2016. \u00e1prilis 27-\u00e9n fogadta el az Eur\u00f3pai Parlament \u00e9s a Tan\u00e1cs a 679\/2016 EU Rendeletet, az \u00e1ltal\u00e1nos adatv\u00e9delmi rendelet, k\u00f6zismert nev\u00e9n a GDPR-t.<\/p>\n
A sz\u00f6veg elfogad\u00e1sa \u00f3ta eltelt k\u00f6zel k\u00e9t \u00e9v nem telt el esem\u00e9nytelen\u00fcl, azonban er\u0151sen vegyes k\u00e9pet mutat. A 29. Cikk szerinti Munkacsoport, illetve az\u00f3ta Eur\u00f3pai Adatv\u00e9delmi Test\u00fclet t\u00f6bb \u00e1ll\u00e1sfoglal\u00e1ssal \u00e9s ir\u00e1nymutat\u00e1ssal seg\u00edtette a felk\u00e9sz\u00fcl\u00e9st az GDPR-ral kapcsolatban, sajnos nem minden ter\u00fcleten marad\u00e9ktalanul \u00e9s sok nyitott k\u00e9rd\u00e9st megv\u00e1laszolatlanul hagyva. T\u00f6bb olyan r\u00e9szletszab\u00e1ly is tiszt\u00e1zatlan maradt, amelyek az adatv\u00e9delmi m\u0171k\u00f6d\u00e9s szempontj\u00e1b\u00f3l kulcs fontoss\u00e1g\u00faak, mint p\u00e9ld\u00e1ul az adatv\u00e9delmi tisztvisel\u0151 (DPO) t\u00e9nyleges helye az adott szervezeten bel\u00fcl, a v\u00e1ltoz\u00f3 t\u00e1j\u00e9koztat\u00e1si k\u00f6vetelm\u00e9nyek \u00e9rtelmez\u00e9se vagy az alap\u00e9rtelmezett \u00e9s be\u00e9p\u00edtett adatv\u00e9delemmel kapcsolatos, k\u00e9zzel foghat\u00f3 k\u00f6vetelm\u00e9nyek meghat\u00e1roz\u00e1sa.<\/p>\n
Hasonl\u00f3an ahhoz, ahogy az inform\u00e1ci\u00f3 biztons\u00e1gi szervezetek \u00e9p\u00fcltek ki, a v\u00e1llalatvezet\u00e9snek ugyan\u00fagy tiszt\u00e1ban kell lennie azzal, hogy az adatv\u00e9delem konkr\u00e9t, k\u00e9zzelfoghat\u00f3 \u00fczleti kock\u00e1zatot jelent. Nem jelenik meg mark\u00e1nsan a jogszab\u00e1ly sz\u00f6vegben, annak \u00e9rtelmez\u00e9se \u00e9s szellemis\u00e9ge alapj\u00e1n azonban egy dolog biztosnak l\u00e1tszik: ahhoz, hogy egyes adatkezel\u0151 vagy adatfeldolgoz\u00f3 szervezetek meg tudjanak felelni a GDPR k\u00f6vetelm\u00e9nyeinek, k\u00fcl\u00f6n\u00f6sen az alap\u00e9rtelmezett \u00e9s be\u00e9p\u00edtett adatv\u00e9delem mindent \u00e1tsz\u00f6v\u0151, folyamatokba behatol\u00f3 k\u00f6vetelm\u00e9ny\u00e9nek, ehhez egy testre szabott adatv\u00e9delmi keretrendszert sz\u00fcks\u00e9ges kidolgozni \u00e9s folyamatosan m\u0171k\u00f6dtetni.<\/p>\n
Alap\u00e9rtelmezett \u00e9s be\u00e9p\u00edtett adatv\u00e9delem <\/b><\/p>\n
Az alap\u00e9rtelmezett adatv\u00e9delem (privacy-by-design) fogalom Ann Cavoukian, Ph.D. , Ontario \u00e1llam volt adatv\u00e9delmi biztoshoz k\u00f6thet\u0151. \u201ePrivacy-by-design\u201d c\u00edm\u0171 anyag\u00e1ban h\u00e9t alapelvet k\u00fcl\u00f6nb\u00f6ztet meg:
\n1.\tProakt\u00edv, nem reakt\u00edv – prevent\u00edv \u00e9s nem ut\u00f3lagos
\n2.\tAz adatv\u00e9delem az alap\u00e9rtelmez\u00e9s szerinti be\u00e1ll\u00edt\u00e1s
\n3.\tA tervez\u00e9s folyamat\u00e1ba \u00e9p\u00edtett
\n4.\tTeljes funkcionalit\u00e1s t\u00e1mogat\u00e1sa
\n5.\tV\u00e9gpontt\u00f3l v\u00e9gpontig tart\u00f3 biztons\u00e1gi megold\u00e1sok alkalmaz\u00e1sa, a teljes adatkezel\u00e9si \u00e9letciklus alatt
\n6.\tTranszparencia \u00e9s \u00e1tl\u00e1that\u00f3s\u00e1g
\n7.\tFelhaszn\u00e1l\u00f3bar\u00e1t m\u00f3don a mag\u00e1nszf\u00e9ra v\u00e9delme<\/p>\n
A fenti alapelvek \u00e9rv\u00e9nyes\u00edt\u00e9s\u00e9nek az informatika, az \u00fczleti folyamatok, valamint a fizikai tervez\u00e9s \u00e9s h\u00e1l\u00f3zati infrastrukt\u00fara szintj\u00e9n kell megt\u00f6rt\u00e9nnie.<\/p>\n
Az alap\u00e9rtelmezett \u00e9s be\u00e9p\u00edtett adatv\u00e9delem egyik gyakorlati megval\u00f3s\u00edt\u00e1si eszk\u00f6ze az adatv\u00e9delmi hat\u00e1svizsg\u00e1lat. Az inform\u00e1ci\u00f3s \u00f6nrendelkez\u00e9si jogr\u00f3l \u00e9s inform\u00e1ci\u00f3szabads\u00e1gr\u00f3l sz\u00f3l\u00f3 t\u00f6rv\u00e9ny kor\u00e1bban hat\u00e1lyos 7. \u00a7 (1) bekezd\u00e9s\u00e9ben megjelent az a k\u00f6telezetts\u00e9g, hogy az adatkezel\u00e9si m\u0171veletek megtervez\u00e9s\u00e9vel \u00e9s v\u00e9grehajt\u00e1s\u00e1val kapcsolatosan \u00e9rintettek mag\u00e1nszf\u00e9r\u00e1j\u00e1nak v\u00e9delm\u00e9t biztos\u00edtani sz\u00fcks\u00e9ges. Az ennek r\u00e9sz\u00e9t k\u00e9pez\u0151 hat\u00e1svizsg\u00e1latok v\u00e9grehajt\u00e1sa azonban eddig nem volt jelen a magyar adatv\u00e9delmi jogi kult\u00far\u00e1ban, sem pedig az adatv\u00e9delmi hat\u00f3s\u00e1g eddigi gyakorlat\u00e1ban.<\/p>\n
\u00d6sszefoglal\u00f3an az adatv\u00e9delmi hat\u00e1svizsg\u00e1lat egy adatv\u00e9delmi jogi, adatbiztons\u00e1gi, inform\u00e1ci\u00f3 biztons\u00e1gi kock\u00e1zatelemz\u00e9s.<\/p>\n
A NAIH GDPR \u00e9rtelmez\u00e9s\u00e9vel kapcsolatosan kiadott, valamint a WP29 kor\u00e1bbi \u00e1ll\u00e1sfoglal\u00e1saira figyelemmel az al\u00e1bbi folyamat ment\u00e9n c\u00e9lszer\u0171 adatv\u00e9delmi hat\u00e1svizsg\u00e1latot v\u00e9gezni:
\n1.\tHa val\u00f3sz\u00edn\u0171s\u00edthet\u0151en magas kock\u00e1zattal j\u00e1r az adatkezel\u00e9s, \u00fagy sz\u00fcks\u00e9ges. Ha nincs magas kock\u00e1zat, akkor nem sz\u00fcks\u00e9ges az adatv\u00e9delmi hat\u00e1svizsg\u00e1lat;
\n2.\tFenn\u00e1ll a 35. Cikk (5) vagy (10) bekezd\u00e9seiben (fel\u00fcgyeleti hat\u00f3s\u00e1g \u00e1ltal, illetve tag\u00e1llami szab\u00e1lyoz\u00e1s \u00e1ltal kivett adatkezel\u00e9si tev\u00e9kenys\u00e9gek) megfogalmazott kiv\u00e9tel?
