GDPR adatvédelmi audit és elemzés - GDPR megfelelés

Adatvédelmi folyamatok ellenőrzése adatvédelmi auditon keresztül, valamint hiányosságok elemzése és a GDPR megfeleléshez szükséges teendők számbavétele.

Az adatvédelmi felmérés alatt a szervezet adatvédelmi és informatikai folyamatait átvizsgáljuk és megállapítjuk, hogy a GDPR által elvárt feltételek teljesülnek-e a szervezetében jelenleg, azaz “Hol vagyunk most?” valamint összeírjuk azon elvégzendő feladatok listáját, amik ahhoz szükségesek, hogy elérjük a kívánt célt, a GDPR-nak való megfelelést.

A GAP analízis végeredménye egy olyan dokumentáció, ami azt mutatja meg, hogy milyen lépéseket kell tennie annak érdekében, hogy sikerrel felkészüljön a GDPR elvárásaira.

A GDPR GAP analízis során az alábbi területeken végzünk hiányosságelemzést:

1.Tudatosság

A szervezet vezetőinek alkalmazottainak tudatos munkavégzésének vizsgálata az adatvédelem szemszögéből. Mennyire figyelnek oda a cég munkatársai az általuk kezelt személyes adatok védelmére a mindennapi munkavégzés során.

2. Adatvagyon leltár

Milyen személyes adatokat tárolnak a szervezeten belül, kik férhetnek hozzá, kiknek adják tovább…, gyakorlatilag adatvagyon felmérés kerül elvégzésre

3. Adatvédelmi tájékoztatók

Átvilágításra kerülnek az adatvédelmi tájékoztatók

4. Adatalanyok jogai

Megvizsgáljuk a szervezeten belüli eljárásokat, hogy az adatalanyok jogait hogyan tudják érvényesíteni és ezen jogérvényesítési kérésekre mennyire van felkészülve a szervezet. ( adatlanyok jogérvényesítési kérései: adattörlés, adattovábbítás, pontatlanság korrigálása, ...stb.

5. Adatkezeléssel kapcsolatos kérelmek

Megvizsgáljuk azokat az eljárásokat, ahogyan az adatkezeléssel kapcsolatos kérelmeket kezelik a szervezeten belül. Megállapítjuk azokat a szükséges teendőket, amik az új GDPR elvárásoknak megfelelő kérelem kezelési elvárásoknak eleget tesz.

6. Adatkezelés jogalapjának és törvényi kereteinek vizsgálata

Megvizsgáljuk a szervezetnél előforduló összes adatkezelési formákat, azonosítjuk jogalapjukat és az adatkezelési forma jogalapja által megkövetelt dokumentáltságot.
A személyek jogai a személyes adatok kezelésének jogalapjától függően módosulnak. A GDPR egyik alapelve az egyértelmű tájékoztatás azt is megköveteli, hogy többek között az adatkezelés jogalapjáról tájékoztassuk az adatalanyokat.

7. Hozzájárulás

Megvizsgáljuk, hogy az egyes adatkezelési formák tekintetében miképp szerzi be az adatkezléshez a felhatalmazó engedélyt a szervezet. Abban az esetben ha az adatlany hozzájárulása adja meg az engedélyt az adatok kezelésére a szervezetnek ezt tudnia kell bizonyítani. Ebben az esetben az adatalanyoknak joguk van ezt a hozzájárulást visszavonni. Amennyiben lehetséges célszerű más jogalapot alkalmazni az adatkezelés kapcsán.

8. Gyermekek

Az adatkezelési folyamatok során vizsgáljuk, hogy milyen rendszereket használ a szervezet az adatalany életkorának azonosítására (amennyiben lehetséges) és ha bizonyíthatóan fiatalkorúnak minősül az adatalany gondoskodnak-e a szülő vagy gondviselő hozzájárulásának begyüjtéséről. A GDPR különösen védi a gyermekek személyes adatait, különösen a kereskedelmi internetes szolgáltatások, például a közösségi hálózatok vonatkozásában.

9. Személyes adatok sérelme

Biztosítanunk kell, hogy megfelelő eljárások álljanak rendelkezésre a személyes adatok megsértésének felderítésére, bejelentésére és kivizsgálására. A közepes vagy magas kategóriába sorolt személyes adatsérelmi incidenseket 72 órán belül be kell jeneteni a felügyeleti hatóságnak a GDPR által előírt tartalmi követelményeknek megfelelően. Ezen kívül konkrét lépéseket kell tennie a szervezetnek az incidens negatív hatásainak enyhítésére és az érintett személyek tájékoztatására.

