GDPR Adatvédelem újratöltve. kihelyezett

Hasonló dokumentumok
GDPR Adatvédelem újratöltve. kihelyezett

GDPR mit és hogyan ellenőriz a hatóság? Dr. Jóri András

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

GDPR bevezetés az adatokkal foglalkozó szakembereknek. Dr. Jóri András. Budapest Data Forum június 14.

Az IT biztonság szerepe a könyvvizsgálatban

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

GDPR változó szabályozás, új jogi kihívások. Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Felkészülés az Európai Unió általános adatvédelmi rendeletének alkalmazására

GDPR-ÁLTALÁNOS ADATVÉDELMI RENDELET. Változások az adatvédelemben

JA-KA KFT SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ADATVÉDELMI SZABÁLYZAT

I. ÁLTALÁNOS RENDELKEZÉSEK II. FOGALMAK

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATVÉDELMI RENDELET (GDPR) ISKOLAPSZICHOLÓGIAI KONZEKVENCIÁI

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

I. Társaságunk a GDPR 13. cikke alapján az alábbi tájékoztatást adja az érintett személyek részére:

Vállalati adatvédelem

Csorba Zsolt EV. Adatvédelmi Szabályzata

Adatkezelési, Adatvédelmi ismertető az Új szabályok tükrében

ELTEC HOLDING KFT. ADATKEZELÉSI TÁJÉKOZTATÓ

A hulladékgazdálkodási közszolgáltatók, alvállalkozók adatvédelmi kötelezettségeinek teljesítése az Egységes Európai Adatvédelmi Rendelet

BEVEZETÉS, ELŐZMÉNYEK

ADATKEZELÉSI TÁJÉKOZTATÓ

Az adatvédelmi rendelet marketinget érintő legfontosabb elemei. dr. Osztopáni Krisztián

A GDPR GYAKORLATI KÖVETKEZMÉNYEI

ADATKEZELÉSI TÁJÉKOZTATÓ

Figyelem: GDPR. dióhéjban az Általános Adatvédelmi Rendeletről. dr. Petőcz Judit Bakonybél, február 25.

Adatvédelmi tájékoztató Készült:

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

Adatkezelési tájékoztató

Adatkezelési tájékoztató

Adatkezelési tájékoztató. a weboldal látogatói részére

A Belügyminisztérium, mint adatkezelő (a továbbiakban: Adatkezelő) az Ön által a regisztráció során megadott adatokat, azaz az Ön

Adatvédelmi Tájékoztató

DR. HATHÁZI VERA ÜGYVÉDI IRODA

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

Adatkezelési tájékoztató

1. Az adatkezelő megnevezése (Társaságunk adatai, elérhetőségei)

Adatvédelmi tájékoztató

Adatkezelési tájékoztató

Székhely: 2363 Felsőpakony, Csarnok utca iparterület 1. hrsz.: 013/71

Adatkezelési tájékoztató személyes adatok kezeléséről (fémkereskedelmi tevékenység)

PLÉH CSÁRDA ÉTTEREM ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT ÖKOVALENTIA KFT

3. Adatkezelő képviselőjének neve, telefonszáma: Kovács Zoltán Adatkezelési nyilvántartási azonosítója: NAIH-75346/2014

Adatkezelési tájékoztató

BERCZIK SÁRI NÉNI MOZDULATMŰVÉSZETI ALAPÍTVÁNY ADATKEZELÉSI SZABÁLYZAT

Különlegesek-ért Alapítvány

ÁLTALÁNOS SZEMÉLYES ADATVÉDELMI TÁJÉKOZTATÓ MÁJUS 25.

ADATVÉDELMI SZABÁLYZAT

ADATVÉDELMI TÁJÉKOZTATÓ ÉS HOZZÁJÁRULÁS ADATKEZELÉSHEZ ÉS ADATFELDOLGOZÁSHOZ

Adatvédelmi nyilatkozat

ADATKEZELÉSI TÁJÉKOZTATÓ. Személy- és vagyonőrök 40 órás képzése

Adatvédelmi tájékoztató - az Európai Parlament és a Tanács (EU) 2016/679 (GDPR) rendeletében foglaltaknak megfelelően

Az adatkezelő elérhetőségei

AZ APERTE MS EGÉSZSÉGÜGYI ÉS SZOLGÁLTATÓ BT. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATÁNAK KIVONATA

Sajószentpéteri Polgármesteri Hivatal ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

Adatkezelési tájékoztató (hírlevélre feliratkozás esetén)

ADATKEZELÉSI TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL

PETŐFIBÁNYAI POLGÁRMESTERI HIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

Digitális könyvelő GDPR.1. Könyvelés jövője - avagy a digitális könyvelő 2.0 előadás dr. Báldy Péter június 26.

Az Információs önrendelkezési jogról és az információszabadságról szóló évi CII. törvény, valamint az Alaptörvény IV. cikke alapján.

