DTSE Dunaújvárosi Triatlon Sportegyesület GDPR adatvédelmi felmérés. 2018 NOVEMBER Carroll Bernadett bernadett@carroll.pro +36 30 2936533 1 / 11
A. Háttér 1. Háttér és hatáskör 2018 októberben DTSE képvisekője - Orosz Réka felkért, hogy GDPR megfelelőség szemponjából adatvédelmi felmérést végezzek az egyesületnél. A felmérés a személyes adatok kezelésének megfelelésére terjedt ki. Különösen, hogy az egyesület milyen mértékben tette meg a megfelelő biztonsági és műszaki intézkedéseket az adatkezelés biztonságának megőrzése érdekében. Az adatvédelmi felmérés az Elco Power Kft. irodájában, (Dunaújvárosban, Neumann János út 6., Északi Ipari Park), 2018. Október 26.-án történt. 2. A felmérés folyamata Az ellenőrzés GDPR szemszögből történt. Ennek kulcsfontosságú elemei az egyesület által kiválasztott adatkezelési módszerek felülvizsgálatával kezdődött. 3. A megbízhatósági besorolás: Az ellenőrzés során értékelem azokat az intézkedéseket, és az intézkedések mértékét, amelyeket az egyesület gyakorol az adatvédelmi törvény betartása érdekében. Ezután készítek egy átfogó "megbízhatósági besorolást" (az alábbiakban leírtak szerint), jelezve, az intézkedések érvényességéről és hatékonyságáról. Megbízhatósági besorolás Erős megbízhatóság Elfogadható megbízhatóság Korlátozott megbízhatóság Fokozottan korlátozott megbízhatóság Leírás Korlátozott lehetőségek a meglévő intézkedések javítására. Nem valószínű, hogy jelentős műveletre van szükség. Néhány változtatás szükséges a meglévő intézkedések javítására. Számos változtatás szükséges a meglévő intézkedések javítására. GDPR követelményeinek nem megfelelőség magas kockázata. Azonnali intézkedés szükséges. 2 / 11
4. Alklamazási területenkénti megbízhatósági besorolás Az vizsgálat számos kulcsfontosságú területet fed le az alábbiak szerint. Minden területet külön megbízhatóság szerint értékelek. Alkalmazási terület Besorolás Adatvédelmi intézkedések A GDPR-nak való megfelelést biztosító intézkedések és ellenőrzések. Adatkezelés A személyes adatokat tartalmazó elektronikus és kézi iratok kezelésére szolgáló folyamatok. A személyes adatokra vonatkozó kérelmek A személyes adatok iránti kérelmek kezelésére szolgáló eljárások. Képzés és tudatosság A vezetőség adatvédelmi képzésének biztosítása és figyelemmel kísérése, valamint a GDPR követelményeinek a szerepükre és felelősségi körükre való figyelembevétele. Elfogadható megbízhatóság Elfogadható megbízhatóság Elfogadható megbízhatóság Korlátozott megbízhatóság 3 / 11
B. Gyűjtött információk 1. A kezelt adatok jogviszonya a. Tagsági regisztrációval kapcsolatos adatkezelés Az egyesület a vele tagként szerződött, természetes személy adatait kezeli. Versenyre, sportrendezvényre regisztrált versenyzők adatkezelése Jogi személy ügyfelek, szállítók, megrendelők természetes személy képviselőinek adatkezelése. A kezelt adatok köre: Természetes személy tagok: név, születési idő, -hely, lakcím, telefonszám, e-mail cím, egészségügyi leletek (EKG), bankszámla szám, versenyengedély - licensz szám Temészetes személy versenyre regisztrálók: név, születési idő, -hely, telefonszám, e-mail cím, bankszámla szám, versenyengedély - licensz szám. Jogi személy, szállítók megrendelők kapcsolatartóni: név, telefonszám, e-mail cím, székhely / telephely cím, honlap címe, vevőszám (ügyfélszám), számlázási adatok, adószám, vállalkozói szám, bankszámla szám. b. Marketing tevékenység A társaság nem folytat személyes adatokat felhasználó marketing tevékenységet. 2. Adatkezelő és adatfeldolgozó A társaság tagok, regisztrált sportolók és szolgáltatók képviselői, személyes adatainak adatkezelését végzi. A társaság a Magyar Triatlon Szövettség megbízásából adatfeldolgozói tevékenységet végez. 3. Hogyan gyűjtik be az érintettek adatait A tagok és regisztálók adatait az érintettektől gyűjtik be formanyomtatványon (hozzájárulással) A jogi személyek kapcsolatatrói adatait szerződéskötéskor gyűjtik be. 4. Hol tárolják a begyűjtött adatokat Elektronikusan, számítógépen, laptopon, telefonon. Papíralapon, irodában aktákban. 4 / 11
