GDPR Adatvédelem újratöltve. kihelyezett

Átírás

1 GDPR Adatvédelem újratöltve kihelyezett

2 Megnyitó Sass Katalin ügyvezető

3 Ismét itt a szeptember ismét jelentkezik a NEXON-ITB konferencia

4 "A pesszimista minden lehetőségben meglátja a nehézséget. Az optimista minden nehézségben látja a lehetőséget." - Winston Churchill

5 GDPR General Data Protection Regulation Általános Adatvédelmi Rendelet

6 A GDPR lényege I transzparencia, I a munkavállalók bevonása a folyamatokba, I a megismerhetőség és a hozzáférhetőség I térbeli és időbeli korlátok nélkül.

7 A NEXON célja I segítsük a szakmai párbeszédet, I tudásmegosztás, tapasztalatcsere, I van amiben elkészültünk, és a további felkészülésünk folyamatos.

8 A siker az, ahol a felkészülés és a lehetőség találkozik." - Bobby Unser

9 Köszönöm a figyelmet! Sass Katalin ügyvezető

10 Mi az a GDPR? Avagy miről szól az adatvédelem a jogrendszerben Dr. Jóri András Tanácsadó, volt adatvédelmi ombudsman

11 Új?

12 (1) A számítógéppel vagy más módon történő adatkezelés és adatfeldolgozás a személyhez fűződő jogokat nem sértheti. (2) A nyilvántartott adatokról tájékoztatást - az érintett személyen kívül - csak az arra jogosult szervnek vagy személynek lehet adni. (3) Ha a nyilvántartásban szereplő valamely tény vagy adat nem felel meg a valóságnak, az érintett személy a valótlan tény vagy adat helyesbítését külön jogszabályban meghatározott módon követelheti

13 Miért érdekes? Ombudsman (-2011): csak kérhet NAIH: bírság 20 millió forintig GDPR: 20 milló EUR vagy a teljes éves világpiaci forgalom 4%-a Büntető tényállás

14 Infotv. GDPR ( Új Infotv ) E-privay rendelet 2016/680 irányelvet átültető jogszabály ok ( Új Infotv ) Tagállami jog alatti adatkezelés

15 Személyes adat? Tartalom

16 "személyes adat": azonosított vagy azonosítható természetes személyre (" érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (Rendelet) "személyes adat" az azonosított vagy azonosítható természetes személyre ("érintettre") vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén (Irányelv)

17 Jogalapok: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű,- amennyiben legalább az alábbiak egyike teljesül: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek

18 Érintetti jogok: -Automatizált döntéshozatal/profilozás (automatizált egyedi döntés) -Elfeledtetéshez való jog (törléshez való jog) -Privacy Impact Assessment (előzetes ellenőrzés) -Tervezett és alapértelmezett adatvédelem magyar jogban is! -Incidensjelentés (hírközlési jogban)

19 Tanács: Ne kezeljenek személyes adatot! (Ha kezelnek: -biztosítsák a célt -biztosítsák a jogalapot -biztosítsák az érintett jogait -biztosítsák az adatbiztonsági követelményeket -nevezzenek ki adatvédelmi felelőst -. -És mindezt dokumentálják!)

20 Köszönöm a figyelmet! Dr. Jóri András Tanácsadó, volt adatvédelmi ombudsman

21 GDPR felkészülés: a check-listtől az eredményekig Hargitai László KPMG Informatikai Kockázatkezelési Tanácsadás

22 Tartalom A jó checklist ismérvei Hogyan irányítsuk az adatvédelmet? Hogyan működtessük a rendszereinket? Hogyan kezeljük a kockázatokat? Hogyan mérjük a felkészülés eredményeit?

