ELŐZMÉNYEK A villamosenergiáról szóló 2007. évi LXXXVI. törvény (a továbbiakban „Vet.”) 101. § p) pontja alapján „A hálózati engedélyes megfelelési programot dolgoz ki, amelyben bemutatja azokat az intézkedéseket és feltételeket, amelyek biztosítják a megkülönböztetés-mentes, független működést. A program megvalósításáról, a feltárt eredményekről - beleértve a hiányosságokat is a hálózati engedélyes éves megfelelési jelentést készít.”, továbbá a villamos energiáról szóló 2007. évi LXXXVI. törvény egyes rendelkezéseinek végrehajtásáról szóló 273/2007. (X. 19.) Korm. Rendelet (a továbbiakban „Vhr.”) 97. § értelmében „(1) A tevékenység-szétválasztási szabályok betartásáról és a megfelelési program végrehajtásáról az átviteli rendszerirányítási és az elosztó hálózati engedélyes éves megfelelési jelentést készít.(2) A megfelelési jelentést minden év március 1-jéig kell jóváhagyásra benyújtani a Hivatalnak. A fent leírt előírásoknak megfelelően a DÉMÁSZ Hálózati Elosztó Korlátolt Felelősségű Társaság (székhely: 6720 Szeged, Klauzál tér 1., cégjegyzékszám:06-09-010805) (a továbbiakban „Társaság”) jelen dokumentumban elkészítette a 2008. évre vonatkozó megfelelési jelentését.
1. A tevékenységek szétválasztására vonatkozó megfelelési program végrehajtásának éves tapasztalatai és értékelése a megfelelési program kötelező tartalmi elemeit követve. 1.1 Jogi szétválasztás: A Társaság az elmúlt két évben mindennapi üzleti tevékenysége során olyan működés kialakítására törekedett, amely megfelelt egyfelől a legkisebb költség Vet-ben megfogalmazott követelményének, másfelől a szervezeti és döntéshozatali szétválasztás megvalósítása révén biztosította a befolyásmentes és az egyenlő bánásmód követelményének megfelelő működést. A Társaság, - mint a megfelelési program készítésére és megvalósítására kötelezett engedélyes - annak érdekében, hogy az új működési modellhez kapcsolódó szabályok által támasztott kihívásokat teljesíteni tudja, másrészt pedig azért, hogy a Társaság megfelelési programjában rögzített feladatok megvalósítása, illetve a már megvalósított feladatok értékelése megtörténjen, a 2006-os megfelelési jelentésében Akcióterv kidolgozását vállalta. Az Akcióterv előkészítésének érdekében interjúk készültek. Az Akcióterv az interjúkon elhangzottak figyelembe vételével 2007. év őszén készült el. Az Akcióterv alapján a 2008. évben megvalósított akciók: •
Minőségbiztosítási rendszer: Akció: Tekintettel arra, hogy a minőségi elemek nagy hangsúllyal szerepelnek a hálózati elosztó által nyújtott szolgáltatások illetve a hálózati elosztó részére nyújtott támogató szolgáltatások vonatkozásában, teljesítve az elválasztásból fakadó szigorú
2
követelményeket, a minőségbiztosítási rendszer bevezetésének tényét illetve annak legfőbb tartalmi elemeit rögzítjük a megfelelési programban illetve a megfelelési jelentésben. A Társaság ISO 9001, ISO 14001 és OHSAS 18001 szabványok szerinti integrált irányítási rendszerét a Bureau Veritas Certification 2008. májusában sikeresen auditálta. A tanúsítás 2011. április 30-ig érvényes. A sikeres tanúsításról a Magyar Energia Hivatalt levélben tájékoztattuk. •
Függetlenség, összeférhetetlenség: Akció: Évente ellenőrizni szükséges, hogy a Társaság ügyvezetője nem rendelkezik a Vhr.-ben tiltott társasági részesedéssel, illetve tiltott tevékenységet nem végez. Ezek alapján elvégezzük évente annak ellenőrzését, hogy az ügyvezető a szükséges nyilatkozatot az összeférhetetlenségi és függetlenségi szabályok megvalósulásáról megtette-e. A szükséges nyilatkozatot az összeférhetetlenségi és függetlenségi szabályok megvalósulásáról a Társaság ügyvezetője megtette 2008. évre vonatkozóan. A nyilatkozat ezen megfelelési jelentés 4. számú mellékletét képezi.
