Általános Adatvédelmi Rendelet (GDPR) Változó szabályozás, új kihívások

Hasonló dokumentumok
Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

Vállalati adatvédelem

A GDPR elmúlt egy éve

GDPR változó szabályozás, új jogi kihívások. Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

A KKV-k felkészülésének feladatai a GDPR alkalmazására (szabályzatok, tájékoztatók, nyilvántartások és oktatások) Tóth Szilárd

Ajánlat Tervezet Tanácsadói szolgáltatások a(z) XYZ Szálloda számára GDPR felkészüléséhez

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Az IT biztonság szerepe a könyvvizsgálatban

A hulladékgazdálkodási közszolgáltatók, alvállalkozók adatvédelmi kötelezettségeinek teljesítése az Egységes Európai Adatvédelmi Rendelet

PARADIGMAVÁLTÁS AZ ÖNKORMÁNYZATI INFORMATIKÁBAN (ASP, Információbiztonság, e-közigazgatás, GDPR) Vékás Sándor, ügyvezető

Műhelymunka - Vitaindító. Tarján Gábor Budapest 11:50 13:00

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

IT biztonsági törvény hatása

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Antidotum in nuce, a GDPR felkészülési készlet. Tőzsér Zoltán CISA, CSM, MCP

Fókuszban az információbiztonság

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA

Információbiztonság fejlesztése önértékeléssel

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

I. ÁLTALÁNOS RENDELKEZÉSEK II. FOGALMAK

The Leader for Exceptional Client Service. szolgáltatások

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

SZÖLLŐSI ZOLTÁN, DELOITTE ZRT GDPR MEGFELELÉS ELSŐ TAPASZTALATAI

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Információbiztonság irányítása

A szoftverszolgáltatások kockázatai üzleti szemmel - DRAFT. Horváth Csaba PwC Magyarország

ADATKEZELÉSI TÁJÉKOZTATÓ (ÖNKÉNTES HOZZÁJÁRULÁSON ALAPULÓ ADATKEZELÉS)

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

BERCZIK SÁRI NÉNI MOZDULATMŰVÉSZETI ALAPÍTVÁNY ADATKEZELÉSI SZABÁLYZAT

KÖVETKEZŐ GENERÁCIÓS NAGYVÁLLALATI TARTALOMKEZELŐ MEGOLDÁSOK Stratis Kft. / Autonomy üzleti reggeli / Mezei Ferenc üzletág-igazgató

ADATKEZELÉSI TÁJÉKOZTATÓ

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

A Bankok Bázel II megfelelésének informatikai validációja

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Felkészülés az Európai Unió általános adatvédelmi rendeletének alkalmazására

Esettanulmány I. Egy parfümöket gyártó üzem reklámüzeneteinek küldése -hírlevélben Védelmi igény: közepes Az -címek nyilvánosságra

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

Aktualitások a minőségirányításban

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

A GDPR GYAKORLATI KÖVETKEZMÉNYEI

IRÁNYTŰ A SZABÁLYTENGERBEN

Használja a Yammert közösségi munkaterületként, amely lehetőséget ad az együttműködésre, az innovációra és a részvétel ösztönzésére.

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

DTSE. Dunaújvárosi Triatlon Sportegyesület. Carroll Bernadett GDPR adatvédelmi felmérés.

Adatkezelési tájékoztató

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Csorba Zsolt EV. Adatvédelmi Szabályzata

Adatkezelési tájékoztató

grpr.info.hu

I. MAGYAR VERSENYJOGI FÓRUM

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Vásárlóra vonatkozó melléklet

Védelmi Vonalak - Compliance

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

GDPR mit és hogyan ellenőriz a hatóság? Dr. Jóri András

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Jogalkotási előzmények

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

bármely "mi", "ránk" hivatkozás e társaságra vonatkozik.

ADATKEZELÉSI TÁJÉKOZTATÓ BESZÁLLÍTÓI ÉS ALVÁLLALKOZÓI ADATOK KEZELÉSÉRŐL

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Nemzetközi jogszabályi háttér I.

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Üzleti és projekt kockázatelemzés: a Szigma Integrisk integrált kockázatmenezdsment módszertan és szoftver

JOGI, MEGFELELŐSÉGI ELEMZÉS

ÁLTALÁNOS SZEMÉLYES ADATVÉDELMI TÁJÉKOZTATÓ MÁJUS 25.

