2021. júl. 12.

Kivel teszteljünk és hogyan állítsuk össze a tesztelői csapatot?

Sokszor elszomorít, hogy funkciók fejlesztés, de még annak előzetes követelmény elemzése során sem vonják be az érintetteket, akik később azt használni fogják. Egy-egy bonyolultabb folyamat során lehetetlen, hogy összeszedjük és rendelkezzünk mindazzal a tudással, tapasztalattal, ami a teljes és pontos definiáláshoz szükséges, nem ismerhetjük a negatív ágakat és kivételeket sem, vagy olyan idő befektetéssel járna, amely nem fog megtérülni.

A funkció tesztelés során is érdemes olyan résztvevőkkel, csapattal elvégeztetni a tesztelést, amely pontosan ismeri a funkciót és a hozzá kapcsolódó folyamatokat, bemenő és elvárt kimeneti adatokat. Ahogy a követelmény elemzésnél, úgy a funkció tesztelésénél is úgy szoktam a résztvevőket összeválogtani, hogy legyen benne pozitív szemléletű egyén, és nagyon kritikus, mindenben hibát kereső ember is. Így szélesebb visszajelzést kapunk, és csökkenthetjük a megerősítési torzítás hatását.


Gyakori az a hiba is, hogy egy feladat definiálásakor a tesztelő csak az elvárt eredmény szerinti utakat járja be, a hétköznapi felhasználáskor felmerülő utakkal, lehetőségekkel nem számol, hiszen nem feltétlenül ismeri azt. Emiatt is fontos, hogy kritikus folyamatokat érintő funkcióknál ne csak a fejlesztő csapat tesztelője ellenőrizze a megvalósított feladatot, hanem a rendszert majd napi szinten használó munkavállalót is bevonjuk a tesztelésbe.


Ahogy írtam a korábbi posztban, a külső rendszereken átívelő folyamatok esetében pedig a különböző fejlesztő csapatok tesztelőinek kell(ene) összedolgoznia, ha lehetséges, vagy ilyen esetben is a megrendelő munkavállalóját kell bevonni a tesztelésbe.

2021. febr. 10.

Kapcsolódó szolgáltatások avagy mi alapján fejlesszünk folyamatokat, válasszunk 3rd party beszállítókat

Az elmúlt pár hónapban áttértem vonatra a Veszprém Budapest távolság megtételéhez. Egyrészt környezetvédelmi okokból, de a dugóban való araszolás is nehezen megszokható, főleg stresszesebb időszakban. Másrészt az utazással járó kétszer másfél órát sokkal hatékonyabban lehet eltölteni például olvasással, önfejlesztéssel, ha nem kell a volán mögött ülni. Mióta forgalomba állították ezen a vonalon is a FLIRT vonatokat, mindezt teljesen kultúrált környezetben lehet végezni. A jegyeket automatából lehet megvenni, kártyával fizetve. Sajnos anno az applikáció nem érte el az általam elvárt minőségi szintet, így nem is használom, de ha fejlesztenek rajta, akkor majd újra megpróbálkozunk vele. Tehát teljesen rendben van a szolgáltatás színvonala a MÁV oldaláról, semmi ok panaszra.

Akkor miért is született meg ez a poszt? Probléma út közben szokott felmerülni, amikor netezni lenne kedve az embernek, vagy valaminek utána nézne vagy épp dolgozna. Ugyanis az út nagy részén semmilyen vagy nagyon gyenge adatkapcsolat érhető csak el. Ennek sok esetben földrajzi okai vannak és hiába van WI-FI elérés a MÁV vonatokon, mivel az is 4G-s routeren kommunikál, így azon sem lesz bizonyos helyeken semmilyen használható adat kapcsolat. És ilyenkor, még ha tévesen is, a vasút társaságot fogja szidni az ember, hiszen ott egy szolgáltatás, ami nem használható, hiába egy harmadik fél, külső szolgáltató hibájából. A szép, tiszta, gyors vonatok által nyújtott élmény nem lesz 100 százalékos, mivel az idő eltöltése sok esetben gondot, akár bosszúságot is okoz.


Ugyanígy egy vállalkozás életében is fel kell mérni, hogy melyik folyamatok függnek külső szolgáltatótól vagy beszállítótól és biztosítani kell, hogy a belső folyamatok a lehető legfüggetlenebbek legyenek tőlük. Az alkalmazottak elégedettségét is növeli, ha olyan rendszerekkel kell dolgozniuk, amelyek hiba tűrők és az általuk elvégzendő munka gördülékenyen elvégezhető, nem kell megszakítaniuk különböző hibák miatt, nem lassítják a belső folyamatokat. Ha fejlesztünk egy belső rendszert, amely kapcsolatban áll akár másik belső vagy külső rendszerrel, akkor mérjük fel a teljes folyamatot, az adat átviteli pontokat és ha szükséges, akkor a másik rendszert is fejleszzük párhuzamosan vagy jelezzük a beszállító felé a problémát.


Sajnos találkoztam már olyan problémával, hogy egy ERP rendszerrel összekötött webshop esetében nem lehetett az új webes funkciókat kiélesíteni, mert az összekapcsolt ERP rendszer nem tudta időben feldolgozni az adatokat vagy hibásan adott vissza adatokat. Itt ugye egy belső rendszer volt a szűk keresztmetszet és előbb azon kellett javítani, hogy a rendszereken átívelő folyamat a megfelelően működjön.


Ugyanígy egy webshop esetében is a végfelhasználó sok esetben találkozik külső szolgáltatókkal (fizetés, szállítás), ahol hiába egy 3rd party szolgáltatást veszünk igénybe, a végfelhasználók nagy része ezeket egyként kezeli a webshoppal, így ha ezek használata során problémával vagy kellemetlenséggel találkozik, akkor magát a webshopot fogja szidni, azzal köti össze a kellemetlen élményt és legközelebb valószínűleg másik webáruházban fog vásárolni. El kell fogadnunk, hogy ezekben az esetekben a beszállító cég képvisel minket  így meg kell követelnünk a megfelelő szolgáltatási színvonalat, vissza kell mérnünk azt és ha szükséges, javítani rajta, rosszabb esetben szolgáltatót váltani.

2018. dec. 21.

