GDPR - Adatvédelmi rendelet az Európai Unióban

Az új, európai adatvédelmi szabályozás 2018-ban válik kötelezővé, de a felkészülést már most el kell kezdeni ahhoz, hogy a megfelelőség biztosított legyen.

    

Szeretnék többet tudni a rendeletről és ehhez segítséget kérni szakemberektől a felkészüléshez.


A rendelet magyar nyelven elérhető itt.

FELKÉSZÍTÉS

FELKÉSZÍTÉS

Bármilyen szervezetet vagy céget fel tudunk készíteni az adatvédelmi rendeletnek való megfelelőséghez. Képzett, tapasztalt, minősített szakembereink a jog és az informatika világából érkezve a legjobb megoldásokat tudják szállítani.

OKTATÁS

OKTATÁS

Az képzetlen humán erőforrás a leggyengébb láncszem egy szervezet biztonságát tekintve. A rendelettel kapcsolatos tudatosító, továbbá általános információbiztonsági oktatásokkal hozzá tudunk járulni szervezete védelmi szintjének növeléséhez. Legyen naprakész és felkészült, hogy ne érje váratlan meglepetés!

ADATVÉDELEM

ADATVÉDELEM

Ahhoz, hogy adatai biztonságban legyenek, elengedhetetlen a rendszerekben tárolt adatok felmérése, osztályozása és besorolása. Gondoskodjon az ügyfelek adatairól, ne tegye ki őket felesleges támadásnak. Az adat érték, egy cég esetében pedig komoly üzleti és anyagi kockázat, melyet megfelelő módon védeni kell. Tudunk segíteni a rendszerben tárolt adatok vizsgálatában és a szükséges jogi, informatikai követelmények kialakításában.

ETIKUS HACKING

ETIKUS HACKING

Cégünk Etikus Hacking tevékenysége egy olyan komplex megoldást kínál, mely magába foglalja a teljes körű sérülékenység-menedzsmentet, minőségbiztosítást, incidenskezelést. A hagyományos információbiztonsági megoldásokat a mai kor növekvő biztonsági igényeinek megfelelően a teljes körű és incidens alapú megközelítéssel ötvözve dolgoztunk ki ezt a 3 pilléren álló menedzsment módszert.

ÜZEMELTETÉS

ÜZEMELTETÉS

Cégek, szervezetek számára vállalunk biztonságos rendszerek tervezését, üzemeltetését, támogatását. Több éves szakmai múlttal, fehér kalapos minősített etikus hackerekkel. Professzionális adatvédelmi és titkosítási megoldásokkal megvédjük érzékeny, bizalmas céges és ügyfél adatait, így Önnek ezzel nem kell foglalkoznia.

DOKUMENTÁLÁS

DOKUMENTÁLÁS

A megrendelő igénye szerint elvégezzük az elektronikus információs rendszerek teljes audit vizsgálatát, a belső szabályozási környezet kialakítását, dokumentációk készítését, a jogi/szabályozási megfelelőség vizsgálatát. A megfelelő dokumentált működési folyamatok elengedhetetlenek egy cég számára az üzletmenet folytonosság és a biztonság szempontjából.

Cégünkről

SysOp-Sec Kft.

A SysOp-Sec Kft. képzett, minősített információbiztonsági szakemberekből, informatikai mérnökökből áll.

Számos kormányzati vagy létfontosságú információs rendszer esetében végeztünk sérülékenységvizsgálatot, forensic vizsgálatot, informatikai incidens elemzést, malware analízist.
• teljes spektrumú információbiztonsági szakértői tevékenységet informatikai fejlesztési projekteknél
• hathatós segítséget nyújtottunk meglevő rendszerek biztonságos üzemeltetéséhez
• számos informatikai vészhelyzetet kezeltünk, ill. oldottunk meg
• cyber-incidensek esetére készítettünk forgatókönyveket
• oktatási anyagokat készítettünk, majd tömegesen oktattunk felhasználókat, üzemeltetőket és felsővezetőket több intézményben és egyetemen
• számos nemzeti és nemzetközi partnerszervezetben delegált tagként részt vettünk jogszabály alkotási, technológiai szabványügyi és kibervédelmi szakmai támogató munkában
• közreműködő tagként, majd tervezőként vettünk részt a NATO kibervédelmi hadgyakorlatain, ahol elsőként értük el, hogy lehívják a NATO Alapokmány 5. cikkelyt
• L/2013 törvény szerinti szakhatósági feladatokat láttunk el.

