Váradi Ágota
DPO – Adatvédelmi tisztviselő
AZ IGAZÁN KICSIKNEK KELL A LEGTÖBB TÁMOGATÁS!
Segítek a kisvállakozások, egyéni vállalkozók és civil szervezetek GDPR felkészülésében, adatkezelési folyamataik kialakításában és működtetésében.
AMI MINDENKINEK KÖTELEZŐ: Adatvédelmi felülvizsgálat
Ahhoz, hogy egy vállalkozásra, cégre, szervezetre vonatkozik-e, illetve milyen mértékben vonatkozik az új uniós GDPR Rendelet, először is fel kell mérni, milyen személyes adatok kezelése történik az összes működési és munkafolyamatban…
FOLYAMATOS DPO FELADATELLÁTÁS
A GDPR Rendelet tételesen felsorolja, hogy kinek KÖTELEZŐ folyamatosan adatvédelmi tisztviselőt megbíznia. Ön tudja, hogy ez vonatkozik-e vállalkozására, cégére, szervezetére?
1. LÉPÉS
Állapotfelmérés, vagyis hol, milyen formában, milyen személyes adatkezelés történik a működési és munkafolyamatokban, kapcsolatokban.
2. LÉPÉS
Árajánlat adás, majd a szerződés egyeztetése szerződéstervezet alapján, mely az árajánlattal együtt kerül kiküldésre. Szerződéskötés.
3. LÉPÉS
A szerződésben foglalt feladatok közös elvégzése. Nyomtatványok, szabályzatok elkészítése, folyamatok meghatározása, betanítása.
4. LÉPÉS
Folyamatok, dokumentáció rendszeres felülvizsgálata, változások integrálása. Igény esetén meghatározott időszakonként monitoring feladatok, tesztelés elvégzésse.
Véget is ért a megfelelés a Rendeletnek?
Nem! Még azoknak sem, akiknek nincs kötelezettsége DPO állandó igénybe vételére!
A mindennapokba kell folyamatosan alkalmazni a lefektetett folyamatokat, használni az elkészült dokumentációkat. Javasolt időszakonként – akár évente -, vagy a Rendelet illetve a hazai szabályozás megváltozásakor áttekinteni, hogy érintettek vagyunk-e benne.
Emellett fontos kontrolálni, hogy folyamatosan működnek-e a beállított tevékenységek, megfelelőe-e a munkavállalók hozzáállása, a meghatározott módon kezelik-e a dokumentációt, stb.
Ezen kívül ne feledkezzünk meg az adatvédelmi incidensekről sem! Amennyiben ilyen van a belső szabályzatok szerint kell eljárni, illetve a bejelentést meg kell tenni a NAIH felé! Ebben is megfelelő partner egy DPO!
Folyamatos DPO feladatellátás
Sokan nem is gondolják, hogy abba a körbe tartoznak, amelynek kötelező állandó DPO(k) kijelölése és bejelentése a NAIH felé.
A GDPR Rendelet 37. cikke értelmében: Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:
- az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelésétteszik szükségessé;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
E feladat ellátás megbeszéléséhez minden esetben személyes találkozót kérek.
Melyek azok a területek, ahol biztos történik személyes adatok kezelése?
A KKV-k, jellemzően a családi vállalkozások, egyéni vállalkozók biztosak benne, hogy nekik nem kell megfelelni a GDPR rendeletnek, hisz nem kezelnek személyes adatokat.
Sajnos ez nagyon téves feltételezés!
1. Alkalmazott
Legyen saját állandó vagy „beugrós”, diákmunkás, esetleg nyugdíjas szövetkezettől kiközvetített. Máris van személyes adatok kezelése, hisz a munkaszerződés megkötésétől a bérszámfejtésen át a munkaviszony megszüntetéséig rengeteg adatot kell kezelnünk. Már akkor is, ha ezen személyek álláshirdetésünkre vagy csak úgy elküldik az önéletrajzukat.
Milyen eszközökkel ellenőrizzük a munkájukat? GPS-es követőrendszerrel az autóban? Hang, kép vagy hang és képrögzítéssel? Beléptetőrendszerrel, ahol akár a biztonsági őr átvizsgálja a munkatársak táskáit? Figyeljük egészségi állapotukat?
Mindezeket hogyan kezeljük? Kik kezelhetik? Továbbadhatjuk-e ezen adatokat?
Mert itt kerül a képbe a külsős könyvelő, az üzemorvos, a munkavédelmis, stb. akik szintén ezen személyes adatokkal dolgoznak majd. A feladatuk ellátásának mikéntjét irásban kell meghatározni!
2. Vevők
Személyesen, online vagy mindkét formában tartjuk velük a kapcsolatot? Elkérünk-e a számla kötelező adattartalmán kívül egyéb adatokat is: telefonszám, lakcím, hírlevélre feliratkozáshoz e-mail cím, stb? Az üzletbe, telephelyre, irodába lépve készül-e kép vagy hangfelvétel? A kiszolgálást külsős futárszolgálattal oldjuk-e meg?
