Adatvédelmi tisztviselő (DPO) szolgáltatás
A GDPR egy működési és kockázatkezelési rendszer.
🔹
A megfelelés nem csak dokumentumokból áll, hanem gyakorlati, működési kérdés
🔹
Sok szervezet még azt hiszi, ha van egy adatkezelési tájékoztatója és excel lista az adatkezelésről, kész a megfelelés.
🔹
Ne elégedjen meg ennyivel!
Adatvédelmi tisztviselőként segítek vállalkozásának folyamatosan megfelelni a GDPR, további uniós és a hazai jogszabályok követelményeinek.
🔹
A kiszervezett DPO rugalmasabb és költséghatékonyabb megoldást kínál, mint egy teljes munkaidős belső munkatárs: pontosan annyi szakértői támogatást vesz igénybe, amennyire ténylegesen szüksége van.
🔹
Független, szakértői támogatást nyújtok, így nem kell saját munkatársat kijelölnie vagy képeznie, mentesül a munkáltatással kapcsolatos kötelezettségek alól.
🔹
Objektív, szakmai szempontok alapján segítsétek nyújtok az adatkezelési folyamatok feltérképezésében, a kockázatok azonosításában és a szükséges szabályzatok, nyilvántartások kialakításában.
🔹
DPO-ként független tanácsadóként végzem a munkámat és csak a vezetőség felé tartozok beszámolással.
🔹
Szakmai támogatást nyújtok IT projektek, új termékek, szolgáltatások bevezetése során.
🔹
Részt veszek AI ütemtervek és stratégiák kidolgozásában, AI-rendszerek bevezetésében.
🔹
DPO állásfoglalásokkal segítem a szervezeten belüli döntéshozatalt.
🔹
Rugalmas konstrukciókban elérhető DPO szolgáltatás: havi átalánydíjas rendelkezésre állás vagy tételes munkaóra elszámolás.
🔹
A DPO szolgáltatás legalább egy éves határozott idejű szerződéssel érhető el, az első három hónapban a szerződés indokolás nélkül felmondható.
GYIK
1. Minden vállalkozás számára kötelező DPO kijelölése?
Nem, a GDPR kifejezetten meghatározza, hogy mely esetekben kötelező adatvédelmi tisztviselő kijelölése. Például közműszolgáltatók, önkormányzatok, államigazgatási szervek és oktatási intézmények számára kötelező, de KKV-kat is érinthet a kötelező DPO kijelölés.
2. Melyek a kötelező DPO kijelölés leggyakoribb esetei?
Ha a szervezet alapvető tevékenységei az egyének széles körű rendszeres és szisztematikus nyomon követéséből állnak, a DPO kijelölés kötelező, akár adatkezelőként, akár adatfeldolgozóként jár el az adatkezelési folyamatban.
Például a rendszeres és szisztematikus nyomon követés kiterjed az e-mailek újracélzására; adatvezérelt marketingtevékenységek; profilalkotás és pontozás kockázatértékelés céljából (pl. hitelbesorolás, biztosítási díjak megállapítása, csalás megelőzése, pénzmosás felderítése céljából); helykövetés (például mobilalkalmazások révén); hűségprogramok; viselkedésalapú reklámok; a wellness-, fitnesz- és egészségügyi adatok nyomon követése viselhető eszközök segítségével; biztonsági kamerák; csatlakoztatott eszközök (pl. intelligens fogyasztásmérők), intelligens autók, lakásautomatizálás stb.
Mint ilyen, a weboldal-elemzési szolgáltatások nyújtásával, valamint a célzott hirdetésekkel és marketingekkel kapcsolatos segítségnyújtással foglalkozó adatfeldolgozóknak adatvédelmi tisztviselőt kell kineveznie.
3. Dönthet úgy a vállalkozás, hogy önkéntesen él DPO kijelöléssel?
Önkéntes alapon bármikor kinevezhet adatvédelmi tisztviselőt, még akkor is, ha ez jogilag nem kötelező. Kérem, vegye figyelembe, hogy ebben az esetben meg kell felelnie az adatvédelmi tisztviselő feladataira és beosztására vonatkozó általános adatvédelmi rendelkezéseknek.
4. Mit kell tudni a DPO tisztségről?
Az adatvédelmi tisztviselő (közismert angol rövidítéssel DPO) egy adatvédelmi szakértő, aki tanácsot ad a szervezeten belüli adatvédelmi megfeleléssel kapcsolatban. Az adatvédelmi tisztviselőt megfelelően és kellő időben be kell vonni a személyes adatok védelmével kapcsolatos valamennyi kérdésbe.
Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy kötelességeit és feladatait független módon lássa el. Ez azt jelenti, hogy az Ön szervezete:
- nem adhat utasításokat az adatvédelmi tisztviselőnek az adatvédelmi tisztviselő feladatainak ellátására vonatkozóan;
- nem büntetheti vagy mentheti fel az adatvédelmi tisztviselőt feladataik ellátása alól.