Kapcsolat

  • Cégnév: SysOp-Sec Kft.
  • Adószám: 23780507-2-41
  • 1027 Budapest, Erőd utca 16.

A rendeletről

Az új adatvédelmi rendelet célja, hogy új, jobban alkalmazható, az egész unióban használható keretszabályozást adjon. Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011 évi CXII törvényt (továbbiakban: Infotörvény) váltja majd fel. Az Infotörvény ugyanakkor nem veszíti el teljes mértékben a jelentőségét, hiszen bizonyos területek (például a munkavállalói adatok kezelése vagy a bűnügyi személyes adatok kezelése – erkölcsi bizonyítványhoz pl.) tagállami szabályozás alatt maradnak, így elképzelhető az is, hogy ebben az uniós szabálynál szigorúbb előírásokat vezetnek be. Jelenleg több vonatkozó jogszabály is ellentétes az Infotörvénnyel. Az új adatvédelmi rendelet hatályba lépésével az ellenmondásokat is fel kívánja oldani a jogalkotó.

Az új rendelet szerint, ha egy terméknek, szolgáltatásnak lehet adatvédelmi vonatkozása, akkor már a fejlesztés során ezzel foglalkozni kell. Ez a szabály komoly adminisztrációs kötelezettséget is jelent, hiszen dokumentálni kell, hogy az adatvédelmi szempontokat megfelelően figyelembe vették. A jogszabály általánosságát mutatja, hogy arról, hogy ezt hogyan kell megtenni, nincs benne szó.

A bírságok tekintetében nagyon szigorú az új szabályozás. Az árbevételhez igazítja a bírságok összegét, ez a jelenleginél jelentősen magasabb büntetéseket jelent majd. Egyenlőre nem tudni, mi lesz azzal a jelenleg hatályos szabállyal, amely szerint a kkv-k első jogsértés esetén nem bírságolhatók adatvédelmi ügyekben.

Az adatvédelmi felelős létét a magyar szabályozás egyelőre csak speciális szektorokban teszi kötelezővé, az új rendelet viszont e tekintetben a kezelt adatok érzékenysége alapján tesz különbséget a cégek között. Amennyiben 250 fő foglalkoztatottnál kevesebb van a cégnél (kkv), akkor továbbra sem lesz kötelező adatvédelmi felelőst kinevezni, de a rendelet tesz kivételt: az érzékeny adatokat kezelő szervezeteknél mérettől függetlenül létre kell hozni az adatvédelmi felelősi pozíciót. Az adatvédelmi felelős kötelezettségeiről a rendelet nem ejt szót, csupán a cég felelősségét szögezi le. Céges belső szabályozással kell tehát majd megoldani, hogy adott esetben az adatvédelmi felelős felelősségre vonható legyen.

Mivel az új jogszabály szerint az adatvédelemért maga a cég felelős, sokkal szigorúbb és jobban átgondolt belső adatvédelmi szabályokra lesz szükség, amelyek alapján a személyes adatokkal jellemzően dolgozó marketing és humán erőforrás osztályok eljárhatnak.

A rendelet bevezeti a profilalkotás fogalmát. A jelenlegi szabályozás szerint ha egy cég ügyfélprofilt készít marketing célból vagy egyéb okból, az érintett hozzájárulását elegendő az általános szerződési feltételek (ÁSZF) között feltüntetni. Kivételt csak az jelent, ha a profil készítése kifejezetten kell a szerződés teljesítéséhez, de ez esetben is elegendő a szerződésbe belefoglalni, hogy ügyfélprofil készül majd. Az új szabályozásban az ügyfélprofil készítésére külön rendelkezések vonatkoznak, az minden esetben az érintett személy kifejezett hozzájárulásához lesz kötve!

