Ingyen megszerezhető "belső adatkezelési/nyilvántartási szabályzat mintáról" tud valaki? Ilyen kéne...állítólag.

nem lehet normális mintát csinálni, és nem lehet normálisan felhasználni.
szerintem ne erőltesd a kérdést.

Mindig erre jutok én is csak a főnököm mondogatja, hogy "nem kéne egy ilyen?"
7 személyes iroda vagyunk, magunkon kívül nem igazán dolgozunk személyes adattal...szóval akkor ez így marad, köszi:-)

Az a "baj", hogy ha vannak szerződéses partnereitek, vagy akár e-mailben megkeres Gipsz Jakab a gipszjakab@gmail.com-ról, akkor már kell lennie szabályzatnak ezen adatok kezelésére (az én olvasatomban).

kell komplett adatvédelmi felkészítés, nem ez a probléma.
a probléma az, hogy minden cég egyedi, így a rájuk vonatkozó adatkezelési cuccoknak is egyedieknek kell lenniük. tehát hiába szerzel be egy általános szabályzatot, azt olyan szinten testre kell szabni, hogy egyszerűbb specializálva megírni nulláról.

Szabályzat nem kötelező, kevered a tájékoztatóval.

A héten elvégeztem egy ilyen képzést (természetesen a cég finanszírozásában), jelenleg várom a vizsgaeredményt.
Van pár hasonló képzés a piacon, szerintem ez a jobbak közé tartozik (persze ez sem tökéletes). Nem egy rakétatudomány a GDPR, de azért tudtam még a jól felkészülteknek is meglepetést okozni (van 1-2 akna a preambulumban).

Egy külföldi webáruház számomra felháborító módon sérti a GDPR-t, konkrétan nem tudok leiratkozni Messengerben küldött személyes reklám üzenetekről, harmadik kísérletre sem, csak elnézést kérnek. Hol lehet ezt jelenteni?

Elvben bármelyik EU-s adatvédelmi hatóságnál jelezheted; nyilván célszerű vagy a magyar, vagy - ha az adatkezelő EU-s országban ténykedik - az adatkezelő országának megfelelő hatóságnál bejelenteni.
A magyar hatáság elérhetősége: www. naih.hu; ugyfelszolgalat@naih.hu.
Lehet hogy érdemes lenne írnod még egy levelet, hogy a GDPR alapján tiltakozol az adataid kezelése ellen, illetve a továbbiakban nem járulsz hozzá az adatok kezeléséhez, és amennyiben záros határidőn belül nem törlik az adataid, a hatósághoz fordulsz.

Szerintem nem kell sehol GDPR-re hivatkozni már május 25 óta. Illik ezt komolyan venni. NAIH-on keresztül is fel lehet nyomni őket szerintem.

NAIH-on keresztül is fel lehet nyomni őket szerintem

Szerinted a hozzászólásomban melyik hatóság elérhetősége szerepel?

Egy szóval nem mondtam, hogy te nem ezt írtad. Nem tudom mi a gondod.

nekem nincsenek jó tapasztalataim a naih segítőkészségével kapcsolatban.
én először a szolgáltató tagállamában próbálkoznék.

Sziasztok!

Belföldi adatvédelmi rendeletek, szükséges engedélyek kérdésén akadtam fent.

Lenne egy cég,ami versenyeket szervezne, és díjakat osztana ki. A játék tisztaságának védelméhez hozzátartozna, hogy egy adott személy csak egyszer nyerhet, és ahhoz tudnom kellene azonosítani az illetőt. Belföldi természetes személyek azonosításra alkalmas adatot kellene tárolnom a versenyre benevezettekről, és feljegyezve tartanom azokat az adatokat a nyertesekről. Normál esetben elkérem a személyi igazolvány fénymásolatot, amit megtartok. Arról persze tájékoztathatom az illetőt, semmi vész, nem akarom én azt eltitkolni.