23 1. A jó checklist ismérvei Lefedi az adatvédelem minden szintjét: Stratégia, irányítás Operáció Kockázatkezelés Lefedi a személyes adatok teljes életciklusát Mérhetővé teszi az adatvédelmi fejlesztések eredményeit 1. Adatérkeztetés 2. Adatfeldolgozás és tárolás 3. Adattovábbítás & adattörlés

24 2. Hogyan irányítsuk az adatvédelmet? Amit felül kell vizsgálnunk a GDPR kapcsán: Üzleti stratégia Adatkezelési stratégia Működési modell Folyamatirányítás Munkatársak képzése Ajánlott olvasmány: KPMG Crossing the line c. tanulmánya /pdf/2016/11/crossing-the-line.pdf

25 3. Hogyan működtessük a rendszereinket? Amit felül kell vizsgálnunk a GDPR kapcsán: Adatnyilvántartás Adat-életciklus kezelése Cél szerinti adat Minimális mennyiségű adat Minimális ideig kezelt adat Megfelelő hozzájárulás, tájékoztató, érdekmérlegelés Különleges adatok kezelése Anonimizáció Biztonságos törlés, időben Adatbiztonság Adatvédelem felügyelete Adatbiztonsági modell

26 4. Hogyan kezeljük a kockázatokat? Amit felül kell vizsgálnunk a GDPR kapcsán: Kockázatelemzés, belső ellenőrzés Naplózás, naplókezelés Szabályzatok Beszállítók, adatfeldolgozók Incidenskezelés

27 5. Hogyan mérjük a felkészülés eredményeit? Adatvédelmi érettség mérése, nyomon követése Érettség felmérése Ad-hoc Kezdeti Kontrollált Ellenőrzött Optimalizált Cél működési modell: üzleti stratégia és GDPR alapján GAP-ek azonosítása Priorizálás: kockázat szerint

28 Köszönöm a figyelmet! Hargitai László KPMG Informatikai Kockázatkezelési Tanácsadás Laszlo.Hargitai@kpmg.hu

29 A GDPR ICT-vonatkozásai Csizmazia Darab István Sicontact, IT biztonsági szakértő /25

30 Tartalom :: GDPR - Ezmiez? :: Változások, kihívások :: Tanulópénzek :: A szakma lehetséges feladatai :: Biztonság+tudatosság /25

31 GDPR - Ezmiez? május évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról Kidolgozott és érvényes, elfogadott uniós jogszabályok gyűjteménye Meghatározzák az ország forrásainak, adatainak védelmét - Elősegítik az állami, illetve a magánszektor közötti együttműködést - Jogokat biztosít az uniós állampolgároknak adataik kezelésével kapcsolatban /25

32 GDPR - Ezmiez? Személyes adat: minden olyan információ, ami egy azonosított vagy azonosítható természetes személyre vonatkozik - Minden EU területén tevékenykedő cég - Minden uniós polgárok adatait kezelő szervezet (nem csak az EU-ban működő) Legfőbb szegmens a szenzitív adatok kezelők: EÜ, oktatás, kormányzat A szabályozási rendszer igen összetett, fokozott adatbiztonsági követelmények - Erősebb hatósági felügyelet, magasabb (20 meur) bírság /25

33 Milyen változásokat hoz mindez? A "kockázatarányos védelem elve" - Például az egészségügyi szektorban Megfordul a bizonyítási teher Fontos új alapelv: az elszámoltathatóság elve Nem elég, ha az adatkezelő betartja az adatvédelmi szabályokat, igazolnia is kell a megfelelést Változások, kihívások /25

34 Értesítési kötelezettség - adatvédelmi incidensek esetére előírt értesítési kötelezettség - jelentős többletterhet ró az adatkezelő 101 szervezetekre az incidensek ügyfelek felé történő kommunikációja rombolhatja az ügyfelek szervezet iránti bizalmát, ronthatja a szervezet jó hírét - halogatása, elhallgatása, kozmetikázása viszont tönkreteheti a céget Módosítási javaslat: mentesség, ha a szervezet alkalmazta a technikai és szervezési védelmi intézkedéseket, például titkosítás Változások, kihívások /25

35 Az érintettek számára meghatározott jogok biztosítása - Mind a hatályos hazai szabályozás, mind a GDPR előírja Beletartozik a saját adatokba való betekintés - Számos esetben az adatok feletti rendelkezés joga is Téves adatok helyesbítése Akár a törlés biztosításának joga is Változások, kihívások /25

36 USA: bűnözés > drog (105 mrdusd) nap (2017, Vectra Networks) - 4 mrd netező, 10 mrd netes eszköz IDC-ESET május: - A vállalatok 22%-a nem ismeri a GDPR követelményeit A cégek ötöde (20%) még el sem kezdte a felkészülést - A vállalatok 56%-nál nem mérik az adatlopások, támadások, kockázatok költségeit Változások, kihívások - 52% tud róla, de nem világos számukra a feladat /25

