GDPR

Adatvédelem az Európai unióban.

Kapcsolatfelvétel

Adatvédelmi alapok

Ha valaki még nem hallott volna róla: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. Törvény értelmében 2012 január elsején létrejött a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). „A Hatóság feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése.

Ezt a feladatát egyrészt tájékoztatással (pl. nyilvános konferenciákkal, kiadványokkal) másrészt ellenőrzésekkel és akár büntetésekkel végzi.
Viszonylag friss, de igen jelentős előrelépés az Európai Parlament és a Tanács 2016/679 (GDPR) rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról.

A rendelet szorosabban felügyeli az EU-s állampolgárok adatainak más, EU-n kívüli országokba való küldését. Az érintetteknek egyértelmű hozzájárulást kell adniuk az adatkezelés folyamatához, és könnyebben elérhetik azok módosítását, a tárolás megszüntetését.

A GDPR minden cégre vonatkozik, amelyik európai állampolgárok személyes adatait kezeli. Ha személyes adat kompromittálódik, a GDPR értelmében az adott cég köteles az adat tulajdonosát, vagyis a felhasználót is értesíteni.

Miben tudunk segíteni?

  • GDPR hiányosságok keresése (gap analysis)
  • Adatklasszifikáció
  • Adatvagyon elemzés
  • Kockázatelemzés
  • ISO 27001 alapú ISMS (információbiztonság-irányítási rendszer) kialakítása/javítása
  • Kibervédelmi ellenőrzés (pl. etikus hack)
  • Szabályzatok: IBSZ, adatkezelési szabályzat, jogosultságkezelés, BCP/DRP, …
  • Adatvédelmi hatásvizsgálat (DIA)
  • Adatgazdák munkaköri leírása
  • Tréningek
  • Incidens-kezelési rendszer kialakítása/javítása
  • Műszaki ellenőrzések, módosítási javaslatok
  • Adatvédelmi tisztviselői munkák ellátása
  • Vezetői elkötelezettség
  • Alapfelmérés: mennyiben érint bennünket a GDPR
  • Adatvédelmi tisztviselő kijelölése, képzése
  • Érettségi fok vizsgálata: mi a jelenlegi helyzetünk az adatvédelem területén?
  • Adatleltár (adatvagyon, adatklasszifikáció, adatfolyamatok)
  • GDPR megfelelőségi hiányosságok elemzése (kockázatelemzés)
  • Korrekciós lépések, hiányosságok pótlása
  • Képzések, tréningek
  • Incidens-management tesztelése (bejelentés is)
  • Monitorozás, audit, folyamatos fejlesztés
  • +1: Minden lépést, eredményt igazolni! („elszámoltathatóság”)
Feladatlista a NAIH honlapján

Érdemes itt megemlíteni azt is, hogy a rendelet komolyságát a büntetési tételek igen jelentős mértékével is igyekeztek hangsúlyozni: „A… rendelkezések megsértését … legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.” Ez azért már eléggé súlyosan érinthet minden érintettet!

Komplex kérdéskör

Szervezési és szabályozási feladatok

Szoftveres és hardveres megoldások

Akár 20 000 000 EUR bírság

Néhány további jogszabály

  • 1995. évi CXIX. törvény
  • 1998. évi VI. törvény
  • 2008. évi XLVIII. törvény
  • 2012. évi C. törvény
  • 2013. évi L. törvény
  • 2015. évi CCXXII. törvény
  • 84/2012. (IV. 21.) Korm. rendelet
  • 2009. évi CLV. törvény

Ugyanakkor a jogszabályoknak való megfelelés csak az egyik része a feladatnak: a technikai lehetőségek optimális alkalmazása nagyon sokat segíthet a korrekt adatkezelés kialakításában.

Feladatok

Szervezési és szabályzási feladatok

  • jogászokkal, adatvédelmi szakértőkkel felmérni a cég üzleti igényeihez szükséges adatok körét, azok alkalmazási területeit, a tárolásuk szükséges idejét,
  • osztályozni kell az adatokat,
  • kialakítani az adatvédelmi szabályozási rendszert, külön kitérve az elektronikus és nem elektronikus adatok biztonságos kezelésére
  • a feladatok és felelősségek megfelelő megosztását,
  • az elektronikus aláírások kezelését
  • a transzparens adatkezelés kereteit, és
  • a teljes cégre kiterjedő (külső és belső) átfogó tájékoztatási rendszert.

Az informatikai szakértőikkel meg kell találni az optimális szoftveres és hardveres megoldásokat

  • a titkosításokat,
  • a tűzfalak megfelelő beállításait,
  • a hozzáférési jogosultságok folyamatosan aktualizált kezelését,
  • az adatbiztonság megoldása adattovábbítás közben,
  • az adatbiztonság megoldása az archivált adatok között,
  • az időszakos ellenőrzések rendszerét és metodikáját.

A sophos segíti a gdpr felkészülését, és minimálisra csökkenti a bírság kockázatát három lépésben:

1:

Állítsa le az adatvesztés legfőbb okát

  • Tartsa biztonságban adatait akkor is, ha ellopták vagy elvesztette az eszközét
  • Állítsa meg a ransomware és egyéb malware támadásokat

2:

Állítsa meg a fenyegetéseket még idejében

  • Állítsa meg az adatlopást még a hálózatában
  • Titkosítsa automatikusan az érzékeny adatokat tartalmazó emaileket

GDPR szolgáltatásaink:

3:

Állítsa meg az emberi mulasztásokat

  • Tárolja biztonságban a fájljait és eszközeit akkor is, ha azok hálózatán kívül vannak.
  • Csak az engedélyezett címzettek férhetnek hozzá az érzékeny fájlokhoz

DPO szolgáltatás

Etikus Hack

GDPR érettségi fok felmérés

GDPR GAP elemzés

DPIA elvégzése

Adatvédelmi incidens támogatás

Itt vagyunk, hogy segítsünk!

  • GDPR hiányosságok keresése (gap analysis)
  • Adatklasszifikáció
  • Adatvagyon elemzés
  • Kockázatelemzés
  • ISO 27001 alapú ISMS (információbiztonság-irányítási rendszer) kialakítása/javítása
  • Kibervédelmi ellenőrzés (pl. etikus hack)
  • Szabályzatok: IBSZ, adatkezelési szabályzat, jogosultságkezelés, BCP/DRP
  • Adatvédelmi hatásvizsgálat (DIA)
  • Adatgazdák munkaköri leírása
  • Tréningek
  • Incidens-kezelési rendszer kialakítása/javítása
  • Műszaki ellenőrzések, módosítási javaslatok
  • Adatvédelmi tisztviselői munkák ellátása