A jogi kérdésem az, hogy túl az általános felhasználási feltételek részletes leírásán kötelezett vagyok-e valamilyen engedély megszerzésére is, hogy olyan adatokat legalább titkosított formában tárolhassak?

Ha van a problémára valami kitalált okosság, bármilyen logisztikai framework, talán valami ügyfélkapu fejlesztés (?), annak is örülnék. A játék tisztaságának viszonylagos védelme lenne az összes cél, a személyes adatokra igazából semmi szükségem.

Szerintem először is olvasd el legalább egyszer a GDPR-t (esetedben a preambulum kihagyható, így már nem olyan hosszú), és nem árt az Infotv. átlapozása sem.
Pár tipp:
- Személyes adatok kezelése során, a legfontosabb az adatkezelés elveinek (GDPR 5. cikk) betartása.
- Ebből a célhoz kötöttség máris teljesül, bár kicsit konkréttabban kellene megfogalmaznod a célt.
- Jogalapként az érintett hozzájárulását kell megszerezned (praktikusan írásban); ezen túlmenően nincs szükséged más engedélyre.
- Az adattakarékosság elvének betartásához viszont már tenni kellene. A személyi igazolvány másolata nem túl szerencsés, kifejezetten ellenkezik a Hatóság álláspontjával. Mivel azokat az egyedi azonosítókat, amelyek önmagukban is azonosítják az érintetteket (pl. adóazonosító, TAJ), csak a vonatkozó jogszabályban meghatározott esetekben lehet kezelni, valamint az 1996. évi XX: törvény kimondja, hogy "a polgárt a természetes személyazonosító adataival kell azonosítani" (ezek a családi és utóneve, születési családi és utóneve, születési helye és ideje, valamint az anyja születési családi és utóneve), így leginkább ebben az irányban kellene elindulnod véleményem szerint. A személyi bemutatásával, felveszed az adatokat valami adatbázisba, esetleg a csak a személyi igazolvány számot (adott időpontban az is beazonosít egy adott érintettet), és annyi. Már ha tényleg ennyire fontos szempont, hogy tiszta legyen a játék, hogy megérje a sok adminisztráció...
- A korlátozott tárolhatóság elvének való megfelelés miatt, meg kellene fogalmaznod, hogy meddig tárolod ezeket az adatokat. Ez nem igazán derül ki abból, amit írtál: egy adott játék (kör, forduló, akármi) tisztaságának védelme a cél, vag ha valaki egyszer nyert nálatok, az soha többet nem nyerhet? Előbbi esetben az adott játék végéig, utóbbi esetben meghatározott ideig (pl. az érintett hozzájárulásának visszavonásáig) tárolhatod az adatokat. Ez persze azt is jelenti, hogy egy, az adatkezelési szabályokban jártas egyén, simán kijátszhatja ezeket a szabályokat, hiszen bármikor visszavonhatja a hozzájárulását az adatkezelésedhez, és akkor nem marad jogalapod (jogos érdekből pedig nem gondolnám, hogy kezelheted az adatokat). Mondjuk egy adott játékon belül, feltétele lehet a játékban való résztvételnek az adatkezeléshez való hozzájárulás.
- Az egyik legfontosabb követelmény az érintettek tájékoztatása az adatkezelésről: a helyszínen és/vagy a neten el kell készítened egy jól megfogalmazott adatkezelési tájékoztatót (kicsit túrsz a neten, és találsz példákat). Ebben le kell írnod az adatkezelés legfontosabb paramétereit (adatkezelő beazonosítása, cél, jogalap, kezelés időtartama, esetleges adattovábbításra vonatkozó infók stb.).

[ Szerkesztve ]

"csak a vonatkozó jogszabályban meghatározott esetekben lehet kezelni,": meg az érintett önkéntes hozzájárulása alapján.

ha az a játék menete, hogy az érintett önként csatlakozik, és önként adja meg az adatait a játék szabályai szerint, akkor bármilyen adatot kezelhet.

