0%
 | A Megrendelő szervezetének információbiztonsági megfelelőségi vizsgálata a 41/2015. (VII. 15.) BM rendelet követelményei alapján. |
| A szolgáltatás eredményterméke egy összefoglaló jelentés, amelyben ismertetésre kerül a vizsgált szervezet információbiztonsági helyzete, a fent hivatkozott – és a szervezetre vonatkozó- jogszabályi követelmények alapján. |
| Elektronikus információbiztonsági vezető (EIV) delegálása az IBF tisztségre. |
| IBIR dokumentáció aktualizálása. |
| OVI, SZVI táblázatok kitöltése, kapcsolattartás a Nemzeti Kibervédelmi Intézettel/NEIH-el. |
| IT-biztonsági tanácsadás, IBF állásfoglalások készítése. |
| Éves biztonsági jelentés készítése a szervezet vezetőjének. |
| A szervezet IT-biztonság tudatosságának a fejlesztése. |
Alapvető IT-biztonsági tudnivalók oktatása:
| Általános informatikai biztonsági tudnivalók, gyakorlatban használható ismeretek előadása 60 percben, példákkal. |
| Az oktatást szakképzett előadó tartja (infokommunikációs szakjogász, e-információbiztonsági vezető). |
| Egyedileg kidolgozott, lényegre törő oktatási anyag. |
| A megrendelő intézmény elektronikus formátumban, pdf-ben is megkapja az oktatási anyagot. |
| Az alapszintű oktatási anyag/előadás nem tér ki a megrendelő egyedi IT-biztonsági megoldásaira (pl: adott szervezetnél, hogyan működik a biztonsági mentés, stb.). |
Adatkezelőnek, a vállalkozásnak bármikor képesnek kell lenni annak bizonyítására, hogy adatkezelése valamennyi adatkezelési művelet tekintetében jogszerű, és mindenben megfelel az adatkezelés GDPR-ban foglalt elveinek.
A tipikus, általános adatkezelési tájékoztatók, amelyeket egy vállalkozásnak el kell készíteni:
| A dolgozók, megbízottak foglalkoztatása során az adózási és járulékbevallási, nyugellátási adatok kezelése és továbbítása. |
| Egészségügyi alkalmassággal kapcsolatos egészségügyi adatok kezelése. |
| Járműkövető rendszerrel kapcsolatos adatkezelés. |
| Munkahelyi kamerák működtetése. |
| Beléptető rendszer alkalmazásával kapcsolatos személyes adatok. |
| Szerződő ügyfelek egyes adatainak a jogszerű kezelése. |
| Telefonos ügyfélszolgálaton történő adatkezelés. |
| Weboldalak, hírlevelek, levelező rendszerek szükségszerű adatkezelése. |
| Online megrendelés, szerződés. |
| Bankkártyás fizetés tájékoztatási kötelezettségei. |
| Adattovábbítás általános szabályai. |
A GDPR előírja és ellenőrizhetővé teszi egy szervezetnél, vállalkozásnál az ún. belső adatvédelmi nyilvántartást, ami valamennyi adatkezelés esetén tartalmazza:
| az adatkezelés célját, |
| az adatkezelés jogalapját, |
| az érintettek körét, |
| az érintettekre vonatkozó adatok leírását, |
| az adatok forrását, |
| az adatok kezelésének időtartamát. |
Az adatkezelésnél, ha a vállalkozás mást, alvállalkozót bevon a folyamatba, akkor adatfeldolgozási szerződést köteles kötni pl. szerver adattárolás, bankkártyával való fizetés biztosítása, orvosi alkalmasság biztosítása, könyvelés esetén.
Ha a Vállalkozásnál az adatkezelés a Vállalkozás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, akkor a Hatóság (NAIH) elvárja az ún. érdekmérlegelési teszt elvégzését. A teszt eljárás arra irányul, hogy a műveletek megkezdése előtt a Vállalkozás hasonlítsa össze minden érdekelt és érintett érdekeit, elemezze a műveletek kockázatait, vázolja fel a kisebb kockázatú eljárások lehetőségét is.
A Hatóság részére minél hamarabb be kell jelenteni, ha az Adatkezelőnél adatvédelmi incidens történt, annek leírása: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információra vonatkozóan (azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható) a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés következhet be.
Az adatvédelmi incidens elhárítása, következményeinek mérséklése miatt, az Intézmények és Vállalkozások részéről Incidenskezelési és Kockázatértékelési Szabályzatot készíttetni. Jobb előre felkészülni, mert egy váratlan kockázati eseménykor a Vállalkozásnak a Hatóság felé benyújtandó bejelentésben legalább:
| Ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát. |
| Közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit. |
| Ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket. |
| Ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket. |
 |
A közszféra szolgáltatója! 
|
