ugrás a tartalomhoz

új adatvédelmi törvény

Radon · Május. 31. (Cs), 10.21
Sziasztok.
Csak annyit szeretnék tudni, hogy a hobbi weboldalakra is vonatkozik ilyen szigorúan az adatvédelem, vagy csak a profitot termelő weboldalakra?
Van regisztráció, és adatkezelés az oldalon, de a hibákért mégsem büntethetnek meg egy hobbi alkotást több millió euróra.
 
1

Kérdezed, vagy mondod?

Pepita · Május. 31. (Cs), 14.02
a hobbi weboldalakra is vonatkozik ilyen szigorúan az adatvédelem

Minden adatkezelőre vonatkozik, nem csak a weboldalakra, de még Manyika nénire is, aki ki szokta adni karakóhörcsögi házikójának a hátsó szobáját, és egy kockás füzetben vezeti a foglalásokat.
Nem profitfüggő.

a hibákért mégsem büntethetnek meg egy hobbi alkotást
Dehogynem. Ha nem is többmillió euróra, de megbüntethetnek. Egyelőre úgy néz ki, hogy a NAIH magyar kkv-ket, nonprofit szervezeteket elsőre nem büntet, csak figyelmeztet.

Fontos tudni, hogy Adatvédelmi Törvény !== GDPR. Utóbbi Eus rendelet és mint ilyen, kötelezően és közvetlenül végrehajtandó minden tagállamban 2018-05-25 - től.

Pár GDPR megfelelőségi dolog (a teljesség igénye nélkül):
- Kell lennie adatvédelmi tájékoztatónak (hétköznapi ember számára is érthetően)
- Ahol a user személyes adatot adhat meg, ott linkelni kell + unchecked checkbox, hogy látta / olvasta
- A tájékoztatóban fel kell sorolni az összes kezelt adatot tételesen, és a kezelés módját, idejét, célját is (indok nélkül nem lehet egy sem, az nem cél, hogy Te szeretnéd tudni pl az email címét)
- Csak a feltétlenül szükséges adatmennyiséget szabad elkérni (nagyon sokan feleslegesen kérnek el pl telefont, lakcímet)
- Csak a feltétlenül szükséges ideig szabad tárolni. Amint nincs rá szükség, törölni kell.
- Gondoskodni kell róla, hogy kérésre rövid időn belül (1 nap) minden személyes adatát töröld, ha más törvény miatt nem kötelező megőrizned (pl számlázásból nem törölhetsz 5 évig)
- Gondoskodni kell arról, hogy csak a valóban szükséges mennyiségű adatot láthassa és csak olyan ember, akinek szükséges ahhoz, hogy elvégezze a feladatait. Vagyis ha van egy titkárnőd, aki a promó leveleket intézi, nem láthatja a telefonszámokat. A takarítónéni pedig semmit se lásson.
- IP cím is személyes adat.
- Vannak ú.n. érzékeny adatok is, mint pl egészségi állapot, ezekkel még óvatosabban kell bánni.
- Bármilyen adatkezelési incidenst (amennyiben elképzelhető, hogy kerültek idegen kézbe adatok) haladéktalanul jelenteni kell a NAIH-nak, és ha van rá mód, az érintett usereknek is.

Így hirtelen ennyi, de a valóság jóval több.
A hobbioldalon szerintem vizsgáld felül, hogy minden adatra szükség van-e, írj egy 1-2 oldalnyi érthető tájékoztatót, oldd meg a gyors törlést és készen vagy. (Ha van analitics vagy hasonló, azt én kilőném élből.)
2

Na ezt itt mindenkinek el

Radon · Május. 31. (Cs), 15.22
Na ezt itt mindenkinek el kellene olvasni! Nagyon jó, és nagyon hasznos. pont erre voltam kíváncsi. köszi! Azért utána olvastam, és tudok a GDPR-ról, csak erre a hobbioldalakra vonatkozóan nem írt senki. köszi.
3

Az analitics kiesése

inf3rno · Május. 31. (Cs), 18.37
Az analitics kiesése szerintem elég nagy érvágás lenne minden oldalnak. Szerinted hogyan lenne megoldható, hogy a látogatottsági adatokat mégis le tudd menteni valamilyen a törvénynek megfelelő formában? Pl az IP címek kapásból kiesnének gondolom. A másik kérdés, hogy ahonnan támadják az adott oldalt, annak a kliensnek ennyi erővel az IP-jét se lehet fekete listára tenni vagy mivan? Abba meg már bele se nagyon szeretnék gondolni, hogy mi a helyzet a DNS szerverekkel, akik eszerint személyes adatokat adnak ki mindenkinek, amikor a domain névhez IP címet társítanak...

