ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Hasonló dokumentumok
GDPR és ISO 27001, tanúsíthatóság fél évvel a GDPR életbe lépése után Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft november 06.

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

ADATKEZELÉSI TÁJÉKOZTATÓ

Figyelem: GDPR. dióhéjban az Általános Adatvédelmi Rendeletről. dr. Petőcz Judit Bakonybél, február 25.

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

JA-KA KFT SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT

A hulladékgazdálkodási közszolgáltatók, alvállalkozók adatvédelmi kötelezettségeinek teljesítése az Egységes Európai Adatvédelmi Rendelet

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

A GDPR elmúlt egy éve

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

HBCS Audit Kft. Adatvédelmi Nyilatkozat

Felkészülés az Európai Unió általános adatvédelmi rendeletének alkalmazására

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

ADATKEZELÉSI TÁJÉKOZTATÓ

dokumentáció személyes adatok tekintetében adatkezelésre /adatfeldolgozásra kerül sor.

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATVÉDELMI TÁJÉKOZTATÓ. OTP TRAVEL KFT Budapest, Nádor u. 21.

New Land Media Kft. Székhely: 1123 Budapest, Nagyenyed utca 16. fszt. 4. telefon:

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

BERCZIK SÁRI NÉNI MOZDULATMŰVÉSZETI ALAPÍTVÁNY ADATKEZELÉSI SZABÁLYZAT

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Horváth Kiss & Bene Ügyvédi Társulás GDPR alkalmazása a gyakorlatban

GDPR változó szabályozás, új jogi kihívások. Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

nyilvántartása személyes adatok tekintetében adatkezelésre /adatfeldolgozásra kerül sor.

Összefoglaló az adatvédelmi rendeletről

Adatkezelési tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT ÖKOVALENTIA KFT

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATVÉDELMI TÁJÉKOZTATÓ ÉS HOZZÁJÁRULÁS ADATKEZELÉSHEZ ÉS ADATFELDOLGOZÁSHOZ

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Adatkezelési Tájékoztató. ZOLL-PLATZ Vámügynökség Korlátolt Felelősségű Társaság által kezelt személyes adatokról

HEVES MEGYEI KORMÁNYHIVATAL

ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

ADATVÉDELMI SZABÁLYZAT

I. ÁLTALÁNOS RENDELKEZÉSEK II. FOGALMAK

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

I. Társaságunk a GDPR 13. cikke alapján az alábbi tájékoztatást adja az érintett személyek részére:

GDPR mit és hogyan ellenőriz a hatóság? Dr. Jóri András

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

GDPR szelídítés. Gyakorlati megfontolások a KKV szférának.

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

Tájékoztatás az EL GUSTO KFT. adatkezeléséről

ZÁÉV ÉPÍTŐIPARI ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG ÁLTALÁNOS ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATFELDOLGOZÁSI MEGÁLLAPODÁS

WE CARE. WE DARE. WE EXCEL. SEGÉDLET. az EU adatvédelmi rendeletének alkalmazására való felkészüléshez

Jelen Tájékoztató különösen az alábbi jogszabályok figyelembe vételével készült:

PLÉH CSÁRDA ÉTTEREM ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

Frog Media Kft. Adatkezelési tájékoztató

A BKK Zrt. Adatkezelési Tájékoztatója az Egész évben szabadon nyereményjátékkal kapcsolatban

Sajószentpéteri Polgármesteri Hivatal ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

Adatkezelési tájékoztató

AZ ÚJ EURÓPAI ADATVÉDELMI SZABÁLYOZÁS

ADATKEZELÉSI TÁJÉKOZTATÓ

A WSH Kft. ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

INT-13 ADATVÉDELMI SZABÁLYZAT. (4. kiadás 1. módosítása) Módosítások

Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében

GLOBE TRANS CARGO NEMZETKÖZI SZÁLLÍTMÁNYOZÁSI ÉS FUVAROZÁSI KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG

ADATKEZELÉSI SZABÁLYZAT A VARGA+SONS WEBOLDALALÁN KAPCSOLATFELVÉTEL SORÁN MEGADOTT ADATOK VONATKOZÁSÁBAN HATÁLYA: MÁJUS 25.