Máris kezelünk személyes adatokat, melyek felhasználását sok esetben szigorúan engedélyhez és megfelelő adatkezeléshez köti a Rendelet.
Ez ügyfél kiskorú? A kiskorú adatainak megszerzésére, kezelésére még szigorúbb szabályokat ír elő a Rendelet! Például szülői hozzájáruláshoz köti.
Rendelkezik-e a vállalkozás ezekkel? Megfelelő a bekérés módja?
Tudja és megfelelő módon ismeri meg a vevő a személyes adatai kezelésére vonatkozó jogalapokat, módokat és jogaikat?
3. Szállítók, alvállalkozók
A kapcsolattartás elengedhetetlen az üzleti kapcsolatokban. Gondoljunk csak a hosszú évek óta, már-már baráti szintre emelkedett „ügyfelesek”-re, Gizikére a könyvelésről, Jóskára a szervíz karbantartójára, stb. Telefonszámuk, e-mail címük, – néha még ezekből a magán is – ott lapul nálunk névjegykártyán, a levelező rendszerünkben, a telefonunkon.
Néha még ajándékot is küldünk e személyek születésnapjára, gratulálunk a 25 éves jubileumi kitüntetésére a cégénél. Nos, ez mind személyes adatakezelés.
Mi a megfelelő módja ezeket megtudni, tárolni, kezelni?
4. Minden, ami papíron van
Nagyon sok vállalkozásnak, cégnek, szervezetnek nincs szüksége komoly szoftverekre, amelyekben személyes adatokat kezelnek. Náluk a papír az adathordozó. Sokfajta és sok helyen kezelt papír!
Vajon a külsős takarítő beleláthat pl. munkaügyi iratokba?
Vajon a számítógép vagy adatkezelő szoftver belépési azonosítója/kódja a naptárra, a könyöklőre van felírva, vagy megfelelő módon van kezelve?
A felesleges iratok megfelelő módon vannak tárolva illetve megsemmisítve? Vagy a munkatárs gyereke beviszi az óvodába, hisz jó annak még az üres fele rajzoláshoz?
5. Informatika
Az okostelefonok, fejlett számítógépek, az egyre jobban kiteljeseső szoftverek és internet korát éljük. Laptopokkal, tabletekkel, távmunkával, szerverekkel, külső memóriagységekkel, CRM rendszerrel és még sok egyéb szoftverrel segítjük a munkát.
Ezek használata (pl. jogosultságkezelés), kapcsolatai, elérhetőségei (helyben számítógépen, szerveren, felhőben tárolva stb.) mind-mind veszélyforrások lehetnek a személyes adatok kezelése során. Ezért az egyik kiemelt területe az adatkezelésnek az IT.
Ismerjen meg!
Regisztrált felsőfokú mérlegképes könyvelő (szám: 133172) képzettségemet kiválóan tudom alkalmazni adatvédelmi tisztviselői feladataim ellátása során. Szerencsém volt több szervezeti formában is kipróbálni magam, így szerteágazó tudással rendelkezem: legyen szó alapítványi munkáról, KFT gazdasági vezetéséről, pályázatírásról, projekmenedzsmentről.
DPO-ként pont ezt tartom fontosnak egy KKV szemével nézve: az adatvédelmi tisztviselő legyen birtokában sokrétű ismeretnek, tapasztalatnak, mert így gyorsan átlátja az adott vállalkozás, cég, szervezet szerkezetét, munkafolyamatait, értékesítését, adminisztratív teendőit a bér és munkaügytől kezdve az IT-n át az ügyfélrendszerig.
Jómagam fontosnak tartom a folyamatos, egész életen át tartó tanulást és fejlődést. DPO tanusítványomat (szám: 13242/18) a Samling KFT-nél szereztem 2018. májusában.
DPO-s feladataimat egyéni vállalkozóként végzem: 68481757-1-31. Kamarai regisztrációs számom: KO68481757.
A feladat jellegéből és az elfoglaltságaimból adódóan kérem írásban keressen meg kérdéseivel, problémájával! Köszönöm!
Referenciáim, ahol befejeztük a Rendelet előírásaira vonatkozó felkészülést:
- Mike József e.v.: hirdetési portál – promotional.hu
- Phoenix Global KFT: tűz és munkavédelem, környezetvédelem, veszélyes áruk szállítása, villamos biztonságtechnikai felülvizsgálatok – phoenix-global.hu
- Phoenix Global Plusz KFT: tűzoltó készülék ellenőrzés, karbantartás – phoenix-global.hu
- Tomori 2011 KFT
- TurulPack KFT: Tengeri csomagolás, ipari csomagolás, ládagyártás, konténerezés, fóliázás, logisztika – turulpack.hu
- Ma-Pe Bau Holz KFT: ajtó-ablak stúdió – ajtoablakstudio.hu
Referenciáim, ahol jelenleg is állandó DPO-s feladatokat látok el:
- Mike József e.v.: hirdetési portál – promotional.hu
„Gyors, pontos és érthető magyarázatokat kaptunk és minden szükséges témakört tökéletesen körbejártunk. Köszönjük!”