Marcus Aurelius : Elmélkedések #18
seen from Chile
seen from United States
seen from Kenya

seen from United States

seen from United States

seen from Germany

seen from United States
seen from Germany

seen from Australia
seen from United States
seen from China

seen from Kenya

seen from United States
seen from Singapore
seen from United States

seen from China

seen from United States
seen from United States
seen from United States
seen from Netherlands
Marcus Aurelius : Elmélkedések #18
Miért fontosak a GDPR alapelvei?
Mi az a GDPR?
Képzeljünk el egy hatalmas szövetséges birodalmat, ahol rengeteg vár áll és mindegyikben egy-egy várparancsnok, azaz egy-egy adatkezelő uralkodik. Az ő feladata, hogy minden adatot, ami hozzá bekerül, megvédjen és nemcsak a külső támadóktól, hanem a belső támadóktól is. A játékszabályokat az európai adatvédelmi rendelet, azaz a birodalmi GDPR határozza meg, helyi kiegészítések pedig a szövetség tagjaira, azaz a tagállamok jogalkotására van bízva (Magyarország: Infotv.). A játékszabályok betartása felett a helyi felügyeleti hatóság (Magyarország: NAIH) és a bíróság őrködik, ha egy várparancsnok rosszul látja el a feladatát, törvényi szinten meghatározott eljárás lefolytatása után ők szabják ki a büntetést. Vannak még tanácsadók is, az adatvédelmi tisztviselők, ők segítik a várparancsnokokat feladatuk ellátásában.
Miért fontosak az alapelvek?
Az alapelvek segítenek abban, hogy jobban megértsük, miről is szól ez az egész adatvédelmi szabályrendszer, illetve ha bizonyos előírások értelmezésével gondunk van, akkor az alapelvek azok, amihez kályhaként visszatérhetünk. Azt sem árt tudnunk, hogy már magáért az alapelvek megsértéséért is lehet büntetést kapni.
Melyek ezek az alapelvek?
a) jogszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
A személyes adatokat
egyrészt mindig úgy kell kezelnünk, hogy megfeleljünk a vonatkozó jogszabály előírásának - például ha a társasházi törvény előírja, az ingatlan tulajdonosoknak milyen adatai kezelhetők, akkor ezen jogszabály rendelkezései alapján csakis ezeket az adatok kezelheti a közös képviselő (ha olyan adatot akar kezelni, amelyre nem ad felhatalmazást a társasházi törvény, akkor vagy másik jogszabályi helyet kell találni, olyat, amelyben szerepel, vagy másik jogalapot, például hozzájárulást vagy jogos érdeket),
másrészt a kezelés közben tisztességesen kell eljárnunk - azaz például az ingatlan tulajdonosok és bérlők adatait nem adjuk ki biztosítás, utazás vagy bármi más tukmálásával foglalkozó ügynöknek még akkor sem, ha úgy gondoljuk, nagyon nagy szükségük van biztosításra, utazásra vagy bármi másra.
A tisztességes és átlátható adatkezelés megkívánja, hogy az adatokat úgy kezeljük, hogy azok nyomon következőek legyenek és az adatkezelésünkben érintett személy nem jut arra a sorsra, hogy Trinidad-Tobagóba bejegyzett online kaszinóból kap naponta több visszautasíthatatlannak tűnő ajánlatot a mi slendriánságunk miatt. A nyomon követhetőség követelményét attól a pillanattól kell tudnunk teljesíteni, ahogy az adott adat bekerült az adatkezelésünkbe (pl. az ingatlantulajdonos közölte a közös képviselővel, mi az e-mail címe) és mindaddig fennáll ez a kötelezettségünk, ameddig le nem selejtezzük (meg nem semmisítjük) ezt az adatot és erről nincs írásos bizonyítékunk.
b) célhoz kötöttség elve: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet és nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.
Az adatokat mindig csak meghatározott célból gyűjthetjük - például ha egy iskola tanulmányi versenyre jelentkezés céljából kezeli a diákok adatait, akkor a tanulmányi versenyen induláshoz kezeli, ha osztálykiránduláson szállás foglalása céljából akkor abból, de mindig meg kell tudni mondaniuk, mi a konkrét adatkezelési cél. És nemcsak meg kell tudni mondani, hogy mi a cél, az érintettel közölt cél nem csereberélhető tetszés szerint ? a versenyre jelentkezéshez gyűjtött adatokat nem használhatja fel az iskola szállásfoglalási célra és fordítva.