Adatkezelési tájékoztató

Hódmezővásárhelyi Szent István Általános Iskola Adatkezelési Szabályzata

Adatkezelési tájékoztató. az állatok védelméről és kíméletéről szóló évi XXVIII. törvény szerinti ebösszeíró adatlaphoz. Adatkezelői információk

DR. SZÉNÁSZKI TÜNDE Végrehajtói Irodájának. Adatkezelési tájékoztatója

ADATKEZELÉSI SZABÁLYZAT

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI SZABÁLYZAT A VARGA+SONS WEBOLDALALÁN KAPCSOLATFELVÉTEL SORÁN MEGADOTT ADATOK VONATKOZÁSÁBAN HATÁLYA: MÁJUS 25.

GYŐRI BALETT ADATVÉDELMI SZABÁLYZAT

Adatkezelési tájékoztató

GLOBE TRANS CARGO NEMZETKÖZI SZÁLLÍTMÁNYOZÁSI ÉS FUVAROZÁSI KORLÁTOLT FELELŐSSÉGŰ TÁRSASÁG

Adatvédelmi és adatfeldolgozási megállapodás

Az adatvédelem új rendje

ADATKEZELÉSI TÁJÉKOZTATÓ - a személyes adatok megszerzésének időpontja előtt -

Adatkezelési tájékoztató

HEVES MEGYEI KORMÁNYHIVATAL

Adatvédelmi nyilatkozat

ADATVÉDELMI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ ÁLLÁSRA PÁLYÁZÓK RÉSZÉRE

P L E X I C E N T R U M

Személyes adatok kezelésére vonatkozó információk. A Rendelet 13. cikke szerinti információk és kiegészítő információk

Átírás:

GDPR Adatvédelem újratöltve kihelyezett

Megnyitó 101 1000010101101011101101 Sass Katalin ügyvezető

Ismét itt a szeptember ismét jelentkezik a NEXON-ITB konferencia. 11011101

"A pesszimista minden lehetőségben meglátja a nehézséget. Az optimista minden nehézségben látja a lehetőséget." - Winston Churchill 11011101

GDPR General Data Protection Regulation Általános Adatvédelmi Rendelet 11011101

A GDPR lényege I transzparencia, 101 1000010101101011101101 I a munkavállalók bevonása a folyamatokba, I a megismerhetőség és a hozzáférhetőség I térbeli és időbeli korlátok nélkül.

A NEXON célja I segítsük a szakmai párbeszédet, 101 1000010101101011101101 I tudásmegosztás, tapasztalatcsere, I van amiben elkészültünk, és a további felkészülésünk folyamatos.

A siker az, ahol a felkészülés és a lehetőség találkozik." - Bobby Unser 11011101

Köszönöm a figyelmet! 101 1000010101101011101101 Sass Katalin ügyvezető

Mi az a GDPR? Avagy miről szól az adatvédelem a jogrendszerben 101 1000010101101011101101 Dr. Jóri András Tanácsadó, volt adatvédelmi ombudsman

Új? 11011101

(1) A számítógéppel vagy más módon történő adatkezelés és adatfeldolgozás a személyhez fűződő jogokat nem sértheti. (2) A nyilvántartott adatokról tájékoztatást - az érintett személyen kívül - csak az arra jogosult szervnek vagy személynek lehet adni. (3) Ha a nyilvántartásban szereplő valamely tény vagy adat nem felel meg a valóságnak, az érintett személy a valótlan tény vagy adat helyesbítését külön jogszabályban meghatározott módon követelheti. 11011101

Miért érdekes? Ombudsman (-2011): csak kérhet NAIH: bírság 20 millió forintig GDPR: 20 milló EUR vagy a teljes éves világpiaci forgalom 4%-a Büntető tényállás 11011101

Infotv. GDPR ( Új Infotv ) E-privay rendelet 2016/680 irányelvet átültető jogszabály ok ( Új Infotv ) Tagállami jog alatti adatkezelés 11011101

Személyes adat? Tartalom 11011101

"személyes adat": azonosított vagy azonosítható természetes személyre (" érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható (Rendelet) "személyes adat" az azonosított vagy azonosítható természetes személyre ("érintettre") vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén (Irányelv) 11011101

Jogalapok: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű,- amennyiben legalább az alábbiak egyike teljesül: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. 11011101

Érintetti jogok: -Automatizált döntéshozatal/profilozás (automatizált egyedi döntés) -Elfeledtetéshez való jog (törléshez való jog) -Privacy Impact Assessment (előzetes ellenőrzés) -Tervezett és alapértelmezett adatvédelem magyar jogban is! -Incidensjelentés (hírközlési jogban) 11011101

Tanács: Ne kezeljenek személyes adatot! (Ha kezelnek: -biztosítsák a célt -biztosítsák a jogalapot -biztosítsák az érintett jogait -biztosítsák az adatbiztonsági követelményeket -nevezzenek ki adatvédelmi felelőst -. -És mindezt dokumentálják!) 11011101

Köszönöm a figyelmet! 101 1000010101101011101101 Dr. Jóri András Tanácsadó, volt adatvédelmi ombudsman

GDPR felkészülés: a check-listtől az eredményekig 101 1000010101101011101101 Hargitai László KPMG Informatikai Kockázatkezelési Tanácsadás

Tartalom 1 2 3 4 A jó checklist ismérvei Hogyan irányítsuk az adatvédelmet? Hogyan működtessük a rendszereinket? Hogyan kezeljük a kockázatokat? 5 11011101 Hogyan mérjük a felkészülés eredményeit?