Nem tudom, lehet, hogy rosszul értelmezem, és pl fekete listás IP címeket lehet tárolni egy táblában, addig, amíg nem kötjük pl felhasználói névhez vagy email címhez vagy egyéb személyes adathoz. Valahogy most nincs kedvem ilyen jogi hülyeségeket végigolvasni.
4

IP + ePR

T.G · Jún. 1. (P), 05.52
Sok mindent tárolhatsz, csak meg kell indokolni. Mi továbbra is rögzítjük a belépésnél az IP címet, és ezt közöljük is az adatkezelési tájékoztatóban. Mivel az elmúlt években volt rendőrségi ügyünk is, ahol a hatóság ezt az adatot bekérte így tudunk mellé valós indoklást is társítani.

Nem a GDPR az egyetlen feladat mostanában. A jövőre életbe lépő ePrivacy Directive (ePR) a honlap tulajdonosoknak nagyobb problémát fog okozni. Azért is vannak több helyen egymásnak ellentmondó információk, mert sokan már ennek is meg akarnak felelni. (ami persze, azért nem akkora gond, mert fél év és életbe lép)

A honlapot érdemes megnézni a Cookiebot-tal. https://www.cookiebot.com/
5

Indokolni kell

Pepita · hétfő, 08.00
Az analitics kiesése szerintem elég nagy érvágás lenne minden oldalnak
Szerintem elég gyorsan és nagy mértékben változni fog - ez volt a fő célja a rendeletnek, hogy az utóbbi években nagyon eldurvult profilozást csökkentse. Ha Te használsz egy pl Guglis szolgáltatást az oldaladon, azért a szolgáltatásért nem felelsz, de gondolom most már ki kell írni.
Szerinted hogyan lenne megoldható, hogy a látogatottsági adatokat mégis le tudd menteni valamilyen a törvénynek megfelelő formában?
Anonym módon megengedett. Nem gyűjtesz olyanokat, mint név, cím, nem, életkor, stb, akkor lehet.

Biztonsági okokból nyugodtan tárolhatsz IP címet, ez bőven eléggé indokolja. Viszont nem indokolja, hogy felhasználóhoz / más személyes adathoz kösd.
Csak példa:
- Amikor új látogatókén érkezik request (nincs még session), mented az IP-t + user agent egy táblába
- Megnézed, van-e már ilyened, milyen régi.
- Ha túl sűrűn nyit új sessiont, bannolod.

Így nem kötötted konkrét személyhez az adatokat, mégis szolgálja a biztonságot.
De ugyanígy pl login-nál kötheted a konkrét user-hez is, pláne ha van is "tétje" az account-lopásnak. Ahogy TG írta, szerintem teljesen rendben van. Mondjuk az mindegy, hogy esetleges nyomozás során mit kérnek a zsaruk, mert azt adsz nekik, amid van; de az a (biztonsági) célkitűzés, hogy ezáltal nagyobb biztonsággal tudják használni a "rendes" userek az oldalt, önmagában elég indok.

domain névhez IP címet társítanak
Ilyenkor ugye egy szerver IP-jét társítják, nem a Kovács Manyika nénit Karakóhörcsögről. Vagyis szó sincs személyről, így személyes adatról sem. :)

Valahogy most nincs kedvem ilyen jogi hülyeségeket végigolvasni
Senkinek sincs, de muszáj tájékozottnak lenni, mert a már most élesített új projekteket sokkal szigorúbban fogják nézni, mint a régieket.
Elég egy kukacos user, aki bejelenti...

SZERK.
2 része van a dolognak:
- Adat tárolás (ezzel kb mindenki tisztában van)
- Adatkezelés. Ezzel sokan elfelejtenek foglalkozni. Pedig ugyanolyan fontos, az adatok láthatósága (ki, mikor, miért láthatja azokat), rendeltetése, stb.