GDPR-audit a Szurkolók az Állatokért Kft.

Elvégezve:

Budapest, 2019. november 29.

Ringhoffer István tesztelő és Serfőző József TÜV minősített GDPR-szakértő által.

1. Megrendelő

Cégnév:

Szurkolók az Állatokért Nonprofit Kft.

Székhely:

1141 Budapest, Szugló utca 82.

Cégjegyzékszám:

01 09 306001

Adószám:

26175270-2-42

Képviseli:

Kapin Richárd György ügyvezető
  1. Jelen állapot:

A vállalkozás non-profit, tevékenysége két terület köré csoportosul:

  • felelős állattartás,
  • adománygyűjtés állatmenhelyek számára. Ez utóbbi kapcsán webshop-ot is üzemeltet.

1 alkalmazottal dolgozik.

Ügyfélköre nem definiáltató.

    1. 2.1.Adatok – Személyes adatok

Különleges, egészségügyi, genetikai és biometrikus adatokat nem kezel a vállalkozás.

      1. 2.1.1.Ügyvitel

A vállalkozás működéséhez közvetlenül kapcsolódó iratok, valamint együttműködési szerződések papír alapon állnak rendelkezésre.

A dokumentumok nagy része a vállalkozás irodájában (mely egyben bemutatóterem is), kisebb részt a vállalkozás könyvelőjénél vannak elhelyezve. A vezetőség és a könyvelőcég kijelölt alkalmazottján kívül más személyeknek nincs hozzáférése.

Dokumentum típusa

Tárolt személyes adat

Papír/Elektronikus

Munkaszerződés

Név, Születési név, Születési idő és hely,

Anyja neve, Lakcím, Adóazonosító jel, TAJ szám

papír

Adóelőleg-nyilatkozat családi kedvezmény érvényesítéséről

adóazonosító jel, munkavállaló gyermekeinek neve

papír

Nyilatkozat pótszabadság megállapításához

születési hely és idő, adóazonosító jel, munkavállaló gyermekeinek neve, születési ideje

papír

Igazolás munkavállaló bejelentéséről

születési hely és idő, születési név, lakcím, TAJ-szám, adóazonosító jel, munkavállaló anyja neve, heti munkaidő

papír

Megbízási szerződés

Név, Megbízott anyja neve

Telefonszám, Személyigazolvány száma, Cím, adószám, TAJ szám

papír

Könyvelési szerződés

papír

Alapszabály

születési hely és idő, anyja neve, lakcím, adóazonosító jel

papír

Cégkivonat

 

papír

Aláírás-minta

lakcím, anyja neve

papír

Ügyvédi meghatalmazás

lakcím, anyja neve

papír

Székhelyigazolás

 

papír

Számla

cím, bankszámlaszám, adószám

papír

Orvosi megbízás

papír
      1. Informatika

A vállalkozáshoz tartozó honlap: https://www.szurkolokazallatokert.hu

Menüpont

Tárolt személyes adat

Megjegyzés

Kapcsolat

né, e-mailcím

Kapcsolattartáshoz szükséges

Webshop

keresztnév*; vezetéknév*, ország, utca, házszám*, lakás, lakosztály, stb., város*, megye*, irányítószám*, telefonszám*, e-mail cím*.

Vásárláshoz szükséges

A vállalkozás közösségi oldala: https://www.facebook.com/allatkinzasellen/; Instagram: szurkolok_az_allatkinzas_ellen

Az oldal nem gyűjt adatot, lehetőséget biztosít megkeresésre illetve közzéteszi az oktatásokon készül video és képfelvételeket.

    1. Szerepkörök
      1. Adatkezelés
  • A vállalkozás működésével kapcsolatos tevékenységek – munkaügy
  • Oktatással kapcsolatos tevékenységek – oktatást megrendelő vállalkozások kapcsolattartóinak elérhetősége.
  • Értékesítéssel kapcsolatos tevékenységek – vásárlók kapcsolati adatai
  • Adománygyűjtés – személyes adatkezelés nem történik
      1. Ügyviteli szerepkörök

Jogosultságok szerepkörök/beosztás alapján szabályozottak.

Ügyvezető

A Szurkolók az Állatokért Nonprofit Kft. hivatalos képviselője, jogosultsága minden rendszerre kiterjed, a gyakorlatban az operatív munkatás révén gyakorolja feladtait. HR teendőket is végzi.

Operatív munkatárs

A vállalkozás üzleti tevékenységében vesz részt.

Könyvelő

A vállalkozás könyvelését valamint a bérszámfejtést végzi. A könyvelői feladatkört szerződés alapján, megbízott vállalkozó tölti be, mint adatfeldolgozó.

