Érkezik az 5.25-ös nemzetközi GDPR express, kérem vigyázzanak! Blue Key Kft. Érkezik az 5.25-ös nemzetközi GDPR express, kérem vigyázzanak! Dr. Farkas Tamás adatvédelmi szakjogász Ügyvezető, Blue Key Kft. Tatabánya-Esztergom 2018.03.12.
De miért…? Tatabánya-Esztergom 2018.03.12.
Infotv. a belföldi szabályok GDPR a nemzetközi szabályok Av. Ab. képzés Infotv. a belföldi szabályok GDPR a nemzetközi szabályok Tatabánya-Esztergom 2018.03.12.
Miről hallhatnak: Az adatvédelem szereplői és kellékei Alapelvek, jogalapok felülvizsgálata Érintettek jogainak áttekintése Adatkezelő és adatfeldolgozó feladatai Partnerek adatai Munkahelyi adatkezelés Tatabánya-Esztergom 2018.03.12.
A szereplők Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza (közös adatkezelők) Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel Tatabánya-Esztergom 2018.03.12.
A szereplők kapcsolata Érintett Adatkezelő Adatfeldolgozóó Tatabánya-Esztergom 2018.03.12.
A kellékek Adatkezelés: a személyes adatokon végzett bármely művelet pl. gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, hozzáférhetővé tétel, illetve megsemmisítés Cél: adatkezelés csak meghatározott, egyértelmű és jogszerű célból történhet, nem lehet személyes adatokat céllal össze nem egyeztethető módon kezelni Jogalap: személyes adatot csak jogszerűen lehet kezelni (6 jogalap) Életciklus: gyűjtés, tárolás, felhasználás, törlés Tatabánya-Esztergom 2018.03.12.
Alapelvek felülvizsgálata MADAT Alapelvek felülvizsgálata Célhoz kötöttség, Jogszerűség Tisztességes eljárás, Átláthatóság Adattakarékosság, Pontosság Korlátozott tárolhatóság Integritás és bizalmas jelleg Elszámoltathatóság Tatabánya-Esztergom 2018.03.12.
Jogalapok felülvizsgálata (6.cikk) Hozzájárulás egy vagy több célra Szerződés teljesítéséhez szükséges, ahol az érintett az egyik fél, vagy a szerződés megkötését kezdeményezi Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges (EU vagy tagállami jogszabály) Létfontosságú érdekek védelme érdekében Közérdekből vagy közhatalom gyakorlásához (uniós vagy tagállami jogszabály) Az adatkezelő vagy harmadik fél jogos érdeke érvényesítéséhez szükséges (érdekmérlegelés) Tatabánya-Esztergom 2018.03.12.
Az érintett tájékoztatása MADAT Az érintett tájékoztatása Tájékoztatáshoz kapcsolódó jogok Tájékoztatás az adatkezelés megkezdésekor Az érintett hozzáférési joga Automatizált döntéshozatallal és a profilalkotással kapcsolatos jogok Az adathordozhatósághoz való jog Tatabánya-Esztergom 2018.03.12.
Az érintett egyéb jogai Helyesbítéshez való jog Törléshez való jog (az elfeledtetéshez való jog) Az adatkezelés korlátozásához való jog A tiltakozáshoz való jog Panasztétel, jogorvoslat Tatabánya-Esztergom 2018.03.12.
Elszámoltathatóság az adatvédelmi gyakorlatban együtt- és közreműködők szerepe, az adatvédelmi tisztviselő, hatásvizsgálat, nyilvántartások és a tartalmi követelmények, beépített- és alapértelmezett védelem, adatbiztonság (adminisztratív, fizikai, logikai), incidenskezelés (72 óra) Tatabánya-Esztergom 2018.03.12.
Együtt- és közreműködők (szolgáltatási lánc) Közös adatkezelők felelősége Adattovábbítás elvárásai Adatfeldolgozók kötelmei Szerződés adatvédelmi kellékei Al-adatfeldolgozó felelősége Megfelelőségi garanciák Tájékoztatási kötelezettség Tatabánya-Esztergom 2018.03.12.
Az adatvédelmi tisztviselő (DPO) DPO szükségessége DPO jogállása Szakmai követelmények Összeférhetetlenség DPO feladatai Az adatkezelő és az adatfeldolgozó biztosítja, hogy a tisztviselő: bekapcsolódhasson az adatvédelmi ügyekbe utasításokat senkitől ne fogadjon el, feladata kapcsán el nem bocsátható, szankcióval nem sújtható közvetlenül a legfelsőbb vezetőnek tartozzon felelősséggel érintett által közvetlenül felkereshető legyen elegendő forrásokkal rendelkezzen Fokozott titoktartási kötelezettsége van Más feladatokat is elláthat, ha nem összeférhetetlen Az adatvédelmi tisztviselő feladatai legalább: tájékoztat és szakmai tanácsot ad ellenőrzi a rendelet, más jogszabályok és belső szabályzatok megtartását (ideértve az auditot is) a személyzet adatvédelmi tudatosság-növelése és képzése segíti és nyomon követi az adatvédelmi hatásvizsgálatot együttműködik a hatósággal Tatabánya-Esztergom 2018.03.12.
