Szolgáltatások

Teljes körű GDPR támogatás – audit, dokumentáció és folyamatos megfelelés

 
A GDPR-megfelelés nem egyetlen dokumentum elkészítését jelenti, hanem egy működő és dokumentált adatkezelési rendszer kialakítását: folyamatok, jogalapok, szerződéses struktúrák, adatbiztonsági intézkedések és incidenskezelési mechanizmusok összehangolt működését.
 
Abban segítek, hogy a szervezet adatkezelési gyakorlata:
  •  jogilag megalapozott és védhető,
  •  hatósági ellenőrzés esetén is bizonyíthatóan megfeleljen,
  •  átlátható és a mindennapi működésbe integrált legyen.
Nem sablonmegoldásokban gondolkodom, hanem a szervezet tényleges működéséhez, kockázati szintjéhez és üzleti sajátosságaihoz igazított, szakmailag megalapozott adatvédelmi rendszert alakítok ki.
 

I. Audit és felmérés

Hol tart most a szervezet?

1. Adatvédelmi audit (GDPR felmérés és megfelelési terv

 
Teljes körű, dokumentált GDPR-állapotfelmérés a szervezet adatkezelési gyakorlatáról. Az audit során nem kizárólag a meglévő dokumentáció kerül vizsgálatra, hanem a szervezet tényleges működése is: az adatkezelési folyamatok gyakorlati megvalósítása, a jogalapok megalapozottsága, a megőrzési gyakorlat, az alkalmazott adatbiztonsági intézkedések, valamint az adatkezelésekhez kapcsolódó kockázati szintek. Az audit célja a megfelelőségi hiányosságok feltárása és egy jogilag védhető, gyakorlatban is alkalmazható megfelelési út kialakítása.
Konkrét eredmények, amelyeket az ügyfél kézhez kap:
  • részletes adatvédelmi auditjelentés
  • a szervezet aktuális GDPR-megfelelőségi szintjének objektív értékelése
  • adatkezelési folyamatok gyakorlati átvilágítása
  • jogalapok és adatkezelési célok szakmai felülvizsgálata
  • adatbiztonsági intézkedések megfelelőségi értékelése
  • GDPR-kockázatok azonosítása és súlyossági besorolása
  • hiányzó vagy nem megfelelő dokumentációk listája
  • priorizált intézkedési terv konkrét megvalósítási javaslatokkal
  • vezetői összefoglaló döntéstámogatási céllal

2. Weboldal / webáruház GDPR ellenőrzés

A webes adatkezelések a leggyakoribb hatósági vizsgálati területek közé tartoznak, különösen a sütikezelés, a marketing eszközök és a harmadik fél szolgáltatások alkalmazása tekintetében. Az ellenőrzés nem csupán a közzétett dokumentáció vizsgálatára terjed ki, hanem a weboldal tényleges működésére, a hozzájárulási mechanizmusokra, az adattovábbításokra és az alkalmazott technikai megoldásokra is.
A cél a webes adatkezelések átlátható, jogszerű és hatósági szempontból is védhető kialakítása.
 
Az ügyfél számára biztosított eredmények:
  • webes adatkezelések teljes körű áttekintése
  • cookie-megfelelőség és hozzájárulási mechanizmus vizsgálata
  • marketing eszközök (pl. Analytics, Pixel, hírlevél) jogalap-ellenőrzése
  • harmadik országbeli adattovábbítások megfelelőségi vizsgálata
  • űrlapok és kapcsolatfelvételi folyamatok jogi kontrollja
  • hiányosságlista és kockázati besorolás
  • javítási és dokumentációs javaslatcsomag
  • gyakorlati megvalósítási iránymutatás
 

3. GDPR megfelelőségi kockázatelemzés

 
Olyan szervezetek számára javasolt szolgáltatás, amelyek már rendelkeznek adatvédelmi dokumentációval, azonban szeretnék felmérni, hogy az ténylegesen összhangban áll-e a szervezet működésével, valamint valóban képes-e csökkenteni a jogi és hatósági kockázatokat. A kockázatelemzés célja a meglévő adatkezelési gyakorlat objektív értékelése, valamint a
megfelelőség szempontjából kritikus pontok azonosítása.
 
