Irodáink:
4400 Nyíregyháza, Dózsa György utca 27.
4026 Debrecen, Péterfia utca 2.

Adatvédelmi Audit
Adatvédelmi Szabályzat Készítés

Az adatvédelem a jog egyik leggyorsabban fejlődő ágazata napjainkban. Egymás után jelennek meg újabb és újabb adatkezelési irányelvek, módszerek és technikák, így nem véletlen, hogy az adatvédelmi tanácsadás irodánk egyik fő szakterülete.

Adatvédelmi jogi szolgáltatásaink

  1. Adatvédelmi audit: nagyobb adatkezelő cégek számára teljeskörű adatvédelmi auditot végzünk. A jogszabályoknak és az egységes GDPR rendeletnek való megfelelés minden vállalat számára nélkülözhetetlen, ezért az adatkezelést átfogó felülvizsgálattal és a későbbiekben rendszeres tanácsadással könnyítjük meg.
  2. GDPR csomag KKV-nak: az uniós adatvédelmi rendeletnek a kis- és középvállalkozások sokkal nehezebben tudnak eleget tenni, hiszen kevesebb erőforrással rendelkeznek. Szerencse azonban, hogy a KKV cégek igényei általában kevésbé egyediek. A GDPR csomagot azért fejlesztette ki irodánk, hogy alternatívát kínáljunk a kisebb vállalkozásoknak. A csomag tartalmazza a leggyakrabban igényelt dokumentumokat, adatvédelmi szabályzatokat.
  3. Orvosi adatvédelem: a nem állami fenntartású rendelőknek, magánklinikáknak és magánorvosoknak speciális adatvédelmi előírásoknak kell megfelelni. Orvosi adatvédelmi szolgáltatásunk nekik nyújt segítséget. Az adatvédelmi szabályzat elkészítésétől a megfelelő folyamatok és űrlapok bevezetéséig segítjük ügyfeleinket.

Ha az Ön vállalata egyedi adatvédelmi igényekkel rendelkezik vagy teljes körű adatvédelmi auditot szeretne végezni, kérjen ajánlatot az alábbi linkre kattintva!

adatvédelem gdpr rendelet

Mi az az adatvédelmi audit?

Adatvédelmi audit folyamata:

  • Információgyűjtés a személyes interjún
  • Az adatkezelések vizsgálata szakértőink segítségével
  • Szakértői jelentés elkészítése, ajánlásokkal, konkrét, gyakorlatias javaslatokkal
  • Adatkezelési tájékoztató, adatvédelmi nyilatkozat elkészítése
  • A módosítások elkészülte után 1 évig érvényes bizonyítvány átadása
    (az időközi változásokról díjmentesen tájékoztatjuk)
  • Belső adatvédelmi szabályzat elkészítése
  • Adatvédelmi Tisztviselő oktatása, vagy az Adatvédelmi Tisztviselői feladatok ellátása

A teljesség igénye nélkül néhány terület, ahol segítségére lehetünk:

  • Munkaügyi adatkezelések: munkaerő kiválasztása, minősítése, ellenőrzése,
  • Kamerarendszerek, Internet, e-mail használat ellenőrzése,
  • Marketing célú adatbázisok építése, átvétele, összekapcsolása,
  • Követelések kezelése, hitelezési kockázat értékelése,
  • Adatkezelési, adatvédelmi szabályzatok, tájékoztatók, nyilatkozatok.

Területek, akiknek kiemelten fontos lehet a segítségünk:

  • Hitel és Biztosításközvetítők
  • Weboldalakat működtető vállalkozások,
  • Elektronikus kereskedelemmel foglalkozó társaságok,
  • Magán egészségügyi szolgáltatást nyújtó intézmények

A fentieken túlmenően folyamatos megbízás keretein belül vállaljuk az adatvédelmi Tisztviselői poszt betöltését: hiszen a külső megbízott sokszor célszerűbb és gazdaságosabb, mint főállású felelős foglalkoztatása.

gdpr szabályzat rendelet

GDPR – Általános Adatvédelmi Rendelet

A GDPR az Európai Parlament és Tanács (EU) 2016/679 számú rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), mely 2018. május 25-étől kötelezően alkalmazandó. Ettől a naptól kezdődően az EU minden tagállamában, így Magyarországon is közvetlenül alkalmazandó.

