Miért szükséges komolyan venni az adatok védelmét, és hogyan segíthet ebben az ESET?

Töltse le ingyenes útmutatónkat
Mi az a GDPR?

Ön megfelel a GDPR előírásainak?

2018. május 25-én lép életbe az új egységes Európai Uniós adatvédelmi szabályozás

Amennyiben az új szabályozás Önt (vagy cégét) is érinti, már most kezdje meg a felkészülést! Ez az oldal arra szolgál, hogy segítsen Önnek megérteni a GDPR rendelkezéseit, felsorolja a követelményeket, és megoldást nyújtson az ezeknek való megfeleléshez. Az új általános adatvédelmi rendelet (GDPR) minden olyan európai szervezetre hatással lesz, amelyek bármilyen személyes adatot kezelnek, és minden olyan céget érint majd, akik Európán belül tevékenykednek. A szabályozási rendszer igen összetett, a szabályok be nem tartása jelentős anyagi következményekkel járhat, akár 20 millió eurós bírság is kiszabható.

Ha többet szeretne megtudni a témáról, jó helyen jár!

GDPR szabályozás - 2018. május 25-től

Itt igényelheti ingyenes GDPR útmutatónkat

Az ESET jogi tanácsadóival közösen dolgozta ki ezt a részletes útmutatót, hogy Ön könnyen átláthassa, miként érinti Önt az új EU szabályozás.

GDPR kézikönyv

Online compliance check

This site is designed to help you understand the GDPR, quantify the requirements, and offer solutions.

A GDPR-nek való megfelelés, lépésről lépésre

A GDPR szabályozási rendszere nagyon összetett, így az egyszerűbb érthetőség kedvéért az intézkedéseket 3 nagy, és azon belül több kisebb csoportba soroltuk be. A lenti lépcsőfokokra kattintva részletesebben tájékozódhat az egyes előírásokról és a hozzájuk tartozó követelményekről.

+Általános összefoglaló

Az adatvédelmi szabályozás fő célkitűzése szerte Európában az, hogy egységesen magas szintű jogi és technikai védelmet biztosítson a személyes adatok számára, előírva, hogy azokat főszabály szerint bizalmasan, az érintett vagy jogszabály rendelkezéseinek megfelelően kell kezelni, és biztosítani kell, hogy jogosulatlan személyek azokhoz ne férjenek hozzá. A GDPR-ban lefektetett alapelvek némelyike a jelenleg hatályos adatvédelmi irányelvben is megtalálható, nevezetesen: jogszerűség, tisztességes eljárás és átláthatóság; célhoz kötöttség; adattakarékosság; adatminőség; adatbiztonság, integritás és bizalmas jelleg.

A Rendelet új alapelvként fogalmazza meg az elszámoltathatóság elvét, amelynek lényege, hogy az adatkezelő felelősséggel tartozik az adatvédelmi szabályoknak való megfelelésért, és képesnek kell lennie e megfelelés igazolására is.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

A GDPR emellett új megközelítést követ a meglévő adatvédelmi elvekkel kapcsolatban is, az alábbiak szerint:

Jogszerűség, tisztességesség és átláthatóság – A személyes adatok kezelésének az adatalany számára átlátható módon kell történnie.

Célhoz kötöttség követelménye – Az adatvédelmi jog egyik alapelve a célhoz kötöttség követelménye, amelynek lényege, hogy személyes adatok csak meghatározott, jogszerű célból kezelhetők, azaz tilos a cél nélküli, „készletező” adatkezelés. A kezelt adatok körének is igazodnia kell e célhoz, és a gyűjtött adatok nem használhatóak fel az eredeti céllal összeegyeztethetetlen célból. Nem tekinthető az eredeti adatkezelési céllal összeegyeztethetetlennek a személyes adatok közérdekből történő archiválása, leszámítva néhány kivételt.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.
A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Elszámoltathatóság – Az adatkezelő felelőssége a GDPR elveivel való összhang megteremtése, és képesnek is kell lennie e megfelelés igazolására, bizonyítására.