Rendszergazda, fejlesztő

A vállalkozás megbízott vállalkozója, aki az adminisztrátori jogkörrel rendelkezik a honlapon.

      1. Adatfeldolgozó

Funkció

Vállalkozás

Rendszergazda

Gruber Péter

Könyvelés, bérszámfejtés

ANGYAL-TAX Kft.

Tárhelyszolgáltató

IT Hosting Kft.

Domain szolgáltató

Rackforest Kft.
      1. Harmadik fél

nincs

      1. Adatvédelmi tisztviselő

Nincs

Folyamatok

      1. Adatkezelés

Hagyományos, papíralapú iratkezelés (pl. iktatás) előfordul, de az elektronikus jellemzőbb.

  • Munkavállalói
  • Oktatással kapcsolatos tevékenységek – oktatás alkalmával készülnek hang és képfelvételek, melyek a vállalkozás közösségi oldalán kerülnek megosztásra. Az érintettek innen tudják letölteni magukról készült anyagokat.
  • Értékesítéssel kapcsolatos tevékenységek – vásárlók kapcsolati adatai
  • Adománygyűjtés – személyes adatkezelés nem történik
      1. Adattovábbítás, adatfeldolgozás
  • Könyvelő vállalkozás részére bérszámfejtéshez. Személyes információ átadása szóban, az érintett által történik.
      1. Profilalkotás, Anonimizálás

Nincs

      1. Álnevesítés

Nincs

      1. Adatvédelmi incidens kezelése

Nincs szabályozva

      1. Az érintett hozzájárulása

Videó és képfelvételek esetén a megbízó tudomással bír a felvételek készítésérő, az ő felelőssége az egyének előzetes hozzájárulásának a beszerzése. Médiaanyagok a vállalkozás közösségi oldalára kerülnek publikálásra, melyről #-tag beiktatásával automatikusan értesítést kap az intézmény.

Vásárlás és kapcsolatfelvétel esetében nincs szabályozva.

    1. Rendszerek
      1. Papír alapon és lokálisan, elektronikusan tárolt anyagok
  • munkaügyi anyagok – papíralapon, a bemutatóterem elzárt helyiségében vannak. Belépés korlátozott.
  • ajánlatok és szerződések – – papíralapon, a bemutatóterem elzárt helyiségében vannak. Belépés korlátozott.
      1. Lokális eszközök
  • Lokális hálózat Wi-Fi alapú, csak a dolgozó és a vállalkozás ügyvezetése fér hozzá.
  • Jelenleg magántulajdonú számítógép és mobiltelefon van használatban, jelszóval egyénileg védettek.
  • Lokális számítógép csak kamerák felvételeinek a tárolására van, a bemutatóterem külön helyiségében található.
      1. Egyéb

Az internetszolgáltató: UPC, internet felőli védelmet is biztosít.

Az irodai rendszer MS Office alapú, külső tárhely nincs használatban.

A vállalkozás által használt szoftverek jogtiszták, vírusvédelem telepítve van.

A vállalkozás adatainak nincs mentése.

A munkatársak személyre szabott e-mail címmel rendelkeznek.

Kamerafelvételek 3 napig tárolódnak, a negyedik nap felvétele felülírja a legrégebbi felvételt.

A vállalkozás rendelkezik saját Facebook (közösségi) oldallal ismertségének a fokozására, adatgyűjtést nem végez. Az oldalon megjelenő fotók oktatás alkalmával készülnek, a résztvevők hozzájárulása az iskolának leadott hozzájárulás alapján történik.

3.Javasolt intézkedések

Mivel a vállalkozás KKV méretű, nem kezel kiemelten kritikus adatokat (különleges és banki adatokat), hatásvizsgálat lefolytatására nincs szükség.

A vállalkozás működése során incidens nem történt, így a javaslatok csak az elengedhetetlenül szükséges harmonizálást foglalják magukba.

    1. 3.1.Adatok – Személyes adatok

Az adatleltár folyamatos karbantartása javasolt.

Meglévő munkáltatói szerződést a következő mellékletekkel kell ellátni:

  • Munkavállaló a munkavállalói szerződés, megbízás érdekében hozzájárul személyes adatainak megismeréséhez és visszavonásig hozzájárul azok használatához.
  • Munkavállaló hozzájárul személyes adatainak megismeréséhez és visszavonásig hozzájárul azok átadására az ANGYAL-TAX Kft. részére.

Törlési kérelem esetén személyes adatot 30 napon belül törölni kell, ha csak az egyéb rendeletek mást nem írnak elő. A hosszabb tárolási határidő lesz mérvadó a törlés tényleges időpontjára vonatkozóan.