37 Tanulópénzek UK NAVY - 600,000 személyes adat - egy állami alkalmazottól elloptak egy noteszgépet /25

38 Tanulópénzek ezer betegadat - elvesztett adathordozón minősített, titkosítatlan adatok /25

39 Tanulópénzek LinkedIn millió account - no salted hash több, mint 2 év - 2FA, , kontroll /25

40 Tanulópénzek 2016.december: 90% XP a brit EÜ-ben - nem várható érdemi javulás 2017-re /25

41 Tanulópénzek július - Brit orvosok - Tévhit, hogy a kényelmes egyenlő a 101 jóval, vagy a biztonságossal Snapchat-en küldik a röntgen képeket /25

42 A titkolódzás súlyos és hosszú távon drágább hiba holland DigiNotar - július 19-én nem csak feltörés áldozata - a tanúsítványokat kibocsátó rendszerbe is bejutottak a támadók csak belső vizsgálat volt, nem értesítették a partnereket, a cég szerint az incidens hatása minimális - A Comodo, a Google nevére kiállított illetéktelen tanúsítványok jelentek meg - A kibocsátott hamis tanúsítványokat visszavonták (nem sokat ér), közben a Google.com-os kimaradt! Pl. az addons.mozilla.org-ra is állítottak ki tanúsítványt a támadók Az F-Secure kiderítette, hogy vélhetően iráni hackerek a diginotar.nl-t 2010-ben is többször megtörték, erről is hallgattak - Független biztonsági jelentés:a behatoló már június 6-án bejutott a rendszerbe Tanulópénzek /25

43 A titkolódzás súlyos és hosszú távon drágább hiba így tanúsítványokat - a DigiNotar július 19-éig mit sem tudott a dologról, és még szeptember 3-án 101 is kiállításra kerültek új tanúsítványok szeptember 20. a DigiNotar (Vasco Inc. leányvállalata) belebukott a történetbe, felszámolás, csőd Tanulópénzek tanúsítványt állítottak ki illetéktelenül, a tanúsító összes CA szerverét adminisztrátori szintig törték, és a logokat törölték - a DigiNotarnak elképzelése sem lehetett arról, hogy kiknek a nevére generáltak /25

44 A szakma lehetséges feladatai Milyen megoldásokkal segíthetjük a vállalkozásokat? - ESET egy 30 éves gyártói tapasztalattal rendelkező cég - A hálózati biztonság és végpontvédelem mellett további biztonsági technológiákkal - A titkosítás és azonosítás mint az adatvédelmi megfelelés egyik eszköze /25

45 ESET Secure Authentication (ESA) MIT OLD MEG? - Erős mobil alapú megoldás, 2FA, egyszer használatos OTP egyedi kódos hitelesítés - Az OTP kód véletlenszerűen generált, 101 nem megjósolható, nem újrahasználható Segíti a megfelelést az iparági szabályzásoknak (PCI-DSS/HIPAA) - Az intézkedéssel demonstrálható a hozzáférési jogosultságok komolyan vétele - Az adatvédelem melletti elkötelezettség (távoli hozzáférésnél) - Jogosultságkezelési és naplózási kötelem előírása a szabályzás szerint A szakma lehetséges feladatai - Problémamentes távoli hozzáférés céges hálózathoz és adatokhoz /25

46 ESET Endpoint Encryption (DESlock Encryption) MIT OLD MEG? - Szöveg és vágólap titkosítás - Titkosított virtuális kötetek és tömörített állományok FIPS szabványnak megfelelő bites AES titkosítás - Szabványmegfelelés: COBIT, ITIL, ISO 27001, ISO 9001, ISO bankkártyás fizetés (PCI DSS) szabvány kötelező eleme Menedzselt környezet, felhasználóbarát - Az adatgyűjtés céljától eltérő adatkezelésnél kötelező a titkosítás - Teljes HDD, cserélhető adathordozók, állományok, ek titkosítása - Skálázható, vállalati mérethez igazodó A szakma lehetséges feladatai /25

47 Biztonságtudatosság ez is kell hozzá - 27% soha nem részesült oktatásban - Megkerülhetetlenül fontos május - WannaCry támadási hullám - "Jó" apropó volt a cégek védekezésének felülvizsgálatára - A brit dolgozók 44%: a céges levelezőrendszerben megnyitott biztonságos Biztonság+tudatosság Global Cyber Risk ban sok helyen nem volt biztonságtudatossági képzés - 46%-uknál ez évi egyszeri 30 perc /25