+Strukturális követelmények

A GDPR életbelépésével Önnek számos intézkedést meg kell tennie annak érdekében, hogy minimalizálja GDPR megsértésének esélyét, illetve bizonyítani tudja, hogy komolyan veszi a belső adatvédelmi szabályozást. A szükséges intézkedések között említhető az adatvédelmi hatásvizsgálat lefolytatása, az adatkezelési tevékenységek dokumentálása, a szabályzatok és tájékoztatók rendszeres felülvizsgálata, auditálás, és (adott esetben) adatvédelmi tisztviselő (adatvédelmi felelős) kinevezése.

A GDPR meghatározott szervezetek részére kötelezővé teszi adatvédelmi tisztviselő (adatvédelmi felelős) kinevezését, aki a szervezet egy munkatársa, vagy külső tanácsadó is lehet.

Amennyiben Ön komplex ügyféladatbázist aktívan használó piaci szereplő vagy közfeladatot ellátó szerv, nagy valószínűséggel ki kell nevezzen egy adatvédelmi tisztviselőt. A pozíció betöltéséhez szükséges feltételeket (végzettség, tapasztalat, stb.) várhatóan a nemzeti adatvédelmi hatóságok útmutatása részletezi majd.

Az adatvédelmi tisztviselő felel majd Önnél is azért, hogy folyamatosan ellenőrizze a GDPR-nak való megfelelést, tájékoztassa Önt a vonatkozó kötelezettségekről, tanácsot adjon arról, hogy mikor és hogyan kell elvégezni az adatvédelmi hatásvizsgálatot, valamint tartja a kapcsolatot a nemzeti adatvédelmi hatóságokkal és adatvédelmi kérdésekben más személyekkel.

Az egyablakos ügyintézés a több EU tagállamban is tevékenykedő szervezetek részére lehetővé teszi, hogy csak egy adott nemzeti adatvédelmi hatósággal kerüljenek kapcsolatba, azaz a Rendelet alapján főszabályként minden adatkezelés vonatkozásában egy vezető hatóság gyakorol majd felügyeletet. Ugyanakkor annak kijelölése, hogy melyik adatvédelmi hatóság tölti be ezt a szerepkört, és hogy pontosan miként kezelik a panaszokat, néhány esetben nagyon összetett.

A GDPR előírása szerint a felügyelő hatóság „egy tagállam által az 51. cikknek megfelelően létrehozott független közhatalmi szerv”, míg az egyablakos ügyintézés (ún. egységességi mechanizmus) azt jelenti, hogy amennyiben egy vállalkozás több tagállamban rendelkezik telephellyel, számára kijelölhető egy vezető hatóság az EU-n belüli elsődleges székhelye alapján (azonban ettől eltérő más helyi felügyeleti hatóságok is rendelkezhetnek hatáskörrel egyes esetekben).

+Folyamatok, eljárásrendek és szabályzatok

A GDPR alapján az adatvédelmi incidens „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”.

Ez egy átfogó meghatározás, amely nincs tekintettel arra, hogy az incidens okozott-e tényleges kárt az érintetteknek. Adatvédelmi incidens esetén az adatkezelő azonnal, illetve az incidensről való tudomásszerzést követő 72 órán belül köteles értesíteni az adatvédelmi hatóságot és adott esetben az érintetteket is, kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az adatkezelő azonban mentesül a bejelentés alól, ha megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, például titkosítást alkalmaz.

Fontos része a GDPR előírásoknak történő megfelelés során a beépített adatvédelem elve, azaz pl. minden új folyamat vagy termék megtervezésekor az adatvédelmi követelményeket a középpontba kell helyezni. Ez a megközelítés, ami korábban inkább csak „jó gyakorlat” volt, immár kifejezett jogszabályi követelmény.