\n3.\tAdatv\u00e9delmi hat\u00e1svizsg\u00e1lat t\u00e9nyleges elv\u00e9gz\u00e9se, amelyhez \u2013 amennyiben a szervezetn\u00e9l kinevezt\u00e9k \u2013 figyelembe kell venni az adatv\u00e9delmi tisztvisel\u0151 tan\u00e1cs\u00e1t, a magatart\u00e1si k\u00f3dex(ek) el\u0151\u00edr\u00e1sait, illetve az adatalanyok, vagy k\u00e9pvisel\u0151ik v\u00e9lem\u00e9ny\u00e9t.
\n4.\tAz adatv\u00e9delmi hat\u00e1svizsg\u00e1lat eredm\u00e9nyek\u00e9nt az adatkezel\u0151 ellen\u0151rzi az adatkezel\u00e9si tev\u00e9kenys\u00e9geit \u00e9s sz\u00fcks\u00e9gszer\u0171en m\u00f3dos\u00edtja, illetve tov\u00e1bbi szervez\u00e9si \u00e9s technikai kontrollokat vezet be.
\n5.\tAmennyiben az adatv\u00e9delmi hat\u00e1svizsg\u00e1lat eredm\u00e9nyek\u00e9nt, az azonos\u00edtott szervez\u00e9si \u00e9s technikai kontrollok ellen\u00e9re m\u00e9g mindig magas maradv\u00e1ny kock\u00e1zati szint jelentkezik, \u00fagy az adatkezel\u00e9si tev\u00e9kenys\u00e9g megkezd\u00e9se a fel\u00fcgyeleti hat\u00f3s\u00e1ggal sz\u00fcks\u00e9ges konzult\u00e1lni.<\/p>\n
A jelenleg hat\u00e1lyos szab\u00e1lyoz\u00e1s alapj\u00e1n \u2013 figyelemmel a NAIH \u00e9s WP29 e t\u00e1rgy\u00e1ban kiadott \u00e1ll\u00e1sfoglal\u00e1saira \u2013 2018. m\u00e1jus 25. napj\u00e1t\u00f3l k\u00f6telez\u0151en el kell v\u00e9gezni az adatv\u00e9delmi hat\u00e1svizsg\u00e1latokat.<\/p>\n
A GDPR 25. cikk (10) bekezd\u00e9se szerint a hat\u00e1svizsg\u00e1latokat a GDPR 6. cikk (1) bekezd\u00e9s\u00e9nek c) vagy e) pontja szerinti \u201ek\u00f6telez\u0151 adatkezel\u00e9si\u201d jogalapok eset\u00e9ben is el kell v\u00e9gezni, kiv\u00e9ve, ha e jogalap elfogad\u00e1sa sor\u00e1n a tag\u00e1llamok az \u00e1ltal\u00e1nos hat\u00e1svizsg\u00e1lat r\u00e9szek\u00e9nt m\u00e1r v\u00e9geztek adatv\u00e9delmi hat\u00e1svizsg\u00e1latot. Mivel a magyar jogalkot\u00f3 a jogalkot\u00e1si folyamat r\u00e9szek\u00e9t nem v\u00e9gezett adatv\u00e9delmi hat\u00e1svizsg\u00e1latot \u00e9s az ilyen hat\u00e1svizsg\u00e1lat elv\u00e9gz\u00e9s\u00e9r\u0151l csak a GDPR v\u00e9grehajt\u00e1s\u00e1t szolg\u00e1l\u00f3 Infotv. m\u00f3dos\u00edt\u00e1s rendelkezett, ami 2018. j\u00falius 26. napja \u00f3ta hat\u00e1lyos, a magyar adatv\u00e9delmi hat\u00f3s\u00e1g a NAIH-2018-1318-3-K sz. \u00e1ll\u00e1sfoglal\u00e1s\u00e1ban helyesen mutatott r\u00e1 arra, hogy a GDPR 35. (10) bekezd\u00e9se nem alkalmazhat\u00f3, azaz a magyarorsz\u00e1gi adatkezel\u0151knek a 2018. j\u00falius 26. napj\u00e1t megel\u0151z\u0151en elfogadott k\u00f6telez\u0151 adatkezel\u00e9si jogalapok vonatkoz\u00e1s\u00e1ban is kell elv\u00e9gezni az adatv\u00e9delmi hat\u00e1svizsg\u00e1latokat.<\/p>\n
Mely adatkezel\u00e9si tev\u00e9kenys\u00e9gek eset\u00e9ben sz\u00fcks\u00e9ges elv\u00e9gezni az adatv\u00e9delmi hat\u00e1svizsg\u00e1latot? A WP29 ir\u00e1nymutat\u00e1sa nem k\u00f6telez\u0151 erej\u0171 e tekintetben, \u00edgy az ir\u00e1nymutat\u00e1sban k\u00f6z\u00e9tett gondolatok legink\u00e1bb javaslatk\u00e9nt vehet\u0151k figyelembe az egyes fel\u00fcgyeleti hat\u00f3s\u00e1gok sz\u00e1m\u00e1ra.<\/p>\n
Az al\u00e1bbi tev\u00e9kenys\u00e9geket eml\u00edti az ir\u00e1nymutat\u00e1s:
\n1.\tScoring, adatalanyok \u00e9rt\u00e9kel\u00e9se (pl. profiloz\u00e1s, vagy banki hitelb\u00edr\u00e1lat)
\n2.\tJogi vagy hasonl\u00f3 hat\u00e1ssal j\u00e1r\u00f3 automatiz\u00e1lt d\u00f6nt\u00e9shozatal
\n3.\tAdatalanyok m\u00f3dszeres megfigyel\u00e9se (pl. k\u00f6zt\u00e9ri z\u00e1rtl\u00e1nc\u00fa kamer\u00e1s megfigyel\u00e9s)
\n4.\t\u00c9rz\u00e9keny adatok eset\u00e9ben, pl. szem\u00e9lyes adatok k\u00fcl\u00f6nleges kateg\u00f3ri\u00e1inak eset\u00e9ben, k\u00fcl\u00f6n kiemelve az elektronikus kommunik\u00e1ci\u00f3t, p\u00e9nz\u00fcgyi, geolok\u00e1ci\u00f3s adatokat, vagy mag\u00e1nszem\u00e9lyek \u00e1ltal haszn\u00e1lt felh\u0151szolg\u00e1ltat\u00e1sokat, szem\u00e9lyi asszisztenseket
\n5.\tAdatkezel\u00e9si m\u0171veletek kiterjedts\u00e9ge, amellyel kapcsolatban az al\u00e1bbiakat javasolja figyelembe venni a 29-es sz\u00e1m\u00fa Munkacsoport:
\n\u25cf\t\u00e9rintett adatalanyok sz\u00e1moss\u00e1ga