Mi a rendelet célja?

Az uniós állampolgárok személyes adatainak egységes szintű adatvédelmi biztosítása.

Milyen adatokra vonatkozik?

Természetes személyek személyes adataira. Személyes adat az azonosított, vagy azonosítható természetes személyre vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Kire vonatkozik a GDPR?

Hatálya minden olyan vállalkozásra és szervezetre (adott esetben üzletszerű tevékenységet folytató magánszemélyre) kiterjed, amely személyes adatot gyűjt, kezel, tárol, dolgoz fel vagy használ. Így tehát már arra a cégre, szervezetre is vonatkozik, amelynek legalább 1 munkavállalója, vagy legalább 1 ügyfele, illetve kapcsolata van.
Fontos kihangsúlyozni, hogy mivel a rendelet célja az uniós állampolgárok adatainak védelme, így az EU-n kívüli országok cégeire is vonatkozik, ha azok EU-s magánszemélyek vagy cégek adatait kezelik.
adatvédelem gdpr kire vonatkozik

Az adatvédelmi megfelelés legfontosabb lépései

A legfontosabb, hogy az adatkezelésünk feleljen meg a következő 4 feltételnek:

  • Jogalap
  • Tájékoztatás
  • Jogszerűség biztosítása
  • Törlés

Kicsit bővebben a fenti 4 feltétel a következőket jelenti:
Minden esetben legyen jogalapunk az adatkezelésre, fontos kiemelnünk, hogy a jogalapnak adat fajtánként kell megállnia, hiszen ha van jogalapom egy személy nevének a kezelésére egyáltalán nem biztos, hogy a telefonszámát is kezelhetem.
Ha megfelelő a jogalapunk, mindenképpen tájékoztassuk az érintettet az adatkezelésről, illetve a jogairól.

Ha megvan a jogalapunk és megtettük a szükséges tájékoztatást, akkor „már csak” az a teendőnk, hogy biztosítsuk az adatkezelés idejére a jogszerűséget. (példaként hozható fel, hogy már egy kisebb szervezetnél is elkülöníthető a munkatársak tevékenysége, azonban az adatkezelésük nem különül el, az adatokhoz bárki hozzáférhet, ami természetesen nem jó).

Talán a jogszerűség biztosításának utolsó lépése, mégis külön kezeljük, a törlés kérdését. A jogalap általában véges dolog, hiszen például egy hozzájárulást visszavonhatnak, egy jogszabályon alapuló adatkezelés jogszabályban meghatározott ideje lejár, így az adatokat törölnünk kell, a törlést pedig megfelelően dokumentálni.

Mi képezhet jogalapot?

A GDPR (Általános Adatvédelmi Rendelet) értelmében az adatokat csak célhoz kötötten és csak az ahhoz a célhoz szükséges mértékben, módon és ideig lehet gyűjteni, kezelni és megőrizni.
A GDPR 6. cikke részletesen meghatározza, hogy az adatkezelő és/vagy adatfeldolgozó milyen jogalappal kezelheti az érintett adatait, melyek a következők:

Az érintett kifejezett hozzájárulása
Hozzájárulás során az érintett a felhatalmazásban meghatározottak szerint, de bármikor visszavonhatóan járul hozzá adatainak kezeléséhez. Kizárólag akkor tekinthető elfogadhatónak, ha megfelel az önkéntesség, határozottság (egyértelműség) és a tájékozottság követelményének is. A hozzájárulásból félreérthetetlenül következnie kell, hogy az érintett beleegyezik az adatkezelésbe. Mivel az adatkezelés célhoz kötött, így a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.

Hozzájárulás megadása
Mivel ezt a formát a legegyszerűbb bizonyítani, így a vállalkozások legtöbbször hozzájárulást kérnek az érintettől. Erre megfelelő egy hozzájáruló nyilatkozat aláírása, internetes honlapon egy erre vonatkozó négyzet bejelölése, de bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. Kétség esetén az adatkezelőnek kell bizonyítania, hogy az adatkezelési művelethez az érintett hozzájárult.