Az adatvédelmi hatásvizsgálat célja, hogy azonosítsa és minimalizálja a GDPR rendelkezéseinek megsértéséből (nem-megfelelésből) eredő kockázatokat.

A GDPR szerint az adatvédelmi hatásvizsgálat egy formális követelmény, és az adatkezelőnek kell gondoskodnia az adatvédelmi hatásvizsgálat lefolytatásáról bizonyos „jelentős kockázattal” járó adatkezelési művelet megkezdése előtt.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

Amennyiben az Ön cége nemzetközi kapcsolatokkal rendelkezik, a nem EU (ill. EGT) tagállamokba történő adattovábbítással kapcsolatos szabályok és eljárások különös figyelmet igényelnek. A GDPR életbelépését követően a kiszabható bírságok jóval szigorúbbak lesznek az adattovábbításra vonatkozó rendelkezések megsértéséért, különösen a – Bizottság értékelése szerint – nem megfelelő szintű védelmet biztosító országokba történő adattovábbítás esetén.

A személyes adatok Európai Gazdasági Térségen kívüli, illetve nemzetközi szervezetek számára történő továbbítása csak különböző korlátozások figyelembe vételével történhet, amelyeket a GDPR V. fejezete határoz meg. Amint azt a hatályos irányelv is kimondja, az adatokat nem kell fizikálisan átadni az adattovábbításhoz, egy másik helyen tárolt adat megismerése (hozzáférhetősége) is adattovábbításnak minősül a GDPR értelmében.

A GDPR úgy határozza meg a személyes adatok határokon átnyúló kezelését, mint:
(a) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az egynél több tagállamban tevékenységi hellyel rendelkező adatkezelő vagy adatfeldolgozó több tagállamban található tevékenységi helyein folytatott tevékenységekkel összefüggésben kerül sor; vagy
(b) személyes adatoknak az Unióban megvalósuló olyan kezelése, amelyre az adatkezelő vagy az adatfeldolgozó egyetlen tevékenységi helyén folytatott tevékenységekkel összefüggésben kerül sor úgy, hogy egynél több tagállamban jelentős mértékben érint vagy valószínűsíthetően jelentős mértékben érint érintetteket.

+Adatbiztonsági tudatosság

Már most érdemes elkezdenie tájékoztatni munkavállalóit arról, hogy miért fontos megfelelni a GDPR előírásainak. Ajánlott elkezdeni felülvizsgálni és megtervezni azt is, hogy milyen eljárások szükségesek, hogy a vállalkozása meg tudjon felelni a GDPR új, átláthatóságot és egyéni (érintetti) jogokat érintő rendelkezéseinek. Ez jelentős befektetést igényelhet pénzügyi, informatikai és képzési területeken is.

+Elszámoltathatóság – technikai intézkedések

A GDPR az adatkezelő felelősségévé teszi a Rendelet adatvédelmi elveinek való megfelelés bizonyítását, ezért Önnek biztosnak kell lennie abban, hogy kellően világos adatvédelmi irányelvei vannak annak igazolására, hogy megfelel a jogszabályi követelményeknek. Ennek érdekében rendszeresen ellenőriznie, értékelnie és felül kell vizsgálnia az adatkezelési eljárásait, biztosítékokat beépíteni az adatkezelési folyamatokba, és gondoskodnia a munkavállalók képzéséről is, hogy tisztában legyenek a rájuk vonatkozó kötelezettségekkel. Mindezeken felül képesnek kell lennie ezeket a nemzeti adatvédelmi hatóság felé, annak kérésére, bármikor igazolni.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.

+Adatvédelmi incidens – technikai intézkedések

Egyértelmű belső szabályrendszerrel és kipróbált eljárásokkal kell felkészülnie az adatvédelmi incidensekre (amely a GDPR definíciója szerint „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi”), így biztosítva, hogy képes legyen megfelelően reagálni az incidensekre, és értesíteni a hatóságot/érintetteket, amennyiben az szükséges.