A törlési igény beérkezéséről és a tervezett végrehajtásról tájékoztatni kell a kérelmezőt 15 napon belül.

Iratmegsemmisítő használata javasolt papír és mágneses adathordozók megsemmisítéséhez.

      1. 3.1.1.Ügyvitel 

A vállalkozás működéséhez közvetlenül kapcsolódó iratokat elzártan kell tartani, hozzáférésüket szabályozni kell. Mivel az anyagok egy része külső cégnél van elhelyezve (ANGYAL-TAX Kft.), a megbízási szerződésnek tartalmaznia kell a könyvelő vállalkozás adatkezelői felelősségét is.

Javasolt a “tiszta asztal” politika bevezetése: személyes adatot tartalmazó anyag, adathordozó, csak felügyelet mellett és addig legyen elől, amíg szükség van rá.

      1. 3.1.2.Informatika

Honlappal és Facebook oldallal kapcsolatos részletes megállapítások a 3.4-es fejezetben találhatók.

    1. 3.2.Szerepkörök
      1. 3.2.1.Adatkezelés

Adatkezeléssel kapcsolatos szerepkörök definiáltak, nem igényel módosítást.

      1. 3.2.2.Ügyviteli szerepkörök

Definiáltak, nem igényel módosítást.

      1. 3.2.3.Adatfeldolgozó

Meg kell bizonyosodni arról nyilatkozatok útján, hogy valamennyi adatfeldolgozó (2.2.3-as pontban említettek) GDPR szerint működik. Aki nem, ott a megbízási szerződésben külön ki kell térni a személyes adatok biztonságára és védelmére, melyekért felelősséget kell vállalnia.

      1. 3.2.4.Harmadik fél

Nincs, így nincs szükség szabályozásra.

      1. 3.2.5.Adatvédelmi tisztviselő

Célszerű adatvédelmi megbízott kijelölése az elért személyes adatvédelmi szint szinten tartásához.

    1. 3.3.Folyamatok
      1. 3.3.1.Adatkezelés korlátozása
  • Oktatással kapcsolatos megállapodásban célszerű kiemelni, hogy a személyes adatok kezelése a GDPR alapon történik.
  • Honlapokon a sütiket el kell fogadni.
      1. 3.3.2.Adattovábbítás

Könyvelő vállalkozás részére rendszeresen, bérszámfejtéshez küldött adatok e-mailben, csomagolva és jelszóval védve kerüljenek kiküldésre.

      1. 3.3.3.Profilalkotás, Anonimizálás

Nincs

      1. 3.3.4.Adatvédelmi incidens

A bekövetkezett incidenseket nyilván kell tartani, naprakészen kell tartani a többi kimutatással együtt. Az incidenseket az adatvédelmi megbízottnak nyilvántartásba kell vennie, a súlyosnak ítélteket 72 órán belül le kell jelentenie a NAIH számára. Minden incidens esetén, intézkedéseket kell hozni és végrehajtani, hogy a jövőben hasonló ne fordulhasson elő.

      1. 3.3.5.Az érintett hozzájárulása
  • Honlapokon a kapcsolatfelvétel és vásárlás esetében kell. Részletek a 3.4.2 pont alatt.
  • Bérszámfejtéssel kapcsolatosan a munkaszerződéseket ki kell egészíteni.
  • Oktatással kapcsolatos megállapodásban célszerű kiemelni, hogy a személyes adatok kezelése a GDPR alapon történik.
    1. 3.4.Rendszerek
      1. 3.4.1.Papír alapon és lokálisan, elektronikusan tárolt anyagok
  • A papír alapú anyagok hozzáférése korlátozott, célszerű a bemutatóteremben, zárható tárolókban elhelyezni.
      1. 3.4.2.Lokális eszközök

A bemutatóteremben elhelyezett szerver fizikai hozzáférését korlátozni kell, a termet zárni kell.

Amennyiben a vállalkozás rendelkezni fog saját számítógéppel és telefonnal, azokat jelszóval és képernyővédővel kell majd védeni. Ekkor mindenképp be kell vezetni a műszaki eszközök használatára vonatkozó szabályzatot.

Magántulajdonú számítógép használata ügyféladatokkal, GDPR-hatály alá tartozik.

Weboldal

  1. Hiányzó tájékoztatók a weboldalon
      1. Adatvédelmi tájékoztató
      2. Általános szerződési feltételek
      3. Süti tájékoztató
  1. Tájékoztatók feltüntetése a weboldalon

Az 1. pontban említett tájékoztatókat minden aloldalon fel kell tüntetni, elérhetőnek kell lennie. A legjobb megoldás erre, ha a láblécbe beillesszük ezeket, mert az minden oldalon elérhető és ugyanaz.

