GDPR szelídítés. Gyakorlati megfontolások a KKV szférának.

Átírás

1 GDPR szelídítés Gyakorlati megfontolások a KKV szférának.

2 Az előadóról Kiss Tibor - GDPR coach Certified Information Privacy Professional GDPR tanácsadó Business coach és mediátor Vezető rendszermérnök telekommunikációs projektekben:

3

4

5 Jogi gyorstalpaló

6 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

7 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

8 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

9 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

10 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

11 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

12 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

13 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

14 Jogi gyorstalpaló GDPR jogok: megfelelő tájékoztatás hozzáférési jog a rólad tárolt adatokhoz a pontatlan adatok helyesbítéshez való jog a szükségtelen (vagy törvénytelenül tárolt) adataid törléséhez való jog adathordozhatóság adatkezelés elleni tiltakozás (pl marketing célból) adatkezelés korlátozása az automatikus döntéshozás és profilalkotás megakadályozása

15 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

16 5. cikk - A személyes adatok kezelésére vonatkozó elvek jogszerűség, tisztességes eljárás és átláthatóság célhoz kötöttség adattakarékosság pontosság korlátozott tárolhatóság integritás és bizalmas jelleg elszámoltathatóság

17 6. cikk - Az adatkezelés jogszerűsége Szerződés teljesítéséhez Jogi kötelezettség teljesítéséhez Hozzájárulással Jogos érdek alapján

18 7. cikk - A hozzájárulás feltételei Önkéntes alapon Specifikusan Igazolhatóan Céljáról világos, egyszerű nyelvezetben tájékoztatva Aktív cselekedettel Feltétel nélküli

19 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

20 24. cikk - Az adatkezelő feladatai (1) Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi. (2) Ha az az adatkezelési tevékenység vonatkozásában arányos, az (1) bekezdésben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

21 További cikkek az adatkezelő és adatfeldolgó témakörben 25: beépített és alapértelmezett adatvédelem 28-29: adatfeldolgozó Az adatkezelő nevében, írásbeli utasítás alapján adatokat kezel Csak olyan adatfeldolgozónk lehet, amely megfelelő GDPR garanciákat nyújt 31: együttműködés a felügyeleti hatósággal 32: adatkezelés biztonsága Az előző cikkelybe említett intézkedések alapértelmezettek. a tudomány és technológia állásának megfelelő biztonsági intézkedésekkel 33-34: adatkezelési incidens bejelentése 72 órán belül

22 Jogi gyorstalpaló Fejezet Cikkely Bevezető Általános rendelkezés Elvek Az érintett jogai Adatkezelő / feldolgozó Harmadik ország ; 60-76; 77-84; 85-91; 94-99;

23 Akkor most mit is kell a KKV-nak csinálni? Tisztességes módon kezeli az adatokat. Az emberek élhessenek a jogaikkal (hozzáférés, helyesbítés, törlés ). A tudomány és technika állásának megfelelő és az adat alany kockázatával arányos adatvédelmi technológiát és folyamatokat alkalmaz. Bejelenti ha adatkezelési incidens történt.

24 Akkor most mit is kell a KKV-nak csinálni? Tisztességes módon kezeli az adatokat. Az emberek élhessenek a jogaikkal (hozzáférés, helyesbítés, törlés ). A tudomány és technika állásának megfelelő és az adat alany kockázatával arányos adatvédelmi technológiát és folyamatokat alkalmaz. Bejelenti ha adatkezelési incidens történt. Akkor nem kell csinálnom semmit? :)

25 Röviden a speciális esetekről

26 Röviden a speciális esetekről A személyes adatok különleges kategóriái (9. cikk) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése.

27 Röviden a speciális esetekről Büntetőjogi Magas kockázattal járó adatkezelés (különössen új technologiák esetén) Közhatalmi szervek, közfeladatot ellátó szervek Fő tevékenység keretében az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Adatvédelmi hatásvizsgálat (DPIA), hatósági konzultáció Adatvédelmi tisztviselő (DPO) Nem megfelelő harmadik országba továbbított adatok

28 Az arányos intézkedésekről Nem a vállalkozás mérete határozza meg, hogy mi az arányos, hanem az adat alanyok mennyiségi és minőségi kockázata.