+Az érintettek jogainak biztosítása

A GDPR megerősíti az érintettek jogait, így biztosítja számukra a tájékoztatáshoz való jogot a róluk kezelt adatokkal kapcsolatban, bizonyos esetekben garantálja az adatokhoz való hozzáférést, és az esetlegesen helytelen adatok kijavítására is lehetőséget biztosít.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

A GDPR egyik fő célja, hogy megerősítse az egyének jogait. Ennek eredményeként az érintettek hozzáférésének kezelésére vonatkozó szabályok is szigorodnak, így Önnél is szükségessé válik a vonatkozó eljárásrendek megfelelő frissítése.

A legtöbb esetben nem számíthat majd fel díjat az érintett kérésének teljesítésért, és az érintetti jogok gyakorlását a lehető leghamarabb, de legkésőbb egy hónapon belül biztosítania kell.

Az elfeledtetéshez való jog (a „törléshez” való jog a GDPR terminológiájában) lehetővé teszi az egyének számára, hogy kérjék az adatkezelőt személyes adataik indokolatlan késedelem nélküli törlésére bizonyos helyzetekben, például amennyiben a személyes adatokat jogellenesen kezelték, vagy az érintett visszavonta korábbi hozzájárulását.

A törlési kötelezettség azon harmadik felekre (pl. üzleti partnerekre) is vonatkozik, akikkel ezeket az adatokat korábban megosztotta.

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelő „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

GDPR következőképp definiálja a profilalkotást „a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére”. Ugyanakkor nem egészen egyértelmű, hogy ténylegesen hogyan gyakorolhatja majd az érintett a profilalkotáson alapuló döntésekkel kapcsolatos jogait.

Az érintettek újonnan nevesített joga az adathordozhatósághoz való jog, amely továbbfejleszti az érintett arra vonatkozó jogát, hogy biztosítani kell számára az igényelt személyes adatait, és megköveteli, hogy a rá vonatkozó személyes adatokat strukturált, széles körben használt és géppel olvasható formátumban kapja meg.

Az adathordozhatósághoz való jog alapvetően ugyan csak a hozzájáruláson alapuló, vagy szerződés teljesítéséhez szükséges automatizált (elektronikus) adatkezelésekre terjed ki, az üzleti célú adatkezelések döntően e körbe tartoznak.

Az egyének jogainak erősítésére tett törekvések részeként a GDPR garantálja az adatkezelés korlátozásához való jogot és a tiltakozáshoz való jogot a közvetlen üzletszerzés (direkt marketing) céljából kezelt adatok esetében, ideértve az ehhez kapcsolódó profilalkotást is.

Amennyiben az érintett él a tiltakozási jogával, az adatai a továbbiakban nem használhatóak fel közvetlen üzletszerzés céljára.

A szervezetek kötelesek kifejezetten és más (szintén kötelezően biztosítandó) információtól elkülönülten felhívni az érintettek figyelmét az adatkezeléssel összefüggő tiltakozási jogukra.

+Adatvédelmi információk közzététele (hozzájárulás és adatvédelmi tájékoztató)

Vélhetően felül kell vizsgálnia az adatok gyűjtésének, és a hozzájárulás beszerzésének és rögzítésének módját. Az érintettek részére biztosítani kell a lehetőséget, hogy ugyanolyan egyszerű legyen visszavonni a hozzájárulásukat, mint megadni azt. A személyes adatok kezeléséhez kifejezett és egyértelmű hozzájárulás, azaz az érintett egyértelmű megerősítő cselekedete szükséges, a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

A GDPR a következőképpen határozza meg az érintett hozzájárulásának fogalmát: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

A közvetlenül gyermekeknek kínált internetes szolgáltatások kapcsán a személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte (ettől tagállami szabály 13. életévig lefelé eltérhet), ennél kisebb gyermek esetén a hozzájárulást a szülőnek (vagy a szülői felügyeletet gyakorló más személynek) kell megadnia.

