Adatvédelmi folyamatok ellenőrzése adatvédelmi auditon keresztül, valamint hiányosságok elemzése és a GDPR megfeleléshez szükséges teendők számbavétele.
Az adatvédelmi felmérés alatt a szervezet adatvédelmi és informatikai folyamatait átvizsgáljuk és megállapítjuk, hogy a GDPR által elvárt feltételek teljesülnek-e a szervezetében jelenleg, azaz “Hol vagyunk most?” valamint összeírjuk azon elvégzendő feladatok listáját, amik ahhoz szükségesek, hogy elérjük a kívánt célt, a GDPR-nak való megfelelést.
A GAP analízis végeredménye egy olyan dokumentáció, ami azt mutatja meg, hogy milyen lépéseket kell tennie annak érdekében, hogy sikerrel felkészüljön a GDPR elvárásaira.
A szervezet vezetőinek alkalmazottainak tudatos munkavégzésének vizsgálata az adatvédelem szemszögéből. Mennyire figyelnek oda a cég munkatársai az általuk kezelt személyes adatok védelmére a mindennapi munkavégzés során.
Milyen személyes adatokat tárolnak a szervezeten belül, kik férhetnek hozzá, kiknek adják tovább…, gyakorlatilag adatvagyon felmérés kerül elvégzésre
Átvilágításra kerülnek az adatvédelmi tájékoztatók
Megvizsgáljuk a szervezeten belüli eljárásokat, hogy az adatalanyok jogait hogyan tudják érvényesíteni és ezen jogérvényesítési kérésekre mennyire van felkészülve a szervezet. ( adatlanyok jogérvényesítési kérései: adattörlés, adattovábbítás, pontatlanság korrigálása, ...stb.
Megvizsgáljuk azokat az eljárásokat, ahogyan az adatkezeléssel kapcsolatos kérelmeket kezelik a szervezeten belül. Megállapítjuk azokat a szükséges teendőket, amik az új GDPR elvárásoknak megfelelő kérelem kezelési elvárásoknak eleget tesz.
Megvizsgáljuk a szervezetnél előforduló összes adatkezelési formákat, azonosítjuk jogalapjukat és az adatkezelési forma jogalapja által megkövetelt dokumentáltságot.
A személyek jogai a személyes adatok kezelésének jogalapjától függően módosulnak. A GDPR egyik alapelve az egyértelmű tájékoztatás azt is megköveteli, hogy többek között az adatkezelés jogalapjáról tájékoztassuk az adatalanyokat.
Megvizsgáljuk, hogy az egyes adatkezelési formák tekintetében miképp szerzi be az adatkezléshez a felhatalmazó engedélyt a szervezet. Abban az esetben ha az adatlany hozzájárulása adja meg az engedélyt az adatok kezelésére a szervezetnek ezt tudnia kell bizonyítani. Ebben az esetben az adatalanyoknak joguk van ezt a hozzájárulást visszavonni. Amennyiben lehetséges célszerű más jogalapot alkalmazni az adatkezelés kapcsán.
Az adatkezelési folyamatok során vizsgáljuk, hogy milyen rendszereket használ a szervezet az adatalany életkorának azonosítására (amennyiben lehetséges) és ha bizonyíthatóan fiatalkorúnak minősül az adatalany gondoskodnak-e a szülő vagy gondviselő hozzájárulásának begyüjtéséről. A GDPR különösen védi a gyermekek személyes adatait, különösen a kereskedelmi internetes szolgáltatások, például a közösségi hálózatok vonatkozásában.
Biztosítanunk kell, hogy megfelelő eljárások álljanak rendelkezésre a személyes adatok megsértésének felderítésére, bejelentésére és kivizsgálására. A közepes vagy magas kategóriába sorolt személyes adatsérelmi incidenseket 72 órán belül be kell jeneteni a felügyeleti hatóságnak a GDPR által előírt tartalmi követelményeknek megfelelően. Ezen kívül konkrét lépéseket kell tennie a szervezetnek az incidens negatív hatásainak enyhítésére és az érintett személyek tájékoztatására.
Fel kell mérni a személyes adatok kezelésével járó folyamatokat, tervszerűen kell kezelni az adatvédelmet ezeknél az eljárásoknál, ahol szükséges adatvédelmi hatásvizsgálatot kell elvégezni. Minden meglévő és jövőben bevezetésre kerülő folyamat kapcsán el kell végezni az adatvédelmi hatásvizsgálatot és tervezetten kell foglalkozni az adatvédelmi kérdésekkel a folyamat során. Vannak olyan adatkezelési folyamatok ahol a GDPR kötelezően ír elő adatkezelési hatásvizsgálatot és vannak olyan esetek ahol a felügyelei hatósággal együtt kell működni a folyamat adatvédelmileg helyes kialakításában.
A GDPR erősen tanácsolja a szervezetek, cégek számára, hogy adatvédelmi tisztviselőt jelöljenek ki, aki rendelkezik szakmai tapasztalattal és az adatvédelmi joggal kapcsolatos ismeretekkel. (Vannak olyan szervezetek, akik számára kötelező adatvédelmi tisztviselő kijelölése)
- tájékoztatja és tanácsokkal látja el a szervezetet és alkalmazottait a GDPR és más adatvédelmi jogszabályok betartására vonatkozó kötelezettségeikről.
- figyelemmel kísérni a GDPR és egyéb adatvédelmi jogszabályoknak való megfelelést, beleértve a belső adatvédelmi tevékenységek kezelését, az adatvédelmi hatásvizsgálatokkal kapcsolatos tanácsadást
- belső ellenőrzéseket végez
- az első kapcsolattartó pont a felügyeleti hatóságok és azon magánszemélyek számára, akiknek az adatait kezeli a szervezet vagy cég
- az adatvédelmi tisztviselőnek jelentést kell tennie a legmagasabb vezetői szintre
- függetlenül kell működnie, nem szabad elbocsátani vagy büntetni
Meg kell határozni a külföldi adattovábbítás kereteit és a szükséges intézkedéseket meg kell tenni ha a szervezetnél azonosított olyan adatkezelési forma, amelynél a személyes adatok elhagyják az országhatárt.
Segítségére leszünk a szervezet dolgozói látásmódjának megváltoztatásában, hogy felelősebben végezzék a munkájukat úgy, hogy közben figyelnek a személyes adatok védelmére. A GDPR szerint a szervezet vezetőinek, ügyvezetőknek gondoskodni kell arról, hogy a munkatársak és adatfeldolgozó partnerek tisztában legyenek az adatfeldolgozással kapcsolatos kötelezettségeikkel és jogszabályi következményekkel.
A GDPR nagyobb hangsúlyt fektet az elszámoltathatóságra az adatkezelők tekintetében.
Az adatvédelmi felmérést és GAP analízis elvégzését követően egy olyan dokumentációt adunk át amely tartalmazza az elvégzendő feladatokat a GDPR megfeleléshez, továbbá igény esetén részt veszünk a konkrét feladatok megvalósításában, céges oktatásban is.