1. A jó checklist ismérvei Lefedi az adatvédelem minden szintjét: Stratégia, irányítás Operáció Kockázatkezelés Lefedi a személyes adatok teljes életciklusát Mérhetővé teszi az adatvédelmi fejlesztések eredményeit 1. Adatérkeztetés 2. Adatfeldolgozás és tárolás 3. Adattovábbítás & adattörlés 11011101

2. Hogyan irányítsuk az adatvédelmet? Amit felül kell vizsgálnunk a GDPR kapcsán: Üzleti stratégia Adatkezelési stratégia Működési modell Folyamatirányítás Munkatársak képzése Ajánlott olvasmány: KPMG Crossing the line c. tanulmánya https://assets.kpmg.com/content/dam/kpmg/xx /pdf/2016/11/crossing-the-line.pdf 11011101

3. Hogyan működtessük a rendszereinket? Amit felül kell vizsgálnunk a GDPR kapcsán: Adatnyilvántartás Adat-életciklus kezelése Cél szerinti adat Minimális mennyiségű adat Minimális ideig kezelt adat Megfelelő hozzájárulás, tájékoztató, érdekmérlegelés Különleges adatok kezelése Anonimizáció Biztonságos törlés, időben Adatbiztonság Adatvédelem felügyelete 11011101 Adatbiztonsági modell

4. Hogyan kezeljük a kockázatokat? Amit felül kell vizsgálnunk a GDPR kapcsán: Kockázatelemzés, belső ellenőrzés Naplózás, naplókezelés Szabályzatok Beszállítók, adatfeldolgozók Incidenskezelés 11011101

5. Hogyan mérjük a felkészülés eredményeit? 11011101 Adatvédelmi érettség mérése, nyomon követése Érettség felmérése Ad-hoc Kezdeti Kontrollált Ellenőrzött Optimalizált Cél működési modell: üzleti stratégia és GDPR alapján GAP-ek azonosítása Priorizálás: kockázat szerint

Köszönöm a figyelmet! 101 1000010101101011101101 Hargitai László KPMG Informatikai Kockázatkezelési Tanácsadás Laszlo.Hargitai@kpmg.hu +36 70 370 1610

A GDPR ICT-vonatkozásai 101 1000010101101011101101 1101 Csizmazia Darab István 11011101 Sicontact, IT biztonsági szakértő 1101 11011101 11101010000101011010 29/25

Tartalom :: GDPR - Ezmiez? :: Változások, kihívások 101 1000010101101011101101 :: Tanulópénzek :: A szakma lehetséges feladatai 11011101 1101 :: Biztonság+tudatosság 11011101 11101010000101011010 30/25

GDPR - Ezmiez? 101 1000010101101011101101-2018. május 25. - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról - 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 11011101 - Kidolgozott és érvényes, elfogadott uniós jogszabályok gyűjteménye 1101 - Meghatározzák az ország forrásainak, adatainak védelmét - Elősegítik az állami, illetve a magánszektor közötti együttműködést - Jogokat biztosít az uniós állampolgároknak adataik kezelésével 11011101 kapcsolatban 11101010000101011010 31/25

GDPR - Ezmiez? 101 1000010101101011101101 Személyes adat: minden olyan információ, ami egy azonosított vagy azonosítható természetes személyre vonatkozik - Minden EU területén tevékenykedő cég - Minden uniós polgárok adatait kezelő szervezet (nem csak az EU-ban működő) 11011101 - Legfőbb szegmens a szenzitív adatok kezelők: EÜ, oktatás, kormányzat 1101 - A szabályozási rendszer igen összetett, fokozott adatbiztonsági követelmények - Erősebb hatósági felügyelet, magasabb (20 meur) bírság 11011101 11101010000101011010 32/25

Milyen változásokat hoz mindez? A "kockázatarányos védelem elve" - Például az egészségügyi szektorban 101 1000010101101011101101 Megfordul a bizonyítási teher 11011101 - Fontos új alapelv: az elszámoltathatóság elve 1101 - Nem elég, ha az adatkezelő betartja az adatvédelmi szabályokat, igazolnia is kell a megfelelést 11011101 Változások, kihívások 11101010000101011010 33/25

Értesítési kötelezettség - adatvédelmi incidensek esetére előírt értesítési kötelezettség - jelentős többletterhet ró az adatkezelő 101 szervezetekre 1000010101101011101101 - az incidensek ügyfelek felé történő kommunikációja rombolhatja az ügyfelek szervezet iránti bizalmát, ronthatja a szervezet jó hírét - halogatása, elhallgatása, kozmetikázása viszont tönkreteheti a céget 11011101 1101 - Módosítási javaslat: mentesség, ha a szervezet alkalmazta a technikai és szervezési védelmi intézkedéseket, például titkosítás 11011101 Változások, kihívások 11101010000101011010 34/25

