Modern Vállalkozások Programja Hogyan érinti a cégeket az európai adatvédelmi rendelet (GDPR)? Mi a feladat? Vékás Sándor információbiztonsági auditor Közinformatika Nonprofit Kft.

Modern Vállalkozások Programja A GDPR megfelelésről általában Az EU Általános Adatvédelmi Rendelete 2018. május 25. napjától kötelező érvényű minden személyes adatot kezelő szervezetre Mi a dolgunk ezzel? „Át kell világítanunk magunkat” és el kell érni a teljes megfelelést Meglévő szabályzatainkat, szerződéseinket, adatbázisainkat át kell vizsgálnunk és módosítani kell a nem megfelelőségeket Új adatvédelmi szabályozási környezetet kell kialakítanunk Alkalmazásaink működését is a rendeletnek megfelelővé kell tenni Folyamatosan fenn kell tartanunk a megfelelőséget és jelentenünk kell az incidenseket a NAIH felé – vagy DPO (adatvédelmi tisztviselő) alkalmazásával, vagy anélkül A kötelezettségek megsértése (pl. jogellenes adatkezelés) 20 000 000 euró összegig terjedő, vagy az előző pénzügyi évben generált teljes forgalom 4%-át kitevő bírsággal járhat. 2019.04.11.

Mi a kkv vezető feladata? Felmérés – Személyesadat-térkép Modern Vállalkozások Programja Mi a kkv vezető feladata? Felmérés – Személyesadat-térkép Egy „szép nagy közös, mindent tartalmazó” személyesadat-térképen (listán) fel kell tüntetni a szervezet által kezelt valamennyi személyes adatot amit kezelünk. Ehhez ki kell gyűjteni a személyes adatokat - az összes élő szerződésünkből (munkavállalói, tanulmányi, alvállalkozói, beszállítói, partneri, kereskedelmi, végfelhasználói, adatkezelői… ) az összes munkafolyamatunkból (akkor is ha az eddig íratlan volt!), szabályzatunkból, bizonylatunkról az összes alkalmazásunkból, adatbázisunkból, nyilvántartásunkból (Excel is, papír is). Fontos! Az adatátadásokat és az adatátvételeket is fel kell térképezni! 2019.04.11.

Modern Vállalkozások Programja Mi a kkv vezető feladata? Felmérés – Személyesadat Besorolás és kezelés A kigyűjtött személyes adatokat a kezelés jogcíme szerint be kell sorolnunk. Ez kétféle lehet: Jogos érdek (mert kell a tevékenységünkhöz) Valamilyen KONKRÉT jogszabály írja elő (vagy éppen tiltja) A besorolás lehet eltérő az eddig gondoltaktól, ennek megfelelően lehetséges, hogy majd: Nem kell semmit sem tennünk vele, mert eddig is jól kezeltük az adott személyes adatot Módosítanunk kell a kezelés jogcímét, esetleg annak a szabályozását is Törölnünk kell, mert tiltott, redundáns, vagy felesleges (legyen az adatbázisban, szerződésben, vagy folyamatban) A teendők tételes listája (mivel mit kell csinálnunk?) összeáll és mehet az akciótervbe. 2019.04.11.

Mi a kkv vezető feladata? Felmérés – ADAtvédelmi hatáselemzés Modern Vállalkozások Programja Mi a kkv vezető feladata? Felmérés – ADAtvédelmi hatáselemzés Kockázatelemzést kell végeznünk a személyesadat-térkép bizonyos, törvényben meghatározott kritériumok alapján kiválasztandó soraira, értelmezve a bizalmasság, sértetlenség és a rendelkezésre állás szempontjai alapján Ehhez fel kell mérnünk a lehetséges kockázatokat Ki kell alakítanunk és dokumentálnunk kell egy módszertant (pl. ISO 29134) A valószínűség és kárérték szorzatok alapján be kell sorolnunk az adott személyes adat elemre vonatkozó kockázatot (pl. kritikus, közepes, elfogadható) Cselekvési tervet kell készítenünk legalább a kritikus kockázatokra, amely által az értéknek javulnia kell A cselekvési tervet végre kell hajtani határidőre A hatásvizsgálat cselekvési terve is megy az akciótervbe. 2019.04.11.

