Adatvédelmi Portfólió
Napjainkban az információbiztonság vált a legfontosabb biztonsági/védelmi kérdéssé a szervezetek üzleti folyamataiban.
Az adatvédelmi kultúra csak lassan képes felzárkózni a robbanásszerű technológiai lehetőségekhez és a velük járó kihívásokhoz. Az olyan kérdésekre sem könnyű választ találni, hogy egy szervezeten belül ki az adatkezelő, ki az adatfeldolgozó, mi számít személyes adatnak, mi az információ forrása. A helyzet pedig egyre összetettebbé válik, ha vizsgálni kezdjük, hogy van-e jogalapja az adatkezelésnek, érvényesül-e a folyamatokban a célhoz kötött adatkezelés elve, az adatkezelésben érintettek megfelelően vannak-e tájékoztatva illetve a nemzetközi jogszabályoknak megfelelően került-e továbbításra az adat külföldre.
Az információ védelme mára olyan sokrétű szakterületté vált, mely a problémák megelőzése, elhárítása, valamint a jogszabályi megfelelés külön erre specializálódott szakértelmét követeli meg.
A személyes adatokat kezelő szervezeteknek meg kell felelniük a hatályos magyar jogszabályoknak, azaz „az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény” (továbbiakban Infotv.) rendelkezése alapján kezelhetik a személyes adatokat. Emellett az Európai Unió kihirdette az új uniós adatvédelmi szabályozást, az „Európai Parlament és a Tanács 2016/679 rendeletét” (Továbbiakban: GDPR). Az Európai Uniós szabályozás hazánkban is kötelezően alkalmazandó. A szabályozás a gyakorlatban 2018. májusában lép életbe, a személyes adatokat kezelő szervezeteknek az új, egységes követelmények teljesítésére való felkészülést azonban már most ajánlott elkezdeni.
Azért is fontos megfelelni a szabályozásnak, mert a GDPR rendelkezései szerint a független felügyeleti hatóság vizsgálatot folytathat, figyelmeztetheti az adatkezelőt vagy az adatfeldolgozót, ha annak az adatkezelési tevékenysége sérti a rendelet előírásait. Továbbá utasíthatja az adatkezelőt vagy adatfeldolgozót, hogy adatkezelési műveleteit hozza összhangba a rendelet előírásaival (meghatározott módon és határidőn belül). Amennyiben az adatkezelés nem az említett rendeletek szerint történik, a felügyeleti hatóság ellenőrzése során adatvédelmi szabálytalanságról tesz jelentést és utasítja az adatkezelőt vagy adatfeldolgozót, hogy tájékoztassa az érintettet. A felügyeleti hatóság jogköréből adódóan, átmenetileg vagy akár véglegesen korlátozhatja az adatkezelést. A személyes adatokat kezelő szervezeteknél nem-megfelelőség esetén a jelenleg is érvényben levő Infotv. szerint az adatvédelmi hatóság által kiszabható közigazgatási bírság terjedelme 100.000 – 20.000.000 Ft.
A GDPR-ban foglaltak szerint a felügyeleti hatóság által kiszabható közigazgatási bírság mértéke akár 20.000.000 EUR vagy az előző pénzügyi év éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeg is lehet.
Adatvédelmi megoldások
A KÜRT Adatvédelmi Kompetencia Központja megoldást nyújt ügyfeleinek adatvédelemi kockázataik minimalizálására,
a biztonságos és hatékony szervezeti működés kialakítására.
1. Adatvédelmi tanácsadás
A KÜRT Zrt. adatvédelmi szakértői bármely adatvédelemmel kapcsolatos probléma megoldásában rendelkezésre állnak.
Vállalják a szervezet hatósági (NAIH), illetve egyéb adatvédelemmel kapcsolatos auditra való felkészítését.
A megoldáscsomag része továbbá a hazai és a külföldi adatkezeléssel (GDPR) kapcsolatos problémák, szabályzatok, nyilatkozatok és dokumentációk elkészítése.
A tanácsadással külön figyelmet fordítunk:
- a személyes adatok törlésére vonatkozó szabályozásokra,
- a közhiteles adatok kezelésére, valamint
- az adatvédelmi hatásvizsgálat elvégzésre (DPIA).
Ha az adatkezelés valamely típusa — figyelemmel annak jellegére, hatókörére, körülményére és céljaira — valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett műveletek a személyes adatok védelmét hogyan érintik.
