Pénteken jön a GDPR, felkészült a céged?

Szerzői jog, Online jog, Szólásszabadság

Teljes mértékben, és még a jogászaink is rábólintottak.
12% (40 szavazat)
Szerintünk teljesen, de jogász nincs nálunk.
8% (25 szavazat)
Többé-kevésbé/kicsit lemaradunk a határidőről, de egyelőre nem aggódunk.
13% (43 szavazat)
Egyáltalán nem, jöhet a bünti/lehúzzuk a rolót.
13% (42 szavazat)
A mi cégünket nem érinti a GDPR.
6% (21 szavazat)
Felhasználóként érint csak, készítem a popcornt.
15% (48 szavazat)
Egyéb.
6% (19 szavazat)
Unom már az egészet...
27% (88 szavazat)
Összes szavazat: 326

( trey | 2018. 05. 21., h – 09:11 )

Megfelelő szakértővel együtt kidolgozásra kerültek a dolgok. Hogy, az úgy jó-e, azt ember nem tudja. Hogy a szakértő jó-e, szintén. Van GDPR szakértő OKJ-s tanfolyam, vagy mi?

Amit hallani, hogy első körben nem fognak a magyar hatóságok büntetni, azt ellenőrzik, hogy mennyire volt hajlandóság, foglalkozott-e a cég egyáltalán a témával és eleinte inkább a figyelmeztetés lesz a módja az ösztönzésnek.

--
trey @ gépház

Idéznék: "Up to €20 million, or 4% of the worldwide annual revenue of the prior financial year, whichever is higher [...]"

Te ebből tényleg azt érted meg, hogy fix összeg a büntetés és ezen felül a 20 millió euró a plafon, de ha nincs annyi az éves árbevétel 4 százaléka, akkor ez utóbbi?

Viszont egységes lesz a büntetés mértéke uniós szinten. Így "igazságos".
Tehát egy kis 20 millió Ft bevételű magyar cég fog versenyezni pl. max. 20 millió eurós adott bírság esetén a facebook 4%-os bevételével.
A kicsik csődbe mennek, a nagyok meg sokszor röhögve kifizetik és igazítanak a megfelelőségen. Amíg nem büntetik meg őket, addig meg jön a bevétel.

>> hány darab PII van a Facebooknál vs. egy kis cégnél
> hasonló súlyú jogsértéseket, hasonlóan ítéljenek meg az Európai Unió különböző tagállamaiban

That's the point. Nem? Ha magyarországi székhelyű lenne a Facebook, akkor is ugyanazt a büntit kapná, mint máshol. Viszont egy mikrovállalat (bárhol) by design nem nagyon tud olyan mértékű visszaéléseket megcsinálni, mint a Facebook (bárhol).

Nem biztos, hogy így kell értelmezni.
Valahol olvastam, hogy a jogsértésekhez lesz igazítva a bünti.
Tehát pl. Te nem megfelelően kezelted az email címeket Franciaországban. Akkor 0,5 millió euró. De ugyanezt a büntetési tételt kapod, ha itthon csinálod ugyanezt a vétséget.

Ezt erősíti, hogy a büntetések is kategorizálva vannak:
10 millió euróig GDPR pontok felsorolva, 20 millió euróig másikak:
http://gdpr.blog.hu/2017/09/22/mennyi_20_mi_husz

Szerintem így kell értelmezni:

1. Ha egy kis cég elkeveri 3 darab ember adatait, kapnak egy megdorgálást.
2. 100 után pár ezer eurós büntetés jár (igazad van, ugyanez a tétel Magyarországon kicsit jobban fáj, de nem nagyságrendekkel).
3. ...
x. Facebook nagyságrendre van szabva a több tízmilliós tétel (ilyen nagy cég Magyarországon nincs is, mert kicsi ország vagyunk).

Bocsánat, de én úgy gondolom, hogy nem abból kellene kiindulni, amit a GDPR farkasok ordítanak, mert ez a GDPR nagyon jó alkalom sok léhűtőnek, aki el tud menni riogatni pénzért a cégekhez, hogy még több pénzt le tudjanak akasztani. Lehet, hogy a magyar hatóságok vérszemet kapnak, mint oly sokszor, de az EU területén én a hatóságok segítő szándékát tapasztaltam eddig, mint a basztató és/vagy pénzbeszedő szándékát.

Ne hozzám hasonlítsd, hanem a hivatalos szöveghez.