c) adattakarékosság elve: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek és a szükségesre kell korlátozódniuk.
Mindig csak annyi adatot gyűjthetünk, amennyire feltétlen szükségünk van. Amennyiben például jogszabály mondja meg, milyen adatokat kell elkérnünk, akkor szigorúan ragaszkodnunk kell ezekhez az adatokhoz és ha például nem kéri a személyi igazolványszámot, akkor mi sem kérhetjük el. A hozzájárulásos adatkezelésnél nehezebb dolgunk van, mert az ilyen esetekben ritkán ad mankót jogszabály ahhoz, hogy milyen adatokban kell gondolkodnunk az adott adatkezelés célja eléréséhez, hanem nekünk kell eldöntenünk, melyek a feltétlen szükséges adatok. Ha például hírlevél szolgáltatást üzemeltetünk, akkor mindenképpen meg kell győződnünk arról, hogy a jelentkező elérte azt a korhatárt, ami felett már nem kell szülői beleegyezés ahhoz, hogy jogszerű legyen az adatainak a kezelése, így a születési évszám elkérése indokolható lehet. Azt azonban már nehezen tudnánk elfogadtatni a hatósággal egy vizsgálat során, hogy egy hírlevélre feliratkozáshoz miért is van szükségünk az érintett anyja nevére.
d) pontosság elve: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük és minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törölve vagy helyesbítve legyenek.
Ha adatokat gyűjtünk, akkor azok legyenek pontosak, különben nem biztos, hogy a célnak megfelelően használni is tudjuk azokat. Ha szól a szerződéses partnerünk, hogy megváltozott a számlázási (szállítási) címe, akkor nekünk is módosítani kell az adatainkat, különben nem tudunk szerződésszerűen számlázni (teljesíteni), ha pedig eleve elírt adat került bele a szerződésbe, amint tudomást szerzünk róla, szintén javítanunk kell. Jó ha tisztában vagyunk vele, a hibás, helytelen személyes adat is személyes adat.
e) korlátozott tárolhatóság elve: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tegye lehetővé.
Az adatok egy tetemes része nem örökgaranciás, éppen ezért kell időről időre selejteznünk (adatot megsemmisítenünk). Nem azért kell kidobnunk a 12 évvel ezelőtt megszűnt irodatakarítási szerződést, mert nem férünk a szekrényben, hanem azért, mert az adatkezelés célja réges-régen megszűnt: nincs már garancia, a peresítés lehetősége is áll már fent, sőt már a szerződés alapján készült számlákat sem vizsgálhatja az adóhivatal.
Az selejtezés során gondoskodjunk arról, hogy csak olyan iratot selejtezzünk le jegyzőkönyvileg, amely nálunk volt (iktatókönyvben szerepelt), azaz utólagosan se bizonyítsunk magunkra jogosulatlan adatkezelést. Arra is mindig vigyázzunk, hogy az adatok nyomon követhetősége érdekében tudjunk arra az esetleges érintetti kérdésre válaszolni, miszerint mikor és hogyan szüntettük meg az érintettel kapcsolatos adatkezelést - például volt munkavállalónk esetében tudjuk teljes magabiztossággal négy évvel a kilépése után azt mondani, hogy már csakis azok az adatokat kezeljünk vele kapcsolatban, amelyek megőrzésére jogszabály kötelez minket, a jelenléti íveit meg a céges internet használatának ellenőrzésével kapcsolatos dokumentumokat pedig már megsemmisítettük.
Persze vezethetünk feketelistát ("velük soha többé az életben nem szerződünk") adatkezelési céllal, ennek az adatkezelésnek a célja azonban már teljesen más, mint az eredeti szerződéses célú volt - ebben az esetben az eredeti szerződést le kell selejteznünk és csak a személyes, az adott személy beazonosítására alkalmas minimális mennyiségű adatot tarthatjuk nyilván jogos érdekünk alapján. Ebben az esetben érdekmérlegelési tesztet kell végeznünk, amely során bebizonyítjuk, a feketelistánkon szereplő hanyag, dolgozni nem tudó személyt nem akarjuk többet látni az irodánkban, mert már a szimpla jelenléte is jelentős kárt okozhat a szervezetünknek (természetesen nyomdafestéket tűrő, szofisztikált megfogalmazást használva).
