Skip to main content Skip to search

ADATVÉDELMI AUDIT

Az adatvédelmi terület speciális szakértelmet, és szakmai tapasztalatot igényel, ha Önnek a hibák javítására nincs megfelelő szakembere,
szakmai háttere, mi ezt szívesen átvállaljuk és a megfelelőség elérését biztosítjuk.

MIT JELENT AZ ADATVÉDELMI AUDIT?

Az adatvédelmi audit a leghatékonyabb vizsgálat az Ön számára, ha teljeskörű, átfogó képet szeretne kapni szervezete adatkezelési folyamatairól, az adatkezeléshez használt rendszereinek működéséről, illetve hogy ezek mennyire felelnek meg a jogszabályi, adatvédelmi és előírásoknak.

Milyen szakaszokból áll az adatvédelmi audit?

1. Háttérdokumentáció vizsgálat

2. Gyakorlati működés vizsgálat

3. GAP analízis

4. Akcióterv (Action Plan)

+ Akcióterv végrehajtása- megoldásszállítás

Első szakasz – Háttérdokumentáció vizsgálat

Az első szakaszban azt vizsgáljuk, hogy a szervezet adatvédelmi dokumentációja maradéktalanul rendelkezésre áll-e? Azaz minden lényeges, adatvédelmi dokumentum elkészült-e és rendelkezésre áll-e? A szervezet tevékenységét és méretét is figyelembe véve, rendelkezik-e adatvédelmi, illetve adatbiztonsági szabályzattal, esetleg iratkezelési szabályzattal, informatikai biztonsági szabályzattal.

Mindezekhez kapcsolódik -e eljárásrend, vezetői utasítás? Rendelkezik-e adatkezelési tájékoztatókkal, illetve nyilatkozatokkal, és ezek minden egyes adatkezelésre vonatkozóan rendelkezésre állnak és használatban vannak-e? Rendelkezik-e a szervezet adatvédelmi nyilvántartással? Jogos érdek jogalap használatban van-e, ha igen elkészültek-e az előzetes érdekmérlegelési tesztek, melyek a jogalap használatát lehetővé teszik? Van-e olyan adatkezelés, mely előzetes hatásvizsgálat elkészítését szükségessé, netán kötelezővé teszi, mert az adatkezelés szerepel a NAIH „fekete listáján”? Van-e incidens nyilvántartás, adattovábbítási nyilvántartás, adatfeldolgozói nyilvántartás? A munkavállalóknak, megbízotti jogviszonyban állóknak, egyszerűsített foglalkoztatásban lévő személyeknek, munkaerőkölcsönzött munkavállalóknak van-e adatkezelési tájékoztatója, hozzájárulás jogalap esetén adatkezelési hozzájárulása stb…

Minden olyan dokumentumra szükség van, mely a GDPR 5. cikk (2) bekezdésében foglalt elszámoltathatóság elvéhez kapcsolódóan az adatkezelő tevékenységének jogszabályi előírásoknak megfelelő tevékenységét hivatott szolgálni.

Ezt követően vizsgáljuk ezen dokumentumok hatályosságát, aktualizálás gyakoriságát.

Mindezek után megvizsgáljuk az átadott dokumentumok jogszabályi megfelelőségét. Ez magában foglalja a GDPR, Infotv., illetve a szervezetre irányadó ágazati jogszabályoknak megfelelő kialakítást is. Ezen felül a NAIH ajánlásokat, határozatok tartalmát, szakmai felügyelet ajánlásait is figyelembe vesszük.

Második szakasz – Gyakorlati működés vizsgálat

A megkapott dokumentumok alapján legtöbb esetben helyszíni személyes interjúk keretén belül szakterületenként vizsgáljuk azt, hogy a szervezet a háttérdokumentumokban fellelhető eljárások szerint működik-e vagy sem.