Az érintettek számára meghatározott jogok biztosítása - Mind a hatályos hazai szabályozás, mind a GDPR előírja 101 - Beletartozik a saját adatokba 1000010101101011101101 való betekintés - Számos esetben az adatok feletti rendelkezés joga is 11011101 - Téves adatok helyesbítése 1101 - Akár a törlés biztosításának joga is 11011101 Változások, kihívások 11101010000101011010 35/25

- 2008. USA: bűnözés > drog (105 mrdusd) - 106 nap (2017, Vectra Networks) - 4 mrd netező, 10 mrd netes eszköz 101 1000010101101011101101 IDC-ESET 2017. május: - A vállalatok 22%-a nem ismeri a GDPR követelményeit 11011101 1101 - A cégek ötöde (20%) még el sem kezdte a felkészülést - A vállalatok 56%-nál nem mérik az adatlopások, támadások, 11011101 kockázatok költségeit Változások, kihívások - 52% tud róla, de nem világos számukra a feladat 11101010000101011010 36/25

Tanulópénzek 2008. UK NAVY - 600,000 személyes adat - egy állami alkalmazottól elloptak egy noteszgépet 101 1000010101101011101101 11011101 1101 11011101 11101010000101011010 37/25

Tanulópénzek 2010. 280 ezer betegadat - elvesztett adathordozón minősített, titkosítatlan adatok 101 1000010101101011101101 11011101 1101 11011101 11101010000101011010 38/25

Tanulópénzek 2012.06. LinkedIn - 6.5 millió account - no salted hash 101 1000010101101011101101 - több, mint 2 év - 2FA, e-mail, kontroll 11011101 1101 11011101 11101010000101011010 39/25

Tanulópénzek 2016.december: 90% XP a brit EÜ-ben - nem várható érdemi javulás 2017-re 101 1000010101101011101101 11011101 1101 11011101 11101010000101011010 40/25

Tanulópénzek 2017. július - Brit orvosok - Tévhit, hogy a kényelmes egyenlő a 101 jóval, vagy a biztonságossal 1000010101101011101101 11011101 1101 11011101 - Snapchat-en küldik a röntgen képeket 11101010000101011010 41/25

A titkolódzás súlyos és hosszú távon drágább hiba - 2011. holland DigiNotar - július 19-én nem csak feltörés áldozata - a tanúsítványokat kibocsátó rendszerbe is bejutottak a támadók 101 1000010101101011101101 - csak belső vizsgálat volt, nem értesítették a partnereket, a cég szerint az incidens hatása minimális - A Comodo, a Google nevére kiállított illetéktelen tanúsítványok jelentek meg - A kibocsátott hamis tanúsítványokat visszavonták (nem sokat ér), közben a Google.com-os kimaradt! 11011101 - Pl. az addons.mozilla.org-ra is állítottak ki tanúsítványt a támadók 1101 - Az F-Secure kiderítette, hogy vélhetően iráni hackerek a diginotar.nl-t 2010-ben is többször megtörték, erről is hallgattak - Független biztonsági jelentés:a behatoló már június 6-án 11011101 bejutott a rendszerbe Tanulópénzek 11101010000101011010 42/25

A titkolódzás súlyos és hosszú távon drágább hiba így tanúsítványokat - a DigiNotar július 19-éig mit sem tudott a dologról, és még szeptember 3-án 101 is kiállításra kerültek új tanúsítványok 1000010101101011101101-2011. szeptember 20. a DigiNotar (Vasco Inc. leányvállalata) belebukott a történetbe, felszámolás, csőd 11011101 1101 11011101 Tanulópénzek - 531 tanúsítványt állítottak ki illetéktelenül, a tanúsító összes CA szerverét adminisztrátori szintig törték, és a logokat törölték - a DigiNotarnak elképzelése sem lehetett arról, hogy kiknek a nevére generáltak 11101010000101011010 43/25

101 1000010101101011101101 11011101 1101 11011101 A szakma lehetséges feladatai Milyen megoldásokkal segíthetjük a vállalkozásokat? - ESET egy 30 éves gyártói tapasztalattal rendelkező cég - A hálózati biztonság és végpontvédelem mellett további biztonsági technológiákkal - A titkosítás és azonosítás mint az adatvédelmi megfelelés egyik eszköze 11101010000101011010 44/25