Az adatvédelmi hatásvizsgálat (DPIA) Az adatkezelő végzi (kivéve…), ha az adatkezelés valószínűsíthetően magas kockázattal jár az érinttetekre nézve, különösen az alábbi esetekben: személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen alapul (profilalkotás) nagy számú különleges vagy bűnügyi személyes adatok kezelése nyilvános helyek nagymértékű, módszeres megfigyelése a NAIH jegyzékben szereplő adatkezelések során (Az adatkezelő kikérheti az érintettek véleményét.) Az adatkezelő és az adatfeldolgozó biztosítja, hogy a tisztviselő: bekapcsolódhasson az adatvédelmi ügyekbe utasításokat senkitől ne fogadjon el, feladata kapcsán el nem bocsátható, szankcióval nem sújtható közvetlenül a legfelsőbb vezetőnek tartozzon felelősséggel érintett által közvetlenül felkereshető legyen elegendő forrásokkal rendelkezzen Fokozott titoktartási kötelezettsége van Más feladatokat is elláthat, ha nem összeférhetetlen Az adatvédelmi tisztviselő feladatai legalább: tájékoztat és szakmai tanácsot ad ellenőrzi a rendelet, más jogszabályok és belső szabályzatok megtartását (ideértve az auditot is) a személyzet adatvédelmi tudatosság-növelése és képzése segíti és nyomon követi az adatvédelmi hatásvizsgálatot együttműködik a hatósággal Tatabánya-Esztergom 2018.03.12.
Adatkezelések nyilvántartása Adatkezelő (nincs NAIH szám) Adatfeldolgozó az adatkezelő neve és elérhetősége, az adatkezelő képviselőjének, az adatvédelmi tisztviselőnek a neve és elérhetősége, az adatkezelés céljai (jogalap), az érintettek és a személyes adatok kategóriái, adattovábbítás címzettjei (különösen 3. ország), 3. országba továbbítás esetén a garanciák, Az adatkategóriák megőrzési ideje, technikai és szervezési intézkedések az adatfeldolgozó neve és elérhetőségei, - adatfeldolgozó képviselőjének, az adatvédelmi tisztviselőnek a neve és elérhetőségei, A megbízó adatkezelők neve elérhetősége, az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái, 3. országba történő továbbítás címzettjei, a megfelelő garanciák leírása, technikai és szervezési intézkedések általános leírása. Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza: a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; b) az adatkezelés céljai; c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása; f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza: a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei; b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái; c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása; d) ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is. (5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést. Tatabánya-Esztergom 2018.03.12.
Incidensek nyilvántartása az adatvédelmi incidens jellege, az érintettek kategóriái és hozzávetőleges száma, az incidenssel érintett adatok kategóriái és hozzávetőleges száma; valószínűsíthető következmények adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza: a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; b) az adatkezelés céljai; c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása; f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza: a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei; b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái; c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása; d) ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is. (5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést. Tatabánya-Esztergom 2018.03.12.
Beépített- és alapértelmezett védelem Már a tervezés során és az adatkezelés folyamatában is az intézkedések és a garanciák beépítése Alapértelmezés szerint kizárólag a cél eléréséhez szükséges adatok kezelése, Alapértelmezés szerint személyes adatok, természetes személy beavatkozása nélkül, nem válhatnak hozzáférhetővé meghatározatlan számú személy számára Tatabánya-Esztergom 2018.03.12.
Adatbiztonság Adminisztratív védelem Fizikai védelem Logikai védelem Tatabánya-Esztergom 2018.03.12.
Incidenskezelés Tudomásra jutás Besorolás Intézkedések Tatabánya-Esztergom 2018.03.12.
Partnerek (honlap, webshop) Regisztráció, hírlevél ADATKEZELÉS AZONOSÍTÁSA (cél, jogalap) Közreműködők, 3. személyek Adatbiztonság Érintettek jogai Hatásvizsgálat Incidenskezelés Digitális és papír alapú dokumentumok Tatabánya-Esztergom 2018.03.12.
Partnerek (üzleti tevékenység) Árajánlat, megrendelés, szerződés, számlázás ADATKEZELÉS AZONOSÍTÁSA (cél, jogalap) Közreműködők, 3. személyek Adatbiztonság Érintettek jogai Hatásvizsgálat Incidenskezelés Digitális és papír alapú dokumentumok Tatabánya-Esztergom 2018.03.12.
Munkahelyi adatvédelem Álláspályázók Munkaviszony dokumentumai Bérszámfejtés Alkalmassági vizsgálatok Munkavállalók ellenőrzése Kamerák Beléptető rendszer Csomagvizsgálat Alkoholteszt Belső hálózat- és internethasználat, email IT eszközök (laptop, tablet mobiltelefon) GPS Tatabánya-Esztergom 2018.03.12.
Köszönöm a figyelmet! DR: FARKAS TAMÁS +36 30 397 7175 Av. Ab. képzés Köszönöm a figyelmet! DR: FARKAS TAMÁS +36 30 397 7175 tamas.farkas@bluekey.hu Tatabánya-Esztergom 2018.03.12.
Kérdések, észrevételek? Av. Ab. képzés Kérdések, észrevételek? Tatabánya-Esztergom 2018.03.12.