\n\u25cf\tkezelt adatok mennyis\u00e9ge, v\u00e1ltozatoss\u00e1ga
\n\u25cf\tadatkezel\u00e9s id\u0151tartama, \u00e1lland\u00f3s\u00e1ga
\n\u25cf\tf\u00f6ldrajzi kiterjedts\u00e9ge
\n6.\t\u00d6sszekapcsolt adat\u00e1llom\u00e1nyok, adathalmazok
\n7.\tJog\u00e9rv\u00e9nyes\u00edt\u00e9s\u00fckben korl\u00e1tozott vagy kiz\u00e1rt adatalanyok adatkezel\u00e9se, pl. gyermekek, fogyat\u00e9kkal \u00e9l\u0151k, de m\u00e9g munkav\u00e1llal\u00f3k is
\n8.\tTechnol\u00f3giai vagy szervez\u00e9si megold\u00e1sok \u00faj\u00edt\u00e1sa
\n9.\tEU-n k\u00edv\u00fcli adatkezel\u00e9s eset\u00e9n
\n10.\tOlyan esetekben, amikor az adatalany nem rendelkezik t\u00e9nyleges v\u00e1laszt\u00e1si lehet\u0151s\u00e9ggel<\/p>\n
A 29. cikk szerinti Adatv\u00e9delmi Munkacsoport \u00e9rtelmez\u00e9se szerint a fentiek k\u00f6z\u00fcl legal\u00e1bb k\u00e9t adatkezel\u00e9si tev\u00e9kenys\u00e9g egy\u00fcttes fenn\u00e1ll\u00e1sa m\u00e1r val\u00f3sz\u00edn\u0171s\u00edthet\u0151en magas kock\u00e1zattal j\u00e1r. Ugyanakkor m\u00e9rlegelni kell azt is, ha csak egy ilyen jelleg\u0171 adatkezel\u00e9s val\u00f3sul meg az adatkezel\u00e9s valamely \u2013 k\u00fcl\u00f6n\u00f6sen \u00faj technol\u00f3gi\u00e1kat alkalmaz\u00f3 \u2013 t\u00edpusa \u2013, figyelemmel annak jelleg\u00e9re, hat\u00f3k\u00f6r\u00e9re, k\u00f6r\u00fclm\u00e9ny\u00e9re \u00e9s c\u00e9ljaira.<\/p>\n
Az ir\u00e1nymutat\u00e1s tartalmazza azokat az adatkezel\u00e9si tev\u00e9kenys\u00e9geket is, amelyek eset\u00e9ben nem tartja sz\u00fcks\u00e9gesnek a Munkacsoport az adatv\u00e9delmi hat\u00e1svizsg\u00e1lat elv\u00e9gz\u00e9s\u00e9t.<\/p>\n
A NAIH \u00e1ltal kiadott lista pedig itt \u00e9rhet\u0151 el<\/a>.<\/p>\n Milyen m\u00f3don javasolt elv\u00e9gezni az adatv\u00e9delmi hat\u00e1svizsg\u00e1latot?<\/b><\/p>\n A Munkacsoport egy\u00e9rtelm\u0171v\u00e9 teszi, hogy a hat\u00e1svizsg\u00e1latot az adatkezel\u0151nek (\u00e9s nem az adatfeldolgoz\u00f3nak) kell elv\u00e9geznie \u00e9s ezzel kapcsolatosan az adatv\u00e9delmi tisztvisel\u0151 v\u00e9lem\u00e9ny\u00e9t, illet\u0151leg az \u00e9rintettek v\u00e9lem\u00e9ny\u00e9t is be kell szereznie az adatkezel\u0151nek. Ha az \u00e9rintettek v\u00e9lem\u00e9ny\u00e9t nem szerzi be az adatkezel\u0151 (pl. \u00fczemi tan\u00e1csi konzult\u00e1ci\u00f3 vagy \u00fcgyf\u00e9l k\u00e9rd\u0151\u00edv kit\u00f6lt\u00e9se \u00fatj\u00e1n), \u00fagy annak indok\u00e1t az adatkezel\u0151nek dokument\u00e1lnia kell. A Munkacsoport azt javasolja legjobb gyakorlatk\u00e9nt, hogy bels\u0151 szab\u00e1lyzatban ker\u00fclj\u00f6n r\u00f6gz\u00edt\u00e9sre az adatv\u00e9delmi hat\u00e1svizsg\u00e1lat elv\u00e9gz\u00e9s\u00e9nek folyamata, teh\u00e1t az, hogy ki kezdem\u00e9nyezheti, illetve az \u00e9rt\u00e9kel\u00e9si folyamatba kit sz\u00fcks\u00e9ges bevonni.<\/p>\n A fentiek el\u00e9r\u00e9s\u00e9hez els\u0151sorban egy kock\u00e1zatkezel\u00e9si m\u00f3dszertant sz\u00fcks\u00e9ges implement\u00e1lnia az adatkezel\u0151knek, amely a v\u00e1llalati oper\u00e1ci\u00f3s kock\u00e1zatkezel\u00e9si folyamatokkal \u00f6sszhangban, annak r\u00e9szek\u00e9nt teszi lehet\u0151v\u00e9 a megism\u00e9telhet\u0151, \u00f6sszehasonl\u00edthat\u00f3 \u00e9s konzisztens eredm\u00e9nyt ad\u00f3 adatv\u00e9delmi hat\u00e1svizsg\u00e1latok elv\u00e9gz\u00e9s\u00e9t. Mag\u00e1t az egyes kock\u00e1zatkezel\u00e9si folyamatok koherenci\u00e1j\u00e1t, a megfelel\u0151 kock\u00e1zati \u00e9tv\u00e1gy szintj\u00e9nek meghat\u00e1roz\u00e1s\u00e1t, az adatv\u00e9delmi kock\u00e1zatok rendszeres jelent\u00e9s\u00e9t a fels\u0151 vezet\u00e9s sz\u00e1m\u00e1ra legjobban egy ir\u00e1ny\u00edt\u00e1si keretrendszer r\u00e9szek\u00e9nt integr\u00e1lt kock\u00e1zatmenedzsment folyamat biztos\u00edtja.