert ugye ezeket naprakészen kell tartani.

Szóval örülj, hogy csak a neved, lakcímed van publikálva...

 

"soha semmilyen gyakorlatot nem láttak erre" - attól még, hogy ők láttak X db adatvédelmi szabályzatot, amiben helytelen módon nem volt benne minden adatfeldolgozó, az nem azt jelenti, hogy nem kell beleírni az adatfeldolgozókat, tehát tegyél úgy, mintha ezt meg sem hallottad volna, mert nem mérvadó.