Xiaomi Mi Robot okos porszívó beállítás és tapasztalatok

Több ismerősünknek volt már ilyen-olyan okos porszívója és három gyermek, illetve a napi/heti rutin mellé mi is egyre jobban gondolkodtunk egynek a beszerzésén, főleg, hogy a feleségem is visszament dolgozni gyesről, így fontosnak tartottuk, hogy munka után minél több közös időt tudjunk együtt tölteni, ne pedig a takarítás vegye el az időt.
Több teszt eredmény átnézése után a Xiaomi Mi Robot 1st generation mellett döntöttünk. Nagyon jó ár-érték arány jellemzi (anno márciusban 342 dollárért jött házhoz), és a tesztek szerint nagyon jó szívóhatással, jó kefékkel és nagy akku kapacitással rendelkezik. Mivel több oldalon is található részletes leírás a robot porszívóról, így ebbe nem mennék bele, én az elmúlt fél év használati tapasztalatát szeretném megosztani, ami szerintem sokkal fontosabb.

Beüzemelés

A GearBest-ről viszonylag hosszú, 3 hét után érkezett meg és nem volt egyszerű a beüzemelése. Az appok közül az alábbi szükséges hozzá (Mi Home):


és a feltelepítés után ábrás útmutató segíti a beállítást. Viszont a WiFi hálózat váltáskor mindig megakadt a folyamat. Mint kiderült, régiónka China-t kell beállítani, így már végig tudott menni minden lépésen. A nyelvet mindenképpen állítsuk át angolra, bár elég vicces, amikor kínaiul kezd el beszélni a pórszívó. :-)
Fontos, hogy ez a probléma 2018. márciusában élt, nem biztos, hogy még mindig aktuális!

Az applikáció

Ha már itt tartunk, akkor fontos megemlíteni, hogy maga az applikáció nagyon sok frissítésen esett át azóta, fejlesztik szépen és kezdi kinőni a gyerek betegségeit:
- lassan vagy egyáltalán nem tudott az app kommunikálni a porszívóval
- a térkép letöltése mindig megszakadt
- a firmware frissítés csak akkor működött, ha a telefon 4G hálózaton volt és nem a közös WiFi hálózaton, de ekkor is sokszor megszakadt

De ezek azóta megszűntek, egyre jobb az app és a firmware frissítések is szépen lefutnak már.

Működés

A gépnek a dokkolóját egy olyan helyre raktuk, ami nincs útban, de könnyen ki tud jönni, így a konyhába a sarokülő alá tettük, ami azóta is bevált. Az applikációba be lehet állítani különböző időzítéseket, illetve ad-hoc jelleggel is lehet indítani. Az első 1-2 alkalommal még több idő kell neki, mert feltérképezi az adott területet, de utána már (ha nem nagyon variálunk a berendezéssel), akkor már egy gyorsabb, hatékonyabb úton járja be a szobát, lakást.
Mi úgy ütemeztük a porszívózást, hogy hétfőn, szerdán és pénteken reggel indul el, amikor már nincs otthon senki, így nyugodtan végezheti a dolgát. A terület nagyságától függően 30-50 perc alatt szokott végezni a földszinten. Nekünk ez egy viszonylag nagy tér egybe nyitva (amerikai konyhás), és mire hazaérünk látszik a tisztaság.
Az emeleten 2-3 hetente szoktuk elengedni, de ott jobban tagolt a tér, így vagy szobánként, vagy több szobát egyszerre szoktunk takaríttatni vele. Ilyenkor több kontroll kell, de amíg csinálja az egyik szobát, addig elő lehet készíteni a következőt.
A lépcsőnél mi rakunk ki egy terelőt, de leteszteltük, észreveszi a lépcsőt és ott megfordul, nem tud leesni, de szerintem jobb az óvatosság.

Mivel napközben megy a porszívó, így a riasztó bevan kapcsolva, és abszolút nem zavarja az érzékelőket, szóval nyugodtan be lehet élesíteni a riasztót, nem fog jelezni.

A tesztekben kitérnek a szőnyegre, hogy remekül takarítja, ami így is van, arra kell figyelni (a szőnyegek varrása miatt), hogy legalább két oldalról meg tudja közelíteni a szőnyeget, mert ha a végén kicsit nagyobb a bucka, akkor már nem tud felmászni a szőnyegre.


Applikáció

Az applikációt már említettem, hogy voltak gyerek betegségei, de már elég sok frissítésen átesett és véleményem szerint elég jól használható, gyors, kézre eső. Meg tudjuk nézni, hogy éppen hol jár a porszívó, kapunk push üzenetet az indulásról, ha végzett vagy ha éppen elakadt valami miatt. Ugyanígy szól, ha a por tartály megtelt és ki kell üríteni, vagy valamelyik szenzor már túl koszos a megfelelő érzékeléshez.




Takarítás minősége

Talán ez az egyik legfontosabb szempont. Én eléggé szkeptikus voltam a meglévő 2 kW-os porszívó mellett, hogy ez a pici valami mit fog tudni kezdeni a szőnyeggel, de nagyon meglepődtem az első takarítás eredményeként megtelt por tartály! Durva, ami benne volt! Az erős keféjének köszönhetően nagyon szépen kiszedi a koszt a szőnyegekből, és látszik is a szőnyegen, hogy itt valami történt. Kellemes csalódás volt még férfi szemmel is! :-)
A másik, ami feltűnt (és ezt mások mondták előre), hogy kevesebb por van a lakásban, a polcokon is sokkal lassabban jelenik meg a por. Plusz egy pont!

Idő spórolás

Már említettem, hogy egyik szempint az időspórolás volt. Volt, aki vitatkozott vele, hogy fel ennyi idő alatt fel lehet porszívózni rendes porszívóval, de a lényeg számunkra az, hogy akkor sem nekünk kell porszívózni. Ugyanis, az elmúlt fél évben talán egyszer került elő a régi, hagyományos porszívó. Mutatok egy összesítést:




Igen, az elmúlt időszakban eddig 145 alaklommal porszívózott a robot, összese majdnem 5000 m2-t, ami 6218 percet (104 h) tett ki. Ha csak felennyi idő lett volna nekünk, az akkor is 2 nap spórolás fél év alatt. Szerintem ez nem rossz.