Az ügyfél számára biztosított eredmények:
  • szakmailag megalapozott GDPR-kockázati összefoglaló
  • a működés és a dokumentáció közötti eltérések feltárása
  • adatkezelési folyamatok kockázati szint szerinti értékelése
  • prioritási lista a legfontosabb megfelelőségi intézkedésekhez
  • gyors és gyakorlati optimalizálási javaslatok
  • vezetői döntést támogató összefoglaló
 

II. Dokumentáció és szabályzatok

 
Legyen minden rendben – papíron és a gyakorlatban is
A GDPR-megfelelés alapja a megfelelően kialakított és a szervezet működéséhez illesztett adatvédelmi dokumentáció. A cél nem pusztán iratok elkészítése, hanem egy olyan gyakorlatban is alkalmazható szabályozási rendszer kialakítása, amely támogatja a jogszerű működést, csökkenti az adatvédelmi kockázatokat, és hatósági ellenőrzés esetén is megfelelően igazolja a megfelelést.

4. GDPR dokumentációcsomag elkészítése

A GDPR-dokumentáció a szervezet adatkezelési és megfelelőségi rendszerének alapját képezi. A szolgáltatás során nem előre gyártott sablonok alkalmazása történik, hanem a szervezet tényleges működéséhez, tevékenységi köréhez, adatkezelési folyamataihoz és kockázati szintjéhez igazított dokumentáció kerül kialakításra.
A cél egy olyan gyakorlatban alkalmazható adatvédelmi rendszer létrehozása, amely támogatja a mindennapi működést, csökkenti az adatvédelmi kockázatokat, és hatósági
ellenőrzés esetén is igazolható megfelelést biztosít.
 
Az ügyfél számára biztosított eredmények:
  • teljes GDPR-kompatibilis dokumentációcsomag
  • adatvédelmi és incidenskezelési szabályzat
  • adatmegőrzési és törlési szabályzat
  • adatkezelési tevékenységek nyilvántartása (ROPA)
  • érintetti kérelmek kezelési eljárásrendje
  • adatfeldolgozói szerződésminták és megfelelőségi javaslatok
  • munkavállalói (HR) adatkezelési dokumentáció
  • bevezetési és alkalmazási útmutató
  • dokumentáció-frissítési és karbantartási javaslat
A dokumentáció célja, hogy az adatkezelési megfelelés átlátható, követhető és ellenőrizhető módon bizonyítható legyen.

5. Adatkezelési tájékoztató

Az adatkezelési tájékoztató a szervezet adatvédelmi megfelelőségének egyik legfontosabb és legláthatóbb eleme. Ez az a dokumentum, amelyen keresztül az érintettek képet kapnak a szervezet adatkezelési gyakorlatáról, átláthatóságáról és jogszerű működéséről. A GDPR 13–14. cikkei részletes és konkrét tájékoztatási kötelezettséget írnak elő. A hiányos, sablonos vagy a tényleges működést nem tükröző tájékoztató önmagában is hatósági kockázatot jelenthet. A szolgáltatás célja olyan közérthető, ugyanakkor jogilag megalapozott és a valós adatkezelési folyamatokra épülő tájékoztató elkészítése, amely megfelel az elszámoltathatóság és az átláthatóság követelményeinek.
 
Az ügyfél számára biztosított eredmények:
  • webes vagy általános adatkezelési tájékoztató elkészítése
  • több célcsoportra szabott verziók (munkavállalók, ügyfelek, partnerek stb.)
  • adatkezelési célok és jogalapok pontos, működéshez igazított meghatározása
  • megőrzési idők és adattovábbítási gyakorlat strukturált rögzítése
  • harmadik országbeli adattovábbítások jogszerű bemutatása
  • érintetti jogok és jogorvoslati lehetőségek szabályszerű ismertetése
A cél egy olyan tájékoztató létrehozása, amely nem pusztán formálisan felel meg a GDPR- nak, hanem ténylegesen támogatja az átlátható és jogszerű adatkezelési működést.