Minden egyes szakterületen életciklus modell alapján vizsgáljuk az adatkezelési folyamatokat, az adat keletkezésétől a törléséig. Az interjúk közben kiemelt figyelmet fordítunk arra, hogy van-e olyan adat, vagy adatkezelési folyamat, amely hiányzik az adatkezelési háttérdokumentációból, nincs róla tájékoztatás az érintettek felé, vagy nem készült hozzá adatkezelési hozzájárulás, nem tartozik-e abba a kategóriába, hogy előzetes kockázatelemzést kellett volna végrehajtani az adat kezelésének megkezdése előtt, vagy az adatkezelő nem megfelelő jogalapot használt és emiatt például nem készített érdekmérlegelési tesztet, pedig enélkül nem lehetett volna jogszerűen kezelni a szóban forgó személyes adatokat.

Rákérdezünk a szakterületeket érintő adatfeldolgozási műveletekre, illetve az adatfeldolgozói folyamatokban érintett külső szolgáltatókra, azok nyilvántartására, valamint a szolgáltatók által nyújtott garanciális feltételek írásba foglalt szerződéseire.

Vizsgáljuk az adatkezelés teljes folyamatára nézve az adatvédelmi alapelvek érvényesülését, így különösen az alábbiak érvényesülését:

a) az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

b) az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

c) az adatkezelés céljai szempontjából megfelelőnek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);

d) az adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);

e) az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);

f) az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).

Az adatkezelő felelős a fenti alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

Mindezeken felül vizsgáljuk, hogy az adatkezelő belső és külső eljárásai összhangban állnak-e háttédokumentumokkal, illetve a jogszabályi előírásokkal.

Amennyiben speciális szolgáltatókat vizsgálunk, például pénzügyi intézmény, vizsgálatunk kiterjed a felügyeleti hatóságok által előírt egyéb dokumentumokra, bejelentési kötelezettségekre (kiszervezés) jogszabályi előírásokra is.

Egészségügyi intézmény esetében a jogszabályban előírt szabályzat kötelező tartalmi elemek meglétének vizsgálata is része az auditunknak.

Harmadik szakasz – GAP analízis

Háttérfolyamatként zajlik a hibák feltárása, annak érdekében, hogy megfelelően alátámasszuk a nem megfelelő működési folyamatokban rejlő hibákat a GAP elemzésben feltüntetjük a jogszabályi előírást, valamint a vizsgált folyamatot, és ennek alapján leírjuk, hogy a dokumentum, vagy folyamat, illetve az adatkezelő gyakorlata miért és miben nem felel meg a vonatkozó előírásoknak.

Leírjuk a szakmai álláspontunkat és megmagyarázzuk, hogy az adott hiba javítására miért van szükség és milyen kockázatot hordoz a nem megfelelő gyakorlat fenntartása. A kockázatokat többféle kategóriába lehet sorolni, jellemzően bírság kockázatot elemzünk, mely reputációs kockázatot is magában hordoz.

A GAP analízis a legapróbb hibákat is feltárja annak érdekében, hogy az adatkezelő teljes adatkezelési folyamata kontroll alá kerüljön.

Negyedik szakasz – Akcióterv

Az Akcióterv a GAP analízisben feltárt hibákat, nemmegfelelőségeket, megoldási javaslatot, felelősöket, illetve határidőket tartalmaz.

A GAP analízis és Akcióterv egy önálló egyeztetés keretén belül kerül átadásra, ahol részletesen elmondjuk az Adatkezelőnek, hogy milyen hibákat, hiányosságokat tártunk fel és milyen megoldásokat javaslunk.

EXTRA szakasz – Akcióterv végrehajtása- megoldásszállítás

Amennyiben az Adatkezelő igényt tart rá, a hibákat javítjuk, hiányosságokat pótoljuk, és az Akciótervet teljes egészében végrehajtjuk.

