Esettanulmány I. Egy parfümöket gyártó üzem reklámüzeneteinek küldése -hírlevélben Védelmi igény: közepes Az -címek nyilvánosságra

Hasonló dokumentumok
Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

Adatvédelmi és adatfeldolgozási megállapodás

Adatvédelmi és adatfeldolgozási megállapodás

GDPR és ISO 27001, tanúsíthatóság fél évvel a GDPR életbe lépése után Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft november 06.

A belső ellenőrzési munkatervhez kapcsolódó kockázatelemzés. Varmuzsa Péter október 17.

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

A GDPR GYAKORLATI KÖVETKEZMÉNYEI

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

GDPR változó szabályozás, új jogi kihívások. Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

Jászivány Község Önkormányzata évi belső ellenőrzési terve

ÉMI-TÜV SÜD Kft. Kockázatok és dilemmák az új ISO EN 9001:2015 szabvány szellemében

A 9001:2015 a kockázatközpontú megközelítést követi

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

ADATVÉDELMI NYILATKOZAT 1, BEVEZETŐ

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

PARADIGMAVÁLTÁS AZ ÖNKORMÁNYZATI INFORMATIKÁBAN (ASP, Információbiztonság, e-közigazgatás, GDPR) Vékás Sándor, ügyvezető

grpr.info.hu

1. célhoz kötöttség elve 2. az adatkezelés jogalapja 3. adat megőrzésének ideje 4. egyértelmű, részletes tájékoztatás 5. hozzájárulás 6.

SAJÓ-BÓDVA VÖLGYE ÉS KÖRNYÉKE Hulladékkezelési Önkormányzati Társulás

A GDPR elmúlt egy éve

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

KISTARCSA VÁROS ÖNKORMÁNYZAT POLGÁRMESTERE

Fókuszban az információbiztonság

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatfeldolgozói megállapodás

A minőség és a kockázat alapú gondolkodás kapcsolata

A kockázatértékelés során gyakran elkövetett hibák. Európai kampány a kockázatértékelésről

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Kockázatmenedzsment. dióhéjban Puskás László. Minőségügyi szakmérnök Magyar Minőség Társaság

Sodródunk vagy (minőség)irányítunk?

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

DTSE. Dunaújvárosi Triatlon Sportegyesület. Carroll Bernadett GDPR adatvédelmi felmérés.

ME/74-01 Beszerzés szabályozása

DOMBÓVÁR VÁROS POLGÁRMESTERI HIVATALA

EU Általános Adatvédelmi Rendelet: Ön felkészült rá?

Dr. Imre László főjegyző

Adatkezelési tájékoztató

Jogalkotási előzmények

Az EU-s információbiztonsági szabályozás implementálása Magyarországon. Dr. Bencsik Balázs Nemzeti Kibervédelmi Intézet

Adatkezelési tájékoztató

Vállalati adatvédelem

Adatkezelési tájékoztató (hírlevélre feliratkozás esetén)

III. 3. Egységes módszertani mérés az integritás helyzetéről (integritás menedzsment értékelő lap)

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

GDPR szelídítés. Gyakorlati megfontolások a KKV szférának.

(az egyesület nevét beírni!) EGYESÜLET BELSŐ ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA

A KKV-k felkészülésének feladatai a GDPR alkalmazására (szabályzatok, tájékoztatók, nyilvántartások és oktatások) Tóth Szilárd

XXVII. Magyar Minőség Hét Konferencia

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

AZ IQ MEDIA KFT. KIADÓBAN TÖRTÉNŐ ADATKEZELÉSRŐL SZÓLÓ TÁJÉKOZTATÓ

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

Adatvédelmi, adatkezelési szabályzat és tájékoztató online felületen történő adatkezeléshez

ISO/DIS MILYEN VÁLTOZÁSOKRA SZÁMÍTHATUNK?

