Skip to main content Skip to search

ADATVÉDELMI CÉLVIZSGÁLAT

Az Ön igénye szerint az adatkezelés meghatározott részterületének, folyamatának szakértői vizsgálata. A lehetséges kockázati pontok,
nemmegfelelőségek feltárása és ezekre megoldási javaslatok előkészítése.

ADATVÉDELMI CÉLVIZSGÁLAT TERÜLETEK

A megrendelő igénye szerint az adatkezelés meghatározott részterületének, folyamatának szakértői vizsgálata. A lehetséges kockázati pontok, nemmegfelelőségek feltárása és ezekre megoldási javaslatok előkészítése.

Humánerőforrás (HR)

Leggyakrabban a HR területen kérik ügyfeleink ezen szolgáltatásunkat, mert ott keletkezik a legtöbb adatkezelési jogvita, bírósági per.

Megvizsgáljuk a HR területen a munkavállalók adatkezelési tájékoztatóit, adatkezelési tudatosságát, konkrét a munkáltató által kezelt személyes adataikat összevetjük a meglévő adatkezelési tájékoztatókkal.

Személyes interjúk alapján azonosítjuk az adatkezelési folyamatokat, pl. kamerás megfigyelés, GPS, alkoholszondáztatás, beléptető rendszer, biometrikus azonosítás, COVID 19 eljárások, telefon, laptop, tablet használati feltételek, DLP rendszer stb…

A vizsgálat alapján javaslatot teszünk a hibák módosítására, eljárások változtatására és segítünk bevezetni az aktualizált, módosított, javított dokumentumokat a szervezet folyamataiba.

Adatkezelési tájékoztatók megfelelősége, rendszere

Ügyfeleink által alkalmazott, hatályos, célvizsgálat időpontjában használatban lévő adatkezelési tájékoztatókat, adatkezelési hozzájáruló nyilatkozatokat vesszük vizsgálat alá a GDPR 13., illetve 14. cikke alapján.

Megnézzük, hogy mikor, hol, milyen formában kerülnek az érintettekhez ezen dokumentumok. Megnézzük, hogy hogyan zajlik a kitöltésük, tárolásuk, aktualizálásuk. Megtörténik-e egyáltalán a felülvizsgálatuk évente, vagy változás, jogszabályi módosítás következtében azonnal.

Javaslatot teszünk a hibák módosítására, eljárások változtatására és segítünk bevezetni az aktualizált, módosított, javított dokumentumokat a szervezet folyamataiba.

Munkahelyi megfigyelés, kontrollok megfelelősége

A munkavállalók megfigyelése, munkáltatói kontroll mindig nagy figyelmet kap a NAIH részéről és nagy kockázatot jelent az adatkezelők, munkáltatók számára.

Kamerás megfigyelés, alkohol szondáztatás, csomag átvizsgálás, GPS, telefon, internet, laptop, email fiók ellenőrzése, beléptető rendszer stb., mind-mind ebbe a körbe tartozik.

DLP szoftverek, vagy más adatszivárgás megelőzésére szolgáló alkalmazások használata esetén is megvizsgáljuk az adatvédelmi elvek érvényesülését.

Lehetnek különleges megoldások, mint például biometrikus azonosítások alkalmazása, face scanner, retina scanner, ujjlenyomat olvasó használata, melyek esetén szintén megvizsgáljuk a bevezetése előtti, a bevezetést követő folyamatokat és azok adatvédelmi szempontú megfelelőségét.

Különleges kategóriájú személyes adatok kezelése

A GDPR 9. cikke szerint a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

A GDPR 9. cikk (2) bekezdése határozza meg azokat a kivételeket, mely esetekben a kezelésre nyílik ugyan lehetőség, de nagyon szigorú szabályok betartása mellett.

Webshopok adatkezelési szempontú célvizsgálata

Megvizsgáljuk, hogy a webshop adatkezelési folyamatai hogyan épülnek fel, és milyen adatkezelési gyakorlat alakult ki. Ehhez viszonyítva megvizsgáljuk, hogy a kialakított adatkezelési tájékoztatók összhangban vannak-e a gyakorlattal és a jogszabályi előírásoknak megfelelő módon lettek-e kialakítva.