Problémák

Van azért egy másik oldala is a dolognak. Az akadályokat meg kell szüntetni minden porszívózás előtt, hogy egy cipőfűző, vagy egy játék miatt ne álljon meg a porszívózás. Ez azt jelenti, hogy reggel viszonylag rendet kell otthon hagyni. Mondhatjuk, hogy ez plusz munka, de azért valljuk be, amúgy is rendet kell néha tenni. És nagyon jó érzés tud lenni, egy rendezett, tiszta lakásba hazaérni a nap végén.
A rend rakás mellett még a konyha székeket szoktuk feltenni, a dohányzóasztalt a nappaliban úgy elhelyezni, hogy közte és a kanapé között elférjen a robot és ennyi.
A sok szép után vegyük számba a hátrányokat, problémákat is. Ha felvisszük az emeltre, akkor azt egy új helynek fogja felfogni, illetve ha utána levisszük vissza a földszintre, akkor azt is. Bár napközben ráér újra felfedezni magának a területet, szóval nem akkora a gond.
Vannak olyan helyzetek, amikor el tud akadni a porszívó, egy zsinór, cipőfűző vagy például a fürdőszobai kilépők miatt. Ezekre figyelni kell, különben hazaérve ott fog szomorkodni a fürdő közepén, beszorulva. :-)
A por tartály viszonylag közepes mérető, érdemes minden második, harmadik porszívózás után kiüríteni. Nagyon könnyen megtehető, és sokat javít az üres por tartály a porszívózás minőségén. Érdemes néha a szűrőt is kitisztítani benne.

Vélemény

Összességében nagyon jó vétel volt, egy pillanatig nem bántuk meg, és érezhető gondot vett le a vállunkról. Az a tény, hogy nem kell elővenni a hagyományos porszívót szerintem sokat elárul a használhatóságáról.
A hangja is elég jó, ha esetleg úgy indítjuk el, hogy otthon vagyunk, akkor is lehet beszélgetni mellette, illetve az appon keresztül állíthatóak a porszívózási erősségek, lehet "viharos" és csendes is.

Bátran ajánlom mindenkinek, aki esetleg hezitál rajta, az egyik legjobb befektetés volt! A gyerekek is imádják, mert az applikáción keresztül lehet kézzel is irányítani, mint egy távirányítós kisautót.

2018. máj. 16.

PO-ból DPO (4. rész) - GDPR rendeletben szereplő határidők

Az átláthatóság és a gyors kereshetőség érdekében összeszedtem, hogy mely cikkben vagy preambulumban található határidő intézkedésre.


12. cikk 
Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések

(3) Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 15–22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri. 
(4) Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával. 

14. cikk 
Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg 

(3) Az adatkezelő az (1) és (2) bekezdés szerinti tájékoztatást az alábbiak szerint adja meg: 
  • a)  a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül;
  • b)  ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy
  • c)  ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor. 
16. cikk 
A helyesbítéshez való jog 

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

17. cikk 
A törléshez való jog („az elfeledtetéshez való jog”) 

(1) Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll: 

33. cikk 
Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak 

(1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. 
(2) Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. 

34. cikk 
Az érintett tájékoztatása az adatvédelmi incidensről 

(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek 
jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. 

35. cikk 
Adatvédelmi hatásvizsgálat 

(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek. 

36. cikk 
Előzetes konzultáció 

(2) Ha a felügyeleti hatóság véleménye szerint az (1) bekezdés szerint tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon 
Az adatkezelők, illetve adatfeldolgozók által végzett adatkezelési műveletek hatásainak 
azonosította vagy csökkentette –, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért. 

37. cikk 
Az adatvédelmi tisztviselő kijelölése 

(7) Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli. 

56. cikk 
A fő felügyeleti hatóság illetékessége 

(3) Az e cikk (2) bekezdésében említett esetekben a felügyeleti hatóság haladéktalanul tájékoztatja az ügyről a fő felügyeleti hatóságot. A fő felügyeleti hatóság a tájékoztatását követő három héten belül dönt arról, hogy a 60. cikkben foglalt eljárással összhangban eljár-e az ügyben, figyelembe véve azt, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel abban a tagállamban, amelynek a felügyeleti hatósága a fő felügyeleti hatóságot tájékoztatta. 

60. cikk 
Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között 

(3) A fő felügyeleti hatóság késedelem nélkül közli a többi érintett felügyeleti hatósággal az üggyel kapcsolatos releváns információkat. A döntés tervezetét haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék, és véleményüket kellően figyelembe veszi. 
(4) Ha a többi érintett felügyeleti hatóság valamelyike az e cikk (3) bekezdése szerinti konzultációt követő négy héten belül releváns és megalapozott kifogást emel a döntéstervezettel szemben, a fő felügyeleti hatóság, ha nem ért egyet a releváns és megalapozott kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet a 63. cikkben említett, egységességi mechanizmus keretében kezeli. 
(5) Ha a fő felügyeleti hatóság helyt kíván adni a releváns és megalapozott kifogásnak, módosított döntéstervezetet nyújt be a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék. A módosított döntéstervezet tekintetében két héten belül kell lefolytatni a (4) bekezdésben említett eljárást. 
(11) Ha egy érintett felügyeleti hatóság rendkívüli körülmények fennállása esetén megalapozottan úgy véli, hogy az érintettek érdekeinek védelme érdekében sürgős fellépésre van szükség, a 66. cikkben említett sürgősségi eljárást kell alkalmazni. 

61. cikk 
Kölcsönös segítségnyújtás 

(2) Minden felügyeleti hatóság megteszi a megfelelő intézkedéseket annak érdekében, hogy a más felügyeleti hatóságtól érkező megkereséseket indokolatlan késedelem nélkül, de legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül megválaszolja. Ezen intézkedések közé tartozhat különösen a vizsgálatok lefolytatásával kapcsolatos releváns információk továbbítása. 

62. cikk 
A felügyeleti hatóságok közös műveletei 

(2) Ha az adatkezelő vagy az adatfeldolgozó több tagállamban is rendelkezik tevékenységi hellyel, vagy ha az adatkezelési műveletek több tagállamban is valószínűsíthetően jelentős mértékben érintenek nagyszámú érintettet, az összes szóban forgó tagállam felügyeleti hatósága jogosult részt venni a közös műveletekben. Az 56. cikk (1) vagy (4) bekezdése alapján illetékes felügyeleti hatóság felkéri az összes szóban forgó tagállam felügyeleti hatóságát, hogy vegyenek részt a közös műveletekben, és haladéktalanul válaszol a felügyeleti hatóság részvételre irányuló megkeresésére. 

