Adatvédelmi audit – archív
Jelen cikk tartalma archív, a 2018 május 24-ig tartó időszakra vonatkozik. A cikkben azonban vannak olyan szempontok, melyek jelenlegi adatvédelmi auditok során is használhatók. A 2018 május 25. napjától alkalmazandó GDPR alapján készült cikk ezen a linken érhető el.
***
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info. tv.) értelmében az adatvédelmi audit a Nemzeti Adatvédelmi és Információszabadság Hatóság olyan szolgáltatása. Célja a végzett vagy tervezett adatkezelési műveletek a Hatóság által meghatározott és közzétett szakmai szempontok szerinti értékelésén keresztül a magas szintű adatvédelem és adatbiztonság megvalósítása. Tervezett adatkezelési műveletek akkor vonhatók audit alá, ha az adatkezelésre vonatkozó koncepció kidolgozottsága ezt lehetővé teszi.
Adatvédelmi audit – archív – Hogyan indul meg az eljárás? Az eljárás menete, tudnivalói
Adatvédelmi auditot a Hatóság az adatkezelő kérelmére folytathat le.
Az adatvédelmi audit lefolytatása iránti kérelem benyújtását követő 15 (tizenöt) napon belül a Hatóság közli az adatkezelővel
- az adatvédelmi audit lefolytatásáért fizetendő ellenérték mértékét és
- az adatvédelmi audit elvégzésének várható időpontját.
A Hatóság az adatvédelmi auditot abban az esetben folytatja le, ha a Hatóság közlését követő 15 (tizenöt) napon belül az adatkezelő nyilatkozik arról, hogy a Hatóság közlésében megállapított feltételek ismeretében az adatvédelmi audit lefolytatása iránti kérelmét fenntartja.
Az adatvédelmi audit lefolytatásáért fizetendő ellenérték mértékét – az elvégzendő tevékenység mértékével arányosan – a Hatóság állapítja meg, amely nem haladhatja meg az 5 millió forintot.
Az adatvédelmi audit eredményét a Hatóság az auditról készített értékelésben rögzíti. Az értékelés javaslatokat fogalmazhat meg az adatkezelő számára. Az értékelés tartalma az üzleti titokra alkalmazandó szabályok szerint ismerhető meg, az adatkezelő erre irányuló kérelmére azonban a Hatóság honlapján – a kérelemnek megfelelően – az értékelést vagy az értékelés összegző megállapításait közzéteszi.
Adatvédelmi audit – archív – A vizsgálat
Az audit lényegében egy vizsgálatot jelent, amely egy rendszerre, tevékenységre, eljárásra, folyamatra vonatkozik. Célja, hogy megvizsgálja, az adott rendszer, eljárás mennyire felel meg az előírásoknak, elvárásoknak, szabványoknak. Mára egy általános, felülvizsgálati eszköz lett, amely alapján független harmadik szereplők értékelik az auditált szervezet eljárásait. A Hatóság ennek keretében külső alkalmassági vizsgálatot végez.
Az adatvédelmi audit eljárás során a Hatóság felméri, hogy az adatkezelő adatvédelmi ismeretei mennyire naprakészek, illetve az adatvédelmi jogszabályi rendelkezések mennyire tükröződnek belső szabályzataiban. Emellett a Hatóság megvizsgálja, hogy az adatkezelő adatkezeléseivel kapcsolatosan van-e szabályozási hiányosság, felmerülnek-e adatvédelmi kockázatok. Megállapítja, milyen lépéseket kell tenni, hogy megvalósuljon a jogszabályoknak megfelelő adatkezelés. Ajánlásokat tesz arra nézve, hogy a belső szabályzatok, differenciált szabályozás mentén igazodjanak a szervezet által végzett tevékenységek specialitásaihoz.
Az auditra az adatkezelő számára nyújtott segítségként érdemes tekinteni. Az adatvédelmi auditnak ugyanis az a célja, hogy elősegítse az adatkezelő számára az adatvédelmi előírásoknak történő minél teljesebb megfelelést. A vizsgálat a Hatóság és az adatkezelő kölcsönös együttműködésén alapszik. Ennek megfelelően a folyamat során alkalom nyílik arra, hogy az adatkezelő az észrevételeit és elvárásait előadja.
Az adatvédelmi audit keretében a Hatóság az adatkezelő által folytatott adatkezeléseket az alábbi szempontok szerint értékeli:
- A tisztességes adatkezelés elve.
- A célhoz kötöttség elve.
- Az adatminimalizálás elve.
- Az adatminőség elve.
- A személyes adatot törölni kell, ha az adatkezelés célja megszűnt.
- Az érintett jogainak érvényesítése.
- Az adatbiztonság.
- Adattovábbítás külföldre (harmadik országba).
- Mi a valószínűsége annak, hogy a szabályzatok hiányosságai hatással lesznek az érintettekre? Milyen hatást gyakorolnak az érintettekre az adatkezelő szabályzatainak hiányosságai?
A Hatóság az adatvédelmi kockázatok és az érintettekre gyakorolt hatás elemzésekor az alábbiakat veszi figyelembe: • az érintettek száma; • a kezelt személyes adatok jellege; • az egyes adatkezelési műveletek; • az adatkezelés célja; • a szükségesség; • az arányosság; • az adatkezelés időtartama; • az adatok pontossága és teljessége; • az adatok rendelkezésre állása; • a megfelelő jogalap megléte; • adatbiztonsági előírások; • az érintett jogainak érvényesülése; • a tájékoztatási kötelezettség érvényesülése.
Az adatvédelmi audit során használt módszertan kérdőíves lekérdezésen, személyes konzultáción, a dokumentált szabályzatok elemzésén és jó gyakorlatok propagálásán alapul. Az audit eljárás sikeressége nagymértékben múlik azon, hogy az auditra jelentkező adatkezelő a Hatóság által feltett kérdésekre minél részletesebb választ adjon, illetve dokumentált szabályzatait teljes körben a Hatóság rendelkezésére bocsássa. Az adatvédelmi audit sikeressége a résztvevő felek együttműködésének a függvénye. Az adatvédelmi auditra jelentkező adatkezelőtől elvárt, hogy a Hatóság munkatársainak a lehető legteljesebb információkat szolgáltassák az audit alá vont adatkezelésekkel kapcsolatban.
A Hatóságnál kérelmezhető adatvédelmi audittal kapcsolatban az alábbi honlapon tájékozódhat: naih.hu.
Hogyan tudunk segíteni az Ön cégének az adatvédelmi szabályok betartásában?
Vállalkozások (Kft.-k, Részvénytársaságok, Bt-k, Kkt.-k), egyéni vállalkozók, nonprofit szervezetek és más adatkezelők számára jogi tanácsadás. Adatvédelmi szabályzatok elkészítésével és a jogszabályoknak megfelelő módosításával, illetve felülvizsgálatával, mind a munkavállalók, mind az adatkezeléssel érintett egyéb természetes személyek adatai vonatkozásában. Adatvédelmi tájékoztatók elkészítésével. A Nemzeti Adatvédelmi és Információszabadság Hatóság előtt, valamint NAIH állásfoglalások iránti kérelem előterjesztésében és adatvédelmi audit során is segítséget nyújtunk.
Amennyiben kérdése van, készséggel állunk rendelkezésére elérhetőségeinken.
Jelen cikk archív, az adatvédelmi auditra vonatkozó új cikk linkje fent került feltüntetésre. 2023.10.06.