Gazdasági Ismeretek | Európai Unió » IT kikötő 2017, GDPR adatvédelem újratöltve

GDPR – Adatvédelem újratöltve kihelyezett Megnyitó 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Sass Katalin 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 ügyvezető 11101010000101011010111011010100001010110101110 Ismét itt a szeptember 11101010000101011010111011010100001010110101110 ismét jelentkezik a NEXON-ITB konferencia. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 "A pesszimista minden lehetőségben meglátja a nehézséget. Az optimista minden nehézségben látja a 11101010000101011010111011010100001010110101110 lehetőséget." - Winston Churchill 111010100001010110101110 11101010000101011010111011010100001010110101110

11101010000101011010111011010100001010110101110 111010100001010110101110 GDPR General Data Protection Regulation Általános Adatvédelmi Rendelet 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 A GDPR lényege 11101010000101011010111011010100001010110101110 111010100001010110101110 transzparencia, 111010100001010110101110 11010100001010110101110 a folyamatokba, I a munkavállalók bevonása 111010100001010110101110 111010100001010110101110 I a megismerhetőség és a hozzáférhetőség I térbeli és időbeli korlátok nélkül. 10100001010110101110 11010100001010110101110 I 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 A NEXON célja 11101010000101011010111011010100001010110101110 segítsük 111010100001010110101110 a szakmai

párbeszédet, 111010100001010110101110 11010100001010110101110 tapasztalatcsere, I tudásmegosztás, 111010100001010110101110 111010100001010110101110 I van amiben elkészültünk, és a további felkészülésünk folyamatos. 10100001010110101110 11010100001010110101110 I 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 „A siker az, ahol a felkészülés és a lehetőség találkozik." - Bobby Unser 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Köszönöm a figyelmet! 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Sass Katalin

010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 ügyvezető 11101010000101011010111011010100001010110101110 Mi az a GDPR? Avagy miről szól az 111010100001010110101110 adatvédelem a jogrendszerben 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Dr. Jóri András 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 Tanácsadó, volt adatvédelmi ombudsman 11101010000101011010111011010100001010110101110 Új? 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 (1) A számítógéppel vagy más módon történő adatkezelés és adatfeldolgozás a személyhez fűződő jogokat nem sértheti. (2) A

nyilvántartott adatokról tájékoztatást - az érintett személyen kívül - csak az arra jogosult szervnek vagy személynek lehet adni. (3) Ha a nyilvántartásban11101010000101011010111011010100001010110101110 szereplő valamely tény vagy adat nem felel meg a valóságnak, az érintett személy a valótlan tény vagy adat helyesbítését külön jogszabályban meghatározott módon követelheti. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Miért érdekes? Ombudsman (-2011): csak kérhet NAIH: bírság 20 11101010000101011010111011010100001010110101110 millió forintig GDPR: 20 milló EUR vagy a teljes éves világpiaci forgalom 4%-a Büntető tényállás 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Infotv. 2016/680 irányelvet átültető jogszabály ok (“Új

Infotv”) 11101010000101011010111011010100001010110101110 GDPR (“Új Infotv”) E-privay rendelet Tagállami jog alatti adatkezelés 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Személyes adat? Tartalom 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 "személyes adat": azonosított vagy azonosítható természetes személyre (" érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy

több tényező alapján azonosítható (Rendelet) 11101010000101011010111011010100001010110101110 "személyes adat" az azonosított vagy azonosítható természetes személyre ("érintettre") vonatkozó bármely információ; az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén (Irányelv) 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Jogalapok: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű,- amennyiben legalább az alábbiak egyike teljesül: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez; az adatkezelés olyan

szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; 11101010000101011010111011010100001010110101110 az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. 111010100001010110101110

11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Érintetti jogok: -Automatizált döntéshozatal/profilozás (automatizált egyedi döntés) -Elfeledtetéshez való jog (törléshez való jog) 11101010000101011010111011010100001010110101110 -Privacy Impact Assessment (előzetes ellenőrzés) -Tervezett és alapértelmezett adatvédelem – magyar jogban is! -Incidensjelentés (hírközlési jogban) 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Tanács: Ne kezeljenek személyes adatot! (Ha kezelnek: -biztosítsák a célt -biztosítsák a jogalapot -biztosítsák az érintett jogait -biztosítsák az adatbiztonsági követelményeket 11101010000101011010111011010100001010110101110 -nevezzenek ki adatvédelmi felelőst -. -És mindezt dokumentálják!) 111010100001010110101110

11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Köszönöm a figyelmet! 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Dr. Jóri András 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 Tanácsadó, volt adatvédelmi ombudsman 11101010000101011010111011010100001010110101110 GDPR felkészülés: 10100001010110101110 111010100001010110101110 a check-listtől az eredményekig 11010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 Hargitai László KPMG Informatikai Kockázatkezelési

Tanácsadás 11101010000101011010111011010100001010110101110 Tartalom 1 A jó checklist ismérvei 2 Hogyan irányítsuk az adatvédelmet? 11101010000101011010111011010100001010110101110 3 4 5 Hogyan működtessük a rendszereinket? Hogyan kezeljük a kockázatokat? Hogyan mérjük a felkészülés eredményeit? 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 1. A jó checklist ismérvei Lefedi az adatvédelem minden szintjét: • Stratégia, irányítás • Operáció • Kockázatkezelés 2. Adatfeldolgozás és tárolás 11101010000101011010111011010100001010110101110 1. Adatérkeztetés Lefedi a személyes adatok teljes életciklusát Mérhetővé teszi az adatvédelmi fejlesztések eredményeit 3. Adattovábbítás & adattörlés 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110