Ennek eredményeként Önnek is erőfeszítéseket kell tennie (figyelembe véve az elérhető technológiát), hogy ilyen esetekben ellenőrizze, hogy a hozzájárulást a szülői felügyelet gyakorlója adta meg.

A GDPR kiszélesíti az érintetteknek kötelezően nyújtott tájékoztatás tartalmát, aminek ki kell terjednie az adatkezelés jogalapjára, az adatok megőrzésének idejére, valamint arra, hogy az érintettek panaszt tehetnek a nemzeti adatvédelmi hatóságnál, ha úgy érzik, hogy az Ön szervezete nem megfelelően kezeli a személyes adataikat. Ne feledje, hogy a GDPR megköveteli, hogy ezeket az információkat tömören, világosan és közérthetően fogalmazza meg.

Az érintett azonosított vagy – közvetlenül vagy közvetve – azonosítható természetes személy.

A GDPR fogalma alapján „azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

+Adatbiztonság (sértetlenség és bizalmasság)

A GDPR a hatályos irányelvben foglaltakhoz hasonló alapelveket fogalmaz meg, többek között: a tisztességes eljárás, a jogszerűség és az átláthatóság elve; a célhoz kötöttség; az adattakarékosság; az adatminőség és az adatbiztonság követelménye, az integritás és bizalmas jelleg biztosítása.

Minden esetben meg kell bizonyosodni arról, hogy a személyes adatok kezelésének módja garantálja az adatok megfelelő biztonságát, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.A szervezeteknek és külső partnereiknek is megfelelő technikai vagy szervezési intézkedések alkalmazásával kell gondoskodnia a kockázat mértékének megfelelő szintű adatbiztonságról.”

A GDPR szerint személyes adat az „azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”

A GDPR szintén rögzíti, hogy „a természetes személyek összefüggésbe hozhatók az általuk használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, például IP-címekkel és cookie-azonosítókkal, valamint egyéb azonosítókkal, például rádiófrekvenciás azonosító címkékkel.”

Tekintettel az új megfogalmazásra szükséges azt megállapítani, hogy a digitális forrásból származó adatok személyes adatok-e vagy sem.

A rendelet számos olyan biztonsági intézkedést javasol, amelyeket érdemes az adatok védelme érdekében használni, mint
a) a személyes adatok álnevesítését és titkosítását;
b) személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét;
c) fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani;
d) az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A GDPR olyan eszközként tekint a titkosításra, amely segíthet a Rendelet egyes követelményeinek teljesítésében, így fontos intézkedés lehet az adatbiztonságra vonatkozó követelményeknek való megfelelésben, valamint mentesítheti Önt az adatvédelmi incidensek érintettekkel történő közlésének kötelezettsége alól. A Rendelet megfogalmazásában:

32. cikk – Az adatkezelés biztonsága

(1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, ideértve, többek között, adott esetben: a) a személyes adatok álnevesítését és titkosítását.”

34. cikk – Az érintett tájékoztatása az adatvédelmi incidensről

(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:
a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.”

Az adatkezelő az a személy vagy szervezet, aki/amely egyedül vagy másokkal közösen meghatározza a személyes adatok kezelésének céljait és eszközeit.

A GDPR definíciója alapján az adatkezelőaz a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

Az adatfeldolgozó az a személy vagy szervezet, aki/amely az adatkezelő nevében személyes adatokat kezel.

A GDPR fogalma alapján adatfeldolgozóaz a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”.

+Adatdokumentáció, jogalap és audit

Mindenképpen szükséges dokumentálnia, hogy milyen személyes adatokat kezel, honnan/kitől gyűjtötte azokat, és kivel osztja meg.

