2016 tavaszán elfogadásra és kihirdetésre került az új, uniós szinten kötelező Általános Adatvédelmi Rendelet (2016/679/EU rendelet – GDPR – General Data Protection Regulation), mely a jelenleg hatályos magyar (és uniós tagállamokbeli) adatvédelmi szabályrezsimet alapjaiban és elveiben változtatja meg. A Rendelet a 95/46/EK Irányelv helyére lép, amely 1995-ös bevezetése óta az európai adatvédelmi törvények fundamentumának számított. A GDPR 2018. május 25-től lesz kötelezően alkalmazandó minden EU tagállamban és jelentős változásokat hoz a gazdasági szervezetek működésében.
Az új általános adatvédelmi rendelet adatvédelmi tisztviselő kinevezését olyan szervezeteknél, cégeknél teszi kötelezővé, ahol az adatkezelő vagy az adatfeldolgozó nagy számú, a 9. cikk szerinti különleges kategóriájú személyes adatot kezel. Ilyenek pl. a pénzügyi szervezetek, távközlési szolgáltatók, közüzemi szolgáltatók, egészségügyi intézmények, megyei és fővárosi közigazgatási hivatalok (önkormányzatok), országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelők stb. Minden egyéb szervezetnél – ahol személyes, illetve egyéb személyre, vagy szervezetre utaló adatot tartanak nyilván – erősen ajánlott adatvédelmi tisztviselőt/felelőst kinevezni. A törvényi kötelezettségek elmulasztása bírságolást vonhat maga után. A legmagasabb büntetési tétel már jelenleg is 20 millió forint, de 2018. május 25-től az új rendelet (GDPR) következtében akár 20 millió euró is lehet a szankció.
A tanfolyam célja:
-
Általános információk megszerzése a rendelet alkalmazhatóságára való tekintettel
-
Átfogó ismeretek átadása, amelyek szükségesek az Adatvédelmi Tisztviselő feladatainak ellátásához
-
Az adatvédelmi hatáselemzés (DPIA) elvégzésének módszertani bemutatása
-
Alapos jogi háttértudás átadása – példákkal, mintákkal kiegészítve-, mely jövőre, a rendelet életbe lépése utáni szerződésmódosítások, szükséges nyilatkozatok, nyilvántartások stb. elkészítéséhez kiváló segítséget jelent
-
A büntetés – 20 millió forintig terjedően, mely 2018. május 25-től akár 20 millió euró is lehet – elkerülése
Mit kap a hallgató, aki elvégzi a képzést?
Ő lesz a törvény által meghatározott kötelezően kijelölt személy, aki:
-
koordinálni tudja a felkészülést, bevezetést
-
működteti az adatvédelmi folyamatokat
-
saját munkatársainak belső oktatást tart
1. nap
-
GDPR Foundation
-
Alapfogalmak átbeszélése
-
A GDPR rendelet történeti hátterének, előzményeinek áttekintése, a szabályozás bevezetésének okai
-
Az új EU adatvédelmi rendelet alapelvei, főbb pontjai, szerkezeti felépítése
-
Szabályozandó adatkezelési folyamatok
-
Jelenlegi adatvédelmi problémák a vállalkozásoknál
-
Az érintett jogai, jogérvényesítései lehetőségek
-
Az adatkezelő kötelezettségeinek ismertetése általánosságban
-
Adattípusok, speciális személyes adatok
-
A személyes adat, egyes fogalmi elemek részletes meghatározása, a személyes adatok védelme, Alkotmánybírósági határozatok tükrében
-
A közérdekű adatok nyilvánossága, közzététele, különös tekintettel az állami és önkormányzati szervek adatkezelésére, gyakorlati példákkal kiegészítve, figyelemmel az információszabadságra
-
Az adatkezelés feltételei
-
Az adatkezelés jogalapjai és előzetes tájékoztatás, céltól eltérő adatkezelés, jogesetekkel kiegészítve
-
Kezelt adatok azonosítása, adatkezelési folyamatok
-
Az Adatvédelmi Hatáselemzés (Data Protection Impact Analysis)
-
Mit mond róla a rendelet?
-
Mikor kell végrehajtani?
-
Milyen kötelező tartalmi elemei vannak?
-
Milyen módszertanokkal végezhető el?
-
Intézkedési Akcióterv szükségessége és szempontrendszere
A nap folyamán átbeszélt tananyag jogesetekkel, bírósági döntésekkel, mintákkal, adatvédelmi munkacsoportok ajánlásával és adatvédelmi ombudsmani határozatokkal kerül kiegészítésre, hogy az előadás minél érthetőbb, színesebb, informatívabb legyen.