2015. évi ellenőrzési terv

MEGHÍVÓ ORVOSTECHNIKAI ESZKÖZÖK CE JELÖLÉSE NYÍLT KÉPZÉS

MEGHÍVÓ ORVOSTECHNIKAI ESZKÖZÖK KOCKÁZATIRÁNYÍTÁSI FOLYAMATA NYÍLT KÉPZÉS Jelentkezés

PCI DSS trendek külföldön és Magyarországon Tátrai Péter Gáspár Csaba

Adatkezelési tájékoztató. A Stúdió Liszt Zeneművészeti Kft. adatkezelési tájékoztatója

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

Adatkezelési nyilatkozat

KOCKÁZATELEMZÉS A BELSŐ ELLENŐRZÉSI VEZETŐ FELADATAI

Csanyteleki Polgármesteri Hivatal KOCKÁZATKEZELÉSI SZABÁLYZATA

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI RENDELETE ( )

ELTEC HOLDING KFT. ADATKEZELÉSI TÁJÉKOZTATÓ

AZ ÚJ EURÓPAI ADATVÉDELMI SZABÁLYOZÁS

Pázmány Law Working Papers 2016/27

GYŐRI BALETT ADATVÉDELMI SZABÁLYZAT

Általános Adatvédelmi Rendelet (GDPR) Változó szabályozás, új kihívások

E L Ő T E R J E S Z T É S

Tolna Megyei Önkormányzat Közgyűlésének december 2-i ülése 8. számú napirendi pontja

Nemzetközi jogszabályi háttér I.

A belső adatvédelmi felelősökre vonatkozó szabályok kritikai áttekintése, különös tekintettel a pénzügyi szektorra és az uniós szabályokra.

bármely "mi", "ránk" hivatkozás e társaságra vonatkozik.

Vásárlóra vonatkozó melléklet

ADATKEZELÉSI SZABÁLYZAT. Hatályos:

FŐVÁROSI ÁLLAT- ÉS NÖVÉNYKERT

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT 2018.

ADATKEZELÉSI TÁJÉKOZTATÓ május 25-étől hatályos az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR).

Dr. Sasvári Péter Egyetemi docens

STRATÉGIAI ELLENŐRZÉSI TERVE

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

ADATVÉDELMI RENDELET (GDPR) ISKOLAPSZICHOLÓGIAI KONZEKVENCIÁI

Védelmi Vonalak - Compliance

Az ISO es tanúsításunk tapasztalatai

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

ELŐLAP AZ ELŐTERJESZTÉSEKHEZ

ADATKEZELÉSI TÁJÉKOZTATÓ

Műhelymunka - Vitaindító. Tarján Gábor Budapest 11:50 13:00

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

A belső ellenőrzési minősítések szerepe, megítélése és hatása

Átírás:

Esettanulmány I. Egy parfümöket gyártó üzem reklámüzeneteinek küldése e-mail-hírlevélben Védelmi igény: közepes Az e-mail-címek nyilvánosságra kerülése ugyan nem lenne kívánatos az érintettek számára, de fenyegető sem. Más lenne azonban a helyzet, ha az Anonim alkoholisták csoportjának hírleveléről lenne szó. Incidens bekövetkezés valószínűsége: átlagosnál magasabb Harmadik felek részéről érdeklődés áll fenn, de ez nem rendkívül magas, várhatóan hekker támadást nem intéznek e miatt, de hírlevél adatok titkosítása elmaradt és a belsők számára történő felhasználást nem szabályozták Abból kell kiindulni, hogy nem kell végrehajtani hatástanulmányt 1

GDPR előtt 2

3

GDPR után 4

Következmény: jóval magasabb szintű rendszer és elemző vizsgálat, illetve több egyedi vizsgálat szükséges, magasabb a minta mértéke 5

Esettanulmány II Példa: e-kereskedőként ügyfelei törzsadatait, elérhetőségeit, banki adatait és fizetési viselkedését tárolja. Az ügyfelek adatainál, törzsadatainál és elérhetőségeinél csekély kockázatú (B) adatokról van szó, ezért nem kell velük kapcsolatban a bővített kockázatelemzéssel foglalkozni. Ehhez először például a következő kockázatokat kell azonosítani: Adatlopás idegenek által Adatokon keresztül lopás saját dolgozók által Adatvesztés a vállalaton belüli hanyag kezelés következtében Adatvesztés technikai hibák következtében E kockázatok a kiemelten jó biztonsági rendszer és a GDPR-ra kidolgozott szabályzatok és ellenőrzés miatt alacsony szinten tarthatók, ezt igazolja az elvégzett hatástanulmány is 6

GDPR előtt 7

8

GDPR után 9

Következmény: jóval magasabb szintű rendszer vizsgálat kell, illetve csak valamivel kell több egyedi vizsgálat 10