Amennyiben egy cég ügyfelei adatait bármilyen módon automatikusan feldolgozza, köteles lesz az ügyfelet tájékoztatni arról, hogy milyen logika szerint történik az adatfeldolgozás. A rendelet nem fejti ki, hogy ennek a tájékoztatásnak mennyire kell részletesnek lennie, pedig ezen algoritmusok működése a legtöbb esetben az üzleti titok körébe esik.

A rendelet rögzíti, hogy adatkezeléssel kapcsolatban mely esetekben kell előzetes hatásvizsgálatot készíteni. Ez a jelenleg hatályos szabályok szerint egyetlen esetben sem kötelező, ennek ellenére azért sok cég elkészíti. Az előzetes hatásvizsgálat készítése újabb komoly adminisztrációs tesz majd a cégek vállára, így lassíthatja az üzleti folyamatokat. Arra vonatkozóan, hogy mit kell tartalmaznia a dokumentációnak egyenlőre nincs minta.

A új rendelet rögzíti, hogy a fogyasztókat közérthetően és személyre szabottan kell tájékoztatni az adatkezelésről. Ez a rendelkezés például egy gyerekek számára üzemeltetett honlap adatvédelmi tájékoztatójával szemben egészen más követelményeket jelent mint egy autóalkatrészeket áruló webshop adatvédelmi tájékoztatójával szemben. Nem célszerű az általános formulák használata.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szigorúbb más országok hatóságainál, a magyar cégeknek a hatóság felé jelenleg igen jelentős dokumentációs kötelezettségük van. Ezen kötelezettségeket az új jogszabály nem rögzíti. A sokak által nem kedvelt adatvédelmi nyilvántartás megszűnik, nem kell bejelentkezni a hatósághoz. Helyette házon belül nyilván kell tartani valamennyi adatkezelést. A belső adatkezelési nyilvántartás fontos dokumentációs kötelezettség lesz az új jogszabály hatálybalépését követően. Minden típusú adatkezelést nyilván kell majd tartani – az incidenseket, a munkatársak adatait és azt, hogy az adatokat adott esetben kinek adták tovább (pl. könyvelő, bérszámfejtés), valamint az üzleti adatokat. A belső adatkezelési nyilvántartásra vonatkozóan még nincsenek pontosított követelmények. Amíg nincs európai szintű ajánlás, addig a cégeknek kell kidolgozni, hogyan hozható létre olyan nyilvántartás, ami még nem bénítja meg a belső folyamataikat.

A hatóságok manapság már elfogadóbbak az un. felhőszolgáltatókkal kapcsolatban (ha felhőszolgáltatót használ valaki, számos érzékeny adatot átad!), és a szolgáltatók is jobban felkészültek adatvédelmi válaszokkal. Az Infotörvény a felhőszolgáltatókra vonatkozóan nem tartalmaz szabályozást, azokra jelenleg a NAIH állásfoglalásai vonatkoznak. Az új rendelet a szabályozás körébe vonja ezen típúsú szolgáltatókat. A jogszabály alapján a felhőszolgáltató jogilag adatfeldolgozónak számít, a rendelet pedig felsorolja az adatfeldolgozói szerződés kötelező elemeit. A kötelező elemek között szerepel például az utasításadási jog az adott szolgáltató irányába, a szolgáltatóra vonatkozó auditjog.

Az adatkezelés céljának meghatározása - a cégek jelenleg szokásos gyakorlata alapján - számos esetben hiányzik. Sokszor minden lehetséges adatot gyájtogetnek a vállalatok, „majd jó lesz valamire” alapon. Erre a jövőben nem lesz lehetőség, az új rendelet ugyanis szigorú követelményeket ír elő az adatkezelés céljának meghatározásával kapcsolatban.

Forrás: http://www.jogiforum.hu/hirek/37116

Kapcsolat