48 Biztonságtudatosság ez is kell hozzá december. - Mi az indián neved? ezer FB "kedvelő" - még 2015-ben is 912 ezer Biztonság+tudatosság /25

49 Biztonságtudatosság ez is kell hozzá Facebook Ha 0-s a vércsoportod, Különleges vagy Ki még? Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) - Önrendelkezés: ki ismeri? Biztonság+tudatosság /25

50 Várható lesz új bűnözői forgatókönyvek megjelenése: - 20 meur helyett váltságdíj Biztonság+tudatosság Chimera: - Nem várt mellékhatás: céges adatok Pastebin publikus weblapra /25

51 - A cégek ötöde (20%) még el sem kezdte a felkészülést - A felkészülés még a határidő után is rengeteg feladatot tartogat! - Komoly változások, komoly bírságok - A titkosítás és 2FA azonosítás az adatvédelmi megfelelés egyik eszköze - Minden adatkezelőnek foglalkozni kell vele Összefoglalva /25

52 Köszönöm a figyelmet! Csizmazia Darab István Sicontact, IT biztonsági szakértő /25

53 Kerekasztal beszélgetés Információbiztonsági cégek tapasztalatai az eddigi felkészülésről, illetve milyen területeken vannak nagy lemaradásban a cégek Kihelyezett ITB Klub Résztvevők: Frész Ferenc Cyber Services Keleti Arthur ITBN Papp Péter Kancellar.hu

54 Köszönjük a figyelmet! Frész Ferenc Cyber Services Keleti Arthur ITBN Papp Péter Kancellar.hu

55 Kávészünet 15 perc

56 GDPR HR szemszögből Amroun Rachid Service management team leader NEXON Kft.

57 Áttekintés GDPR (General Data Protection Regulation) az európai unió adatvédelmi rendelete Hatályba lép május 25-én Egységesíti a 28 tagállam adatvédelmi rendelkezéseit és felülírja a nemzeti jogszabályokat Bővíti a személyek jogait és a társaságok kötelezettségeit Magyarország jelenleg nem fogadott még el e témában részletesebb rendelkezéseket

58 Tájékoztatás és hozzájárulás Jelenlegi is tartalmaznak általában rövid összefoglalót a személyes adatok kezeléséről és hozzájárulást is harmadik személy részére történő adattovábbításhoz. A jövőben a foglalkoztatás során a munkáltató a munkavállaló személyes adatait csak bizonyos esetekben kezelheti jogszerűen Át kell vizsgálni a jelenlegi munkaszerződés mintát és meg kell állapítani, hogy egyes adatokat milyen jogcímen kezelik. A jövőben részletesebb adatvédelmi tájékoztatást kell foglalni a munkaszerződésbe vagy az adatvédelmi szabályzatba Hozzájárulást kell kérni az adatok kezelésére a munkavállalóktól

59 Munkavállaló jogai Biztosítani kell a munkavállalóknak a lehetőséget a személyes adataikhoz való hozzáférést, azok helyesbítését és törlését valamint gyakorolni a tiltakozáshoz való jogát A munkáltató köteles biztosítani a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik

60 Adatvédelmi incidens Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása, megsemmisítése, elvesztése, megváltoztatása esetén a munkáltatónak bejelentési kötelezettsége keletkezik a felügyelő hatóság felé. Amennyiben ez az incidens a munkavállaló személyes adatait érinti, akkor munkavállalót is értesíteni kell

61 Adatvédelmi tisztviselő Az új általános adatvédelmi rendelet a belső adatvédelmi tisztviselő kinevezését a jelenlegi szabályoknál szélesebb adatkezelői körben teszi kötelezővé. Ha erre kerül sor, akkor fontos, hogy a munkáltató megbizonyosodjon arról, hogy valaki a szervezeténél vagy egy külső tanácsadó megfelelően felelősséget vállal az adatvédelmi eljárásoknak való megfelelésért, és elegendő tudással, támogatással és fennhatósággal rendelkezik ehhez