•
Megfelelési program, munkavállalók részére történő átadása Akció: Mivel az interjúk során fény derült arra, hogy a megkérdezettek nincsenek teljes mértékben tisztában a megfelelési program tartalmával, ezért a megfelelési programot valamennyi érintett munkavállaló részére szükséges átadni majd oktatni. 2008. évben a Társaság minden munkavállalója megkapta a megfelelési programot.
•
Oktatás: Akció: Mivel a jogi szétválasztással érintett, nemcsak a Társaságnál foglalkoztatott munkavállalók oktatása, a követelmények folyamatos ismertetése és ismétlése rendkívüli jelentőségű a munkavállalók elkötelezettségének fenntartása és javítása érdekében, szükséges a DÉMÁSZ Csoport minden érintett vezetője és egyéb munkavállalója renszeres oktatást tartani. 2008. évre vonatkozóan az oktatások a 4. pontban leírtak alapján megtörténtek. 2009. évre vonatkozóan a Démász Zrt. és a DÉMÁSZ Zrt. egyes leányvállalatainál dolgozó munkavállalók részére a megfelelési programban foglaltakról különböző mélységben, eltérő temátikájú oktatást kívánunk tartani, melynek részleteiről a 6. pontban írunk.
3
•
Ellenőrzés: Akció: Annak érdekében, hogy az oktatásokon elhangzottak valóban eljussanak az érintett munkavállalókhoz, szükségesnek tartjuk adott időközönként egy rövid, egyszerű „vizsga” tartását, olyan jellegű kérdésekkel, melyekre a munkavállalók akár mindennapi munkájukból merítve is megtalálják a választ. Célszerűnek tartjuk a vizsga elektronikus formában történő lebonyolítását olyan formában, hogy az adott kérdés megválaszolása előtt rövid, a kérdés megválaszolásához szükséges tájékoztatót olvasnak el a tudás felfrissítése céljából. 2008. év során a DÉMÁSZ Csoport közép- és felsővezetői részére egy 10 kérdésből álló tesztet készítettünk, amelyet elektronikus úton juttattunk el az érintettek részére. A tesztet a megszólítottak ¾-e kitöltötte, átlagosan 94% pontossággal. A teszt visszaigazolta, hogy a vezetők az alapvetően tisztában vannak a megfelelési program elvárásaival. Minden válaszadó visszajelzést kapott válaszainak helyességéről, a hibás válaszok esetén a helyes megoldásokról, ill. azok magyarázatairól.
•
Kérdésfeltevés: Akció: Mivel sem 2006. év, sem 2007. év során nem volt munkavállalói kérdés a megfelelési biztos irányába, ennek megoldására hasznos eszköz, ha a munkavállalóknak lehetőséget biztosítunk arra, hogy e-mailben problémáikkal megkeressék a megfelelési biztost. 2008. év első felében létrehoztuk a
[email protected] e-mail címet, és a dolgozókat tájékoztattuk erről a lehetőségről. 2008. év során nem érkezett problémát tartalmazó levél az adott e-mail címre.