Hozzájárulás visszavonása
A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. Az adatkezelő azonban az érintett hozzájárulásának visszavonását követően is kezelheti a felvett adatokat, a törvény eltérő rendelkezésének hiányában a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy más jogalapon.

 

gdpr csomag gdpr kinek kell
 

Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

Szerződés teljesítéséhez szükséges személyes adatok kezelése mindaddig, míg a szerződéshez kapcsolódóan jogos érdekek érvényesítésére sor kerülhet.

Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
Ilyen az adó- és számviteli kötelezettségek teljesítése céljából történő, a kifizetői, a Levéltári törvény szerint maradandó értékű iratokra vonatkozó, továbbá az egyéb jogszabályi felhatalmazás alapján történő adatkezelés.

Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
Jogos érdeken alapuló adatkezelés (pl. elektronikus megfigyelőrendszer) esetén érdekmérlegelési-vizsgálatot szükséges végezni.

Egyéb ritkán használt jogalapok
A szakmai teljességre tekintettel meg kell jegyeznünk, hogy a GDPR tartalmaz még további két jogalapot (az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; illetve az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges), tekintettel arra, hogy ezen jogalapok kizárólag az adatkezelők szűkebb körében használatosak, így ismertetésüktől ehelyütt eltekintünk.

gdpr lényege adatvédelem

Tájékoztatás

A kérdést úgy is feltehetnénk, hogy mi kerüljön az adatkezelési tájékoztatónkba?

Fontos megjegyeznünk, hogy a tájékoztató tartalmai a legtöbb esetben több mindentől függ, például, hogy a személyes adatokat az érintettől gyűjtik-e közvetlenül, vagy

  • az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
  • az adatvédelmi tisztviselő elérhetőségei (ha van ilyen);
  • a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
  • Jogos érdekből történő adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
  • adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
  • adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat,
  • a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
  • az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
  • hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog,
  • a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
  • arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
  • az esetleges automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír

Jogszerűség biztosítása

Ez a legfontosabb és legnehezebb részlet, hiszen a jogalap meghatározása egy adatkezelés során egyszer történik, alapvetően nem szükséges az adatkezelési tájékoztató módosítása sem, a törlésre is mindösszesen egyszer kerül sor, csak ki kell alakuljon egy automatizmus, hogy az mikor következik be. A jogszerűség biztosítása azonban már komolyabb tudatosságot igényel, ismernünk kell a folyamatainkat, folyamatosan monitorozni és figyelni arra, hogy kizárólag az adatvédelmi szabályoknak megfelelően kezeljünk adatokat. Leginkább ebben tud segítséget nyújtani egy külső tanácsadó, külső szemmel feltárja azokat a folyamatokat, amelyeket mi észre sem veszünk, de adatvédelmi kockázatot jelentenek.

A Törlés szabályai

A törléshez való jog alapján az érintett kérésére adatait az adatkezelő indokolatlan késedelem nélkül köteles törölni. Ezen jogával csak akkor nem élhet az érintett, ha az adatokat az adatkezelő az Általános Adatvédelmi Rendeletben leírt okok miatt kezeli tovább. Ezek szerint megtagadható a törlési kérelem, ha az adatok további tárolása jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

Adatkezelő részéről törlési kötelezettség áll fenn – fenti megtagadási okok figyelembe vétele mellett -, ha megszűnt az adatkezelés célja, az érintett visszavonja a hozzájárulását, vagy tiltakozik az adatkezelése ellen, a személyes adatokat jogellenesen kezelték, jogi kötelezettség teljesítéséhez szükséges, illetve, ha a személyes adatok gyűjtésére információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.

Az elfeledtetéshez való joggal élni kívánó érintett az adatkezelő adatvédelmi tájékoztatójából megismerhető módon, illetve helyen adhatja elő kérelmét. Adatkezelőknek minden esetben indokolatlan késedelem nélkül, de legfeljebb egy hónapon belül reagálniuk kell a kérelmekre.

Adatkezelő a törlési kötelezettség teljesítése során saját nyilvántartásából, adatbázisából törli a kérelemben foglalt személyes adatokat. Amennyiben nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket annak érdekében, hogy tájékoztassa az adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.