Amennyiben pontatlan személyes adatokat osztott meg egy másik szervezettel, a GDPR megköveteli, hogy tájékoztassa a másik szervezetet az adatok pontatlanságáról, hogy ezt saját rendszerében is korrigálhassa. Ehhez szükséges lehet egy, az egész szervezetre vagy annak adott részegységeire kiterjedő audit lefolytatása. Ez a GDPR elszámoltathatóság elvének való megfelelésben is segíthet.

Az GDPR alapján szükséges megvizsgálni a személyes adatok kezelésének körülményeit, és pontosan megjelölni az adatkezelés jogalapját, amely alapján elvégezhetőek és dokumentálhatóak ezek a folyamatok.

Erre azért van szükség, mert néhány, a GDPR-ban lefektetett érintetti jog az adatkezelés jogalapjától függően eltérően érvényesül. Egy példa erre, hogy az érintetteket a GDPR erősebb joggal ruházza fel az adatok törlésére a hozzájáruláson alapuló adatkezelések esetében. Azonban a hozzájárulás csak egyike a számos különböző jogalapnak és sok esetben nem is a legjobb (tekintettel arra, hogy visszavonható).

A weboldalon feltüntetett információk nem tekinthetőek jogi szakvéleménynek, azok változás alatt állhatnak. Kérjük, pénzügyi vagy üzleti döntéshozatal előtt minden esetben bizonyosodjon meg az információk hitelességéről, és kérjen független jogi szaktanácsadást. Az ezekből adódó perek eredményeiért az ESET, spol. s r.o. és kizárólagos magyarországi disztribútora, a Sicontact Kft. nem vonható felelősségre. Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság adatkezelők, adatfeldolgozók részére kiadott iránymutatása tekinthető hiteles forrásnak. Adatkezelés tekintetében fő felügyeleti hatóságként az általa javasolt lépések megtétele az irányadó. A NAIH állásfoglalása itt érhető el.

Vegyen részt Ön is a GDPR-ról szóló webináriumunkon

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

A titkosítás, mint megoldás

Mi is a titkosítás?

A titkosítás az információ oly módon történő kódolása, hogy azt illetéktelen személyek ne legyenek képesek elolvasni.

Kulcshossz és a titkosítás erőssége

A titkosítás erőssége leggyakrabban a kulcshossz (bit) és a titkosítási algoritmus függvénye. A legegyszerűbb módja egy titkosítás feltörésének az összes lehetséges kulcs kipróbálása. Ez az úgynevezett brute-force támadás, azonban a hosszabb kulcsok megjelenése ezt a módszert hatástalanná tette.

Ahhoz, hogy feltörjünk egy 128 bites AES kódot, a világ teljes lakosságának másodpercenként 1 milliárd kulcsot kellene ellenőriznie 1.5 billió éven keresztül.

Emiatt nem jellemző, hogy a támadók megpróbálnák visszafejteni ezeket a kulcsokat. Ehelyett sérülékenységeket keresnek a titkosító szoftverben, vagy kártékony kódot helyeznek el a hálózatunkban, hogy ellophassák a jelszavainkat vagy a titkosításhoz használt kulcsainkat.

Az ilyen kockázat minimalizálása érdekében ajánlott egy független szervezet által elismert terméket választani, továbbá futtatni egy fejlett, naprakészen tartott antivírus védelmet is.

Hogyan működik?

Az alkalmazott titkosítás jellemzően két különböző módon történhet:

Titkosított meghajtó: gyakran “pihenő adatok”-ként hivatkozunk rá. Jellemzően a teljes lemez titkosításáról beszélünk, meghajtó vagy eszköz szinten.

Az ilyen típusú titkosítás akkor válik aktívvá, amikor a rendszer leáll, ha az eszközt eltávolítjuk, vagy amikor a titkosító kulcs blokkolásra kerül.

Titkosított tartalom, vagy más néven szemcsézett titkosítás esetén alkalmazás szinten történik a fájlok vagy szövegek titkosítása.