ESET Secure Authentication (ESA) MIT OLD MEG? - Erős mobil alapú megoldás, 2FA, egyszer használatos OTP egyedi kódos hitelesítés - Az OTP kód véletlenszerűen generált, 101 nem megjósolható, nem újrahasználható 1000010101101011101101 - Segíti a megfelelést az iparági szabályzásoknak (PCI-DSS/HIPAA) - Az intézkedéssel demonstrálható a hozzáférési jogosultságok komolyan vétele - Az adatvédelem melletti elkötelezettség 11011101 1101 (távoli hozzáférésnél) - Jogosultságkezelési és naplózási kötelem előírása a szabályzás szerint 11011101 A szakma lehetséges feladatai - Problémamentes távoli hozzáférés céges hálózathoz és adatokhoz 11101010000101011010 45/25

ESET Endpoint Encryption (DESlock Encryption) MIT OLD MEG? - Szöveg és vágólap titkosítás - Titkosított virtuális kötetek és tömörített állományok 101 - FIPS 140-2 szabványnak megfelelő 1000010101101011101101 256 bites AES titkosítás - Szabványmegfelelés: COBIT, ITIL, ISO 27001, ISO 9001, ISO 14001 - bankkártyás fizetés (PCI DSS) szabvány kötelező eleme 11011101 1101 - Menedzselt környezet, felhasználóbarát - Az adatgyűjtés céljától eltérő adatkezelésnél kötelező 11011101 a titkosítás - Teljes HDD, cserélhető adathordozók, állományok, e-mailek titkosítása - Skálázható, vállalati mérethez igazodó A szakma lehetséges feladatai 11101010000101011010 46/25

Biztonságtudatosság ez is kell hozzá - 27% soha nem részesült oktatásban - Megkerülhetetlenül fontos 101 1000010101101011101101 11011101 1101 2017. május - WannaCry támadási hullám - "Jó" apropó volt a cégek védekezésének felülvizsgálatára - A brit dolgozók 44%: a céges levelezőrendszerben megnyitott 11011101 e-mail biztonságos Biztonság+tudatosság 2017. Global Cyber Risk - 2016-ban sok helyen nem volt biztonságtudatossági képzés - 46%-uknál ez évi egyszeri 30 perc 11101010000101011010 47/25

Biztonságtudatosság ez is kell hozzá 2011. december. - Mi az indián neved? - 800 ezer FB "kedvelő" - még 2015-ben is 912 ezer 101 1000010101101011101101 11011101 1101 11011101 Biztonság+tudatosság 11101010000101011010 48/25

Biztonságtudatosság ez is kell hozzá Facebook 2017. Ha 0-s a vércsoportod, Különleges vagy Ki még? 101 1000010101101011101101 Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) - Önrendelkezés: ki ismeri? 11011101 1101 11011101 Biztonság+tudatosság 11101010000101011010 49/25

101 1000010101101011101101 11011101 1101 Várható lesz új bűnözői forgatókönyvek megjelenése: - 20 meur helyett váltságdíj 11011101 Biztonság+tudatosság 2014. Chimera: - Nem várt mellékhatás: céges adatok Pastebin publikus weblapra 11101010000101011010 50/25

- A cégek ötöde (20%) még el sem kezdte a felkészülést - A felkészülés még a határidő után is rengeteg feladatot tartogat! - Komoly változások, komoly bírságok - A titkosítás és 2FA azonosítás az adatvédelmi megfelelés egyik eszköze - Minden adatkezelőnek foglalkozni kell vele 101 1000010101101011101101 11011101 1101 11011101 Összefoglalva 11101010000101011010 51/25

Köszönöm a figyelmet! 101 1000010101101011101101 1101 11011101 1101 Csizmazia Darab István 11011101 Sicontact, IT biztonsági szakértő 11101010000101011010 52/25

Kerekasztal beszélgetés Információbiztonsági cégek tapasztalatai az eddigi felkészülésről, illetve milyen területeken vannak nagy lemaradásban a cégek 101 1000010101101011101101 Kihelyezett ITB Klub Résztvevők: Frész Ferenc Cyber Services Keleti Arthur ITBN Papp Péter Kancellar.hu

Köszönjük a figyelmet! 101 1000010101101011101101 Frész Ferenc Cyber Services Keleti Arthur ITBN Papp Péter Kancellar.hu

Kávészünet 15 perc

GDPR HR szemszögből 101 1000010101101011101101 Amroun Rachid Service management team leader NEXON Kft.

Áttekintés GDPR (General Data Protection Regulation) az európai unió adatvédelmi rendelete Hatályba lép 2018. május 25-én Egységesíti a 28 tagállam adatvédelmi rendelkezéseit és felülírja a nemzeti jogszabályokat Bővíti a személyek jogait és a társaságok kötelezettségeit Magyarország jelenleg nem fogadott még el e témában részletesebb rendelkezéseket. 11011101

Tájékoztatás és hozzájárulás Jelenlegi is tartalmaznak általában rövid összefoglalót a személyes adatok kezeléséről és hozzájárulást is harmadik személy részére történő adattovábbításhoz. A jövőben a foglalkoztatás során a munkáltató a munkavállaló személyes adatait csak bizonyos esetekben kezelheti jogszerűen Át kell vizsgálni a jelenlegi munkaszerződés mintát és meg kell állapítani, hogy egyes adatokat milyen jogcímen kezelik. A jövőben részletesebb adatvédelmi tájékoztatást kell foglalni a munkaszerződésbe vagy az adatvédelmi szabályzatba Hozzájárulást kell kérni az adatok kezelésére a munkavállalóktól 11011101

