GDPR A komplex megoldás szükségessége...

Hasonló dokumentumok
Az IT biztonság szerepe a könyvvizsgálatban

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

GDPR változó szabályozás, új jogi kihívások. Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

GDPR-ÁLTALÁNOS ADATVÉDELMI RENDELET. Változások az adatvédelemben

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

ADATVÉDELMI SZABÁLYZAT

ADATVÉDELMI RENDELET (GDPR) ISKOLAPSZICHOLÓGIAI KONZEKVENCIÁI

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

A hulladékgazdálkodási közszolgáltatók, alvállalkozók adatvédelmi kötelezettségeinek teljesítése az Egységes Európai Adatvédelmi Rendelet

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

ADATKEZELÉSI TÁJÉKOZTATÓ

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Figyelem: GDPR. dióhéjban az Általános Adatvédelmi Rendeletről. dr. Petőcz Judit Bakonybél, február 25.

JA-KA KFT SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT

Felkészülés az Európai Unió általános adatvédelmi rendeletének alkalmazására

Adatvédelmi nyilatkozat

Sajószentpéteri Polgármesteri Hivatal ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Adatkezelési tájékoztató

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

ADATELEMZÉSEK ÉS ADATÉRTÉKELÉS. a GDPR szemszögéből. Budai László IT Biztonságtechnikai üzletágvezető

Összefoglaló az adatvédelmi rendeletről

ADATVÉDELMI SZABÁLYZAT

ADATVÉDELMI TÁJÉKOZTATÓ. OTP TRAVEL KFT Budapest, Nádor u. 21.

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

ELTEC HOLDING KFT. ADATKEZELÉSI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

I. ÁLTALÁNOS RENDELKEZÉSEK II. FOGALMAK

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

A MAGYAR UTAZÁSI IRODÁK SZÖVETSÉGÉNEK ADATVÉDELMI TÁJÉKOZTATÓJA

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ a Pannonhalmi Apátsági Pincészet Kft. hírlevelére feliratkozó személyek részére

PLÉH CSÁRDA ÉTTEREM ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

BERCZIK SÁRI NÉNI MOZDULATMŰVÉSZETI ALAPÍTVÁNY ADATKEZELÉSI SZABÁLYZAT

felügyeleti hatóság vagy NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság.

Big Data és adatvédelem

SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT ÖKOVALENTIA KFT

KIK-FOR Ingatlankezelő és Forgalmazó Kft.

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatkezelési tájékoztató

AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZATA

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ

WE CARE. WE DARE. WE EXCEL. SEGÉDLET. az EU adatvédelmi rendeletének alkalmazására való felkészüléshez

GDPR mit és hogyan ellenőriz a hatóság? Dr. Jóri András

Az adatvédelem új rendje

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Adatkezelési tájékoztató

Adatkezelési Tájékoztató Az Audi Hungaria duális felsőfokú képzésére jelentkezők részére

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ

A Zalaegerszeg Megyei Jogú Város Polgármesteri Hivatalának ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

Adatvédelmi tájékoztató Készült:

1. Az adatkezelő megnevezése (Társaságunk adatai, elérhetőségei)

A fentiekre és a beadványában foglaltakra tekintettel a Hatóság az alábbiakra hívja fel a szíves figyelmét.

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ

I. Társaságunk a GDPR 13. cikke alapján az alábbi tájékoztatást adja az érintett személyek részére:

Adatkezelési tájékoztató. a weboldal látogatói részére

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

Személyes adatok védelme

ADATVÉDELMI TÁJÉKOZTATÓ

A Székesfehérvár Megyei Jogú Város Polgármesteri Hivatala ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

Székhely: 2363 Felsőpakony, Csarnok utca iparterület 1. hrsz.: 013/71

A BKK Zrt. Adatkezelési Tájékoztatója az Egész évben szabadon nyereményjátékkal kapcsolatban

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ

Horváth Kiss & Bene Ügyvédi Társulás GDPR alkalmazása a gyakorlatban

AZ APERTE MS EGÉSZSÉGÜGYI ÉS SZOLGÁLTATÓ BT. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATÁNAK KIVONATA

Adatkezelési tájékoztató személyes adatok kezeléséről (fémkereskedelmi tevékenység)

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Folytonossági kérdések: IT vagy üzlet? FORTIX Consulting Kft Budapest, Orbánhegyi út 49.