Tudatos kockázatmenedzsment vs. megfelelés

Adatvédelmi tájékoztatás Üzletfelek adatainak kezelése

(az egyesület nevét beírni!) EGYESÜLET BELSŐ ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA

Maradandó digitális transzformációk Oracle HOUG Konferencia 2018

Keleti Arthur T-Systems Magyarország Pénzvédelem a virtualitásban: Hogyan lett az egyszerű hackerből kiberbűnöző, és miért vannak nála ügyféladatok?

Az NKI bemutatása EGY KIS TÖRTÉNELEM

Seacon Access and Role Management

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Milyen változásokat hoz a GDPR a szervezetek és vállalkozások életébe? A JOGÁSZ MEGKÖZELÍTÉSÉBEN

Üzleti folyamatmenedzsment: - káoszból rendet!

Andrews Kft. A technológia megoldás szállító. <zambo.marcell@andrews.hu>

Headline Verdana Bold

A túszul ejtett szervezet

Az Információs önrendelkezési jogról és az információszabadságról szóló évi CII. törvény, valamint az Alaptörvény IV. cikke alapján.

Adatvédelmi és adatfeldolgozási megállapodás

Átírás:

Általános Adatvédelmi Rendelet (GDPR) Változó szabályozás, új kihívások Túl a jogon Hogyan álljak neki? Mások mit tesznek?

A GDPR csak jogi probléma? 95%-a a GDPR által érintett adatköröknek IT rendszerekben (is) található. 2

A GDPR szerint jogi és adatvédelmi megfeleléséhez elengedhetetlen az információbiztonság megfelelő kialakítása Személyes adatok biztonságos kezelése Nem adjuk ki senkinek Szabályozás, folyamatok, felelősök, adat-leltár Megbízható működési környezet IT és információbiztonság Van adatkezelési tájékoztatónk és adatvédelmi szabályzatunk Vajon a rendszereink és folyamataink tudják, amit vállaltunk? 3

A GDPR a nap végén az IT folyamatokon tud elbukni Adat térkép Incidens menedzsment Hozzáférések kezelése Biztonság tudatosság Adatok védelme 4

Adatvédelem területei szerteágazóak a jogon túl is DPO CISO IT HR Ügyfélszolgálat Marketing Szerződéses partnerek 5

Hogyan álljak neki? Adatvédelmi tisztviselő Új, átfogó biztonsági fejlesztések Adatfolyam feltérképezése és naprakészen tartása Adatkezelési stratégiák módosítása Szerződések, nyilatkozatok Széleskörű kockázatelemzés Incidenskezelés Kockázatarányos védelem kialakítása 6

A teljes projekt a felméréstől a folyamatos fenntartásig tart Felmérés GAP elemzés Akció tervezés Megvalósítás Fenntartás Adat felderítés és leltár GAP elemzés Akciótervezés Megvalósítás szakmai támogatása Oktatás DPO támogatás Folyamatos fenntartás folyamatai Projekt menedzsment támogatás 7

Adatvagyon leltár Avagy tudjuk mit kell védeni? Cél: Pontosan értsük milyen jellegű személyes adatköröket kezelünk és hogyan Eszközök: Adatvagyon leltár a személyes adatokról Adatfolyam térképek, az adatgyűjtéstől a tároláson és feldolgozáson át a megőrzésig vagy megsemmisítésig Adatok és folyamatok összerendelése Adatfelderítő eszközök, DLP-k Amire nem figyelünk: Hol az adat? Ki fér hozzá? Manuális lépések, exportálás? Honnan van az adat? 8

GAP elemzés és akciótervezés Avagy mik a javítandó területek? Cél: Meghatározzuk a hiányosságokat és a kiküszöbölésükhöz vezető utat Módszerek: Feltesszük, hogy a mostaninak megfelel Kontrollok felmérése Érettségi felmérés, kockázatelemzés, RAT Akciók súlyozása, megvalósíthatósága, kockázatarányos védelem Tipikus problémák: Adatok törlése mentések? Adathordozhatóság, exportálás Jogosultságok korlátozása Incidenskezelési folyamat hatékonysága Kiszervezett tevékenységek kezelése 9

