Adatvédelem

Az Adatvédelmi rendelet egyértelműen előírja, hogy az adatkezelő működése során teljeskörűen köteles biztosítani a személyes adatok védelmét mind jogi, mind informatikai értelemben. GDPR auditra azért van szükség, hogy ezen keresztül felmérjük, hogy az adatkezelő pontosan milyen személyes adatokat, milyen célból, és milyen feltételekkel kezel.

• Tervezés: A GDPR audit első lépéseként megismerjük a megbízó főbb adatait, tevékenységi körét, alkalmazotti létszámát, szervezeti és működési struktúráját, belső szabályozási rendszerét, informatikai működését, ügyfélszerződések rendszerét, a kezelt személyes adatok körét, amely alapján egy cselekvési tervet állítunk össze. A tervezés során megvizsgáljuk, hogy az audit elvégzéséhez milyen lépésekre van szükség a vállalkozás mérete és az adatkezelés volumene alapján.
• Felkészülés: Egy kérdőívet küldünk a megbízó részére, amelyre adott válaszokat részletesen átbeszéljük a megbízóval, majd kielemezzük, illetve felmérjük a megbízó adatvagyonát.
• Adatvédelmi audit lefolytatása: A megbízó által rendelkezésünkre bocsájtott információk alapján elkészítjük az adatvédelmi riportot és javaslatokat teszünk a kötelező adatvédelmi dokumentumok elkészítésére vagy (azok felülvizsgálata esetén) a már rendelkezésre álló dokumentumok módosítására, kiegészítésére.
• Adatvédelmi dokumentumok elkészítése, vagy a már meglévő dokumentáció módosítása, kiegészítése: Az adatvédelmi audit lefolytatása után elkészítjük az egyes (online, offline) adatkezelésekhez szükséges adatvédelmi szabályzatokat/tájékoztatásokat.

Az adatvédelmi dokumentumok:

Az adatvédelmi audit alapján elkészítjük az alábbi dokumentumokat:

• adatvédelmi tájékoztatók (web-es adatkezelési tájékoztató, munkavállalói tájékoztatók)
• adatvédelmi szabályzat (a vállalkozás belső adatvédelmi eljárásrendje), incidenskezelési szabályzat, kamerarendszerre- beléptetőrendszerre vonatkozó szabályzatok
• adatfeldolgozási szerződések, közös adatkezelési megállapodások
• süti tájékoztató (a honlapon alkalmazott sütik jogszerű használatának kialakítása érdekében)

A DPO minden esetben fontos szakmai segítséget nyújt az adatvédelmi megfeleléshez és a hatékony adatgazdálkodáshoz. Megfelelő tapasztalattal rendelkező saját alkalmazott, de szerződéssel megbízott külsős szakértő is betöltheti a DPO pozíciót.

Adatvédelmi tisztviselő kinevezése kötelező, ha:

• az adatkezelő közfeladatot vagy közhatalmat ellátó szerv, kivéve a bíróságok
• az adatkezelés során az érintettek rendszeres és nagymértékű megfigyelése történik
• az adatkezelés során a személyes adatok különleges kategóriáiba tartozó vagy a büntetőjogi felelősség megállapítására vonatkozó adatok nagymértékű kezelése történik

Kötelezettség hiányában is számos előnnyel jár az adatvédelmi tisztviselő kinevezése, mivel a DPO:

• szakmai tanácsával látja el az adatkezelőt vagy az adatfeldolgozót, amennyiben a GDPR szerinti adatvédelmi hatásvizsgálatot kell lefolytatni;
• segíti az érintettek joggyakorlásának jogszerű teljesítését;
• folyamatos szakmai támogatásával segíti a GDPR-nak történő megfelelést;
• együttműködik az adatvédelmi hatósággal egy adatvédelmi vizsgálat vagy hatósági eljárás esetén.

A GDPR számos kötelezettséget ír elő a személyes adatok kezelésével kapcsolatban, így például:

• az adatkezelésnek a rendeletben meghatározott elveknek megfelelően, a meghatározott cél érdekében, és a megfelelő eljárási rend betartása mellett kell történnie;
• az érintetteket tömör, áttekinthető, közérthető formában tájékoztatni kell a GDPR által előírt jogaikról és arról is, hogyan élhetnek ezekkel a jogaikkal;
• amennyiben az adatkezelés az érintett hozzájárulásán alapul, be kell szerezni az érintett hozzájárulását oly módon, hogy a hozzájárulás az adatkezelő által igazolható legyen;
• be kell jelenteni az adatvédelmi és információszabadság hatósághoz minden adatvédelmi incidenst, az eset súlyától függően pedig szükség lehet minden érintett tájékoztatására is;
• vezetni kell a nyilvántartásokat, ki kell nevezni a felelős személyeket.

• a szükséges adatvédelmi szabályzatok és dokumentumok elkészítése;
• rendszeresen adatvédelmi audit lefolytatása;
• azon dokumentumok, szerződések felülvizsgálata, amelyek a személyes adatok jogszerű kezelését befolyásolhatják;
• biztonságos adatmegsemmisítési eljárás;
• érintettek tájékoztatása;
• személyes adatok felelősségteljes gyűjtése;
• adatvédelmi felelős kinevezése;
• adatvédelmi incidens esetére incidenskezelési terv készítése;
• a GDPR alapelvek betartása.

• jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni;
• célhoz kötöttség: személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;
• adattakarékosság: a személyes adatoknak az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;
• pontosság: a személyes adatoknak pontosnak és naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
• korlátozott tárolhatóság: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;
• integritás és bizalmas jelleg: személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága (ideértve az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is).