Modern Vállalkozások Programja Mi a kkv vezető feladata? Felmérés – TOVÁBBI KÖVETELMÉNYEK ELEMZÉSE, GAP Végig kell menni a jogszabály valamennyi követelményén Adatvédelmi tisztviselő szükséges-e? Beépített Adatvédelem és Alapértelmezett Adatvédelem szabályait meg kell határoznunk (csak az arra jogosult lássa a személyes adatokat) Tájékoztatási kötelezettséget típusonként meg kell határoznunk (kiket kell tájékoztatni és miről?) Hozzájárulástípusok kezelésének meghatározása (milyen hozzájárulástípusok kellenek?) Adatalanyi jogok kezelésének meghatározása (folyamat) Profilalkotás és személyes adatok automatizált kezelésének szabályozása Adatkezelési tevékenységek nyilvántartás kereteinek előírása Adatvédelmi hatásvizsgálatok szempontjainak meghatározása Adatbiztonsággal kapcsolatos dokumentációk megfelelő? (informatikai biztonság) Személyes adatok megsértésének kezelésére vonatkozó eljárásrend Adatfeldolgozók/kiszervezett tevékenységet végzők szerződései megfelelőek? A fejezet sorai által generált feladatok is mennek az akciótervbe. 2019.04.11.

Mi a kkv vezető feladata? Modern Vállalkozások Programja Mi a kkv vezető feladata? MEGvalósítás Ha az előzőkből táplálkozó akcióterv elkészült, már csak meg kell valósítani valahogy… Megcsináljuk az átsorolásokat, módosításokat és törléseket Szerződésmódosítás Folyamatmódosítása Adatbázis vagy alkalmazás módosítás (jogosultságkezelés átalakítása) Kialakítjuk az új adatvédelmi szabályozást az előző dián felsorolt szempontok szerint Végrehajtjuk a kockázatelemzés cselekvési tervét 2019.04.11.

Mi a kkv vezető feladata? Folyamatos működtetés – változás esetén Modern Vállalkozások Programja Mi a kkv vezető feladata? Folyamatos működtetés – változás esetén Ha „DPO tartására” kötelezettek vagyunk akkor a DPO feladata, ha nem akkor az ügyvezető megbízottja feladata minden egyes változás esetén azaz akkor - ha új szerződést kötünk, vagy változtatunk, vagy megszűnik vagy ha új folyamatot, szabályzatot, vagy bizonylatot vezetünk be vagy ha új mező kerül valamelyik adatbázisunkba aktualizálni a személyesadat-térképet és a megváltozott elemekre „lefuttatni” a hatásvizsgálatot meghatározni a végrehajtatni a cselekvési tervet 2019.04.11.

Mi a kkv vezető feladata? Folyamatos működtetés – INCIDENS esetén Modern Vállalkozások Programja Mi a kkv vezető feladata? Folyamatos működtetés – INCIDENS esetén Ha „DPO tartására” kötelezettek vagyunk akkor a DPO feladata, ha nem akkor az ügyvezető megbízottja feladata minden egyes változás esetén azaz akkor - Minden GDPR rendelet megsértésével kapcsolatos incidens jelentése a NAIH felé 72 órán belül (ha nem sikerül az újabb incidens és a bírság alapja) 2019.04.11.

Mi a kkv vezető feladata? Folyamatos működtetés – fejlesztés ESETÉN Modern Vállalkozások Programja Mi a kkv vezető feladata? Folyamatos működtetés – fejlesztés ESETÉN Ha „DPO tartására” kötelezettek vagyunk akkor a DPO, ha nem akkor az ügyvezető megbízottját - be kell vonni minden olyan fejlesztésbe, ahol felmerül a személyes adatok kezelése vagy továbbítása. A DPO lehet belső ember, vagy külső támogató. Alkalmazásának keretei eltérnek minden ismert módtól, a rendelet maga szabályozza azt. 2019.04.11.