<\/p>\n Az adatv\u00e9delmi hat\u00e1svizsg\u00e1latok elk\u00e9sz\u00edt\u00e9s\u00e9hez a francia adatv\u00e9delmi hat\u00f3s\u00e1g \u00e1ltal fejlesztett szoftver 2.0-\u00e1s verzi\u00f3ja az Az adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si keretrendszer<\/a><\/p>\n Az adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si keretrendszert mi legink\u00e1bb \u00fagy l\u00e1tjuk meghat\u00e1rozhat\u00f3nak, mint defini\u00e1lt v\u00e1llalati strukt\u00far\u00e1k \u00e9s folyamatok halmaza, egy dedik\u00e1lt adatv\u00e9delmi v\u00e1llalati funkci\u00f3, amely az adatkezel\u0151 szervezet adatv\u00e9delem jogi, informatikai, adatbiztons\u00e1gi, inform\u00e1ci\u00f3biztons\u00e1gi, m\u0171k\u00f6d\u00e9si kock\u00e1zatkezel\u00e9si, beszerz\u00e9si \u00e9s bels\u0151 ellen\u0151rz\u00e9si spektrumait is teljes k\u00f6r\u0171en feledi. Figyelemmel teh\u00e1t az alap\u00e9rtelmezett \u00e9s be\u00e9p\u00edtett adatv\u00e9delem elveire, azok gyakorlati \u00e9rv\u00e9nyes\u00fcl\u00e9s\u00e9nek eszk\u00f6ze egy megfelel\u0151 adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si keretrendszer bevezet\u00e9se, az adatv\u00e9delmi elsz\u00e1moltathat\u00f3s\u00e1g k\u00f6vetelm\u00e9ny\u00e9t (GDPR 5. cikk (2) bek.) operacionaliz\u00e1lja. Egy keretrendszer ugyanis igazolhat\u00f3v\u00e1 teszi az adatv\u00e9delmi kontrollok bevezet\u00e9s\u00e9t \u00e9s azok alkalmaz\u00e1s\u00e1t, a kock\u00e1zatcs\u00f6kkent\u0151 int\u00e9zked\u00e9sek dokument\u00e1lts\u00e1g\u00e1t \u00e9s ezek bels\u0151 vagy k\u00fcls\u0151 f\u00e9l \u00e1ltali ellen\u0151rz\u00e9s\u00e9t.<\/a><\/p>\n Ilyen keretrendszer kialak\u00edt\u00e1s\u00e1t t\u00e1mogatja a nemzetk\u00f6zi szabv\u00e1nyokat kiad\u00f3 \u00e9s gondoz\u00f3 International Standards Organization (ISO) 19600 : 2014 (Compliance management systems \u2013 Guidelines) szabv\u00e1nya, valamint az ISO 29100 : 2011 (Information technology — Security techniques — Privacy framework) az ISO 27001 : 2013 (Information technology – Security techniques – Information security management systems – Requirements) szabv\u00e1nnyal egy\u00fctt.<\/a><\/p>\n K\u00f6zhelysz\u00e1mba megy, hogy a GDPR alkalmaz\u00e1sa komplex felk\u00e9sz\u00fclts\u00e9get ig\u00e9nyel, nem csak jogi, informatikai szaktud\u00e1st, hanem ezek egyveleg\u00e9t, k\u00f6lcs\u00f6nhat\u00e1sait is \u00e9rteni kell ez alatt. A v\u00e1llalatok vezet\u00e9s\u00e9nek meg kell \u00e9rteni \u00e9s el kell fogadnia, hogy az adatok, k\u00fcl\u00f6n\u00f6sen a szem\u00e9lyes adatok kezel\u00e9se, a megfelel\u0151 szint\u0171 adatv\u00e9delem biztos\u00edt\u00e1sa ma m\u00e1r alapszint\u0171 elv\u00e1r\u00e1s a fogyaszt\u00f3k, \u00fcgyfelek \u00e9s \u00fczletfelek r\u00e9sz\u00e9r\u0151l. Egy j\u00f3l ki\u00e9p\u00edtett, hat\u00e9konyan m\u0171k\u00f6d\u0151 adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si rendszer viszont versenyel\u0151nyt teremthet.<\/p>\n Hogyan \u00e9p\u00fcl fel egy adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si keretrendszer? <\/b><\/p>\n Standardiz\u00e1lt form\u00e1j\u00e1t az ISO 29100 : 2011 szabv\u00e1ny \u00edrja le, amely az al\u00e1bbi elemeket taglalja.<\/p>\n 1.\tSzerepl\u0151k \u00e9s szerepk\u00f6r\u00f6k (Actors and Roles)<\/p>\n V\u00e1llalati bels\u0151 szab\u00e1lyzatokban, folyamat le\u00edr\u00e1sokban is defini\u00e1lni kell az egyes adatv\u00e9delmi funkci\u00f3kat \u00e9s szerepk\u00f6r\u00f6ket. \u00cdgy ha a v\u00e1llalat \u00fagy d\u00f6nt, hogy adatv\u00e9delmi tisztvisel\u0151t nevez ki, az ezzel kapcsolatos sz\u00fcks\u00e9gess\u00e9gi elemz\u00e9st, feladatokat, felel\u0151ss\u00e9geket, jelent\u00e9st\u00e9teli k\u00f6telezetts\u00e9geket \u00e9s a f\u00fcggetlens\u00e9get biztos\u00edt\u00f3 kontrollokat r\u00f6gz\u00edteni kell az elsz\u00e1moltathat\u00f3s\u00e1g elv\u00e9nek megfelel\u0151en. Ezen k\u00edv\u00fcl r\u00f6gz\u00edteni kell, hogy ki fogja v\u00e9grehajtani az egyes adatv\u00e9delmi kontrollokat, kinek a feladata ezeket ellen\u0151rizni, illetve meghat\u00e1rozni. 2.\tKapcsolatok (Interactions)<\/p>\n A szabv\u00e1ny felsorolja azokat a lehets\u00e9ges vari\u00e1ci\u00f3kat, ahogy az adatalanyok, adatkezel\u0151k, adatfeldolgoz\u00f3k \u00e9s harmadik felek kapcsolatba l\u00e9phetnek egym\u00e1ssal.