Az incidensek legfőbb hatásai pont a GDPR terjedelmét jelentik GDPR! ÜGYFÉL ADATOK SÉRÜLÉSE MUNKAVÁLLALÓI ADATOK KOMPROMITTÁLÓDÁSA BELSŐ DOKUMENTUMOK ELVESZÉSE, SÉRÜLÉSE ÜZLETI LEVELEZÉS KOMPROMITTÁLÓDÁSA SZERZŐI JOG ELTULAJDONÍTÁSA (FOLYAMATOK, TUDÁSBÁZIS) PÉNZÜGYI VESZTESÉG SZERZŐI JOG ELTULAJDONÍTÁSA (BELSŐ DOKUMENTUMOK) "RANSOMWARE" VESZTESÉGEK JÓ HÍRNÉV ELVESZTÉSE, IMÁZS VESZTÉS FELHASZNÁLÓI VESZTESÉG PER, JOGI LÉPÉSEK 22% 32% 29% 31% 17% 26% 18% 26% 21% 23% 25% 23% 21% 22% 15% 17% 12% 16% 8% 13% 4% 8% 0% 5% 10% 15% 20% 25% 30% 35% EU Világ Forrás: GSISS 2017,, http://www.pwc.com/gsiss 10

Incidenseket jelenteni kell - de miből lesz incidens? Példa: elhagyott mobil adathordozó (laptop, telefon, pendrive, SD kártya, CD papír) Milyen adatokat tartalmazott? Volt rajta személyes adat, és mennyi? Milyen védelemmel volt ellátva? Reális eséllyel sérülnek az adatalanyok jogai?! Bejelentési kötelezettség! Biztonságtudatosság! Privacy-by-design 11

GDPR Light összevontan, támogatás és oktatás mellett hatékony Kidolgozott sablonok, kérdőívek Workshopok, oktatások Saját kitöltés Csoportosan hatékony 12

Megvalósítás jogi és IT folyamatok és módszerek összehangolt alkalmazására van szükség Gyakori feladatok: Szabályzatok frissítése Hozzájáruló nyilatkozatok Jogszabályi értelmezés támogatása (összekapcsolás, profilalkotás, adatkezelési jogcímek) Incidens kezelési folyamat harmonizáció Technikai megoldások összevetése Jogosultságkezelés, hozzáférés-kezelés Alapvető IT védelmi intézkedések Visszaellenőrzés! Stratégia Szabályzatok és dokumentumok Adatvédelem a tervezésben Információbiztonság Incidenskezelés Adat életciklusának kezelése Jogosultságkezelés 13

Kulcsfontosságú a biztonságtudatosság! Elhagyjuk! Feltöltjük, kipostoljuk, megosztjuk! Látni hagyjuk, felírjuk! Nem védjük, nem zárjuk be, nem titkosítjuk! Megkerüljük! Egyszerűsítjük 48% Tart biztonságtudatossági képzést (EU) Biztonságtudatosság!= Szabályzatok ismerete Forrás: GSISS 2018 14

Tréningek és DPO feladatok Csoportosan hatékony DPO feladatköri oktatás Tudatossági képzés: Releváns Adatvédelmi szabályzatok oktatása DPO támogatása: Tájékoztatás és tanácsadás Lehetőleg élő Gyakorlati események alapján Megfelelőség monitorozása Tesztelés, visszamérés Ismétlés Ismétlés Ismétlés Biztonságtudatossági oktatás Hatáselemzések utókövetése Kommunikáció Fejlesztések véleményezése 15

Egyre jobban tudni véljük, kik a támadók? JELENLEGI MUNKAVÁLLALÓK KORÁBBI MUNKAVÁLLALÓK ISMERETLEN HACKEREK VERSENYTÁRSAK JELENLEGI SZOLGÁLTATÓK, TANÁCSADÓK, PARTNEREK SZERVEZETT BŰNÖZÉS (H)AKTIVISTÁK, AKTIVISTA SZERVEZETEK KORÁBBI SZOLGÁLTATÓK, TANÁCSADÓK, PARTNEREK BESZÁLLÍTÓK, ÜZLETI PARTNEREK EGYÉB KÜLFÖLDI SZERVEZETEK ÜGYFELEK TERRORISTÁK KÜLFÖLDI ÁLLAMI SZERVEZETEK BELFÖLDI HÍRSZERZŐ SZOLGÁLAT ISMERETLEN 14% 13% 16% 16% 11% 13% 11% 13% 8% 10% 8% 9% 5% 7% 14% 13% 26% 29% 20% 28% 19% 26% 23% 19% 20% 20% 20% 19% 19% 18% 0% 5% 10% 15% 20% 25% 30% EU Világ Forrás: GSISS 2017,, http://www.pwc.com/gsiss 16