111010100001010110101110 2. Hogyan irányítsuk az adatvédelmet? Amit felül kell vizsgálnunk a GDPR kapcsán: • Üzleti stratégia • Adatkezelési stratégia • Működési modell • Folyamatirányítás • Munkatársak képzése 11101010000101011010111011010100001010110101110 Ajánlott olvasmány: KPMG – Crossing the line c. tanulmánya https://assets.kpmgcom/content/dam/kpmg/xx /pdf/2016/11/crossing-the-line.pdf 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 3. Hogyan működtessük a rendszereinket? Amit felül kell vizsgálnunk a GDPR kapcsán: • Adatnyilvántartás • Adat-életciklus kezelése • • • • • • • • • Adatbiztonsági modell Cél szerinti adat Minimális mennyiségű adat 11101010000101011010111011010100001010110101110 Minimális ideig kezelt adat Megfelelő hozzájárulás, tájékoztató, érdekmérlegelés Különleges

adatok kezelése Anonimizáció Biztonságos törlés, időben Adatbiztonság Adatvédelem felügyelete 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 4. Hogyan kezeljük a kockázatokat? Amit felül kell vizsgálnunk a GDPR kapcsán: • Kockázatelemzés, belső 11101010000101011010111011010100001010110101110 ellenőrzés • Naplózás, naplókezelés • Szabályzatok • Beszállítók, adatfeldolgozók • Incidenskezelés 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 5. Hogyan mérjük a felkészülés eredményeit? • • Adatvédelmi érettség mérése, nyomon követése Érettség felmérése • Ad-hoc • Kezdeti • Kontrollált 11101010000101011010111011010100001010110101110 • Ellenőrzött • Optimalizált • • • Cél működési modell: üzleti

stratégia és GDPR alapján GAP-ek azonosítása Priorizálás: kockázat szerint 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Köszönöm a figyelmet! 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Hargitai László 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 KPMG Informatikai Kockázatkezelési Tanácsadás 11101010000101011010111011010100001010110101110 Laszlo.Hargitai@kpmghu +36 70 370 1610 A GDPR ICT-vonatkozásai 11101010000101011010111011010100001010110101110 111010100001010110101110 11010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Csizmazia Darab István

111010100001010110101110 111010100001010110101110 Sicontact, 111010100001010110101110 IT biztonsági szakértő 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 111010100001010110101110 111010100001010110101110 10100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 29/25 Tartalom 11101010000101011010111011010100001010110101110 111010100001010110101110 :: GDPR - Ezmiez? 10100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110

:: Tanulópénzek 111010100001010110101110 111010100001010110101110 :: A szakma lehetséges 111010100001010110101110 111010100001010110101110 feladatai 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 :: Biztonság+tudatosság 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 10100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 :: Változások, kihívások 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 30/25 GDPR - Ezmiez? 11101010000101011010111011010100001010110101110 111010100001010110101110 10100001010110101110 11101010000101011010111011010100001010110101110

111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 - 2018. május 25 111010100001010110101110 - 2011. évi CXII törvény az információs önrendelkezési jogról és 111010100001010110101110 az információszabadságról - 2013. évi L törvény az állami és önkormányzati szervek111010100001010110101110 elektronikus 111010100001010110101110 információbiztonságáról 111010100001010110101110 - Kidolgozott és érvényes,111010100001010110101110 elfogadott uniós jogszabályok gyűjteménye111010100001010110101110 111010100001010110101110 - Meghatározzák az ország forrásainak, adatainak védelmét - Elősegítik az állami, illetve a magánszektor közötti együttműködést 111010100001010110101110 111010100001010110101110 11101010000101011010 - Jogokat biztosít az uniós állampolgároknak adataik kezelésével kapcsolatban 111010100001010110101110 10100001010110101110 11010100001010110101110 1110101000010101101011

111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 31/25 GDPR - Ezmiez? 11101010000101011010111011010100001010110101110 111010100001010110101110 10100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 Személyes adat: minden olyan információ,111010100001010110101110 ami egy azonosított vagy azonosítható 111010100001010110101110 természetes személyre vonatkozik 111010100001010110101110 - Minden EU területén tevékenykedő cég 111010100001010110101110 111010100001010110101110 - Minden uniós polgárok adatait kezelő szervezet (nem csak az EU-ban működő) 111010100001010110101110 - Legfőbb szegmens

a szenzitív adatok kezelők: EÜ, oktatás, kormányzat 111010100001010110101110 111010100001010110101110 111010100001010110101110 - A szabályozási rendszer igen összetett, fokozott adatbiztonsági követelmények - Erősebb hatósági felügyelet, magasabb (20 mEUR) bírság 111010100001010110101110 111010100001010110101110 11101010000101011010 111010100001010110101110 10100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 32/25 Változások, kihívások Milyen változásokat hoz mindez? 11101010000101011010111011010100001010110101110 111010100001010110101110 10100001010110101110

11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Megfordul a bizonyítási teher 111010100001010110101110 - Fontos új alapelv: az elszámoltathatóság111010100001010110101110 elve 111010100001010110101110 - Nem elég, ha az adatkezelő betartja az adatvédelmi szabályokat, 111010100001010110101110 111010100001010110101110 igazolnia is kell a megfelelést 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 10100001010110101110 A "kockázatarányos védelem elve" - Például az egészségügyi szektorban 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110