<\/p>\n Ennek az \u00e1ltalunk javasolt gyakorlati megval\u00f3sul\u00e1sa az adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si keretrendszer implement\u00e1l\u00e1sa sor\u00e1n ki kell, hogy terjedjen az al\u00e1bbi v\u00e1llalati funkci\u00f3kra:<\/p>\n \u2022\t\u00dcgyfelekkel, \u00e9rintettekkel k\u00f6zvetlen\u00fcl kapcsolatban l\u00e9v\u0151 funkci\u00f3k, pl. panaszkezel\u00e9s, marketing, \u00fcgyn\u00f6k\u00f6k, fi\u00f3kh\u00e1l\u00f3zat, online bolt, stb. \u2013 adatalanyok 3.\tSzem\u00e9lyes adatok felismer\u00e9se (recognizing PII)<\/p>\n Maga a szabv\u00e1ny az US\u00c1-b\u00f3l sz\u00e1rmaz\u00f3 “Personal Identifiable Information” (PII) kifejez\u00e9st haszn\u00e1lja, amely elt\u00e9r a GDPR szem\u00e9lyes adat (personal data) fogalm\u00e1t\u00f3l. Nincs z\u00e1rt lista arra n\u00e9zve, hogy mi tekintend\u0151 PII-nak \u2013 hasonl\u00f3an a GDPR-hoz \u2013 t\u00f6bb t\u00e9nyez\u0151 m\u00e9rlegel\u00e9se, illet\u0151leg adott esetben kock\u00e1zat alap\u00fa megk\u00f6zel\u00edt\u00e9s sz\u00fcks\u00e9ges ehhez. 4.\tAdatv\u00e9delmi kontrollok (privacy safeguarding requirements)<\/p>\n Az adatfeldolgoz\u00f3 rendszerek, \u00edgy jellemz\u0151en informatikai rendszerek, szolg\u00e1ltat\u00e1sok \u00e9s szoftverek tervez\u00e9se, specifik\u00e1l\u00e1sa sor\u00e1n kiemelt fontoss\u00e1ggal b\u00edr az adatv\u00e9delmi k\u00f6vetelm\u00e9nyek meghat\u00e1roz\u00e1sa, kik\u00e9nyszer\u00edt\u00e9se \u00e9s annak ellen\u0151rz\u00e9se. A folyamat hasonl\u00f3, mint ahogy kor\u00e1bban az inform\u00e1ci\u00f3 biztons\u00e1gi k\u00f6vetelm\u00e9nyek is megjelentek a szoftver term\u00e9kek nem-funkcion\u00e1lis specifik\u00e1ci\u00f3i k\u00f6z\u00f6tt. A j\u00f3l fel\u00e9p\u00edtett adatv\u00e9delmi keretrendszer biztos\u00edtja, hogy az egyes projektek, vagy informatikai rendszerek, beszerz\u00e9sek, specifik\u00e1l\u00e1sok sor\u00e1n az adatv\u00e9delmi funkci\u00f3 megfelel\u0151 m\u00f3don vegyen r\u00e9szt a tervez\u00e9sben. Ha ez ut\u00f3lag t\u00f6rt\u00e9nik meg, az t\u00f6bbsz\u00f6r\u00f6s k\u00f6lts\u00e9gn\u00f6veked\u00e9st eredm\u00e9nyezhet.<\/p>\n A szabv\u00e1ny kiemeli a kock\u00e1zatkezel\u00e9s, a kock\u00e1zatkezel\u00e9si folyamatok fontoss\u00e1g\u00e1t, mind a szervezet eg\u00e9sz\u00e9re n\u00e9zve \u00e1tfog\u00f3an, mind az egyes adatfeldolgoz\u00e1sban r\u00e9szt vev\u0151 informatikai rendszerre. Ebbe a keretbe illeszkedik bele az adatv\u00e9delmi kock\u00e1zatok felm\u00e9r\u00e9s\u00e9t c\u00e9lz\u00f3 adatv\u00e9delmi hat\u00e1svizsg\u00e1lat. Emiatt k\u00fcl\u00f6n\u00f6sen fontos, hogy ne csak egy kit\u00f6ltend\u0151 sablon legyen az adatv\u00e9delmi hat\u00e1svizsg\u00e1lat, hanem t\u00e9nylegesen olyan, nemzetk\u00f6zileg elismert szabv\u00e1nyokon nyugv\u00f3 m\u00f3dszertan legyen m\u00f6g\u00f6tte (pl. ISO 31000 vagy az ISO 27005 szabv\u00e1nyok ny\u00fajtanak ebben t\u00e1mpontot), amely a teljes v\u00e1llalatot lefed\u0151 kock\u00e1zatkezel\u00e9si folyamatba csatorn\u00e1z\u00f3dik be \u00e9s ezen kereszt\u00fcl inform\u00e1lja a v\u00e1llalat fels\u0151 vezet\u00e9s\u00e9t az adatv\u00e9delmi jogi \u00e9s adatbiztons\u00e1gi kock\u00e1zati kitetts\u00e9g szintj\u00e9r\u0151l, az egyes kontrollok implement\u00e1ci\u00f3j\u00e1nak aktu\u00e1lis \u00e1llapot\u00e1r\u00f3l, valamint a kulcskock\u00e1zati mutat\u00f3k (Key Risk Indicators ~KRI) \u00e9s kontroll teljes\u00edtm\u00e9ny mutat\u00f3k szintj\u00e9r\u0151l (Key Performance Indicators, ~KPI) .<\/p>\n Egy \u00e1ltal\u00e1nos kock\u00e1zatmenedzsment folyamat az al\u00e1bbiakb\u00f3l \u00e1ll \u00f6ssze:<\/p>\n \u2022\tA szervezet \u00fczleti c\u00e9ljainak, funkci\u00f3j\u00e1nak \u00e9s f\u0151 tev\u00e9kenys\u00e9gi k\u00f6r\u00e9nek meg\u00e9rt\u00e9se, a kock\u00e1zatkezel\u00e9si kontextus meghat\u00e1roz\u00e1sa, bele\u00e9rtve az \u00fczleti \u00e9s technol\u00f3giai k\u00f6rnyezet le\u00edr\u00e1s\u00e1t, az adatv\u00e9delmet befoly\u00e1sol\u00f3 t\u00e9nyez\u0151kkel (pl. jogi \u00e9s szab\u00e1lyoz\u00e1si, szerz\u0151d\u00e9ses viszonyok, \u00fczleti \u00e9s egy\u00e9b t\u00e9nyez\u0151k) Az adatv\u00e9delmi kock\u00e1zatmenedzsment folyamat sor\u00e1n az al\u00e1bbi t\u00e9nyez\u0151ket javasolja a szabv\u00e1ny figyelembe venni: 5.