62 Adatvédelmi hatásvizsgálat Az új szabályok értelmében, ha az adatkezelés valamely különösen új technológiákat alkalmazó típusa valószínűsíthetően magas kockázattal jár a munkavállalók jogaira, személyes adataira nézve, akkor a munkáltatónak az adatkezelést megelőzően hatásvizsgálatot köteles végezni

63 Adatvédelmi nyilvántartás Megszűnik a NAIH hivatalos adatvédelmi nyilvántartása, a jövőben azonban minden munkáltatónak kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni

64 Adatvédelmi szabályzat A munkáltató köteles adatvédelmi szabályzatokat elfogadni, amely az adatkezeléssel, a munkavállalók jogaival kapcsolatos főbb szabályokat tartalmazza

65 Van jó hír is a HR számára? A szigorúbb adatvédelmi szabályok két irányúak. Keményebben léphetünk fel, ha az adatvédelmi incidens elkövetője valamelyik munkavállalónk. Gondoljunk arra, ha egy kilépő magával visz ügyfél listát elérhetőségekkel, Valamelyik munkavállaló helytelenül használja harmadik fél bizalmas információit, Vagy bizalmas információkat tölt le a rendszereinkből

66 Hogyan készüljünk fel? Alakítsunk munkacsoportot. Készítsünk gap analízist azonosítsuk a meglévő rendszereinket ill. milyen személyes adatokat kezelünk. Készítsünk leltárt a HR adatainkról. Tervezzük meg az implementációs programot azonosítsuk a szükséges lépéseket. Frissítsük a munkaszerződéseket. Készítsünk, frissítsük a munkavállalók adatvédelemmel érintett szabályzatait. Vizsgáljuk felül a HR folyamatainkat és a vonatkozó szabályzatainkat

67 Hogyan készüljünk fel? Dolgozzunk ki mintaválaszokat adatkérések esetére, annak érdekében, hogy a GDPRnek megfelelően kommunikáljon a társaság. Az informatikai rendszert módosítsuk, hogy könnyen kereshetőek legyenek az egyes munkavállalókra vonatkozó személyes adatok. A HR projektekben vegyük figyelembe a titoktartást. Biztosítsunk az adatvédelemmel foglalkozó munkatársak részére megfelelő adatvédelmi tréninget. Lehetőség szerint alakítsunk ki online rendszert a munkavállalók személyes adatainak tárolására és hozzáférésére

68 Köszönöm a figyelmet! Amroun Rachid Service management team leader NEXON Kft.

69 Honnan kerítsek adatvédelmi felelőst? KOMENDA ROLAND partner, ügyvezető Fortix Consulting

70 GDPR

71 KIEMELT PARTNEREINK

72 ADATVÉDELMI TISZTVISELŐ (DPO)

73 TELJESKÖRŰ VÉDELEM Személyes adatok meghatározása Feldolgozás Adatvédelem jogi alapjának a meghatározása beágyazása Adatbiztonság fenntartása A személyes adat megfelelő védelme a kezelés/feldolgozás teljes ideje alatt forrás: MySec

74 MIKOR KÖTELEZŐ? Kötelező kinevezni, ha az adatkezelő vagy adatfeldolgozó: 101 közhatalmi szerv vagy egyéb közfeladatot ellátó szerv; fő tevékenységének része az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése; fő tevékenysége szerint nagy számban kezel különleges adatot vagy bűnügyi adatot.

75 ÚJ KIHÍVÁSOK Adatvédelmi Adatkezelési tudatosság kritériumok Az érintettek A hozzájárulás tájékoztatása feltételeinek felülvizsgálata Adatkezelés Üzleti Jogi terület jogalapja területek 101 Adatvédelmi Érintettek tisztviselő jogai Az érintett hozzáférési joga Adatvédelmi incidens detektálása és bejelentése Informatika Biztonság és BI Beépített adatvédelem Adatvédelmi hatásvizsgálat

76 1. Strukturált Elemzés 2. Hatékony Integráció 3. Fenntartható Működés GDPR ROADMAP ALAPELVEK Minden érintett bevonása Workshopok, Interakció igényéhez Strukturált és technikai Információbiztonsági és információgyűjtés más irányítási Vezetői jelentési, rendszerekbe, 101 Hatásvizsgálat fejlesztési mérési és folyamatba történő visszajelzési rendszer Metaadatok rendszere! (adatok az adatokról) Valós eltérések azonosítása Releváns javaslatok Projektmenedzsment, alkalmazkodva az ügyfél integráció kialakítása Új/speciális folyamatok minimalizálása, meglévők javítása A változás aktív irányítása A szereplők hatékony támogatása az átadás alatt és után Maradandó és fenntartható megoldások biztosítása

