Az Általános Adatvédelmi Rendelet (EU) 2016/679 – GDPR 2016 tavaszán került elfogadásra, és 2018. május 25. óta kötelezően alkalmazandó az Európai Unió minden tagállamában. A rendelet alapjaiban változtatta meg a korábbi adatvédelmi szabályozást, felváltva az 1995 óta hatályos 95/46/EK irányelvet, amely évtizedeken át az európai adatvédelem alapját képezte.
A GDPR jelentős hatással van a gazdasági és közszférában működő szervezetek mindennapi működésére, különösen azokra, amelyek személyes adatokat, illetve különleges kategóriájú adatokat kezelnek.
Adatvédelmi tisztviselő szerepe és jelentősége
A GDPR bizonyos szervezetek számára kötelezővé teszi adatvédelmi tisztviselő (DPO) kijelölését, különösen akkor, ha az adatkezelés:
- nagy volumenű,
- rendszeres és szisztematikus megfigyelést foglal magában,
- vagy a GDPR 9. cikke szerinti különleges személyes adatokra terjed ki.
Ilyen szervezetek lehetnek többek között:
- pénzügyi és biztosítási intézmények
- távközlési szolgáltatók
- közüzemi szolgáltatók
- egészségügyi intézmények
- önkormányzatok és közigazgatási szervek
- országos hatóságok és nagyméretű adatállományt kezelő szervezetek
Minden más olyan szervezetnél is erősen ajánlott DPO kinevezése, ahol személyes adatok kezelése történik (pl. HR, munkaügy, ügyfélszolgálat, beszállítói kapcsolatok). A jogszabályi megfelelés elmulasztása jelentős bírságot vonhat maga után, amely a GDPR értelmében akár 20 millió euróig vagy a vállalat éves globális árbevételének 4%-áig terjedhet.
A tanfolyam célja
A képzés célja, hogy a résztvevők:
- átfogó képet kapjanak a GDPR rendelet, a 2011. évi CXII. törvény (Infotörvény) és az ágazati jogszabályok alkalmazásáról
- elsajátítsák az adatvédelmi tisztviselő feladatainak ellátásához szükséges ismereteket
- megismerjék az adatvédelmi hatásvizsgálat (DPIA) elvégzésének módszertanát
- stabil jogi háttértudást szerezzenek a GDPR gyakorlati alkalmazásához
- segítséget kapjanak szerződések, nyilatkozatok, nyilvántartások és belső szabályzatok elkészítéséhez
- felkészüljenek a jogszabályi megfelelés biztosítására és a bírságok elkerülésére
A GDPR értelmében az adatvédelmi tisztviselői feladatok ellátásához szakértői szintű adatvédelmi jogi és gyakorlati ismeretek szükségesek. A képzés ehhez nyújt biztos alapot, és iránymutatást ad a további szakmai fejlődéshez.
Mit nyer a résztvevő a képzés elvégzésével?
A tanfolyamot sikeresen elvégző hallgató képes lesz:
- koordinálni a szervezet GDPR-felkészülési és bevezetési folyamatait
- működtetni és felügyelni az adatvédelmi folyamatokat
- belső adatvédelmi oktatásokat tartani munkatársak számára
- szakértői támogatást nyújtani a szervezet adatvédelmi és adatbiztonsági működéséhez
- nyomon követni az adatkezelési és adatfeldolgozási tevékenységeket
- tanácsot adni a vezetőségnek és a munkavállalóknak jogi megfelelési kérdésekben
- kapcsolatot tartani az adatvédelmi hatósággal
A képzés tartalmazza a TÜV vizsga árát is. Sikeres vizsga esetén a TÜV tanúsítvány magyar, angol, vagy német nyelven kérhető. A tanúsítvány elkészítése hozzávetőleg 4 hetet vesz igénybe.
1. nap
- GDPR Foundation
- Alapfogalmak átbeszélése
- A GDPR rendelet történeti hátterének, előzményeinek áttekintése, a szabályozás bevezetésének okai
- Az új EU adatvédelmi rendelet alapelvei, főbb pontjai, szerkezeti felépítése
- Szabályozandó adatkezelési folyamatok
- Jelenlegi adatvédelmi problémák a vállalkozásoknál
- Az érintett jogai, jogérvényesítési lehetőségek
- Az adatkezelő kötelezettségeinek ismertetése általánosságban
- Adattípusok, speciális személyes adatok
- A személyes adat, egyes fogalmi elemek részletes meghatározása, a személyes adatok védelme, Alkotmánybírósági határozatok tükrében
- A közérdekű adatok nyilvánossága, közzététele, különös tekintettel az állami és önkormányzati szervek adatkezelésére, gyakorlati példákkal kiegészítve, figyelemmel az információszabadságra
- Az adatkezelés feltételei
- Az adatkezelés jogalapjai és előzetes tájékoztatás, céltól eltérő adatkezelés, jogesetekkel kiegészítve
- Kezelt adatok azonosítása, adatkezelési folyamatok
- Az Adatvédelmi Hatáselemzés (Data Protection Impact Analysis)
- Mit mond róla a rendelet?