KLAN UTAZÁSI IRODA RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ KLAN KFT

GYŐRI BALETT ADATVÉDELMI SZABÁLYZAT

ÁLTALÁNOS ADATKEZELÉSI TÁJÉKOZTATÓ Hatályos: től

A GDPR és a Moodle. Vágvölgyi Csaba Multimédia és E-learning Technikai Központ

felügyeleti hatóság vagy NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság.

Adatkezelési tájékoztató

A Magyar Karate Szakszövetség ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

A GDPR elmúlt egy éve

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

A GDPR GYAKORLATI KÖVETKEZMÉNYEI

GLOBE TRANS CARGO NEMZETKÖZI SZÁLLÍTMÁNYOZÁSI ÉS FUVAROZÁSI KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ

Vállalati adatvédelem

Az adatkezelő elérhetőségei

HBCS Audit Kft. Adatvédelmi Nyilatkozat

Adatvédelmi tájékoztató

Adatvédelmi tájékoztató

Milyen változásokat hoz a GDPR a szervezetek és vállalkozások életébe? A JOGÁSZ MEGKÖZELÍTÉSÉBEN

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ

Csorba Zsolt EV. Adatvédelmi Szabályzata

Átírás:

GDPR A komplex megoldás szükségessége... RÓNASZÉKI PÉTER ügyvezető, CISM, ISO27001 LA peter.ronaszeki@fortix.hu +3630 222 5585 2018. március 22.

TARTALOM Komplex megoldás szükségessége GDPR összefoglaló Kulcskérdések Veszélyek és kockázatok Felkészülési javaslatok

PARTNEREINK

BEMUTATKOZÁS Rónaszéki Péter BISO, CITIBANK CISO, BUDAPEST BANK, (GE MONEY) OISRM, ING BANK CISO, LUFTHANSA SYSTEMS Partner, tulajdonos FORTIX Consulting, MySec 20 év szakmai tapasztalat (10 év pénzügyi szektor) Magyar Bankszövetség ITB MCS szakértő ISACA Magyarországi Egyesület Titkár, elnökségi tag KIBEV (Önkéntes Kibervédelmi Összefogás) alapító tag

BEMUTATKOZÁS Rónaszéki Péter BISO, CITIBANK CISO, BUDAPEST BANK, (GE MONEY) OISRM, ING BANK CISO, LUFTHANSA SYSTEMS Partner, tulajdonos FORTIX Consulting, MySec 20 év szakmai tapasztalat (10 év pénzügyi szektor) Magyar Bankszövetség ITB MCS szakértő ISACA Magyarországi Egyesület Titkár, elnökségi tag KIBEV (Önkéntes Kibervédelmi Összefogás) alapító tag

GDPR ÖSSZEFOGLALÓ

GDPR ELŐZMÉNYEK 95/46/EK Direktíva (1995. október 24.) Adatvédelmi irányelv (nem rendelet) 28 tagország 28 eltérő törvényi szabályozás A technológiai fejlődést alig követte o Felhőszolgáltatások o Határokon átnyúló adatkezelés o EU-n kívüli adattovábbítás

GDPR IDŐVONAL January 2012 Proposed March 2014 European Parliament Common Position June 2015 Council common position Q2/3 2015 Trilogue Agreed end 2015 Q2 2016 Formal EU Approval 2016/18 Time to prepare 2018 May 25 th GDPR comes into force across all EU states forrás: MySec

GDPR GENERAL DATA PROTECTION REGULATION AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről. (általános adatvédelmi rendelet) (EGT-vonatkozású szöveg)

GDPR CÉL Európai Bizottság Az új szabályok biztosítják, hogy a személyes adatok védelmének alapjoga mindenki számára garantált legyen. Az általános adatvédelmi rendelet segíti majd az EU-ban a digitális egységes piac élénkítését azáltal, hogy világos és egységes szabályokra alapozva erősíti a felhasználók online szolgáltatásokba vetett bizalmát és a vállalkozások jogbiztonságát.