64. cikk 
Az Európai Adatvédelmi Testület véleménye 

(3) Az (1) és (2) bekezdésben említett esetekben a Testület véleményt bocsát ki az elé terjesztett ügyről, kivéve, ha ugyanazon ügyről már bocsátott ki véleményt. A véleményt a Testület nyolc héten belül, tagjainak egyszerű többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további hat héttel meghosszabbítható. Az (1) bekezdésben említett, a Testület tagjai részére a (5) bekezdésnek megfelelően eljuttatott döntéstervezetet illetően úgy kell tekinteni, hogy azok a tagok, akik az elnök által megszabott észszerű határidőn belül nem emeltek kifogást, egyetértenek a döntéstervezettel. 
(4) A felügyeleti hatóságok és a Bizottság indokolatlan késedelem nélkül elektronikus úton, egységes formátum alkalmazásával közölnek a Testülettel minden releváns információt, ideértve az esettől függően a tények összefoglalóját, a döntéstervezetet, az intézkedés megtételét szükségessé tevő indokokat, és más érintett felügyeleti hatóságok véleményét. 
(5) a) 
b) 
A Testület elnöke indokolatlan késedelem nélkül elektronikus úton tájékoztatja: 
egységes formátum alkalmazásával tájékoztatja a Testület tagjait és a Bizottságot a vele közölt releváns információkról. A Testület titkársága szükség esetén gondoskodik a releváns információk fordításáról; és 
tájékoztatja az esettől függően az (1) vagy a (2) bekezdésben említett felügyeleti hatóságot, valamint a Bizottságot a véleményről, amelyet nyilvánosságra hoz. 
(6)
(1) bekezdésben említett döntéstervezetét. 

Az illetékes felügyeleti hatóság a (3) bekezdésben említett határidőn belül nem fogadhatja el az 
(7) Az (1) bekezdésben említett felügyeleti hatóság a lehető legnagyobb mértékben figyelembe veszi a Testület véleményét, és a vélemény kézhezvételét követő két héten belül, elektronikus úton, egységes formátum alkalmazásával közli a Testület elnökével, hogy a döntéstervezetet változatlan formában fenntartja-e, vagy pedig módosítani fogja, és adott esetben megküldi a módosított döntéstervezetet. 

65. cikk 
A Testület vitarendezési eljárása 

(2) Az (1) bekezdésben említett döntést a Testület az ügy benyújtásától számított egy hónapon belül, tagjainak kétharmados többségével fogadja el. Az ügy összetettségére figyelemmel ez a határidő további egy hónappal meghosszabbítható. Az (1) bekezdésben említett döntést indokolni kell, és meg kell küldeni a fő felügyeleti hatóságnak és minden érintett felügyeleti hatóságnak, amelyekre nézve kötelező erővel rendelkezik. 
(3) Ha a Testület döntését nem képes a (2) bekezdésben említett határidőkön belül elfogadni, a döntést a (2) bekezdésben említett második hónap leteltét követő két héten belül, tagjainak egyszerű többségével fogadja el. A Testület tagjainak szavazategyenlősége esetén a döntés elfogadásáról az elnök szavazata dönt. 
(6) A fő felügyeleti hatóság vagy – az esettől függően – az a felügyeleti hatóság, amelyhez a panaszt benyújtották, az e cikk (1) bekezdésében említett döntés alapján indokolatlan késedelem nélkül, de legkésőbb egy hónappal azt követően, hogy a Testület bejelentette döntését elfogadja jogerős döntését. A fő felügyeleti hatóság vagy – az esettől függően – az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a Testületet arról a dátumról, amikor az adatkezelővel, az adatfeldolgozóval, illetve az érintettel közli jogerős döntését. Az érintett felügyeleti hatóságok jogerős döntését a 60. cikk (7), (8) és (9) bekezdésében foglaltaknak megfelelően kell elfogadni. A jogerős döntésben utalni kell az e cikk (1) bekezdésben említett döntésre, valamint közölni kell, hogy az (1) bekezdésében említett döntést a (5) bekezdéssel összhangban közzé fogják tenni a Testület honlapján. A jogerős döntéshez csatolni kell az e cikk (1) bekezdésében említett döntést. 

66. cikk 
Sürgősségi eljárás 

(4) A 64. cikk (3) bekezdésétől és a 65. cikk (2) bekezdésétől eltérve az e cikk (2) és (3) bekezdésében említett, sürgősségi eljárás keretében elfogadandó véleményt, illetve kötelező erejű döntést a Testület két héten belül, tagjainak egyszerű többségével fogadja el. 


78. cikk 
A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog 

(2) Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden érintett jogosult a hatékony bírósági jogorvoslatra, ha az 55. vagy 56. cikk alapján illetékes felügyeleti hatóság nem foglalkozik a panasszal, vagy három hónapon belül nem tájékoztatja az érintettet a 77. cikk alapján benyújtott panasszal kapcsolatos eljárási fejleményekről vagy annak eredményéről. 

92. cikk 
A felhatalmazás gyakorlása 

(5) A 12. cikk (8) bekezdése és a 43. cikk (8) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő három hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam három hónappal meghosszabbodik. 


Preambulum

(137)Az érintettek jogainak és szabadságainak védelme céljából sürgős intézkedésre is szükség lehet, különösen abban az esetben, amikor fennáll annak a veszélye, hogy az érintett jelentősen akadályoztatva van jogainak gyakorlásában. A felügyeleti hatóság számára ezért lehetővé kell tenni, hogy a tagállamának területére vonatkozóan kellően indokolt ideiglenes intézkedéseket fogadjon el; amely intézkedések érvényessége meghatározott időtartamra, de legfeljebb három hónapra szólhat. 


