JOGI ASPEKTUSBÓL II JÚNIUS

Átírás

1 Adat- és Információvédelmi Mesteriskola Dr. Szűcs Ilona INFORMÁCIÓBIZTONSÁG JOGI ASPEKTUSBÓL II JÚNIUS 1. 1

2 TARTALOM General Data Protection Regulation (GDPR) - háttere, előzménye - lényegi rendelkezései - hatása - hazai változások az adatvédelemben Az elektronikus aláírás szabályai - eidas rendelet évi CCXXII. tv. (Bizalmi tv.) 2

3 General Data Protection Regulation Általános 30 adatvédelmi MB rendelet (GDPR vagy Rendelet) - közvetlenül hatályba lépő uniós jogszabály - hazánkban kötelezően május 25-től alkalmazandó 3

4 A GDPR ELŐZMÉNYE Az Európai Parlament és Tanács 95/46/EK irányelve ( ) A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról Cél: az egyének magánéletének magas szintű védelme és a személyes adatok EU-n belüli szabad áramlása közötti egyensúly megteremtése Előírja minden tagállam számára a személyes adatok feldolgozásához kapcsolódó tevékenységek felügyeletéért felelős független nemzeti szerv létrehozását 4

5 A GDPR ELŐZMÉNYE Ez az irányelv az automatizált módon feldolgozott adatokra (pl. ügyfelek adatainak számítógépes adatbázisa), és azokra az adatokra vonatkozott, melyek valamely nem automatizált nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni (papír alapú dokumentumok) Módosítása: AZ EURÓPAI PARLAMENT ÉS A TANÁCS 1882/2003/EK RENDELETE (2003. szeptember 29.) 5

6 A GDPR - MINTAZ EU ÁTFOGÓ ADATVÉDELMI POLITIKÁJÁNAK EGYIK PILLÉRE: GDPR 2016/679 RENDELET (2016. a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és a személyes adatok szabad áramlásáról Átültetési határidő: NIS 2016/1148 IRÁNYELV (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről Átültetési határidő: Bűnügyi irányelv 2016/680 IRÁNYELV (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntető jogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról Átültetési határidő: eprivacy X RENDELET Elektronikus hírközlés adatvédelmi rendelet (egyeztetés alatt) 6

7 A GDPR egyszerűbbé vagy bonyolítja teszi életünket? 7

8 GDPR a vélemények megoszlanak Dr. Péterfalvi Attila NAIH elnöke Dr. Kulcsár Zoltán Adatvédelmi szakértő Solymos Ákos a QUADRON Kibervédelmi Kft. szakértője A digitalizáció és a globalizáció nem ismer határokat, ezért az adatvédelemnek egységesnek és szilárdnak kell lennie" Mindkét állítással egyet lehet érteni. Hosszú távon a jogalkotó célja szerint egységesedik az európai jogalkalmazás, 30 így MB a multinacionális nagyvállalatoknak nem kell országok szintjén egyénileg foglalkozniuk az adatvédelemmel. Ez egyszerűsítés. Azonban a szabályoknak az adatkezelők döntő többsége nem felel meg, így a megfelelésre fel kell készülni. Ez bonyolult, bürokratikus és drága. És sajnos a rendszerek fenntartása is az lesz, összességében sok-sok milliárd forintot elköltöttek már most a GDPR-ra való felkészülésre a magyar vállalatok. Az információvédelem egy külön szakma, ami tanulható, viszont egy szervezet nem tud egy tollvonással a megfelelő információ- és személyes adat védelmi szintre eljutni. Ez egy hosszú folyamat, amelynek komoly hatása kell, hogy legyen a szervezet egészére, sőt a cégkultúrára is. 8

9 A GDPR BEVEZETÉSE ELŐTT Adatvédelmi tudatosság erősítése Adatkezelés kritériumainak felülvizsgálata Az érintett megfelelő tájékoztatása Az érintettek jogai A hozzájárulás feltételeinek felülvizsgálata Gyermekek jogainak kiemelt védelme Adatvédelmi incidens bejelentése Beépített adatvédelem Előzetes adatvédelmi hatásvizsgálat Az érintett hozzáférési joga Adatvédelmi tisztviselők Az adatkezelés jogalapja Adatvédelmi felügyeleti hatóság illetékessége FORRÁS: NAIH (Felkészülés a z Adatvédelmi Rendelet alkalmazására 12 lépésben) 9