MI A SZEMÉLYES ADAT? bármely olyan információ, amely alapján az egyén azonosítható ez magában foglalhatja a véleménynyilvánításokat is lehetnek manuális vagy elektronikus rendszerekben

MI MINŐSÜL SZEMÉLYES ADATNAK? Cég éves beszámolója Cég éves beszámolója Munkavállalók bérszámfejtési adatai Egészségügyi adatok NEM IGEN IGEN Név, Születési dátum IGEN Anonim válaszok egy felmérésben NEM Biztonsági kamerás felvételek IGEN

MIT ÉRT MÉG SZEMÉLYES ADAT ALATT A GDPR? IP cím automatizált és kézi feldolgozású adatok álnevesített (kódolt) személyes adat Szenzitív személyes adat Személyes adatok különleges kategóriái (9.cikk)

KÜLÖNLEGES SZEMÉLYES ADATOK Név és születési dátum Faji vagy etnikai hovatartozás Egészségügyi adatok NEM IGEN IGEN Vallási és politikai hovatartozás IGEN Szexuális életre vagy szexuális irányultságra vonatkozó adat IGEN Biometrikus adatok IGEN

GDPR SZEMÉLYES ADAT (3/1) Definíció Azonosított vagy azonosítható természetes személyre ( érintett ) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

GDPR SZEMÉLYES ADAT (3/2) Példák személyes adat Családi és utónév Adószám Életkor Email-cím Fotó Jogosítvány száma Születési dátum... Útlevélszám SIM kártya száma Nem Facebook azonosító Bankszámlaszám IP cím Lakcímkártya száma...

GDPR SZEMÉLYES ADAT (3/3) Példák - különleges személyes adat Faji, etnikai származás Politikai vélemény Vallási vagy világnézeti meggyőződés Szakszervezeti tagság Egészségügyi adatok Szexuális irányultságra vonatkozó adatok Természetes személyek azonosítására szolgáló genetikai és biometrikus adatok...

GDPR FŐBB JELLEMZŐK (3/1) Hatály EU-s személyes adatok kezelésével és/vagy feldolgozásával érintett valamennyi szervezet és vállalkozás Az EU-s személyes adatok EU-n kívüli adatkezelése az EU területén kívüli kiterjesztett joghatóság közvetlen hatály az egyes tagállamokban forrás: http://eur-lex.europa.eu/legal-content/hu/txt/?uri=celex%3a32016r0679

GDPR FŐBB JELLEMZŐK (3/2) Végrehajtás helyi szinten a nemzeti adatvédelmi hatóságok végrehajtási hatásköre megerősödött Itthon a NAIH fogja felügyelni Adatvédelmi incidenst 72 órán belül be kell jelenteni A nem megfelelő adatkezelés/adatfeldolgozás bírsága: max. 20M EUR vagy a szervezet árbevételének 4%-a AMELYIK A NAGYOBB!

GDPR FŐBB JELLEMZŐK (3/3) Alapelvek Jogszerűség Tisztességes eljárás Átláthatóság Célhoz kötöttség Adattakarékosság Pontosság Korlátozott tárolhatóság Integritás Bizalmas jelleg Elszámoltathatóság forrás: http://eur-lex.europa.eu/legal-content/hu/txt/?uri=celex%3a32016r0679

AZ ADATKEZELÉS JOGSZERŰSÉGE 1. Az érintett kifejezett hozzájárulását adta 2. Szerződés teljesítéséhez szükséges 3. Jogi kötelezettség teljesítéséhez szükséges 4. Az érintett létfontosságú érdekeinek védelme miatt szükséges 5. Közérdekű feladat végrehajtásához szükséges 6. Jogos érdek érvényesítéséhez szükséges

MILYEN JOGOKKAL RENDELKEZNEK AZ ÉRINTETTEK? Nem akarok hírleveleket és promóciókat kapni. Hozzá akarok férni az adataimhoz és ezeket el akarom vinni. Elfogadtam volna? Nem láttam az adatvédelmi tájékoztatót, a honlapon. Szeretném ha törölnék az adataimat. Javítani szeretném hibásan rögzített adataimat. Szeretném megtudni, hogy milyen adatokat tárolnak rólam és azt mire használják Kérem, addig ne használják az adataimat, amíg nem ellenőriztem annak jogosságát.