2. Adatvédelmi helyzetfelmérés:
Az Európai Bizottság Adatvédelmi Munkacsoportja által javasolt módszertan alapján kidolgozott hatásvizsgálat segít ügyfeleink számára szemléltetni az általuk kezelt adatok:
- minőségét,
- mennyiségét,
- a szervezeten belüli jelenlegi adatvédelmi állapotokat,
az elvárt, illetve javasolt adatvédelmi követelményeket, valamint adminisztratív és technikai védelmi intézkedéseket.
A hatásvizsgálat, elvégzése hozzájárul a jogszabályi megfeleléshez. Segítségével könnyebben megelőzhetőek/ feltárhatóak az adatvédelmi visszaélések. A helyzetfelmérés eredményeként javaslatot teszünk a szervezet hatékonyabb adatvédelemi stratégiájának kialakítására.
A hatásvizsgálattal csökkenthetőek a visszaélésekből származó pénzügyi veszteségek, elkerülhetőek a jogszabályi követelmények be nem tartásából származó bírságok, továbbá biztosítható a vállalat jó hírnevének megőrzése.
Az adatvédelmi helyzetfelmérés révén a szervezet működése átláthatóbbá válik.
3. Az Európai Uniós szabályozásnak (GDPR) való megfelelés támogatása a SeCube GRC szoftver segítségével
A SeCube GRC szoftver egy moduláris felépítésű információbiztonsági irányítási rendszer. A szoftver használatával többek között az Európai Uniós (GDPR) szabályozásnak való megfelelés támogatható, továbbá az ügyfél saját maga is karbantarthatja feladatait, adatait, az alábbiak alapján:
- Az Inventory modulban létrehozhatja az adatkezelési tevékenységek és személyes adatkörök nyilvántartását, kapcsolatba helyezve őket az informatikai rendszerekkel és az üzleti folyamatokkal.
- Részletes GDPR megfelelőségi helyzetfelmérést végezhet több mint 200 kontroll követelménnyel szemben, ahol az eltérésekre intézkedési terv is készíthető.
- Adatvédelmi hatásvizsgálatot (DPIA) és adatbiztonsági kockázatelemzést végezhet, jelentéseket generálhat.
Megoldásunk:
4. Adatvédelem az informatikai fejlesztések tervezése és kialakítása
A szervezetek felelőssége az elektronikusan – informatikai adatok formájában tárolt – információ védelmének biztosítása. Jelen gazdasági helyzetben azonban a rendszerek tervezésekor vagy új fejlesztések során ¬¬– a biztonsági paramétereken túl – fontos szempont a befektetés megtérülésének üteme és az eszközök alkalmazásával elérhető hatékonyságnövekedés, továbbá a megtakarítható költségek mértéke is.
Az információbiztonság területén és az informatikai fejlesztések menedzselésében felhalmozott tudása és tapasztalata révén a KÜRT Zrt. már a tervezés szakaszában segít a megfelelő adatvédelem kialakításában. A szakértőink által kidolgozott minőségbiztosítási tervek garantáltan megfelelnek a jogszabályi illetve a szervezet belső elvárásainak és hozzájárulnak a projekt sikeréhez.
A szolgáltatások, alkalmazások kifejlesztésekor és tervezésekor szem előtt kell tartani a személyes adatok védeleméhez való jogot, továbbá gondoskodni kell arról, hogy az adatkezelők és adatfeldolgozók eleget tegyenek aktuális adatvédelmi kötelezettségeiknek. Új informatikai rendszerek esetében javasolt – a jogszabály által is elvárt módon – már a tervezési és közbeszerzési fázisban figyelembe venni a beépített és az alapértelmezett adatvédelem elvárásait.
5. Adatvédelmi oktatás
Az információval kapcsolatba kerülő személyek (munkavállalók, adatkezelők, ügyfelek stb.) tudatosságának fejlesztése a leghatékonyabb megoldás egy szervezet adatvédelmének fokozására. Javasoljuk a rendszeres adatvédelmi oktatásokat és a megszerzett ismeretek ellenőrzését az adatvédelmi kultúra naprakészen tartásáért.
6. Adatvédelmi felelős/adatvédelmi tisztviselő biztosítása
Egyes szervezetek esetében jogszabályban előírt követelmény az adatvédelmi felelős (jövőben adatvédelmi tisztviselő) foglalkoztatása. Például:
- országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőknél és adatfeldolgozóknál,
- pénzügyi szervezeteknél,
- elektronikus hírközlési és közüzemi szolgáltatóknál,
- szervezeti egységenként a 250 főnél több alkalmazottat foglalkoztató szervezeteknél.
Az adatvédelmi felelős pozíció betöltésére megbízási szerződés keretében kínálunk költséghatékony megoldást.