2. nap
-
Az adatfeldolgozásra, adattovábbításra vonatkozó felelősségi szabályok, adatokra leselkedő veszélyek
-
Adatvédelmi munkacsoport véleménye, a megfelelő biztonság kialakításával kapcsolatban, esettanulmányok
-
A nyilvántartások adatbiztonsági kockázatának jelentősége
-
Adattovábbítás külföldre, megfelelő védelmi szint kialakítása (Pl. Bindig Corporate Rules)
-
Gyakorlati példák a jogszerű adatkezeléshez, az adatvédelem elveinek kibontása
-
Automatizált adatkezelés, profilalkotás. Európai Tanács Miniszteri Bizottságának ajánlása
-
Jog az „elfeledtetéshez” bírósági döntésekkel kiegészítve
-
Street view, a tiltakozáshoz való jog
-
Az adatvédelmi incidens és bejelentési kötelezettség, jogesetekkel kiegészítve
-
Kamerás megfigyelések (megfigyelés munkahelyen, közterületen, felvétel megőrzésének ideje)
-
Kamerás megfigyeléshez szükséges jogalap, követelmények, szabályozási területek, jogesetekkel kiegészítve
-
Nemzeti Adatvédelmi és Információszabadság Hatóság
-
Illetékessége
-
Hatósági eljárások
-
A hatósági eljárás szakaszai
-
A hatóság eljárásának lezárása, végrehajtás
-
Jogellenes adatkezelés következményei, bírságok
-
Adatvédelmi auditálás/ellenőrzés folyamata
-
Szakértői jelentés elkészítése
-
Adatkezelési tájékoztató, adatvédelmi nyilatkozat elkészítése
-
Belső adatvédelmi szabályzat elkészítése
Az elhangzottak alapján az oktató pontokba szedi a felkészülés menetét a GDPR mindennapi alkalmazásához.
3. nap
-
Munkahelyi privacy, munkaviszonnyal kapcsolatos adatok kezelése
-
Munkavállalók ellenőrzése, megfigyelése (mobiltelefon, laptop, GPS)
-
Alapelvek, megfelelő jogalap, előzetes tájékoztatás követelménye
-
Joghatósági kérdések
-
Visszaélés-bejelentési rendszerek
-
Biometrikus rendszer alkalmazhatósága
-
Személyes adatok büntetőjogi védelme, a bűnüldözési célból kezelt személyes adatok védelmére vonatkozó irányelv (2016/680/EU irányelv)
-
Útmutató a GDPR-ra való felkészüléshez
-
Gyakorlati esetek megosztása, konzultáció
4. nap
-
Jogi követelmények megoldási lehetőségei, felhasználó szintű alkalmazásai vállalati és magán környezetben
-
Titkosítás – Bitlocker
-
Kétlépcsős azonosítás – Office365, Google szolgáltatások
-
Álnevesítés – tesztadatok generálása IT teszteléshez
-
Profilalkotás, internethasználat
-
Kockázatos területek – gyermekek adatainak kezelése
-
Bizalmasság – sértetlenség – rendelkezésre állás követelményeinek teljesítése
-
Alkalmazható szabványok:
-
ISO/IEC 27001, NIST és a 2013. évi L. törvény
-
Intézkedések:
-
Adminisztratív védelmi intézkedések, informatikai szabályzatok kialakítása
-
Fizikai védelem megteremtése
-
Logikai védelem
-
Incidensek kezelése
-
Folyamat kialakítása
-
Szerepkörök meghatározása – incidensmenedzser, IRT, csapatalkotás
-
Adatvédelem szempontjainak megteremtése vállalati környezetben
-
Szervezeti szerepek kialakítása
-
GDPR megfelelés kialakítása projektszemmel
-
Működési folyamatok feltérképezése
-
Adatvédelmi hatásvizsgálat (DPIA)
-
Működési folyamatok újragondolása adatvédelmi, adattakarékossági szempontok mentén
-
Adatvédelmi dokumentációs rendszer kialakítása a gyakorlatban
-
GDPR integrálása a vállalati folyamatokba
-
Új technológiák vs. GDPR – átkötés a technikai napra
5. választható, kiegészítő nap informatikusok, IT szakemberek részére
Témakörei:
Sérülékenységek analizálása, Hálózati és számítógépes környezetek sérülékenységének vizsgálata, Sérülékenységek modellezése, Incidenskezelés, Malware, DoS, Web-based Attack, Post-Attack Techniques, Cybersec Intelligence, Analyzing Log Data. Windows és Linux rendszereken használatos eszközök áttekintése.
Részletes tematika:
-
Az IT rendszerek vizsgálata
-
Technológiai előfeltételek a GDPR megfelelőséghez
-
Adatfelderítés, katalogizálás, besorolás, kockázatelemzés és az audit
-
Adatvédelmi szabályzat, házirendek, eljárások és jó gyakorlatok a biztonság növelése érdekében
-
Data Loss Protection – adatszivárgás és elkerülése
-
Támadók és szivárogtatók
-
Támadások és védelmi megoldások
Adatvédelmi megoldások
-
Adattitkosítás, adataink biztonságos tárolása
-
Virtualizációs kihívások
-
Azonosítás, hitelesítés hozzáférés-kezelés és biztonságos jelszókezelés
Hálózati védelem
-
Tűzfalak, IPS/IDS
-
Monitorozás, nyomon követés
-
Network Protection és EndPoint Protection
-
Vezetékes és vezeték nélküli hálózatok védelme
-
Hálózati forgalom titkosítása – SSL, TLS, IPSec, VPN, stb.
-
Mobil eszközök védelme
Alkalmazások biztonsági tesztje, naprakészség, sérülékenységek feltárása
Anti-Malware stratégiák kialakítása
További GDPR-specifikus kihívások
-
Cloud tárhely szolgáltatások, és ezzel kapcsolatos vizsgálatok
-
Adatok szállíthatósága, exportálások
-
Adat- és monitorozás, naplózás – Felhasználói engedéllyel vagy nélküle?
-
Adatmentés és visszaállítás – A törléshez való jog – De hogyan?