11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 33/25 Változások, kihívások Értesítési kötelezettség 11101010000101011010111011010100001010110101110 111010100001010110101110 10100001010110101110 - adatvédelmi incidensek esetére 11101010000101011010111011010100001010110101110 előírt értesítési kötelezettség 10100001010110101110 - jelentős többletterhet ró az adatkezelő szervezetekre 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 - az incidensek ügyfelek felé történő kommunikációja rombolhatja az 111010100001010110101110 111010100001010110101110 ügyfelek szervezet iránti bizalmát, ronthatja a szervezet jó hírét 111010100001010110101110 111010100001010110101110 - halogatása, elhallgatása, kozmetikázása viszont tönkreteheti a céget 111010100001010110101110

111010100001010110101110 111010100001010110101110 111010100001010110101110 - Módosítási javaslat: mentesség, ha a szervezet alkalmazta a technikai és szervezési védelmi intézkedéseket, például titkosítás 111010100001010110101110 111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 34/25 Változások, kihívások Az érintettek számára meghatározott 11101010000101011010111011010100001010110101110 jogok biztosítása 10100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 - Mind a hatályos hazai szabályozás,

10100001010110101110 mind a GDPR előírja 111010100001010110101110 111010100001010110101110 - Beletartozik a saját adatokba 11010100001010110101110 111010100001010110101110 való betekintés 111010100001010110101110 111010100001010110101110 - Számos esetben az adatok feletti rendelkezés joga is 111010100001010110101110 111010100001010110101110 - Téves adatok helyesbítése 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 - Akár a törlés biztosításának joga is 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110

111010100001010110101110 35/25 Változások, kihívások - 2008. USA: bűnözés > drog (105 mrdUSD) 11101010000101011010111011010100001010110101110 - 106 nap (2017, Vectra Networks) 10100001010110101110 - 4 mrd netező, 10 mrd netes eszköz 111010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 IDC-ESET 2017. május: 111010100001010110101110 111010100001010110101110 - A vállalatok 22%-a nem ismeri a GDPR követelményeit - 52% tud róla, de nem világos számukra a111010100001010110101110 feladat 111010100001010110101110 111010100001010110101110 111010100001010110101110 - A cégek ötöde (20%) még el sem kezdte a felkészülést - A vállalatok 56%-nál nem mérik az adatlopások, támadások, kockázatok költségeit 111010100001010110101110111010100001010110101110 11101010000101011010

111010100001010110101110 10100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 36/25 Tanulópénzek 2008. UK NAVY 10100001010110101110 - 600,000 személyes adat 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110

11101010000101011010 111010100001010110101110 10100001010110101110 - egy állami alkalmazottól elloptak egy noteszgépet 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 37/25 Tanulópénzek 11101010000101011010111011010100001010110101110 111010100001010110101110 2010. 280 ezer betegadat 10100001010110101110 11101010000101011010111011010100001010110101110 - elvesztett adathordozón minősített, 10100001010110101110 titkosítatlan adatok 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110

111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 38/25 Tanulópénzek 11101010000101011010111011010100001010110101110 111010100001010110101110 2012.06 LinkedIn 10100001010110101110 - 6.5 millió account 10100001010110101110 - no salted hash 11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 - több, mint 2 év 111010100001010110101110 111010100001010110101110

- 2FA, e-mail, kontroll 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 39/25 Tanulópénzek 11101010000101011010111011010100001010110101110 111010100001010110101110 2016.december: 90% XP a brit EÜ-ben 10100001010110101110 11101010000101011010111011010100001010110101110 - nem várható érdemi javulás 2017-re 10100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110

111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 40/25 Tanulópénzek 11101010000101011010111011010100001010110101110 111010100001010110101110 2017. július - Brit orvosok 10100001010110101110 11101010000101011010111011010100001010110101110 - Snapchat-en küldik a röntgen képeket 10100001010110101110 - Tévhit, hogy a kényelmes

egyenlő a jóval, vagy a biztonságossal 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 41/25 Tanulópénzek A titkolódzás súlyos és hosszú távon drágább hiba 11101010000101011010111011010100001010110101110 111010100001010110101110

10100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 - 2011. holland DigiNotar 10100001010110101110 - július 19-én nem csak feltörés áldozata - a tanúsítványokat kibocsátó rendszerbe is bejutottak a támadók 111010100001010110101110 11101010000101011010111011010100001010110101110 - csak belső vizsgálat volt, nem értesítették a partnereket, a cég szerint „az 010000101011010111011010100001010110101110 incidens hatása minimális” 111010100001010110101110 - A Comodo, a Google nevére kiállított illetéktelen tanúsítványok jelentek meg - A kibocsátott hamis tanúsítványokat visszavonták (nem sokat ér), közben 111010100001010110101110 a Google.com-os kimaradt! 11101010000101011010111011010100001010110101110

11101010000101011010111011010100001010110101110 - Pl. az addonsmozillaorg-ra is állítottak ki tanúsítványt a támadók 111010100001010110101110 111010100001010110101110 - Az F-Secure kiderítette, hogy vélhetően iráni hackerek a diginotar.nl-t 2010-ben is többször megtörték, erről is hallgattak 111010100001010110101110 - Független biztonsági jelentés:a behatoló már június 6-án bejutott a rendszerbe 11101010000101011010 11010100001010110101110 1110101000010101101011 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 42/25 Tanulópénzek A titkolódzás súlyos és hosszú távon drágább hiba 11101010000101011010111011010100001010110101110 111010100001010110101110 - 531 tanúsítványt állítottak ki illetéktelenül, a tanúsító összes CA 10100001010110101110 szerverét adminisztrátori szintig törték, és a logokat törölték

