ADATVÉDELEM KONZULTÁCIÓ
HOGY MŰKÖDIK?
Az Általános Adatvédelmi Rendelet (GDPR) elvárásainak történő megfelelés számos vállalkozás, de még költségvetési szervek számára nagy kihívást jelent. Nem elegendő ugyanis néhány szabályzatot elkészíteni, hanem fel kell mérni az adatkezelési folyamatokat, azok jellemzőit, majd a jogi, informatikai, információbiztonsági ismeretek és tapasztalatok együttes alkalmazásával ki kell alakítani a megfelelő működést. Nem sablonizálható, hiszen minden szervezet működése és a felhasználási környezet eltér, ezért a megoldásnak testre szabottnak és célirányosnak kell lenni, ami időről-időre a szervezet változásaival együtt, ahhoz folyamatosan igazodó, dinamikusan alakuló megoldást eredményez.
ADATVÉDELMI HATÁSVIZSGÁLAT
A GDPR 35. cikk (1) bekezdése alapján adatvédelmi hatásvizsgálatot akkor kell elvégezni, amikor az adatkezelés „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”
Mit jelent?
A GDPR 35. cikke szerint, „ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek”.
Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e. tehát az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával. Nem egyetlen alkalommal, hanem folyamatosan kell végezni.
Mikor kötelező?
természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek
a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
nyilvános helyek nagymértékű, módszeres megfigyelése.
AZ ADATVÉDELMI TISZTVISELŐ
A DPO (Data Protection Officer), vagyis az adatvédelmi tisztviselő
Egyfelől az adott szervezet adatvédelmi megfelelését biztosítja
Tanácsokat ad a szervezeten belül és ellenőrző munkálatokat végez, amivel biztosítja, hogy a vállalaton belüli összes folyamat a GDPR rendeletben foglaltaknak megfelelően működjön mind az adatkezelés mind pedig az adatfeldolgozás terén.
A kapcsolattartó a NAIH (Nemzeti Adatvédelmi és Információs Hatóság) és az adatkezelő között. Ennek értelmében pedig együttműködési kötelezettsége van mindkét oldal felé.
Pontosítsunk
Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja
- tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban
- ellenőrzi a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is
- kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését
- együttműködik a felügyeleti hatósággal, és az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele
A meghatározott feladatok ellátása tekintetében az adatvédelmi tisztviselőt függetlenség jellemzi, összeférhetetlenség és titoktartás terheli.
Adatvédelmi tisztviselőt kötelező alkalmazni
- ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik,
- ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé, vagy
- ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak (pl. egészségügyi adat) vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
ADATVÉDELMI AUDIT
Az adatvédelmi audit eljárás során felmérésre kerül, hogy az adatkezelő adatvédelmi ismeretei mennyire naprakészek, illetve az adatvédelmi jogszabályi rendelkezések mennyire tükröződnek belső szabályzataiban. Megvizsgálásra kerül továbbá, hogy az adatkezelő adatkezeléseivel kapcsolatosan van-e szabályozási hiányosság, felmerülnek-e adatvédelmi kockázatok, illetve, hogy milyen lépéseket kell tenni, hogy megvalósuljon a jogszabályoknak megfelelő adatkezelés, valamint ajánlások kerülnek megfogalmazásra, hogy a belső szabályzatok, differenciált szabályozás mentén igazodjanak a szervezet által végzett tevékenységek specialitásaihoz.
ÁLTALÁNOS DOKUMENTUMOK
A versenyszférában jellemzően az alábbi dokumentumokat állítjuk elő
- Általános Adatvédelmi Szabályzat – (belső szabályzat)
- Adatkezelési Tájékoztató (vevő, szállító, adatkezelési célokra bontva)
- Adatfeldolgozás Szerződés – (adatfeldolgozónkkénti dokumentáció)
- Incidens kezelési szabályzat – (belső szabályzat)
- Iratkezelési Szabályzat – (belső szabályzat)
- Kamera üzemeltetési szabályzat – (belső szabályzat)
- Érdekmérlegelési teszt (Adatkezelő jogos érdeke esetén)
- Panaszkezelési szabályzat – (belső szabályzat)
- Fogyasztói Panasz Jegyzőkönyv – (vevő)
- Hozzájárulás Adatkezeléshez – (munkavállaló)
- Ittasság vizsgalati jegyzőkönyv – (munkavállaló)
- Pszichotrop ellenőrző vizsgálati jegyzőkönyv – (munkavállaló)
- Csomag átvizsgálás jegyzőkönyv – (munkavállaló)
- Munkabaleseti Jegyzőkönyv – (munkavállaló)
- Munkavállalói nyilatkozat titoktartással – (munkavállaló)
- Munkavállalókra vonatkozó adatkezelési szabályzat – (munkavállaló)
- Üzemi baleseti jegyzőkönyv – (munkavállaló)
- Hozzájárulás E-Mail cím ellenőrzéséhez – (munkavállaló)
- Hozzájárulás Adatkezeléshez – (pályázó)
- Káresemény Jegyzőkönyv – (szállító)
- Javaslattétel weboldal GDPR megfelelőség javítására
- Weboldal adatkezelési és cookie tájékoztató
- Javaslattétel GDPR informatika javítására
- Egyéb a tevékenység meghatározása folyamán felmerülő dokumentumok
Átlagosan 25 féle nyilvántartás, aminek a kezelésében is segítséget nyújtunk.