•
Ügyfélszolgálat: Akció: A Társaság a megfelelési programot és a megfelelési jelentést a Társaság honlapján és ügyfélforgalom számára nyitva álló helyiségeiben is az ügyfelek részére hozzáférhetővé kell tegye. Minden évben legalább egyszer ellenőrizni szükséges, hogy a megfelelési program és a megfelelési jelentés a Társaság valamennyi ügyfélszolgálati helyiségében hozzáférhető-e. 2008. év során tájékoztattuk az ügyfélszolgálatért felelős munkavállalókat erről a kötelezettségről és megküldtük részükre a megfelelési programot, illetve a megfelelési jelentést. Az összes ügyfélszolgálati irodában személyesen is meggyőzödtünk az átadott dokumentumok ügyfelek számára történő elérhetőségéről.
•
Arculat, megjelenés: Akció: a Társaság 2007. év során meghatározta akcióként, hogy 2008. év során önálló honlapot kíván létrehozni. Ezt kötelezettségként megfogalmazta a 793/2006. számú határozattal kiadott villamos energia elosztói működési engedély 2. számú módosítása is.
4
A Társaság 2008. június 30-i határidővel elkészette önálló honlapját, melyről részletesebben a 10. pontban írunk. •
Üzletileg érzékeny adatok kezelése Akció: Az üzletileg érzékeny adatok kezelése különös jelentőséggel bír a Vet. szerinti engedélyesi tevékenységekre vonatkozó szétválasztási szabályok megvalósítása terén. A DÉMÁSZ Csoport minden tagjára vonatkozó, az előző szempontot figyelembe vevő ügyrend elrendelése szükséges. A Társaság az Adat és titokvédelmi szabályzatában kidolgozta az üzletileg érzékeny adatok kezelésére vonatkozó szabályokat. Annak érdekében, hogy a Társaság dolgozói egyértelműen azonosítani tudják, mit kell érteni az üzletileg érzékeny adatok körén, összefoglalót készítettünk, melyet 2008. során minden dolgozó részére elektronikus úton megküldtünk.
•
Adatcsere könyvtárak Akció: Tekintettel a szétválasztásból eredő informatikai követelmények teljesítésére, azaz az adatfile-ok megosztására, bizonyos információkhoz csak megadott személyeknek van hozzáférési lehetősége. Előfordul azonban, hogy bizonyos adatokra nemcsak a Társaság, hanem a DÉMÁSZ Csoport munkavállalóinak is szüksége van feladatuk teljesítéséhez. Ennek érdekében ún. adatcsere könyvtárakat hoznak létre, melyben a megosztani szükséges információk találhatók. Rendszeres időközönként ellenőrizni szükséges, hogy az adatcsere könyvárakban milyen információk találhatóak. 2008. év folyamán a megfelelési biztos szúrópróbaszerűen ellenőrizte az adatcsere könyvtárak tartalmát, s abban egyetlen alkalommal sem talált oda nem való információt.
•
Belépési jogosultságok korlátozása a Társaság épületeibe: Akció: A Társaság épületeibe csak a Társaság dolgozói léphessenek be külön engedély nélkül. 2008. év januárjában megvalósítottuk, hogy a Társaság székhelyére csak a Társaság dolgozói léphessenek be külön engedély nélkül. A DÉMÁSZ Csoport minden egyéb munkavállalója és a DÉMÁSZ Csoporton kívüli látogatók is a portaszolgálaton megvalósuló ellenőrzés után juthatnak be az épületbe. A látogatók az épületben csak a vendégvárójukkal együtt mozoghatnak.
1.2 Üzleti folyamatok - Integrált Vállalatirányítási Rendszer: A Társaság ISO 9001, ISO 14001 és OHSAS 18001 szabványok szerinti integrált irányítási rendszerét a Bureau Veritas Certification 2008. májusában sikeresen auditálta. A tanúsítás 2011. április 30-ig érvényes. A sikeres tanúsításról a Hivatalt levélben tájékoztattuk.