10 A GDPR LÉNYEGI ELEMEI Az adatbiztonság kérdését, az adatok informatikai védelmét viszont sokkal komolyabban veszi az új rendelet Szemléletváltás: elszámoltathatóság elve A GDPR kimondja, hogy nemcsak meg kell felelni az adatkezelés szabályainak, hanem ezt bizonyítani is tudni kell. A DOKUMENTÁLT helyzetfelmérés nem úszható meg! 10

11 A GDPR LÉNYEGI ELEMEI Ebbe beletartozik az adatbiztonság követelménye is hiszen nagy bukfenc lehet abból, ha valaki betör a cég informatikai rendszerébe 11

12 A GDPR LÉNYEGI ELEMEI Ezt támogatja a a beépített adatvédelem (Privacyby Design) alapelve is Lényege: az adatbiztonság kérdését bármilyen új rendszer vagy szolgáltatás fejlesztésekor már a tervezés fázisában szem előtt kell tartani. 12

13 A GDPR LÉNYEGI ELEMEI Területi és személyi hatály, mint a GDPR legnagyobb újítása: Tagállami hatáskörbe nemcsak azoknak az 30 adatkezelőknek MB kelltartoznak, alkalmazniuk a rendelkezéseit, akik az EU-ban rendelkeznek elősegítheti székhellyel, a vagy itt fejtik ki a gazdasági tevékenységüket, hanemtagállamok mindazoknak, együtt-akiműködését e területek az EU területén lévő polgárok számára nyújtanak szolgáltatásokat stratégiáinak vagy kialakításának akik ezek megfigyelését végzik. szorgalmazásával, pl. az információ- és tapasztalat megosztás Az európai jogot tehát alkalmazni kell mindenütt! 13

14 A GDPR LÉNYEGI ELEMEI Elszámoltathatóság (accountability) Tagállami hatáskörbe Ezen alapelv, amely szerint nemcsak meg kell tartoznak, felelni a rendelet szabályainak, hanem eztbizonyítani istudni kell elősegítheti a tagállamok együttműködését e területek A május 25. után induló eljárásban azt stratégiáinak fogja jelenteni, hogy első körben az adatkezelőnek be kell kialakításának mutatnia azokat a szorgalmazásával, dokumentumokat, amelyek szerint a cég adatkezelése pl. az információ- megfelel és a tapasztalat megosztás GDPR-nak. 14

15 A GDPR LÉNYEGI ELEMEI - milyen adatokat kezelnek - milyen jogalappal - milyen tájékoztatást adnak az érintetteknek - milyen módon fogják az érintetteknek biztosítani a tájékoztatási kötelezettséget - milyen adatbiztonsági megoldásokat alkalmaznak tehát milyen intézkedéseket tettek arra vonatkozóan, hogy a jelenleg folytatott adatkezelések megfeleljenek a GDPRban foglalt szabályoknak 15

16 A GDPR LÉNYEGI ELEMEI A GDPR számos elvi és gyakorlati eszközzel is megpróbálja segíteni az elszámoltathatóság elvének érvényesülését. Pl. ezen követelmény teljesítését segíti elő többek között - a beépített és alapértelmezett adatvédelem (25. cikk); - az adatkezelési tevékenységek nyilvántartása (30. cikk); - az adatvédelmi hatásvizsgálat (35. cikk); - az adatvédelmi tisztviselő ( cikk); - a magatartási kódexek ( cikk) és tanúsítás ( cikk); - kötelező erejű vállalati szabályok (47. cikk) 16

17 A GDPR LÉNYEGI ELEMEI Adatvédelmi hatásvizsgálat Az adatkezelő és az adatfeldolgozó kötelezettségei körében az adatalanyok 30 jogaira MB nézve a Rendeletben meghatározottak szerint különösen kockázatosnak minősülő adatkezelési műveleteket megelőzően adatvédelmi hatásvizsgálatot kell készíteniük Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás 17

18 A GDPR LÉNYEGI ELEMEI Adatvédelmi hatásvizsgálat (Privacy Impact Assessment, PIA) Fogalma: Tagállami hatáskörbe tartoznak, egy adatkezelési folyamatra irányuló szisztematikus vizsgálat, amely célja annak felderítése és értékelése, hogy az adott elősegítheti adatkezelés a milyen tagállamok együttműködését nézve, e területek illetve ezek a kockázatokat hordoz az érintettek magánszférájára stratégiáinak kockázatok milyen intézkedésekkel csökkenthetőek és szüntethetőek kialakításának meg a minél magasabb szintű adatvédelmi megfelelés szorgalmazásával, érdekében pl. az információ- és tapasztalat megosztás 18