6. Cookie tájékoztató és hozzájárulási megfelelés

A sütikezelés a weboldalak adatvédelmi megfelelőségének egyik leggyakrabban vizsgált és hatósági szempontból kiemelten ellenőrzött területe. A nem megfelelően működő sütikezelés, hibás hozzájárulási mechanizmus vagy átláthatatlan banner-megoldás jelentős megfelelőségi és bírságkockázatot hordozhat. A szolgáltatás célja, hogy a weboldal sütikezelési gyakorlata jogilag megalapozott, átlátható és a GDPR, valamint a hatósági elvárásoknak megfelelő módon működjön.
Az ügyfél számára biztosított eredmények:
  • részletes, GDPR-kompatibilis cookie tájékoztató elkészítése
  • sütik jogszerű kategorizálása (szükséges / statisztikai / marketing stb.)
  • hozzájárulási mechanizmus szakmai kialakítása
  • cookie banner működésére vonatkozó megfelelőségi javaslat
  • harmadik országbeli adattovábbítások megfelelő dokumentálása
  • weboldal működéséhez illeszkedő gyakorlati alkalmazási javaslatok
A cél, hogy a weboldal sütikezelése ellenőrizhető, átlátható és hatósági vizsgálat esetén is védhető módon működjön.

7. Adatkezelési nyilvántartás (ROPA)

Az adatkezelési tevékenységek nyilvántartása (ROPA) a GDPR egyik alapvető és kötelező eleme.
Ez a dokumentum nem pusztán adminisztratív kötelezettség, hanem az elszámoltathatóság és a megfelelőség központi eszköze. A megfelelően kialakított és naprakészen vezetett nyilvántartás lehetővé teszi a szervezet adatkezelési folyamatainak átlátható bemutatását, a kockázatok azonosítását, valamint a hatósági ellenőrzés esetén történő bizonyítható megfelelést.
Az ügyfél számára biztosított eredmények:
  • strukturált, a működéshez illesztett adatkezelési nyilvántartás
  • adatkezelési célonkénti és folyamatonkénti bontás
  • jogalapok, címzettek és adattovábbítások rendszerezése
  • megőrzési idők és törlési mechanizmusok rögzítése
  • kockázati szempontok feltüntetése
  • frissítési és karbantartási eljárásrend kialakítása
A cél egy olyan ROPA kialakítása, amely nem formális dokumentum, hanem a szervezet adatvédelmi működésének aktív irányítási eszköze.

8. Adatfeldolgozói megfelelőség

A külső partnerek (pl. könyvelő, tárhelyszolgáltató, IT szolgáltató, marketingügynökség, CRM rendszer stb.) adatkezelési gyakorlata jelentős adatvédelmi és megfelelőségi kockázatot hordozhat. A GDPR alapján az adatkezelő felelőssége nem szűnik meg azzal, hogy az adatkezelési műveleteket külső szolgáltató végzi. A nem megfelelően kialakított adatfeldolgozói szerződések és hiányos kontrollmechanizmusok a leggyakoribb hatósági megállapítások közé tartoznak. A szolgáltatás célja az adatfeldolgozói kapcsolatok jogszerű, átlátható és ellenőrizhető keretek
közé helyezése.
Az ügyfél számára biztosított eredmények:
  • adatfeldolgozók adatvédelmi szempontú átvilágítása
  • szerződéses megfelelőségi vizsgálat a GDPR 28. cikke alapján
  • hiányzó adatfeldolgozói kikötések pótlására irányuló javaslat
  • kockázatok és felelősségi pontok feltárása
  • szerződésmódosítási és kontrollmechanizmusra vonatkozó javaslatok
A cél, hogy az adatfeldolgozói kapcsolatok megfeleljenek a jogszabályi előírásoknak, és hatósági ellenőrzés esetén is bizonyítható legyen a megfelelő szerződéses és szervezeti
kontroll.

9. Munkavállalói adatkezelések

A HR adatkezelések a szervezetek egyik legérzékenyebb és kiemelt kockázatú adatkezelési területét jelentik. A munkaviszony alá-fölérendeltségi jellege, a különleges adatok előfordulása, valamint az ellenőrzési gyakorlatok (pl. kamerarendszer, IT-monitoring, beléptetés) fokozott jogi körültekintést igényelnek. A nem megfelelően kialakított munkavállalói adatkezelési gyakorlat jelentős jogvitákhoz és hatósági kockázathoz vezethet. A szolgáltatás célja a HR adatkezelések jogszerű, arányos és átlátható keretek közé helyezése, a munkajogi és adatvédelmi szempontok összehangolásával.
Az ügyfél számára biztosított eredmények:
 