A leggyakoribb példa az ilyen típusú titkosításra az e-mail titkosítás, ahol az üzenet formátumának érintetlenül kell maradnia, hogy a levelezőkliens kezelni tudja azt, de a levéltörzs és a csatolmány titkosításra kerülhet.

 

eset data encryption example

Mit kell tudnom a titkosításról?

Bár a kulcshossz és a termék funkciók sokasága valóban fontos szempontok lehetnek a döntésben, ezek azonban nem mondanak el semmit arról, hogy valójában milyen hatékonyan működik a termék a felhasználó vagy a rendszergazda szemszögéből.

FIPS-140 minősítés

A talán legszélesebb körben ismert és elismert független minősítés a FIPS-140-es szabvány. Amennyiben egy termék ilyen minősítéssel rendelkezik, akkor az magasabb biztonsági szintet garantál, mint ami a helyzetek nagy részében szükséges lenne, és természetesen megfelel a legszigorúbb szabályozásoknak is, mint amilyen például a GDPR.

Könnyű kezelhetőség még a szakmában kevésbé jártas felhasználók számára is

Mindig lesz olyan szituáció, amikor az alkalmazottaknak kell eldönteniük, hogy titkosítanak-e egy dokumentumot, e-mailt stb., vagy sem. Ezért rendkívül fontos, hogy képesek legyenek használni az alkalmazott szoftvert, és biztosak legyenek abban, hogy a titkosítás nem hátráltatja őket vagy a címzettjüket a munkában.

A kulcsok, beállítások és házirendek központi kezelése

Annak elkerülése érdekében, hogy a munkavállalóknak ne kelljen biztonságról szóló döntéseket hozniuk, a vállalaton belül mindenhol ki lehet kényszeríteni a titkosítás alkalmazását, de ez korlátozhatja az üzleti folyamatokat, és csökkentheti a termelékenységet. A távmenedzsment lehetővé teszi a legnagyobb biztonsági kockázatot jelentő, távoli felhasználókhoz rendelt kulcsok, beállítások vagy házirendek cseréjét, és az üzletmenet akadályozása nélkül biztosítja a szigorúbb titkosítási módszerek és biztonsági házirendek használatát.

Management of Encryption Keys - Titkosító kulcsok kezelése

Ennek használatánál a legnagyobb kihívás az, hogy a felhasználók milyen formában cseréljék ki a titkosításhoz használt információkat. Jellemezően az alábbi eljárásokat használják:

Megosztott jelszavak használata, amely kétféle szempontból lehet problémás: a jelszavak vagy könnyen megjegyezhetők, de nem biztonságosak, vagy biztonságosak, de olyan bonyolultak, hogy képtelenség megjegyezni őket. Az utóbbi típust általában vagy leírják, vagy elfelejtik.

A publikus kulccsal történő titkosítás nagyon jól működhet kisebb munkakörnyezetben, ahol alacsony a munkavállalók fluktuációja, ugyanakkor nehezen kezelhetővé és problémássá válhat egy nagyobb és dinamikusabb környezetben.

Központilag kezelt megosztott kulcsok használatával ezek a problémák elkerülhetők, és további előnyök is származnak abból, hogy ezek a kulcsok szinte ugyanúgy működnek, mint a házainkhoz, lakásainkhoz vagy autóinkhoz használt fizikai kulcsok. A dolgozók számára ez a megközelítés nem ismeretlen, így elég egyszer elmagyarázni nekik azt. A prémium távfelügyeleti rendszer menedzsment és a megosztott titkosítási kulcsok alkalmazása a biztonság és a használhatóság optimális egyensúlyát eredményezi.

Próbálja ki ingyen az ESET Endpoint Encryption szoftvert!

Bár a kulcshossz és a termék funkciók sokasága valóban fontos szempontok lehetnek a döntésben, ezek azonban nem mondanak
el semmit arról, hogy valójában milyen hatékonyan működik a termék a felhasználó vagy a rendszergazda szemszögéből.