5
1.3 Szakszemélyzet, tárgyi eszközök, pénzügyi feltétel: A Társaság rendelkezett a független működéshez szükséges szakszemélyzettel, tárgyi eszközökkel valamint pénzügyi feltételekkel. 1.4 Kiszervezett tevékenységek, támogató funkciók: A Társaság az engedélyében meghatározottak alapján vett igénybe engedélyköteles tevékenységei ellátásához szükséges szolgáltatásokat, ide értve: klasszikus támogató tevékenységek (pénzügy, controlling, humánpolitika, informatikai szolgáltatások, logisztika), közös szolgáltatások (call center, ügyfélszolgálat, számlázás, behajtás), hálózati eszközeinek üzemeltetése és karbantartása, építése és javítása és az elszámolás alapját képező fogyasztásmérők leolvasása. A támogató funkciók és a kiszervezett tevékenységek végzésének részletes értékelése, különös tekintettel a piaci alapú árazás kialakítására, valamint a minőségi követelmények felügyeletére a 9. pontban kerül részletesen ismertetésre. 1.5 A Társaság működése – döntéshozatali eljárások: A Társaság alapítója a DÉMÁSZ Zrt. tiszteletben tartotta a befolyásmentesség és az egyenlő bánásmód követelményét és működése során nem járt el olyan módon, illetve nem hozott olyan döntést, amely megakadályozta vagy befolyásolta az elosztói tevékenységgel kapcsolatos döntések függetlenségét. A Társaság ügyvezetőjének megbízási szerződésében foglalt jogai és kötelezettségei, valamint munkavégzésének feltételei oly módon vannak meghatározva, hogy a Társaság működését befolyásoló döntések meghozatala során az ügyvezető a befolyásmentesség és az egyenlő bánásmód követelményének megfelelően járjon el. 2008. év során nem történt olyan esemény, amely az ügyvezető visszahívására adott volna okot. Az elosztói tevékenység vezetéséért felelős személy díjazásának elemei: A Társaság ügyvezetőjének bére, illetve díjazása oly módon lett meghatározva, hogy azt az alapító, DÉMÁSZ Zrt. semmilyen esetben sem tehette a DÉMÁSZ Csoport nem elosztói tevékenységet végző szervezeti egységeinek tevékenységétől, illetve azok tevékenységének eredményességétől függővé, illetve nem határozhatta meg az alapján. 1.6 Magatartási szabályok: A DÉMÁSZ Csoport a Vet-ben előírt követelményeknek megfelelően még 2006. során átalakította Etikai Kódexét. Az Etikai Kódex tartalmának bemutatására 2006. év során került sor a DÉMÁSZ Csoport minden munkavállalója részére (5 munkanapon és 9 helyszínen). A magatartási szabályok megszegésére 2008. év során nem került sor. 1.7 Oktatási rendszer: Ld. 4. pontban leírtak. 1.8 Ügyfélkapcsolat-kezelés: A Társaság, a minél magasabb színvonalú szolgáltatás-nyújtás érdekében valamennyi ügyfelével közvetlen kapcsolatot tartott fenn saját szervezetén és a DÉMÁSZ Zrt. által nyújtott ügyfélszolgálaton keresztül is, annak érdekében, hogy a felmerülő problémákkal 6
illetve kérdésekkel kapcsolatban a Társaság ügyfelei széles körű és megalapozott tájékoztatást kapjanak. 1.9 Önálló arculat Ld. 10. pontban leírtak. 1.10 Szerződéskötési eljárás A Társaság a megfelelési programban leírtak szerint szerződéskötései során a Vet., a Vhr., a polgári törvénykönyvről szóló 1959. évi IV. törvény, valamint a Szerződéskötési Ügyrendjének rendelkezéseit alkalmazta. 1.11 Adatkezelés: A Társaság kiemelt hangsúlyt fektetett a Vet. és az adatvédelemről szóló 1992. évi LXIII. Törvény betartására 2008. évben mindennapi működése során. Részletesen az 5. pontban került kifejtésre e téma. 1.12 Ellenőrzés és felügyelet: A Társaság 2008. év során a középvezetői munkavállalók éves ellenőrzési tervébe még nem építette be a megfelelési programban foglaltak ellenőrzését, ezt 2009. évtől kezdődően kívánja megtenni. 1.13 Tájékoztatás a megfelelési programról: A megfelelési program a Társaság minden dolgozója részére Lotus Notes felületen megküldésre került, valamint a 4. pontban leírtak szerint a Társaság minden dolgozója a programmal kapcsolatos oktatáson is részt vett. A megfelelési program elektronikus formában Társaság szabályozási dokumentumai között megtalálható, azt a dolgozók bármikor elolvashatják. Megfelelési programban foglalt működés támogatása: 2008. év során sem munkavállalótól, sem ügyféltől nem érkezett panasz a megfelelési programban foglalt rendelkezések megsértésével kapcsolatban. Kapcsolt vállalkozások tájékoztatása: A Társaság a 2008. május 19-én megszervezett vezetői fórumon adott tájékoztatást a DÉMÁSZ Csoport tagjainak ügyvezetői részére a megfelelési programjának tartalmáról.