  • teljes HR adatkezelési dokumentáció kialakítása
  • belépési és kilépési adatkezelési eljárásrend
  • kamerahasználati és munkavállalói ellenőrzési szabályzat
  • munkavállalói adatkezelési tájékoztatók
  • adatmegőrzési és törlési rend HR területen
  • arányossági és jogalapi megfelelőségi vizsgálat
  • jogszerű működést támogató gyakorlati javaslatok
A cél, hogy a munkavállalói adatkezelések megfeleljenek a GDPR és a munkajogi előírások követelményeinek, és vitás helyzetben is jogilag védhető módon működjenek.

III. Folyamatos támogatás és működtetés

Ne csak elkészüljön – működjön is
A GDPR-megfelelés nem egyszeri projekt, hanem folyamatos működési feladat. Az adatkezelési folyamatok, informatikai rendszerek, üzleti működés és jogszabályi környezet folyamatos változása miatt a megfelelés rendszeres szakmai felügyeletet és naprakész támogatást igényel.
A cél egy olyan működő adatvédelmi rendszer fenntartása, amely nemcsak dokumentációs szinten felel meg az előírásoknak, hanem a szervezet mindennapi működésében is ténylegesen alkalmazható, ellenőrizhető és hatósági vizsgálat esetén is védhető.

10. Külső adatvédelmi tisztviselő (DPO)

A külső adatvédelmi tisztviselői (DPO) szolgáltatás célja, hogy a szervezet adatkezelési gyakorlata folyamatos, független és szakmailag megalapozott felügyelet alatt álljon.
A GDPR számos esetben kötelezővé teszi DPO kijelölését, azonban kötelezettségtől függetlenül is jelentős kockázatcsökkentést jelent, ha a szervezet működését dedikált
adatvédelmi szakértő támogatja.
Külső DPO-ként nem csupán tanácsadást nyújtok, hanem aktívan részt veszek a szervezet adatvédelmi működésének kialakításában, felügyeletében és fejlesztésében.
Az ügyfél számára biztosított eredmények:
  • kijelölt, független külső adatvédelmi tisztviselő
  • folyamatos szakmai rendelkezésre állás adatvédelmi kérdésekben
  • adatkezelési folyamatok rendszeres felülvizsgálata
  • GDPR-megfelelés folyamatos monitorozása
  • jogszabály- és hatósági gyakorlat követése
  • érintetti kérelmek szakmai felügyelete és támogatása
  • adatvédelmi incidensek kezelése és dokumentálása
  • 72 órás bejelentési kötelezettség szakmai megítélése
  • adatvédelmi kockázatok azonosítása és csökkentési javaslatok
  • új projektek és adatkezelések előzetes adatvédelmi kontrollja
  • adatvédelmi hatásvizsgálatok (DPIA) támogatása
  • belső adatvédelmi folyamatok kialakítása és fejlesztése
  • munkatársak adatvédelmi tudatosságának támogatása
  • kapcsolattartás a Nemzeti Adatvédelmi és Információszabadság Hatósággal (NAIH)
  • hatósági ellenőrzések szakmai támogatása
  • éves adatvédelmi jelentés és megfelelőségi összefoglaló
A szolgáltatás célja, hogy az adatvédelem ne eseti feladatként, hanem kontrollált és fenntartható működési rendszerként jelenjen meg a szervezetben.

11. Folyamatos GDPR tanácsadás

Új projektek, informatikai rendszerek, üzleti folyamatok vagy marketingkampányok bevezetése előtt az adatvédelmi megfelelés előzetes vizsgálata jelentősen csökkenti a jogi és reputációs kockázatokat. A szolgáltatás célja, hogy az adatvédelmi szempontok már a tervezési szakaszban beépüljenek a működésbe (privacy by design), és a szervezet döntései szakmailag megalapozott adatvédelmi kontroll mellett szülessenek meg.
Az ügyfél számára biztosított eredmények:
  • új adatkezelési folyamatok és projektek előzetes jogi kontrollja
  • dokumentációk és szabályzatok folyamatos frissítése
  • gyakorlati, működésbe illeszthető megfelelési javaslatok
  • gyors szakmai válaszadás napi adatvédelmi kérdésekben
  • adatvédelmi kockázatok azonosítása és megelőzése
  • marketing- és IT-fejlesztések adatvédelmi véleményezése
A cél, hogy a szervezet adatvédelmi megfelelése ne utólagos javítás, hanem tudatosan tervezett működési elem legyen.