A kedvedért elolvastam a blogbejegyzést, és nem mond ellent annak, amit én írtam. Eddig első körben kötelező volt figyelmeztetni, tilos volt pénzbüntetni. Ha ez megszűnik, akkor ezután első körben a hatóság már választhat pénzbünti és figyelmeztetés között. Én pont ugyanezt mondtam. NEM írja senki azt, se a blog, se a hivatalos szöveg, hogy első körben kötelező a pénzbüntetés.

Nem tartom kizártnak, hogy a NAIH a GDPR-től szigorúbban büntet. Tehát némiképp fölösleges idekeverni a NAIH-ot, majd egyszer nálunk is lesz magyar jogrendre szabott GDPR-szerűség. De a GDPR szövegében akkor is ott van, hogy figyelmeztetéssel is meg lehet úszni. Határozottan, több helyen, idéztem is.

Mit ír az általad írt cikk? Azt, hogy volt valami mentesítés, ami megtiltotta azt, hogy rögtön büntessenek, más szóval, kötelező volt először figyelmeztetni. Ha ezt eltörlik, az egyáltalán nem jelenti azt, hogy ezután kötelező lesz rögtön büntetni. Hanem azt jelenti, hogy ezentúl első körben lehet büntetés és figyelmeztetés között választani. Ez szerintem teljesen összhangban van a GDPR-rel és természetesen nem is mondhat neki ellent.

Hú. Igazad lehet.
Te jobban tudod ezeket a jogász szövegeket értelmezni. Megérted a mögöttes mondanivalót is. :-)

Köszi. Egy kicsit megnyugodtam. Elég össze-vissza van még minden e körül a törvény körül. Így szinte lehetetlen 100%-ig megfelelni.

Ráadásul jó lenne valami gyakorlati leírás (FAQ) is hozzá:
- Mire kell figyelnem ha Google Analytics-et használok az oldalamon?
- Mire kell figyelnem ha Google AdSense-t használok az oldalamon?
- Milyen email szolgáltatást használhatok?
...

Nem mostanában csináltam meg a kötelező tréninget, szóval lehet, hogy rosszul emlékszem, de szerintem azért írja azt, hogy up to 4%, mert két lehetőség van: 2% vagy 4% (már nem emlékszem, hogy melyik esetben melyik bünti).
Szóval akár 4% is lehet. De az is lehet, hogy csak 2%. Viszont mondjuk 3% vagy 1% vagy 0,05% az nem lehet.

Lower level
Up to €10 million, or 2% of the worldwide annual revenue of the prior financial year, whichever is higher, shall be issued for infringements of: [...]

Upper level
Up to €20 million, or 4% of the worldwide annual revenue of the prior financial year, whichever is higher, shall be issued for infringements of: [...]

namost a "hatóság által kiszabott büntetés" és a "beperellek!" között elég sok különbség van, például hogy előbbinél egy meghatározott büntetési tétel az outcome, utóbbinál meg akármekkora kártérítést megpróbálhatok kiperelni akárkiből, legfeljebb megszívom ha nem nyerem meg a pert

Én hivatalosan GDPR felelős lettem a cégnél ahol dolgozok még Novemberben. Valami 40k/fő pénzért "képeztek ki" minket (vidéken)
Röviden-tömören: FOGALMAM SINCS, hogy mi most végülis megfelelünk-e vagy sem..eddigis mindent megtettünk a személyes adatok védelmében, itt-ott ami nagyon szemet szúrt GDPR szempontból reszeltünk egy kicsit de teljesen felesleges szerintem emiatt parázni. Így a képzést és a "felkészülést" követően is az a véleményem mint ami előtte is volt: csak azt nem büntetik szarrá akit nem akarnak - és/vagy aki tejel a megfelelő arcoknak :)

Sajnos egyből fognak büntetni:
A NAIH elnökével készült interjú:
https://piacesprofit.hu/kkv_cegblog/peterfalvi-attila/

Ebből a fontosabbak:
a) Nem lesz figyelmeztetés. Egyből büntetnek.
b) Nem magyar viszonyokhoz szabott hanem európai mértékű büntetések lesznek.