29 Érzékenység Az arányos intézkedésekről Pénzügyi előéletünk Teljes egészségügyi történetünk Igazolványadatok Fényképeink (a cloudban) Mikor hol voltunk az elmúlt év során (GPS) Közösségi aktivitás Mire kerestünk a böngészőben Telefon hívástörténetünk (emeltdíjas számok!) Közüzemi számlák Hol, mikor szálltunk meg a nyaraláskor Vevő/hűségkártya profilalkotás Vettünk egy horgászbotot

30 Intézkedés Érzékenység Az arányos intézkedésekről 16 szőrös, kockásinges számítógép guru figyeli a rendszert Teljes körű aktivitás monitorizás Két testőrrel, csuklóra bilincselt aktatáskában Állandó jellegű auditálás ISO, NIST, PCI-DSS stb megfelelés Eseti auditálás Fizikai beléptető rendszer, biztonsági őr Részletekbe menő hozzáférés kezelés Titkosított adattároló (pl. NAS), titkosított fájlok Alapvető hálózatbiztonság (tűzfal, WiFi) Felhasználónév+jelszó védett számítógép Zárható iratszekrény, iratmegsemmisítő

31 Demonstrációs stratégia GDPR elemzési dokumentum Felkészülési munkafüzet GDPR jogok kezelése Hozzájárulás kezelés Incidens nyilvántartás, kezelés Adatkezelés leírása, szabályzat Harmadik fél véleménye (elsősorban IT biztonságról) Adat leltár, adat térkép Oktatás Etikai kódex, tanúsítvány

32 Példa: IT biztonság Szakértő 2006 BT, a Kereskedő 2009 KFT kérésére felülvizsgálta a biztonsági beállításokat és az alábbi adatbiztonsági intézkedéseket valósította meg: A gépeken az antivírus és operációs rendszer tekintetében beállította az automatikus frissítéseket A WiFi hozzáféréshez jelszót állított be (WPA2/PSK) A helyi hálózatot védő tűzfalat bekonfigurálta A gépeket megfelelő felhasználónév és jelszó védelemmel ruházta fel A Raktár 2.0 programban, mindenkinek saját felhasználója van

33 Példa: GDPR jogok biztosítása Önnek joga van ahhoz, hogy (a cégünk által) tárolt személyes adatokat megtekintse, helyesbítse. Esetenként kérheti az adatok törlését, feldolgozás korlátozását vagy tiltakozhat feldolgozásuk ellen. További információért olvassa el a GDPR cikkelyeit. A jogai gyakorlásáért kérjük lépjen kapcsolatba velünk az alábbi elérhetőségen: gdpr@sumákbété.hu

34 Példa: átláthatóság Köszönjük, hogy jelentkezett a cégünk által meghirdetett pozícióra. Az Ön által szolgáltatott személyes adatokat a toborzási folyamat végéig őrizzük meg, ami 90 napot semmilyen körülmények között nem haladja meg. Ha adatkezeléssel kapcsolatos kérdése van, vagy a GDPR cikkelyeiben foglalt jogaival szeretne élni, kérjük lépjen kapcsolatba velünk: hr@sumákbété.hu

35 Példa: hozzájárulás kezelés Köszönjük, hogy jelentkezett a cégünk által meghirdetett pozícióra. Sajnálattal értesítjük, hogy a kérdéses pozíciót már időközben betöltötték. Az Ön által szolgáltatott személyes adatokat szeretnénk egy esetleges jövőbeli megkeresés érdekében ig eltárolni. Kérem válaszban jelezze hozzájárulását! Ha ilyen hozzájárulás nem érkezik, 15 naptári nap múlva töröljük adatait. Ha adatkezeléssel kapcsolatos kérdése van, vagy a GDPR cikkelyeiben foglalt jogaival szeretne élni, kérjük lépjen kapcsolatba velünk: hr@sumákbété.hu

36 Példa: adatkezelés leírása A Takarító 2000 Kft szerződéses szemétszedést vállal. Személyes adatokat a munkáltatás során kezelünk. Gizike, a bérszámfejtő kezeli az összes bérrel kapcsolatos papírmunkát. A kapcsolódó iratokat egy zárható szekrényben tartja, amihez csak neki és a főnöknek van kulcsa. Az iratokat a maradandó értékű iratokról szóló törvény szerint kezeli. Jolika a munkaszervező, ő intézi a számlázást és a szerződéseket. Az ezzel kapcsolatos iratokat, egy másik, erre a célra használt zárható szekrényben tárolja. Ehhez kulcsa neki és a főnöknek van. Az iratokat az adózási törvény által meghatározott szabályok alapján kezeli. Az irodát, ha nincs ott Gizike, Jolika vagy a Főnök, zárjuk.