11101010000101011010111011010100001010110101110 - a DigiNotarnak elképzelése sem lehetett arról, hogy kiknek a nevére generáltak 10100001010110101110 így tanúsítványokat - a DigiNotar július 19-éig mit sem tudott a dologról, és még szeptember 3-án is kiállításra kerültek új tanúsítványok 111010100001010110101110 11101010000101011010111011010100001010110101110 - 2011. szeptember 20 a DigiNotar (Vasco Inc leányvállalata) belebukott 010000101011010111011010100001010110101110 a történetbe, felszámolás, csőd 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110

11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 43/25 A szakma lehetséges feladatai Milyen megoldásokkal segíthetjük a vállalkozásokat? 11101010000101011010111011010100001010110101110 111010100001010110101110 - ESET egy 30 éves gyártói tapasztalattal rendelkező cég 10100001010110101110 - A hálózati biztonság és végpontvédelem mellett további biztonsági technológiákkal 11101010000101011010111011010100001010110101110 - A titkosítás és azonosítás mint az adatvédelmi megfelelés egyik eszköze 10100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110

111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 44/25 A szakma lehetséges feladatai ESET Secure Authentication (ESA) 11101010000101011010111011010100001010110101110 111010100001010110101110 MIT OLD MEG? 10100001010110101110 11101010000101011010111011010100001010110101110 - Problémamentes távoli hozzáférés céges hálózathoz és adatokhoz 10100001010110101110 - Erős mobil alapú megoldás, 2FA, egyszer használatos OTP egyedi kódos hitelesítés - Az OTP kód véletlenszerűen generált, 111010100001010110101110 nem

megjósolható, nem újrahasználható 11101010000101011010111011010100001010110101110 010000101011010111011010100001010110101110 - Segíti a megfelelést az iparági 111010100001010110101110 szabályzásoknak (PCI-DSS/HIPAA) - Az intézkedéssel demonstrálható a hozzáférési jogosultságok komolyan vétele 111010100001010110101110 11101010000101011010111011010100001010110101110 - Az adatvédelem melletti elkötelezettség 11101010000101011010111011010100001010110101110 (távoli hozzáférésnél) 111010100001010110101110 111010100001010110101110 - Jogosultságkezelési és naplózási kötelem előírása a szabályzás szerint 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110

11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 45/25 A szakma lehetséges feladatai ESET Endpoint Encryption (DESlock Encryption) 11101010000101011010111011010100001010110101110 111010100001010110101110 MIT OLD MEG? 10100001010110101110 11101010000101011010111011010100001010110101110 - Teljes HDD, cserélhető adathordozók, állományok, e-mailek titkosítása 10100001010110101110 - Szöveg és vágólap titkosítás - Titkosított virtuális kötetek és tömörített állományok 111010100001010110101110 - FIPS 140-2 szabványnak megfelelő 11101010000101011010111011010100001010110101110 010000101011010111011010100001010110101110 256 bites AES titkosítás 111010100001010110101110 - Szabványmegfelelés: COBIT, ITIL, ISO 27001, ISO 9001, ISO 14001 - bankkártyás fizetés (PCI DSS) 111010100001010110101110 11101010000101011010111011010100001010110101110 szabvány kötelező eleme

11101010000101011010111011010100001010110101110 - Skálázható, vállalati mérethez igazodó 111010100001010110101110 111010100001010110101110 - Menedzselt környezet, felhasználóbarát 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 11101010000101011010 - Az adatgyűjtés céljától eltérő adatkezelésnél kötelező a titkosítás 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 46/25 Biztonság+tudatosság Biztonságtudatosság – ez is kell hozzá 11101010000101011010111011010100001010110101110 111010100001010110101110 2017. Global Cyber Risk 10100001010110101110 - 2016-ban sok helyen nem volt biztonságtudatossági

képzés 11101010000101011010111011010100001010110101110 - 46%-uknál ez évi egyszeri 30 perc - 27% soha nem részesült oktatásban 10100001010110101110 - Megkerülhetetlenül fontos 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 2017. május - WannaCry támadási hullám - "Jó" apropó volt a cégek védekezésének felülvizsgálatára 111010100001010110101110 111010100001010110101110 - A brit dolgozók 44%: a céges levelezőrendszerben megnyitott e-mail biztonságos 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110

11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 47/25 Biztonság+tudatosság Biztonságtudatosság – ez is kell hozzá 11101010000101011010111011010100001010110101110 111010100001010110101110 2011. december 10100001010110101110 - Mi az indián neved? - 800 ezer FB "kedvelő" 10100001010110101110 - még 2015-ben is 912 ezer 11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110

010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 48/25 Biztonság+tudatosság Biztonságtudatosság – ez is kell hozzá 11101010000101011010111011010100001010110101110 111010100001010110101110 10100001010110101110 Facebook – 2017. 10100001010110101110 „Ha 0-s a vércsoportod, Különleges vagy Ki még?” 11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) 111010100001010110101110 111010100001010110101110 - Önrendelkezés: ki ismeri? 111010100001010110101110 111010100001010110101110 111010100001010110101110

111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 49/25 Biztonság+tudatosság 2014. Chimera: - Nem várt mellékhatás: céges adatok Pastebin publikus weblapra 11101010000101011010111011010100001010110101110 111010100001010110101110 10100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110

111010100001010110101110 111010100001010110101110 111010100001010110101110 Várható lesz új bűnözői forgatókönyvek megjelenése: 111010100001010110101110 - 20 mEUR helyett váltságdíj 111010100001010110101110 11101010000101011010 111010100001010110101110 10100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 50/25 Összefoglalva - A cégek ötöde (20%) még el sem kezdte a felkészülést - A felkészülés még a határidő után is rengeteg feladatot tartogat! 11101010000101011010111011010100001010110101110 - Komoly változások, komoly bírságok 10100001010110101110 - A titkosítás és 2FA azonosítás az adatvédelmi

megfelelés egyik eszköze 11101010000101011010111011010100001010110101110 - Minden adatkezelőnek foglalkozni kell vele 10100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 11101010000101011010 111010100001010110101110 11010100001010110101110 1110101000010101101011 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 51/25 Köszönöm a figyelmet!