[Lessons learned.pdf] Adatáramlások kockázatalapú értékelése az adatvédelemre gyakorolt hatásokat értékelő, jól megtervezett folyamat (PIA = Protection Impact Assessment) azaz hatástanulmány alapján Adatáramlások A titoktartási és megfelelőségi kockázatok teljes körű értékeléséhez tudni kell, hogyan használják fel a (vevői és dolgozói) adatokat. Ezért az adatvédelemre gyakorolt hatásokat értékelő saját folyamatunk egyrészt az adatáramlások listájának elkészítéséből áll, mely lista teljes áttekintést ad az adatokat tároló adatforrásokról (rendszerekről és fájlokról), hogyan történik az adatok feldolgozása, kikkel osztjuk meg, és meddig őrizzük meg őket. Az adatforrások leltárba vétele a belső vezetők részvételével megtartott (+/- kétórás) workshop keretében Adatáramlás kockázatértékelése Az adatvédelemre gyakorolt hatásokat értékelő folyamat második lépésében az adatforrásokat a kapcsolódó kockázatok szerint kategóriákba (magas, közepes, alacsony) soroljuk. Az ilyen kockázatértékelés ami egy (rövid) kérdőívből áll segíti a szervezeteket adatáramlásaik rangsorolásában, és annak megállapításában, hogy a GDPR alapján kötelezőe a hatásértékelés, és erre vonatkozóan létrehozza a vizsgálati keretet. A kockázatértékelés tárgyát többek között az alábbiak képezik: - személyes adatok A kockázat romboló hatásának meghatározása Az adatáramlásokról összegyűjtött információk alapján a GDPR miatt várt módosítások alátámasztására meg kell határozni a kockázat romboló hatását, rangsorolni kell az adatáramlásokat, és meg kell határozni az intézkedéseket. Külső tanácsadó támogatást nyújt (1) a titoktartási kockázatot tartalmazó minőségi jelentés elkészítésében és (2) a mérhető romboló hatásra vonatkozó, egyúttal a vállalati stratégiába illeszkedő jelentés összeállításában, valamint (3) a saját titoktartási kockázatot kontrolláló keretrendszerből levezetett mé- Adatáramlások rangsorolása A kockázat szervezetre gyakorolt, meghatározott mértéke és az egyes adatáramlásokra megállapított kockázat(ok) alapján kijelöljük, hogy mely adatáramlásokra kell a hatástanulmányt elkészíteni, valamint hogy az értékeléseket milyen sorrendben célszerű végrehajtani. Legelőször azokra az adatáramlásokra hajtjuk végre, amelyek leginkább befolyásolják a szervezetet az adott kockázat romboló hatása alapján. Hatástanulmány végrehajtása Külső tanácsadó kidolgozott egy részletes Excel-táblát az adatáramlásoknak az érintett természetes személyekre gyakorolt hatásának értékeléséhez szükséges kérdőív alapján. Ez a kérdőív lefedi a GDPR legtöbb elemét (a kockázatértékelésnél átfogóbb), és főleg zárt végű kérdéseket (igen/ nem, több lehetséges válasz, értékelő skála stb.) tartalmaz, és így felhasználóbarát eszközzé teszi a PIA-értékelést a vállalkozás számára. Igény esetén a PIA-kérdőív módosítható vagy integrálható meglévő kockázatértékelésekkel (pl. BIA vagy ISRA). Intézkedések meghatározása A PIA-értékelés végrehajtásán túl meghatározzuk a PIA-értékelés során megaállapított természetes személyekre gyakorolt kockázatok mérsékléséhez szükséges intézkedéseket is. Ezután ezt az intézkedési listát felosztjuk a kockázatok szervezetre gyakorolt romboló hatása alapján, és először a legmagasabb kockázatokat mérsékeljük. 11

történik. Adatáramlási eszközeink segítségével érvényesíthetők a workshop eredményei. - speciális adatok - adatvolumen - a folyamat érzékenysége rőszámok meghatározásában, ami tájékoztat a kockázat vállalatra gyakorolt romboló hatásáról, és ahol lehet, illeszkedik a stratégiai célokhoz. 12