\tAdatv\u00e9delmi szab\u00e1lyzatok (privacy policies)<\/p>\n Az adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si keretrendszer legfontosabb eleme a megfelel\u0151en struktur\u00e1lt adatv\u00e9delmi szab\u00e1lyzat megalkot\u00e1sa \u00e9s rendszeres fel\u00fclvizsg\u00e1lata, ami a GDPR 24. Cikk (2) bekezd\u00e9se kifejezetten el\u0151\u00edrja. 6.\tAdatv\u00e9delmi kontrollok (privacy controls)<\/p>\n A GDPR egyik legfontosabb k\u00f6vetelm\u00e9nye az adatkezel\u00e9s biztons\u00e1g\u00e1nak biztos\u00edt\u00e1sa, amely a megfelel\u0151 adatv\u00e9delmi kontrollokon kereszt\u00fcl t\u00f6rt\u00e9nik. Utalva a privacy-by-design k\u00f6vetelm\u00e9nyekre, a kontroll k\u00f6rnyezet k\u00e9t f\u0151 \u00f6sszetev\u0151je a szervez\u00e9si (pl. szab\u00e1lyzatok, el\u0151\u00edr\u00e1sok, munkafolyamat le\u00edr\u00e1sok) \u00e9s a technikai kontrollok (pl. meghat\u00e1rozott technol\u00f3gi\u00e1k haszn\u00e1lata). Maga az ISO 29100 : 2011 szabv\u00e1ny a f\u0151bb koncepci\u00f3it \u00f6sszek\u00f6ti az ISO 27001 : 2013 szabv\u00e1ny fogalmaival. Fontos hangs\u00falyozni azonban, hogy egy ISO 27001 szerinti ir\u00e1ny\u00edt\u00e1si keretrendszer \u00f6nmag\u00e1ban nem el\u00e9gs\u00e9ges a GDPR k\u00f6vetelm\u00e9nyeinek val\u00f3 megfelel\u00e9shez, viszont rendk\u00edv\u00fcl j\u00f3 alapot szolg\u00e1ltat ahhoz a sz\u00fcks\u00e9ges \u00e9s megfelel\u0151 szint\u0171 szervez\u00e9si \u00e9s technikai kontroll k\u00f6rnyezet biztos\u00edt\u00e1s\u00e1val.<\/p>\n \u00d6sszefoglal\u00f3;<\/b><\/p>\n Az adatv\u00e9delmi hat\u00e1svizsg\u00e1latok \u2013 azok k\u00f6telez\u0151s\u00e9ge ok\u00e1n \u2013 a j\u00f6v\u0151ben kiemelt szerepet j\u00e1tszanak az adatv\u00e9delmi megfelel\u00e9s biztos\u00edt\u00e1s\u00e1ban, mivel kock\u00e1zatos adatkezel\u00e9sek eset\u00e9ben az elsz\u00e1moltathat\u00f3s\u00e1g elve betart\u00e1s\u00e1nak dokument\u00e1lt igazol\u00e1s\u00e1t teszik sz\u00fcks\u00e9gess\u00e9 az adatkezel\u0151 sz\u00e1m\u00e1ra. Azaz, ha egy adatkezel\u00e9s kock\u00e1zatos adatkezel\u00e9sk\u00e9nt azonos\u00edthat\u00f3, az adatv\u00e9delmi hat\u00f3s\u00e1gnak elegend\u0151 form\u00e1lisan csup\u00e1n annyit meg\u00e1llap\u00edtania, hogy nem t\u00f6rt\u00e9nt meg az adatv\u00e9delmi hat\u00e1svizsg\u00e1lat elk\u00e9sz\u00edt\u00e9se az adatkezel\u0151 \u00e1ltal. A hat\u00e1svizsg\u00e1lati k\u00f6vetelm\u00e9ny egyed\u00fcli k\u00fcsz\u00f6be az adatkezel\u00e9s kock\u00e1zatoss\u00e1ga, azaz a hat\u00e1svizsg\u00e1lati k\u00f6telezetts\u00e9g nem f\u00fcgg az adatkezel\u0151 m\u00e9ret\u00e9t\u0151l, azaz a mikro adatkezel\u0151kt\u0151l kezdve a legnagyobb adatkezel\u0151kig mindenki a k\u00f6telezettek k\u00f6r\u00e9be tartozik. L\u00e9nyeges szerep jut ez\u00e9rt az adatv\u00e9delmi hat\u00f3s\u00e1gok \u00e1ltal k\u00f6zz\u00e9tett sz\u00fcrke \u00e9s feh\u00e9r list\u00e1knak, tov\u00e1bb\u00e1 az adatv\u00e9delmi hat\u00f3s\u00e1gok kis \u00e9s k\u00f6z\u00e9pv\u00e1llalkoz\u00e1sokat t\u00e1mogat\u00f3 hozz\u00e1\u00e1ll\u00e1s\u00e1nak, melyre m\u00e1r most is sz\u00e1mos j\u00f3 p\u00e9ld\u00e1val j\u00e1rnak el\u0151re egyes nyugat eur\u00f3pai adatv\u00e9delmi hat\u00f3s\u00e1gok.<\/p>\n <\/a><\/a><\/a><\/p>\n","protected":false},"excerpt":{"rendered":" 2016. \u00e1prilis 27-\u00e9n fogadta el az Eur\u00f3pai Parlament \u00e9s a Tan\u00e1cs a 679\/2016 EU Rendeletet, az \u00e1ltal\u00e1nos adatv\u00e9delmi rendelet, k\u00f6zismert nev\u00e9n a GDPR-t. A sz\u00f6veg elfogad\u00e1sa \u00f3ta eltelt k\u00f6zel k\u00e9t \u00e9v nem telt el esem\u00e9nytelen\u00fcl, azonban er\u0151sen vegyes k\u00e9pet mutat. A 29. Cikk szerinti Munkacsoport, illetve az\u00f3ta Eur\u00f3pai Adatv\u00e9delmi Test\u00fclet t\u00f6bb \u00e1ll\u00e1sfoglal\u00e1ssal \u00e9s ir\u00e1nymutat\u00e1ssal seg\u00edtette […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":[],"categories":[696,49,900,770],"tags":[],"_links":{"self":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1776"}],"collection":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1776"}],"version-history":[{"count":6,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1776\/revisions"}],"predecessor-version":[{"id":1783,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1776\/revisions\/1783"}],"wp:attachment":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1776"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1776"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1776"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nA szabv\u00e1ny szerint az al\u00e1bbi szerepk\u00f6r\u00f6ket kell felismerni \u00e9s a megfelel\u0151 m\u00f3don, szab\u00e1lyozott form\u00e1ban r\u00f6gz\u00edteni:
