iroda@compactszolg.hu
+36 30 446 2562

Adatvédelmi tisztviselő (DPO) szolgáltatás


Az adatvédelmi megfelelés bonyolult, időigényes, és komoly kockázatot jelenthet vállalkozása számára.


Szakértő adatvédelmi tisztviselő szolgáltatásom átláthatóvá teszi a folyamatokat, és biztosítja a megfelelést.


Így nyugodtan működhet, elkerülheti a bírságokat, és erősítheti ügyfelei bizalmát.


🔹

A kiszervezett DPO rugalmasabb és költséghatékonyabb megoldást kínál, mint egy teljes munkaidős belső DPO munkatárs: pontosan annyi szakértői támogatást vesz igénybe, amennyire ténylegesen szüksége van.

🔹

Független, szakértői támogatást nyújtok, így nem kell saját DPO munkatársat kijelölnie vagy képeznie, mentesül a munkáltatással kapcsolatos kötelezettségek alól. 

🔹

Objektív, szakmai szempontok alapján segítsétek nyújtok az adatkezelési folyamatok feltérképezésében, a kockázatok azonosításában és a szükséges szabályzatok, nyilvántartások kialakításában.

🔹

DPO-ként független tanácsadóként végzem a munkámat és csak a vezetőség felé tartozok beszámolással.

🔹

Szakmai támogatást nyújtok IT projektek, új termékek, szolgáltatások bevezetése során. 

🔹

Részt veszek AI ütemtervek és stratégiák kidolgozásában, AI-rendszerek bevezetésében. 

🔹

DPO állásfoglalásokkal segítem a szervezeten belüli döntéshozatalt.


Ajánlatot kérek DPO szolgáltatásra

Fontos tudnivalók a DPO tisztségről

1. Minden vállalkozás számára kötelező DPO kijelölése?

Nem, a GDPR kifejezetten meghatározza, hogy mely esetekben kötelező adatvédelmi tisztviselő kijelölése. Például közműszolgáltatók, önkormányzatok, államigazgatási szervek és oktatási intézmények számára kötelező, de KKV-kat is érinthet a kötelező DPO kijelölés.

2. Melyek a kötelező DPO kijelölés leggyakoribb esetei?

Ha a szervezet alapvető tevékenységei az egyének széles körű rendszeres és szisztematikus nyomon követéséből állnak, a DPO kijelölés kötelező, akár adatkezelőként, akár adatfeldolgozóként jár el az adatkezelési folyamatban. 

Például a rendszeres és szisztematikus nyomon követés kiterjed az e-mailek újracélzására; adatvezérelt marketingtevékenységek; profilalkotás és pontozás kockázatértékelés céljából (pl. hitelbesorolás, biztosítási díjak megállapítása, csalás megelőzése, pénzmosás felderítése céljából); helykövetés (például mobilalkalmazások révén); hűségprogramok; viselkedésalapú reklámok; a wellness-, fitnesz- és egészségügyi adatok nyomon követése viselhető eszközök segítségével; biztonsági kamerák; csatlakoztatott eszközök (pl. intelligens fogyasztásmérők), intelligens autók, lakásautomatizálás stb.

Mint ilyen, a weboldal-elemzési szolgáltatások nyújtásával, valamint a célzott hirdetésekkel és marketingekkel kapcsolatos segítségnyújtással foglalkozó adatfeldolgozóknak adatvédelmi tisztviselőt kell kineveznie.

3. Dönthet úgy a vállalkozás, hogy önkéntesen él DPO kijelöléssel?

Önkéntes alapon bármikor kinevezhet adatvédelmi tisztviselőt, még akkor is, ha ez jogilag nem kötelező. Kérem, vegye figyelembe, hogy ebben az esetben meg kell felelnie az adatvédelmi tisztviselő feladataira és beosztására vonatkozó általános adatvédelmi rendelkezéseknek.