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

A BÁLINT ANALITIKAI MÉRNÖKI KUTATÓ ÉS SZOLGÁLTATÓ KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG ÁLTALÁNOS ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

AZ IQ MEDIA KFT. KIADÓBAN TÖRTÉNŐ ADATKEZELÉSRŐL SZÓLÓ TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ. Preambulum

ADATKEZELÉSI TÁJÉKOZTATÓ

Székhely: 2363 Felsőpakony, Csarnok utca iparterület 1. hrsz.: 013/71

Adatkezelési tájékoztató (hírlevélre feliratkozás esetén)

1. Az adatkezelő megnevezése (Társaságunk adatai, elérhetőségei)

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

PETŐFIBÁNYAI POLGÁRMESTERI HIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

ADATKEZELÉSI SZABÁLYZAT AZ EGYESÜLETI TAGOK NYILVÁNTARTÁSA VONATKOZÁSÁBAN. HATÁLYA: január 1.

Csorba Zsolt EV. Adatvédelmi Szabályzata

Adatvédelmi tájékoztató Készült:

KIK-FOR Ingatlankezelő és Forgalmazó Kft.

. ADATVÉDELMI TÁJÉKOZTATÓ műtárgyvásárlások adásvételi szerződései

ADATKEZELÉSI TÁJÉKOZTATÓ A BUDAPESTI MŰSZAKI ÉS GAZDASÁGTUDOMÁNYI EGYETEM BME INNOVÁCIÓS NAP c. rendezvényéhez

Account Berater GmbH Adatvédelmi és Adatkezelési Szabályzata. Végh Ágnes Judit Ügyvezető. Cím: 1190 Wien Döblingergürtel 21-23/6/3

VATAM HUNGÁRIA KFT. ADATVÉDELMI NYILATKOZAT

ADATKEZELÉSI SZABÁLYZAT

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

3. Az adatkezelés jogalapja/jogszerűsége: GDPR 6. cikk (1) bekezdés a) pontja alapján az érintett önkéntes hozzájárulása.

AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA

OTP JELZÁLOGBANK ZRT.

ADATVÉDELMI SZABÁLYZAT

Adatkezelési tájékoztató személyes adatok kezeléséről felvételre jelentkező munkavállalók részére

2. Adatkezelés célja: a felek szerződésben foglalt jogainak és kötelezettségeinek megvalósulása, kapcsolattartás.

METABOND Magyarország Kft. H-9030 Győr, Szigligeti E.u. 5. Tel.: +3696/ Közvetlen szervező:... Név:... Cím:...

AZ APERTE MS EGÉSZSÉGÜGYI ÉS SZOLGÁLTATÓ BT. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATÁNAK KIVONATA

Átírás:

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. 2018. március 22. 22/03/2018 1

Vázlat 27001 és GDPR viszonya védendő elemek, vonatkozó követelmények követelmények, IBIR kezelés, feladatok Adatkezelő, adatfeldolgozó feladatai Érintettek jogainak érvényesítése 3. országba továbbítás 2

27001 és GDPR személyes adat is információ védelme része információbiztonságnak követelmények között jogszabályok (külső kontexusok) azonosítása (4.1, A18.1.1) magántitok és személyhez köthető info-k védelme (A18.1.4) érintettek (érdekelt felek) elvárásainak meghatározása (4.2) megfelelőséghez GDPR megfelelés szükséges megfelelés része GDPR megfelelés bár IBR tanúsító nem nézi GDPR-t tételesen 3

Kiindulás: mit kell védeni, mit kezelünk (27001) vagyonleltár (A8.1.1) legtöbb rendszerben ma is van személyes adat de ez közvetlenül GDPR-hoz nem használható pl. szükséges cél, jogalap szerint szerinti megkülönböztetés Megoldás lehet leltár lapok különböző adattartalommal 4

Adatkezelések áttekintése -hez elvárások azonosítandók (4.1, 4.2) adatkezelésenként áttekintendők az adatkezelési elvek mi az adatkezelési cél mi a jogalap áttekinthető-e a kezelési tevékenység, folyamat mi a minimálisan szükséges adatmennyiség (és ténylegesen mit kezelünk) hogyan biztosítjuk az adatminőséget (pontosságot) meddig szükséges a megőrzés, utána mi lesz folyamat biztosítja-e a bizalmasságot, integritást megfelelőség hogyan igazolható adatkezelő vagy feldolgozó a szerep 5

Adatkezelő feladatai technikai és szervezési intézkedések kockázatok figyelembe vételével belső adatvédelmi szabályok intézkedések felülvizsgálata, naprakésszé tétele kockázatfelmérés, kezelés (6.1.2, 6.1.3, 8.2, 8.3) kialakítás, dokumentált információk, kezelésük, képzés/tudatosítás, stb. (4.4, 7.5.1, 7.5.3) Ellenőrizendő felmért kockázatok között személyes adatok kockázatai, értékelésük (GDPR miatt felértékelődhettek) adatvédelmi szabályozás mélysége 6