11101010000101011010111011010100001010110101110 111010100001010110101110 11010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Csizmazia Darab István 111010100001010110101110 111010100001010110101110 11101010000101011010 Sicontact, IT biztonsági szakértő 111010100001010110101110 111010100001010110101110 111010100001010110101110 10100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 52/25 Kerekasztal beszélgetés

11101010000101011010111011010100001010110101110 cégek tapasztalatai az eddigi felkészülésről, 111010100001010110101110 illetve milyen területeken vannak nagy lemaradásban a cégek 111010100001010110101110 11010100001010110101110 Kihelyezett ITB Klub 111010100001010110101110 111010100001010110101110 Információbiztonsági 10100001010110101110 11010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 Résztvevők: 11101010000101011010111011010100001010110101110 Frész Ferenc – Cyber Services Keleti Arthur – ITBN Papp Péter – Kancellar.hu Köszönjük a figyelmet! 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Frész Ferenc – Cyber Services 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110

Keleti Arthur – ITBN Papp Péter – Kancellar.hu 11101010000101011010111011010100001010110101110 Kávészünet 15 perc GDPR HR szemszögből 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Amroun Rachid 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 Service management team leader 11101010000101011010111011010100001010110101110 NEXON Kft. Áttekintés GDPR (General Data Protection Regulation) – az európai unió adatvédelmi rendelete Hatályba lép 2018. május 25-én Egységesíti a 28 tagállam adatvédelmi rendelkezéseit és felülírja a nemzeti jogszabályokat 11101010000101011010111011010100001010110101110 Bővíti a személyek jogait és a társaságok kötelezettségeit Magyarország jelenleg nem fogadott még el e témában

részletesebb rendelkezéseket. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Tájékoztatás és hozzájárulás Jelenlegi is tartalmaznak – általában – rövid összefoglalót a személyes adatok kezeléséről és hozzájárulást is harmadik személy részére történő adattovábbításhoz. A jövőben a foglalkoztatás során a munkáltató a munkavállaló személyes adatait csak bizonyos esetekben kezelheti jogszerűen 11101010000101011010111011010100001010110101110 Át kell vizsgálni a jelenlegi munkaszerződés mintát és meg kell állapítani, hogy egyes adatokat milyen jogcímen kezelik. A jövőben részletesebb adatvédelmi tájékoztatást kell foglalni a munkaszerződésbe vagy az adatvédelmi szabályzatba Hozzájárulást kell kérni az adatok kezelésére a munkavállalóktól 111010100001010110101110 11101010000101011010111011010100001010110101110

11101010000101011010111011010100001010110101110 111010100001010110101110 Munkavállaló jogai Biztosítani kell a munkavállalóknak a lehetőséget a személyes adataikhoz való hozzáférést, azok helyesbítését és törlését valamint gyakorolni a tiltakozáshoz való jogát A munkáltató köteles biztosítani a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is, különösen, ha a személyes adatok kezelése elektronikus úton történik 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Adatvédelmi incidens Az új szabályok értelmében személyes adat jogellenes kezelése vagy feldolgozása, megsemmisítése, elvesztése, megváltoztatása esetén a munkáltatónak bejelentési kötelezettsége keletkezik a felügyelő hatóság felé. Amennyiben ez az incidens a munkavállaló személyes adatait

érinti, akkor 11101010000101011010111011010100001010110101110 munkavállalót is értesíteni kell. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Adatvédelmi tisztviselő Az új általános adatvédelmi rendelet a belső adatvédelmi tisztviselő kinevezését a jelenlegi szabályoknál szélesebb adatkezelői körben teszi kötelezővé. Ha erre kerül sor, akkor fontos, hogy a munkáltató megbizonyosodjon arról, hogy valaki a szervezeténél vagy egy külső tanácsadó megfelelően felelősséget vállal az 11101010000101011010111011010100001010110101110 adatvédelmi eljárásoknak való megfelelésért, és elegendő tudással, támogatással és fennhatósággal rendelkezik ehhez. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Adatvédelmi hatásvizsgálat Az új

szabályok értelmében, ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa valószínűsíthetően magas kockázattal jár a munkavállalók jogaira, személyes adataira nézve, akkor a munkáltatónak az adatkezelést megelőzően hatásvizsgálatot köteles végezni. 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Adatvédelmi nyilvántartás Megszűnik a NAIH hivatalos adatvédelmi nyilvántartása, a jövőben azonban minden munkáltatónak kötelessége adatkezelési tevékenységeiről nyilvántartást vezetni. 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Adatvédelmi szabályzat A munkáltató köteles adatvédelmi szabályzatokat