2. A jóváhagyott megfelelési programhoz képest bekövetkezett változások leírása és indoklása, különös tekintettel az üzleti folyamatokra, a szervezeti felépítésre, a hatáskörökre, információáramlási és beszámolási útvonalakra A Magyar Energia Hivatal által 2008. május 14-én jóváhagyott megfelelési programhoz képest nem történ változás Társaságunknál
7
3. Az átviteli rendszerirányítási és az elosztó hálózati engedélyes vezetésében bekövetkezett változások, és azok indoklása. Társaságunknál 2008. év folyamán az ügyvezető személyében nem történt változás. A megfelelési biztosi pozíciót betöltő személynél történt változás. Szabadkainé Vargha Zsuzsannát szülési szabadság miatt Pipicz Mihály váltotta.
4. A megfelelési program alapján végrehajtott oktatások A Társaság 2008. év során első körben a DÉMÁSZ Zrt. közép- és felsővezetőinek, a DÉMÁSZ Csoport leányvállalatainak ügyvezetői és középvezetői részére valamint a Társaság ügyvezetője és középvezetői részére 2008. május 19-én megszervezett vezetői fórumon adott tájékoztatást a Magyar Energia Hivatal által 2008. május 14-én jóváhagyott megfelelési program tartalmáról. A fórumon jelenléti ív készült. 2009. február 18-án, a Társaság egész napos Szakmai Napján került sor a megfelelési program bemutatására a Társaság minden munkavállalója részére. A tájékoztató során bemutatásra került a megfelelési programmal kapcsolatos legfontosabb kifejezések (szervezeti és döntéshozatali függetlenség, diszkrimináció-mentesség, transzparencia, objektivitás, kereskedelmileg érzékeny adatok bizalmas kezelése) és azok jelentése, a megfelelési program tartalmi felépítése, a 2008. évre felállított Akcióterv és annak teljesítése. A megfelelési program elektronikus formában Társaság szabályozási dokumentumai között megtalálható, azt a dolgozók bármikor elolvashatják. 5. A megfelelési program alapján végrehajtott informatikai és ügyvitel-szervezési változások bemutatása. 2006. év során, a jogi szétválasztás megvalósítása érdekében a következő globális elv és szempontrendszerek mentén dolgozott a DÉMÁSZ Nyrt.: • A szervezeti átalakulás előtt kezelt adatok (archív rendszerek) kivételt képeznek a kereskedelmi és elosztói tevékenység szétválasztása következményeként kezelendő adatok körétől. A pénzügyi szabályok előírásai alapján fenntartott archív rendszerekben nyilvántartott ügyfél adatok egyrészt nagyságrendekkel növelnék az átalakítás költségeit, másrészt az archív rendszerekben nyilvántartott ügyfél adatok a rendszer archívvé alakításának állapotát tükrözik. • Az ügyfél adatok jogosultság szintű szétválasztása. A jelenleg működő stratégiai alkalmazások lehetővé teszik, hogy a rendszerekben nyilvántartott ügyfél adatok hozzáférési jogosultságai több szempont rendszer szerint kategorizálva alakíthatóak legyenek, így lehetőség van szervezetenkénti megbontásban a hozzáférési jogosultságok kezelésére. Nem szükséges párhuzamosan több rendszer működtetése és fenntartása. • A felhasználói felelősségek adminisztratív szabályozásokkal. Az informatikai hozzáférési jogosultságokkal szeparált kereskedői és elosztói ügyfél adatok
