[link] az osztrák posta a lakosság egyharmadának személyes adatait eladta.

most fogunk látni egy hatályos jogszabályértelmezést, amiből minden kiderül a gdpr-ral kapcsolatban.

Érdekes hír, több kérdést is felvet:
1. A "feltételezett politikai hovatartozás" személyes adatnak minősül?
2. Az adatkezelés jogalapja vajon mi lehetett a Posta szerint?
3. Kíváncsi vagyok a véleményedre: konkrétan melyik előírását sértették meg egészen biztosan a GDPR-nek?

Jah, és egy másik hír: amikor túltolják a GDPR-t:
[link]

"1. A "feltételezett politikai hovatartozás" személyes adatnak minősül?": igen.
9. cikk. 1. bek:
"A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok"

a posta elég pontosan meg tudja állapítani a politikai véleményedet abból, hogy milyen újságot rendelsz, milyen pártoktól kapsz gyakrabban levelet. tehát ha azt adta el, hogy te x párt tagja vagy, az találgatás, és vitatható, hogy személyes adat-e, de ha azt adta el, hogy te megrendelted x politikai csoportosulással azonosított újságot, az konkrétan személyes adat, ami politikai véleményre utal.

"2. Az adatkezelés jogalapja vajon mi lehetett a Posta szerint?": nyilván téves jogalap.

"3. Kíváncsi vagyok a véleményedre: konkrétan melyik előírását sértették meg egészen biztosan a GDPR-nek?": van néhány, amit nem sértettek meg... egyrészt olyan célból kezeltek adatokat, amire nem volt jogalapjuk. másrészt olyan helyre továbbították az adatokat, ahol nem lehetett biztosítani az érintettek jogait, se a törléshez, se a betekintéshez, stb. semmihez való jogot nem tudsz biztosítani, mert nem tudod, hogy hova került az adatod. ehhez nem kértek és kaptak engedélyt.

Szerintem az alapkérdés egyszerű: az osztrák állam egy jelentős befizetője az eu-nak. a hibát az osztrák állam 52%-os tulajdonában levő cég követte el. elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet.

egyébként a profilalkotással kapcsolatos cikkeket is megszeghették...

Hát én pont az egy adott párttól érkező újságot rakom a macska alom és a tartó közé, mert remekül felszívja a folyékony eredményt. Sokszor szándékosan ha van rajta arckép akkor az nézzen felfelé (jó jó persze rákerül az alom). És amikor dobom ki az almot akkor egybe kicsúszik, nem marad az alomtartó alján macskapiszok.
De persze a színes képek egyes színei olykor ráragadnak az aljára. Ki szoktam mosni.
Szóval nálam eléggé nehéz megállapítani a politikai hovatartozást.
(nem vicc, valóban így csinálom!)

[ Szerkesztve ]

Nos, akkor menjünk sorban.

1. A feltételezett politikai hovatartozást a cikk szerint az "életkor, a nem, a cím és a szavazókörök adatainak összevetésével állították össze". Ebből nekem az jön le, hogy összevetették hogy adott szavazókörben milyen pártra szavaztak legtöbben (életkor és nem szerinti megoszlásban), és ezt kezelték. Véleményem szerint ez nem meríti ki az általad idézett definíciót, mivel a lfenti összehasonlítás aligha alkalmas a feltételezett politikai hovatartozás értelmes megállapításához (hiszem még az is lehet, hogy adott érintett nem is a lakhelye szerinti szavazókörben szavazott). A régi Infotv-es definíció ("...levont következtetés...") alapján én is hajlanék a véleményedre, de a GDPR-es terminológia alapján inkább nem.

2. Téves jogalap? Jogos érdeken alapuló adatkezelés még lehet (persze ehhez kell érdekmérlegelési teszt is), tehát azt biztos nem mondanám rá élből, hogy erre az adatkezelésre (és az ilyen típusú adatkezelésekre) ne lehetne jogalapot találni.

3. Egészen biztos, hogy megsértették az érintett tájékoztatásának kötelezettségét - számomra a meglévő információk alapján ennyi, ami tutibiztos. Annak eldöntése, hogy még milyen passzust sértettek meg, szerintem további információt igényel.

elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet.

És ha csak egy "fél-gigabüntetést" szabnak majd ki? A gigabüntetés és a sajtpapír között azért van pár fokozat...

Te az ingyen és nyilván kéretlenül érkező reklámújságra gondolsz, ő meg az előfizetéses pártlapokra gondolt...