Mi kértünk néhány kérdésben állásfoglalást a NAIH-tól kb. 2 hete. Válasz még nincs. Pedig a miénk egy átlagos weboldal (Analytics, AdSense, email cím kezelés). Úgy indulunk, ahogy tudunk. Valamint ahogy sejtjük, hogy megfelelünk. :-(

Szerintem te ne akarj értelmezni jogi szöveget, ha írni se tudsz olyat... :)

Ez a mondat arról szól, hogy mi a felső plafonja a büntetésnek és az bizony vagy 20 millió EUR vagy 4%, amelyik a magasabb. Szóval egy lófasz pukibété esetén a nagyobb büntetési plafon 20 millió EUR, ha pedig 500 millió EUR összeget meghaladja a bevétele, akkor annak a 4 százaléka, for example 1 milliárd EUR esetén 40 millió EUR. Ugyanez igaz az alacsonyabb büntetési kategóriára, csak ott 10 millió EUR és 2% van, witchever is higher.

De ezek felső plafonok, a hatóság mérlegelheti a leírt szempontok alapján, hogy kevesebbet ró ki, nagyobbat nem tud.

Ugye azon megy a vita, hogy minden cég a 20M/4% bírságot kapja, vagy lesz olyan, aki kevesebbet is?

Akkor még idézek a hivatalos fordításból:

"E rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható."

"kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek."

Kontextusból kiragadva tényleg erős mondat, de

"(4) The processing of personal data should be designed to serve mankind. The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality."

...így szerintem érthető, mire gondolt a költő. :)

Gulyás Gergely Miniszterelnökséget vezető miniszter a mai kormányinfón beszélt erről:

Mivel a magyar jogrend még mindig nem készült fel a holnap hatályba lépő uniós adatvédelmi rendeletnek (GDPR) való megfelelésre, és látja a kormány a jelentős félelmeket a kkv-szektorban, ezért a kormány egy olyan, a kamarákkal és a Nemzeti Adatvédelmi és Információs Hatósággal közösen kidolgozott szabályozást akar, amelyben osztrák mintára a szankcionálás nem, csak a figyelmeztetés joga lenne meg a NAIH-nak a kkv-szektor felé.

--
trey @ gépház

( uid_18247 | 2018. 05. 21., h – 09:35 )

:)

(szerk. ez egy subscribe akart lenni)

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

( BlinTux v | 2018. 05. 21., h – 09:49 )

Na akkor a héten én is megírom a doksit hozzá és mindenki lenyugodhat a 'csába :D

( nevergone v | 2018. 05. 21., h – 10:34 )

Mi az a GDPR? :)

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

( _Franko_ v | 2018. 05. 21., h – 10:43 )

Én igyekeztem kiszervezni a GDPR érintett adatokat, nem tárolok és nem is mutatok semmi személyes adatot... :)

( ha5abe | 2018. 05. 21., h – 13:26 )

"A mi cégünket nem érinti a GDPR."
Létezik személyek nélküli cég?

Na, próbáljuk ezt ki. Véletlenül ideírom ezt:

"Az én TAJ számom 338-104-951 és a születési dátumom 1983.08.14."

Ettől most Trey hirtelen adatkezelővé vált? Szerint nem. Ő ezt az adatot sosem kérte és nem használja fel semmire. Még csak azt sem kell feltételeznie, hogy ez PII, lehet, hogy ezek téves adatok, sőt, random karakterek (megsúgom, hogy azok).

Láttál már olyan adatkezelési nyilatkozatot, hogy "49§ A véletlenül nekünk küldött adatokat így/úgy/amúgy kezeljük"?

Tudom-tudom az Index nem hivatalos infó, de azért nézd meg: https://index.hu/tech/2018/05/09/mihez_kezd_a_gdpr_az_emberi_hulyesegge… - "Személyes adatot véletlenül nem kezelünk"

De cáfolj meg, fejezd be a történetet, ami így kezdődik: "Egy rosszindulatú ember direkt körbeküldte a személyes adatait cégeknek, akik amúgy ilyen adatot nem kezelnek. Ezután..."

"Láttál már olyan adatkezelési nyilatkozatot, hogy "49§ A véletlenül nekünk küldött adatokat így/úgy/amúgy kezeljük"?"

Bocsánat, de nem véletlenül küldöm el nekik, hanem ügyfélként érdeklődök, amivel ők kényszerűen tárolnak egy nevet és egy email címet, legalább addig, amíg válaszolnak, hogy nem foglalkoznak velem, mert nincs rá kapacitásuk. Ez ettől függetlenül egy ügyfélkapcsolat, személyes adatokkal.