Menni fog egyedül? MIK A LEHETŐSÉGEK? Modern Vállalkozások Programja Hogyan? Menni fog egyedül? MIK A LEHETŐSÉGEK? 0. Ha nincs igény rá 25.000Ft-os szupercsomag Mi ezt ingyen adjuk… Kisvállalkozásoknak, szakmabelieknek és „bátraknak” KÖZINFORMATIKA GDPR TEMATIKUS PACK azaz a„csináld magad!” csomag Dokumentumcsomag Forgatókönyv (használati útmutató) 8 óra telefonos segítség Csak akkor ajánljuk, ha van belső ember, aki kis segítséggel megcsinálja! 2. Ha nincs rá ember KÖZINFORMATIKA GDPR TEMATIKUS PACK DPO Advanced szolgáltatással 12 hónapos emelt szintű DPO tevékenység keretében bevezetjük együtt Nagyobb piaci szereplőknek, önkormányzatoknak, állami szervezeteknek, egyházaknak, pártoknak, stb. Egyedi ajánlat kitöltött GDPR kérdőív alapján a felmérésre, majd annak eredménye alapján a megvalósításra (de soha nem egyben!) 2019.04.11.

Ha jön a feljelentés/bejelentés és a NAIH… Modern Vállalkozások Programja Mitől kell félnünk? Ha jön a feljelentés/bejelentés és a NAIH… Az ügyek nagy része feljelentés, kisebb része saját incidens bejelentés alapján indul el. Minden más jogi eljárással szemben azonban itt a vizsgálat szervezetnek van bizonyítási kötelezettsége – nincs ártatlanság vélelme! Nekünk kell bizonyítani, hogy megfeleltünk, de legalábbis a felmért és kezelt kockázatokkal arányosan, megettünk mindent, hogy a megfeleljünk. Ezért kiemelten fontos a belső adminisztráció és a nyilvántartások. Ezéret kiemelten fontos a kockázatok kezelése. 2019.04.11.

Ki a felelős? Mi a helyzet az alvállalkozókkal, megbízottakkal? Modern Vállalkozások Programja Mitől kell félnünk? Ki a felelős? Mi a helyzet az alvállalkozókkal, megbízottakkal? Érintett: akinek a személyes adatairól van szó Adatkezelő: aki az érintett személyes adatait jogszerűen kezeli Adatfeldolgozó: aki az adatkezelővel lévő adatfeldolgozói szerződése alapján, az érintett tudtával, annak személyes adatokait az előre rögzített módon, időtartamban és céllal feldolgozza Az adatfeldolgozó és annak valamennyi - az adatkezelő által átadott adattal kapcsolatba kerülő - alvállalkozója jogsértéséért az adatkezelő és a feldolgozó(k) egyetemlegesen felelősek. Pl. Önkormányzat<->Vagyonkezelő, vagy Egyetem<->Alapítvány. Itt érdekes kérdés, hogy vajon a bírság „közigazgatási mértékű” lesz- e (20M euró vagy Ft)? 2019.04.11.

Ki a felelős? Mi a helyzet az általunk használt szoftverekkel? Modern Vállalkozások Programja Mitől kell félnünk? Ki a felelős? Mi a helyzet az általunk használt szoftverekkel? A GDPR nagyon komoly feltételeket szab az adatkezelés menetét illetően, amelyek természetesen a személyes adatokat kezelő szoftverek felhasználói mellett a fejlesztőikre, üzemeltetőikre is vonatkoznak. A személyes adatokat tartalmazó alkalmazások fejlesztőinek gondoskodniuk kell a követelményeknek való megfelelésről. Például a pszeudoanonimizálás, azaz álnevesítés lehetőségéről, az érintetti jogok érvényesítésének lehetőségeiről (pl. megismeréshez való jog, vagy törléshez való jog) és az adatok rendelkezésre állásának, bizalmasságának és sértetlenségének folyamatos garantálásáról (információbiztonság). Ha egy szoftver fejlesztője nem tudja a GDPR megfelelést garantálni, a szoftvert használni nem szabad. A felelősség a használóé! 2019.04.11.

KÖSZÖNÖM A FIGYELMET! Vékás Sándor Keresse a KÖZINFORMATIKA Kisvállati GDPR Tematikus Pack v4.0-t! Vékás Sándor IT Biztonsági auditor KÖZINFORMATIKA Nonprofit Kft. www.kozinformatika.hu gdpr@kozinformatika.hu