GDPR audit és gap analysis

• A jelenlegi adatkezelési gyakorlat feltérképezése.
• Adatkezelési tevékenységek nyilvántartásának elkészítése.
• Jogalapok és adatkezelési célok felülvizsgálata.
• Hiányosságok azonosítása és priorizált akcióterv készítése.

Adatvédelmi szabályzatok és dokumentáció

• Belső adatvédelmi szabályzat kidolgozása.
• Adatkezelési tájékoztatók (privacy policy) készítése weboldalhoz, apphoz, HR-hez.
• Cookie szabályzat és cookie banner megfelelőség.
• Hozzájárulási nyilatkozatok és opt-in mechanizmusok.
• Adatmegőrzési és törlési szabályzat.

Adatkezelési nyilvántartás és jogalapok

• Adatkezelési tevékenységek jegyzékének (ROPA) elkészítése és karbantartása.
• Jogalapok (hozzájárulás, szerződés, jogos érdek, jogi kötelezettség) helyes megválasztása.
• Jogos érdek mérlegelési teszt (LIA) készítése.
• Adatvédelmi hatásvizsgálat (DPIA) magas kockázatú adatkezelésekhez.

Adatfeldolgozói szerződések

• Adatfeldolgozói megállapodások (DPA) készítése és véleményezése.
• Közös adatkezelői megállapodások.
• Alvállalkozók és beszállítók adatvédelmi megfelelésének ellenőrzése.

Nemzetközi adattovábbítás

• EU-n kívüli adattovábbítás jogszerűségének vizsgálata.
• Standard szerződéses klauzulák (SCC) alkalmazása.
• Adattovábbítási hatásvizsgálat (TIA) készítése.
• USA és egyéb harmadik országok speciális szabályai.

Érintetti jogok kezelése

• Hozzáférési, helyesbítési, törlési kérelmek kezelési folyamatának kialakítása.
• Adathordozhatósági és korlátozási kérelmek.
• Tiltakozási jog és automatizált döntéshozatal elleni védelem.
• Határidők és válaszadási kötelezettségek betartása.

Adatvédelmi incidenskezelés

• Incidenskezelési szabályzat és eljárásrend kidolgozása.
• Incidens bekövetkezésekor azonnali jogi támogatás.
• NAIH bejelentés elkészítése és benyújtása (72 órás határidő).
• Érintettek értesítése súlyos incidens esetén.
• Utólagos elemzés és megelőző intézkedések.

HR és munkavállalói adatkezelés

• Munkavállalói adatkezelési tájékoztatók.
• Toborzási és kiválasztási folyamatok adatvédelme.
• Munkavállalók megfigyelése (kamera, e-mail, GPS) jogi keretei.
• Home office és BYOD szabályzatok.

Marketing és direkt kommunikáció

• Hírlevél és e-mail marketing GDPR-megfelelése.
• Profilalkotás és automatizált döntéshozatal szabályai.
• Közösségi média és remarketing adatvédelmi kérdései.
• Hozzájárulás-kezelés és leiratkozási mechanizmusok.

Weboldal és digitális szolgáltatások

• Cookie-k és nyomkövetők jogi megfelelése.
• Analitikai eszközök (Google Analytics, Meta Pixel) használata.
• Webshopok és online fizetési rendszerek adatkezelése.
• Mobilalkalmazások adatvédelmi követelményei.

NAIH eljárások és képviselet

• Hatósági megkeresésekre való válaszadás.
• Képviselet adatvédelmi hatósági eljárásokban.
• Bírságcsökkentési stratégia és védekezés.
• Érintetti panaszok kezelése és válaszadás.

Külső adatvédelmi tisztviselő (DPO)

• Külső DPO szolgáltatás biztosítása, ha a szervezetnek kötelező vagy célszerű.
• Folyamatos adatvédelmi felügyelet és tanácsadás.
• Kapcsolattartás a NAIH-hal és az érintettekkel.
• Rendszeres adatvédelmi jelentések és ajánlások.

Minden vállalkozásnak kell adatvédelmi szabályzat?

Igen, minden személyes adatot kezelő szervezetnek – mérettől függetlenül – rendelkeznie kell adatkezelési tájékoztatóval és megfelelő belső szabályzatokkal. A GDPR minden EU-ban működő vagy EU-s érintettek adatait kezelő szervezetre vonatkozik.

Mikor kötelező adatvédelmi tisztviselőt (DPO) kijelölni?

DPO kijelölése kötelező, ha a szervezet fő tevékenysége nagy mennyiségű személyes adat rendszeres és szisztematikus megfigyelése, vagy különleges adatok (egészségügyi, biometrikus stb.) nagy mennyiségű kezelése. Közfeladatot ellátó szerveknek szintén kötelező.

Mi történik adatvédelmi incidens esetén?

Az incidenst 72 órán belül be kell jelenteni a NAIH-nak, ha az kockázatot jelent az érintettekre. Súlyos kockázat esetén az érintetteket is értesíteni kell. A gyors és dokumentált reakció csökkentheti a bírság mértékét.

Mekkora bírságra számíthatunk GDPR-sértés esetén?

A GDPR alapján a bírság akár 20 millió euró vagy a globális éves árbevétel 4%-a lehet, amelyik magasabb. A gyakorlatban a bírság mértéke a jogsértés súlyosságától, az együttműködéstől és a megelőző intézkedésektől függ.

Hogyan kezdjük el a GDPR megfelelést?

Az első lépés egy átfogó audit, amely feltérképezi a jelenlegi adatkezelési gyakorlatot és azonosítja a hiányosságokat. Ezután priorizált akcióterv alapján készülnek el a szükséges szabályzatok, szerződések és technikai intézkedések.