Az adatvédelmi tisztviselő autonómiája azonban nem jelenti azt, hogy a feladatain túl is rendelkezik döntéshozatali jogkörrel. A szervezetek továbbra is felelősek az adatvédelmi jogszabályoknak való megfelelésért, és képesnek kell lenniük a megfelelés igazolására.
5. Mit jelent a DPO szakmai függetlensége?
Feladataik ellátása során az adatvédelmi tisztviselők nem kaphatnak utasítást arra vonatkozóan, hogy miként kezeljék az ügyet. Az adatvédelmi tisztviselő például nem kaphat utasítást arra vonatkozóan, hogy mi legyen a tanácsadás eredménye, vagy hogy hogyan kell kivizsgálnia egy magánszemély panaszát, illetve arról, hogy az adatvédelmi hatósággal való konzultáció megfelelő vagy kötelező-e. Ezenkívül, az adatvédelmi tisztviselőt nem utasíthatják arra, hogy az adatvédelmi joggal kapcsolatos kérdésben, például a jog valamely konkrét értelmezésével kapcsolatban bizonyos álláspontot képviseljen.
DPO szolgáltatás folyamata és tartalma
🔹
Adatkezelési gyakorlat felmérése – induló helyzetkép
Az együttműködés első lépése egy részletes adatvédelmi helyzetfelmérés. Interjúkat készítek a kulcsfontosságú területek (HR, értékesítés, marketing, IT, ügyfélszolgálat) vezetőivel, és áttekintem a meglévő szerződéseket, szabályzatokat, IT-folyamatokat, a szervezeti felépítést, az érintettektől érkező kérelmek, adatvédelmi incidensek kezelését.
🔹
Megfelelés és kockázatok feltárása
Indulásként felmérem a GDPR és a hazai jogszabályoknak való megfelelést is, többek között a tájékoztatók tartalmát, a hozzájárulások kezelését, a hozzáférés-szabályozást, a törlési és hozzáférési folyamatokat, valamint az adatfeldolgozókkal kötött szerződéseket. A felmérés eredményét részletes, kockázati szinteket is tartalmazó jelentésben foglalom össze.
Példa: Ha egy szolgáltató cégnél a régi ügyféladatokat nem törölték időben, javaslatot teszek az archiválási és törlési tervek kidolgozásában.
🔹
DPIA (adatvédelmi hatásvizsgálat) támogatása
Olyan magas kockázatú adatkezelések esetén, mint például új kamerarendszer, profilalkotás vagy nagymértékű egészségügyi adatkezelés, adatvédelmi hatásvizsgálat lefolytatása szükséges. DPIA lefolytatásában támogatom a szervezetet. Kétség esetén, állásfoglalást adok ki, a DPIA szükségességéről.
🔹
Incidenskezelés – gyors és dokumentált reakció
Adatvédelmi incidens esetén (pl. téves címzettnek küldött e-mail, elveszett laptop, jogosulatlan hozzáférés) azonnali tanácsadást nyújtok. Javaslatot teszek, hogy az esemény adatvédelmi incidensnek minősül vagy sem, ha igen, bejelentésköteles-e a hatóság felé, szükséges-e az érintettek tájékoztatása, és milyen technikai-szervezési lépéseket kell megtenni a jövőbeni ismétlődés elkerülésére (döntési pontok).
Példa: Egy ügyfélszolgálat tévedésből rossz ügyfélnek küld szerződést. 48 órán belül incidensjelentést készítek, dokumentálom a vizsgálatot és javaslatot teszek a vezetőség részére a döntési pontokról.
🔹
Hatósági megkeresések kezelése
Ha a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárása során megkeresi a szervezetet, adatvédelmi tisztviselőként koordinálom a válaszadást. Áttekintem a kért dokumentumokat, segítek a válaszok megfogalmazásában, és javaslatot teszek az esetleges korrekciós intézkedésekre.
Kapcsolatot tartok a Hatósággal.
🔹
Belső szabályzatok és nyilvántartások kialakítása
Javaslatot teszek, kidolgozom vagy felülvizsgálom az adatvédelmi szabályzatokat, adatkezelési tájékoztatókat, adatfeldolgozói szerződésmintákat, valamint az adatkezelési tevékenységek nyilvántartását. Ügyelek arra, hogy a dokumentumok ne csak adatvédelmi szempontból legyenek rendben, hanem a gyakorlatban is használhatók, érthetők legyenek a munkatársak számára.
🔹
Munkavállalói képzések és tudatosságnövelés
Gyakorlatias képzések a munkavállalók számára, külön fókuszálva azokra a területekre, ahol a legnagyobb a hibalehetőség (e-mail kezelés, jelszóhasználat, ügyféladatok kezelése). A képzések során konkrét példákat, esettanulmányokat használok, a képzés teszttel zárul.