Amennyiben eltéréseket (GAP-eket) látunk a jogszabályi előírások érvényesülésében, vagy a gyakorlat és a dokumentációs háttér között, javaslatot teszünk az eltérések, hibák javítására. A megrendelő általi elfogadást követően a hibákat kijavítjuk, eltéréseket módosítjuk.

Munkánk eredményeként a webshop adatkezelése, annak elmélete és gyakorlata az adatvédelmi jogszabályi előírásoknak megfelelő módon lesz kialakítva.

Érdekmérlegelési tesztek teljes körűségének, megfelelőségének célvizsgálata

Az általános adatvédelmi rendelet GDPR 6. cikk (1) bekezdés f) pontjára való hivatkozás feltétele az, hogy az adatkezelő érdekmérlegelési tesztet végezzen, és annak eredményéről tájékoztassa az érintettet. Az érdekmérlegelési tesztben az adatkezelőnek azt kell kimutatnia, hogy jogszerű érdekeinek érvényesüléséhez az adatkezelés szükséges és arányos beavatkozás az érintett magánszférájába.

Amennyiben az adatkezelő jogos érdek jogalapot alkalmazza, megvizsgáljuk, hogy a jogalap alkalmazása előtt minden elvárható intézkedést megtett-e, melyet a GDPR, illetve a NAIH elvár. Az érdekmérlegelési tesztet minden esetben a jogalap használata előtt elvégezte-e? Ez a teszt mélységében megfelel-e a hatóság elvárásainak, szükség szerinti felülvizsgálata a keletkezésétől fogva megtörtént-e? Esetleg van-e más olyan adatkezelés, melyet a jogos érdek jogalap alapján kellene kezelni, és előzetes átgondolásra, érdekek mérlegelésére lehet szükség.

Amennyiben eltéréseket (GAP-eket) látunk a jogszabályi előírások érvényesülésében, vagy a gyakorlat és a dokumentációs háttér között, javaslatot teszünk az eltérések, hibák javítására. A megrendelő általi elfogadást követően a hibákat kijavítjuk, eltéréseket módosítjuk.

Adatkezelési nyilvántartás teljes körűségének felülvizsgálata

A GDPR 30. cikke alapján az adatkezelők és adatfeldolgozók az adatkezelési tevékenységeikről a rendeletben meghatározott tartalommal kötelesek nyilvántartást vezetni.

A teljesség érdekében rögzítjük, hogy a 30. cikk (4) bekezdése alapján a nyilvántartást – megkeresésre – a felügyeleti hatóság részére rendelkezésre kell bocsátani. Erre jellemzően a Hatóság vizsgálata, hatósági eljárása során kerülhet sor, és ezen eljárásokban a nyilvántartást az okiratra vagy más iratra vonatkozó szabályok szerint kell kezelni.

Adatkezelési nyilvántartás az alábbiakat tartalmazza:

a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

b) az adatkezelés céljai;

c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;

e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;

f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;

g) ha lehetséges, a GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

Amennyiben eltéréseket (GAP-eket) látunk a jogszabályi előírások érvényesülésében, vagy a gyakorlat és a dokumentációs háttér között, javaslatot teszünk az eltérések, hibák javítására. A megrendelő általi elfogadást követően a hibákat kijavítjuk, eltéréseket módosítjuk.

Kötelező adatkezelések jogszabály szerinti megfelelőség vizsgálata

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 5. § (5) szerint ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

A kötelező adatkezelések tekintetében az Infotv. előírja, hogy az adatkezelő az adatkezelés megkezdésétől számított legalább háromévente felülvizsgálja azt, hogy az általa vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok kezelése az adatkezelés céljának eléréséhez szükséges-e. A vizsgálat eredményét a törvény előírásai szerint dokumentálni kell és azt 10 évig meg kell őrizni, valamint azt a NAIH kérése esetén a hatóság rendelkezésére kell bocsátani.

Kötelező adatkezelésnek az az adatkezelés minősül:

  • amelyet személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel, vagy
  • amely különleges adatok (pl. egészségügyi, genetikai, biometrikus adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel, vagy
  • amely a GDPR szerinti, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (6. cikk (1) bekezdés c) pont), vagy
  • amely a GDPR szerinti közérdekből szükséges (6. cikk (1) bekezdés e) pont).

