Adatvédelmi audit
Az adatvédelmi terület speciális szakértelmet, és szakmai tapasztalatot igényel, ha az Adatkezelőnek a hibák javítására nincs megfelelő szakembere, szakmai háttere, mi ezt szívesen átvállaljuk és a megfelelőség elérését biztosítjuk.
Mit jelent az adatvédelmi audit?
Az adatvédelmi audit a leghatékonyabb vizsgálat az Ön számára, ha teljeskörű, átfogó képet szeretne kapni szervezete adatkezelési folyamatairól, az adatkezeléshez használt rendszereinek működéséről, illetve hogy ezek mennyire felelnek meg a jogszabályi, adatvédelmi és előírásoknak. Az adatvédelmi terület speciális szakértelmet, és szakmai tapasztalatot igényel, ha az Adatkezelőnek a hibák javítására nincs megfelelő szakembere, szakmai háttere, mi ezt szívesen átvállaljuk és a megfelelőség elérését biztosítjuk.
Milyen szakaszokból áll az adatvédelmi audit?
1.
Háttérdokumentáció vizsgálat
Az első szakaszban azt vizsgáljuk, hogy a szervezet adatvédelmi dokumentációja maradéktalanul rendelkezésre áll-e? Azaz minden lényeges, adatvédelmi dokumentum elkészült-e és rendelkezésre áll-e? A szervezet tevékenységét és méretét is figyelembe véve, rendelkezik-e adatvédelmi, illetve adatbiztonsági szabályzattal, esetleg iratkezelési szabályzattal, informatikai biztonsági szabályzattal.
Mindezekhez kapcsolódik -e eljárásrend, vezetői utasítás? Rendelkezik-e adatkezelési tájékoztatókkal, illetve nyilatkozatokkal, és ezek minden egyes adatkezelésre vonatkozóan rendelkezésre állnak és használatban vannak-e? Rendelkezik-e a szervezet adatvédelmi nyilvántartással? Jogos érdek jogalap használatban van-e, ha igen elkészültek-e az előzetes érdekmérlegelési tesztek, melyek a jogalap használatát lehetővé teszik? Van-e olyan adatkezelés, mely előzetes hatásvizsgálat elkészítését szükségessé, netán kötelezővé teszi, mert az adatkezelés szerepel a NAIH „fekete listáján”? Van-e incidens nyilvántartás, adattovábbítási nyilvántartás, adatfeldolgozói nyilvántartás? A munkavállalóknak, megbízotti jogviszonyban állóknak, egyszerűsített foglalkoztatásban lévő személyeknek, munkaerőkölcsönzött munkavállalóknak van-e adatkezelési tájékoztatója, hozzájárulás jogalap esetén adatkezelési hozzájárulása stb…
Minden olyan dokumentumra szükség van, mely a GDPR 5. cikk (2) bekezdésében foglalt elszámoltathatóság elvéhez kapcsolódóan az adatkezelő tevékenységének jogszabályi előírásoknak megfelelő tevékenységét hivatott szolgálni.
Ezt követően vizsgáljuk ezen dokumentumok hatályosságát, aktualizálás gyakoriságát.
Mindezek után megvizsgáljuk az átadott dokumentumok jogszabályi megfelelőségét. Ez magában foglalja a GDPR, Infotv., illetve a szervezetre irányadó ágazati jogszabályoknak megfelelő kialakítást is. Ezen felül a NAIH ajánlásokat, határozatok tartalmát, szakmai felügyelet ajánlásait is figyelembe vesszük.
2.
Gyakorlati működés vizsgálat
A megkapott dokumentumok alapján legtöbb esetben helyszíni személyes interjúk keretén belül szakterületenként vizsgáljuk azt, hogy a szervezet a háttérdokumentumokban fellelhető eljárások szerint működik-e vagy sem.
Minden egyes szakterületen életciklus modell alapján vizsgáljuk az adatkezelési folyamatokat, az adat keletkezésétől a törléséig. Az interjúk közben kiemelt figyelmet fordítunk arra, hogy van-e olyan adat, vagy adatkezelési folyamat, amely hiányzik az adatkezelési háttérdokumentációból, nincs róla tájékoztatás az érintettek felé, vagy nem készült hozzá adatkezelési hozzájárulás, nem tartozik-e abba a kategóriába, hogy előzetes kockázatelemzést kellett volna végrehajtani az adat kezelésének megkezdése előtt, vagy az adatkezelő nem megfelelő jogalapot használt és emiatt például nem készített érdekmérlegelési tesztet, pedig enélkül nem lehetett volna jogszerűen kezelni a szóban forgó személyes adatokat.