ÉRINTETTEK JOGAI A GDPR-BAN (12. 21. cikk) A tájékoztatáshoz való jog A hozzáféréshez való joga A helyesbítéshez való jog A törléshez való jog (elfeledtetés) A feldolgozás korlátozásának joga Az adathordozhatósághoz való jog forrás: http://eur-lex.europa.eu/legal-content/hu/txt/?uri=celex%3a32016r0679 A tiltakozáshoz való jog Az automatizált döntéshozatalra és profilalkotásra vonatkozó jogok

HA ROSSZUL CSINÁLUNK VALAMIT Tovább tárolunk egy e-mail címet a kelleténél Hozzájárulás nélkül adatokat használunk fel Regisztrálatlan térfigyelő kamerát üzemeltetünk az üzletben Illetéktelen kezekbe kerülnek adatok Titkosítatlan eszközön hordozunk nagy mennyiségű személyes adatot

KULCSKÉRDÉSEK

TELJESKÖRŰ VÉDELEM Személyes adatok meghatározása Feldolgozás jogi alapjának a meghatározása Adatvédelem beágyazása Adatbiztonság fenntartása A személyes adat megfelelő védelme a kezelés/feldolgozás teljes ideje alatt forrás: MySec

A GDPR FŐBB ÚJDONSÁGAI AZ INFOTV.-HEZ KÉPEST (2/1) Egységes európai szabályozás Adatvédelmi incidens során alkalmazandó eljárás Adatvédelmi hatásvizsgálat szabályozása Kiemelkedően nagyösszegű bírság Megfelelés bizonyítása az adatkezelőnél Már a tervezésnél az adatvédelmi alapelveket figyelembe kell venni (Beépített és alapértelmezett adatvédelem) az adatkezelésben érintettek erősebb jogosultságai

A GDPR FŐBB ÚJDONSÁGAI AZ INFOTV.-HEZ KÉPEST (2/2) Sokkal részletesebb szabályozás, egyértelműbb pl. a jogalap tekintetében IP cím személyes adat (Preambulum 30. cikkely) kifejezetten kimondva Álnevesítés, mint nevesített eszköz és definícója Területi hatály (eddig magyar vagy más tagállami jog, már csak EU-s jog) Tárgyi hatály szűkül(het) ( nyilvántartási rendszer része )

ADATVÉDELMI TISZTVISELŐ (DPO) Kötelező kinevezni, ha az adatkezelő vagy adatfeldolgozó: közhatalmi szerv vagy egyéb közfeladatot ellátó szerv; fő tevékenységének része az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése; fő tevékenysége szerint nagy számban kezel különleges adatot vagy bűnügyi adatot.

ADATVÉDELMI HATÁSVIZSGÁLAT (35. cikk, Preamb. 84, 90) Az adatvédelmi hatásvizsgálat elemei: a) az adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetése b)az adatkezelési műveletek szu kségességi és arányossági vizsgálata; c) az érintettek jogait és szabadságait érintő kockázatok vizsgálata; d)a kockázatok kezelését és a rendeletnek való megfelelés bizonyítását célzó intézkedések bemutatása forrás: EU Guidelines on Data Protection Impact Assessment (DPIA)

ADATVÉDELMI HATÁSVIZSGÁLAT MAGAS KOCKÁZAT??? (2/1) Nagymennyiségű személyes adat kezelése Különböző adathalmazok összevetése vagy egyesítése Kiértékelés vagy pontozásos bírálat, profilalkotás Automatizált döntéshozatal (amely jogi vagy hasonló, jelentős hatással jár) Szisztematikus (módszeres és ismétlődő) megfigyelés, ellenőrzés Különleges adatok (pl. egészségi állapot, faj, nem, vallás, bűnügyi szem. adat forrás: EU Guidelines on Data Protection Impact Assessment (DPIA)

ADATVÉDELMI HATÁSVIZSGÁLAT MAGAS KOCKÁZAT??? (2/2) Kiszolgáltatott személyek adatai (gyermek, páciens, alkalmazott) Innovatív technológiák és felhasználás EU-n kívülre való továbbítás Az adatok kezelésének eredményeként az érintettet megakadályozzuk valamilyen jog gyakorlásában, szolgáltatás igénybevételében (pl. hitelbírálat) forrás: EU Guidelines on Data Protection Impact Assessment (DPIA)

VESZÉLYEK ÉS KOCKÁZATOK

KIHÍVÁSOK, VESZÉLYEK A jogi, üzleti, informatikai és információbiztonsági területek szoros együttműködése szükséges A GDPR támogatására bevezetett rendszerek új, saját kockázatai Nem transzparens kockázatkezelési folyamatok Projekt vs. program Integráció elmulasztása (csak szabályozással nem működik!)