Folyamatos monitorozás Mert a megfelelés nem csak egyszeri feladat Cél: A megfelelés fenntarthatóságának érdekében megfelelős folyamatok és módszerek definiálása Módszerek: Megfelelőség és elvárások monitorozása Partnerek ellenőrzésének folyamatai Hiányosságok visszakövetése, újratesztelése Fejlesztési módszerek és keretrendszerek módosítása, kialakítása Kockázatelemzési módszerek frissítése Szerződés és nyilatkozat sablonok alkalmazása 17

Kiberbiztosítás amit nem tudok megvédeni, azt áthárítom De nem mentesít a felkészülés alól Kiberbűnözés: több, mint 400 millió USD kár évente, folyamatosan növekvő tendencia Kockázat-alapú árazás Nehéz a kitettséget meghatározni új termékek 53% rendelkezik kiberbiztosítással Főbb előnyök Kezelhetővé teszi a kiberbiztonsági kitettséget Monetizálja a kockázatot Növeli a tudatosságot 52 % 25 % Kiberbiztosítás által fedett területek GDPR! 24% 14% 39% 39% 40% 41% 36% 26% 25% 21% 45% 36% SZABÁLYOZÓI BÍRSÁGOK ÜZLETFOLYTONOSSÁG JÓHÍRNÉV ELVESZTÉSE Világ SZELLEMI TULAJDON/ÜZLETI TITOK EU BANKKÁRTYA ADATOK SZEMÉLYES ADATOK Forrás: GSISS 2017,, http://www.pwc.com/gsiss 18

Veszélyes gyakorlat az adatvédelmi védekezési módszerek hiánya ADATVÉDELMI TISZTVISELŐ KIJELÖLÉSE Jelenleg alkalmazza 57% 64% Nem tervezi 23% 31% SZEMÉLYES ADATOKRÓL PONTOS LELTÁR VEZETÉSE 35% 53% 21% 21% SZEMÉLYES ADATKEZELÉS MINIMUMRA KORLÁTOZÁSA 40% 53% 11% 19% OKTATÁS (SZABÁLYZATOKRÓL, BIZTONSÁGTUDATOSSÁGRÓL) 39% 53% 14% 19% ADATVÉDELMI SZABÁLYZAT BETARTATÁSA HARMADIK FELEKKEL 37% 49% 22% 24% SZEMÉLYES ADATOT KEZELŐ HARMADIK FELEK AUDITJA 32% 46% 24% 25% 0% 10% 20% 30% 40% 50% 60% 70% EU Világ 0% 10% 20% 30% 40% EU Világ Forrás: GSISS 2017,, http://www.pwc.com/gsiss 19

Általában véve nem járunk nagyon elől a megfelelési projektekkel Mennyire foglalkozik az Ön cége/vezetősége a GDPR-ral? Megoldásokat valósítunk meg a megfelelés érdekében 8% 7% Ránk nem vonatkozik, nem kezelünk személyes adatot Már ismerjük a hiányosságainkat, tervezzük a megoldásokat 17% 19% Már hallottam róla, de nem tettünk még semmit A felmérés elején járunk, azonosítottuk az adatokat 23% 26% Projektet indítottunk, a projektszervezet felállt Forrás: felmérés 2017 nyara 20

Alapvető elvárások is kemény fejtörést okoznak Melyik három elvárást tekinti a legkritikusabbnak, legnehezebbnek a cége számára? Forrás: felmérés 2017 nyara 21

Köszönöm a figyelmet! Gyimesi Csaba CISA, vezető menedzser, Vállalati kockázatkezelés +36 30 221 2210 csaba.gyimesi@hu.pwc.com Ez a kiadvány kizárólag általános tájékoztatásul szolgál és nem minősül szakmai tanácsadásnak. 2017 PricewaterhouseCoopers Könyvvizsgáló Kft. Minden jog fenntartva. Ebben a dokumentumban a kifejezés a PricewaterhouseCoopers Könyvvizsgáló Kft.-re utal, egyes esetekben pedig a hálózatra vonatkozik. Minden tagvállalat önálló jogi személy. További információért, kérjük keresse fel a http://www.pwc.com/structure weboldalt.

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés