EU általános adatvédelmi rendelet Fábián Péter

EU általános adatvédelmi rendelet

Fábián Péter [email protected]

7/9/2015

Copyright © 2015, Oracle and/or its affiliates. All rights reserved. | Oracle Internal

1

Közelmúltig... Egyetlen EU Irányelv (Directive 95/46/EC) Fragmentált implementációk Idejétmúlt: nincs készen Cloud, Big Data & Social-re

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal

2

Miért van rá szükség

63%

úgy véli, hogy a személyes adatok rendelkezésre bocsátása nagy horderejű kérdés

90%

szerint fontos, hogy valamennyi tagországban ugyanolyan adatvédelmi jogok érvényesüljenek és ugyanolyan szintű adatvédelem valósuljon meg

70%

aggódik amiatt, hogy a vállalatok esetlegesen az adatgyűjtés eredeti céljától eltérő célokra használják fel az adatokat

18%

gondolja úgy, hogy teljes mértékben ellenőrizni tudja az általa online rendelkezésre bocsátott információk további felhasználását Source - Eurobarometer on Data

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential

EU Digital Single Market Initiative 2 jogalokotási javaslat

GDPR: General Data Protection Regulation (Általános Adatvédelmi Rendelet)

Általános szabályozás

DPD: Data Protection Directive

Igazságszolgáltatási –rendőrségi szabályozás személyes adatok kicserélésére Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal

4

EU Global Data Protection Regulation Céljai

Egyén adatvédelmui jogainak kiterjesztése, pontosítása

Üzlet támogatása egységes szabályozás megteremtésével

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal

5

EU Global Data Protection Regulation Rendelet, nem ajánlás

Adatvédelem egységesítve, egyetlen törvényben

2 év átmeneti idő után mind a 28 tagállamban azonnal érvénybe lép Semmilyen helyi törvénykezési folyamatot nem igényel Minden külföldi cégre vonatkozik amely EU rezidensek adataival foglalkozik

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Kis történelem


Miért jó az állampolgároknak Beleszólás az adatfelhasználásba

Felejtés joga (right to be forgotten)

Informálási kötelezettség

Könnyebb hozzáférés saját adatainkhoz

(adatszivárgás esetén)

Adatvédelem First Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential

7/9/2015


9

Miért jó az Üzletnek?

Erős szankciók

Ugyanazok a szabályok vonatkoznak mindenkire

One-stop shop Egy kontinens, egy törvény


http://www.consilium.europa.eu/en/policies/data-protection-reform/data-protection-regulation-infographics/ 7/9/2015


11

Fogalmak „érintett”: azonosított vagy közvetlen vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen egy azonosító számra, tartózkodási információra, online azonosító jelekre vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén – azonosítható természetes személy; „személyes adat”: az érintettre vonatkozó bármely információ; adatkezelő”: az a természetes vagy jogi személy, hatóság, ügynökség vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait, feltételeit és módját; „adatfeldolgozó”: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében; http://register.consilium.europa.eu/doc/srv?f=ST+5853+2012+INIT&l=hu

7/9/2015


12

32. cikk Az adatkezelés biztonsága 1. Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülménye és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben: a) a személyes adatok álnevesítését és titkosítását; b) a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét; c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=consil:ST_5419_2016_INIT

7/9/2015


13

25. Beépített és alapértelmezett adatvédelem 25.1Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. 25.2Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

7/9/2015


14

Értesítési kötelezettség 33. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak (1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk szerint illetékes felügyeleti hatóságnak kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a felügyeleti hatóság értesítésére 72 órán belül nem kerül sor, mellékelni kell a késedelem igazolására szolgáló indokokat is. 34. Cikk Az érintett értesítése a személyes adatok megsértéséről (1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

7/9/2015


15

Miért kellene ezzel törődnöm?

83. cikk A közigazgatási bírságok kiszabására vonatkozó általános feltételek 4. Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; ….. 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 és 43. 5. Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni…. az adatkezelés elvei – ideértve a hozzájárulás feltételeit – az 5., 6., 7. és 9. cikknek megfelelően; b) az érintettek jogai a 12–22. cikknek megfelelően; 6. A felügyeleti hatóság 58. cikk (2) bekezdése szerinti utasításának be nem tartása – az e cikk (2) bekezdésével összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | Oracle Confidential

Releváns Oracle megoldások Database security Intézkedés

Mit

Megoldás elemei

Védekezés adatlopás,visszaélés személyes adatokkal ellen

-Tárolt adatok védelme -backup titkosítás -tesztrendszerek adattartalma -data in transit védelem -DBA-k elleni védelem

Advanced Security -Transparent Data encryption -Data Redaction (- Key Vault) Database Vault (Audit Vault) Database Firewall Data Masking


Releváns Oracle megoldások Database Security intézkedés

Mit

Megoldás elemei

Személyes adat hozzáférés monitorozása, naplózása

Ki mikor fért hozzá személyes adatokhoz

Database Vault Audit Vault Database Firewall


Releváns Oracle megoldások Identity & Access Management Intézkedés

Mit

Megoldás elemei

Védekezés belsősök ellen

Csak authentikált felhasználók Identity Governance érhessenek el adatokat Privileged User Management Szükséges és elégséges jogosultságok Access Management elve Privilegizált felhasználók kezelése


Releváns Oracle megoldások Identity & Access Management Intézkedés

Mit

Megoldás Elemei

Jelszólopások megelőzése

Két v többfaktorú azonosítás

Access Management Suite plus


EU általános adatvédelmi rendelet Fábián Péter

Recommend Documents