Köszönöm a tippeket. A személyi igazolvány szám tényleg nem nyerő ötlet. Jobb a természetes személyi azonosító adatok jegyzése.

Viszont az adatok törlésének kérdésével valamit tennem kellene. A játék koncepciója megkívánja, hogy sok nyertes lehessen. A koncepció szempontjából durva megvalósítás úgy tenni fel a kérdést, ki nyerhet, és ki nem. A kicsit kifinomultabb forma, hogy ki nyerhet hamarabb és ki később? Később az is nyerhessen, aki első körben nem tudott, ha van kedve benevezni újra. Viszont aki egyszer már nyert, azt jó lenne legalább a következő 3 évre eltiltani a nevezéstől, hogy másoknak is legyen esélye. És ahhoz kellenének nekem egyértelmű azonosító adatok, amiknek a törlésére nem kötelezhet a nyertes. Vajon van arra egyértelmű jogi lehetőség, vagy legalább kiskapu, vagy törvényt kell szegnem hozzá?

Az 5. cikk (1) e) pontján gondolkodom, hogy a fenti elv minősíthető-e közérdekűnek, vagy statisztikainak?

e) tárolásának olyan formában kell történnie,
amely az érintettek azonosítását csak a személyes
adatok kezelése céljainak eléréséhez szükséges
ideig teszi lehetővé; a személyes adatok ennél
hosszabb ideig történő tárolására csak akkor kerülhet
sor, amennyiben a személyes adatok kezelésére a
89. cikk (1) bekezdésének megfelelően közérdekű
archiválás céljából, tudományos és történelmi kutatási
célból vagy statisztikai célból kerül majd sor, az e
rendeletben az érintettek jogainak és szabadságainak
védelme érdekében előírt megfelelő technikai és
szervezési intézkedések végrehajtására is
figyelemmel („korlátozott tárolhatóság”);

Forrás: [link] L 119/36

[ Szerkesztve ]

Ha csak úgy magától, önként dalolva megadja, akkor igen (bár a célhoz kötöttség elvének mindenképp meg kell felelni, és necces lesz elmagyarázni a Hatóságnak, hogy miért csakis és kizárólag (pl.) a TAJ alkalmas arra, hogy egy nyereményjátékban a résztvevőket azonosítsa)...
De ha ezt feltételül szabják egy játékban való résztvételhez, az szerintem (tekintettel az 1996. évi XX. tv. 20. §.-ból kiolvasható jogalkotói szándékra) aggályos.

A játék feltételéül tudod szabni, hogy a nyertes adatait, a sorsolástól számított 3 évig tároljátok, nyeremény ismétlés elkerülése céljából. Bele kell írni a játék szabályzatába, hogy amennyiben visszavonja az adatkezeléshez szükséges hozzájárulást, akkor vissza kell szolgáltatnia a nyereményt. Ezzel szerintem lefeded a jogi részt.
Az általad kinézett jogalap egyértelműen nem ez az eset, gyakorlatilag csak állami szereplőkre alkalmazható az e/ pont, felejtsd el, neked egyértelműen az érintett hozzájárulása lesz a jogalapod.

Ami az előző hozzászólásomból kimaradt, és ide is kívánkozik: a fentiek nem minősülnek jogi tanácsnak, azokért felelősséget nem áll módomban vállalni.

Az 1996. évi XX. törvényből kiolvasható jogalkotói szándék szerint a hatóságokra vonatkozik elsősorban, és azt akadályozza meg (egyébként rendkívül ostobán, köszönjük S. Lacika), hogy a hatóságok összekapcsolják az adatbázisaikat.

Szerintem erre az adatkezelésre nem vonatkozik.

Szerintem itt a legfontosabb, hogy az érintett valóban jól tájékozottság állapotában adja a hozzájárulását az adatkezeléshez.