EU általános adatvédelmi rendelet Fábián Péter

Közelmúltig... Egyetlen EU Irányelv (Directive 95/46/EC) Fragmentált implementációk Idejétmúlt: nincs készen Cloud, Big Data & Social-re Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Confidential Internal 2

Miért van rá szükség 63% úgy véli, hogy a személyes adatok rendelkezésre bocsátása nagy horderejű kérdés 70% aggódik amiatt, hogy a vállalatok esetlegesen az adatgyűjtés eredeti céljától eltérő célokra használják fel az adatokat 90% szerint fontos, hogy valamennyi tagországban ugyanolyan adatvédelmi jogok érvényesüljenek és ugyanolyan szintű adatvédelem valósuljon meg 18% gondolja úgy, hogy teljes mértékben ellenőrizni tudja az általa online rendelkezésre bocsátott információk további felhasználását Source - Eurobarometer on Data Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Confidential

EU Digital Single Market Initiative 2 jogalokotási javaslat GDPR: General Data Protection Regulation (Általános Adatvédelmi Rendelet) DPD: Data Protection Directive Általános szabályozás Igazságszolgáltatási rendőrségi szabályozás személyes adatok kicserélésére Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Confidential Internal 4

EU Global Data Protection Regulation Céljai Egyén adatvédelmui jogainak kiterjesztése, pontosítása Üzlet támogatása egységes szabályozás megteremtésével Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Confidential Internal 5

EU Global Data Protection Regulation Rendelet, nem ajánlás Adatvédelem egységesítve, egyetlen törvényben 2 év átmeneti idő után mind a 28 tagállamban azonnal érvénybe lép Semmilyen helyi törvénykezési folyamatot nem igényel Minden külföldi cégre vonatkozik amely EU rezidensek adataival foglalkozik Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Miért jó az állampolgároknak Felejtés joga (right to be forgotten) Beleszólás az adatfelhasználásba Könnyebb hozzáférés saját adatainkhoz Informálási kötelezettség (adatszivárgás esetén) Adatvédelem First Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Confidential

http://www.consilium.europa.eu/en/policies/data-protection-reform/data-protection-regulation-infographics/ 7/9/2015 Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Internal 11

Fogalmak érintett : azonosított vagy közvetlen vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon különösen egy azonosító számra, tartózkodási információra, online azonosító jelekre vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén azonosítható természetes személy; személyes adat : az érintettre vonatkozó bármely információ; adatkezelő : az a természetes vagy jogi személy, hatóság, ügynökség vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait, feltételeit és módját; adatfeldolgozó : az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében; http://register.consilium.europa.eu/doc/srv?f=st+5853+2012+init&l=hu 7/9/2015 Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Internal 12

32. cikk Az adatkezelés biztonsága 1. Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülménye és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben: a) a személyes adatok álnevesítését és titkosítását; b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét; c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. http://eur-lex.europa.eu/legal-content/en/txt/?uri=consil:st_5419_2016_init 7/9/2015 Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Internal 13

25. Beépített és alapértelmezett adatvédelem 25.1Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket például álnevesítést hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. 25.2Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára. 7/9/2015 Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Internal 14

Értesítési kötelezettség 33. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak (1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk szerint illetékes felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a felügyeleti hatóság értesítésére 72 órán belül nem kerül sor, mellékelni kell a késedelem igazolására szolgáló indokokat is. 34. Cikk Az érintett értesítése a személyes adatok megsértéséről (1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. 7/9/2015 Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Internal 15

Miért kellene ezzel törődnöm? 83. cikk A közigazgatási bírságok kiszabására vonatkozó általános feltételek 4. Az alábbi rendelkezések megsértése a (2) bekezdéssel összhangban legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható;.. 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 és 43. 5. Az alábbi rendelkezések megsértése a (2) bekezdéssel összhangban legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni. az adatkezelés elvei ideértve a hozzájárulás feltételeit az 5., 6., 7. és 9. cikknek megfelelően; b) az érintettek jogai a 12 22. cikknek megfelelően; 6. A felügyeleti hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása az e cikk (2) bekezdésével összhangban legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni. Copyright 2014, Oracle and/or its affiliates. All rights reserved. Oracle Confidential

Releváns Oracle megoldások Database security Intézkedés Mit Megoldás elemei Védekezés adatlopás,visszaélés személyes adatokkal ellen -Tárolt adatok védelme -backup titkosítás -tesztrendszerek adattartalma -data in transit védelem -DBA-k elleni védelem Advanced Security -Transparent Data encryption -Data Redaction (- Key Vault) Database Vault (Audit Vault) Database Firewall Data Masking Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Releváns Oracle megoldások Database Security intézkedés Mit Megoldás elemei Személyes adat hozzáférés monitorozása, naplózása Ki mikor fért hozzá személyes adatokhoz Database Vault Audit Vault Database Firewall Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Releváns Oracle megoldások Identity & Access Management Intézkedés Mit Megoldás elemei Védekezés belsősök ellen Csak authentikált felhasználók érhessenek el adatokat Szükséges és elégséges jogosultságok elve Privilegizált felhasználók kezelése Identity Governance Privileged User Management Access Management Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Releváns Oracle megoldások Identity & Access Management Intézkedés Mit Megoldás Elemei Jelszólopások megelőzése Két v többfaktorú azonosítás Access Management Suite plus Copyright 2014, Oracle and/or its affiliates. All rights reserved.