LEHETSÉGES HIBÁK Túlzott mértékű gyűjtés Az adatok hibás, hiányos rögzítése Az adatok károsodása vagy jogosulatlan módosítása Elavulás Túlzott megosztás vagy továbbítás Hibás feldolgozás Helytelen felhasználás Jogosulatlan hozzáférés Túltárolás

MITŐL FÜGGHET A BÍRSÁG ÖSSZEGE? (83. cikk alapján) (2/1) a jogsértés jellege, súlyossága és időtartama érintettek száma és az általuk elszenvedett kár mértéke a jogsértés szándékos vagy gondatlan jellege az érintettek kárának enyhítése érdekében tett intézkedések; felelősség mértéke (védelmi intézkedések minősége) korábbi jogsértések és azok kezelésének módja

MITŐL FÜGGHET A BÍRSÁG ÖSSZEGE? (83. cikk alapján) (2/2) a hatósággal való együttműködés mértéke a jogsértés kapcsán a jogsértés által érintett személyes adatok kategóriái bejelentettük-e vagy a hatóság más forrásból értesült az incidensről? magatartási kódexek és tanúsításnak való megfelelés egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

MIT GONDOL? HELYES VAGY HELYTELEN AZ ELJÁRÁS? Az ügyfél kérte adatainak törlését, azonban a céget jogszabályok kötik, ezért megtagadták kérését. Helyes Helytelen

MIT GONDOL? HELYES VAGY HELYTELEN AZ ELJÁRÁS? Az ügyfél hozzájárult adatainak kezeléséhez, majd későbbiekben visszavonta ezen hozzájárulását, azonban ehhez nincs joga. Helyes Helytelen

MIT GONDOL? HELYES VAGY HELYTELEN AZ ELJÁRÁS? Az ügyfél a cég közösségi oldalán kedvelt egy bejegyzést, amiből következik, hogy az adatainak feldolgozásába beleegyezett. Helyes Helytelen

FELKÉSZÜLÉSI JAVASLATOK

GDPR NAIH FELADATTERV forrás: https://www.naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html

ÉRTÉKELJÜK (ÚJRA) AZ ADATVÉDELMI KOCKÁZATOKAT! Túlzott mértékű gyűjtés Az adatok hibás, hiányos rögzítése Az adatok károsodása vagy jogosulatlan módosítása Elavulás Túlzott megosztás vagy továbbítás Hibás feldolgozás Helytelen felhasználás Jogosulatlan hozzáférés Túltárolás

HASZNÁLJUK MÁR MEGLÉVŐ EREDMÉNYEINKET!

GONDOLKODJUNK ÁTFOGÓAN! teljes szervezet folyamatai átfogó kockázatmenedzsment informatikai/technológiai feltételek információbiztonság GDPR

ÉPÍTSÜK BE A KÖVETELMÉNYEKET ÉS FELADATOKAT MŰKÖDÉSÜNKBE! Termékeink, szolgáltatásaink Piackutatás Tervezés Fejlesztés Marketing Eladás Támogatás Kivezetés Belső folyamataink Vízióalkotás Tervezés Modellezés Bevezetés Végrehajtás Monitorozás Optimalizálás Kiváltás Ügyfeleink, vásárlóink Felkutatás Profilépítés Konverzió Vásárlás Támogatás Keresztértékesítés Lojalitás Reaktiválás Távozás Utólagos adatkezelés Dolgozóink, partnereink Keresés Beléptetés Alkalmazás Változtatás Kiléptetés Utólagos adatkezelés Az adatok életciklusa Definíció Gyűjtés Tárolás Foldolgozás Továbbítás Mentés Archiválás Törlés IT rendszerek életciklusa Architektúra Stratégia Elemzés Fejlesztés Beszerzés Tesztelés Élesítés Üzemeltetés Változtatás Kivezetés Archiválás

