Informcivdelem krdsei az adatvdelmi biztos gyakorlatban Szdeczky Tams
Információvédelem kérdései az adatvédelmi biztos gyakorlatában Szádeczky Tamás, CISA adatvédelmi szakértő Adatvédelmi Biztos Irodája Hétpecsét Információbiztonsági Egyesület XLII. Szakmai Fórum, 2010. szeptember 15. 1
Munkánk szabályzói • 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról (Avtv. ) • 1993. évi LIX. törvény az állampolgári jogok országgyűlési biztosáról (Obtv. ) 2
Adatbiztonsági előírások • 10. § (1) Az adatkezelő, […] az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. 3
Adatbiztonsági előírások • (2) Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. • […] külön védelmi intézkedéseket kell tenni […] ha a személyes adatok továbbítása hálózaton […] történik. 4
Ellenőrzés • • • bejelentés alapján (24. §) hivatalból (24. §) nyilvántartásba vételt megelőzően (31. §) belső eljárásrend alapján határidő nélkül esethez igazodó módszerekkel 5
IT ellenőrzés • vizsgálati formák – átfogó vizsgálat – részvizsgálat kiemelt területen • amit nem végzünk – compliance audit – tervvizsgálat 6
IT ellenőrzés • nemzetközi szabványok – COBIT – ISO/IEC 27002 • helyes gyakorlat propagálása – SLA – BCP, DRP 7
Intézkedés • nyilvánosság tájékoztatása • adatkezelés megszüntetésére felszólítás • hatósági határozatban elrendelhető • cél: helyes gyakorlat alkalmazása 8
Nemzetközi kutatások • kormányzati felhő kihívásai – ENISA kutatás EU tagállamokban – cloud computing adatvédelmei kérdései • biztonsági incidensek bejelentése – 2009/136/EK irányelv 9
Belső kutatások • audit módszertan – külföldön is ritka – adatvédelem-adatbiztonság • biztonsági incidensek hazai kezelése – egyeztetés társhatóságokkal 10
Konkrét jogesetek • Oktatási Hivatal • egyéb állami adatkezelők – informatikai biztonsági felügyelő – belső ellenőrzés 11
Köszönöm a figyelmet! szadeczky@obh. hu 12
- Slides: 12