(143)Minden természetes vagy jogi személy jogosult, hogy az EUMSZ 263. cikkében meghatározott feltételek szerint eljárást indítson a Bíróságon a Testület döntéseinek megsemmisítése iránt. Azok az érintett felügyeleti hatóságok, amelyek e döntések címzettjeiként fellebbezni kívánnak azok ellen, az EUMSZ 263. cikkének megfelelően a döntésről való értesítésüket követő két hónapon belül indítják meg keresetüket. Ha a Testület döntései közvetlenül és egyénileg érintenek valamely adatkezelőt, adatfeldolgozót vagy a panaszost, a panaszos az EUMSZ 263. cikkének megfelelően eljárást indíthat az adott döntések megsemmisítése iránt, mégpedig azoknak a Testület honlapján való közzététele dátumától számított két hónapon belül. 

2018. máj. 4.

PO-ból DPO (3. rész) - Webshop teendői a GDPR szerint

Olvasva a Facebook csoportokat és különböző blogokat, nagyon sok helyen találkozok pánikkal, haraggal a GDPR-ral kapcsolatban, így szeretnék pár fontos, webshopokat (online felületeket) érintő kérdést és teendőt tisztázni. Azt gondolom, hogy user oldalról sem fog mindenki ezzel foglalkozni, hiszen eddig is tojtak rá, hogy mi van az adataikkal és ezután is az lesz a célja, hogy mielőbb megvásárolhassa a terméket vagy használhassa a szolgáltatást, lásd jelenlegi cookie tájékoztató elfogadás.

Pár fontos alapelv

A GDPR egyik betartandó alapelve az adattakarékosság, aminek célja, hogy valóban csak annyi adatot kérjünk be és annyi ideig tároljuk, amíg az valóban szükséges.

Az adatkezelésben nincs akkor változás és továbbra is használhatjuk a felhasználok adatait, de pontosan meg kell határozni a célt és a jogalapot, valamint ezekhez egyértelműbb tájékoztatás kell a user felé és/vagy hozzájárulás a felhasználótól. 
Ehhez kapcsolódik, hogy a user számára átláthatóbbá kell tenni az adatkezelést és adattovábbítást, és a jogait könnyebben kell tudnia gyakorolni (hozzáférés, helyesbítés, törlés, korlátozás, hordozhatóság).
Ezek mellett az adatok biztonságos kezelése is előtérbe helyeződött, mivel eddig ez nem volt annyira biztosított, tisztelet a kivételnek.

És mégegy: GDPR is not optional.


DPR webshop, online teendők


Hogyan tud egy webshop első körben megfelelni az új GDPR-nak

Összeszedtem, hogy mik azok a legfontosabb pontok, amik egy ellenőrzés során elsőként kerülnek a figyelembe. Nem nyújt 100%-os védelmet, de nagyban csökkenti a kockázatot. Véleményem szerint, amíg a NAIH se ad minden kérdésre választ és nem jön ki a végleges módosított Info. Törvény, addig nem is lehet teljes megfelelőséget elérni az adatkezelési folyamatokban.

Szóval a teendők:

1. Adatkezelési tájékoztató

Frissítsük az oldalon található adatkezelési tájékoztatót az alábbiak szerint:

- a webshopot üzemeltetőt és elérhetőségeit;
- az adatvédelmi tisztviselő elérhetőségeit, ha van ilyen;
- a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapját, a webshop vagy harmadik fél jogos érdekei;
- a személyes adatok címzettjeit, ha van ilyen;
- adott esetben annak tényét, hogy a webshop harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat

A NAIH Adatvédelmi Nyilvántartási Számot 2018. május 25-től nem fog kiadni, így azt már nem is kell feltüntetni a jövőben.

2. Adatkezelési tájékoztató elérhetősége

Nem csak regisztrációs formon és a láblécben kell elhelyezni mostantól az Adatkezelési tájékoztató linkjét, hanem minden olyan oldalon, ahol személyes adatot kérünk be, vagy adható meg.
Itt egy érdekes problémával is találkozhatunk, hiszen több helyen van úgynevezett megjegyzés mező, pl. rendelés leadása során, ahova szintén bármit beírhat a felhasználó, akár személyes adatokat is. Figyeljünk erre is!
Fontos, hogy ha az adott oldalon van form, akkor nem elég, hogy a láblécben ott van az Adatkezelési tájékoztató linkje, hanem az adott formban is fel kell tüntetni.

3. Regsiztráció során jelölő négyzetek bővítése (adatkezelőnként)

Ez még jelenleg egy homályos pont, mert a rendelet szerint adatkezelőnként és adatkezelési célonként kellene hozzájárulást kérni a felhasználótól a regisztráció során. Jó esetben jelenleg az ÁSZF és az Adatkezelési tájékoztatót kell elfogadni egy checkbox keretében.
A jövőben az alábbi checkobox biztosan kelleni fognak:
- Elolvastam és elfogadom az Általános Szerződési Feltétleket
- Elolvastam és elfogadom az Adatkezelési tájékoztatót
- Hozzájárulok hírlevelek fogadásához (itt több opciói is lehet, lásd következő pont)

4. Hirlevél fel- és leiratkozás

Eddigi gyakorlat szerint volt egy mező, ahova beírhatta a user az email címét és egy gomb, hogy feliratkozik a hírlevelekre.
A jövőben ennek úgy kell kinéznie, hogy:
- van egy mező, ahova beírhatja az email címét
- van egy checkbox: Elolvastam és elfogadom az Adatkezelési tájékoztatót (linknek kell lennie és nem lehet bepipálva)
- hozzájárulás mező: szintén egy vagy több checkbox és nem lehet bepipálva (lásd az opcióknál)
- Feliratkozó gomb

Opciók a hozzárjárulás checkbox esetén:
1. saját hírlevél, saját reklámok küldése
2. eDM (külső ajánlatok partnerektől)
3. hozzájárulok email címem átadására 3dik félnek reklám céljából


A leiratkozásnak ugyanolyan könnyűnek kell lennie, mint a feliratkozásnak, így biztosítani kell az oldalon is és a kiküldött levelekben is. A kiküldött hírlevél láblécében szerepelnie kell az Adatkezelési tájékoztató linkjének és egy leiratkozást segítő linknek/gombnak.