Hogyan segít ebben az ESET

Megoldásunk, az ESET Endpoint Encryption

A rendszereken előforduló személyes adatok titkosítása kielégíti a GDPR által támasztott követelmények nagy részét. Az ESET megoldása hatékony, egyszerűen bevezethető és biztonságosan alkalmazható a teljes merevlemez, a cserélhető adathordozók, fájlok és e-mailek
titkosítására.

Az ESET Endpoint Encryption a titkosítási házirend bevezetésével segít megfelelni az adatbiztonsághoz kapcsolódó szabályozásoknak, de nem csökkenti a termelékenységet. Mivel csak minimális technikai személyzetet igényel, és nagyon rövid idő alatt bevezethető, nincs még egy olyan termék, amely olyan rugalmas és könnyen használható lenne, mint a ESET Endpoint Encryption program.

Kliens oldalon minimális felhasználói beavatkozást igényel: egyetlen MSI csomagon keresztül biztosítható az előírásoknak és a céges adatok biztonságának való megfelelés. Szerver oldalon könnyű felhasználó – és munkaállomás-kezelést tesz lehetővé, és magasabb védelmi szintet biztosít vállalata számára a céges hálózaton túl is.

Mit nyújt az ESET Endpoint Encryption?

Egyszerű és hatékony titkosítást bármilyen méretű vállalat számára, így megnyugtató módon oldható meg a fájlok, cserélhető adathordozók és az elküldött e-mailek titkosítása

Tanúsítvány: FIPS-140-2 szabvány Tanúsított 256 bites AES titkosítás az adatbiztonság érdekében

Hibrid-cloud alapú menedzsment szerver a végponti titkosító kulcsok és szabályok teljes körű kezelésére.

Támogatott rendszerek: Windows® 10, 8, 8.1 (UEFI és GPT esetén is), 7, Vista, XP SP3, Microsoft Windows Server 2003-2012, Apple iOS

Algoritmusok és szabványok: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

ESET Endpoint Encryption Pro – Az előnyök részletesen

Teljes merevlemez titkosítás 
Gyors és átlátható rendszerindítás előtti biztonság

Cserélhető adathordozó titkosítás
A házirend-alapú cserélhető adathordozó titkosítás könnyen beilleszthető bármilyen vállalati házirendbe

Outlook kiegészítő az e-mailek és a csatolmányok titkosításhoz
Titkosított e-mailek egyszerű küldése és fogadása Outlook-on keresztül

Virtuális meghajtók és titkosított tömörített állományok
Lehetőséget biztosít biztonságos, titkosított kötetek létrehozására a számítógépen vagy más elérési úton, továbbá titkosított másolat készítésére egy teljes mappáról és a benne található fájlokról

Fájl és mappa titkosítás
Gyors és átlátható megoldás, extra biztonsági réteg

Szöveg és vágólap titkosítás
A szövegablak összes vagy bármely részét titkosíthatja, beleértve a webes böngészőket, az adatbázisok megjegyzés mezőit és webes levelezőket is

Központi menedzsment
Teljes felügyelet a licencek, szoftver funkciók, biztonsági házirendek és titkosítási kulcsok kezeléséhez

ESET Endpoint Encryption Go – a hordozható titkosítás
A licenccel nem rendelkező rendszerekre is könnyen telepíthető a hordozható eszközökre szánt verzió

Próbálja ki ingyen az ESET
Endpoint Encryption szolgáltatást

Töltse ki az alábbi adatokat, hogy elkészíthessük tesztfiókját, így
Ön is megismerheti az ESET titkosítási megoldásának előnyeit!

Tájékoztatjuk, hogy weboldalunk a lehető legjobb felhasználói élmény biztosítása érdekében sütiket (cookie-kat) használ. Weboldalunkon való böngészéssel Ön hozzájárul a sütik alkalmazásához. További részleteket itt tudhat meg.

OK