f) integritás és bizalmas jelleg elve: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
A GDPR "összetolta" a jogszerű adatkezelést az adatbiztonsággal, azaz nemcsak arra kell ügyelnünk, hogy megfelelő, jogszerű célra hivatkozva, időben szavatos és helyes adatokat tartsunk nyilván, hanem arra is, hogy ezek az adatok mindaddig biztonságban legyenek, ameddig nálunk vannak - ha pedig kiderül, hogy erre képtelenek voltunk, akkor bizony előfordulhat, hogy önfeljelentés keretében az adatainkat ért adatvédelmi incidenst be kell jelentenünk a Hatóságnak.
A védelem módját és mértékét mindig nekünk kell eldöntenünk a szervezetünk sajátosságait figyelembe véve - egy kétfős irodától nem várható el, hogy Fort Knox szintű védelmet biztosítson, ám az adatkezelőnek kutya kötelessége, hogy minimum nehezen megfejthető jelszóval védje az adatbázisát, ne hagyja szanaszét a laptopját, gyakran végezzen biztonsági mentést és az iratokat se vigye ki a huzat az ajtón.
g) elszámoltathatóság elve: az adatkezelő felelős az a)-f) pontoknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
Összegezve az alapelveket:
személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhetünk,
az adatkezelésünknek az adatkezelés minden szakaszában meg kell felelnie az adatkezelés céljának, valamint az adatok felvétele és kezelése során tisztességesnek kell lennünk és a vonatkozó jogszabályok szerint kell eljárnunk,
csak olyan személyes adatot kezelhetünk, amely az adatkezelésünk céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, valamint csak a cél megvalósulásához szükséges mértékben és ideig kezelhetjük azokat,
az adatkezelés során biztosítanunk kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint
arról is gondoskodnunk kell, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani,
ha pedig már nem tudunk célt rendelni az adatokhoz, az adatkezelést haladéktalanul meg kell szüntetnünk, az adatokat (iratokat, fájlokat) pedig bizonyítható módon meg kell semmisítenünk.
dr. Albert Ágota adatbiztonsági és adatvédelmi szakjogász, adatvédelmi tisztviselő
Imádom az ilyen mélyelemzéseket, amikor kiderül, hogy pontosan miért ennyire furcsák az MK X (korábbi videó) és az MK 11 karakterienk a mozdulatai. Merthogy egy ütésbe bele kéne adni a felsőtestet is, egy rúgásnál a súlypontnak is mozdulnia kéne, de persze nem a realitást kéri számon a videóban magyarázó animátor srác, hanem a látványos animációk alapelveit.
Merthogy ahhoz, hogy egy rúgássorozat látványos legyen, ahhoz bizony el kell törni a csóka gerincét kétszer is (lásd a Tekkenes példát, zseniális), de ezt egyrészt normál sebességnél nem veszed észre, másrészt pedig addig nem is érdekes, amíg maga a mozdulat kifejezi azt, amit ki kell - hogy a játékos azt érezze, hogy amit csinált, annak van lendülete, abba a karakter keményen beletette magát, és megsebzi vele találat esetén a másikat.
Mert bizony az MK X-ben és 11-ben ez nagyon sok karakter esetében nem így történik - merev marionettbábuk kaparásszák egymást szánalmasan, és baromira hülyén néz ki, hogy egy 164 centi magas, 50 kilós nő könyökből indított ütése felrepíthet egy 90 kilós ninját 3 méterre a levegőbe. De nem a realitás miatt, mert Jacqui Briggs egyébként ha rendesen berogyasztana és az egész testét beleadva vállból indítaná azt az ütést, akkor teljes mértékben elfogadnám a játék szabályrendszerén belül azt, hogy Sub-Zero bizony ettől felrepül 3 méter magasba. El én. És tökjó látni, hogy valaki elmagyarázza, hogy mi zavart engem eddig :-)