5. Milyen célból kezelik az adatokat Tagok nyilvántartása. Verseny lebonyolítás és eredménylista céljából. Visszatérő megrendelők. Számlák visszaellenőrizhetősége (NAV). Adatkezelés adó-és számviteli kötelezettségek teljesítése céljából. 6. Milyen adatfeldolgozást végeznek az adatokkal Tárolás Feldolgozás Adatbázis Kommunikáció 7. Kikkel osztja meg az adatokat Alvállalkozók, adatfeldolgozók 8. Kinek van hozzáférése az adatokhoz Vezetők, alvállalkozók, adatfeldolgozók 9. Érintettek jogai Tisztában van az érintettek törléshez való jogához. Nincs tisztában az érintettek kérésének kezelésével. 10. Adatkezelés közösségi média oldalain A társaság információközlés és a népszerűség fokozása céljából közösségi média oldalt tart fenn. A közösségi média oldalon versenyzők, szurkolók és redezőségi tagok fényképei vannak közzé téve. 11. Különleges adatok kezelése A társaság a vele szerződött egyesületi tagok sportorvosi engedélyéhez szükséges egészségügyi adatokat kezeli. 12. Adatkezelés módja Papíralapú Elektronikus 13. Weboldal Az egyesület verseny lebonyolítás céljából weboldalt tart fenn. 5 / 11
C. Meglévő eljárások 1. Adatfeldolgozói besorolás Kezelő Feldolgozó Egyik sem Típus 1 Megbízó adatai 2 Tagok, regisztrálók adatai 3 Pénzügyi adatok 4 Alvállalkozók adatai 2. A papíralapon tárolt adatok biztonsága A paper alapon tárolt adatok, Elco-Power Kft. Irodájában vannak tárolva. Az Iroda épulete műszaki biztonsági rendszerrel rendelkezik. Az Irodahely területén biztonsági kamera rendszer van használatban. 3. Elektronikusan tárolt adatok biztonsága Az elektronikusan tárolt adatok, egyéni felhasználói kóddal, jelszóval és fix IP címmel védettek. 4. Automatizált döntéshozatal, profilalkotás Profilalkotást és autómata döntéshozatalt a társaság nem végez 5. Adatvédelmi incidensek kezelése Nincs tisztában az adatvédelmi incidens fogalmakkal. Nincs tisztában az adatvédelmi incidens megelőzésével és kezelésével. Nem rendelkeznek adatvédelmi incidens nyilvántartással 6. Adattovábbítás külföldre A társaság személyes adatot az EGT országain és Svájcon kívül más országba nem továbbít. 6 / 11
D. Adatkezelő ellenőrző lista Van Nincs Hiányos 1 Adatvédelmi Tájéloztató X 2 Megrendelői szerződés X 3 Adatbiztonsági intézkedések X 4 Érintettek kéréseinek kezelése X 5 Adatmegsemmisítési szabályzat X 6 Elavult digitális adatkezelés X 7 Elavult fizikai adatkezelés X 8 Digitális adatok kezelése az érintettek kérésére X 9 Fizikai adatok kezelése az érintettek kérésére X 10 Backup rendszer X 11 Katasztrófa terv X 12 Folyamatos adatszabályzat frissítés X 13 Alvállalkozók GDPR kompatibilitása X 14 Felhasználói azonosítók számítógépeken X 15 Jelszó erősségi szabályzat X 16 Alkalmazottak naprakész adatvédelmi képzés biztosítása X 17 Alkalmazottak felkészítése érintettek kérésének kezelésére X 18 Kockázat felmérés incidens bekövetkezésre X 19 Incidens kezelési terv X 20 Adatbiztonsági szabályzat X 21 Banki adatok biztonságos tárolása X 22 Iroda fizikai biztonsága X 23 Adattakarékosság X 25 Írásbeli utasítás és szerződés adatfeldolgozókkal X 26 Adatkezelési hozzájárulások X 7 / 11
Adatkezelő ellenőrző lista magyarázat 1. Nincs meglévő adatkezelési tájékoztató 2. Szerződések ellenőrzése. (2016/679 EU rendelet + Infotv.) 3. Biztonság: számítógép jelszó védett, telefon pinkód védett, álnevesítés nem történt meg. 4. Érintettek jogainak kezelésére nincs kidolgozott folyamat. 5. Adatmegsemmisítésre folyamatban lévő de nincs kidolgozott szabályzat. 6. Digitális adatmegsemmisítési szabályzat (nincs már szükség az adatra) 7. Fizikai adatmegsemmisítési szabályzat (nincs már szükség az adatra) 8. Digitális adatmegsemmisítési szabályzat (az érintett kérésére) 9. Fizikai adatmegsemmisítési szabályzat (az érintett kérésére) 10. Backup rendszer: Felhő alapú 11. Katasztrófa terv nem készült. 