Update:
- ha már egy regisztrált usernek szeretnénk küldeni hírlevelet egy új termékünkről, akkor a jogalap lehet hozzájárulás vagy jogos érdek és mindkét esetben tájékoztatni kell. Első esetben a visszavonásig, második esetben tiltakozásig tárolhatjuk az e-mail címet
- ha egy sima hírlevelet küldünk feliratkozott usernek, akkor jogos érdek a jogalap és tájékoztatás után tiltakozásig tárolhatjuk az e-mail címet

5. Adatbázisok életben tartása és a profilozás

2018. május 25. utána csak olyan személyes adatokat tárolhatunk és használhatunk, amik megfelelnek az új rendeletnek. Így szükséges a régi adatbázisok életben tartása. Ezek esetében a következő képpen kell eljárni: tájékoztatni kell a felhasználót az új célokról, és ez ellen tiltakozhat.

Ha van olyan funkcióink (pl. ajánló rendszer), ahol profilozás történik, akkor ott is a legegyszerűbb megoldás, hogy tájékoztatjuk az ügyfelet, aki ez ellen tiltakozhat. Ilyenkor vagy kikapcsolom az adott szolgáltatás működését vagy megtagadom tőle a regisztráció lehetőségét.

6. Automatikus döntéshozatal

Kevés helyen tárgyalt, de annál fontosabb téma. Ha a weboldalamon pl. a szállítási költség a user címe alapján módosulhat, akkor az automatikus döntéshozatalnak számít és erről tájékoztatnom kell a felhasználót az Adatkezelési tájékoztatóban. Vegyük sorra, hol található ilyen jellegű logika és ezeket írjuk bele a tájékoztatóba.


Célok és jogalapok

A bevezetőben említettem, hogy kicsit kavar van a fejekben és túlzottan félünk a GDPR-tól, pedig sok esetben könnyítést ad. Cserébe csak annyit vár el, hogy az adatokat valódi céloknak és megfelelő jogalap mellett kérjük be, tároljuk.

A GDPR 6. cikke foglalkozik azzal, hogy milyen jogon kérhetünk be és tarolhatunk adatokat.

a, a felhasználó hozzájárult az adatkezeléshez, tehát bepipált egy checkboxot, ahol tájékoztattuk, hogy ott miért és mire kell az adat
b, szerződés teljesítéséhez szükséges az adat, pl. vásárláshoz
c, jogi kötelezettség teszi szükségessé az adatkezelést, pl. számla kiállítása
d, az érintett érdekeinek védelmében (pl. baleset)
e, közérdekű feladat végrehajtásához (pl. önkormányzati adatkezelés)
f, jogos érdek (pl. fraud vizsgálat, IT biztonság)

Egy webshop esteében általában az a, b, c és f jogalapok szoktak szükségesek lenni. Az f, pont az egyik olyan kiskapu, amit elég sok mindenre rá lehet húzni. Nekem, mint webshop pl. jogos érdekem, hogy eladjak és mondjuk ezt egy hírlevélben kiküldött konkrét ajánlattal tudom elérni...

Minden adat kezelés esetén szükséges a felhasználó tájékoztatása vagy hozzájárulása. Hozzájárulás esetén is kötelező tájékoztatni a felhasználót:
- az adatkezelő elérhetőségéről
- az adatkezelés céljáról
- az érintettek és a személyes adatok kategóriáról
- címzettek kategóriáról (adatfeldolgozókról)
- az adattárolás időtartamáról

Lényeges különbség, hogy tájékoztatás esetén csak tiltakozhat a user, hozzájárulás esetén pedig visszavonhatja a hozzájárulását. Itt érdemes figyelni arra, hogyha közös hozzájárulást kérünk több adatkezelési célhoz és az egyikhez visszavonja a hozzájárulást, akkor a többi esteében is törölni kell. 

Nagyon fontos és erről is kevés szó hangzik el, hogy IT technikai oldalról ez egy olyan feladatot ró ránk, hogy tudnunk kell az adatbázisban tárolt adatokat cél és jogalap szerint csoportosítani, kezelni, törölni.

Mit is jelent a kifejezett hozzájárulás módja:
- aláírt
- email megerősítés, online form
- lényeg: egy gomb megnyomása mellett van egy második megerősítés


Facebook és Google

Ezt is sokszor félreértelmezik a hirdetések, remarketing esetén. A Facebook az adatkezelő, ha saját adatai alapján targetál
Ha az én adataim alapján, az általam beadott felhasználói adatok alapján targetál, akkor a Facebook az adatfeldolgozó és én vagyok az adatkezelő.

Google dolgozik már rajta, hoyg az Analytics szolgáltatását GDPR kompatibilissé tegye. Új beállítás lesz elérhető oldal property szinten, amivel be lehet állítani, mennyi ideig tárolod 1-1 felhasználó adatait az utolsó aktivitásától számítva (vagy úgy általában).
Szintén hamarosan érkezik a programozott módon elérhető adattörlés, aminél client ID (cookie), user ID (saját weboldalad azonosítója) vagy App ID segítségével lehet törölni 1-1 konkrét felhasználó history-ját Analyticsben.
GDPR szempontból valószínűleg consent nélkül is futtatható lesz az alap GA mérés az ún. Advertising features nélkül, amihez viszont már user consent kell. Ez főleg a demográfiai riportok adatmennyiségére és a remarketing lehetőségekre lesz várhatóan erősen kihatással.


Szállítási cím probléma

A GDPR egyik fontos alapelve az adattakarékosság, tehát csak annyi adatot kérjünk be és tároljunk, amennyi valóban szükséges, és csak addig tárolhatjuk, amíg szükséges. És ez felvet egy olyan problémát, hogy a szállítási címre csak addig van szükségünk, amíg a rendelés kiszállítása megtörtént. Így utána törölni kell ezeket az adatokat. Nem életszerű és mint user roppant bosszantó lenne, ha minden alaklommal újra be kellene írnom a szállítási címemet egy már regisztrált webshopban leadott rendelés esetén.
Remélhetőleg itt még történik egy módosítás, vagy állásfoglalás a NAIH-tól, addig is van rá egy kiskapu... 
Az ugye tiszta, hogy futárszolgálat esetén adatfeldolgozásról van szó, nem pedig adatkezelésről, mert a vásárlás teljesítéséhez igénybe kell vennem a futárt!? Mindaddig, amíg a futár cég nem veszi át és használja saját célra az adatokat!