77 INTEGRÁLJUK MEGLÉVŐ RENDSZEREINKHEZ!

78 GDPR TÁMOGATÁS I Adatvédelmi audit, eltérésjelentés 101 I Akcióterv elkészítése I Felkészülés támogatása I Teljes vagy részleges DPO feladatok ellátása

79 Köszönöm a figyelmet! KOMENDA ROLAND partner, ügyvezető

80 GDPR a hétköznapokban Mit kell tudnom nekem, az egyszerű polgárnak? dr. Horváth Katalin ügyvéd, partner

81 Amiről szó lesz 6 indok, amiért a felhasználóknak is érdemes a GDPR-ral foglalkozni

82 Az a bizonyos 6 indok 1. Egységes EU-s szabályok, egységes jogok 2. Szigorúbb szabályok és szankciók 3. Szélesebb döntési jogkör, több kontroll 4. Részletesebb tájékoztatás az adatok kezeléséről 5. Új jogok az adatkezelővel szemben 6. Nagyobb adatbiztonság

83 # 1. indok Egységben az erő Igaz vagy hamis? a) Megszűnik a magyar adatvédelmi törvény. b) Megszűnik a magyar adatvédelmi hatóság. c) Az EU-ban, Brüsszelben lehet csak jogokat érvényesíteni. d) A német webáruházakra is csak az EU rendelet vonatkozik

84 # 2. indok - Mit érdemel az a bűnös aki megsértette az adatvédelmi jogainkat?

85 Igaz vagy hamis? a) A jogsértéseket nyilvánosságra hozzák. b) Az érintetteket értesítik, ha adataikat jogellenesen kezelték. c) A teljes adatbázis törlését nem rendelhetik el. d) A biztonsági mentésből nem kell törölni az adatokat

86 Mit érnek a szankciók? Figyelmeztetés visszatart-e bárkit? Jogszerűség helyreállítása mit ér önmagában? A jogsértés nyilvánossága feketelistára vele Adatok, adatbázisok törlése ez már fájhat Adatkezelés korlátozása, megtiltása írott malaszt Érintett felhasználók értesítése jó tudni róla Kártérítés majd talán 5 év múlva ha bizonyítható Bírság (10/20 millió Euró vs. 20 millió HUF) húsbavágó

87 # 3. indok Majd én megmondom, mi lesz Igaz vagy hamis? a) Vagy az összes adatkezelési célhoz hozzájárulok, vagy egyikhez sem. b) Az anyavállalatnak adott adatkezelési hozzájárulás kiterjed az egész cégcsoportra. c) Bármelyik adattovábbítást megtilthatom. d) A nevem kezeléséhez hozzájárulhatok, de a születési időm kezelését megtilthatom

88 # 3. indok Majd én megmondom, mi lesz Nagyobb választási lehetőség: Cél Adatkezelő Adat Adattovábbítás Igen Nem X X X X Bonyolult mátrix a hozzájárulásokból, sok checkbox-szal

89 Jogszerű-e? a) Nem járultam hozzá a marketing célú megkereséshez, ezért nem kapok hitelt. b) Nem járultam hozzá a marketing célú megkereséshez, ezért nem kapok ajándékot a vásárlásom mellé. c) Nem adtam meg a születési dátumomat, ezért nem vásárolhatok a cipő webáruházban. d) Online feliratkozás a hírlevélre, leiratkozás tértivevényes levélben

90 Több kontroll A hozzájárulás megtagadása / visszavonása miatt hátrány nem érhet A hozzájárulás nem lehet a szolgáltatás igénybe vételének előfeltétele, kivéve, ha az szükséges a szolgáltatás nyújtásához Hozzájárulást bármikor visszavonhatom - ugyanolyan egyszerűen

91 Hogyan kérhetnek tőlem szabályosan hozzájárulást? Jogszerű-e? a) Hírlevél checkbox előre bepipálva, ha nem szeretné, majd kiikszeli. b) Majd leiratkozik, ha zavarja a hírlevél. c) Hírlevélre feliratkozási lehetőségről t küldeni. d) A webshopos vásárláshoz szükséges adatkezeléshez adott hozzájárulás vonatkozik a hírlevél küldésre is. e) Az ÁSZF elfogadása az adatkezelési szabályzat és az adatkezelés elfogadását is jelenti