KELL EGY CSAPAT Az érintettek tájékoztatása Érintettek jogai Adatvédelmi tudatosság Adatkezelés jogalapja Üzleti területek Jogi terület Adatkezelési kritériumok Adatvédelmi tisztviselő A hozzájárulás feltételeinek felülvizsgálata Az érintett hozzáférési joga Informatika Biztonság és BI Adatvédelmi hatásvizsgálat Adatvédelmi incidens detektálása és bejelentése Beépített adatvédelem

SZABÁLYOZÁS ÉS FOLYAMATOK ÁTFOGÓ KOORDINÁCIÓJA Kockázatmenedzsment folyamatok és kockázati profil Megfelelő integráció a már működő adatvédelmi megoldásokkal Kritikus folyamatok: az érintettek adatigényléseinek teljesítése adattárolás, az elfeledtetéshez való jog biztosítása adatvédelmi incidensek bejelentése/tájékoztatás adattovábbítással érintett külső felek kezelése fejlesztések, tesztelés, projektmenedzsment

SZERVEZETI KERETEK, DOKUMENTÁLT MŰKÖDÉS A szervezet szinte minden tevékenysége és támogató területe érintett Szerepkörök és felelősségek megfelelő kialakítása (pl. DPO) A személyes adatok kezelésével és védelmével kapcsolatos ismeretek elmélyítése A jogszabálynak megfelelő működés bizonyítása az adatkezelő feladata átlátható és dokumentált szabályozás és működés Folyamatosan naprakész adatvédelmi nyilvántartás

TECHNIKAI FELTÉTELEK Teljeskörű adatvédelmi nyilvántartás, a személyes adatok tárolási, feldolgozási helyeinek, illetve a rendszerek közötti adatforgalom feltérképezése A beépített és alapértelmezett adatvédelem alapelvét érvényesíteni kell az informatikai rendszerek teljes életciklusában A Rendelet alapelveit az adatok teljes életciklusára vonatkozóan érvényesíteni kell: azok gyűjtésétől, feldolgozásán át, azok megfelelő törléséig

FORTIX MÓDSZERTAN ÉS TÁMOGATÁS

1. Strukturált Elemzés 2. Hatékony Integráció 3. Fenntartható Működés GDPR ROADMAP ALAPELVEK Minden érintett bevonása Workshopok, Interakció Strukturált és technikai információgyűjtés Hatásvizsgálat Metaadatok rendszere! (adatok az adatokról) Valós eltérések azonosítása Releváns javaslatok Projektmenedzsment, alkalmazkodva az ügyfél igényéhez Információbiztonsági és más irányítási rendszerekbe, fejlesztési folyamatba történő integráció Új/speciális folyamatok minimalizálása, meglévők javítása A változás aktív irányítása A szereplők hatékony támogatása az átadás alatt és után Vezetői jelentési, mérési és visszajelzési rendszer kialakítása Maradandó és fenntartható megoldások biztosítása

GDPR MEGFELELÉSRE FELKÉSZÍTÉS FŐBB LÉPÉSEI (5/1) 1) Gap assessment A GDPR követelményeinek való megfelelés két faktorú vizsgálata: jelenlegi belső szabályozás a személyes adatok kezelésében érintett területek valós adatkezelési gyakorlata és képességei (üzleti, kiszolgáló- és informatikai területek) interjúk lefolytatása (kérdőívek) + dokumentumok vizsgálata --- GAP ASSESSMENT jelentés javaslatokkal.

GDPR MEGFELELÉSRE FELKÉSZÍTÉS FŐBB LÉPÉSEI (5/2) 2) Üzleti folyamatok készültsége A Rendelet egyes cikkeinek szabályozásáért és végrehajtásáért felelős területek azonosítása. Felkészültségük felmérése - szabályozás szinten. 3) Informatikai működés és információbiztonsági kontroll szabályozottsága Az informatikai és az információbiztonsági terület működésére jól bejáratott (általunk részletesen is ismert) szabványos gyakorlatok (ITIL és COBIT, illetve ISO27001, 27002, 27005) alkalmazásával a potenciális felelősök hatékonyan azonosíthatók a szervezetben.