"Ha csak simán válaszolnak az emailre, de nem tesznek fel marketing listára, nem kerülsz be CRM rendszerbe, stb., akkor az még nem adatkezelés."

Hogy a lófaszba ne lenne adatkezelés egy ügyfélkapcsolat, még ha oly rövid is?

"Maximum az email szerver lehet érintett, ezért is jobb, ha kis cég nem saját email szervert üzemeltet."

Nem a szerver üzemeltetője az adatkezelő.

Amennyiben a munkavállaló ember, úgy neki is vannak személyes adatai.
Természetesen tárolhatsz /kell is/ törvény által előírt adatokat róluk és ezen kívül is tárolhatsz üzleti érdek vagy hozzájárulás alapján is adatokat róluk. Minden esetben meg kell lennie a folyamatnak ami alapján az adatkezelés zajlik (mi van ha kilép? ha állást hirdetsz meg mi van a CV-kel, stb)illetve a megkapott adatokra vigyáznod kell, hogy például illetéktelen ne férjen hozzá, stb.

--
Tanya Csenöl az új csatorna

( gee v | 2018. 05. 21., h – 14:09 )

Egyeb: fogalmam sincs. Gondolom, akinek ez a feladata, bizonyara megtette a lepeseket.

( artifex | 2018. 05. 21., h – 15:19 )

Rengeteg ilyen adat van nálunk, jogászok pörögtek rajta. Majd kiderül mire jutottak.

"I'd rather be hated for who I am, than loved for who I am not."

( mzn v | 2018. 05. 21., h – 16:59 )

Az európai GDPR-felelősünk szerint a hívásrögzítéses telefonközpontunkat nem érinti a GDPR, úgyhogy popcorn. :)

( r3flow | 2018. 05. 21., h – 21:27 )

Az adathordozhatóság joga
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott
személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja

Az kiderült már, hogy ez pontosan milyen formátum? Vagy pl. egy CSV fájlban tetszőleges sorrendben felsorolva az adatokat az megfelel a széles körben használt géppel olvashatónak?

( nevergone v | 2018. 05. 22., k – 12:30 )

Nóta csütörtökre:

Titkos üzenet
száll a széllel,
adatot kezelsz,
egész éjjel!

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

( gigalomania v | 2018. 05. 22., k – 22:33 )

Egyik partner cég szerződés módosítást írt, a GDPR-re hivatkozva. A legjobb rész benne:

Kijelentjük, hogy a Társaság megfelelő hardver és jogtiszta szoftver eszközökkel rendelkezik, és
megfelelő biztonsági intézkedéseket vezetett be és alkalmaz a személyes adatok védelme, valamint a
jogosulatlan vagy törvénytelen Feldolgozással és az előre nem látott veszteséggel,
megsemmisüléssel vagy kárral szembeni védekezés biztosítása érdekében.

: ))

( sigellef | 2018. 05. 23., sze – 09:19 )

Végre megint van egy EU-s valami, amiért
- ki lehet dobni egy kalap pénzt,
- a munkát is hátráltatja,
- semmi pozitív hozadéka sincs,
- és lehet büntetni is, ha nincs.

( otthon a disznónak is vettem régen egy piros labdát, de sose használta :D )

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.
/usr/lib/libasound.so --gágágágá --lilaliba

( arpi_esp v | 2018. 05. 23., sze – 20:58 )

van meg 2 nap ra, nem kell azt elkapkodni :)

( BlinTux v | 2018. 05. 24., cs – 19:49 )

Na, összedobtam egy 12 oldalas doksit róla, amiben aztán minden benne van. De hogy ezt senki nem fogja végigolvasni az is kurvaisten.

Egyébként már kiba idegesítő, hogy napi 8 levél jön erről, hogy XY frissítette a nyilatkozatát... Ezért be is állítottam spam szűrést minden levélre amiben szerepel az adatvédelem szó.

Szóval jah, felkészültem! \o/

( agostonl | 2018. 06. 07., cs – 11:27 )

GDPR?!! Ma egy ismerősöm bement számlatömböt venni, 5 percig töltögette az A4-es nyomtatványt, hogy a papírboltos kezelheti az adatait.
Megint egy pofon a bürokráciának.

Isten nem kér belőlem,
az ördög viszont még nem enged.
"Red Reddington"

https://goo.gl/RA3vyD