\n\u2022\t\u00e9rintettek (PII principals)
\n\u2022\tadatkezel\u0151k (PII controllers)
\n\u2022\tadatfeldolgoz\u00f3k (PII processors)
\n\u2022\tharmadik felek (third parties)<\/p>\n
\n\u2022\tBeszerz\u00e9ssel, kiszervez\u00e9s ellen\u0151rz\u00e9s\u00e9vel kapcsolatos funkci\u00f3k \u2013 adatfeldolgoz\u00f3k, harmadik felek
\n\u2022\tBels\u0151, feldolgoz\u00f3i, t\u00e1mogat\u00f3 funkci\u00f3k, pl. informatika, back-office, oper\u00e1ci\u00f3, kock\u00e1zatkezel\u00e9s \u2013 adatkezel\u0151k<\/p>\n
\nA szabv\u00e1ny kiemeli, hogy az adatfeldolgoz\u00f3 informatikai rendszereknek c\u00e9lszer\u0171 olyan funkci\u00f3kkal rendelkezni\u00fck, amelyek t\u00e1mogatj\u00e1k az egyes adatalanyokat abban, hogy rendelkezhessenek a saj\u00e1t szem\u00e9lyes adataikkal.
\nA fentieken k\u00edv\u00fcl figyelemmel kell lenni az egyes metaadatokra, azokra az esetekre, amikor t\u00f6bb, nem k\u00f6zvetlen\u00fcl az adatalanyra mutat\u00f3 jellemz\u0151 alapj\u00e1n v\u00e1lik azonos\u00edthat\u00f3v\u00e1 a term\u00e9szetes szem\u00e9ly (pl. VIN \u00e9s a kiadott rendsz\u00e1m)<\/p>\n
\n\u2022\tKock\u00e1zat\u00e9rt\u00e9kel\u00e9s, amelynek sor\u00e1n azonos\u00edtja, elemzi \u00e9s \u00e9rt\u00e9keli a relev\u00e1ns kock\u00e1zatait a szervezet
\n\u2022\tAz azonos\u00edtott kock\u00e1zatok kezel\u00e9se, amely klasszikusan n\u00e9gy opci\u00f3t \u00f6lel fel: kock\u00e1zatcs\u00f6kkent\u00e9s tov\u00e1bbi szervez\u00e9si \u00e9s technikai kontrollok kialak\u00edt\u00e1s\u00e1val, kock\u00e1zat elfogad\u00e1s, a kock\u00e1zat annul\u00e1l\u00e1sa a kapcsol\u00f3d\u00f3 tev\u00e9kenys\u00e9g megsz\u00fcntet\u00e9se miatt, valamint a kock\u00e1zatok tov\u00e1bb\u00edt\u00e1sa (pl. biztos\u00edt\u00e1s k\u00f6t\u00e9s\u00e9vel)
\n\u2022\tA kock\u00e1zatok kommunik\u00e1l\u00e1sa \u00e9s egyeztet\u00e9s az \u00e9rintett felekkel
\n\u2022\tA kock\u00e1zati szint monitoroz\u00e1sa \u00e9s rendszeres fel\u00fclvizsg\u00e1lata, visszacsatol\u00e1s \u00fatj\u00e1n a kock\u00e1zatmenedzsment folyamat jav\u00edt\u00e1sa.<\/p>\n
\n\u2022\tJogi \u00e9s szab\u00e1lyoz\u00f3i t\u00e9nyez\u0151k, mint p\u00e9ld\u00e1ul jogszab\u00e1lyok, eseti d\u00f6nt\u00e9sek, hat\u00f3s\u00e1gi \u00e1ll\u00e1sfoglal\u00e1sok, \u00fczemi tan\u00e1csi meg\u00e1llapod\u00e1sok
\n\u2022\tSzerz\u0151d\u00e9ses t\u00e9nyez\u0151k, p\u00e9ld\u00e1ul BCR, adatfeldolgoz\u00f3i \u2013 k\u00f6z\u00f6s adatkezel\u0151i kapcsolatok
\n\u2022\t\u00dczleti t\u00e9nyez\u0151k, mint az ipar\u00e1g-specifikus folyamatok, az egyes adatkezel\u00e9si tev\u00e9kenys\u00e9gek saj\u00e1toss\u00e1gai, stb.
\n\u2022\tEgy\u00e9b t\u00e9nyez\u0151k k\u00f6z\u00e9 sorolja a szabv\u00e1ny az \u00e9rintettek v\u00e9lem\u00e9ny\u00e9t, a technikai kontroll k\u00f6rnyezetet vagy m\u00e1s technikai standardok el\u0151\u00edr\u00e1sait (ilyen lehet p\u00e9ld\u00e1ul a bankk\u00e1rtya adatok kezel\u00e9s\u00e9vel kapcsolatos Payment Card Industry Data Security Standards (PCI DSS) el\u0151\u00edr\u00e1sai)<\/p>\n
\nA szabv\u00e1ny az al\u00e1bbi f\u0151bb tartalmi elemeket azonos\u00edtja ezzel kapcsolatban:
\n\u2022\tAz adatkezel\u0151 szervezet m\u0171k\u00f6d\u00e9s\u00e9hez, c\u00e9ljaihoz m\u00e9rten ar\u00e1nyos
\n\u2022\tKeretet ad az adatv\u00e9delemi ir\u00e1ny\u00edt\u00e1si keretrendszer c\u00e9ljainak el\u00e9r\u00e9s\u00e9hez (pl. a GDPR alapelveinek betart\u00e1s\u00e1hoz sz\u00fcks\u00e9ges folyamatok l\u00e9trehoz\u00e1sa, az adatalanyi jogosults\u00e1gok t\u00e1mogat\u00e1sa, stb.)
