Ide kerülhet az előadás címe Javaslatok az átgondoltabb adatkezelésért: az adatvédelmi audit szabályozása és gyakorlata Ide kerülhet az előadás címe

Az (adatvédelmi) audit általában Egy rendszerre, folyamatra, eljárásra, termékre irányuló vizsgálat, amely célja annak felderítése, hogy az mennyire felel meg az audit legelején meghatározott auditkritériumoknak Auditkritériumoknak = Infotv. gyakorlati alkalmazásából adódó kritériumok 1. Megfelelőségi vizsgálat 2. Kockázatelemzés

Az adatvédelmi audit célja és hatóköre 69. § (1) Az adatvédelmi audit a Hatóság olyan szolgáltatása, amelynek célja a végzett vagy tervezett adatkezelési műveletek a Hatóság által meghatározott és közzétett szakmai szempontok szerinti értékelésén keresztül a magas szintű adatvédelem és adatbiztonság megvalósítása. Tervezett adatkezelési műveletek akkor vonhatók audit alá, ha az adatkezelésre vonatkozó koncepció kidolgozottsága ezt lehetővé teszi. Széles felhatalmazás alapján szinte bármilyen adatkezelés auditálható, de szükséges egy érett koncepció szükséges a megfelelő dokumentáció szükséges az audit hatókörét megfelelően meghatározni nem fogad be a Hatóság információszabadsággal kapcsolatos igényeket

a hazai adatvédelem rendszerében Az adatvédelmi audit a hazai adatvédelem rendszerében 69. § (2) Adatvédelmi auditot a Hatóság az adatkezelő kérelmére folytathat le. Ellenőrzés Tanácsadás Tanúsítás Vizsgálat

Adatvédelmi audit értékelés 69. § (4) Az adatvédelmi audit eredményét a Hatóság az auditról készített értékelésben rögzíti. Az értékelés javaslatokat fogalmazhat meg az adatkezelő számára. Az értékelés tartalma az üzleti titokra alkalmazandó szabályok szerint ismerhető meg, az adatkezelő erre irányuló kérelmére azonban a Hatóság honlapján - a kérelemnek megfelelően - az értékelést vagy az értékelés összegző megállapításait közzéteszi.

Az adatvédelmi audittal kapcsolatos fontos kérdések 69. § (5) Az adatvédelmi audit a Hatóság törvényben rögzített egyéb hatásköreinek gyakorlását nem korlátozza. A hatóság mediációs eszköznek tekinti A hatóság az audit kérelmeket csak a többi hatáskörébe tartozó feladat elvégzése után tudja teljesíteni Összeférhetetlenség a hatósági eljárás és az adatvédelmi audit között

Az adatvédelmi audit ellenértéke 69. § (3) Az adatvédelmi audit lefolytatásáért fizetendő ellenérték mértékét - az elvégzendő tevékenység mértékével arányosan - a Hatóság állapítja meg, az azonban nem haladhatja meg az ötmillió forintot. Értékelés Tételes órakimutatás Számla Audit zárás Elvégzendő feladat mértéke és összetettsége Keretösszeg

Az adatvédelmi audit eljárás Kérelem Audit hatókörének meghatározása Információgyűjtés Dokumentáció megfelelőségének elemzése Adatvédelmi kockázatok elemzése Audit értékelés Utánkövetés Megfelelőségi záradék

Az adatvédelmi audit módszertana Áttekintő táblázat adatkezelés megismerése adatkezelés alapvető jogszabályi megfelelőségének elemzése Kérdőíves lekérdezés adatkezelés részleteinek áttekintése Dokumentáció elemzés dokumentációs lista jogszabályi megfelelés elemzése adatvédelmi kockázatok azonosítása Audit értekezletek adatkezelés részleteinek tisztázása Helyszíni szemle és interjú Záró értekezlet végleges tervezet áttekintése utánkövetési eljárás átbeszélése

Az adatvédelmi audit tapasztalatai Tapasztalatok tervezés hiánya megfelelő dokumentáció hiánya a formális megfelelés megfelelő tájékoztatás hiánya

Az adatvédelmi audit tapasztalatai Tapasztalatok az adatfeldolgozói szerepek tisztázatlansága az adatfeldolgozói szerződések hiánya az adatfeldolgozó feletti kontroll hiánya 11 11

Köszönöm a figyelmet! dr. Árvay Viktor Nemzeti Adatvédelmi és Információszabadság Hatóság 1125 Budapest, Szilágyi Erzsébet fasor 22/C. 1530 Budapest, Pf. 5. Tel.: +36 391-1420 audit@naih.hu www.naih.hu