  1. SSL (HTTPS) kapcsolat

A weboldalon ajánlott a https használata a biztonságos kapcsolathoz. Nem csak GDPR szempontból, de keresőoptimalizálásban is előnyt jelent és már a böngészők is riasztanak, hogy nem biztonságos az oldal.

Bármelyik SSL megfelel a célra, van lehetőség ingyeneset is használni:

SSL beállításakor figyelni kell az átirányításra, hogy mindig a titkosított https kapcsolaton kommunikáljon, vagyis minden forgalmat ajánlott átirányítani a https://www.weboldalad.hu címre. 

  1. Süti kezelés

Jelenleg a vizsgált weboldalon nincs külső követőkód (cookie). Amennyiben nem fogtok használni külső eszközöket minimális a teendő a jelenlegi “Cookie info bar”-ral.

Két lehetőség van:

  • Ha használtok külső sütiket tartalmazó eszközöket pixeleket (pl. Analytics, Hotjar, Google Ads pixel, Facebook pixel stb..), akkor addig nem indíthatóak el az ide tartozó sütik, amíg a felhasználó el nem fogadta, amit általában Analitika és Marketing sütiként szoktunk címkézni. Ezek a sütiket kategóriánként vagy cookie-k szerint a felhasználó megtagadhatja, illetve elfogadhatja és akár később módosíthatja is vagy is ki/be kapcsolhatja bármikor.

Pár ajánlott programok WordPress alá:

  • https://wordpress.org/plugins/wp-gdpr-compliance/ 
  • https://wordpress.org/plugins/cookiebot/ 
  • Másik lehetőség, hogy nem használtok semmilyen külső sütit a weboldalon, ilyenkor elég feltüntetni a süti tájékoztatóban a használt sütiket, mivel ezek kötelező sütik és kellenek az oldal működéshez ezeket nem tagadhatja meg a felhasználó. A jelenleg használt süti sávotokat, pedig módosítani, hogy be legyen linkelve a süti tájékoztató is.
  1. Kapcsolati űrlap

Kapcsolati űrlapon (https://szurkolokazallatokert.hu/kapcsolat/ ) kötelezően el kell fogadtatni a felhasználóval az adatkezelési tájékoztatót egy checkboxal, ami nem lehet előre bepipálva.

Minta:

Megismertem és elfogadom az Adatkezelési tájékoztatót.

  1. Rendelés véglegesítése

Jelenleg csak egy tájékoztató szöveg szerepel az adatkezelésről: “A személyes adatokat a rendelés feldolgozásához, a weboldalon történő vásárlási élmény fenntartásához és más célokra használjuk, melyeket az Adatkezelési tájékoztató tartalmaz.”

Ez jelenleg nem felel meg a GDPR irányelveinek, következőképp kell módosítani:

Két külön checkbox szükséges, egyikkel az ászf-et lehet elfogadni a másikkal, pedig az adatkezelési tájékoztatót.

Minta:

  1. Személyes adatok megjegyzése

Jelenleg megjegyzi a személyes adataim és eltárolja egy sütiben, és ezeket nem köti felhasználói fiókhoz. Így aki az adott gépen megnézi az oldalt az összes személyes adataimat látja, ami nem túl GDPR barát. Ezeket az adatokat nem szabad elmenteni vendég felhasználóknál, ha nincs külön regisztráció akkor sem. Ezeket az adatokat, minden rendelés után törölni kell.

  1. Személyes adatok törlése

Felhasználó bármikor kérheti a személyes adatai törlését (név, email, ip, telefonszám stb..), ezeket tudni kell törölni az admin felületen. WordPressben ez megoldható, bármilyen adat törölhető véglegesen így ezzel nincs teendő, abban az esetben, ha máshova nem kerülben be ezek az adatok, pl. külső crm vagy levélben nem kapjátok meg, mert ez esetben innen is törölni kell, ha valaki kéri.

https://www.facebook.com/allatkinzasellen/

Facebook oldalon a névjegy menüpont alatt érdemes megadni a weboldal adatvédelmi szabályzatát.

      1. Egyéb

Javasolt az internet oldali védelem szinten tartása és a programok frissítése.

        1. 3.1.Mobiltelefon, tablet

WiFi és Bluetooth csak adatátvitel esetére legyen bekapcsolva.

        1. 3.2.Mentés/visszaállítás és annak gyakorlata

Javasolt a személyi számítógép diszkjének havi mentése hordozható eszközre. A mentés az irodául is szolgáló bemutatóteremben legyen tárolva.