4. Mit kell tudni a DPO tisztségről? 

Az adatvédelmi tisztviselő (közismert angol rövidítéssel DPO) egy adatvédelmi szakértő, aki tanácsot ad a szervezeten belüli adatvédelmi megfeleléssel kapcsolatban. Az adatvédelmi tisztviselőt megfelelően és kellő időben be kell vonni a személyes adatok védelmével kapcsolatos valamennyi kérdésbe.

Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy kötelességeit és feladatait független módon lássa el. Ez azt jelenti, hogy az Ön szervezete:

  • nem adhat utasításokat az adatvédelmi tisztviselőnek az adatvédelmi tisztviselő feladatainak ellátására vonatkozóan;
  • nem büntetheti vagy mentheti fel az adatvédelmi tisztviselőt feladataik ellátása alól.

Az adatvédelmi tisztviselő autonómiája azonban nem jelenti azt, hogy a feladatain túl is rendelkezik döntéshozatali jogkörrel. A szervezetek továbbra is felelősek az adatvédelmi jogszabályoknak való megfelelésért, és képesnek kell lenniük a megfelelés igazolására.


5. Mit jelent a DPO szakmai függetlensége?

Feladataik ellátása során az adatvédelmi tisztviselők nem kaphatnak utasítást arra vonatkozóan, hogy miként kezeljék az ügyet. Az adatvédelmi tisztviselő például nem kaphat utasítást arra vonatkozóan, hogy mi legyen a tanácsadás eredménye, vagy hogy hogyan kell kivizsgálnia egy magánszemély panaszát, illetve arról, hogy az adatvédelmi hatósággal való konzultáció megfelelő vagy kötelező-e. Ezenkívül, az adatvédelmi tisztviselőt nem utasíthatják arra, hogy az adatvédelmi joggal kapcsolatos kérdésben, például a jog valamely konkrét értelmezésével kapcsolatban bizonyos álláspontot képviseljen.

6. Miben más a DPO, mint egy külsős adatvédelmi tanácsadó?

A DPO a szervezet kvázi adatvédelmi belső ellenőre. Ahogyan az az angol nyelvű elnevezésből is következik (Data Protection Officer) ún. officeri pozíciót tölt be, ellátja a GDPR-ban meghatározott feladatokat, szakmai tanácsod ad, belső ellenőrzéseket végez, amiről beszámolót készít a felsővezetés részére, hivatalos kapcsolattartóként jár el a NAIH és az érintettek felé, szakmai önállóság és függetlenség jellemzi, feladatai ellátása során utasítást nem fogadhat el, saját szakmai meggyőződése alapján alakítja ki álláspontját. Összegezve tehát, egy adatvédelmi kontrollfunkciót ellátó személy, akihez bizalommal fordulhatnak mind a szervezet munkavállalói, mind a szervezeten kívüli érintettek. A DPO neve és elérhetősége nyilvános, azt közzé kell tenni a szervezet weboldalán és be kell jelenteni a NAIH részére is. 

7. Ki lehet adatvédelmi tisztviselő?

Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy kötelességeit és feladatait független módon lássa el. Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, és a GDPR-ban foglalt feladatok ellátására való alkalmasság alapján kell kijelölni. Tehát nincs kötelező képzettség előírva, de a gyakorlati tapasztalatok azt mutatják, hogy a jogi végzettséggel rendelkező adatvédelmi tisztviselők sokkal eredményesebben tudják betölteni a tisztséget. 

Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

Ajánlatot kérek

DPO szolgáltatásom folyamata és tartalma

🔹

Adatkezelési gyakorlat felmérése – induló helyzetkép

Az együttműködés első lépése egy részletes adatvédelmi helyzetfelmérés. Interjúkat készítek a kulcsfontosságú területek (HR, értékesítés, marketing, IT, ügyfélszolgálat) vezetőivel, és áttekintem a meglévő szerződéseket, szabályzatokat, IT-folyamatokat, a szervezeti felépítést, az érintettektől érkező kérelmek, adatvédelmi incidensek kezelését.