19 A GDPR LÉNYEGI ELEMEI Adatvédelmi incidens bejelentési kötelezettség Új szabályként az Adatvédelmi Hatósághoz a lehető Tagállami leghamarabb hatáskörbe (max. 72 h) be kell jelenteni, ha ilyen 30 incidens MB történik, sőt bizonyos tartoznak, esetekben az érintetteket is értesíteni kell, illetve a nyilvánosságot az EU is viszont tájékoztatni szükséges. elősegítheti a tagállamok együttműködését e területek stratégiáinak jelentős presztízsveszteség hatósági eljárás kialakításának (esetleges bírság) szorgalmazásával, pl. az információ- és Adatvédelmi incidens fogalma (Infotv pont) személyes adat jogellenes kezelése vagy feldolgozása, így különösen tapasztalat a jogosulatlan megosztás hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés. 19

20 A GDPR LÉNYEGI ELEMEI Az Adatvédelmi Hatóság online-adatvédelmi incidens bejelentő felülete: Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás Forrás: 20

21 A GDPR LÉNYEGI ELEMEI Elfeledtetéshez való jog (Right to be forgotten Right to erasure) A személyes adatok végleges, vissza Tagállami nem állítható hatáskörbe és tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak Probléma: kialakításának szorgalmazásával, miként igazolja az adatkezelő, hogy megfelelően pl. az törölt információ- egy adatot és és tapasztalat megosztás eleget tett a tájékoztatási kötelezettségének is? teljes, az internet egészére kiterjedő törlését célozza meg. 21

22 A GDPR LÉNYEGI ELEMEI Elfeledtetéshez való jog Elfogadható módszernek tűnik, ha az adatkezelő csak Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás írásban rögzített eljárásrenddel tudja alátámasztani törlési kötelezettségének teljesítését. Ha a személyes adatra történő keresés nem hoz eredményt semmilyen módon, akkor az is megfelelő bizonyítékként hat. 22

23 A GDPR LÉNYEGI ELEMEI Adathordozhatósághoz való jog (Right to data portability) Az adatalany joga, hogy saját személyes Tagállami adatainak hatáskörbe rendelkezésre bocsátását elektronikus és strukturált formátumban tartoznak, igényelhesse az adatkezelőtől, annak érdekében, hogy azokat más, az adatalannyal jogviszonyban állóadatkezelőfelhasználhassa. elősegítheti a tagállamok együttműködését tagolt, széles e területek körben A rendelet kimondja, hogy a személyes adatokat használt, géppel olvasható formátumban kell megkapnia stratégiáinak az érintettnek. kialakításának szorgalmazásával, pl. az információ- és a szolgáltatást nyújtó vállalkozások (adatkezelők) tapasztalat közötti megosztás verseny előmozdítása 23

24 A GDPR LÉNYEGI ELEMEI Adathordozhatósághoz való jog Minden esetben kizárólag az érintett által átadott Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás adatokra korlátozódik csak ezen jogosultság az ezen adatokból generált profil már nem tartozik e körbe A kikért adatoknak továbbá minden esetben az érintettre kell vonatkoznia 24

25 A GDPR LÉNYEGI ELEMEI Adatvédelmi tájékoztató - közérthető tájékoztatás nyújtása az érintettek felé Tagállami hatáskörbe - Ideje: legkésőbb az adat átadáskor rendelkezésre tartoznak, kell állnia Az Alkotmánybíróság állandó gyakorlata alapján Magyarország elősegítheti Alaptörvénye a VI. cikk (2) bekezdésében rögzített személyes adatok tagállamok védelméhez együtt-valműködését hogy mindenki e területek számára jog egyik legfontosabb alkotmányos követelménye az, követhetővé és ellenőrizhetővé kell tenni az adatkezelés stratégiáinak egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen kialakításának célra használja fel az ő személyes adatát. szorgalmazásával, pl. az információ- és Ezen alkotmányos követelmény az adatkezelés megkezdése tapasztalat megosztás előtt az előzetes tájékoztatáson keresztülérvényesülhet. 25