Amennyiben eltéréseket (GAP-eket) látunk a jogszabályi előírások érvényesülésében, vagy a gyakorlat és a dokumentációs háttér között javaslatot teszünk az eltérések, hibák javítására. A megrendelő általi elfogadást követően a hibákat kijavítjuk, eltéréseket módosítjuk.

Incidens kezelések célvizsgálata

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell, hogy jelentse az illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Ezen célvizsgálat keretében megnézzük, hogy a korábbi incidensek azonosítása, behatárolása megtörtént-e? Ha van erre eljárásrend, szabályozás, az azonosítás, illetve egyéb feladatok elvégzése szabályszerű volt-e? A GDPR szerint kötelező nyilvántartás létrehozása, vezetése megtörtént-e és a nyilvántartás elemei teljesítik-e a GDPR-ban foglalt követelményeket.

Amennyiben eltéréseket (GAP-eket) látunk a jogszabályi előírások érvényesülésében, vagy a gyakorlat és a dokumentációs háttér között javaslatot teszünk az eltérések, hibák javítására. A megrendelő általi elfogadást követően a hibákat kijavítjuk, eltéréseket módosítjuk.

Adatfeldolgozók vizsgálata

Megvizsgáljuk, hogy az Ön szervezete milyen adatfeldolgozókkal működik együtt, és az adatfeldolgozói szerződések rendelkezésre állnak-e és milyen minőségben biztosítják a GDPR 28. cikkében foglalt garanciális feltételeket.

Milyen típusú kontrollok, együttműködési kötelezettségek kerültek kialakításra és tartalmazzák- e azt, hogy az adatfeldolgozó milyen adatokhoz fér hozzá, illetve milyen adatbiztonsági garanciákat nyújt az adatok védelme, és az adatkezelő adatkezelésből eredő kockázatainak minimalizálása érdekében.

A legfontosabb értéke ennek a célvizsgálatnak, hogy az adatkezelő látni fogja, hogy jól azonosította, vagy azonosította -e az adatfeldolgozói kapcsolatokból eredő adatkezelési kockázatokat. (bírság kockázat, reputációs kockázat stb) A kockázatok alapján megfelelő intézkedéseket tett-e az adatfeldolgozókkal való szoros együttműködésre, hibák előfordulása esetén a károk viselésére megfelelő szerződési feltételek állnak-e rendelkezésére a károk áthárítása érdekében. Van-e határon átnyúló, EGT-n kívüli, harmadik országbeli szolgáltatója? Esetleg van-e olyan adatfeldolgozó, aladatfeldolgozó, aki felhő szolgáltatónak minősül? Esetleg van- e ágazati jogszabály, hatósági elvárás, amelyet ez esetben figyelembe kell venni? (pl. pénzügyi szolgáltatók esetében külön hatósági elvárások betartása)

A másik terület ezen a célvizsgálaton belül az adatfeldolgozói nyilvántartás. A GDPR 30. cikke alapján az adatkezelők és adatfeldolgozók az adatkezelési tevékenységeikről a rendeletben meghatározott tartalommal kötelesek nyilvántartást vezetni. A teljesség érdekében rögzítjük, hogy a 30. cikk (4) bekezdése alapján a nyilvántartást – megkeresésre – a felügyeleti hatóság részére rendelkezésre kell bocsátani. Erre jellemzően a Hatóság vizsgálata, hatósági eljárása során kerülhet sor, és ezen eljárásokban a nyilvántartást az okiratra vagy más iratra vonatkozó szabályok szerint kell kezelni.

Amennyiben eltéréseket (GAP-eket) látunk a jogszabályi előírások érvényesülésében, vagy a gyakorlat és a dokumentációs háttér között javaslatot teszünk az eltérések, hibák javítására. A megrendelő általi elfogadást követően a hibákat kijavítjuk, eltéréseket módosítjuk.