🔹

Megfelelés és kockázatok feltárása

Indulásként felmérem a GDPR és a hazai jogszabályoknak való megfelelést is, többek között a tájékoztatók tartalmát, a hozzájárulások kezelését, a hozzáférés-szabályozást, a törlési és hozzáférési folyamatokat, valamint az adatfeldolgozókkal kötött szerződéseket. A felmérés eredményét részletes, kockázati szinteket is tartalmazó jelentésben foglalom össze.

Példa: Ha egy szolgáltató cégnél a régi ügyféladatokat nem törölték időben, javaslatot teszek az archiválási és törlési tervek kidolgozásában. 

🔹

DPIA (adatvédelmi hatásvizsgálat) támogatása

Olyan magas kockázatú adatkezelések esetén, mint például új kamerarendszer, profilalkotás vagy nagymértékű egészségügyi adatkezelés, adatvédelmi hatásvizsgálat lefolytatása szükséges. DPIA lefolytatásában támogatom a szervezetet. Kétség esetén, állásfoglalást adok ki, a DPIA szükségességéről. 

🔹

Incidenskezelés – gyors és dokumentált reakció

Adatvédelmi incidens esetén (pl. téves címzettnek küldött e-mail, elveszett laptop, jogosulatlan hozzáférés) azonnali tanácsadást nyújtok. Javaslatot teszek, hogy az esemény adatvédelmi incidensnek minősül vagy sem, ha igen, bejelentésköteles-e a hatóság felé, szükséges-e az érintettek tájékoztatása, és milyen technikai-szervezési lépéseket kell megtenni a jövőbeni ismétlődés elkerülésére (döntési pontok).

Példa: Egy ügyfélszolgálat tévedésből rossz ügyfélnek küld szerződést. 48 órán belül incidensjelentést készítek, dokumentálom a vizsgálatot és javaslatot teszek a vezetőség részére a döntési pontokról.

🔹

Hatósági megkeresések kezelése

Ha a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárása során megkeresi a szervezetet, adatvédelmi tisztviselőként koordinálom a válaszadást. Áttekintem a kért dokumentumokat, segítek a válaszok megfogalmazásában, és javaslatot teszek az esetleges korrekciós intézkedésekre.

Kapcsolatot tartok a Hatósággal. 

🔹

Belső szabályzatok és nyilvántartások kialakítása

Javaslatot teszek, kidolgozom vagy felülvizsgálom az adatvédelmi szabályzatokat, adatkezelési tájékoztatókat, adatfeldolgozói szerződésmintákat, valamint az adatkezelési tevékenységek nyilvántartását. Ügyelek arra, hogy a dokumentumok ne csak adatvédelmi szempontból legyenek rendben, hanem a gyakorlatban is használhatók, érthetők legyenek a munkatársak számára.

🔹

Munkavállalói képzések és tudatosságnövelés

Gyakorlatias képzések a munkavállalók számára, külön fókuszálva azokra a területekre, ahol a legnagyobb a hibalehetőség (e-mail kezelés, jelszóhasználat, ügyféladatok kezelése). A képzések során konkrét példákat, esettanulmányokat használok, a képzés teszttel zárul.

🔹

Folyamatos tanácsadás és operatív támogatás

Az adatvédelmi tisztviselő nem csak projekt-szinten jelenik meg, hanem a napi működés része. E-mailen, telefonon folyamatosan elérhető vagyok, és segítek minden olyan kérdésben, ahol személyes adatok érintettek: új kampány indítása, új szoftver bevezetése, szerződéskötés adatfeldolgozóval, munkavállalói ellenőrzés stb.

Példa: Egy marketingkampány előtt előzetesen véleményezem a hírlevél-szövegeket, a célzási beállításokat és a leiratkozási folyamatot, így a kampány már induláskor megfelel a GDPR-követelményeknek.

🔹

Munkaterv és riportálás a vezetés felé

Az induló helyzetkép alapján DPO munkaterv elfogadására teszek javaslatot a vezetőség részére. A munkaterv elfogadása után, rendszeresen (jellemzően negyedéves vagy féléves) vezetői riportokat készítek, amelyekben összefoglalom az adatvédelmi helyzetet, az elvégzett feladatokat, a feltárt kockázatokat és a javasolt intézkedéseket. A riportok támogatják a stratégiai döntéshozatalt, és átláthatóvá teszik az adatvédelem állapotát a vezetőség számára.

