A weboldalunk cookie-kat (sütiket) használ, hogy a használatához a legjobb élményt tudjuk biztosítani. További információkat az Cookie (süti) tájékoztatóban olvashat.

Teljes GDPR-megfelelés ellenőrzése

1. Az Ön cégének összes adatkezelési célja és adatkezelése meghatározásra került-e?

A leggyakoribb adatkezelési célok pl.: vállalkozásának alaptevékenységéhez szükséges személyes adatok kezelése, kapcsolattartás ügyfelekkel, adattovábbítás könyvelési célból, hírlevélküldés, áruk házhoz szállításához szükséges adatkezelés. Ha nem hagyott ki semmit, akkor válaszoljon Igennel.


2. Azok a személyek, akiknek a személyes adatait (érintettek) az Ön cége kezeli az adatkezelések kapcsán megfelelően és teljeskörűen tájékoztatást kaptak-e az adatkezelésekről?

Amennyiben gazdasági tevékenysége során bármilyen okból személyes adatokhoz jut, akkor előzetesen számos információról tájékoztatnia kell az érintetteket, és ezt a tájékoztatást később tudnia kell igazolni


3. A hozzájáruláson alapuló adatkezelések kapcsán (pl. marketing célú hírlevél vagy profilalkotás) az érintettek bizonyítható módon és önkéntesen hozzájárultak-e az adatkezeléshez?

Amennyiben ügyfeleinek időnként hírlevelet küld vagy egyéb marketing céllal megkeresi őket, akkor ehhez ügyfeleinek előzetesen kifejezetten hozzá kell járulniuk. Az ilyen típusú adatkezelést nem lehet kötelezővé tenni.


4. Az adatkezelő cég által folytatott valamennyi adatkezelés rendelkezik-e az EU Adatvédelmi Rendeletben (GDPR) felsorolt adatkezelési jogalappal?

Adatkezelést csak megfelelő jogalappal lehet folytani. Ilyen jogalapok lehetnek pl.: az adatkezelés jogszabály alapján kötelező, az adatkezelés szerződéses kötelezettség teljesítéséhez szükséges, az érintett hozzájárult az adatkezeléshez, stb.


5. Munkahelyi adatkezelés esetén a munkavállalók elfogadták-e a munkahelyi adatkezelési szabályzatot?

Minden munkahelyen szükségszerűen kezelik a munkavállalók személyes adatait is. Azonban a munkáltató köteles tájékoztatni a munkavállalókat az egyes adatkezelések részleteiről.


6. Munkahelyi adatkezelés esetén a munkáltató jogos érdekén alapuló adatkezelés kapcsán (pl. munkahelyi képességfelmérés) a munkáltató elvégezte-e a jogos érdeket igazoló szükségességi és arányossági tesztet?

Munkahelyen előfordulhat, hogy bizonyos munkavállalói személyes adatok munkáltatói kezelése csak akkor megengedett, amennyiben a munkáltató az ún. szükségességi és arányossági teszten keresztül bizonyítani tudja, hogy erősebb érdeke fűződik a munkavállalói adatok kezeléséhez, mint amennyire a munkavállaló magánszféráját a munkahelyen védeni kell.


7. Rendelkezik-e az Ön cége belső adatkezelési szabályzattal?

A GDPR által megkívánt számos előírást munkahelyi belső adatkezelési szabályzat elfogadásával lehet igazolni. Ilyen például az incidenskezelési szabályzat, belső adatkezelési nyilvántartás, titoktartás, adatvédelmi tisztviselő függetlensége, stb.


8. Rendelkezik-e az Ön cége adatkezelési nyilvántartással (a Rendelet 30. cikke szerint)?

A GDPR előtt meghatározott adatkezeléseket be kellett jelenteni az Adatvédelmi Hivatalnak (NAIH-nak). Ez már nem szükséges, de az ilyen és számos más adatkezelésről belső adatkezelési nyilvántartást kell vezetni.


9. Rendelkezik-e az Ön cége incidenskezelési szabályzattal? (ez az incidenskezelési szabályzat lehet a belső adatkezelési szabályzat része is)

Minden adatszivárgás vagy olyan adatkezelés, amelyre nem kaptunk felhatalmazást, adatvédelmi incidensnek számíthat. Adatvédelmi incidens esetén egy belső folyamatnak kell indulnia, amely során nemcsak az adatvédelmi incidens, annak okai és kiküszöbölése kerül feltárásra, hanem azok az intézkedéseket is meg kell tenni, amelyek megakadályozzák, hogy hasonló incidens a későbbiekben előfordulhasson.


1

0.

Amennyiben az Ön cége köteles adatvédelmi tisztviselőt kijelölni, akkor a cég rendelkezik-e adatvédelmi tisztviselővel?

Szenzitív adatok kezelése esetén (pl. egészségügyi adatok, vallási, politikai, etnikai hovatartozásra vonatkozó adatok, stb.) cége köteles adatvédelmi tisztviselőt kijelölni, és annak személyét bejelenteni az Adatvédelmi Hivatalhoz (NAIH-hoz). De közhatalmi szerveknek is, ill. amikor rendszeres megfigyeléssel gyűjtenek adatokat, akkor is adatvédelmi tisztviselőt kell kijelölni.


