A GDPR (General Data Protection Regulation) hatályba lépése joggal nevezhető a legjelentősebb változásnak az európai uniós adatvédelmi szabályozás elmúlt 20 évében, amely rendkívüli jelentőséggel bír az adatkezelő szervezetek napi üzletmenetében egyrészt adat- és információbiztonsági, másrészt jogi szempontból.

A GDPR a 95/46/EK Adatvédelmi Irányelv helyébe lépve a 21. századi digitális környezet követelményeinek megfelelő szabályozás, amely az összes európai uniós tagországban, minden személyes adatot kezelő szervezet számára kötelező érvényű, 2018. 05. 25-től lépett életbe.

„Az új szabályok biztosítják, hogy a személyes adatok védelmének alapjoga mindenki számára garantált legyen. Az általános adatvédelmi rendelet segíti majd az EU-ban a digitális egységes piac élénkítését azáltal, hogy világos és egységes szabályokra alapozva erősíti a felhasználók online szolgáltatásokba vetett bizalmát és a vállalkozások jogbiztonságát” – 16/1403 EB közlemény

 

Kiket érint a rendelet?

Minden olyan adatkezelő vagy adatfeldolgozó szervezetet, mely az Európai Unió területén (és bizonyos esetekben azon kívül is: pl. felhőtárhely-szolgáltató) személyes adatot nyilvántartási rendszer részeként kezel, ami alapján dolgozója, vásárlója vagy ügyfele egyértelműen beazonosítható (pl. név, cím, TAJ, adószám, e-mail cím és jelszó, bankszámlaszám, IP cím, képmás).

Azon szervezeteknek, melyeknek már eddig is szigorú adatvédelmi vagy információbiztonsági szabványoknak kellett megfelelni (pl.: PCI DSS, HIPAA, ISO27001), nem okozhat gondot a GDPR megfelelés. A kérdés, hogy az Ön szervezete ezek közé tartozik-e? Ha nem, a lehető leghamarabb el kell kezdeni a felkészülést, mert a GDPR be nem tartása, a személyes adatokat érintő adatvédelmi incidens minden eddiginél nagyobb gazdasági és reputációbeli kárt fog okozni. A maximálisan kiszabható bírság ugyanis 20 millió euróig, vagy az éves (globális, csoportszintű) árbevétel 4 százalékáig (illetve a kettő közül a magasabb összegig) terjedhet.

Az eddigi szabályozásoktól eltérően az adatszivárgással, adatvesztéssel járó incidenseket (még az alacsony kockázatúakat is) 72 órán belül jelenteni kell az arra kijelölt felügyeleti hatóságnak (Magyarországon ez a Nemzeti Adatvédelmi és Információszabadság Hatóság), tehát nincs már lehetőség az incidensek tudatos elhallgatására, anonimizálására.

 

Mik a felkészülés és megfelelés legfontosabb lépései?

    • Adatkezelési folyamatok feltárása, jogalapjának vizsgálata, kezelt személyes adatok kockázati besorolása
    • Adatkezelési eljárásrendek felülvizsgálata, hiányzó eljárásrendek esetén azok kidolgozása
    • Adatvédelmi tisztviselő kijelölése szervezeten belül, vagy külsős megbízás alapján (amennyiben szükséges)
    • „Privacy by design” – az adatbiztonságnak már az adatkezelési eljárások kidolgozásakor fontos szempontnak kell lennie
    • Adatvédelmi hatásvizsgálatok, kockázatelemzés elvégzése
    • Adatvédelmi incidensek megelőzése – titkosítás, biztonsági mentés, IT infrastruktúra védelme
    • Képesség adatvédelmi incidens felismerésére, kezelésére, kommunikálására

 

Nem sprint, hanem maraton

Nem lehet eléggé hangsúlyozni, hogy a GDPR megfelelés egy állandó folyamat, és nem egy egyszeri alkalommal letudható vizsga. Az előbbiekben felsorolt tényezőket folyamatosan felül kell vizsgálni, finomhangolni, és ha kell, a Rendeletnek megfelelően változtatni. Ezért különösen fontos, hogy már most megfelelő személyi és technológiai erőforrásokat tervezzünk a feladatok elvégzésére, ha szükséges, külső szakértő bevonásával.

 

Miben támogatjuk az Ön szervezetét?
Abban, amihez a legjobban értünk: információs értékei védelmében.

SZOLGÁLTATÁSOK

 

GDPR-ral kapcsolatos szolgáltatásaink

    • Átfogó adatvédelmi auditálás
    • Adatkezelési folyamatok felülvizsgálata
    • Adatkezelési folyamatok és adatvagyon-leltár feltárása, nyilvántartások elkészítése
    • Szükség esetén adatvédelmi hatásvizsgálatok elvégzése
    • A szervezet adatkezelésben résztvevő informatikai rendszereinek információbiztonsági érettségének felmérése, hiányzó képességek kiépítése
    • Dokumentációk és szabályzatok adatvédelmi értékelése
    • Adatvédelmi incidensek detektálás, incidenskezelési folyamat definiálása
    • Kiszervezett adatvédelmi tisztviselő (DPO) szolgáltatás

Kérjen ajánlatot, vagy visszahívást konzultációra.

AJÁNLATKÉRÉS

A weboldalra vonatkozó adatkezelési tájékoztató (DDP05) tartalmát megismertem és elfogadom, továbbá önkéntes és kifejezett hozzájárulásomat adom a személyes adataim a nevezett cél(ok)ból történő kezeléséhez.*
Adatkezelési tájékoztató

A hírlevelekre vonatkozó adatkezelési tájékoztató (DDP04) tartalmát megismertem és elfogadom, továbbá önkéntes és kifejezett hozzájárulásomat adom a személyes adataim a nevezett cél(ok)ból történő kezeléséhez, így hírlevelek küldéséhez.
Adatkezelési tájékoztató

Az értékesítési tevékenységre vonatkozó adatkezelési tájékoztató (DDP06) tartalmát megismertem és elfogadom, továbbá önkéntes és kifejezett hozzájárulásomat adom a személyes adataim a nevezett cél(ok)ból történő kezeléséhez, így kereskedelmi ajánlat küldéséhez.
Adatkezelési tájékoztató

Töltse le partnerünk, a Sophos Ltd. GDPR felkészülési segédletét!

LETÖLTÉS