12. Folyamatos adatszabályzat frissítés nem történik meg és nincs hatályban. 13. Alvállakozók adatkezelési szabályzatnak való megfelelése nem teljes. 14. Felhasználói azonosítóval a számítógép rendelkezik. 15. Jelszó erősségi szabályzat: kielégítő. 16. Alkalmazottak nem vesznek részt naprakész adatkezelési képzéseken. 17. Alkalmazottak nincsenek tisztában az érintettek kérésének kezelésével. 18. Kockázat felmérés incidens bekövetkezésre nem történt meg. 19. Incidens kezelési terv nem lett kidolgozva. 20. Adatbiztonsági szabályzattal nem rendelkeznek. 21. Banki és kifizetési adatok kezelése: kielégítő. 22. Iroda fizikai biztonsága kielégítő. 23. Adattakarékosság fontosságának figyelembevétele: kielégítő. 24. Írásbeli utasítás és szerződések dokumentálása adatfeldolgozókkal. 25. Tagok és versenyre regisztrálók írásbeli hozzájárulása szükséges. 8 / 11
E. Szükséges intézkedések: Az adatvédelmi tályékoztatónak a már meglévő jogi nyilatkozatra (Adatvédelmi Szabályzat) kell épülnie, a személyes adatok védelmére a Polgári törvénykönyről szóló 2013. évi tv., az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII törvény alapján. (Infotv.) a) Szükséges munkák: 1. Adatvédelmi felmérés - elengedhetetlen Díja: 70.000 Ft 2. Adatvédelmi szabályzat készítése - elengedhetetlen Az adatkezelések szabályai A személyes adatok kezelése, jogszerűsége A hozzájárulás feltételei A személyes adatok különleges kategóriáinak kezelése A begyűjtött és kezelt adatok dokumetnálása és listázása A gyűjtött és kezelt adatok indokoltságának dokumentálása A kezelt adatok jogalapja A kezelt adatok tárolásának ideje Milyen adatokat kezelnek Miért van szükség ezekre az adatokra Hogyan lettek begyűjtve az adatok Kinek van hozzáférése az adatokhoz Adattárolás ideje Biztonság és adattitkosítás - Adatbiztonsági szabályzattal párhuzamosan Adathordozhatóság Érintettek jogai Panaszok kezelése Incindens terv kidolgozása Utolsó frissítés dátuma Adattakarékosság figyelembe vétele. Munkavállalók adatkezelése A dokumnetumokat mint adatkezelői mint pedig adatfeldolgozói részről el kell készíteni. Díja: - 55.000 Ft 9 / 11
3. Adakezelési tájékoztató és érintetti jogok - elengedhetetlen Az adatkezelő adatai A személyes adatok kategóriája Adatok tárolási időtartama Az adatkezelés jogalapjainak ismertetése Az adatkezlés célja A hozzájárulás feltételei Az adatfeldolgozók köre és elérhetősége Az érintettek jogainak listázása Panaszbejelentés Biztonsági képrögzítés hozzájárulás 4. Adatbiztonsági szabályzat készítése - elengedhetetlen Díja - 25.000 Ft Adatbiztonsági rendszabály terv készítése Hozzáférés védelem Vírus védelem Adatbiztonság - adattovábbítás (digitális és fizikai) Adatbiztonság - tárolás (digitális és fizikai) Adatbiztonság- megsemmisítés (digitális és fizikai) IT biztonság - jelszó szabályzat (pl: erőssége, feljegyzése, mással megosztása, egyéni felhasználó kódok, titkosítás, csak biztonságos szoftverek telepíthetők, csak a társaság álltal kijelölt IT szakember szervízelheti a számítástechnikai berendezéseket, csak a felhatalmazott IT szakember telepíthet új szoftvert) Dokumentáció az adatbiztonsági szabályzat folyamatos frissítésére és felülvizsgálatára. Kinek van hozzáférése Lista a készülékekről Helység/épület Külön szabályzat szükséges az illetékes szolgáltatókkal (IT szakemberek) Süti tájékoztató Díja: 45.000 Ft 5. Adatkezelési Nyilvántartás - elengedhetetlen Adakezelési nyilvántartás Adatvédelmi incidens nyilvántartás Nyilvántartás érintettek kéréseinek kezelésére Díja: 30.000 Ft 10 / 11
6. Tagok tájékoztatása - elengedhetetlen Tájékozató készítése az érintettek adatainak kezeléséről Tagi jogok ismertetése Tagi hozzájárulás Díja: 25.000 Ft b) Választható: 1. Adatvédelmi tisztviselő - DPO - ajánlott Díja: 12.500 Ft/hó c) Ajánlott de nem tudok benne segíteni: 1. Kockázat felmérés Összesen: DTSE kedvezmény: Végösszeg: 250.000 Ft -70.000 Ft 180.000 Ft 11 / 11