Munkavállaló jogai Biztosítani kell a munkavállalóknak a lehetőséget a személyes adataikhoz való hozzáférést, azok helyesbítését és törlését valamint gyakorolni a tiltakozáshoz való jogát A munkáltató köteles biztosítani a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik 11011101

Adatvédelmi incidens Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása, megsemmisítése, elvesztése, megváltoztatása esetén a munkáltatónak bejelentési kötelezettsége keletkezik a felügyelő hatóság felé. Amennyiben ez az incidens a munkavállaló személyes adatait érinti, akkor munkavállalót is értesíteni kell. 11011101

Adatvédelmi tisztviselő Az új általános adatvédelmi rendelet a belső adatvédelmi tisztviselő kinevezését a jelenlegi szabályoknál szélesebb adatkezelői körben teszi kötelezővé. Ha erre kerül sor, akkor fontos, hogy a munkáltató megbizonyosodjon arról, hogy valaki a szervezeténél vagy egy külső tanácsadó megfelelően felelősséget vállal az adatvédelmi eljárásoknak való megfelelésért, és elegendő tudással, támogatással és fennhatósággal rendelkezik ehhez. 11011101

Adatvédelmi hatásvizsgálat Az új szabályok értelmében, ha az adatkezelés valamely különösen új technológiákat alkalmazó típusa valószínűsíthetően magas kockázattal jár a munkavállalók jogaira, személyes adataira nézve, akkor a munkáltatónak az adatkezelést megelőzően hatásvizsgálatot köteles végezni. 11011101

Adatvédelmi nyilvántartás Megszűnik a NAIH hivatalos adatvédelmi nyilvántartása, a jövőben azonban minden munkáltatónak kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni. 11011101

Adatvédelmi szabályzat A munkáltató köteles adatvédelmi szabályzatokat elfogadni, amely az adatkezeléssel, a munkavállalók jogaival kapcsolatos főbb szabályokat tartalmazza. 11011101

Van jó hír is a HR számára? A szigorúbb adatvédelmi szabályok két irányúak. Keményebben léphetünk fel, ha az adatvédelmi incidens elkövetője valamelyik munkavállalónk. Gondoljunk arra, ha egy kilépő magával visz ügyfél listát elérhetőségekkel, Valamelyik munkavállaló helytelenül használja harmadik fél bizalmas információit, Vagy bizalmas információkat tölt le a rendszereinkből. 11011101

Hogyan készüljünk fel? Alakítsunk munkacsoportot. Készítsünk gap analízist azonosítsuk a meglévő rendszereinket ill. milyen személyes adatokat kezelünk. Készítsünk leltárt a HR adatainkról. Tervezzük meg az implementációs programot azonosítsuk a szükséges lépéseket. Frissítsük a munkaszerződéseket. Készítsünk, frissítsük a munkavállalók adatvédelemmel érintett szabályzatait. Vizsgáljuk felül a HR folyamatainkat és a vonatkozó szabályzatainkat. 11011101

Hogyan készüljünk fel? Dolgozzunk ki mintaválaszokat adatkérések esetére, annak érdekében, hogy a GDPRnek megfelelően kommunikáljon a társaság. Az informatikai rendszert módosítsuk, hogy könnyen kereshetőek legyenek az egyes munkavállalókra vonatkozó személyes adatok. A HR projektekben vegyük figyelembe a titoktartást. Biztosítsunk az adatvédelemmel foglalkozó munkatársak részére megfelelő adatvédelmi tréninget. Lehetőség szerint alakítsunk ki online rendszert a munkavállalók személyes adatainak tárolására és hozzáférésére. 11011101

Köszönöm a figyelmet! 101 1000010101101011101101 Amroun Rachid Service management team leader NEXON Kft.

Honnan kerítsek adatvédelmi felelőst? 101 1000010101101011101101 KOMENDA ROLAND partner, ügyvezető Fortix Consulting

GDPR

KIEMELT PARTNEREINK 101 1000010101101011101101

101 1000010101101011101101 ADATVÉDELMI TISZTVISELŐ (DPO)

TELJESKÖRŰ VÉDELEM 101 1000010101101011101101 Személyes adatok meghatározása Feldolgozás Adatvédelem jogi alapjának a meghatározása beágyazása Adatbiztonság fenntartása A személyes adat megfelelő védelme a kezelés/feldolgozás teljes ideje alatt forrás: MySec

MIKOR KÖTELEZŐ? Kötelező kinevezni, ha az adatkezelő vagy adatfeldolgozó: 101 közhatalmi szerv vagy egyéb közfeladatot ellátó szerv; 1000010101101011101101 fő tevékenységének része az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése; fő tevékenysége szerint nagy számban kezel különleges adatot vagy bűnügyi adatot.