\n\u2022\tA fels\u0151 vezet\u00e9s felel\u0151ss\u00e9g- \u00e9s k\u00f6telezetts\u00e9gv\u00e1llal\u00e1sa az adatv\u00e9delem, valamint az adatv\u00e9delmi k\u00f6vetelm\u00e9nyek megtart\u00e1sa ir\u00e1nt
\n\u2022\tK\u00f6telezetts\u00e9g v\u00e1llal\u00e1s a rendszeres fel\u00fclvizsg\u00e1lat \u00e9s az adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si keretrendszer fejleszt\u00e9se ir\u00e1nt
\n\u2022\tAz adatv\u00e9delmi szab\u00e1lyzat megfelel\u0151 k\u00f6zl\u00e9se, mind szervezeten bel\u00fcl, mind azon k\u00edv\u00fcl<\/p>\n
\nEzen \u00f6sszek\u00f6t\u00e9s ment\u00e9n k\u00f6nnyen azonos\u00edthat\u00f3k az ISO 27001 szabv\u00e1ny \u201eA\u201d mell\u00e9klet\u00e9b\u0151l azok a technikai \u00e9s szervez\u00e9si kontroll k\u00f6vetelm\u00e9nyek, amelyek seg\u00edtik a megfelel\u0151 szint\u0171 adatbiztons\u00e1g \u00e9s adatv\u00e9delem kialak\u00edt\u00e1s\u00e1t, \u00edgy k\u00fcl\u00f6n\u00f6sen
\n\u2022\tmegfelel\u0151 inform\u00e1ci\u00f3 biztons\u00e1gi szab\u00e1lyok (A6)
\n\u2022\taz emberi er\u0151forr\u00e1sok biztons\u00e1ga (A7)
\n\u2022\tvagyonelemek kezel\u00e9se (A8) \u2013 k\u00fcl\u00f6n\u00f6sen az inform\u00e1ci\u00f3k oszt\u00e1lyoz\u00e1sa, valamint az adathordoz\u00f3 \u00e9letciklussal kapcsolatos k\u00f6vetelm\u00e9nyek
\n\u2022\thozz\u00e1f\u00e9r\u00e9s-fel\u00fcgyelet (A9) \u2013 k\u00fcl\u00f6n\u00f6sen a sz\u00fcks\u00e9ges \u00e9s legkevesebb hozz\u00e1f\u00e9r\u00e9s elv\u00e9nek, valamint a rendszeres jogosults\u00e1g-fel\u00fclvizsg\u00e1latok elv\u00e9gz\u00e9s\u00e9nek k\u00f6vetelm\u00e9nyei
\n\u2022\ttitkos\u00edt\u00e1s (A10) \u2013 k\u00fcl\u00f6n\u00f6sen a kulcsmenedzsmenttel \u00e9s titkos\u00edt\u00e1si algoritmusok megfelel\u0151ss\u00e9g\u00e9vel kapcsolatos k\u00f6vetelm\u00e9nyek
\n\u2022\tfizikai \u00e9s k\u00f6rnyezeti biztons\u00e1g (A11) \u2013 \u00edgy a biztons\u00e1gi z\u00f3n\u00e1k kialak\u00edt\u00e1sa, clean desk \u00e9s clear screen szab\u00e1lyok
\n\u2022\t[az informatikai rendszerek] \u00fczemel\u00e9s biztons\u00e1ga (A12)
\n\u2022\ta kommunik\u00e1ci\u00f3 biztons\u00e1ga (A13) \u2013 \u00edgy a tov\u00e1bb\u00edtott adatok v\u00e9delme, csatorna titkos\u00edt\u00e1sok
\n\u2022\t[informatikai, adatfeldolgoz\u00f3] rendszerek beszerz\u00e9se, fejleszt\u00e9se \u00e9s karbantart\u00e1sa (A14) \u2013 a be\u00e9p\u00edtett adatv\u00e9delem elveinek kik\u00e9nyszer\u00edt\u00e9se a fejleszt\u00e9si \u00e9s v\u00e1ltoz\u00e1skezel\u00e9si folyamatokban
\n\u2022\tsz\u00e1ll\u00edt\u00f3i kapcsolatok (A15) \u2013 amely folyamatra az adatfeldolgoz\u00f3i auditokat lehet \u00e9p\u00edteni
\n\u2022\tincidenskezel\u00e9s (A16) \u2013 amelynek r\u00e9sze lehet az adatv\u00e9delmi incidensek kezel\u00e9se is (GDPR 33 \u2013 34. Cikkei)
\n\u2022\ta m\u0171k\u00f6d\u00e9sfolytonoss\u00e1g biztos\u00edt\u00e1s\u00e1nak inform\u00e1ci\u00f3biztons\u00e1gi vonatkoz\u00e1sai (A17) \u2013 mivel szint\u00e9n k\u00f6vetelm\u00e9ny a GDPR-ban (32. Cikk), \u00e9s k\u00fcl\u00f6n incidens kateg\u00f3ria a rendelkez\u00e9sre \u00e1ll\u00e1s megs\u00e9rt\u00e9se
\n\u2022\tMegfelel\u00e9s (Compliance \u2013 A18) \u2013 melynek k\u00fcl\u00f6n r\u00e9sze az adatv\u00e9delmi megfelel\u00e9s is<\/p>\n
\nAmennyiben valaki kock\u00e1zat\u00e9rt\u00e9kel\u00e9s alapj\u00e1n a hat\u00e1svizsg\u00e1lat elk\u00e9sz\u00edt\u00e9se mellett d\u00f6nt, l\u00e9nyeges k\u00f6vetelm\u00e9ny annak egys\u00e9ges elveknek megfelel\u0151 \u00e9s reproduk\u00e1lhat\u00f3 elv\u00e9gz\u00e9se, oly m\u00f3don, hogy a hat\u00e1svizsg\u00e1lat mellett annak pontos m\u00f3dszertana is dokument\u00e1ltan az adatkezel\u0151 rendelkez\u00e9s\u00e9re \u00e1lljon, mellyel al\u00e1 lehet t\u00e1masztani a hat\u00e1svizsg\u00e1lat eredm\u00e9ny\u00e9t.
\nNagyban hozz\u00e1j\u00e1rul az adatkezel\u00e9sekkel j\u00e1r\u00f3 kock\u00e1zatok kezel\u00e9s\u00e9hez a ki\u00e9p\u00edtett \u00e9s megfelel\u0151en m\u0171k\u00f6dtetett adatv\u00e9delmi ir\u00e1ny\u00edt\u00e1si keretrendszer, amely biztos\u00edtja, hogy a hat\u00e1svizsg\u00e1latokat az adatkezel\u0151 a megfelel\u0151 id\u0151ben elv\u00e9gezze.<\/p>\n