A BELSŐ ADATVÉDELMI FELELŐS Közvetlenül az adatvédelmi feladatokat ellátó személy munkájáért felelős vezető alá rendelt, adatvédelmi ismeretekkel rendelkező személy (SZMSZ ábrán célszerű feltüntetni). Belső adatvédelmi felelősnek jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező személy nevezhető ki (de a gyakorlati tudás fontosabb, mint az iskolai végzettség). Az összeférhetetlenségi szabályok alapján a belső adatvédelmi felelős feladatait a compliance feladatokat ellátó személy is elláthatja, ha az egyéb feltételek teljesülnek. (mivel közvetlenül a Felelős Vezető alatt kell, hogy álljon, nincs nagy választási lehetőség) A belső adatvédelmi felelőst (BAF) és helyettesét az SZH adatvédelmi feladatokat ellátó személy munkájáért felelős vezetője nevezi ki. A belső adatvédelmi felelős nevét, elérhetőségét, (telefonszám, email cím) az Adatvédelmi Szabályzat KM4. számú melléklete tartalmazza. (mivel közvetett hatályú a Szabályzat és KM-es a melléklet, így ezt átdolgoztuk akként, hogy a Felelős Vezető, a BAF és a Helyettese adatait is tartalmazza) Folyamatosan végzendő feladatok: 1.
Adatvédelemmel kapcsolatos tevékenység szakmai szempontok szerinti irányítása
Szakmai kapcsolattartás az SZH egyes területi vezetőivel a megvalósult és tervezett adatkezelések, illetve ezeket érintő jogszabályváltozások tekintetében. Az adatvédelemhez kapcsolódó jogszabályok változásainak folyamatos figyelemmel kísérése.
2.
Szabályozási, felügyeleti, ellenőrzési feladatok
Elkészíteni és rendszeres időközönként felülvizsgálni a Szövetkezeti Hitelintézet adatkezeléseihez kapcsolódó tájékoztatókat és hozzájáruló nyilatkozatokat. Az Eljárásrendben meghatározni az adatkezelés megkezdése előtti, érintettre vonatkozó Info tv. által meghatározott tartalmú tájékoztatás módját, folyamatát, tartalmát és az adatkezelési tájékoztatók közzétételi módját, aktualizálásuk folyamatát. Az Eljárásrendben meghatározni az Info tv. 3. § 3. pontja szerinti különleges adat adatkezelésének megfelelő módját, folyamatait.
3.
Adatbiztonság biztosítása
Az Eljárásrendben rögzített módon a belső adatvédelmi nyilvántartást vezetni, mely tartalmazza a kezelt adatok körét, az adatkezelés célját, jogalapját, időtartamát, az igénybe vett adatfeldolgozói nevét, címét, valamint az adattovábbításokat is. Az Eljárásrendben rögzített módon és szempontok szerint ellenőrizni, az ügyfelek által adott hozzájárulások megfelelőségét, meglétét, a Szövetkezeti hitelintézet adatkezelései során a jogalap meglétét, a célhoz kötöttség érvényesülését, az adatkezeléshez, adatfeldolgozáshoz használt rendszerek, eszközök, technológiák rendelkezésre állását,
1
megfelelőségét és megfelelő alkalmazását, illetve az érintettek tájékoztatását, annak megfelelőségét. Évente végzendő feladatok: 1.
Tájékoztatási kötelezettség
Az elutasított kérésekről (tájékoztatás személyes adatok kezelésével kapcsolatban) tárgyévet követő január 31-ig a NAIH-ot írásban értesíteni. Az előző évi tevékenységéről minden év március 31-ig beszámolót készít a Szövetkezeti hitelintézet vezetősége részére.
2.
Szabályozási, felügyeleti, ellenőrzési feladatok
Az Eljárásrendet rendszeresen, évente - vagy szükség esetén soron kívül - felülvizsgálni, vagy a felülvizsgálat elvégzéséről gondoskodni.
3.
Oktatások, képzések szervezése, szakmai segítségnyújtás
Évente gondoskodni az adatkezelésben, adatfeldolgozásban résztvevők képzéséről, az adatvédelmi ismeretek oktatásáról, a munkatársak adatvédelmi tudatosságának fejlesztéséről.
Eseti jelleggel végzendő feladatok: 1.
Tájékoztatási kötelezettség
A NAIH megkereséseire, érintettek kéréseire, beadványaira a jogszabályban, illetve a Hatósági határozatban meghatározott határidőn belül válaszolni, intézkedni.
2.