🔹
Folyamatos tanácsadás és operatív támogatás
Az adatvédelmi tisztviselő nem csak projekt-szinten jelenik meg, hanem a napi működés része. E-mailen, telefonon folyamatosan elérhető vagyok, és segítek minden olyan kérdésben, ahol személyes adatok érintettek: új kampány indítása, új szoftver bevezetése, szerződéskötés adatfeldolgozóval, munkavállalói ellenőrzés stb.
Példa: Egy marketingkampány előtt előzetesen véleményezem a hírlevél-szövegeket, a célzási beállításokat és a leiratkozási folyamatot, így a kampány már induláskor megfelel a GDPR-követelményeknek.
🔹
Munkaterv és riportálás a vezetés felé
Az induló helyzetkép alapján DPO munkaterv elfogadására teszek javaslatot a vezetőség részére. A munkaterv elfogadása után, rendszeresen (jellemzően negyedéves vagy féléves) vezetői riportokat készítek, amelyekben összefoglalom az adatvédelmi helyzetet, az elvégzett feladatokat, a feltárt kockázatokat és a javasolt intézkedéseket. A riportok támogatják a stratégiai döntéshozatalt, és átláthatóvá teszik az adatvédelem állapotát a vezetőség számára.
Példa: Egy negyedéves összefoglaló riportban bemutatom az incidensek számát és típusait, az elmúlt időszakban megkötött adatfeldolgozói megállapodásokat, az érintettektől érkező kérelmek számát és jellemzőit, a képzéseken résztvevők arányát, a levont következtetéseket és fejlesztési javaslatokat.
🔹
Az együttműködés gyakorlati menete
Kapcsolattartás módja: Kijelölünk egy elsődleges kapcsolattartót a szervezet részéről (pl. jogi vezető vagy HR-vezető), akivel e-mailen, telefonon és online meetingeken tartom a kapcsolatot. Szükség esetén személyes egyeztetéseket is szervezünk.
Rendszeres egyeztetések: Előre ütemezett heti, havi vagy negyedéves megbeszéléseken áttekintem a folyamatban lévő ügyeket, az új projekteket és a nyitott feladatokat. Ezeken az alkalmakon közösen priorizáljuk a teendőket, és frissítjük az adatvédelmi feladatlistát. Kérés esetén, részt veszek a vezetőségi megbeszéléseken.
Díjazási feltételek
A DPO szolgáltatás díjazása átlátható, tervezhető és a vállalkozás igényeihez igazodó konstrukciókban érhető el. A cél a hosszú távú, biztonságos együttműködés, amelyben a jogszabályi megfelelés és az üzleti szempontok egyaránt érvényesülnek.
🔹
Havi fix időkeretes díjazás
A havi fix időkeretes konstrukció ideális azon szervezetek számára, amelyek folyamatos adatvédelmi támogatást igényelnek, ugyanakkor fontos a költségek tervezhetősége is, ezért a szolgáltatás előre meghatározott havi fix időkeret alapján történik. A havi időkeret egyedi megállapodás tárgya, a minimum időkeret havi 10 munkaóra. Az adott hónapban fel nem használt időt nem lehet átvinni a következő hónapra.
A havi fix időkeret előnye, hogy a költségek előre tervezhetők, a rendelkezésre állás az időkereten belül garantált.
Hátránya, hogy a havi fix időkeret kimerülése után az adott hónapban a további rendelkezésre állás már nem garantált, a szabad kapacitás függvénye a további munkavégzés, valamint a havi fix időkeretre járó díjazásra akkor is jogosult vagyok, ha az időkeret az adott hónapban nem került kimerítésre, hiszen fixen vállalom a rendelkezésre állást minden hónapban.
🔹
Tételes, munkaóra alapú elszámolás
A tételes, munkaóra alapú elszámolás rugalmas megoldást kínál azon vállalkozásoknak, amelyek projektekhez kötötten vagy változó intenzitással vesznek igénybe adatvédelmi tisztviselői támogatást. Ebben a konstrukcióban a díjazás a ténylegesen igénybe vett munkaórák alapján történik, részletes teljesítési kimutatással, minden megkezdett negyedóra felszámításra és számlázásra kerül.
Amennyiben az adott hónapban nem történt munkavégzés, 2 munkaórának megfelelő díjat akkor is meg kell fizetni rendelkezésre állási díj címén.
A minimum óradíj bruttó 16 500 Ft, ez a szervezet nagyságától, az adatkezelési folyamatok összetettségétől függően, lehet magasabb óradíj is.
Előnye, hogy a rendelkezésre állás nincs időkorláthoz kötve, így a váratlan, előre nem tervezett feladatok is elvégzésre kerülnek a szabad kapacitás függvényében.
Hátránya, hogy a költségek havonta változhatnak, az adott hónapban felmerült feladatoktól függően.