elfogadni, amely az adatkezeléssel, a munkavállalók jogaival kapcsolatos főbb szabályokat tartalmazza. 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Van jó hír is a HR számára? A szigorúbb adatvédelmi szabályok két irányúak. Keményebben léphetünk fel, ha az adatvédelmi incidens elkövetője valamelyik munkavállalónk. Gondoljunk arra, ha egy kilépő11101010000101011010111011010100001010110101110 magával visz ügyfél listát elérhetőségekkel, Valamelyik munkavállaló helytelenül használja harmadik fél bizalmas információit, Vagy bizalmas információkat tölt le a rendszereinkből. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Hogyan készüljünk fel? Alakítsunk munkacsoportot. Készítsünk

gap analízist – azonosítsuk a meglévő rendszereinket ill. milyen személyes adatokat kezelünk. Készítsünk leltárt a HR adatainkról. 11101010000101011010111011010100001010110101110 Tervezzük meg az implementációs programot – azonosítsuk a szükséges lépéseket. Frissítsük a munkaszerződéseket. Készítsünk, frissítsük a munkavállalók adatvédelemmel érintett szabályzatait. Vizsgáljuk felül a HR folyamatainkat és a vonatkozó szabályzatainkat. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Hogyan készüljünk fel? Dolgozzunk ki mintaválaszokat adatkérések esetére, annak érdekében, hogy a GDPRnek megfelelően kommunikáljon a társaság. Az informatikai rendszert módosítsuk, hogy könnyen kereshetőek legyenek az egyes munkavállalókra vonatkozó személyes adatok. 11101010000101011010111011010100001010110101110 A HR projektekben vegyük

figyelembe a titoktartást. Biztosítsunk az adatvédelemmel foglalkozó munkatársak részére megfelelő adatvédelmi tréninget. Lehetőség szerint alakítsunk ki online rendszert a munkavállalók személyes adatainak tárolására és hozzáférésére. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Köszönöm a figyelmet! 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Amroun Rachid 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 Service management team leader 11101010000101011010111011010100001010110101110 NEXON Kft. Honnan kerítsek adatvédelmi felelőst? 111010100001010110101110 11101010000101011010111011010100001010110101110

10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 KOMENDA ROLAND 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 partner, ügyvezető 11101010000101011010111011010100001010110101110 Fortix Consulting GDPR KIEMELT PARTNEREINK 11101010000101011010111011010100001010110101110 111010100001010110101110 11010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 10100001010110101110 11010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 11010100001010110101110111010100001010110101110 111010100001010110101110 ADATVÉDELMI111010100001010110101110 TISZTVISELŐ (DPO) 10100001010110101110 11010100001010110101110

010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 TELJESKÖRŰ VÉDELEM 11101010000101011010111011010100001010110101110 111010100001010110101110 11010100001010110101110111010100001010110101110 111010100001010110101110 Személyes 111010100001010110101110 Feldolgozás Adatvédelem Adatbiztonság adatok jogi alapjának a 10100001010110101110 11010100001010110101110 010000101011010111011010100001010110101110 meghatározása 11101010000101011010111011010100001010110101110 meghatározása beágyazása fenntartása 11101010000101011010111011010100001010110101110 A személyes adat megfelelő védelme a kezelés/feldolgozás teljes ideje alatt forrás: MySec MIKOR KÖTELEZŐ? Kötelező kinevezni, ha11101010000101011010111011010100001010110101110 az adatkezelő vagy adatfeldolgozó: 10100001010110101110 111010100001010110101110 11010100001010110101110 11010100001010110101110 •

közhatalmi szerv vagy egyéb közfeladatot ellátó szerv; 111010100001010110101110 111010100001010110101110 111010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 • fő tevékenységének része az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése; 11101010000101011010111011010100001010110101110 • fő tevékenysége szerint nagy számban kezel különleges adatot vagy bűnügyi adatot. ÚJ KIHÍVÁSOK Az érintettek tájékoztatása Adatvédelmi tudatosság Adatkezelési kritériumok A hozzájárulás feltételeinek felülvizsgálata 11101010000101011010111011010100001010110101110 111010100001010110101110 Üzleti Jogi terület területek Adatvédelmi 111010100001010110101110 11010100001010110101110 tisztviselő Érintettek 111010100001010110101110 jogai 111010100001010110101110 Adatvédelmi Biztonság 10100001010110101110 11010100001010110101110 Adatkezelés jogalapja

010000101011010111011010100001010110101110 Az érintett hozzáférési joga Adatvédelmi incidens detektálása és bejelentése 11101010000101011010111011010100001010110101110 Informatika és BI hatásvizsgálat 11101010000101011010111011010100001010110101110 Beépített adatvédelem Workshopok, Interakció Projektmenedzsment, A szereplők hatékony alkalmazkodva az ügyfél támogatása az 11101010000101011010111011010100001010110101110 igényéhez átadás alatt és után 3. Fenntartható Működés Minden érintett bevonása 2. Hatékony Integráció 1. Strukturált Elemzés GDPR – ROADMAP ALAPELVEK 111010100001010110101110 Információbiztonsági és Vezetői jelentési, más irányítási mérési és rendszerekbe, fejlesztési 111010100001010110101110 Hatásvizsgálat visszajelzési rendszer 11010100001010110101110 folyamatba történő integráció kialakítása Metaadatok rendszere! 111010100001010110101110 (adatok az adatokról) 111010100001010110101110