1

1.

Amennyiben az Ön cége weboldalán keresztül sütiket (cookies) alkalmaz, akkor rendelkezik-e megfelelő sütiszabályzattal és tájékoztatja-e a weboldalára látogatókat az alkalmazott sütik működéséről?

Amennyiben weboldala van, akkor előfordulhat, hogy azon keresztül a weboldalának látogatóinak személyes adatait ún. sütik (cookie-k) segítségével gyűjtik, ill. tárolják. Erről a körülményről tájékoztatnia kell weboldalának látogatóit, és lehetővé kell tennie számukra, hogy a nem kívánt sütiket (cookie-kat) leállítsák.


1

2.

Amennyiben az adatkezelésekben az Ön cégét alvállalkozók (adatfeldolgozók) segítik (pl. külsős szerverszolgáltató cég vagy külsős hírlevélküldő cég, stb.), akkor ezekkel az alvállalkozókkal (adatfeldolgozókkal) kötött-e az adatkezelő cég adatkezelési megállapodást írásban vagy elektronikus úton?

Amennyiben tevékenysége kapcsán vagy egyéb okból bárkinek a személyes adatait más alvállalkozóinak továbbítja, vagy ezekhez az adatokhoz alvállalkozói hozzáférhetnek, akkor ezekkel az alvállalkozóival szerződésben kell rögzíteniük, hogy az alvállalkozók milyen módon kezelhetik az adatokat, illetve hogyan garantálják közösen az érintettek személyes adataihoz fűződő jogaikat.


1

3.

Az érintettek tudják-e gyakorolni a személyes adataik kezelése kapcsán az őket megillető jogaikat?

Ezek a jogok a következők: tájékoztatáshoz való jog, hozzáféréshez való jog, helyesbítéshez való jog, törléshez való jog, „az elfeledtetéshez való jog”, korlátozáshoz való jog, tiltakozáshoz való jog, adathordozhatósághoz való joga, hozzájárulás visszavonásához való jog, panaszjog és bírósági jogorvoslathoz való jog.


1

4.

Az adatbiztonság kapcsán az Ön cége megtette-e a tőle elvárható legátfogóbb és legmagasabb szintű informatikai, dokumentumkezelési, szervezetkialakítási és folyamatalkotási biztonsági intézkedést?

Az adatbiztonság egy relatív elvárás, mert minden cégnek a saját elvárható szintjéhez mérten kell megtenni az összes lehetséges és legmagasabb szintű informatikai, iratkezelési és belső eljárásbeli adatbiztonsági intézkedést.


1

5.

Amennyiben lehetséges az adatok álnevesítése, akkor a személyes adatokat álnevesítve kezeli-e?

Az álnevesítés következtében a személyes adatok elveszítik a személyes jellegüket, ezért az álnevesítve kezelt személyes adatok biztonságosabb adatkezelést tesznek lehetővé, mert jobban védett az érintett magánszférája.


1

6.

Amennyiben az Ön cége automatizált döntéshozatalt vagy profilalkotást alkalmaz, akkor ezekkel a speciális adatkezelésekkel kapcsolatban megfelelően tájékoztatta-e az érintetteket?

Személyes adatok kezelése során mind az automatizált döntéshozatal, mind a profilalkotás nagyobb kockázatot és hatást jelenthet az érintett számára, ezért ilyen adatkezelésekre külön fel kell hívni az érintettek figyelmét, és fokozottabb az adatkezelő tájékoztatási kötelezettsége is.


1

7.

Amennyiben az Ön cége érzékeny, biometrikus vagy hasonló adatokat kezel (pl. egészségügyi, politikai, vallási, stb.) adatok, akkor ezekkel az adatkezelésekkel kapcsolatban eleget tesz-e a cég a fokozott előírásoknak?

Érzékeny, egészségi, biometrikus vagy hasonló adatokat kezelését csak az érintett kifejezett hozzájárulásával lehet kezelni, illetve az ilyen adatokat kezelő cégnek adatvédelmi tisztviselőt is ki kell jelölnie.


1

8.

Amennyiben az Ön cége nem EU-tagországba is továbbít személyes adatokat, akkor ez a nem EU-s ország biztonságos harmadik országnak tekinthető-e vagy sem?

A GDRP meghatározza, hogy milyen szempontok szerint tekinthető egy nem EU-s ország biztonságos országnak adatkezelés szempontjából. Tilos olyan nem EU-s országba személyes adatot továbbítani, amely nem tekinthető biztonságos országnak.


1

9.

Meghatározott adatkezelésekkel kapcsolatban az adatkezelés megkezdése előtt elvégezték-e a szükséges adatkezelési hatásvizsgálatot vagy előzetes konzultációt?

A GDPR-ban meghatározott, általánban kockázatosabb vagy újszerű adatkezelések esetén adatkezelési hatásvizsgálatot vagy előzetes konzultációt kell elvégezni, mielőtt megkezdik az adatkezelési módszer alkalmazását.