26 A GDPR LÉNYEGI ELEMEI Pl. NAV honlapon található adatvédelmi tájékoztató: Tisztelt Látogatónk! Amikor Ön a Nemzeti Adó- és Vámhivatal (NAV) internetes Tagállami honlapját hatáskörbe látogatja, eközben személyes adatait is átadja számunkra. tartoznak, Személyes adatai (vagyis azok az adatok, amelyek az Ön személyével kapcsolatba hozhatók) két módon kerülhetnek a kezelésünkbe: egyfelől az internetes kapcsolat fenntartásával összefüggésben az Ön által használt számítógéppel, elősegítheti a böngészőprogrammal, internetes címmel, a látogatott oldalakkal tagállamok kapcsolatos együttműködését számítógépes e területek technikai adatok (cookies = sütik) automatikusan képződnek rendszerünkben, másfelől Ön is megadhatja nevét, elérhetőségét stratégiáinak vagy más adatait, ha a honlap használata során személyes kapcsolatba kíván lépni kialakításának velünk. ( ) szorgalmazásával, A honlap üzemeltetéséhez az adózással összefüggő adatok pl. védelme az információérdekében és a NAV informatikai rendszerétől teljesen független külső szolgáltató (T-Online) szerver tapasztalat megosztás gépeit vesszük igénybe. ( ) Forrás: 26

27 A GDPR LÉNYEGI ELEMEI Adatvédelmi tájékoztató A tájékoztatás megadása történhet írásban különféle Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás levelekben, nyomtatványokon, szabályzatokban és egyéb módokon, szóban is. DE! Az adatkezelőnek igazolnia kell a tájékoztatás megtörténtét, így egyes kivételektől eltekintve - az írásbeli, dokumentált tájékoztatási forma a főszabály 27

28 A GDPR LÉNYEGI ELEMEI Adatvédelmi tisztviselő - Korábban: belső adatvédelmi felelős - Korábbi szabályozásnál szélesebb körben kell alkalmazni az adatvédelmi tisztviselőt: Tagállami hatáskörbe tartoznak, Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor: a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatotelősegítheti ellátó szerveka végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat; tagállamok együttműködését e területek b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan stratégiáinak adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél kialakításának és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését szorgalmazásával, teszik szükségessé; pl. az információ- és c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges tapasztalat megosztás kategóriáinak és büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban. 28

29 A GDPR LÉNYEGI ELEMEI Adatvédelmi tisztviselő Lényeges eltérés a korábbi szabályoktól: Míg a belső adatvédelmi felelősnek csak jogi, közigazgatási, Tagállami informatikai hatáskörbe vagy ezeknek megfelelő, felsőfokú végzettséggelrendelkező személy voltkinevezhető tartoznak, elősegítheti a tagállamok együttműködését e területek Most az adatvédelmi tisztviselőt szakmai rátermettség, és különösen stratégiáinak az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a Rendelet kialakításának 39. cikkében említett feladatokellátására valóalkalmasságalapján kell kijelölni. szorgalmazásával, pl. az információ- és A szakértői ismeretek szükséges szintjét különösen az adatkezelés, tapasztalat valamint megosztás az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. 29

30 A GDPR LÉNYEGI ELEMEI Adatvédelmi tisztviselő - az adatvédelmi tisztviselő nevének nyilvánossá tétele, valamint azt a felügyeleti hatósággal is közölni kell; - a Rendelet 37. cikke alapján az adatvédelmi tisztviselő Tagállami az adatkezelő hatáskörbe vagy az adatfeldolgozó alkalmazottja lehet, 30 vagy MB szolgáltatási szerződés tartoznak, keretében láthatja el a feladatait; - függetlenségének biztosítása érdekében a Rendelet előírja, elősegítheti hogy az adatkezelőnek a és az adatfeldolgozónak biztosítania kell, hogy az adatvédelmi tagállamok tisztviselő együttműködését el, az adatvédelmi e területek a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon tisztviselő feladatai ellátásával összefüggésben nem bocsátható stratégiáinak el és szankcióval sem sújtható (kivéve a hanyag, illetőleg munkaköri kötelezettségek kialakításának megszegésével járó magatartások.) szorgalmazásával, - közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső pl. az vezetésének információ- tartozik és felelősséggel, feladatainak ellátásával kapcsolatban titoktartási tapasztalat kötelezettség megosztás terheli. 30