"52%-os tulajdonában levő cég követte el. elég egyértelmű, hogy ha az eu adatvédelmi hatósága komolyan veszi magát és a rendeletet, akkor itt egy gigabüntetést kell kiszabniuk. ha nem lesz gigabüntetés, akkor ezzel azt a jogértelmezést adták a gdpr-hoz, hogy az csak egy sajtpapír és eszükben sincs komolyan venni az adatvédelmet"
Pont itt a gond... Mivel nem olyan, hogy EU adatvédelmi hatóság jár el hanem a helyi szervek (minden osrszágban a helyi szervek tartják be a törvényeket nem az EU megy oda dádázni) így az egyik állami osztrák szervezetnek kellene megbüntetni egy másik céget ami gyakorlatilag állami vállalat (52%tulajdonrész)...
Sajnos kétlem, hogy giga büntetést szabnának ki. Valami lesz talán... de giga szinte biztos nem.

1. Amit leírtál az a profilalkotás... Ami szintén benne van GDPR-ban és ha nem járulsz hozzá, hogy az adataidat felhasználják rá akkor nem szabadna használni. Nem a semmiért a minden közvéleménykutatás vagy épp népszámlálás vagy minden csoda anonim és beleegyezés szükséges. (és ezek után az anonimitást is, hogy a picsbe garantálja az osztrák posta... nem hogy a belegyezést).
Itt jól össze van szedve amúgy, bár nem a legfrissebb [link]

2. Postai szolgáltatást igénybe veszed ha akarod ha nem, ez nem futárszolgálat vagy közmű ahol szerződést írsz alá. Küldenek valamit neked az állami postán azt megkapod. Feladsz valamit a postán másnak akkor se írsz alá ÁSZF-et meg adatkezelési nyilatkozatot. Tehát ez egy olyan cég ami végül adatokat tárol rólad ha akarod ha nem... ezért pont, hogy extrán oda kéne figyelni az adatkezelésre.
Tehát nincs jogalapja eladni belegyezésed nélkül a hozzád társított adatokat, vagy csak a profilt sem. (legalább is GDPR alapján nem szabadna... és a szabad és a lehet sajnos nem ugyan az)

na látod, erről szólt az eredeti hsz-em, hogy most kapunk egy precedens értékű jogértelmezést.
szerinted erre lehet jogos érdeken alapuló jogalapot találni, szerintem meg ezért kettő a mellbe, egy a fejbe.

1. "...a cikk szerint" a cikkben az van benne, amit a vétkes kijelentett mosakodás gyanánt.

hogy megy ez a magyar postánál: van már elektronikus feladóvevény és elektronikus postakönyv is. ha valaki levelet akar kiküldeni sok címzetnek, akkor jó eséllyel nem kézzel fogja megcímezni a leveleket és a postakönyvet sem kézzel fogja kitölteni, hanem használja a posta elektronikus rendszereit. vagyis ha pl. kapsz egy konzultációs levelet, akkor van rólad/mindenkiről egy excel tábla a postánál. ezeket összevetve és kielemezve pontosan tudják, hogy melyik párthoz tartozol. ezt kibeszélni nyilván nem fogják, nehogy a tömeg rájuk gyújtsa a székházat.

a magam részéről azt feltételezem, hogy pontosan tudnak mindenkiről minden fontosat.

az osztrák kürt meg nagyot kaszál éppen nato kompatibilis vinyó megsemmisítési szolgáltatással...

1. Mutass rá arra a részre a GDPR-ben, ami szerint profilalkotást csak az érintett hozzájárulásával lehet végezni.
2. Semmilyen összefüggés nincs a (kvázi) monopolhelyzet és a jogalap elfogadhatósága között, egy monopolhelyzetben levő cégnek pont ugyanazokat a feltételeket kell teljesítenie egy jogos érdeken alapuló adatkezelés során, mint egy tökéletesen versenyző piac random résztvevőjének.

a magam részéről azt feltételezem

Én szeretek tényekből kiindulni... Mindenesetre érdekes ügy, az biztos. Egyébként ha jól rémlik, már az adatkezelési tájékoztató elmaradása is elégséges a "gigabírsághoz", úgyhogy ebből a szempontból tökmindegy, hogy még hány passzus megsértését húzzák rájuk,elvileg nincs jelentősége.

a tény az, hogy azt állítottam: kapunk egy értelmezést arról, hogy a hatóság mit gondol a gdpr-ról.
és elég, ha a vizsgáló hatóság foglalkozik a tényekkel, mi, itten a gittegyletbe' nyugodtan írhatunk véleményt is

tudtok olyan hatályos jogszabályról, ami előírja, hogy az adatfeldolgozást végző helyiségbe való belépést naplózni kell? emlékeim szerint régen volt ilyen, de most nem találok.

tia

Személyes adatok kezelése vonatkozásában, vagy általánosságban?