Jogvédelem, jogérvényesítés elősegítése
Az adatkezelés jogalapjának és/vagy céljának megszűnése esetén az adatok törlésének végrehajtásáról való gondoskodás. Az adatkezeléssel kapcsolatos eltérések, jogszabályi hiányosságok Eljárásrendben rögzített módon történő nyilvántartása, kezelése, hiányosságok pótlásáról, illetve a szükséges módosítások, intézkedések végrehajtásáról gondoskodás. Az érintettek részére biztosítani a tájékoztatáshoz, helyesbítéshez, törléshez való joguk, valamint tiltakozási joguk érvényesülését, az érintettek tájékoztatási kérésére megfelelő ügyintézési határidőn belül válasz adása, az elutasított tájékoztatás kérések adatainak gyűjtése.
3.
Adatbiztonság biztosítása
Bevezetendő új adatkezelések vonatkozásában az adatkezelés megkezdése előtt az Eljárásrendben meghatározott módon gondoskodni annak adatvédelmi megfelelőségéről.
2
Bejelentett adatkezelések Infotv-ben meghatározott adatainak változása esetén a változás bekövetkezésétől számított 8 napon belül változásbejegyzési kérelmet benyújtani a NAIH-hoz. Az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. A fentebb meghatározott, Szabályzat szerinti feladatok részletes kifejtésre kerültek a Szövetkezeti hitelintézet által kialakított Eljárásrendben.
3
JELENTÉSTÉTELI KÖTELEZETTSÉG Az Éves Beszámoló A Beszámoló célja, hogy a Vezetőség részletes tájékoztatást kapjon a Szövetkezeti hitelintézetnél kijelölt belső adatvédelmi felelős által végzett, a közvetett hatályú Adatvédelmi szabályzatban nevesített feladatainak ellátásáról, az adatvédelmi tevékenységgel összefüggő fontosabb adatokról, éves munkaterv teljesítéséről, a vizsgálatok tapasztalatairól, a feltárt kockázatok és hiányosságok megszüntetése érdekében tett intézkedésekről. Az Éves Beszámoló lehetőség szerint a munkatervben meghatározott területek szerinti bontásban készüljön el, tartalmazzon minden fontosabb statisztikát (pl. adatvédelmi incidensek száma, új adatkezelések, tájékoztatás kérések száma, elutasított kérelmek száma stb.) 1. Vezetői összefoglaló (a Beszámolási időszak jelentősebb adatvédelmi eseményeinek rövid, tömör összefoglalója) 2. A belső adatvédelmi felelős által végzett monitoring tevékenység és a vizsgálatok tapasztalatai (a Munkatervben előirányzott és elvégzett feladatok, vizsgálatok során feltártak részletezése, az esetlegesen feltárt kockázatok megjelölésével, valamint az ezek csökkentésére, vagy megszüntetésére tett intézkedéseinek és javaslatainak bemutatásával) 3. A Hatóságokkal folytatott megfelelőségi szempontból releváns kommunikáció leírása (a Beszámolási időszakban a hatósági – NAIH- megkeresések, vizsgálatok bemutatása) 4. A szabályozási környezetben bekövetkezett változások és az azok nyomán szükségessé vált intézkedések (a jogszabályokban, felügyeleti normákban bekövetkezett változások szövetkezeti hitelintézet szabályzataiban, belső eljárásaiban történő átvezetése, az ennek érdekében a belső adatvédelmi felelős által végzett tevékenység bemutatása) 5. Beszámolási időszak egyéb, az adatvédelem szempontjából jelentős ügyei (a fentebb felsorolt kategóriák egyikébe sem tartozó, azonban az adatvédelem szempontjából releváns események, valamint megtett intézkedések bemutatása).
Megjegyzés: Az Adatvédelmi Szabályzat és az általunk készített Eljárásrend sem tartalmazza a Munkaterv készítésének kötelezettségét, de a magunk részéről evidenciaként kezeltük, hogy a belső adatvédelmi felelős munkája nem ad-hoc jellegű, hanem tervezett, átlátja az ellátandó feladatait, azokat ütemezi, vagyis Munkatervet készít. Az Adatvédelmi Szabályzat új tervezete - mely csak jövő év 3. negyedévében kerülhet legkorábban kiadásra – már tartalmazza a Munkaterv készítésére vonatkozó kötelezettséget, így tulajdonképpen elébe tudunk menni a feladatnak. Ebből az okból került beépítésre az anyagban az ellenőrzési eljárásra vonatkozó következő rész is.
4
A BELSŐ ADATVÉDELMI FELELŐS ELLENŐRZÉSI ELJÁRÁSA (AZ ÚJ SZABÁLYZAT-TERVEZET ALAPJÁN) A belső adatvédelmi felelős éves munkatervet készít, tartalmát maga határozza meg. A belső adatvédelmi ellenőrzés célja, hogy a belső adatvédelmi felelős meggyőződjön arról, hogy az egyes területek az adatvédelemmel kapcsolatos jogszabályoknak és belső szabályzatoknak megfelelően kezelik-e az adatokat. Az éves munkatervnek a prevenciót szolgáló rendszerszerű feladatok (pl. új adatkezelések, kapcsolódó adatkezelési tájékoztatók, személyes adatkezeléssel járó marketing akciók stb. előzetes, folyamatszerű véleményezése) mellett legalább egy célvizsgálatot, illetve ellenőrzési cselekményt kell tartalmaznia. Az éves munkaterv az ellenőrzés témáját, illetve egy adott terület adatvédelmi ellenőrzése esetén az ellenőrzés alá vont terület nevét és az ellenőrzés várható időpontját (év, hónap) kell tartalmaznia. Az éves munkatervet legkésőbb adott év február 15. napjáig kell elkészíteni és az SZH Felelős vezetője részére jóváhagyásra beterjeszteni. Ha a Felelős Vezető az éves munkatervvel egyetért, azt jóváhagyja, illetve döntésétől függően módosítja. A belső adatvédelmi felelős szervezeti egység adatvédelmi tevékenység átfogó ellenőrzésének (pl. követeléskezelési terület, HR terület, marketing terület adatkezelési gyakorlatának ellenőrzése stb.), illetve célvizsgálatának lefolytatásáról az érintett terület vezetőjét/dolgozóit az ellenőrzés kezdete előtt 15 nappal e-mailben tájékoztatja, melyben az eljárás kezdő időpontjára is javaslatot tesz. A terület vezetője köteles gondoskodni arról, hogy a belső adatvédelmi felelős a javasolt időpontban megkezdhesse ellenőrzését. Az ellenőrzés során a belső adatvédelmi felelős a terület irodahelységeibe beléphet, a terület irataiba betekinthet, a terület munkatársaitól tájékoztatást kérhet adott üggyel vagy bármely adatkezelési tárgykörrel kapcsolatos adatkezelésről. A megkeresésnek az érintett terület a megjelölt határidőben – indokolt esetben a határidő leteltét követő 5 napon belül - köteles eleget tenni. Egyes célvizsgálatok esetében az adatvédelmi felelős előzetes bejelentés nélkül is végezhet vizsgálatot (pl. adatkezelési tájékoztatók megfelelőségének vizsgálata). A vizsgálatokról a belső adatvédelmi felelős vizsgálati jelentést készít. A vizsgálati jelentés tartalmazza az ellenőrzött terület, valamint annak vezetője nevét, az ellenőrzés lefolytatásának tényét, annak időpontját és időtartamát, az adott területnél vizsgált körülményeket, adatokat, megállapításokat. A vizsgálati jelentést a belső adatvédelmi felelős a Felelős Vezető, a Belső Ellenőrzési Terület, valamint az érintett terület vezetője részére e-mail útján megküldi. Amennyiben az adatvédelmi felelős jogosulatlan adatkezelést észlel, az Infotv. vonatkozó rendelkezése alapján a jelentésnek tartalmaznia kell jogosulatlan adatkezelés ismertetését, és annak megszüntetésének szükségességét, valamint a megszüntetésre vonatkozóan annak adatvédelmi jogi szempontjait.
5
A megszűntetéssel kapcsolatban megtett és esetlegesen tervezett intézkedésekről a terület vezetője a vizsgálati jelentés kézhezvételétől számított 30 napon belül tájékoztatást nyújt a Felelős Vezető, a Belső Ellenőrzési Terület és a belső adatvédelmi felelős részére. Ennek megvalósulásáról a belső adatvédelmi felelősnek az Adatvédelmi Szabályzatban előírt rendszeres beszámolójában ki kell térnie. A belső adatvédelmi felelős jogsértés megállapítása hiányában is jogosult a szervezeten belüli és kívüli általa legjobb gyakorlatnak ítélt eljárásokról az éves vagy eseti vizsgálati jelentésében vagy akár egyedi formában tájékoztatást adni és javasolni egy adott eljárás módosítását, vagy új eljárás bevezetését.
6
KONKRÉT ADATVÉDELMI FELADATOK 1) Adatvédelmi feladatokat ellátó személy munkájáért felelős vezető kinevezésre került? SZMSZ-ben nevesítették? Munkaköri leírása tartalmazza a feladatait? (lsd. AZ ADATVÉDELMI FELADATOKAT ELLÁTÓ SZEMÉLY MUNKÁJÁÉRT FELELŐS VEZETŐ elnevezésű dokumentum) 2) Belső adatvédelmi felelős kinevezésre került? Szervezetileg közvetlenül a Felelős Vezető alá tartozik? (akár SZMSZ-ben is feltüntethető) Munkaköri leírásában szerepelnek feladatai? (lsd. jelen dokumentum elejét) 3) Belső adatvédelmi felelős helyettese kijelölésre került? Munkaköri leírásában szerepelnek feladatai? (lsd. belső adatvédelmi felelős feladatai) 4) Összeférhetetlenségi szabályok alkalmazásra kerültek a kinevezésekkor? (CO pozícióval nem összeférhetetlen) 5) Informatikai, iratkezelési és titokvédelmi, biztonsági szabályzatokat átnézni, hogy tartalmaznak-e az adatvédelemre vonatkozó rendelkezéseket (az Adatvédelmi Szabályzat vonatkozik rájuk – adatbiztonsági kérdések -, de lehet, hogy azok visszautalnak az Adatvédelmi Szabályzatra és egyikben sincsenek rögzítve az eljárási szabályok). 6) Kiszervezett tevékenységek szerződéseinek felülvizsgálata (a Szabályzat szerinti kötelező tartalomnak benne kell lennie a szerződésekben az adatvédelemre vonatkozóan) 7) Új dolgozók munkába lépésének szabályai között ellenőrizni kell, hogy az Adatvédelmi Szabályzat megismerésének kötelezettsége szerepel-e. Az oktatást vizsgával kell zárni, azt megfelelően dokumentálni is szükséges. 8) Adatvédelmi oktatás: évente kell, ezért ellenőrizni szükséges, hogy 2016-ban volt-e. Lehet írásos oktatási anyagot is összeállítani, az oktatás megtörténtét minden esetben dokumentálni kell (jelenléti ív / alkalmazotti lista), a dolgozó aláírásával igazolja a szabályok megismerését, az oktatáson való részvételt (központi oktatási anyag és tesztsor került kiadásra a Takarékbank részéről) 9) Célszerű megvizsgálni az alábbi folyamatokat, hogy az adatvédelmi rendelkezések megfelelően beépítésre kerültek-e, vannak-e részletes eljárási szabályok: -
telefonbeszélgetések rögzítésének eljárásrendje, call center üzemeltetése (tájékoztató szöveg) marketing célú megkeresésekhez kapcsolódó adatkezelési tájékoztató panaszkezelésre vonatkozó adatkezelési tájékoztató kamerás megfigyelésre vonatkozó adatkezelési tájékoztató tájékoztatás a kiszervezett tevékenységet végzőkről (adatátadás) tájékoztató a hatósági megkeresésekre vonatkozóan (adattovábbítás) honlapon elhelyezett „cookie”-k alkalmazásáról adott tájékoztatás
10) Az SZH adattovábbításait felül kell vizsgálni, hogy megfelelnek-e a törvényi előírásoknak, az adattovábbítások megfelelően rögzítésre kerülnek-e az adattovábbítási nyilvántartásban 7
11) Adatvédelmi tájékoztatók felülvizsgálata (nem a KM5 melléklet, hanem a szolgáltatásokhoz kapcsolódók) 12) A kötelező nyilvántartások meglétének, vezetésének ellenőrzése (belső adatvédelmi, adattovábbítási, adatvédelmi incidensekről vezetett, elutasított kérelmekről vezetett nyilvántartások) 13) Munkavállalók személyes adatainak kezelését célszerű megvizsgálni, hogy az megfelel-e a jogszabályi, hatósági előírásoknak (pl. elektronikus beléptetés, kamerás megfigyelés, internet-használat ellenőrzésére vonatkozó tájékoztatók, előírások rendelkezésre állnak-e) 14) Jogérvényesítésre vonatkozó eljárási szabályok felülvizsgálata (tájékoztatás kérése, annak elutasítása, helyesbítés, törlés, zárolás) 15) Célellenőrzés témájának meghatározása, a vezetői ellenőrzéshez szükséges jelentési útvonal kialakítása, a vizsgálatok elvégzéséhez szükséges felmérőlapok, jelentéssablonok készítése.
8