Új/speciális folyamatok Maradandó és 10100001010110101110 11010100001010110101110 Strukturált és technikai információgyűjtés 010000101011010111011010100001010110101110 Valós eltérések azonosítása Releváns javaslatok 11101010000101011010111011010100001010110101110 minimalizálása, meglévők javítása fenntartható megoldások 11101010000101011010111011010100001010110101110 A változás aktív biztosítása irányítása INTEGRÁLJUK MEGLÉVŐ RENDSZEREINKHEZ! 11101010000101011010111011010100001010110101110 111010100001010110101110 11010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 10100001010110101110 11010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 GDPR – TÁMOGATÁS 11101010000101011010111011010100001010110101110 10100001010110101110 I Adatvédelmi audit, eltérésjelentés

111010100001010110101110 I Akcióterv elkészítése 111010100001010110101110 11010100001010110101110 111010100001010110101110 I Felkészülés támogatása 111010100001010110101110 11010100001010110101110 010000101011010111011010100001010110101110 I 11101010000101011010111011010100001010110101110 Teljes vagy részleges 11101010000101011010111011010100001010110101110 DPO feladatok ellátása Köszönöm a figyelmet! 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 KOMENDA ROLAND 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 partner, ügyvezető 11101010000101011010111011010100001010110101110 GDPR a hétköznapokban 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 Mit kell tudnom nekem, az egyszerű polgárnak?

11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 dr. Horváth Katalin 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 ügyvéd, partner 11101010000101011010111011010100001010110101110 Amiről szó lesz  6 indok, amiért a felhasználóknak is érdemes a GDPR-ral foglalkozni 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Az a bizonyos 6 indok 1. 2. 3. 4. 5. 6. Egységes EU-s szabályok, egységes jogok Szigorúbb szabályok és szankciók 11101010000101011010111011010100001010110101110 Szélesebb döntési jogkör, több kontroll Részletesebb tájékoztatás az adatok kezeléséről Új jogok az adatkezelővel szemben Nagyobb adatbiztonság 111010100001010110101110

11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 # 1. indok – Egységben az erő  Igaz vagy hamis? a) b) c) d) Megszűnik a magyar adatvédelmi törvény. 11101010000101011010111011010100001010110101110 Megszűnik a magyar adatvédelmi hatóság. Az EU-ban, Brüsszelben lehet csak jogokat érvényesíteni. A német webáruházakra is csak az EU rendelet vonatkozik. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 # 2. indok - Mit érdemel az a bűnös aki megsértette az adatvédelmi jogainkat? 11101010000101011010111011010100001010110101110 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110  Igaz vagy hamis? a) b) c) d) A jogsértéseket nyilvánosságra hozzák. Az érintetteket értesítik, ha

adataikat jogellenesen kezelték. A teljes adatbázis törlését nem rendelhetik el. 11101010000101011010111011010100001010110101110 A biztonsági mentésből nem kell törölni az adatokat. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Mit érnek a szankciók?      Figyelmeztetés – visszatart-e bárkit? Jogszerűség helyreállítása – mit ér önmagában? A jogsértés nyilvánossága – feketelistára vele 11101010000101011010111011010100001010110101110 Adatok, adatbázisok törlése – ez már fájhat Adatkezelés korlátozása, megtiltása – írott malaszt  Érintett felhasználók értesítése – jó tudni róla  Kártérítés – majd talán 5 év múlva ha bizonyítható  Bírság (10/20 millió Euró vs. 20 millió HUF) – húsbavágó 111010100001010110101110 11101010000101011010111011010100001010110101110

11101010000101011010111011010100001010110101110 111010100001010110101110 # 3. indok – Majd én megmondom, mi lesz  Igaz vagy hamis? a) Vagy az összes adatkezelési célhoz hozzájárulok, vagy egyikhez sem. 11101010000101011010111011010100001010110101110 b) Az anyavállalatnak adott adatkezelési hozzájárulás kiterjed az egész cégcsoportra. c) Bármelyik adattovábbítást megtilthatom. d) A nevem kezeléséhez hozzájárulhatok, de a születési időm kezelését megtilthatom. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 # 3. indok – Majd én megmondom, mi lesz Nagyobb választási lehetőség: Igen Cél 11101010000101011010111011010100001010110101110 X Adatkezelő Adat Adattovábbítás Nem X X X Bonyolult mátrix a hozzájárulásokból, sok checkbox-szal 111010100001010110101110 11101010000101011010111011010100001010110101110

11101010000101011010111011010100001010110101110 111010100001010110101110 Jogszerű-e? a) Nem járultam hozzá a marketing célú megkereséshez, ezért nem kapok hitelt. b) Nem járultam hozzá a marketing célú megkereséshez, ezért nem kapok ajándékot a vásárlásom mellé. 11101010000101011010111011010100001010110101110 c) Nem adtam meg a születési dátumomat, ezért nem vásárolhatok a cipő webáruházban. d) Online feliratkozás a hírlevélre, leiratkozás tértivevényes levélben. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Több kontroll  A hozzájárulás megtagadása / visszavonása miatt hátrány nem érhet  A hozzájárulás nem lehet a szolgáltatás igénybe vételének előfeltétele, kivéve, ha az szükséges a szolgáltatás 11101010000101011010111011010100001010110101110 nyújtásához  Hozzájárulást bármikor visszavonhatom -

ugyanolyan egyszerűen 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Hogyan kérhetnek tőlem szabályosan hozzájárulást? Jogszerű-e? a) Hírlevél checkbox előre bepipálva, ha nem szeretné, majd kiikszeli. b) Majd leiratkozik, ha 11101010000101011010111011010100001010110101110 zavarja a hírlevél. c) Hírlevélre feliratkozási lehetőségről e-mailt küldeni. d) A webshopos vásárláshoz szükséges adatkezeléshez adott hozzájárulás vonatkozik a hírlevél küldésre is. e) Az ÁSZF elfogadása az adatkezelési szabályzat és az adatkezelés elfogadását is jelenti. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Hogyan kérhetnek tőlem szabályosan hozzájárulást?  Positive opt in (hallgatás ≠ hozzájárulás)  Írásban / szóban / elektronikusan