Az adatvédelmi terület speciális szakértelmet, és szakmai tapasztalatot igényel, ha az Adatkezelőnek a hibák javítására nincs megfelelő szakembere, szakmai háttere, mi ezt szívesen átvállaljuk és a megfelelőség elérését biztosítjuk.

Kinek ajánljuk az adatvédelmi auditot?

Azon szervezeteknek ajánljuk, akik:

  • szeretnének a GDPR előírásainak megfelelni
  • nagyszámú adatkezelési tevékenységet végeznek, (bankok, pénzügyi intézmények, pénzügyi vállalkozások, egészségügyi intézmények, oktatási intézmények, termelő üzemek, akik nagy számú foglalkoztatottal rendelkeznek, könyvelők)
  • tevékenységük jellegéből adódóan a hatóság fókuszában találhatók, (sportszövetségek, pénzügyi intézmények, önkormányzatok, társasházak, webshopok)
  • adatkezelési tevékenységükre eddig nem fordítottak nagyobb figyelmet,
error: Content is protected !!

Ez a weboldal sütiket használ. Ennek részleteiről bővebben olvashat ide kattintva >>> További információ

Cookie (süti) tájékoztató

1. Mik azok a „cookie-k”(„sütik”)

Amikor Ön a www.adatvedo.hu weboldalt meglátogatja, kis file-ok, ú.n. „cookie-k” (továbbiakban: cookie vagy süti) kerülnek a számítógépére, melyek többféle célt szolgálhatnak.

2. A sütik célja

2.1. Az Ön beállításainak, használati szokásainak rögzítésével az oldalon való navigáció és ezáltal a honlap használatának megkönnyítése.

2.2. Statisztikák gyűjtése, melyek elemezése segíti megérteni azt, hogy Ön hogyan használja a weboldalt, mely oldalait látogatja, vagy használja leggyakrabban. Így megtudhatjuk, hogyan biztosítsunk még jobb felhasználói élményt, ha ismét meglátogatja oldalunkat, amelyet ezáltal tovább fejleszthetünk.

3. Az általunk használt "Sütik" típusai

3.1. Munkamenet sütik

A munkamenet sütik a honlap böngészéséhez, a funkciók használatához szükségesek, többek között lehetővé teszik az oldalon a funkcióban, vagy szolgáltatásban Ön által végzett műveletek megjegyzését. A munkamenet sütik alkalmazása nélkül a honlap zökkenőmentes használata nem garantálható. Érvényességi idejük az adott látogatás időtartamára terjed ki, a sütik a munkamenet végén, vagy a böngésző bezárásával automatikusan törlődnek a számítógépéről.

3.2. Teljesítményt biztosító sütik

Teljesítménymérés céljából weboldalunk minden látogatás alkalmával Google Analytics sütiket használ. A sütik használatával nyomon követjük, hogy a weboldalt hányan látogatják, és milyen tartalmak iránt érdeklődnek. Minden információt név nélkül tárolunk és a látogatók viselkedésének anonim elemzésére használjuk, hogy magas színvonalú élményt tudjunk biztosítani a felhasználóknak.

A szolgáltatással kapcsolatos részletes tájékoztató a következő linken keresztül érhető el: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

4. A sütik beállításának ellenőrzése, valamint a sütik letiltása

A modern böngészők engedélyezik a süti beállítások módosítását. A böngészők egy része alapértelmezettként automatikusan elfogadja a sütiket, de ez a beállítás is megváltoztatható annak érdekében, hogy a jövőre nézve megakadályozza az automatikus elfogadást. Átállítás esetén a böngésző a továbbiakban minden alkalommal felajánlja a sütik beállításának választási lehetőségét.

A legnépszerűbb böngészők süti beállításairól az alábbi linkeken tájékozódhat

· Google Chrome
· Firefox
· Microsoft Internet Explorer 11
· Microsoft Internet Explorer 10
· Microsoft Internet Explorer 9
· Microsoft Internet Explorer 8
· Safari

Bezárás