GDPR, Információbiztonság
GDPR, információbiztonság
2018. május 25-én egy európai adatvédelmi jogszabály lépett hatályba, amely globális szinten új mércét állított fel a személyes adatok, a biztonság és a megfelelőség tekintetében. Ezt követte a magyar törvények – köztük az Info tv. (2011. évi CXII. törvény) -jogharmonizációja.
Az általános adatvédelmi rendelet – GDPR – lényege a természetes személyek adatainak védelme és adatvédelmének lehetővé tétele. A rendelet nem határoz meg konkrét intézkedéseket, csak elvárásokat támaszt (büntetési szankciók kilátásba helyezésével), ezért egyedileg kell vizsgálni az adatkezelést és meghatározni a szükséges reakciókat a szervezet részéről.
A magyar adatvédelmi hatóság (NAIH) állásfoglalása szerint a cégeknek minden személyes adatkezelési változásnál, de legalább 3 évente felül kell vizsgálniuk adatvédelmi rendszerüket.
Információbiztonság tekintetében leggyakrabban az informatikai megoldások biztonságos működtetésének kialakítására törekszünk, mely során információbiztonsági stratégiától és politikától kezdve szabályzatok, adatvagyon leltárak, üzletmenet folytonossági terv (BCP), illetve katasztrófa elhárítási keretrendszer és terv elkészítése is ajánlott.
Kiket érint a GDPR?
A közhiedelemmel ellentétben a a GDPR rendelet nem csupán a nagy- és multinacionális cégeket célozza.
Az adatvédelmi rendelet minden olyan vállalkozást érint, amely munkavállalók, vagy ügyfelek személyes adatait kezeli. Személyes adatnak minősül minden olyan adat, ami alkalmas lehet valakinek a beazonosítására. A fentiek tükrében ez szinte minden szervezetet érint, a várható büntetések pedig akár az éves forgalom 2-4%-át is elérhetik.
Mivel tudjuk a GDPR megfelelést segíteni?
Felmérés, bevezetés és oktatás
- Adatvédelmi feltérképezés, adattábla, jogalap megállapítás
- Személyes adatok áramlásának, tárolásának felderítése, adatvédelmi hatásvizsgálat
- Akcióterv a nem megfelelő gyakorlat javítására
- Adatvédelmi szabályzat kialakítása
- Érintett tájékoztatási formanyomtatványok kialakítása
- Adatvédelmi incidenskezelés, panaszkezelési eljárás elkészítése
- Alvállalkozói, partneri szerződések kiegészítése
- Kapcsolódó eljárások módosítása, oktatások és workshopok igény esetén
- Egyéb szervezeti szabályozásokkal való összehangolás
Adatvédelmi auditok és rendszerfelügyelet, DPO
- Rendszeres belső auditok, mely során a rendszer működésének felülvizsgálata megtörténik
- Rendszeres tájékoztatás a rendszert érintő NAIH állásfoglalásokról és javasolt teendőkről
- Adatvédelmi témában rendszeres konzultációk
- Új belépők, munkatársak adatvédelmi oktatása
- Panaszkezelés és incidens esetén segítünk meghatározni a szervezet oldaláról szükséges teendőket.
- Folyamatos fejlesztés, javító célzatú intézkedésekre vonatkozó javaslatok megfogalmazása, igény esetén jogi támogatás
Mikor szükséges adatvédelmi tisztviselő alkalmazása?
A GDPR bizonyos esetekben kötelezően előírja adatvédelmi tisztviselő (DPO) kijelölését és alkalmazását. Cégünk vállalja DPO biztosítását, vagy akár GDPR rendszerek, adatvédelmi folyamatok működtetését, fenntartását, felügyeletét.
A GDPR szerint az alábbi esetekben kötelező DPO alkalmazása:
- az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
Adatvédelmi tisztviselő feladatai:
- tájékoztat és szakmai tanácsot ad az adatkezelő vagy adatfeldolgozó, valamint azok alkalmazottai részére az adatvédelmi jogszabályok szerinti kötelezettségekkel kapcsolatban
- ellenőrzi az adatvédelemmel kapcsolatos összes jogszabálynak való megfelelést, ideértve az auditokat, a figyelemfelkeltő tevékenységeket, valamint az adatkezelési műveletekben részt vevő személyzet képzését;
- tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
- kapcsolattartó pontként működik azon érintettek számára, akik személyes adataik kezelésével és jogaik gyakorlásával kapcsolatban keresik meg;
- együttműködik az adatvédelmi hatóságokkal, és kapcsolattartó pontként működik a hatóságok felé az adatkezeléssel kapcsolatos ügyekben.
Információbiztonság és audit
Információbiztonság témában nagyvonalakban az alábbi lépések mentén dolgozunk, mely természetesen függ a Megrendelőnél működő rendszerektől, folyamatoktól is:
- IT biztonsági helyzetfelmérés
Feldolgozzuk a hatályos IT biztonsági szabályozásokat, valamint a szabályozatlan, gyakorlat alapján működő IT biztonsági folyamatokat. A helyzetfelmérés keretében interjúkat kell lefolytatni, amelyeket dokumentálunk.
- IT biztonsági politika és stratégia meghatározása és kialakítása
Rögzítjük a szervezet információbiztonsági céljait a hatályos jogszabályok szem előtt tartásával, az információbiztonsági terület helyét és szerepét a szervezetben, valamint a célok elérésének stratégiai módszereit.
- Információbiztonsági szabályzat elkészítése
Rögzítjük a 2013. évi L. törvényben, és a hozzá kapcsolódó rendeletekben, illetve az egyéb vonatkozó jogszabályokban meghatározott követelményeknek megfelelő szabályokat .
- Informatikai Üzletmenet folytonossági terv (BCP) készítése
Meghatározzuk a szervezet üzletmenet folytonosságát biztosító folyamatait.
- Informatikai Katasztrófa elhárítási keretrendszer és terv (DRP)
Kialakítjuk a szervezet által elvégzendő informatikai feladatokat katasztrófa helyzetek esetén, felmérjük a szervezet által nyújtott szolgáltatásokra a már kialakított katasztrófa-elhárítási terveket, és mellékletként hozzárendeljük a keret DRP-hez.
Designabc