37

38

39

40 Adatleltár logikája Adat Miért? Kinek az adata? Miért? Miért? Mit? Mikor? Hol?

41

42

43

44

45 Példa: adatleltár Üzleti egység Pénzügy Célja Bérezés (alkalmazáshoz kapcsolódó adminisztrációk) Személyek kategóriája Alkalmazottak Adatok kategóriája Elérhetőségek (név, cím) Címzettek kategóriája NAV Adatfeldolgozó Legjobb könyvelő 2000 BT Adattárolás ideje 5 év az alkalmazás megszűnése után Jogi alap Jogi kötelezettség Tárolás helye Titkosított megosztott lemez

46 Példa: incidens napló Incidens leírása Feltört autóból ellopták a jelentkezők önéletrajzát Ideje, időtartama Jan. 16., egyszeri Személyes adatok kategóriája Önéletrajz Érintettek száma, köre Gépkezelő állásra jelentkezők, 16 személy Adatok mennyisége 16 önéletrajz Kapcsolattartó (pl. DPO) (név, cím, telefonszám) Lehetséges következmény, kockázat Az érintettről kiderül, hogy új munkát keres. Intézkedések Önéletrajzok digitális tárolása Értesítések Érintettek értesítése telefonon

47 Demonstrációs stratégia GDPR elemzési dokumentum Felkészülési munkafüzet GDPR jogok kezelése Hozzájárulás kezelés Incidens nyilvántartás, kezelés Adatkezelés leírása, szabályzat Harmadik fél véleménye (elsősorban IT biztonságról) Adat leltár, adat térkép Oktatás Etikai kódex, tanúsítvány

48 Munkafüzet

49 I. Különleges adatkezelési esetek Különleges kategóriájú adatok kezelése Büntetőjoggal összefüggő adatkezelés Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek Az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Magas kockázatú adatkezelés Személyes adatok harmadik országba továbbítása Automatizált döntéshozatal Gyerekeknek nyújtott információs társadalommal összefüggő szolgáltatás

50 I. Különleges adatkezelési esetek Különleges kategóriájú adatok kezelése Büntetőjoggal összefüggő adatkezelés Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek Az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Magas kockázatú adatkezelés Személyes adatok harmadik országba továbbítása Automatizált döntéshozatal Gyerekeknek nyújtott információs társadalommal összefüggő szolgáltatás

51 I. Különleges adatkezelési esetek Különleges kategóriájú adatok kezelése Büntetőjoggal összefüggő adatkezelés Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek Az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Magas kockázatú adatkezelés Személyes adatok harmadik országba továbbítása Automatizált döntéshozatal Gyerekeknek nyújtott információs társadalommal összefüggő szolgáltatás

52 I. Különleges adatkezelési esetek Különleges kategóriájú adatok kezelése Büntetőjoggal összefüggő adatkezelés Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek Az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Magas kockázatú adatkezelés Személyes adatok harmadik országba továbbítása Automatizált döntéshozatal Gyerekeknek nyújtott információs társadalommal összefüggő szolgáltatás

53 I. Különleges adatkezelési esetek Különleges kategóriájú adatok kezelése Büntetőjoggal összefüggő adatkezelés Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek Az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Magas kockázatú adatkezelés Személyes adatok harmadik országba továbbítása Automatizált döntéshozatal Gyerekeknek nyújtott információs társadalommal összefüggő szolgáltatás

54 I. Különleges adatkezelési esetek Különleges kategóriájú adatok kezelése Büntetőjoggal összefüggő adatkezelés Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek Az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Magas kockázatú adatkezelés Személyes adatok harmadik országba továbbítása Automatizált döntéshozatal Gyerekeknek nyújtott információs társadalommal összefüggő szolgáltatás

55 I. Különleges adatkezelési esetek Különleges kategóriájú adatok kezelése Büntetőjoggal összefüggő adatkezelés Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek Az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Magas kockázatú adatkezelés Személyes adatok harmadik országba továbbítása Automatizált döntéshozatal Gyerekeknek nyújtott információs társadalommal összefüggő szolgáltatás

56 I. Különleges adatkezelési esetek Különleges kategóriájú adatok kezelése Büntetőjoggal összefüggő adatkezelés Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek Az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé Magas kockázatú adatkezelés Személyes adatok harmadik országba továbbítása Automatizált döntéshozatal Gyerekeknek nyújtott információs társadalommal összefüggő szolgáltatás