Adatkezelő és adatfeldolgozó beépített és alapértelmezett védelem 1/2 Beépített és alapértelmezett adatvédelem kezelési mód meghatározásakor, kezelés során folyamatba garanciák építése kockázatok figyelembe vételével (tud/tech állása, ktg, adatkezelés jellege, személyekre hatás) technikai és szervezési intézkedések (pl. álnevesítés) elvek megvalósításához (pl. adattakarékosság) kialakítás, kockázat felmérés, kezelés, info rendszer biztonsági követelmények azonosítása, tesztelése (4.4, 6, 8, A14.1.1) 7

Adatkezelő és adatfeldolgozó beépített és alapértelmezett védelem 2/2 Beépített és alapértelmezett adatvédelem intézkedések biztosítsák: csak célhoz szükséges (gyűjtött mennyiség, kezelés mértéke, tárolás időtartama, hozzáférhetőség) természetes személy beavatkozása nélkül meghatározatlan számú személy számára nem hozzáférhető info rendszer biztonsági követelmények azonosítása, hozzáférés kezelés (A14.1.1, A9) Ellenőrizendő: adatkezelési folyamat, hozzáférési rendszer, jogos érdek esetén lehet Érdekmérlegelési teszt 8

Az adatfeldolgozó az adatkezelő nevében garancia megfelelésre, végrehajtásra, további feldolgozók csak engedéllyel adatkezelés írott szerződés alapján szállító biztonság irányelvek, dokumentált megállapodások, monitoring, stb. (A15) szállító (felhő szolgáltató is!) megállapodások felülvizsgálata, kiegészítése (mindkét oldalon!) 9

Adatkezelő és adatfeldolgozó adatkezelés nyilvántartása Adatkezelői és adatfeldolgozói nyilvántartások 250 főnél kisebb szervezetnél nem kell, kivéve ha kockázattal jár, nem alkalmi jellegű, vagy különleges vagy büntetőjog/bűncselekmény adat kezelése nincs rá IBIR előírás, de ha van nyilvántartás, IBIR dokumentációba beillesztendő célszerű 250 fő alatt is elkészíteni (átláthatóság, elszámoltathatóság, érintett tájékoztatása érdekében) 10

Az adatkezelő és adatfeldolgozó adatbiztonság Technikai és szervezési intézkedések 1/2 megfelelő szintű adatbiztonsághoz figyelembe véve tudomány, technika állása, megvalósítás ktg, kezelés jellege, hatóköre, körülményei, céljai, személyekre jelentett kockázat jellemzően figyelembe veendő kockázatok: véletlen/jogellenes megsemmisítés, elvesztés, megváltoztatás, jogosulatlan nyilvánosságra hozás, hozzáférés ez az IBIR kockázatfelmérés, kezelés csak legyenek benne a személyes adat vagyonelemek és a kezelésükhöz kapcsolódó kockázatok és a kockázat szintjének megfelelő kezelés 11

Az adatkezelő és adatfeldolgozó adatbiztonság Technikai és szervezési intézkedések 2/2 biztonság fenntartásához eszközök lehetnek álnevesítés, titkosítás rendszer, szolgáltatás bizalmasság, integritás, rendelkezésre állás, ellenálló képesség incidens esetén kellő időben hozzáférés, rendelkezésre állás helyreállítás Intézk. rendszeres tesztelése, felmérése, értékelése Intézkedés: természetes személyek csak utasítás szerint titkosítás, hozzáférés kezelés, titoktartási, bizalmassági megállapodások, folytonosság, határvédelem, vírusvédelem, mentés, stb. rendszer bizt. tesztje, független és műszaki megfelelés átvizsgálás (álnevesítés info rendszer bizt. követelmény) 12

Az adatkezelő és adatfeldolgozó adatvédelmi incidens incidens nyilvántartás tények, hatás, intézkedések bejelentés kivéve: ha nem jár személyekre kockázattal az érintett tájékoztatása magas kockázat esetén kivéve: intézkedések miatt alacsony a kockázat, vagy a nyilvános közzétételen túl aránytalan feladat adatvédelmi incidens információbiztonsági incidens is incidens kezelés folyamat és nyilvántartás (A16) (eddig is lehettek esetek, amiről hatóságot kellett tájékoztatni) beépítendő: mikor kell hatóság vagy érintett értesítése, ki a felelőse 13