Példa: Egy negyedéves összefoglaló riportban bemutatom az incidensek számát és típusait, az elmúlt időszakban megkötött adatfeldolgozói megállapodásokat, az érintettektől érkező kérelmek számát és jellemzőit, a képzéseken résztvevők arányát, a levont következtetéseket és fejlesztési javaslatokat. 

🔹

Az együttműködés gyakorlati menete

Kapcsolattartás módja: Kijelölünk egy elsődleges kapcsolattartót a szervezet részéről (pl. jogi vezető vagy HR-vezető), akivel e-mailen, telefonon és online meetingeken tartom a kapcsolatot. Szükség esetén személyes egyeztetéseket is szervezünk.

Rendszeres egyeztetések: Előre ütemezett heti, havi vagy negyedéves megbeszéléseken áttekintem a folyamatban lévő ügyeket, az új projekteket és a nyitott feladatokat. Ezeken az alkalmakon közösen priorizáljuk a teendőket, és frissítjük az adatvédelmi feladatlistát. Kérés esetén, részt veszek a vezetőségi megbeszéléseken. 

Díjazási feltételek

A DPO szolgáltatás díjazása átlátható, tervezhető és a vállalkozás igényeihez igazodó konstrukciókban érhető el. 

A cél a hosszú távú, biztonságos együttműködés, amelyben a jogszabályi megfelelés és az üzleti szempontok egyaránt érvényesülnek.

🔹

#1 Havi fix időkeretes díjazás

A havi fix időkeretes konstrukció ideális azon szervezetek számára, amelyek folyamatos adatvédelmi támogatást igényelnek, ugyanakkor fontos a költségek tervezhetősége is, ezért a szolgáltatás előre meghatározott havi fix időkeret alapján történik. 

A havi időkeret egyedi megállapodás tárgya, a minimum időkeret havi 10 munkaóra. Az adott hónapban fel nem használt időt nem lehet átvinni a következő hónapra. 

A havi fix időkeret előnye, hogy a költségek előre tervezhetők, a rendelkezésre állás az időkereten belül garantált.

Hátránya, hogy a havi fix időkeret kimerülése után az adott hónapban a további rendelkezésre állás már nem garantált, a szabad kapacitás függvénye a további munkavégzés, valamint a havi fix időkeretre járó díjazásra akkor is jogosult vagyok, ha az időkeret az adott hónapban nem került kimerítésre, hiszen fixen vállalom a rendelkezésre állást minden hónapban. 

🔹

#2 Tételes, munkaóra alapú elszámolás

A tételes, munkaóra alapú elszámolás rugalmas megoldást kínál azon vállalkozásoknak, amelyek projektekhez kötötten vagy változó intenzitással vesznek igénybe adatvédelmi tisztviselői támogatást.

 Ebben a konstrukcióban a díjazás a ténylegesen igénybe vett munkaórák alapján történik, részletes teljesítési kimutatással, minden megkezdett negyedóra felszámításra és számlázásra kerül. 

Amennyiben az adott hónapban nem történt munkavégzés, 2 munkaórának megfelelő díjat akkor is meg kell fizetni rendelkezésre állási díj címén. 

A minimum óradíj bruttó 16 500 Ft, ez a szervezet nagyságától, az adatkezelési folyamatok összetettségétől függően, lehet magasabb óradíj is. 

Előnye, hogy a rendelkezésre állás nincs időkorláthoz kötve, így a váratlan, előre nem tervezett feladatok is elvégzésre kerülnek a szabad kapacitás függvényében. 

Hátránya, hogy a költségek havonta változhatnak, az adott hónapban felmerült feladatoktól függően.

🔹

#3 Egyedi díjazási megállapodás

A fentiektől eltérő, egyedi díjazási megállapodásra is van lehetőség. Egyedi díjazás iránti igényét, kérem, hogy az ajánlatkérés során  jelezze.


Adatvédelmi tisztviselőre van szükségem