57 II. Adatkezelés jogalapja

58 III. GDPR jogok biztosítása Rendelkezésre bocsátandó információk Hozzáférési jog Helyesbítéshez való jog Törléshez való jog Adatkezelés korlátozásához való jog Adathordozáshoz való jog Tiltakozáshoz való jog

59 Adatvédelmi tájékoztató

60 Adatvédelmi tájékoztató

61 Adatvédelmi tájékoztató

62 Adatvédelmi tájékoztató

63 III. GDPR jogok biztosítása Rendelkezésre bocsátandó információk Hozzáférési jog Helyesbítéshez való jog Törléshez való jog Adatkezelés korlátozásához való jog Adathordozáshoz való jog Tiltakozáshoz való jog

64 III. GDPR jogok biztosítása Rendelkezésre bocsátandó információk Hozzáférési jog Helyesbítéshez való jog Törléshez való jog Adatkezelés korlátozásához való jog Adathordozáshoz való jog Tiltakozáshoz való jog

65 III. GDPR jogok biztosítása Rendelkezésre bocsátandó információk Hozzáférési jog Helyesbítéshez való jog Törléshez való jog Adatkezelés korlátozásához való jog Adathordozáshoz való jog Tiltakozáshoz való jog

66 III. GDPR jogok biztosítása Rendelkezésre bocsátandó információk Hozzáférési jog Helyesbítéshez való jog Törléshez való jog Adatkezelés korlátozásához való jog Adathordozáshoz való jog Tiltakozáshoz való jog

67 III. GDPR jogok biztosítása Rendelkezésre bocsátandó információk Hozzáférési jog Helyesbítéshez való jog Törléshez való jog Adatkezelés korlátozásához való jog Adathordozáshoz való jog Tiltakozáshoz való jog

68 III. GDPR jogok biztosítása Rendelkezésre bocsátandó információk Hozzáférési jog Helyesbítéshez való jog Törléshez való jog Adatkezelés korlátozásához való jog Adathordozáshoz való jog Tiltakozáshoz való jog

69 IV. Technikai és szervezési intézkedések

70 V. Egyéb kapcsolódó iratok Adatleltár GDPR elemzési dokumentum Felkészülési munkafüzet Adatkezelés leírása, szabályzat Harmadik fél véleménye (elsősorban IT biztonságról) Adattérkép

71 VI. Néhány gyakori eset Foglalkoztatáshoz kapcsolódó adatkezelés Számlák Álláshírdetés Céges fiók Céges eszközök (telefon, laptop, stb) Felhő (cloud) szolgáltatások

72 VI. Néhány gyakori eset Foglalkoztatáshoz kapcsolódó adatkezelés Számlák Álláshirdetés Céges fiók Céges eszközök (telefon, laptop, stb) Felhő (cloud) szolgáltatások

73 VI. Néhány gyakori eset Foglalkoztatáshoz kapcsolódó adatkezelés Számlák Álláshirdetés Céges fiók Céges eszközök (telefon, laptop, stb) Felhő (cloud) szolgáltatások

74 VI. Néhány gyakori eset Foglalkoztatáshoz kapcsolódó adatkezelés Számlák Álláshirdetés Céges fiók Céges eszközök (telefon, laptop, stb) Felhő (cloud) szolgáltatások

75 VI. Néhány gyakori eset Foglalkoztatáshoz kapcsolódó adatkezelés Számlák Álláshirdetés Céges fiók Céges eszközök (telefon, laptop, stb) Felhő (cloud) szolgáltatások

76 VI. Néhány gyakori eset Foglalkoztatáshoz kapcsolódó adatkezelés Számlák Álláshirdetés Céges fiók Céges eszközök (telefon, laptop, stb) Felhő (cloud) szolgáltatások

77 VII. Záró gondolatok Tisztességes módon kezeli az adatokat. Az emberek élhessenek a jogaikkal (hozzáférés, helyesbítés, törlés ). A tudomány és technika állásának megfelelő és az adat alany kockázatával arányos adatvédelmi technológiát és folyamatokat alkalmaz. Bejelenti ha adatkezelési incidens történt. Adatvédelmi tájékoztató Incidens nyilvántartás Adatjogok kapcsán elérhető személy

78 Konzultációs lehetőség Itt és most Jövőbeli kamarai workshop GDPR rendelés Eseti tanácsadás cégeknek Közhasznú szervezeteknek GDPR megfelelési program zenit-services.com