Webshop motorok

Ha valamilyen webshop motort használsz, akkor gondban lehetsz az ügyben, hogy hol tárolódnak az adatok. Ilyen esteben ugye aláírod a Service agrement-et, és tájékoztat arról, hogy hol és hogyan tárolja, kezeli az adatokat. Ezt meg kell tenned a felhasználóid felé is.
Fontos, hogy pl. a Shopify nem adatkezelő (nem hoz döntést), csak tárolja az adatokat. De ez EU-n kívüli adattovábbításnak minősül és kifejezett hozzájárulás nem kell csak tájékoztatás.


IT biztonság és üzemeltetési problémák

Sajnos üzemeltetési szempontból is akadnak nem életszerű megfelelési kötelezettségek. Ilyen a felejtés joga esetén a biztonsági mentésekből is törölni kellene az adatokat, de ez nem életszerű és nem kivitelezhető ésszerű keretek között. Erre is várunk még állásfoglalást.
Ami itt fontos lehet, hogy egyrészt biztosítani kell a megfelelő biztonsági intézkedéseket, az adatok biztonságát, saját szerver esetén a jogosulatlan hozzáférés megakadályozását. Ha keretrendszerrel dolgozunk és különböző verziók vannak, akkor jelezni kell, hogy nem friss a keretrendszer, ami biztosági kockázat. Ilyenkor az ügyfél (tulajdonos) a felelős, hogy a frissítés költségét kifizeti-e vagy vállalja a régebbi rendszer sebezhetőségéből adódó kockázatot, mivel ő az adatkezelő.


Összefoglalva

A lényeg a megfelelő tájékoztatás, a felhasználói jogok gyakorlásának biztosítása, az adatok kezelésének időtartamára vonatkozó előírások betartása és figyeljünk oda, hogy különleges adatokat csak kifejezett hozzájárulás esetén tárolhatunk (9. cikk)

Igyekszem a profilozásról is írni hamarosan egy újabb bejegyzésebn.

Addig is: úgy kezeld mások adatait, ahogy elvárnád, hogy a tiedet kezeljék!

2018. máj. 2.

PO-ból DPO (2. rész) - HR és backoffice teendők

Az előző GDPR-ral kapcsolatos bejegyzésemben említettem, hogy a következő etap a belső folyamataink felmérése volt, hogy pontosan hol és milyen személyes adatokat kezelünk, ezekhez milyen folyamatok útján kik férnek hozzá. Három területre bontottam a működésünk alapján a vizsgálandó területeket:
  1. HR/backoffice/sales
  2. IT biztonság (üzemeltetés)
  3. Ügyfeleink rendszereinek fejlesztése és azok megfelelése

Elsőként a belső folyamatokat vizsgáltuk meg, egy kisebb csapattal, ahol az érintett területek képviselték magukat. Ez fontos, hiszen DPO-ként nem feltétlenül ismerem az adott terület folyamatait és nem is kötelességem ismerni azt.



HR workshop eredménye

Az előzetes vizsgálat és a csapatmunka során az alábbi helyeken történik adatkezelés vagy továbbítás:

- jelentkezési folyamat (reqruitment/CV kezelése)
- felvétel/beléptetés (munkaszerződés, email hozzáférés, céges telefon, laptop)
- bérszámfejtés
- kiléptetés (munkaviszony megszüntetése)
- a saját honlapunkon kapcsolat felvételi form, adatkezelési nyilatkozat
- üzemorvos
- jogosultság kezelés
- iroda ház kamera rendszer

Nézzük pár példát, hogy milyen kérdések merültek fel és milyen érdekes folyamatok vannak, amikkel foglalkoznunk kell:

- ügyfél scoring rendszer
- belső munkatársak DISC elemzése, teljesítmény értékelése
- fotós belső eseményeken

Ezekhez is kell külön hozzájárulás, tájékoztatás, illetve, ha ezeket az értékelési adatokat felhasználjuk a fizetésemelés mértékének megállapításához, akkor profilozásról beszélünk és hatásvizsgálatot kell készíteni.

Mobil és laptop


A mobil és laptop használat esetében is sok csavart tartalmaz a GDPR. Mobiltelefon céges környezetben történő használata esetén az alábbi esetekkel találkozhatunk:
  1. saját mobil, céges sim
  2. saját mobil, saját sim
  3. céges mobil, céges sim
  4. saját szám, saját sim, de beviszem a flottába
A GDPR-nak való megfelelés esetén, ha magánszámot tárolok a céges mobilon, akkor írásban engedélyt kell kérnem az adott magánszemélytől, aki ezt később visszavonhatja. De ha magánkézbe lévő készüléket használok, akkor céges adatokat nem tárolhatok rajta. Legjobb a saját mobil céges sim, amikor a céges számokat a céges sim kátyán tárolom.
De ha bevitted a cégbe a saját számod, akkor sajnos bonyolódik a helyzet, mivel a telefonszámod bekerül pl. az emailben az aláírásodba. Ebben az esetben kilépéskor a szerződésekből, emailekből törölni kell(ene). Mi a megoldás?
A legegyszerűbb, hogy a munkavállaló nem hozhatja be vagy nem viheti ki a számát. Második megoldás, hogy belépéskor vagy kilépéskor tájékoztatni, hogy ezeket az adatokat te, mint munkáltató tovább tárolod. Ilyenkor tiltakozhat. Ha kilépéskor hozzájárulást kérsz, akkor azt később visszavonhatja.

Laptopok, PC-k esetében elkerülhetetlen, hogy személyes adatok kerüljenek rá, ami szintén okozhat jogi problémát. Ezt szintén meg tudjuk előzni tájékoztatással, amelyben jelezzük, hogy minden, céges gépen tárolt adat céges adatnak minősül, így a felelősséget áthárítjuk a munkavállalóra.
A laptopok esetén az integritást és bizalmas jelleget is szem előtt kell tartani és mindent megtenni annak érdekében, hogy az adott OS napra kész legyen, az OS által nyújtott biztonsági beállítások be legyenek kapcsolva. A titkosított HDD ésszerű megoldás, így ajánlott.

Hogyan járjunk el az aktuális munkavállalókkal?