EDDIGI PARTNEREIK
- Szálloda, Szálláshely szolgáltató, Vendéglátás, Turisztika és élményközpontok
- Pénzügyi és Számvitel szolgáltatók
- Gyártó és Építő ipari szervezetek
- Temetkezési szolgáltató
- Online és bolti kiskereskedelem
KÖZIGAZGATÁSI ÉS EGÉSZSÉGÜGYI MEGOLDÁSOK
Magyarországon jelenleg több mint 70 db Önkormányzatnál végzünk adatvédelmi tisztviselő (DPO), Információbiztonsági és IT biztonsági tanácsadó feladatokat. Emellett Partnereink között tudhatunk Alapítványokat, Temetkezési szolgáltatókat, Óvodákat, Bölcsődéket, Alapszolgáltatási központokat, Közétkeztetési szolgáltatókat, Egészségügyi és Szociális szolgáltatókat.
Szolgáltatásunk tartalmazza a megkövetelt összes intézkedést, az adatvédelmi rendelet és a vonatkozó egyéb jogszabályok szerinti az adatvédelmi rendszer bevezetését, az érvényben lévő adatvédelmi készültség átvilágítását – szükség szerinti javítását – napi segítségnyújtást, IT üzemeltetés vagy rendszergazda informatikai támogatását.
A közigazgatási és egészségügyi szférában jellemzően az alábbi dokumentumokat állítjuk elő
- Adatvédelmi és Adatbiztonsági Szabályzat
- Adatkezelési Tájékoztató (ASP rendszerben kezelt ügykörök szerint)
- Adatfeldolgozás Szerződés – (adatfeldolgozónkkénti dokumentáció)
- Incidens kezelési szabályzat
- Iratkezelési Szabályzat
- Közérdekű Adatok Megismerésére Irányuló Kérelmek Intézésének és a Kötelezően Közzéteendő Adatok Nyilvánosságra Hozatalának Szabályzata
- Panaszok és Közérdekű Bejelentések Kezelésének Rendjéről Szóló Szabályzat
- Visszaélés bejelentés szabályzata
- Vagyonnyilatkozat Kezelési Szabályzat
- Takarnet Hálózat Igénybevételi Szabályzata
- Közszolgálati Adatvédelmi Szabályzat
- Kiadmányozás Rendjéről szóló Szabályzat
- Információátadási Szabályzat
- Bélyegző, Elektronikus aláírás és Bélyegzés Szabályzat
- Elektronikus Másolatkészítési Szabályzat
- Kommunikációs Szabályzat
- Archiválási Szabályzat
- Nemdohányzók Védelméről Szóló Adatvédelmi Szabályzat
- Kamera üzemeltetési szabályzat
- Település Megfigyelő Rendszer Üzemeltetési Szabályzat
- Hozzájárulás Adatkezeléshez – (munkavállaló)
- Ittasság vizsgalati jegyzőkönyv – (munkavállaló)
- Pszichotrop ellenőrző vizsgálati jegyzőkönyv – (munkavállaló)
- Csomag átvizsgálás jegyzőkönyv – (munkavállaló)
- Munkabaleseti Jegyzőkönyv – (munkavállaló)
- Munkavállalói nyilatkozat titoktartással – (munkavállaló)
- Munkavállalókra vonatkozó adatkezelési szabályzat – (munkavállaló)
- Üzemi baleseti jegyzőkönyv – (munkavállaló)
- Hozzájárulás E-Mail cím ellenőrzéséhez – (munkavállaló)
- Hozzájárulás Adatkezeléshez – (pályázó)
- Javaslattétel weboldal GDPR megfelelőség javítására
- Weboldal adatkezelési és cookie tájékoztató
- Javaslattétel GDPR informatika javítására
- Egyéb a tevékenység meghatározása folyamán felmerülő dokumentumok