10. Adatvédelem tervezése és adatvédelmi hatásvizsgálatok elvégzése

Fel kell mérni a személyes adatok kezelésével járó folyamatokat, tervszerűen kell kezelni az adatvédelmet ezeknél az eljárásoknál, ahol szükséges adatvédelmi hatásvizsgálatot kell elvégezni. Minden meglévő és jövőben bevezetésre kerülő folyamat kapcsán el kell végezni az adatvédelmi hatásvizsgálatot és tervezetten kell foglalkozni az adatvédelmi kérdésekkel a folyamat során. Vannak olyan adatkezelési folyamatok ahol a GDPR kötelezően ír elő adatkezelési hatásvizsgálatot és vannak olyan esetek ahol a felügyelei hatósággal együtt kell működni a folyamat adatvédelmileg helyes kialakításában.

11. Adatvédelmi tisztviselők

A GDPR erősen tanácsolja a szervezetek, cégek számára, hogy adatvédelmi tisztviselőt jelöljenek ki, aki rendelkezik szakmai tapasztalattal és az adatvédelmi joggal kapcsolatos ismeretekkel. (Vannak olyan szervezetek, akik számára kötelező adatvédelmi tisztviselő kijelölése)

Adatvédelmi tisztviselő feladatai:

- tájékoztatja és tanácsokkal látja el a szervezetet és alkalmazottait a GDPR és más adatvédelmi jogszabályok betartására vonatkozó kötelezettségeikről.
- figyelemmel kísérni a GDPR és egyéb adatvédelmi jogszabályoknak való megfelelést, beleértve a belső adatvédelmi tevékenységek kezelését, az adatvédelmi hatásvizsgálatokkal kapcsolatos tanácsadást
- belső ellenőrzéseket végez
- az első kapcsolattartó pont a felügyeleti hatóságok és azon magánszemélyek számára, akiknek az adatait kezeli a szervezet vagy cég
- az adatvédelmi tisztviselőnek jelentést kell tennie a legmagasabb vezetői szintre
- függetlenül kell működnie, nem szabad elbocsátani vagy büntetni

12. Külföldi adattovábbítás

Meg kell határozni a külföldi adattovábbítás kereteit és a szükséges intézkedéseket meg kell tenni ha a szervezetnél azonosított olyan adatkezelési forma, amelynél a személyes adatok elhagyják az országhatárt.

13. Elszámoltathatóság

Segítségére leszünk a szervezet dolgozói látásmódjának megváltoztatásában, hogy felelősebben végezzék a munkájukat úgy, hogy közben figyelnek a személyes adatok védelmére. A GDPR szerint a szervezet vezetőinek, ügyvezetőknek gondoskodni kell arról, hogy a munkatársak és adatfeldolgozó partnerek tisztában legyenek az adatfeldolgozással kapcsolatos kötelezettségeikkel és jogszabályi következményekkel.

A GDPR nagyobb hangsúlyt fektet az elszámoltathatóságra az adatkezelők tekintetében.

Az adatvédelmi felmérést és GAP analízis elvégzését követően egy olyan dokumentációt adunk át amely tartalmazza az elvégzendő feladatokat a GDPR megfeleléshez, továbbá igény esetén részt veszünk a konkrét feladatok megvalósításában, céges oktatásban is.

Név	Leírás, cél	Típus	Lejárat	Szolgáltató
__cfduid	Megbízható forgalom azonosítás	HTTP	1 év	freegeoip.net
language	Felhasználó preferált nyelve a weblap megjelenítése kapcsán	HTTP	6 nap	http://adatvedelmiszolgaltato.hu/
fw-page	Felhasználó session azaonosítójának tárolására szolgál	HTTP	Munkamenet	https://adatvedelmiszolgaltato.hu/
cookie_setup	A felhasználó cookie kezelés beállításainak rögzítése	HTTP	1 év	https://adatvedelmiszolgaltato.hu/

Név	Leírás, cél	Típus	Lejárat	Szolgáltató
_ga	A felhasználó anonim azonosítását teszi lehetővé. Biztosítja, hogy statisztikai célú, személyhez nem köthető adatok segítségével a weboldal működését folyamatosan javítsuk és jobb felhasználói élményt nyújtsunk a látogatók számára.	HTTP	2 év	http://adatvedelmiszolgaltato.hu/
_gat	Teljesítmény optimalizásál céljából küld statisztikai adatokat Google Analytics résézre	HTTP	Munkamenet	http://adatvedelmiszolgaltato.hu/
_gid	A felhasználó anonim azonosítását teszi lehetővé. Biztosítja, hogy statisztikai célú, személyhez nem köthető adatok segítségével a weboldal működését folyamatosan javítsuk és jobb felhasználói élményt nyújtsunk a látogatók számára.	HTTP	Munkamenet	https://adatvedelmiszolgaltato.hu/
collect	Eszköz használti és viselkedési adatok nyomon követése a Google Analytics számára. Az adatok eszközön és marketing csatornákon keresztüli továbbítása!	képpont	Munkamenet	https://adatvedelmiszolgaltato.hu/