GDPR MEGFELELÉSRE FELKÉSZÍTÉS FŐBB LÉPÉSEI (5/3) 4) Személyes adatvagyon-leltár összeállítása Felmérjük a személyes adatok informatikai és manuális feldolgozásának és tárolásának helyeit az adatok mozgásának útját (szervezeti és informatikai vonalon), illetve az adatkezelés jogalapját. NYILVÁNTARTÁS a szervezetben kezelt személyes adatokról, azok kategóriáiról, tárolási és feldolgozási helyeiről, illetve az adatok szervezeten belüli és külső feleknek történő átadásáról. Adatkezelési tevékenységek nyilvántartása kezdeti verziója (GDPR 33. cikk)

GDPR MEGFELELÉSRE FELKÉSZÍTÉS FŐBB LÉPÉSEI (5/4) 5) Intézkedési terv A felmérés során feltárt információk alapján strukturált jelentés készül. Elemei: Vezetői összefoglaló Módszertani összefoglaló Általános javaslatok Szervezeti egység-specifikus javaslatok Javasolt következő lépések Melléklet: Adatkezelési tevékenységek nyilvántartása Melléklet: GDPR cikk szintű gap assessment tábla, javaslat hivatkozásokkal Melléklet: Az informatikai kontrollkörnyezet felmérésének eredménye CÉL a már meglévő kockázatkezelési folyamatokba való integráció és a meglévő eljárások optimalizálása (a teljesen új szigetszabályozások helyett).

GDPR MEGFELELÉSRE FELKÉSZÍTÉS FŐBB LÉPÉSEI (5/5) 6) Szabályozás és nyilvántartások elkészítése Adatvédelmi szabályzat kidolgozása/felülvizsgálata Követelmények elhelyezése a releváns üzleti és kiszolgáló területek, folyamatok szabályozásaiban A Rendelet által előírt nyilvántartások elkészítése / aktualizálása 30. cikk: adatkezelési tevékenységek nyilvántartása 33. cikk 5. alfejezet.: adatvédelmi incidensek nyilvántartása 7) A bevezetés támogatása

A KITETTSÉG CSÖKKENTÉSE Adattakarékosság --- hatókör csökkentése Anonimizálás --- hatókör csökkentése Álnevesítés --- követelményszint csökkentése és a többi P.E.T (Privacy Enhancing Technologies) = A személyes adatok védelmét elősegítő megoldások, amelyek támogatják: az érintetteket, jogainak gyakorlásában (lekérdezések, anonimizálók) a kezelt adatok körének minimalizálását az adatkezelés és feldolgozás biztonságának növelését. A fentieken túl pl. titkosítás, data governance, metaadatok, digital rights management, fejlesztési folyamatok, üzleti szoftverlogika, jogosultságkezelés, naplózás, stb

MIT GONDOL? Nagyszerű - úgy tűnik, Mariann már profi a GDPRban Nem rossz - de Mariann szóbeli beleegyezést is kell kapjon az ügyfelektől A webshopon a megrendelés véglegesítésénél van egy előre bejelölt checkbox, amive hozzájárulnak a jövőbeni hírlevél küldéshez. Nem elég - Mariannak meg kell győződnie, hogy a hozzájárulás tényleges cselekvés volt-e Nagyon rossz - csak 13 évesnél fiatalabb gyermekek esetében szükséges beleegyezést kérnie

MIT GONDOL? Kitűnő - úgy tűnik, Péter tényleg ismeri a dolgok járását Nagyszerű - az EU-n kívüli adat továbbításokra nincsenek korlátozások Nem rossz - de Péternek biztosítania kell a szükséges garanciákat az uniós adatokra Van egy amerikai társ cég, amely segíti az ügyfeleink adatainak feldolgozását. Nem jó - Péternek először a felügyelő hatóság beleegyezését kell kérnie

GDPR TÁMOGATÁS Adatvédelmi audit, eltérésjelentés Akcióterv elkészítése Felkészülés támogatása Felhasználók tudatosító oktatása Teljes vagy részleges DPO feladatok ellátása

KÖSZÖNÖM A FIGYELMET! RÓNASZÉKI PÉTER ügyvezető, CISM, ISO27001 LA peter.ronaszeki@fortix.hu +3630 222 5585 FORTIX Consulting Kft. 1126 Budapest, Orbánhegyi út 49. info@fortix.hu +361 781 4842

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés