ADATVÉDELMI KONZULTÁCIÓ

Átírás

1 ADATVÉDELMI KONZULTÁCIÓ

2 2 A SZABÁLYOZÁS

3 ADATVÉDELMI SZERVEZET Felelős vezető Az adatvédelmi feladatokat ellátó személy munkájáért felelős vezető: Az adatvédelmi feladatokat ellátó személy munkájáért felelős vezető a szervezeti és működési szabályzatban meghatározott vezető (SZMSZ-ben nevesíteni kell, ábrán fel kell tüntetni). Az Igazgatóság nevezi ki. Munkaköri leírásában szerepelni kell, hogy ebben a pozíciójában milyen folyamatos és eseti jelleggel végzendő feladatai vannak. A Szabályzatban nevesítésre kerültek felelősségei, jogai és kötelezettségei, melyek alapvetően irányítási, nem végrehajtói jellegű feladatok. Az ő felelőssége, hogy az adatvédelem hatékony működéséhez szükséges személyi és tárgyi feltételek rendelkezésre álljanak, a szükséges szabályozó kidolgozásra kerüljenek. Utasítási és felülbírálati joga révén részt vehet az engedélyezési folyamatokban, döntéseit szakmai alapon kell, hogy meghozza (értenie kell bizonyos fokig az adatvédelemhez). 3

4 A felelős vezető folyamatosan végzendő feladatai Adatvédelemmel kapcsolatos tevékenység szakmai szempontok szerinti irányítása: Biztosítja a jogszabályokban és az Adatvédelmi Szabályzatban foglaltak alkalmazásához, megvalósításához szükséges személyi és tárgyi feltételeket. Évente beszámol az Igazgatóság részére az adatvédelem helyzetéről. Kötelező témakörök: Szabályzat és Eljárásrend jogszabályi megfelelősége, ellenőrzési tapasztalatok, adatkezelési incidensek, szükséges intézkedések és azok eredményei, az adatvédelem személyi és tárgyi feltételeinek megléte (BAF Éves Beszámolója alapján). Szabályozási, felügyeleti, ellenőrzési feladatok: Felelős a kezelt, illetve a keletkezett adatok védelmére és kezelésére vonatkozó eljárások kidolgozásáért, a jogszabályokban és az Adatvédelmi Szabályzatban rögzített előírások betartatásáért, az előírt szabályok betartásának ellenőrzéséért. 4 Gondoskodik a szolgáltatókkal kötött szerződések és az Adatvédelmi Szabályzatban, illetve kapcsolódó jogszabályokban foglalt adatvédelmi rendelkezések összhangjáról.

5 A felelős vezető eseti jelleggel végzendő feladatai Szabályozási, felügyeleti, ellenőrzési feladatok: Gondoskodik az Adatvédelmi Szabályzathoz kapcsolódó Eljárásrend kiadásáról, Az Eljárásrendben meghatározott esetekben engedélyezi, vagy megtiltja az adatkezelést, utasítást az az adatkezelés megszüntetésére, jogosult az adatkezelés folyamatát felülbírálni. Titokvédelemmel kapcsolatos tevékenység szakmai szempontok szerinti irányítása: Kinevezi a belső adatvédelmi felelőst és helyettesét, Gondoskodik a kinevezettek bejelentéséről a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felé. Tájékoztatási kötelezettség: Felelős a NAIH-tól érkező megkeresésekkel, ajánlásokkal kapcsolatos intézkedések megtételéért. 5

6 ADATVÉDELMI SZERVEZET Belső adatvédelmi felelős Közvetlenül a Felelős vezető alá rendelt, adatvédelmi ismeretekkel rendelkező személy (SZMSZ ábrán célszerű feltüntetni). Belső adatvédelmi felelősnek jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező személy nevezhető ki (de a gyakorlati tudás fontosabb, mint az iskolai végzettség). Az összeférhetetlenségi szabályok alapján a belső adatvédelmi felelős feladatait a compliance feladatokat ellátó személy is elláthatja, ha az egyéb feltételek teljesülnek. (mivel közvetlenül a Felelős Vezető alatt kell, hogy álljon, nincs nagy választási lehetőség) A belső adatvédelmi felelőst (BAF) és helyettesét a Felelős vezető nevezi ki. A BAF nevét, elérhetőségét, (telefonszám, cím) az Adatvédelmi Szabályzat KM4. számú melléklete tartalmazza. (mivel közvetett hatályú a Szabályzat és KM-es a melléklet, így ezt átdolgoztuk akként, hogy a Felelős Vezető, a BAF és a Helyettese adatait is tartalmazza) 6

7 BAF folyamatosan végzendő feladatai Adatvédelemmel kapcsolatos tevékenység szakmai szempontok szerinti irányítása: (Eljárásrend pontja) Szakmai kapcsolattartás az SZH egyes területi vezetőivel a megvalósult és tervezett adatkezelések, illetve ezeket érintő jogszabályváltozások tekintetében. Az adatvédelemhez kapcsolódó jogszabályok változásainak folyamatos figyelemmel kísérése. Szabályozási, felügyeleti, ellenőrzési feladatok: (Eljárásrend pontja) Elkészíteni és rendszeres időközönként (legalább évente) felülvizsgálni az SZH adatkezeléseihez kapcsolódó tájékoztatókat és hozzájáruló nyilatkozatokat. Az Eljárásrendben meghatározni az adatkezelés megkezdése előtti, érintettre vonatkozó Info tv. által meghatározott tartalmú tájékoztatás módját, folyamatát, tartalmát és az adatkezelési tájékoztatók közzétételi módját, aktualizálásuk folyamatát. 7 Az Eljárásrendben meghatározni az Info tv pontja szerinti különleges adat adatkezelésének megfelelő módját, folyamatait.

8 BAF folyamatosan végzendő feladatai Adatbiztonság biztosítása: Az Eljárásrendben rögzített módon belső adatvédelmi nyilvántartást vezet, mely tartalmazza a kezelt adatok körét, az adatkezelés célját, jogalapját, időtartamát, az igénybe vett adatfeldolgozói nevét, címét, valamint az adattovábbításokat is. (Eljárásrend pontja) Az Eljárásrendben rögzített módon és szempontok szerint ellenőrzi az ügyfelek által adott hozzájárulások megfelelőségét, meglétét, az SZH adatkezelései során a jogalap meglétét, a célhoz kötöttség érvényesülését, az adatkezeléshez, adatfeldolgozáshoz használt rendszerek, eszközök, technológiák rendelkezésre állását, megfelelőségét és megfelelő alkalmazását, illetve az érintettek tájékoztatását, annak megfelelőségét (Eljárásrend pontja) A nyilvántartások vezetésének megkönnyítése érdekében mintákat bocsátottunk rendelkezésre. Ezek alkalmazása nem kötelező, csupán segédletek. 8 A hozzájáruló nyilatkozatokhoz is készítettünk mintákat. Elvileg adatkezelési célonként külön-külön nyilatkozat szükséges.

9 Az adatkezeléssel kapcsolatos ellenőrzési feladatok (lsd. 11. dia) Az adatkezelés jogalapjának megléte: (Szabályzat 3.1. pontja) Az adatkezelés szükségességének ellenőrzését követően az adatkezelés jogalapját kell megteremteni. Az érintettet még az adatkezelés megkezdése előtt tájékoztatni kell a jogalapról és az adatkezeléssel kapcsolatos jogairól. Az ügyfél által adott hozzájárulás megléte, megfelelősége: A hozzájáruláson alapuló adatkezeléssel kapcsolatban vizsgálni kell, hogy az ügyfél kitöltötte-e a hozzájáruló nyilatkozatot, önkéntesen adta hozzájárulását, az ügyintézői tájékoztatás megfelelően részletes volt). A hozzájárulás csak akkor tekinthető önkéntesnek, ha minden lényeges információ birtokában, befolyástól mentesen adja az ügyfél. A célhoz kötöttség érvényesülése: A személyes adat a jogalap fennállása esetén is csak a cél eléréséhez szükséges mértékben és ideig kezelhető. Vizsgálni kell, hogy minden adatra szükség van-e az adott cél eléréséhez és azt is, hogy mennyi ideig szükséges az adatoknak rendelkezésre állnia. Ha a célhoz kötöttség elve sérül, az adatkezelési eltérésekre vonatkozó szabályok szerint kell eljárni. 9

10 Az adatkezeléssel kapcsolatos ellenőrzési feladatok (lsd. 11. dia) Az adatkezeléshez használt rendszerek, eszközök, technológiák rendelkezésre állása, megfelelősége, megfelelő alkalmazása: Bizalmasság (jogosultságok), sértetlenség (hiteles forrás) és rendelkezésre állás (a szükséges időben és időtartamra elérhető) követelményeinek biztosítása. Érintettek tájékoztatásának megfelelősége: A Szabályzat IV.1. pontja alapján a tájékoztatási kötelezettségnek a KM5. számú melléklet szerinti tájékoztató rendelkezésre bocsátásával kell eleget tenni (ki kell függeszteni az ügyféltérben, a honlapon elérhető kell legyen, ügyfél kérésére papír alapon is át kell adni). Adatkezeléssel kapcsolatos eltérések esetén a BAF feladata a hiányosságok pótlásáról, a szükséges intézkedések, módosítások végrehajtásáról való gondoskodás az alábbiak szerint: Nyilvántartás vezetése (hiányosság, szükséges intézkedés, felelős, határidő) Eljárási szabályok módosításának, kiegészítésének kezdeményezése Szükséges intézkedések végrehajtása. 10

11 BAF évente végzendő feladatai Tájékoztatási kötelezettség: (Eljárásrend pontja) Az elutasított kérelmekről (tájékoztatás személyes adatok kezelésével kapcsolatban) tárgyévet követő január 31-ig a NAIH-ot írásban értesíti. Az előző évi tevékenységéről minden év március 31-ig Beszámolót készít az SZH Vezetősége (Igazgatóság és Felügyelő Bizottság) részére. Szabályozási, felügyeleti, ellenőrzési feladatok: Az Eljárásrendet rendszeresen, évente - vagy szükség esetén soron kívül - felülvizsgálja, vagy a felülvizsgálat elvégzéséről gondoskodik. Oktatások, képzések szervezése, szakmai segítségnyújtás: Évente gondoskodni az adatkezelésben, adatfeldolgozásban résztvevők képzéséről, az adatvédelmi ismeretek oktatásáról, a munkatársak adatvédelmi tudatosságának fejlesztéséről. 11 Az elutasított kérelmekkel kapcsolatosan NAIH felhívás áll rendelkezésre. A Takarékbank által összeállított központi oktatási anyag áll rendelkezésre.

12 BAF eseti jelleggel végzendő feladatai Tájékoztatási kötelezettség: A NAIH megkereséseire, érintettek kéréseire, beadványaira a jogszabályban, illetve a Hatósági határozatban meghatározott határidőn belül válaszol, intézkedik. Jogvédelem, jogérvényesítés elősegítése: Az adatkezelés jogalapjának és/vagy céljának megszűnése esetén az adatok törlésének végrehajtásáról való gondoskodás. Az adatkezeléssel kapcsolatos eltérések, jogszabályi hiányosságok Eljárásrendben rögzített módon történő nyilvántartása, kezelése, hiányosságok pótlásáról, illetve a szükséges módosítások, intézkedések végrehajtásáról gondoskodás. Az érintettek részére biztosítja a tájékoztatáshoz, helyesbítéshez, törléshez való joguk, valamint tiltakozási joguk érvényesülését, az érintettek tájékoztatási kérésére megfelelő ügyintézési határidőn belül válasz adása, az elutasított tájékoztatás kérelmek adatainak gyűjtése. 12

13 BAF eseti jelleggel végzendő feladatai Adatbiztonság biztosítása: Bevezetendő új adatkezelések vonatkozásában az adatkezelés megkezdése előtt az Eljárásrendben meghatározott módon gondoskodik annak adatvédelmi megfelelőségéről ( Eljárásrend pont) - az új adatkezelés szükségességének vizsgálata (feltétlen szükséges az új adatkezelés; valóban új adatkezelés, nem sorolható be meglévőbe?) - az adatkezelés jogszabályi megfelelőségének kialakítása (jogalap, célhoz kötöttség, alkalmazott technológia megfelelősége, érintett tájékoztatása) - az új adatkezelés bejelentése a NAIH részére - az új adatkezelés beillesztése az adatkezelési rendszerbe (adatkezelési tájékoztató kibővítése, alkalmazottak tájékoztatása, oktatása az új adatkezeléssel kapcsolatban) 13 Természetesen ide tartozik, hogy a tervezett új adatkezelésről egyeztetni szükséges az SZH illetékes területi vezetőjével.

14 BAF eseti jelleggel végzendő feladatai Bejelentett adatkezelések Infotv-ben meghatározott adatainak változása esetén a változás bekövetkezésétől számított 8 napon belül változásbejegyzési kérelmet nyújt be a NAIH-hoz. Az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. A fentebb meghatározott, Szabályzat szerinti feladatok részletes kifejtésre kerültek az SZH által kialakított Eljárásrendben. 14

15 JELENTÉSTÉTELI KÖTELEZETTSÉGEK Az Éves Beszámoló: (minden év március 31-ig) A Beszámoló célja, hogy a Vezetőség részletes tájékoztatást kapjon az SZH belső adatvédelmi felelőse által végzett Adatvédelmi szabályzatban nevesített feladatainak ellátásáról, az adatvédelmi tevékenységgel összefüggő fontosabb adatokról, Éves Munkaterv teljesítéséről, a vizsgálatok tapasztalatairól, a feltárt kockázatok és hiányosságok megszüntetése érdekében tett intézkedésekről. Az Éves Beszámoló lehetőség szerint a Munkatervben meghatározott területek szerinti bontásban készüljön el, tartalmazzon minden fontosabb statisztikát (pl. adatvédelmi incidensek száma, új adatkezelések, tájékoztatás kérések száma, elutasított kérelmek száma stb.) A fenti rendelkezéseket nem tartalmazza a Szabályzat, de a többi terület hasonló éves beszámolási kötelezettségéből kiindulva összegyűjtöttük a javasolt tartalmat. 15

16 Az Éves Beszámoló javasolt tartalma Vezetői összefoglaló (a Beszámolási időszak jelentősebb adatvédelmi eseményeinek rövid, tömör összefoglalója) 2. A belső adatvédelmi felelős által végzett monitoring tevékenység és a vizsgálatok tapasztalatai (a Munkatervben előirányzott és elvégzett feladatok, vizsgálatok során feltártak részletezése, az esetlegesen feltárt kockázatok megjelölésével, valamint az ezek csökkentésére, vagy megszüntetésére tett intézkedéseinek és javaslatainak bemutatásával) 3. A Hatóságokkal folytatott megfelelőségi szempontból releváns kommunikáció leírása (a Beszámolási időszakban a hatósági NAIHmegkeresések, vizsgálatok bemutatása) 4. A szabályozási környezetben bekövetkezett változások és az azok nyomán szükségessé vált intézkedések (a jogszabályokban, felügyeleti normákban bekövetkezett változások szövetkezeti hitelintézet szabályzataiban, belső eljárásaiban történő átvezetése, az ennek érdekében a belső adatvédelmi felelős által végzett tevékenység bemutatása) 5. Beszámolási időszak egyéb, az adatvédelem szempontjából jelentős ügyei (a fentebb felsorolt kategóriák egyikébe sem tartozó, azonban az adatvédelem szempontjából releváns események, valamint megtett intézkedések bemutatása).

17 MUNKATERV az új szabályzat-tervezet alapján (nem kötelező) A magunk részéről evidenciaként kezeljük, hogy a BAF munkája nem ad-hoc jellegű intézkedésekből áll, hanem tervezett, átlátja feladatait, ütemezi azokat. Ennek összefoglaló dokumentuma a Munkaterv. Az éves munkatervnek a prevenciót szolgáló rendszerszerű feladatok (pl. új adatkezelések, kapcsolódó adatkezelési tájékoztatók, személyes adatkezeléssel járó marketing akciók stb. előzetes, folyamatszerű véleményezése) mellett legalább egy célvizsgálatot, illetve ellenőrzési cselekményt kell tartalmaznia. Az éves munkaterv az ellenőrzés témáját, illetve egy adott terület adatvédelmi ellenőrzése esetén az ellenőrzés alá vont terület nevét és az ellenőrzés várható időpontját (év, hónap) kell tartalmaznia. Az éves munkatervet legkésőbb adott év február 15. napjáig kell elkészíteni és az SZH Felelős vezetője részére jóváhagyásra beterjeszteni. Ha a Felelős Vezető az éves munkatervvel egyetért, azt jóváhagyja, illetve döntésétől függően módosítja. 17

18 A BAF ellenőrzési eljárása nem kötelező A belső adatvédelmi ellenőrzés célja, hogy a BAF meggyőződjön arról, hogy az egyes területek az adatvédelemmel kapcsolatos jogszabályoknak és belső szabályzatoknak megfelelően kezelik-e az adatokat. A BAF szervezeti egység adatvédelmi tevékenység átfogó ellenőrzésének (pl. követeléskezelési terület, HR terület, marketing terület adatkezelési gyakorlatának ellenőrzése stb.), illetve célvizsgálatának lefolytatásáról az érintett terület vezetőjét / dolgozóit az ellenőrzés kezdete előtt 15 nappal e- mailben tájékoztatja, melyben az eljárás kezdő időpontjára is javaslatot tesz. A terület vezetője köteles gondoskodni arról, hogy a BAF a javasolt időpontban megkezdhesse ellenőrzését. Az ellenőrzés során a BAF a terület irodahelységeibe beléphet, a terület irataiba betekinthet, a terület munkatársaitól tájékoztatást kérhet adott üggyel vagy bármely adatkezelési tárgykörrel kapcsolatos adatkezelésről. A megkeresésnek az érintett terület a megjelölt határidőben indokolt esetben a határidő leteltét követő 5 napon belül - köteles eleget tenni. 18 Egyes célvizsgálatok esetében a BAF előzetes bejelentés nélkül is végezhet vizsgálatot (pl. adatkezelési tájékoztatók megfelelőségének vizsgálata).

19 A BAF ellenőrzési eljárása nem kötelező A vizsgálatokról a BAF vizsgálati jelentést készít. A vizsgálati jelentés tartalmazza az ellenőrzött terület, valamint annak vezetője nevét, az ellenőrzés lefolytatásának tényét, annak időpontját és időtartamát, az adott területnél vizsgált körülményeket, adatokat, megállapításokat. A vizsgálati jelentést a BAF a Felelős Vezető, a Belső Ellenőrzési Terület, valamint az érintett terület vezetője részére útján megküldi. Amennyiben a BAF jogosulatlan adatkezelést észlel, az Infotv. vonatkozó rendelkezése alapján a jelentésnek tartalmaznia kell jogosulatlan adatkezelés ismertetését, és annak megszüntetésének szükségességét, valamint a megszüntetésre vonatkozóan annak adatvédelmi jogi szempontjait. A megszűntetéssel kapcsolatban megtett és esetlegesen tervezett intézkedésekről a terület vezetője a vizsgálati jelentés kézhezvételétől számított 30 napon belül tájékoztatást nyújt a Felelős Vezető, a Belső Ellenőrzési Terület és a BAF részére. Ennek megvalósulásáról a belső adatvédelmi felelősnek az Adatvédelmi Szabályzatban előírt rendszeres beszámolójában ki kell térnie. 19 A BAF jogsértés megállapítása hiányában is jogosult a szervezeten belüli és kívüli általa legjobb gyakorlatnak ítélt eljárásokról az éves vagy eseti vizsgálati jelentésében vagy akár egyedi formában tájékoztatást adni és javasolni egy adott eljárás módosítását, vagy új eljárás bevezetését.

20 Konkrét adatvédelmi feladatok 1) Adatvédelmi feladatokat ellátó személy munkájáért felelős vezető kinevezésre került? SZMSZ-ben nevesítették? Munkaköri leírása tartalmazza a feladatait? (lsd. AZ ADATVÉDELMI FELADATOKAT ELLÁTÓ SZEMÉLY MUNKÁJÁÉRT FELELŐS VEZETŐ elnevezésű dokumentum) 2) Belső adatvédelmi felelős kinevezésre került? Szervezetileg közvetlenül a Felelős Vezető alá tartozik? (akár SZMSZ-ben is feltüntethető) Munkaköri leírásában szerepelnek feladatai? (lsd. jelen dokumentum elejét) 3) Belső adatvédelmi felelős helyettese kijelölésre került? Munkaköri leírásában szerepelnek feladatai? (lsd. belső adatvédelmi felelős feladatai) 4) Összeférhetetlenségi szabályok alkalmazásra kerültek a kinevezésekkor? (CO pozícióval nem összeférhetetlen) 5) Informatikai, iratkezelési és titokvédelmi, biztonsági szabályzatokat átnézni, hogy tartalmaznak-e az adatvédelemre vonatkozó rendelkezéseket (az Adatvédelmi Szabályzat vonatkozik rájuk adatbiztonsági kérdések -, de lehet, hogy azok visszautalnak az Adatvédelmi Szabályzatra és egyikben sincsenek rögzítve az eljárási szabályok). 20

21 Konkrét adatvédelmi feladatok 6) Kiszervezett tevékenységek szerződéseinek felülvizsgálata (a Szabályzat szerinti kötelező tartalomnak benne kell lennie a szerződésekben az adatvédelemre vonatkozóan) 7) Új dolgozók munkába lépésének szabályai között ellenőrizni kell, hogy az Adatvédelmi Szabályzat megismerésének kötelezettsége szerepel-e. Az oktatást vizsgával kell zárni, azt megfelelően dokumentálni is szükséges. 8) Adatvédelmi oktatás: évente kell, ezért ellenőrizni szükséges, hogy ban volt-e. Lehet írásos oktatási anyagot is összeállítani, az oktatás megtörténtét minden esetben dokumentálni kell (jelenléti ív / alkalmazotti lista), a dolgozó aláírásával igazolja a szabályok megismerését, az oktatáson való részvételt (központi oktatási anyag és tesztsor került kiadásra a Takarékbank részéről) 9) Célszerű megvizsgálni az alábbi folyamatokat, hogy az adatvédelmi rendelkezések megfelelően beépítésre kerültek-e, vannak-e részletes eljárási szabályok: 21

22 Konkrét adatvédelmi feladatok - telefonbeszélgetések rögzítésének eljárásrendje, call center üzemeltetése (tájékoztató szöveg) - marketing célú megkeresésekhez kapcsolódó adatkezelési tájékoztató - panaszkezelésre vonatkozó adatkezelési tájékoztató - kamerás megfigyelésre vonatkozó adatkezelési tájékoztató - tájékoztatás a kiszervezett tevékenységet végzőkről (adatátadás) - tájékoztató a hatósági megkeresésekre vonatkozóan (adattovábbítás) - honlapon elhelyezett cookie -k alkalmazásáról adott tájékoztatás 10) Az SZH adattovábbításait felül kell vizsgálni, hogy megfelelnek-e a törvényi előírásoknak, az adattovábbítások megfelelően rögzítésre kerülnek-e az adattovábbítási nyilvántartásban 11) Adatvédelmi tájékoztatók felülvizsgálata (nem a KM5 melléklet, hanem a szolgáltatásokhoz kapcsolódók) 12) A kötelező nyilvántartások meglétének, vezetésének ellenőrzése (belső adatvédelmi, adattovábbítási, adatvédelmi incidensekről vezetett, elutasított kérelmekről vezetett nyilvántartások) 22

23 Konkrét adatvédelmi feladatok 13) Munkavállalók személyes adatainak kezelését célszerű megvizsgálni, hogy az megfelel-e a jogszabályi, hatósági előírásoknak (pl. elektronikus beléptetés, kamerás megfigyelés, internet-használat ellenőrzésére vonatkozó tájékoztatók, előírások rendelkezésre állnak-e) 14) Jogérvényesítésre vonatkozó eljárási szabályok felülvizsgálata (tájékoztatás kérése, annak elutasítása, helyesbítés, törlés, zárolás) 15) Célellenőrzés témájának meghatározása, a vezetői ellenőrzéshez szükséges jelentési útvonal kialakítása, a vizsgálatok elvégzéséhez szükséges felmérőlapok, jelentés-sablonok készítése. Ezek a konkrét feladatok az adatvédelmi szabályzat új tervezete alapján kerültek összeállításra, így azok a hatályos Szabályzatból csak részben vezethetőek le. Ugyanakkor nagyon fontos lenne, hogy minden felsorolt pont vonatkozásában történjenek intézkedések a jó gyakorlat kialakítása végett. 23

24 24 KONKRÉT FELADATOK

25 Belső Adatvédelmi Felelős Éves beszámolója (március 31-ig) 1, Vezetői összefoglaló - Az SZH jelenlegi adatvédelmi helyzete az egyes területeken (kontrollált, megfelelő, közepes, intézkedést igényel) - A beszámolási időszak jelentősebb adatvédelmi eseményei (tömören) 2, Éves munkaterv készítése (minden év február 15-ig, nem kötelező) Az éves munkaterv elkészítésének időpontja, a munkaterv lényegesebb elemei, tervezett felmérések, vizsgálatok rövid ismertetése, SZH Felelős vezetőjének elfogadása 3, BAF által végzett monitoring és egyéb ellenőrzési tevékenységek Előző évi munkatervben meghatározott és elvégzett vizsgálatok (kronológiai sorrendben) - témája - vizsgálat területei - feltárt lehetséges kockázatok - kockázatok megszüntetésére tett javaslatok 25

26 Belső Adatvédelmi Felelős Éves beszámolója (március 31-ig) 3, Illetékes hatóságokkal folytatott kommunikáció ismertetése - NAIH felé tett jelentések - Új adatkezelés bejelentése - elutasított kérelmek száma, bejelentése (január 31.) - adatvédelmi incidensek száma, kivizsgálásuk, megtett intézkedések 4, Szabályzási környezetben bekövetkezett változások - Jogszabályokban történő változások - Felügyeleti szabályozó eszközökben bekövetkező változások (ajánlások, állásfoglalások stb.) - SZH szabályzatiban, belső eljárási rendjében bekövetkező változások, jogszabályok átvezetése 5, Beszámolási időszak egyéb, adatvédelmi szempontjából jelentős ügyei - egyéb adatvédelmet érintő események - megtett intézkedések 26

27 Adatkezeléshez, adatfeldolgozáshoz használt rendszerek Szabályzat V. pontja Adatkezeléshez, adatfeldolgozáshoz használt eszközök, alkalmazott technológiák - Bizalmassága (csak a megfelelő jogosultsággal rendelkező személyek férhetnek adatokhoz, a jogosultsági szintjüknek megfelelően) - Rendelkezésre állása (az adat felhasználásra, megfelelő ideig rendelkezésre áll) - Sértetlensége (az adat tartalma és tulajdonsága feldolgozás során végig megőrzi a hitelesség és letagadhatatlanság tulajdonságait) 27

28 Adatbiztonságot szolgáló eszközök Informatikai eszközök védelme - Biztonságos és tartalékolt adattárolási környezet - Védett, zárt kommunikációs hálózat - Ügyintézői számítógépektől a feldolgozó szerverekig (VPN, titkosítás, külsős személyek kizárása, idegen beavatkozás észlelése) - Határvédelem, tűzfalak alkalmazása - Informatikai rendszerek szeparáltsága szerverkörnyezet-feldolgozás - Központi adatbázisok védelme file szinten - Azonosítási mechanizmusok - Kezdeti jelszó beállítás, jelszó policy, - Jogosultsági szintek kialakítása, karbantartása 28

29 Adatbiztonságot szolgáló eszközök Informatikai eszközök védelme - Elektronikus aláírás, titkosítási eljárás - Hitelesítő szolgáltatók nyilatkozatai - Mentési, archiválási rendszerek - Napi és egyéb időszaki mentések rendelkezésre állása - Mentési állományok biztonsága, hozzáférhetősége, visszatölthetősége Ezeket a megfelelőségeket célszerű külső szakértő cégek bevonásával vizsgálni, illetve beszerezni nyilatkozatokat, tanúsítványokat, és egyéb megfelelőségi igazolásokat. 29

30 Iratkezelési védelmi eszközök Irattár - Iratok tárolásának megfelelősége, hozzáférések korlátozásának megléte, dokumentáltsága. - Ellenőrzés gyakorisága: félévente Páncélszekrény/tűzálló szekrény - Eszközök megléte, használtsága, használhatósága - Kulcsok, kódok kiosztásának szabályszerűsége, - Ellenőrzés gyakorisága: félévente Iratmegsemmisítő berendezések - Eszközök rendelkezésre állása, működőképessége, tényleges használata - Ellenőrzés gyakorisága: félévente 30

31 Fizikai védelmi eszközök Vizsgálatait a biztonságért felelős személy közreműködésével végzi. Az ellenőrzés főbb területei: - Zárt, elkülönített helyiségek védelme - Környezeti behatások (hő, füst, víz, mechanikai) ellen védelmet szolgáló eszközök. - Riasztórendszer karbantartása, megfelelősége - Beléptető rendszer működőképessége, naplózása - Egyéb biztonságot növelő megoldások Ezeknek a bankbiztonsági eszközöknek a folyamatos rendelkezésre állása bankbiztonsági okokból is kiemelt, működésükkel kapcsolatosan a biztonságért felelős személy rendelkezik dokumentációkkal. 31

32 Adminisztratív eszközök Szabályzat - Adatbiztonságot szolgáló eljárási szabályok megfelelő kialakítása és karbantartása - A BAF feladata, hogy szakmai javaslatokat fogalmazzon meg, az ügyvezetés számára az adatbiztonságot szolgáló személyi és tárgyi feltételekről Oktatás - A belső adatvédelmi felelős a technikai eszközökről, és az adminisztratív védelmi rendszerek szerepéről oktatásokat, képzéseket szervez Ügyfelek felvilágosítása - Az adatbiztonságot veszélyeztető helyzetekről (pl.: adathalászat) az ügyfeleket is tájékoztatni szükséges. A tájékoztató anyagok tartalmáért és rendelkezésre állásáért a BAF felel. 32

33 Ellenőrzések, vizsgálatok, tesztelések folyamata Belső adatvédelmi felelős ellenőrzési - adatkezelési tájékoztatók naprakészsége, elérhetősége, - a hozzájáruláson alapuló adatszolgáltatás esetén a tájékoztatás szúrópróbaszerű ellenőrzése - adott célhoz bekért adatok szükségessége - adatbiztonsági eszközök, folyamatok időszakos vizsgálata Speciális adatkezelési szabályok - kiépített kamerarendszer jogszabályi és üzemeltetési megfelelősége - beléptető rendszerek, GPS, céges mobiltelefon, naplózások, hozzáférések jogszerűsége 33

34 Adatvédelmi követelmények érvényesülése az ügymenetben Új termék bevezetése / üzleti kapcsolat létesítése - termék fejlesztése során az adatvédelmi szempontok érvényesítése - reklám, marketing tevékenység adatvédelmi szempontjai - értékesítés, szerződéskötés során nyújtott adatvédelmi tájékoztatás - szolgáltatási időszak alatti folyamatos monitoring - szerződések, ügyfélkapcsolatok lezárása kapcsán felmerülő adatvédelmi kérdések 34

35 Adatvédelmi követelmények érvényesülése az ügymenetben Termék fejlesztés - Milyen adatokra van szükség a szolgáltatás nyújtásához - kapcsolattartási adatok (leendő ügyfél elérési adatai) - szerződési formához kapcsolódó azonosítási-alapadatok - törvény által előírt kötelezően kezelendő adatok (pénzmosás) - A szerződéskötéshez szükséges, egyéb személyes adatok (minden esetben az ügyfél önkéntes hozzájárulásával kezelhető) - vagyoni helyzet megállapításához szükséges adatok - alternatív kapcsolattartási adatok (mobiltelefon, ) - Adatkezelési tájékoztatók, nyilatkozatok kidolgozása - Adattakarékosság elve (Infotv. 4. (2) bek.) 35

36 Adatvédelmi követelmények érvényesülése az ügymenetben Reklám, marketing (Előzetes) - Leendő ügyfélkör meghatározása (Célszemélyek) - Leendő ügyfélkör elérhetőségi adatai (cím, cím, mobil stb.) - Meg kell határozni, milyen csatornán célszerű az ügyfelet megkeresni és elérni (pl. elektronikus szolgáltatásnál: ). - Marketing hozzájáruló nyilatkozat beszerzése (amennyiben még nem áll rendelkezésre pl. web oldalon, elektronikus hirdetési felületen, Facebook belső szabályok-, papír alapon, stb). - Az ügyfelet csak a hozzájáruló nyilatkozaton megadott elérhetőségi adatokon lehet keresni, lehetőséget biztosítva hozzájárulásának visszavonására évi XLVIII. törvény Gazdasági reklámtevékenységről szóló törvény 1995 évi CXIX. törvény Kutatás és közvetlen üzletszerzésről szóló törvény 36

37 Adatvédelmi követelmények érvényesülése az ügymenetben Értékesítés, szerződéskötés - Ügyfél előzetes tájékoztatása az adatkezelésről - kötelező adatkezelés - hozzájáruláson alapuló adatkezelés - Ügyfél-tájékoztatás Infotv. 20 (2) szerint - célja, jogalapja, adatkezelésre, adatfeldolgozásra jogosultak, időtartama, kik ismerhetik meg az adatokat, marketing, jogorvoslat - Adatkezelési hozzájárulások beszerzése (BAF ellenőrzi a megfelelőséget) - szerződés tartalmazza - külön nyilatkozatban - ráutaló magatartás (nem bizonyítható, ezért nem alkalmazzuk) 37

38 Adatvédelmi követelmények érvényesülése az ügymenetben Szolgáltatási időszak - Adatkezelési szabályok betartása - célhoz kötöttség - adattakarékosság elve - Adatbiztonságnak való megfelelőség - Bizalmasság - Sértetlenség - Rendelkezésre állás - Esetleges változások követése, dokumentálása - További marketing tevékenység (amennyiben van hozzájáruló nyilatkozat) 38

39 Adatvédelmi követelmények érvényesülése az ügymenetben Szerződések, ügyfélkapcsolatok lezárása - Ügyféladatok törlése (általános elévülés szabályai szerint) - Azokban az esetekben, ahol az adatkezelést törvény rendeli el, ott a törvény vonatkozó előírásait kell figyelembe venni (pl. Pmt. ügyfélkapcsolat megszűnését követő 8 év.) - Amennyiben az ügyfél nem járult hozzá, DM adatbázisokból a kapcsolattartási adatokat törölni kell 39

40 Egyéb nyilvántartások Az adatvédelmi eljárásrendhez készített nyilvántartások - KM3.1 Belső Adatvédelmi nyilvántartás - KM3.2 Adattovábbítási nyilvántartás - KM3.3 Adatvédelmi incidensek nyilvántartás - KM3.4 Elutasított kérelmekről vezetett nyilvántartás 40

41 Belső adatvédelmi nyilvántartás Adatkörönként rögzített információk Minden adatkör külön fül 41

42 Honlapunk

43

44

45

46 46

47 47

48 Köszönjük a figyelmet! A prezentációt összeállította : Czégány Béla dr. Bibok Imre zsigraikft.hu Honlap: 48