ÚJ KIHÍVÁSOK Adatvédelmi Adatkezelési tudatosság kritériumok Az érintettek A hozzájárulás tájékoztatása feltételeinek felülvizsgálata Adatkezelés Üzleti Jogi terület jogalapja területek 101 Adatvédelmi Érintettek tisztviselő 1000010101101011101101 jogai Az érintett hozzáférési joga Adatvédelmi incidens detektálása és bejelentése Informatika Biztonság és BI Beépített adatvédelem Adatvédelmi hatásvizsgálat

1. Strukturált Elemzés 2. Hatékony Integráció 3. Fenntartható Működés GDPR ROADMAP ALAPELVEK Minden érintett bevonása Workshopok, Interakció igényéhez Strukturált és technikai Információbiztonsági és információgyűjtés más irányítási Vezetői jelentési, rendszerekbe, 101 Hatásvizsgálat fejlesztési mérési és folyamatba történő visszajelzési rendszer 1000010101101011101101 Metaadatok rendszere! (adatok az adatokról) Valós eltérések azonosítása Releváns javaslatok Projektmenedzsment, alkalmazkodva az ügyfél integráció kialakítása Új/speciális folyamatok minimalizálása, meglévők javítása A változás aktív irányítása A szereplők hatékony támogatása az átadás alatt és után Maradandó és fenntartható megoldások biztosítása

INTEGRÁLJUK MEGLÉVŐ RENDSZEREINKHEZ! 101 1000010101101011101101

GDPR TÁMOGATÁS I Adatvédelmi audit, eltérésjelentés 101 I Akcióterv elkészítése 1000010101101011101101 I Felkészülés támogatása I Teljes vagy részleges DPO feladatok ellátása

Köszönöm a figyelmet! 101 1000010101101011101101 KOMENDA ROLAND partner, ügyvezető

GDPR a hétköznapokban Mit kell tudnom nekem, az egyszerű polgárnak? 101 1000010101101011101101 dr. Horváth Katalin ügyvéd, partner

Amiről szó lesz 6 indok, amiért a felhasználóknak is érdemes a GDPR-ral foglalkozni 11011101

Az a bizonyos 6 indok 1. Egységes EU-s szabályok, egységes jogok 2. Szigorúbb szabályok és szankciók 3. Szélesebb döntési jogkör, több kontroll 4. Részletesebb tájékoztatás az adatok kezeléséről 5. Új jogok az adatkezelővel szemben 6. Nagyobb adatbiztonság 11011101

# 1. indok Egységben az erő Igaz vagy hamis? a) Megszűnik a magyar adatvédelmi törvény. b) Megszűnik a magyar adatvédelmi hatóság. c) Az EU-ban, Brüsszelben lehet csak jogokat érvényesíteni. d) A német webáruházakra is csak az EU rendelet vonatkozik. 11011101

# 2. indok - Mit érdemel az a bűnös aki megsértette az adatvédelmi jogainkat? 11011101

Igaz vagy hamis? a) A jogsértéseket nyilvánosságra hozzák. b) Az érintetteket értesítik, ha adataikat jogellenesen kezelték. c) A teljes adatbázis törlését nem rendelhetik el. d) A biztonsági mentésből nem kell törölni az adatokat. 11011101

Mit érnek a szankciók? Figyelmeztetés visszatart-e bárkit? Jogszerűség helyreállítása mit ér önmagában? A jogsértés nyilvánossága feketelistára vele Adatok, adatbázisok törlése ez már fájhat Adatkezelés korlátozása, megtiltása írott malaszt Érintett felhasználók értesítése jó tudni róla Kártérítés majd talán 5 év múlva ha bizonyítható Bírság (10/20 millió Euró vs. 20 millió HUF) húsbavágó 11011101

# 3. indok Majd én megmondom, mi lesz Igaz vagy hamis? a) Vagy az összes adatkezelési célhoz hozzájárulok, vagy egyikhez sem. b) Az anyavállalatnak adott adatkezelési hozzájárulás kiterjed az egész cégcsoportra. c) Bármelyik adattovábbítást megtilthatom. d) A nevem kezeléséhez hozzájárulhatok, de a születési időm kezelését megtilthatom. 11011101

# 3. indok Majd én megmondom, mi lesz Nagyobb választási lehetőség: Cél Adatkezelő Adat Adattovábbítás Igen Nem X X X X Bonyolult mátrix a hozzájárulásokból, sok checkbox-szal 11011101

Jogszerű-e? a) Nem járultam hozzá a marketing célú megkereséshez, ezért nem kapok hitelt. b) Nem járultam hozzá a marketing célú megkereséshez, ezért nem kapok ajándékot a vásárlásom mellé. c) Nem adtam meg a születési dátumomat, ezért nem vásárolhatok a cipő webáruházban. d) Online feliratkozás a hírlevélre, leiratkozás tértivevényes levélben. 11011101