/ online  Checkbox pipa / gombnyomás / gépelés / e-mail / stb. 11101010000101011010111011010100001010110101110  ÁSZF elfogadásától külön  Adatkezelési szabályzat ÁSZF-től külön 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Mihez kell külön hozzájárulnom?  Különleges adatok kezeléséhez (faji, etnikai származás, politikai vélemény, vallás, világnézet, szakszervezeti tagság, genetikai, biometrikus, egészségügyi adatok, szexuális adatok) – Infotv: írásbeli, GDPR: nem kell írásbeli, csak kifejezett 11101010000101011010111011010100001010110101110  Profilalkotáshoz, automatizált döntéshozatalhoz  EU-n kívüli adattovábbításhoz  eDM küldéshez 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 # 4. indok – Mindent

tudni akarok róla Jogszerű-e? a) Adatkezelési szabályzatot kérésre egy gépi hang felolvassa a honlapon, de olvasni nem lehet. b) 112 oldalas, 6-os betű11101010000101011010111011010100001010110101110 méretű adatkezelési szabályzat. c) Webáruház adatkezelési szabályzata megtekinthető személyesen az ügyfélszolgálaton. d) Cipő webáruház: tájékoztatjuk, hogy ha nem adja meg a lábméretét, akkor nem jön létre a szerződés közöttünk. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 # 4. indok – Mindent tudni akarok róla de emberi nyelven 11101010000101011010111011010100001010110101110  Tömör, könnyen hozzáférhető, könnyen érthető, világos és közérthető nyelvezettel, vizuálisan megjelenített (nem elég felolvasni)  Papír alapon / elektronikusan - pl. honlapon 111010100001010110101110

11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Miről kell még tudnom?  Adathordozhatóságról  Kötelező-e az adatok megadása, és ha nem adom meg, milyen következményekkel járhat? 11101010000101011010111011010100001010110101110  Az adatok megadása a szerződéskötés előfeltétele-e?  Az adatok megadása jogszabályon vagy szerződésen alapul-e?  Az adatok automatizált döntéshozatalra/profilalkotásra kerülnek-e felhasználásra - logika, következmények 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 # 5. indok – Már jogom van hozzá Volt-e eddig ilyen jogom? a) Szolgáltató váltáskor a régi szolgáltatóm küldje meg az adataimat az új szolgáltatómnak 11101010000101011010111011010100001010110101110 b) Adataim teljes törlésének kérése c) Számítógéppel

készített hitelbírálat helyett személyes bírálat kérése d) Személyre szabott reklámok megjelenítése ellen kifogás benyújtása 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 # 5. indok – Már jogom van hozzá     Adathordozhatóság Feledtetés (törlés) joga Automatizált döntéshozatal 11101010000101011010111011010100001010110101110 Profilalkotás 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 # 6. indok – Biztosra mennek Nagyobb adatbiztonság = bizalom  Részletes, szigorú előírások az adatkezelőkre az adatbiztonságra, adatvédelmi jogsértések, incidensek kezelésére vonatkozóan 11101010000101011010111011010100001010110101110  A tervezési, fejlesztési folyamatba kell beépíteni az adatvédelmi elveket, az adatbiztonsági

követelményeket – az adatvédelemnek, adatbiztonságnak a fejlesztés, tervezés aktív összetevőjének kell lennie, nem pedig egy szósznak, amivel a végén az elkészült fejlesztést leöntik. 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Adatkezelő adatbiztonsági kötelezettségei:     Álnevesítés, titkosítás, ahol lehetséges IT biztonság garantálása Incidens esetén gyors hozzáférés és visszaállítás biztosítása Belső szabályzatok, személyzeti, IT biztonsági, fizikai 11101010000101011010111011010100001010110101110 biztonsági, menedzsment intézkedések elvégzése az adatbiztonság növelésére 111010100001010110101110 11101010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 111010100001010110101110 Köszönöm a figyelmet! 111010100001010110101110

11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 dr. Horváth Katalin 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 ügyvéd, partner 11101010000101011010111011010100001010110101110 katalin.horvath@sarandpartnershu Kerekasztal beszélgetés Milyen adatvédelmi incidenseket követhetnek el 10100001010110101110 111010100001010110101110 ellenem az EU rendelet szerint? 11010100001010110101110111010100001010110101110 111010100001010110101110 111010100001010110101110 Résztvevők: 11101010000101011010111011010100001010110101110 11010100001010110101110 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 Domokos Márton, CMS Cameron McKenna Székely Iván, CEU 11101010000101011010111011010100001010110101110 Weisz János, NEXON Köszönjük a

figyelmet! 111010100001010110101110 11101010000101011010111011010100001010110101110 10100001010110101110 11010100001010110101110 11010100001010110101110 111010100001010110101110 111010100001010110101110 111010100001010110101110 Domokos Márton, CMS Cameron McKenna 010000101011010111011010100001010110101110 11101010000101011010111011010100001010110101110 Székely Iván CEU Weisz János, NEXON 11101010000101011010111011010100001010110101110 Köszönjük részvételüket!