Új belépő munkavállaló esetén a szerződés aláíráskor kell vagy a szerződésbe foglalni az adatvédelmi szabályzatnak való megfelelést, vagy külön dokumentumként kezelni. Már meglévő munkavállalók esetében szerződés módosítás vagy tájékoztatás után, de minden esetben a munkavállalónak kell bepipálnia, hogy hozzájárul adott adatok munkáltató általi kezeléséhez és alá kell írnia.
Érdemes kitérni minden adatkezelési esetre:
- email server
- tender
- fotó
- stb.

Az egyik legfontosabb tudnivaló, hogy az esetek többségében törvényi vagy szerződéses jogalap van az adatok kezelésére, tarolására és a munkavállalók tájékoztatás vagy hozzájárulása szükséges hozzá.
Érdemes arra figyelni, hogy hozzájárulás esetén élhet a visszavonás jogával, de tájékoztatás esetén csak tiltakozhat, amit, az adott esetet megvizsgálva, el is utasíthatunk.
Ha a belső szabályzatunk részletesen kitér minden adatkezelési folyamatra, akkor első körben jól jártunk el.

Ha a szerződéseket, aktákat, személyes adatokat tartalmazó dokumentumokat papír alapon tárolunk, akkor azokat mindig elzárva kell tartani és egy úgynevezett kulcsrendet létrehozni, amiben nyilván van tartva, hogy kik férhetnek hozzá az adott szekrény tartalmához. Ezt a kulcsrendet is ebben a zárható részben kell tárolni.

Következő részben a webshopok teendőiről fogok írni.

2018. ápr. 20.

PO-ból DPO (1. rész) - DPO feladatai a gyakorlatban

Disclaimer: jelen blog nem fog a fogalmak és rövidítések magyarázatával foglalkozni, mivel született erre már ezer oldal és bejegyzés.




A saját webshopom miatt már régóta foglalkoztam az online jogi megfelelőséggel, mindig is fő szempont volt, hogy a vásárlóink tisztában legyenek a jogaikkal és korrekt vásárlási folyamatokkal találkozzanak. Cégünk részt vett és kvalifikált az E-commerce Hungary (akkor még SzEK.org) által szervezett Vedd a neten! kezdeményezésen is.

A Virgo-nál is folytattam ezt a tevékenységemet a PO teendők mellett, hogy ügyfeleinket napra készen tudjuk tartani és tájékoztatni olyan témában, mint pl. az elállási jog.
Az adatok védelmében született GDPR-ral is így kezdtem el foglalkozni, és mivel ezt magamra húztam, így megnyertem a cégcsoporton belüli DPO szerepkört is.

Célom, hogy a gyakorlati oldalról mutassam be a GDPR megfelelés lépéseit, előkészületeit és nehézségeit egy konkrét cég esetében.


Mi is az a DPO és mi a GDPR lényege gyakorlati szempontból?

Sok facebook csoportban és blog bejegyzésben tapasztalom azt a problémát, hogy az emberek nagyon komoly nyűgnek élik meg a GDPR-ra való felkészülést. Az is. De közben teljesen jogos a kezdeményezés, hogy az adatainkat normális keretek között kezeljék, védjék. Ha a saját adatink fontosak, akkor másoké miért nem? Vagy ha mi nem kezeljük mások adatait megfelelően, akkor miért várjuk el, hogy a mienket igen?
Én azt gondolom, hogy ez egy nagyon jó lehetőség, hogy átgondoljuk:
- milyen adatkezelési folyamataink vannak,
- az adott folyamatok során milyen adatokat kezelünk,
- valóban szükséges-e minden adat bekérése, kezelése,
- nyújt-e bármi üzleti hasznot, hogy ezeket az adatokat bekérjük?

Érdemes optimalizálni a folyamatainkat, szükség esetén törölni olyan adatokat, amik nem nyújtanak hasznot. A jelenleg futó projektek esetében is már a fejlesztés folyamán célszerű megvizsgálni, hogy minden log-ra, adatgyűjtésre valóban szükség van-e?
Gondoljuk át a jogalapokat, milyen hozzájárulások kellenek majd, és ezeket hogyan tudjuk bekérni?

Ebben lehet segítség a DPO, aki szaktudásával tudja segíteni a csapatokat.

Fontos tudni, hogy a DPO nem lehet HR vezető, nem lehet IT vezető és nem lehet tulajdonos, olyan független személynek kell lennie, aki nem irányítható és ki tud állni az adatok biztonságért! És éppen ezért nem lehet érintett, nem dönthet a személyes adatok kezelésének céljáról és eszközeiről. 
Kizárt pozíciók:
- vezérigazgató
- ügyvezető
- pénzügyi-,
- egészségügyi-,
- marketing-,
- HR-,
- IT-vezető
- bíróság előtti képviselet


Milyen feladatim vannak a cégben?

A GDPR szerint:
- tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;
- ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;
- kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- együttműködik az adatvédelmi felügyeleti hatósággal, és az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Emellett a DPO nem bocsátható el és nem vonható felelősségre a munkája miatt, az esetleges bírság is a társaságot terheli. Mondhatni milyen jó dolga van, de vegyük észre, hogy ez felelősség teljes munka, hiszen a bírságok mértéke akár egy cég életében is kerülhet.

És akkor mi a gyakorlat?

Elsőként azonosítottam azokat a területeket, ahol érint minket a GDPR:
- belső folyamatok (HR, backoffice, sales)
- IT biztonság (belső és külső üzemeltetések)
- ügyfél oldali teendők (készülő és supportált projektek)

Ezután belső workshopokat csináltunk, ahol azonosítottuk, hogy milyen adatokat kezelünk az adott területen, milyen folyamataink vannak és kinek milyen adatokat adunk át. Majd a jogalapot is hozzárendeltük ezekhez a folyamatokhoz.


De mit is várunk el egy DPO-tól?

Bár nem vonható felelősségre a DPO, de mindenképpen elvárt tőle, hogy szakmailag rátermett legyen, ismerje az adatvédelmi jogokat, a hatósági iránymutatásokat, adatbiztonsági és IT-folyamatokat. Ezenfelül ismerje a vállalat és ügyfeleinek környezetét, és érdemes megfelelő képzésen is részt venni.

És még egy apróság a DPO-kal kapcsolatban: az adatvédelmi tisztviselő esetén fontos elvárás az adatvédelmi tisztviselő elérhetőségeinek közzététele, illetve a NAIH-hoz való bejelentése.


Következő részben a HR workshop eredményéről írok majd.

Facebook