Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaGréta Diána Nagyné Megváltozta több, mint 5 éve
1
Érkezik az 5.25-ös nemzetközi GDPR express, kérem vigyázzanak!
Blue Key Kft. Érkezik az 5.25-ös nemzetközi GDPR express, kérem vigyázzanak! Dr. Farkas Tamás adatvédelmi szakjogász Ügyvezető, Blue Key Kft. Tatabánya-Esztergom
2
De miért…? Tatabánya-Esztergom
3
Infotv. a belföldi szabályok GDPR a nemzetközi szabályok
Av. Ab. képzés Infotv. a belföldi szabályok GDPR a nemzetközi szabályok Tatabánya-Esztergom
4
Miről hallhatnak: Az adatvédelem szereplői és kellékei
Alapelvek, jogalapok felülvizsgálata Érintettek jogainak áttekintése Adatkezelő és adatfeldolgozó feladatai Partnerek adatai Munkahelyi adatkezelés Tatabánya-Esztergom
5
A szereplők Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ Adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza (közös adatkezelők) Adatfeldolgozó: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel Tatabánya-Esztergom
6
A szereplők kapcsolata
Érintett Adatkezelő Adatfeldolgozóó Tatabánya-Esztergom
7
A kellékek Adatkezelés: a személyes adatokon végzett bármely művelet pl. gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, hozzáférhetővé tétel, illetve megsemmisítés Cél: adatkezelés csak meghatározott, egyértelmű és jogszerű célból történhet, nem lehet személyes adatokat céllal össze nem egyeztethető módon kezelni Jogalap: személyes adatot csak jogszerűen lehet kezelni (6 jogalap) Életciklus: gyűjtés, tárolás, felhasználás, törlés Tatabánya-Esztergom
8
Alapelvek felülvizsgálata
MADAT Alapelvek felülvizsgálata Célhoz kötöttség, Jogszerűség Tisztességes eljárás, Átláthatóság Adattakarékosság, Pontosság Korlátozott tárolhatóság Integritás és bizalmas jelleg Elszámoltathatóság Tatabánya-Esztergom
9
Jogalapok felülvizsgálata (6.cikk)
Hozzájárulás egy vagy több célra Szerződés teljesítéséhez szükséges, ahol az érintett az egyik fél, vagy a szerződés megkötését kezdeményezi Az adatkezelő jogi kötelezettségének teljesítéséhez szükséges (EU vagy tagállami jogszabály) Létfontosságú érdekek védelme érdekében Közérdekből vagy közhatalom gyakorlásához (uniós vagy tagállami jogszabály) Az adatkezelő vagy harmadik fél jogos érdeke érvényesítéséhez szükséges (érdekmérlegelés) Tatabánya-Esztergom
10
Az érintett tájékoztatása
MADAT Az érintett tájékoztatása Tájékoztatáshoz kapcsolódó jogok Tájékoztatás az adatkezelés megkezdésekor Az érintett hozzáférési joga Automatizált döntéshozatallal és a profilalkotással kapcsolatos jogok Az adathordozhatósághoz való jog Tatabánya-Esztergom
11
Az érintett egyéb jogai
Helyesbítéshez való jog Törléshez való jog (az elfeledtetéshez való jog) Az adatkezelés korlátozásához való jog A tiltakozáshoz való jog Panasztétel, jogorvoslat Tatabánya-Esztergom
12
Elszámoltathatóság az adatvédelmi gyakorlatban
együtt- és közreműködők szerepe, az adatvédelmi tisztviselő, hatásvizsgálat, nyilvántartások és a tartalmi követelmények, beépített- és alapértelmezett védelem, adatbiztonság (adminisztratív, fizikai, logikai), incidenskezelés (72 óra) Tatabánya-Esztergom
13
Együtt- és közreműködők (szolgáltatási lánc)
Közös adatkezelők felelősége Adattovábbítás elvárásai Adatfeldolgozók kötelmei Szerződés adatvédelmi kellékei Al-adatfeldolgozó felelősége Megfelelőségi garanciák Tájékoztatási kötelezettség Tatabánya-Esztergom
14
Az adatvédelmi tisztviselő (DPO)
DPO szükségessége DPO jogállása Szakmai követelmények Összeférhetetlenség DPO feladatai Az adatkezelő és az adatfeldolgozó biztosítja, hogy a tisztviselő: bekapcsolódhasson az adatvédelmi ügyekbe utasításokat senkitől ne fogadjon el, feladata kapcsán el nem bocsátható, szankcióval nem sújtható közvetlenül a legfelsőbb vezetőnek tartozzon felelősséggel érintett által közvetlenül felkereshető legyen elegendő forrásokkal rendelkezzen Fokozott titoktartási kötelezettsége van Más feladatokat is elláthat, ha nem összeférhetetlen Az adatvédelmi tisztviselő feladatai legalább: tájékoztat és szakmai tanácsot ad ellenőrzi a rendelet, más jogszabályok és belső szabályzatok megtartását (ideértve az auditot is) a személyzet adatvédelmi tudatosság-növelése és képzése segíti és nyomon követi az adatvédelmi hatásvizsgálatot együttműködik a hatósággal Tatabánya-Esztergom
15
Az adatvédelmi hatásvizsgálat (DPIA)
Az adatkezelő végzi (kivéve…), ha az adatkezelés valószínűsíthetően magas kockázattal jár az érinttetekre nézve, különösen az alábbi esetekben: személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen alapul (profilalkotás) nagy számú különleges vagy bűnügyi személyes adatok kezelése nyilvános helyek nagymértékű, módszeres megfigyelése a NAIH jegyzékben szereplő adatkezelések során (Az adatkezelő kikérheti az érintettek véleményét.) Az adatkezelő és az adatfeldolgozó biztosítja, hogy a tisztviselő: bekapcsolódhasson az adatvédelmi ügyekbe utasításokat senkitől ne fogadjon el, feladata kapcsán el nem bocsátható, szankcióval nem sújtható közvetlenül a legfelsőbb vezetőnek tartozzon felelősséggel érintett által közvetlenül felkereshető legyen elegendő forrásokkal rendelkezzen Fokozott titoktartási kötelezettsége van Más feladatokat is elláthat, ha nem összeférhetetlen Az adatvédelmi tisztviselő feladatai legalább: tájékoztat és szakmai tanácsot ad ellenőrzi a rendelet, más jogszabályok és belső szabályzatok megtartását (ideértve az auditot is) a személyzet adatvédelmi tudatosság-növelése és képzése segíti és nyomon követi az adatvédelmi hatásvizsgálatot együttműködik a hatósággal Tatabánya-Esztergom
16
Adatkezelések nyilvántartása
Adatkezelő (nincs NAIH szám) Adatfeldolgozó az adatkezelő neve és elérhetősége, az adatkezelő képviselőjének, az adatvédelmi tisztviselőnek a neve és elérhetősége, az adatkezelés céljai (jogalap), az érintettek és a személyes adatok kategóriái, adattovábbítás címzettjei (különösen 3. ország), 3. országba továbbítás esetén a garanciák, Az adatkategóriák megőrzési ideje, technikai és szervezési intézkedések az adatfeldolgozó neve és elérhetőségei, - adatfeldolgozó képviselőjének, az adatvédelmi tisztviselőnek a neve és elérhetőségei, A megbízó adatkezelők neve elérhetősége, az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái, 3. országba történő továbbítás címzettjei, a megfelelő garanciák leírása, technikai és szervezési intézkedések általános leírása. Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza: a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; b) az adatkezelés céljai; c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása; f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza: a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei; b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái; c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása; d) ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is. (5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést. Tatabánya-Esztergom
17
Incidensek nyilvántartása
az adatvédelmi incidens jellege, az érintettek kategóriái és hozzávetőleges száma, az incidenssel érintett adatok kategóriái és hozzávetőleges száma; valószínűsíthető következmények adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. E nyilvántartás a következő információkat tartalmazza: a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; b) az adatkezelés céljai; c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése; d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása; f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (2) Minden adatfeldolgozó és – ha van ilyen – az adatfeldolgozó képviselője nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról; a nyilvántartás a következő információkat tartalmazza: a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei; b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái; c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása; d) ha lehetséges, a 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása. (3) Az (1) és (2) bekezdésben említett nyilvántartást írásban kell vezetni, ideértve az elektronikus formátumot is. (5) Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. E nyilvántartás lehetővé teszi, hogy a felügyeleti hatóság ellenőrizze az e cikk követelményeinek való megfelelést. Tatabánya-Esztergom
18
Beépített- és alapértelmezett védelem
Már a tervezés során és az adatkezelés folyamatában is az intézkedések és a garanciák beépítése Alapértelmezés szerint kizárólag a cél eléréséhez szükséges adatok kezelése, Alapértelmezés szerint személyes adatok, természetes személy beavatkozása nélkül, nem válhatnak hozzáférhetővé meghatározatlan számú személy számára Tatabánya-Esztergom
19
Adatbiztonság Adminisztratív védelem Fizikai védelem Logikai védelem
Tatabánya-Esztergom
20
Incidenskezelés Tudomásra jutás Besorolás Intézkedések
Tatabánya-Esztergom
21
Partnerek (honlap, webshop)
Regisztráció, hírlevél ADATKEZELÉS AZONOSÍTÁSA (cél, jogalap) Közreműködők, 3. személyek Adatbiztonság Érintettek jogai Hatásvizsgálat Incidenskezelés Digitális és papír alapú dokumentumok Tatabánya-Esztergom
22
Partnerek (üzleti tevékenység)
Árajánlat, megrendelés, szerződés, számlázás ADATKEZELÉS AZONOSÍTÁSA (cél, jogalap) Közreműködők, 3. személyek Adatbiztonság Érintettek jogai Hatásvizsgálat Incidenskezelés Digitális és papír alapú dokumentumok Tatabánya-Esztergom
23
Munkahelyi adatvédelem
Álláspályázók Munkaviszony dokumentumai Bérszámfejtés Alkalmassági vizsgálatok Munkavállalók ellenőrzése Kamerák Beléptető rendszer Csomagvizsgálat Alkoholteszt Belső hálózat- és internethasználat, IT eszközök (laptop, tablet mobiltelefon) GPS Tatabánya-Esztergom
24
Köszönöm a figyelmet! DR: FARKAS TAMÁS +36 30 397 7175
Av. Ab. képzés Köszönöm a figyelmet! DR: FARKAS TAMÁS Tatabánya-Esztergom
25
Kérdések, észrevételek?
Av. Ab. képzés Kérdések, észrevételek? Tatabánya-Esztergom
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.