Az adatkezelő és adatfeldolgozó hatásvizsgálat Adatvédelmi hatásvizsgálat magas kockázatú adatkezelés, új technológia esetén, kezelés előtt (hatóság is előírhatja) kockázat változása esetén ellenőrzés kérhető előzetes konzultáció hatóságtól (lehet kötelező is) Elemei adatkezelés leírása, célja műveletek, szükségesség, arányosság vizsgálata kockázatok vizsgálata kezelési intézkedések az adatkezelés megtervezendő, utána kockázat felmérés, kezelés (esetleg sebezhetőség vizsgálattal alátámasztva) 14

Az adatkezelő és adatfeldolgozó adatvédelmi tisztviselő Az adatvédelmi tisztviselő kijelölése közhatalmi és közfeladatot ellátó szervnél (kivéve bíróság) fő tevékenységben érintettek rendszeres és szisztematikus, nagymértékű megfigyelése fő tevékenységben különleges adatok vagy büntetőjoghoz kapcsolódó adatok nagy számban szerepek és felelősségek meghatározása, feladatkörök szétválasztása (A6.1.1, A6.1.2) ahol előírás, ott ki kell jelölni 15

Érintettek jogai biztosítása 1/3 átláthatóság és intézkedések tájékoztatás érintetteknek intézkedések a jogok gyakorlásához tájékoztatás és saját adatokhoz hozzáférés adatkéréskor közvetlenül adatátvételkor (megadva forrást is) kérésre másolat kiadandó tájékoztatás alapja lehet az adatvédelmi nyilvántartás adatvédelmi szabályozás(ok)ba beépítendő a tájékoztatás, az érintettnek saját adatai kiadásának a módja, a kapcsolódó feladatok, felelősségek pl. adatvédelmi tájékoztató alkalmazáshoz, honlaphoz 16

Érintettek jogai biztosítása 2/3 helyesbítés és törlés indokolatlan késedelem nélkül pontatlan javítása törlés érvényes jogalap hiánya/megszűnte után ( elfeledéshez való jog ) vita esetén korlátozás adathordozhatósághoz való jog az adatkezelési vagy ticketing és/vagy az incidenskezelési folyamatok része lehet tisztázandók a jogosultságok hozzá kialakítandó a hordozható adatok ki/átadás rendje GDPR szellemével összhangban levő törlési rend 17

Érintettek jogai biztosítása 3/3 a tiltakozáshoz való jog és automatizált döntéshozatal egyedi ügyekben közérdekű vagy jogos érdek alapján történő kezelés ellen közvetlen üzletszerzéshez kapcsolódó kezelés ellen automatizált döntéshozatal, benne profilalkotás ellen az adatkezelési vagy ticketing és/vagy az incidenskezelési folyamatok része lehet vizsgálandó, van-e automatizált döntéshozatal, profilalkotás tisztázandók a jogosultságok hozzá döntéshez használható az adatkezelői nyilvántartás, érdekmérlegelési tesztek 18

3. országokba, nemzetközi szervezeteknek továbbítás továbbítás feltétele Bizottság szerint ország/szervezet megfelelő védelmi szintet biztosít adatkezelő/adatfeldolgozó megfelelő garanciákat nyújtott kötelező erejű vállalati szabályok biztosítják szállító biztonság irányelvek, dokumentált megállapodások, monitoring, stb. (A15, A13.2.2) vizsgálandó, partner melyik kategóriába tartozik szállító (felhő szolgáltató is!) megállapodások felülvizsgálata, kiegészítése 19

Összefoglalás Kiindulás és IBIR előtti feladatok mit védünk, követelmények, elvek áttekintése nyilvántartás összeállítása (bár nem kötelező) kezelési folyamat felülvizsgálata, GDPR összhang biztosítás, tájékoztatás Kockázatfelmérés, kezelés kiegészítése új elemek beillesztése, értékelés felülvizsgálata de egy jól kialakított, kockázatarányos IBIR kontrolljai alapvetően a személyes adatokat is megfelelően védi Szigorúbb a követés (elszámoltathatóság) hozzájárulások, védelmi intézkedések és betartásuk, eseménynaplók, tesztek, vizsgálatok + képzések, tudatosítás (és IBIR betartás ) 20

Elérhetőség Móricz Pál Mobil: 20-931-0584 p.moricz@szenzor-gm.hu Szenzor Gazdaságmérnöki Kft. 1087 Budapest, Könyves Kálmán körút 76. Telefon: (+36)-1-331-5523 Fax: (+36)-1-311-9636 E-mail: szenzor@szenzor-gm.hu Honlap: Változással a sikerért 21

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés