GDPR, információbiztonság

2018. május 25-én egy európai adatvédelmi jogszabály lép hatályba, amely globális szinten új mércét állít fel a személyes adatok, a biztonság és a megfelelőség tekintetében.

Az általános adatvédelmi rendelet – GDPR – lényege a természetes személyek adatainak védelme és adatvédelmének lehetővé tétele. A rendelet nem határoz meg konkrét intézkedéseket, csak elvárásokat támaszt (büntetési szankciók kilátásba helyezésével), ezért egyedileg kell vizsgálni az adatkezelést és meghatározni a szükséges reakciókat a szervezet részéről.

Információbiztonság tekintetében leggyakrabban az informatikai megoldások biztonságos működtetésére törekszünk, mely során információbiztonsági stratégiától és politikától kezdve szabályzatok, adatvagyon leltárak, üzletmenet folytonossági terv (BCP), illetve katasztrófa elhárítási keretrendszer és terv elkészítése is ajánlott.

GDPR biztonság

Kiket érint a GDPR?

A közhiedelemmel ellentétben a a GDPR rendelet nem csupán a nagy- és multinacionális cégeket célozza.

Az adatvédelmi rendelet minden olyan vállalkozást érint, amely munkavállalók, vagy ügyfelek személyes adatait kezeli. Személyes adatnak minősül minden olyan adat, ami alkalmas lehet valakinek a beazonosítására. A fentiek tükrében ez szinte minden szervezetet érint, a várható büntetések pedig akár az éves forgalom 2-4%-át is elérhetik.

Akik minket választottak

Mivel tudjuk a GDPR megfelelést segíteni?

Felmérés, bevezetés és oktatás
Felmérés, bevezetés és oktatás

Tartalom:

• Adatvédelmi feltérképezés, adattábla, jogalap megállapítás
• Személyes adatok áramlásának, tárolásának felderítése, adatvédelmi hatásvizsgálat
• Akcióterv a nem megfelelő gyakorlat javítására
• Adatvédelmi szabályzat kialakítása
• Érintett tájékoztatási formanyomtatványok kialakítása
• Adatvédelmi incidenskezelés, panaszkezelési eljárás elkészítése
• Alvállalkozói, partneri szerződések kiegészítése
• Kapcsolódó eljárások módosítása, oktatások és workshopok igény esetén
• Egyéb szervezeti szabályozásokkal való összehangolás

DPO
Adatvédelmi auditok és rendszerfelügyelet, DPO

Tartalom:

• Rendszeres belső auditok, mely során a rendszer működésének felülvizsgálata megtörténik
• Rendszeres tájékoztatás a rendszert érintő NAIH állásfoglalásokról és javasolt teendőkről
• Adatvédelmi témában rendszeres konzultációk
• Új belépők, munkatársak adatvédelmi oktatása
• Panaszkezelés és incidens esetén segítünk meghatározni a szervezet oldaláról szükséges teendőket.
• Folyamatos fejlesztés, javító célzatú intézkedésekre vonatkozó javaslatok megfogalmazása, igény esetén jogi támogatás

Kihelyezett GDPR megfelelés workshop

Vállaljuk kihelyezett csoportok számára (4-20 fő) GDPR megfelelés workshopok megvalósítását, mely során a résztvevők támogatást kapnak az elvégzendő feladatokkal és azok megvalósítási gyakorlatával kapcsolatban.

Az alábbi tematika alapján kialakított workshop segítségével külső tanácsadók bevonása nagy mértékben csökkenthető, vagy bizonyos esetekben akár el is kerülhető.

  • GDPR rendelet és annak fogalmainak tisztázása
  • Jogalap alkalmazása, elvek tisztázása
  • Adatvédelem kapcsán felmerülő feladatok és elemek
  • Tájékoztatási kötelezettség
  • Incidenskezelés
  • Panaszkezelés
  • Nyilvántartásvezetés
  • Munkaviszonyhoz kapcsolódó adatkezelés sajátosságai
  • Gyakorlat – képzeletbeli vállalat adatfolyam táblájának és adatvédelmi értékelésének elkészítése.

Mikor szükséges adatvédelmi tisztviselő alkalmazása?

A GDPR bizonyos esetekben kötelezően előírja adatvédelmi tisztviselő (DPO) kijelölését és alkalmazását. Cégünk vállalja DPO biztosítását, vagy akár GDPR rendszerek, adatvédelmi folyamatok működtetését, fenntartását, felügyeletét.

A GDPR szerint az alábbi esetekben kötelező DPO alkalmazása:
  • az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
Adatvédelmi tisztviselő feladatai:
  • tájékoztat és szakmai tanácsot ad az adatkezelő vagy adatfeldolgozó, valamint azok alkalmazottai részére az adatvédelmi jogszabályok szerinti kötelezettségekkel kapcsolatban
  • ellenőrzi az adatvédelemmel kapcsolatos összes jogszabálynak való megfelelést, ideértve az auditokat, a figyelemfelkeltő tevékenységeket, valamint az adatkezelési műveletekben részt vevő személyzet képzését;
  • tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
  • kapcsolattartó pontként működik azon érintettek számára, akik személyes adataik kezelésével és jogaik gyakorlásával kapcsolatban keresik meg;
  • együttműködik az adatvédelmi hatóságokkal, és kapcsolattartó pontként működik a hatóságok felé az adatkezeléssel kapcsolatos ügyekben.

Üzenet küldése


Információbiztonság és audit

Információbiztonság témában nagyvonalakban az alábbi lépések mentén dolgozunk, mely természetesen függ a Megrendelőnél működő rendszerektől, folyamatoktól is:

  • IT biztonsági helyzetfelmérés
    Feldolgozzuk a hatályos IT biztonsági szabályozásokat, valamint a szabályozatlan, gyakorlat alapján működő IT biztonsági folyamatokat. A helyzetfelmérés keretében interjúkat kell lefolytatni, amelyeket dokumentálunk.
  • IT biztonsági politika és stratégia meghatározása és kialakítása
    Rögzítjük a szervezet információbiztonsági céljait a hatályos jogszabályok szem előtt tartásával, az információbiztonsági terület helyét és szerepét a szervezetben, valamint a célok elérésének stratégiai módszereit.
  • Információbiztonsági szabályzat elkészítése
    Rögzítjük a 2013. évi L. törvényben, és a hozzá kapcsolódó rendeletekben, illetve az egyéb vonatkozó jogszabályokban meghatározott követelményeknek megfelelő szabályokat .
  • Informatikai Üzletmenet folytonossági terv (BCP) készítése
    Meghatározzuk a szervezet üzletmenet folytonosságát biztosító folyamatait.
  • Informatikai Katasztrófa elhárítási keretrendszer és terv (DRP)
    Kialakítjuk a szervezet által elvégzendő informatikai feladatokat katasztrófa helyzetek esetén, felmérjük a szervezet által nyújtott szolgáltatásokra a már kialakított katasztrófa-elhárítási terveket, és mellékletként hozzárendeljük a keret DRP-hez.
Kérdése van, segíthetünk? Lépjen velünk kapcsolatba!
info@promanconsulting.hu
+36 30 565 9451