Több kontroll A hozzájárulás megtagadása / visszavonása miatt hátrány nem érhet A hozzájárulás nem lehet a szolgáltatás igénybe vételének előfeltétele, kivéve, ha az szükséges a szolgáltatás nyújtásához Hozzájárulást bármikor visszavonhatom - ugyanolyan egyszerűen 11011101

Hogyan kérhetnek tőlem szabályosan hozzájárulást? Jogszerű-e? a) Hírlevél checkbox előre bepipálva, ha nem szeretné, majd kiikszeli. b) Majd leiratkozik, ha zavarja a hírlevél. c) Hírlevélre feliratkozási lehetőségről e-mailt küldeni. d) A webshopos vásárláshoz szükséges adatkezeléshez adott hozzájárulás vonatkozik a hírlevél küldésre is. e) Az ÁSZF elfogadása az adatkezelési szabályzat és az adatkezelés elfogadását is jelenti. 11011101

Hogyan kérhetnek tőlem szabályosan hozzájárulást? Positive opt in (hallgatás hozzájárulás) Írásban / szóban / elektronikusan / online Checkbox pipa / gombnyomás / gépelés / e-mail / stb. ÁSZF elfogadásától külön Adatkezelési szabályzat ÁSZF-től külön 11011101

Mihez kell külön hozzájárulnom? Különleges adatok kezeléséhez (faji, etnikai származás, politikai vélemény, vallás, világnézet, szakszervezeti tagság, genetikai, biometrikus, egészségügyi adatok, szexuális adatok) Infotv: írásbeli, GDPR: nem kell írásbeli, csak kifejezett Profilalkotáshoz, automatizált döntéshozatalhoz EU-n kívüli adattovábbításhoz edm küldéshez 11011101

# 4. indok Mindent tudni akarok róla Jogszerű-e? a) Adatkezelési szabályzatot kérésre egy gépi hang felolvassa a honlapon, de olvasni nem lehet. b) 112 oldalas, 6-os betűméretű adatkezelési szabályzat. c) Webáruház adatkezelési szabályzata megtekinthető személyesen az ügyfélszolgálaton. d) Cipő webáruház: tájékoztatjuk, hogy ha nem adja meg a lábméretét, akkor nem jön létre a szerződés közöttünk. 11011101

# 4. indok Mindent tudni akarok róla de emberi nyelven Tömör, könnyen hozzáférhető, könnyen érthető, világos és közérthető nyelvezettel, vizuálisan megjelenített (nem elég felolvasni) Papír alapon / elektronikusan - pl. honlapon 11011101

Miről kell még tudnom? Adathordozhatóságról Kötelező-e az adatok megadása, és ha nem adom meg, milyen következményekkel járhat? Az adatok megadása a szerződéskötés előfeltétele-e? Az adatok megadása jogszabályon vagy szerződésen alapul-e? Az adatok automatizált döntéshozatalra/profilalkotásra kerülnek-e felhasználásra - logika, következmények 11011101

# 5. indok Már jogom van hozzá Volt-e eddig ilyen jogom? a) Szolgáltató váltáskor a régi szolgáltatóm küldje meg az adataimat az új szolgáltatómnak b) Adataim teljes törlésének kérése c) Számítógéppel készített hitelbírálat helyett személyes bírálat kérése d) Személyre szabott reklámok megjelenítése ellen kifogás benyújtása 11011101

# 5. indok Már jogom van hozzá Adathordozhatóság Feledtetés (törlés) joga Automatizált döntéshozatal Profilalkotás 11011101

11011101 # 6. indok Biztosra mennek Nagyobb adatbiztonság = bizalom Részletes, szigorú előírások az adatkezelőkre az adatbiztonságra, adatvédelmi jogsértések, incidensek kezelésére vonatkozóan A tervezési, fejlesztési folyamatba kell beépíteni az adatvédelmi elveket, az adatbiztonsági követelményeket az adatvédelemnek, adatbiztonságnak a fejlesztés, tervezés aktív összetevőjének kell lennie, nem pedig egy szósznak, amivel a végén az elkészült fejlesztést leöntik.

Adatkezelő adatbiztonsági kötelezettségei: Álnevesítés, titkosítás, ahol lehetséges IT biztonság garantálása Incidens esetén gyors hozzáférés és visszaállítás biztosítása Belső szabályzatok, személyzeti, IT biztonsági, fizikai biztonsági, menedzsment intézkedések elvégzése az adatbiztonság növelésére 11011101

Köszönöm a figyelmet! 101 1000010101101011101101 dr. Horváth Katalin ügyvéd, partner katalin.horvath@sarandpartners.hu

Kerekasztal beszélgetés Milyen adatvédelmi incidenseket követhetnek el ellenem az EU rendelet szerint? 101 1000010101101011101101 Résztvevők: Domokos Márton, CMS Cameron McKenna Székely Iván, CEU Weisz János, NEXON

Köszönjük a figyelmet! 101 1000010101101011101101 Domokos Márton, CMS Cameron McKenna Székely Iván CEU Weisz János, NEXON

Köszönjük részvételüket!