12. Incidenskezelés és hatósági ügyintézés

Adatvédelmi incidens esetén a gyors, szakszerű és megfelelően dokumentált reakció kulcsfontosságú a jogi és reputációs kockázatok minimalizálása érdekében. Támogatást nyújtok az incidens azonosításától kezdve a szükséges intézkedések meghatározásán át egészen a hatósági kommunikációig, biztosítva a GDPR 33–34. cikke szerinti megfelelést.
Az ügyfél számára biztosított eredmények:
  • incidens minősítése és kockázati szint meghatározása
  • a 72 órás bejelentési kötelezettség fennállásának szakmai megítélése
  • incidensnyilvántartás és dokumentáció elkészítése
  • NAIH bejelentés szakmai előkészítése
  • érintetti tájékoztatási kötelezettség vizsgálata
  • hatósági kommunikáció és válaszadás szakmai támogatása
  • azonnali kockázatcsökkentési és helyreállítási javaslatok
  • megelőző intézkedések meghatározása a hasonló incidensek elkerülése érdekében
A cél nem csupán az incidens kezelése, hanem a szervezet jogi kitettségének és bírságkockázatának minimalizálása.

13. Érintetti kérelmek kezelése

Az érintettek GDPR szerinti jogainak gyakorlása (hozzáférés, törlés, helyesbítés, korlátozás, tiltakozás stb.) során a jogszabályi határidők betartása és a megfelelő dokumentálás kiemelt jelentőségű. A nem megfelelő vagy késedelmes válaszadás önálló hatósági kockázatot jelenthet, ezért támogatást nyújtok az érintetti kérelmek jogszerű, egységes és igazolható kezelésének kialakításában.
Az ügyfél számára biztosított eredmények:
  • érintetti kérelemkezelési eljárásrend kialakítása
  • GDPR-kompatibilis mintaválaszok elkészítése
  • határidők és válaszadási kötelezettségek kontrollja
  • személyazonosság-ellenőrzési folyamat meghatározása
  • törlési és korlátozási kérelmek szakmai megítélése
  • belső felelősségi és döntési struktúra kialakítása
  • kérelemnyilvántartás és dokumentálási gyakorlat kialakítása
  • komplex vagy vitatott kérelmek szakmai támogatása
A cél, hogy a szervezet minden érintetti megkeresést egységesen, határidőben és hatóságilag is igazolható módon kezeljen.

14. GDPR oktatás

A megfelelő dokumentáció önmagában nem garantálja a jogszerű működést. Az adatvédelmi megfelelés akkor válik valódi működési elemmé, ha a munkatársak ismerik, értik és alkalmazzák az előírásokat. Az adatvédelmi incidensek jelentős része emberi hibára vezethető vissza, ezért a tudatosság növelése a kockázatcsökkentés egyik leghatékonyabb eszköze.
Az ügyfél számára biztosított eredmények:
  • munkatársi adatvédelmi felkészítés (online vagy személyes formában)
  • a szervezet működésére szabott gyakorlati példák és esettanulmányok
  • belső segédanyagok és oktatási anyagok biztosítása
  • adatvédelmi incidens-megelőzési fókusz
  • vezetői és HR-specifikus képzési modulok igény szerint
  • adatvédelmi tudatosság hosszú távú erősítése
A cél, hogy az adatvédelem ne külső előírásként, hanem a szervezeti kultúra részét képező működési normaként jelenjen meg.
 
Nem biztos benne, melyik szolgáltatásra van szüksége?
Minden szervezet adatkezelési gyakorlata eltérő, ezért a GDPR-megfelelés sem sablonmegoldásokkal érhető el. Díjmentes konzultáció keretében áttekintjük a szervezete működését, feltérképezzük a főbb adatvédelmi kockázatokat, és közösen meghatározzuk a legszükségesebb megfelelési lépéseket. Vegye fel velem a kapcsolatot bizalommal, és segítek kialakítani egy jogszerűen működő, átlátható és hosszú távon fenntartható adatvédelmi rendszert.