31 A GDPR LÉNYEGI ELEMEI Bírság A bírság kiszabásának alapelvei: Tagállami hatáskörbe - A rendelet megsértése esetén 30 azonos MBszankciókat kell tartoznak, kiszabni. - A felügyeleti hatóságok által választott valamennyi korrekciós intézkedéshez hasonlóan a közigazgatási bírságoknak elősegítheti hatékonynak, a arányosnak és visszatartó erejűnek kell lenniük. tagállamok együttműködését értékelést e területek végez. - Az illetékes felügyeleti hatóság minden egyes esetben - A közigazgatási bírságok harmonizált megközelítése stratégiáinak az adatvédelem területén aktív részvételt és információcserét feltételez kialakításának a felügyeleti hatóságok részéről, illetve között. szorgalmazásával, - A munkacsoport szerint a lényeg, hogy a bírságokat pl. az ne információ- végső és lehetőségnek tekintsék, és ne riadjanak vissza a bírságok tapasztalat kiszabásától. megosztás 31

32 A GDPR LÉNYEGI ELEMEI Bírság Mértéke: A kisebb jogsértések esetén: Tagállami hatáskörbe legfeljebb 10 millió euró összegű 30 közigazgatási MB bírsággal, tartoznak, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 elősegítheti a %-át kitevő összeggel sújtható (a kettő közül a magasabb tagállamok összeget együttműködését e területek kell kiszabni); stratégiáinak A nagyobb súlyú, átfogóbb jogsértések esetén: kialakításának legfeljebb 20 millió euró összegű közigazgatási bírsággal, szorgalmazásával, illetve a vállalkozások pl. az információ- és esetében az előző pénzügyi év teljes éves világpiaci tapasztalat forgalmának megosztás legfeljebb 4 %-át kitevő összeggel kell sújtani (a kettő közül a magasabb összeget kell kiszabni) 32

33 A GDPR LÉNYEGI ELEMEI Bírság A bírság helyett megrovás is alkalmazható, a hatóság mérlegeli, hogy szükséges-e a bírság kiszabása. A bírság mértékének meghatározása során figyelembe kell venni: - az érintettek számát; - az adatkezelés célját; - az érintettek által elszenvedett kárt; Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás - a jogsértés időtartamát; - annak szándékos vagy gondatlan jellegét; - a kár enyhítése érdekében megtett intézkedéseket; - az adatkezelő és adatfeldolgozó felelősségét, a tőle elvárhatóság elvének való megfelelést; - a szakmai legjobb gyakorlatok -tól való eltérés mértékét; - a korábban elkövetett jogsértéseket; - a hatósággal való együttműködés minőségét; - a jogsértéssel érintett adat különleges jellegét, közvetett vagy közvetlen azonosíthatóságát, titkosítását; - az eset hatóság általi tudomásszerzését (az adatkezelő vagy panaszos jelentette); - a jogsértés következményeként szerzett pénzügyi hasznot vagy elkerült veszteséget; egyéb tényezőket. 33

34 A GDPR LÉNYEGI ELEMEI Summázva tehát, a kisebb összegű bírság kiszabása leginkább az alábbi adminisztratív kötelezettségek megsértéséért jár: - pl. adatvédelmi nyilvántartás, hatásvizsgálat, stb.), Tagállami hatáskörbe tartoznak, A magasabb összegű bírság kiszabása: - az alapelvi rendelkezések megsértéséért, elősegítheti a - az adatkezelés jogszerűségének sérelme esetén (ha tagállamok nincs vagy nem együttműködését e területek megfelelő a jogalap), stratégiáinak - az érintett jogainak sérelme miatt, kialakításának szorgalmazásával, - a harmadik országba történő adattovábbítás kapcsán, pl. az információ- és - az adatkezelés különös eseteire vonatkozó tagállami tapasztalat szabályok megosztás sérelme esetén, ill. a felügyeleti hatóság intézkedéseivel való "ellenszegülésért" 34

35 A GDPR LÉNYEGI ELEMEI ADATVÉDELMI DOKUMENTUMOK Milyen dokumentumokra van/lehet szükség? Adatkezelési szabályzat Tagállami hatáskörbe - Incidens kezelési szabályozás tartoznak, - Érintett panaszkezelési (adatkérés, tiltakozás, az EU korlátozás, viszont visszavonás törlés) folyamatainak szabályozás elősegítheti a - Adatátadási szabályozás tagállamok együttműködését hatásvizsgálat e területek - Adatvédelmi kockázatmenedzsment és szabályozás stratégiáinak Információbiztonsági Szabályzat kialakításának - Adatkezelési tevékenység nyilvántartás szorgalmazásával, - Adatfeldolgozói tevekénység nyilvántartás pl. az információ- és - Titoktartási nyilatkozat adatfeldolgozói tapasztalat tevékenységhez megosztás - Incidens nyilvántartás 35