Kamerás megfigyelés

Megvizsgáljuk, hogy az adatkezelési tájékoztató a kamerás megfigyelésre vonatkozóan megfelelően lett-e kialakítva, minden szükséges elemet tartalmaz-e, amely a tájékoztatásban kötelező elem. Rendelkezik-e figyelemfelhívó jelzésekkel a megrendelő épülete, minden belépési pontnál?

A kamerás megfigyelés jogos érdek. Az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontjára a jogos érdekre való hivatkozás feltétele az, hogy az adatkezelő érdekmérlegelési tesztet végezzen, és annak eredményéről tájékoztassa az érintettet. Az érdekmérlegelési tesztben az adatkezelőnek azt kell kimutatnia, hogy jogszerű érdekeinek érvényesüléséhez az adatkezelés szükséges és arányos beavatkozás az érintett magánszférájába. Megvizsgáljuk mindezek meglétét és megfelelőségét. Továbbá megvizsgáljuk a kamerák látószögeinek beállításait, hogy megfelelnek-e a jogszabályi előírásoknak?

Amennyiben eltéréseket (GAP-eket) látunk a jogszabályi előírások érvényesülésében, vagy a gyakorlat és a dokumentációs háttér között, javaslatot teszünk az eltérések, hibák javítására. A megrendelő általi elfogadást követően a hibákat kijavítjuk, eltéréseket módosítjuk.

error: Content is protected !!

Ez a weboldal sütiket használ. Ennek részleteiről bővebben olvashat ide kattintva >>> További információ

Cookie (süti) tájékoztató

1. Mik azok a „cookie-k”(„sütik”)

Amikor Ön a www.adatvedo.hu weboldalt meglátogatja, kis file-ok, ú.n. „cookie-k” (továbbiakban: cookie vagy süti) kerülnek a számítógépére, melyek többféle célt szolgálhatnak.

2. A sütik célja

2.1. Az Ön beállításainak, használati szokásainak rögzítésével az oldalon való navigáció és ezáltal a honlap használatának megkönnyítése.

2.2. Statisztikák gyűjtése, melyek elemezése segíti megérteni azt, hogy Ön hogyan használja a weboldalt, mely oldalait látogatja, vagy használja leggyakrabban. Így megtudhatjuk, hogyan biztosítsunk még jobb felhasználói élményt, ha ismét meglátogatja oldalunkat, amelyet ezáltal tovább fejleszthetünk.

3. Az általunk használt "Sütik" típusai

3.1. Munkamenet sütik

A munkamenet sütik a honlap böngészéséhez, a funkciók használatához szükségesek, többek között lehetővé teszik az oldalon a funkcióban, vagy szolgáltatásban Ön által végzett műveletek megjegyzését. A munkamenet sütik alkalmazása nélkül a honlap zökkenőmentes használata nem garantálható. Érvényességi idejük az adott látogatás időtartamára terjed ki, a sütik a munkamenet végén, vagy a böngésző bezárásával automatikusan törlődnek a számítógépéről.

3.2. Teljesítményt biztosító sütik

Teljesítménymérés céljából weboldalunk minden látogatás alkalmával Google Analytics sütiket használ. A sütik használatával nyomon követjük, hogy a weboldalt hányan látogatják, és milyen tartalmak iránt érdeklődnek. Minden információt név nélkül tárolunk és a látogatók viselkedésének anonim elemzésére használjuk, hogy magas színvonalú élményt tudjunk biztosítani a felhasználóknak.

A szolgáltatással kapcsolatos részletes tájékoztató a következő linken keresztül érhető el: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage

4. A sütik beállításának ellenőrzése, valamint a sütik letiltása

A modern böngészők engedélyezik a süti beállítások módosítását. A böngészők egy része alapértelmezettként automatikusan elfogadja a sütiket, de ez a beállítás is megváltoztatható annak érdekében, hogy a jövőre nézve megakadályozza az automatikus elfogadást. Átállítás esetén a böngésző a továbbiakban minden alkalommal felajánlja a sütik beállításának választási lehetőségét.

A legnépszerűbb böngészők süti beállításairól az alábbi linkeken tájékozódhat

· Google Chrome
· Firefox
· Microsoft Internet Explorer 11
· Microsoft Internet Explorer 10
· Microsoft Internet Explorer 9
· Microsoft Internet Explorer 8
· Safari

Bezárás