Rákérdezünk a szakterületeket érintő adatfeldolgozási műveletekre, illetve az adatfeldolgozói folyamatokban érintett külső szolgáltatókra, azok nyilvántartására, valamint a szolgáltatók által nyújtott garanciális feltételek írásba foglalt szerződéseire.
Vizsgáljuk az adatkezelés teljes folyamatára nézve az adatvédelmi alapelvek érvényesülését, így különösen az alábbiak érvényesülését:
a) az adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b) az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
c) az adatkezelés céljai szempontjából megfelelőnek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
d) az adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
e) az adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
f) az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
Az adatkezelő felelős a fenti alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
Mindezeken felül vizsgáljuk, hogy az adatkezelő belső és külső eljárásai összhangban állnak-e háttédokumentumokkal, illetve a jogszabályi előírásokkal.
Amennyiben speciális szolgáltatókat vizsgálunk, például pénzügyi intézmény, vizsgálatunk kiterjed a felügyeleti hatóságok által előírt egyéb dokumentumokra, bejelentési kötelezettségekre (kiszervezés) jogszabályi előírásokra is.
Egészségügyi intézmény esetében a jogszabályban előírt szabályzat kötelező tartalmi elemek meglétének vizsgálata is része az auditunknak.
3.
GAP analízis
Háttérfolyamatként zajlik a hibák feltárása, annak érdekében, hogy megfelelően alátámasszuk a nem megfelelő működési folyamatokban rejlő hibákat a GAP elemzésben feltüntetjük a jogszabályi előírást, valamint a vizsgált folyamatot, és ennek alapján leírjuk, hogy a dokumentum, vagy folyamat, illetve az adatkezelő gyakorlata miért és miben nem felel meg a vonatkozó előírásoknak.
Leírjuk a szakmai álláspontunkat és megmagyarázzuk, hogy az adott hiba javítására miért van szükség és milyen kockázatot hordoz a nem megfelelő gyakorlat fenntartása. A kockázatokat többféle kategóriába lehet sorolni, jellemzően bírság kockázatot elemzünk, mely reputációs kockázatot is magában hordoz.
A GAP analízis a legapróbb hibákat is feltárja annak érdekében, hogy az adatkezelő teljes adatkezelési folyamata kontroll alá kerüljön.
4.
Akcióterv (Action Plan)
Az Akcióterv a GAP analízisben feltárt hibákat, nemmegfelelőségeket, megoldási javaslatot, felelősöket, illetve határidőket tartalmaz.
A GAP analízis és Akcióterv egy önálló egyeztetés keretén belül kerül átadásra, ahol részletesen elmondjuk az Adatkezelőnek, hogy milyen hibákat, hiányosságokat tártunk fel és milyen megoldásokat javaslunk.
5.
Akcióterv végrehajtása- megoldásszállítás
Amennyiben az Adatkezelő igényt tart rá, a hibákat javítjuk, hiányosságokat pótoljuk, és az Akciótervet teljes egészében végrehajtjuk.
Az adatvédelmi terület speciális szakértelmet, és szakmai tapasztalatot igényel, ha az Adatkezelőnek a hibák javítására nincs megfelelő szakembere, szakmai háttere, mi ezt szívesen átvállaljuk és a megfelelőség elérését biztosítjuk.
Kinek ajánljuk az adatvédelmi auditot?
szeretnének a GDPR előírásainak megfelelni
nagyszámú adatkezelési tevékenységet végeznek, (bankok, pénzügyi intézmények, pénzügyi vállalkozások, egészségügyi intézmények, oktatási intézmények, termelő üzemek, akik nagy számú foglalkoztatottal rendelkeznek, könyvelők)
tevékenységük jellegéből adódóan a hatóság fókuszában találhatók, (sportszövetségek, pénzügyi intézmények, önkormányzatok, társasházak, webshopok)
adatkezelési tevékenységükre eddig nem fordítottak nagyobb figyelmet,
Az adatvédelmi terület speciális szakértelmet, és szakmai tapasztalatot igényel, ha az Adatkezelőnek a hibák javítására nincs megfelelő szakembere, szakmai háttere, mi ezt szívesen átvállaljuk és a megfelelőség elérését biztosítjuk.