- Mikor kell végrehajtani?
- Milyen kötelező tartalmi elemei vannak?
- Milyen módszertanokkal végezhető el?
- Intézkedési Akcióterv szükségessége és szempontrendszere
A nap folyamán átbeszélt tananyag jogesetekkel, bírósági döntésekkel, mintákkal, adatvédelmi munkacsoportok ajánlásával és adatvédelmi ombudsmani határozatokkal kerül kiegészítésre, hogy az előadás minél érthetőbb, színesebb, informatívabb legyen.
2. nap
- Az adatfeldolgozásra, adattovábbításra vonatkozó felelősségi szabályok, adatokra leselkedő veszélyek
- Adatvédelmi munkacsoport véleménye, a megfelelő biztonság kialakításával kapcsolatban, esettanulmányok
- A nyilvántartások adatbiztonsági kockázatának jelentősége
- Adattovábbítás külföldre, megfelelő védelmi szint kialakítása (Pl. Binding Corporate Rules)
- Gyakorlati példák a jogszerű adatkezeléshez, az adatvédelem elveinek kibontása
- Automatizált adatkezelés, profilalkotás. Európai Tanács Miniszteri Bizottságának ajánlása
- Jog az „elfeledtetéshez” bírósági döntésekkel kiegészítve
- Street view, a tiltakozáshoz való jog
- Az adatvédelmi incidens és bejelentési kötelezettség, jogesetekkel kiegészítve
- Kamerás megfigyelések (megfigyelés munkahelyen, közterületen, felvétel megőrzésének ideje)
- Kamerás megfigyeléshez szükséges jogalap, követelmények, szabályozási területek, jogesetekkel kiegészítve
- Nemzeti Adatvédelmi és Információszabadság Hatóság
- Illetékessége
- Hatósági eljárások
- A hatósági eljárás szakaszai
- A hatóság eljárásának lezárása, végrehajtás
- Jogellenes adatkezelés következményei, bírságok
- Adatvédelmi auditálás/ellenőrzés folyamata
- Szakértői jelentés elkészítése
- Adatkezelési tájékoztató, adatvédelmi nyilatkozat elkészítése
- Belső adatvédelmi szabályzat elkészítése
Az elhangzottak alapján az oktató pontokba szedi a felkészülés menetét a GDPR mindennapi alkalmazásához.
3. nap
- Munkahelyi privacy, munkaviszonnyal kapcsolatos adatok kezelése
- Munkavállalók ellenőrzése, megfigyelése (mobiltelefon, laptop, GPS)
- Alapelvek, megfelelő jogalap, előzetes tájékoztatás követelménye
- Joghatósági kérdések
- Visszaélés-bejelentési rendszerek
- Biometrikus rendszer alkalmazhatósága
- Személyes adatok büntetőjogi védelme, a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó irányelv (2016/680/EU irányelv)
- Útmutató a GDPR-ra való felkészüléshez
- Gyakorlati esetek megosztása, konzultáció
4. nap
- Jogi követelmények megoldási lehetőségei, felhasználó szintű alkalmazásai vállalati és magán környezetben
- Titkosítás – Bitlocker
- Kétlépcsős azonosítás – Office365, Google szolgáltatások
- Álnevesítés – tesztadatok generálása IT teszteléshez
- Profilalkotás, internethasználat
- Kockázatos területek – gyermekek adatainak kezelése
- Bizalmasság – sértetlenség – rendelkezésre állás követelményeinek teljesítése
- Alkalmazható szabványok:
- ISO/IEC 27001, NIST és a 2013. évi L. törvény
- Intézkedések:
- Adminisztratív védelmi intézkedések, informatikai szabályzatok kialakítása
- Fizikai védelem megteremtése
- Logikai védelem
- Incidensek kezelése
- Folyamat kialakítása
- Szerepkörök meghatározása – incidensmenedzser, IRT, csapatalkotás
- Adatvédelem szempontjainak megteremtése vállalati környezetben
- Szervezeti szerepek kialakítása
- GDPR megfelelés kialakítása projektszemmel
- Működési folyamatok feltérképezése
- Adatvédelmi hatásvizsgálat (DPIA)
- Működési folyamatok újragondolása adatvédelmi, adattakarékossági szempontok mentén
- Adatvédelmi dokumentációs rendszer kialakítása a gyakorlatban
- GDPR integrálása a vállalati folyamatokba
- Vizsga