92 Hogyan kérhetnek tőlem szabályosan hozzájárulást? Positive opt in (hallgatás hozzájárulás) Írásban / szóban / elektronikusan / online Checkbox pipa / gombnyomás / gépelés / / stb. ÁSZF elfogadásától külön Adatkezelési szabályzat ÁSZF-től külön

93 Mihez kell külön hozzájárulnom? Különleges adatok kezeléséhez (faji, etnikai származás, politikai vélemény, vallás, világnézet, szakszervezeti tagság, genetikai, biometrikus, egészségügyi adatok, szexuális adatok) Infotv: írásbeli, GDPR: nem kell írásbeli, csak kifejezett Profilalkotáshoz, automatizált döntéshozatalhoz EU-n kívüli adattovábbításhoz edm küldéshez

94 # 4. indok Mindent tudni akarok róla Jogszerű-e? a) Adatkezelési szabályzatot kérésre egy gépi hang felolvassa a honlapon, de olvasni nem lehet. b) 112 oldalas, 6-os betűméretű adatkezelési szabályzat. c) Webáruház adatkezelési szabályzata megtekinthető személyesen az ügyfélszolgálaton. d) Cipő webáruház: tájékoztatjuk, hogy ha nem adja meg a lábméretét, akkor nem jön létre a szerződés közöttünk

95 # 4. indok Mindent tudni akarok róla de emberi nyelven Tömör, könnyen hozzáférhető, könnyen érthető, világos és közérthető nyelvezettel, vizuálisan megjelenített (nem elég felolvasni) Papír alapon / elektronikusan - pl. honlapon

96 Miről kell még tudnom? Adathordozhatóságról Kötelező-e az adatok megadása, és ha nem adom meg, milyen következményekkel járhat? Az adatok megadása a szerződéskötés előfeltétele-e? Az adatok megadása jogszabályon vagy szerződésen alapul-e? Az adatok automatizált döntéshozatalra/profilalkotásra kerülnek-e felhasználásra - logika, következmények

97 # 5. indok Már jogom van hozzá Volt-e eddig ilyen jogom? a) Szolgáltató váltáskor a régi szolgáltatóm küldje meg az adataimat az új szolgáltatómnak b) Adataim teljes törlésének kérése c) Számítógéppel készített hitelbírálat helyett személyes bírálat kérése d) Személyre szabott reklámok megjelenítése ellen kifogás benyújtása

98 # 5. indok Már jogom van hozzá Adathordozhatóság Feledtetés (törlés) joga Automatizált döntéshozatal Profilalkotás

99 # 6. indok Biztosra mennek Nagyobb adatbiztonság = bizalom Részletes, szigorú előírások az adatkezelőkre az adatbiztonságra, adatvédelmi jogsértések, incidensek kezelésére vonatkozóan A tervezési, fejlesztési folyamatba kell beépíteni az adatvédelmi elveket, az adatbiztonsági követelményeket az adatvédelemnek, adatbiztonságnak a fejlesztés, tervezés aktív összetevőjének kell lennie, nem pedig egy szósznak, amivel a végén az elkészült fejlesztést leöntik.

100 Adatkezelő adatbiztonsági kötelezettségei: Álnevesítés, titkosítás, ahol lehetséges IT biztonság garantálása Incidens esetén gyors hozzáférés és visszaállítás biztosítása Belső szabályzatok, személyzeti, IT biztonsági, fizikai biztonsági, menedzsment intézkedések elvégzése az adatbiztonság növelésére

101 Köszönöm a figyelmet! dr. Horváth Katalin ügyvéd, partner katalin.horvath@sarandpartners.hu

102 Kerekasztal beszélgetés Milyen adatvédelmi incidenseket követhetnek el ellenem az EU rendelet szerint? Résztvevők: Domokos Márton, CMS Cameron McKenna Székely Iván, CEU Weisz János, NEXON

103 Köszönjük a figyelmet! Domokos Márton, CMS Cameron McKenna Székely Iván CEU Weisz János, NEXON

104 Köszönjük részvételüket!