[the_accountatnts_gdpr_toolkit.pdf 6-7. oldal] A könyvelő GDPR intézkedési terve Mit tehet most a felkészülés érdekében Elindulás: Szervezetének mostanra már el kellett kezdenie a GDPR irányelvnek való megfeleléssel kapcsolatos munkát. Kezdjen neki a lehető leghamarabb, mert a megfelelőség eléréséig az út sok időt vesz igénybe. Adatvédelmi felelős (DPO = Data Protection Officer) kiválasztása: Az adatvédelmi felelős kijelölése jogszabály által előírt kötelezettség. Gondosan mérlegelni kell, hogy melyik dolgozót nevezik ki erre a feladatra és annak végrehajtására, ill. végrehajtatásra. Például az összes dolgozónak tudnia kell, kinek jelezze első körben az adatokhoz kapcsolódó szabályszegéseket. Vállalati adatok szétválasztása: Nagy mennyiségű adatot kezelő szervezetként a könyvelőirodáknak ismerniük kell a birtokukban lévő és általuk kezelt adatokat. Ennek keretében különbséget kell tenniük a személyes adatok, az ügyféladatok és a dolgozói adatok között, valamint ezek megszerzési módjai között. Ennek egyik lehetséges módszere, hogy teljes körűen dokumentálja az iroda a vállalkozás birtokában lévő információkat, megadja, ezek honnan származnak, hol és hogyan történik a tárolásuk, hogyan dolgozza fel őket, és kikkel osztja meg azokat például. Olyan adatok tartoznak ide, mint az elérhetőségek vagy az üzleti bankszámlával kapcsolatos információk. Vállalati adatok kezelése: a vállalkozásoknak megfelelően kell kezelni adataikat, ami azt jelenti, hogy legyenek könnyen törölhetők az adatok teljes mértékben az összes rendszerből és biztonsági mentésből az elfelejtéshez való jognak megfelelően, kérésre adatokat kell tudni szolgáltatni a vállalkozás birtokában lévő adatokról, tudni kell, hogyan használják fel ezeket az adatokat, és ismerni kell a magánszemélyek saját adataikra vonatkozó jogait. Vállalati eljárások aktualizálása: a vállalkozásoknak aktualizálni kell a mondj el mindent, mondd gyorsan és mondd az igazat elv megsértésének feltárására és jelentésére vonatkozó eljárásaikat. Ezen kívül felszólíthatják a vállalkozást az adatvédelemre gyakorolt hatások értékelésére (DPIA = Data Privacy Impact Assessment). A legjobb gyakorlat szerint teljes körű DPIA hajtandó végre a magas kockázatú feldolgozási tevékenységekre vonatkozóan. Ilyen például, ha a feldolgozó tevékenység az ügyféladatok védelmére vonatkozó szabály megsértésének magas kockázatát eredményezheti. Adatok vizsgálata: a vállalkozás személyes adatok kezelésére vonatkozó jelenlegi gyakorlatának alapos felülvizsgálata jó módszer arra, hogy megértsük, mit kell tenni a GDPR érdekében. Ez magában foglalja a DPIA-értékelés végrehajtását, a titoktartással kapcsolatos feljegyzések és levelezés áttekintését, annak ellenőrzését, hogy a személyes adatokat védő meglévő folyamatok biztonságosak-e, és hogy vállalkozásunk teljesíti-e a magánszemélyek jogait. Ez azt jelenti, hogy az adatok formátuma biztosítja a más adatfeldolgozónak való könnyű továbbíthatóságot (adatok hordozhatóságát). A cégeknek azt is át 13

kell tekinteniük, hogyan keresik meg a magánszemélyeket, hogy megszerezzék hozzájárulásukat adataik felhasználásához, és hogyan kezelik ezeket a hozzájárulásokat. A vállalati kiber-tér védelmének áttekintése: értékelni kell a jelenlegi kiber-biztonsági módszereket, mert előfordulhat, hogy ezek is tökéletesítésre szorulnak. Meglévő standardok vizsgálata: a GDPR-ra való felkészülés nem feltétlenül jelenti azt, hogy ezt nulláról kell kezdeni, értékelheti a már meglévő biztonsági előírásokat, hogy némi előnyre tegyen szert, mielőtt a megfelelőség egyéb részletei ismertté válnak. A biztonsági előírások jelenthetnek ISOszabványokat, például a személyes azonosításra alkalmas adatokra vonatkozó 27018-as szabvány vagy az információbiztonság kezelésére vonatkozó 27001-es szabvány. Teljes vállalkozásra kiterjedő megközelítés: fontos, hogy az előírásokat a vállalat egészében alkalmazni kell, mert az ügyfelek érdeklődhetnek olyan részletek felől, hogy mit tesznek önök a megfelelés érdekében. Felkészültségével a vállalkozás azt közvetíti ügyfelei felé, hogy komolyan veszi a GDPR-ra való felkészülést, és ezzel a vállalat professzionalizmusát tudja demonstrálni. Az ügyfeleket tájékoztatni kell arról, illetve emlékeztetni kell arra, hogy nekik is vannak a GDPR-hoz kapcsolódó kötelezettségeik. 14