36 A GDPR LÉNYEGI ELEMEI ADATVÉDELMI DOKUMENTUMOK - Adatvédelmi tájékoztató vevő / ügyfél / munkavállaló (különkülön) - Hatásvizsgálati nyilvántartás - Hatásvizsgálatot megelőző kockázatértékelés - Érintett igény-bejelentési nyilvántartás - Adatátadási nyilvántartás - Törölt személyek nyilvántartása - Partneri szerződés adatkezelési melléklet Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának Ha szükséges: - Adatvédelmi felelős feladatai és felelőssége szorgalmazásával, - Szülői hozzájárulás pl. az információ- és - Harmadik ország adattovábbítási nyilatkozat tapasztalat megosztás 36

37 A GDPR LÉNYEGI ELEMEI Egységességi mechanizmus A Rendelet szabályainak egységes és hatékony Tagállami hatáskörbe érvényesítését célozza megtartoznak, elősegítheti a tagállamok együttműködését tagállami e adatvédelmi területek a határon átnyúló adatkezelések esetén a hatóságok eljárását szabályozza stratégiáinak kialakításának szorgalmazásával, Fontos eleme a tagállami adatvédelmi hatóságok pl. az információ- képviselőiből és álló Európai Adatvédelmi Testület tapasztalat megosztás 37

38 A GDPR LÉNYEI ELEMEI A Rendelet 6. cikk (2) bekezdése egyértelműen rögzíti: Rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására. 38

39 A GDPR LÉNYEGI ELEMEI A NAIH többletfeladatai a GDPR hatályba lépésével - folyamatos incidensfigyelés, - folyamatos sajtófigyelés, Tagállami hatáskörbe - kapcsolat kiberbiztonsági30 hatóságokkal MB és CERT-ekkel, tartoznak, - az adatkezelők képzése, - az adatkezelők új kötelezettséggel és annak gyakorlati elősegítheti a tagállamok együttműködését e területek vonatkozásaival való megismertetése, - az incidenst kivizsgáló szakemberek képzése, stratégiáinak - a szakmai munkatársak, jogászok adatbiztonsági kialakításának és informatikai sérülékenység vizsgálati képzése, szorgalmazásával, - informatikus munkatársak adatvédelmi jogi képzése. pl. az információ- és tapasztalat megosztás 39

40 Kép forrása: 40

41 910/2014/EU rendelet: a belső piacon történő elektronikus Tagállami hatáskörbe tartoznak, bizalmi szolgáltatásokról elősegítheti a tagállamok együttműködését e területek (2014. július 23.) stratégiáinak kialakításának szorgalmazásával, pl. az információ- és Július 1-től alkalmazandó Európai tapasztalat Rendelet megosztás tranzakciókhoz kapcsolódó elektronikus azonosításról és 41

42 A rendelet célja: Tagállami hatáskörbe - EU-ban biztosítani a biztonságos elektronikus tartoznak, interakciókat - Növelni az elektronikus tranzakciókkal kapcsolatos bizalmat elősegítheti a - Növelni az e-kereskedelem hatékonyságát tagállamok együttműködését e területek - Felszámolni az EU-ban az elektronikus azonosítás stratégiáinak használatát kialakításának akadályozó korlátokat szorgalmazásával, pl. az információ- és tapasztalat megosztás 42

43 A következőkre terjed ki: Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás - az uniós országok által az Európai Bizottsághoz bejelentett elektronikus azonosítási (eid) rendszerekre - az EU-ban székhellyel rendelkező bizalmi szolgáltatókra. 43

44 A Rendelet főbb elemei: 1. Az elektronikus azonosítás közös elismerése - Uniós tagországban kiadott elektronikus azonosítót Tagállami az összes hatáskörbe többi tartoznak, tagországban is el kell fogadni elősegítheti a tagállamok együttműködését szintjére besorolás: e területek Elektronikus azonosítási rendszerek 3 biztonsági stratégiáinak alcsony jelentős - magas kialakításának szorgalmazásával, pl. az információ- és 2018 őszétől az elektronikus azonosítók kölcsönös elismerése kötelező, ha az tapasztalat megosztás illetékes közigazgatási szerv vagy a jelentős vagy a magas online szolgáltatási kategóriát használja 44

45 Tagállami hatáskörbe tartoznak, Átjárhatóság biztosítása rendkívül fontos, hiszen ez az az egyik EU viszont alapeleme az eidas rendelet egyik fő újdonságának, az egyenértékűség elősegítheti elvének a is tagállamok együttműködését e területek stratégiáinak kialakításának Ennek lényege, hogy az elektronikus aláírás joghatásaszorgalmazásával, és bizonyítékként való pl. az információ- és elfogadhatósága nem tagadható meg kizárólag amiatt, tapasztalat megosztás mert az elektronikus formátumú 45

46 Új fogalmak megjelenése: Kizárólag természetes személyek rendelkezhetnek e-aláírással Tagállami hatáskörbe Jogi személyek/gazdálkodó tartoznak, elősegítheti szervezetek a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, elektronikus pl. az információ- bélyegzővel és tapasztalat megosztás 46

47 2. Bejelentési kötelezettség A Bizottság elektronikus azonosítókról való értesítése Tagállami alkalmával hatáskörbe az alábbi tartoznak, információkat kell megadniuk: - Biztonsági szintek elősegítheti a tagállamok együttműködését kibocsátó e szerve területek - Az adott rendszer szerinti elektronikus azonosítók stratégiáinak - Az egyedi személyazonosító adatok nyilvántartásba vételét intéző szerv kialakításának - Az alkalmazandó felügyeleti és felelősségi rendszerek szorgalmazásával, pl. az információ- és megadása. tapasztalat megosztás 47

48 3. Felelősség kérdésköre Bármely tagországok közötti tranzakciók esetén, Tagállami amelyben hatáskörbe nem tesznek tartoznak, eleget a rendeletben foglalt kötelezettségeknek, a felek az EU (bejelentő viszont uniós tagország, elektronikus azonosítót kibocsátó fél, ill. a elősegítheti hitelesítési a eljárást tagállamok együttműködését vagy e területek szándékos lebonyolító fél) felelősségre vonhatók a gondatlan stratégiáinak jogsérétésért. kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás 48

49 4. Bizalmi szolgáltatások A Rendelet meghatározza a bizalmi szolgáltatások fogalmát, Tagállami mely hatáskörbe szerint tartoznak, azok fizetett szolgáltatások. Ezek: - Elektronikus aláírás elősegítheti a tagállamok együttműködését e területek - Elektronikus bélyegző stratégiáinak - Ajánlott elektronikus kézbesítési szolgáltatások kialakításának - Weboldal hitelesítő tanúsítások szorgalmazásával, pl. az információ- és ill. ezek létrehozása, ellenőrzése és érvényesítése. tapasztalat megosztás 49

50 5. Felügyelet - A tagországoknak ki kell jelölniük egy v. több szervet/szervezetet a rendelet szerinti felügyeleti tevékenység ellátására. Tagállami hatáskörbe tartoznak, - Minden bizalmi szolgáltatóra vonatkozik a felügyelet. elősegítheti a tagállamok együttműködését e területek Hazánkban: stratégiáinak A minősített, illetve nem minősített bizalmi szolgáltatások nyilvántartásba kialakításának vétele, nyilvántartásból való törlése, valamint a szolgáltatások szorgalmazásával, nyújtásával pl. az információ- és kapcsolatos változások bejelentése: tapasztalat megosztás Nemzeti Média- és Hírközlési Hatóság Hivatala (NMHH) 50

51 NMHH honlapon a minősítők jegyzéke: Pl. minősített szolgáltatások: Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás Forrás: 51

52 Hazai szabályozás

53 HAZAI SZABÁLYOZÁS (BIZALMI TV.) A törvény szerkezete I. rész II. rész III. rész IV. rész V. rész VI. rész Bevezető rendelkezések Az elektronikus ügyintézést biztosító szerv és az ügyfél elektronikus kapcsolatának általános szabályai Az elektronikus ügyintézést biztosító, valamint egyéb szervek informatikai együttműködése A bizalmi szolgáltatásokról Az elektronikus ügyintézésre vonatkozó egyes háttérszabályok Záró rendelkezések 53

54 HAZAI SZABÁLYOZÁS BIZALMI TV. A Bizalmi tv. az elektronikus ügyintézést biztosító szervek (pl. a helyi önkormányzatok, az államigazgatási szervek, a bíróságok, az ügyészség, a közjegyzők, bírósági végrehajtók Tagállami és hatáskörbe közüzemi tartoznak, szolgáltatók, köztestületek) és az elősegítheti a ügyfél tagállamok együttműködését fekteti e területek le. elektronikus kapcsolatának általános szabályait stratégiáinak Magyarországon január 1-től az ügyfelet megilleti kialakításának a jog, hogy a fenti példaként felsorolt elektronikus ügyintézést szorgalmazásával, biztosító szervek (és más, a Törvény szerint azt önkéntesen vállaló pl. az információ- és az és abban meghatározott feltételeknek megfelelő jogalanyok) tapasztalat megosztás előtt ügyeit elektronikusan intézze. 54

55 HAZAI SZABÁLYOZÁS BIZALMI TV. Az elektronikus ügyintézést biztosító szerveknek június 30-ig kellett ütemtervet készíteniük és megküldeniük a Felügyelet számára a vonatkozó feladataik teljesítésére. Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás A törvény értelmében január 1-től kötelesek az elektronikus ügyintézést biztosítani. 55

56 HAZAI SZABÁLYOZÁS BIZALMI TV. A gazdálkodó szervezetek január 1-től az elektronikus kapcsolattartásra szolgáló elérhetőségüket, hivatalos elérhetőséget kötelesek bejelenteni (pl. cégnyilvántartás kapcsán) Tagállami hatáskörbe tartoznak, elősegítheti a tagállamok együttműködését e területek stratégiáinak kialakításának szorgalmazásával, pl. az információ- és tapasztalat megosztás A hivatalos elérhetőség alatt egy biztonságos kézbesítési szolgáltatási címet (amit jelenleg pl. az e-szignó szolgáltatás biztosít) kell érteni 56

57 HAZAI SZABÁLYOZÁS BIZALMI TV. Pl. NAV esetében: A 2018-as évben a legjelentősebb változás az elektronikus Tagállami hatáskörbe ügyintézésben, hogy az adózók meghatározott körének az ellenőrzési tartoznak, eljárással összefüggően elektronikusan kell intézni ügyeiket, benyújtani ügyeikkel kapcsolatos iratot, nyilatkozatot. elősegítheti a tagállamok együttműködését új, ellenőrzés e területek Az elektronikus iratok fogadásának biztosítására specifikus nyomtatvány került kialakításra az ÁNYK stratégiáinak felületen ELLUGY Adatlap elektronikus ügyintézéshez ellenőrzési kialakításának eljárás során (a továbbiakban: ELLUGY) szorgalmazásával, néven. pl. az információ- és tapasztalat megosztás Forrás: 57

58 HAZAI SZABÁLYOZÁS BIZALMI TV. Pl. rendőrség esetében: A rendőrség január 1-től biztosítja ügyfelei számára az Tagállami hatáskörbe elektronikus ügyintézés lehetőségét. tartoznak, Az elektronikus ügyintézéshez kialakított ÁNYK és e-papír elősegítheti elektronikus a űrlapok benyújtásához a Szolgáltatási Szabályzatban tagállamok foglaltak együttműködését e területek megismerése és elfogadása szükséges. stratégiáinak A rendőrség az elektronikus űrlapokat biztonságos kézbesítési kialakításának szolgáltatás igénybevételével fogadja a hivatali kapuján szorgalmazásával, (hivatal rövid neve: ORFK, KR ID: ), ami biztosítja az pl. elektronikus az információűrlapok és tapasztalat megosztás sértetlenségét és befogadása tényének és időpontjának egyértelmű igazolását. 58

59 HAZAI SZABÁLYOZÁS BIZALMI TV. Elektronikus azonosítási szolgáltatás Az a természetes személy, aki igényli az elektronikus ügyintézést és az adott ügyintézés személyazonosító adat megadását igényli, Tagállami köteles elektronikus hatáskörbe azonosítási szolgáltatást igénybe 30 venni MB tartoznak, elősegítheti a személyes megjelenés útján regisztrálni kell az azonosítási tagállamok szolgáltató együttműködését e területek előtt. Kötelező és díjmentes pl.: stratégiáinak - ügyfélkapu kialakításának - chipes személyazonosító igazolvány útján biztosított szorgalmazásával, elektronikus azonosítási szolgáltatás, pl. az információ- és Itt az elektronikus azonosítási szolgáltatáshoz biztonságos tapasztalat kézbesítési megosztás szolgáltatás valamint tárhely használata is díjmentesen vehető igénybe. 59

60 Köszönöm a figyelmet! Köszönöm a figyelmet! 60

61 FORRÁSOK =2015.+%C3%A9vi+CCXXII.+t%C3%B6rv%C3%A9ny %C3%BCgyint%C3%A9z%C3%A9sben