8
•
•
•
kezelésen túl, szükséges a felhasználók folyamatos képzése, az adatbiztonsági elvek oktatása. Adat és információ védelem biztosítása, adminisztratív szabályozás. A Társaság a DÉMÁSZ Csoport IT irányelveinek megfelelő adat és információ kezelése, valamint strukturális szabályozása biztosítja azt, hogy a Társaság az elosztói tevékenysége során a tudomására jutott, nem nyilvános adatokat az adatvédelemre vonatkozó szabályoknak megfelelően kezelje. Egyenlő bánásmód és diszkrimináció-mentesség. A Társaság az üzleti és ügyfél adatait az egyenlő bánásmód követelményeinek megfelelően, diszkriminációmentesen és a jogszabályi rendelkezéseket betartva bocsátja a piaci szereplők rendelkezésére. A cél elérése a költség minimum elv alapján. A kereskedelmi és elosztói tevékenységek működése a jórészt azonos ügyfél adatokra épül, ezért az informatikai megoldások során fontos szempont, hogy ne az adatok duplikálásával valósuljon meg az adatok szétválasztása. Így elkerülhető a párhuzamos rendszerek fenntartása és üzemeltetése, ami magasabb költséggel valósítható meg.
2008. év folyamán a számlázási és ügyfél nyilvántartási rendszer (SAP ISU) folyamatos fejlesztésére került sor, amelyet a jogszabályok változásai és az ügyfél-kiszolgálás minőségi javítása ösztönöztek. A jogszabályi indíttatású fejlesztések közül külön kiemelendő a védendő ügyfelekkel és a szerződések újrakötésével kapcsolatos módosítások. A Társaság 2008. év során a fenti globális elv és szempontrendszert alkalmazva megfelelt a megfelelési programban leírtaknak. Adatkezelési eljárás: A Társaság 2008. év során (is) olyan adatkezelési eljárással rendelkezett, amely megfelel a jogszabályokban, valamint a villamosenergia-ellátási szabályzatokban foglalt előírásoknak; továbbá biztosítja, hogy az engedélyköteles tevékenységgel kapcsolatos információk és adatok kezelése, továbbítása, és más módon hozzáférhetővé tétele, valamint nyilvánosságra hozatala megfelel a jogszerűség és az egyenlő bánásmód követelményének. A Társaság adatkezelése kiterjed az alkalmazott technológiától függetlenül az adatokon végzett bármely műveletre vagy műveletek összességére (gyűjtés, rögzítés, rendszerezés, tárolás, módosítás, feldolgozás, továbbítás, publikálás, törlés, megsemmisítés). Adatok független kezelése A Társaság 2008. év során rendelkezett minden olyan eszközzel, berendezéssel és szaktudással, amely az elosztói tevékenységekhez kapcsolódó adatok független kezeléséhez szükséges. Az informatikai szabályok és kötelezettségek, valamint a Megfelelési Szabályzat betartását biztosító folyamatokat az alábbi dokumentumok tartalmazzák: ü Adat- és Titokvédelmi Szabályzat ü Informatikai Biztonsági Kézikönyve 9
ü Informatikai Biztonsági Szabályzat ü Informatikai rendszerekhez történő hozzáférési jogosultságok, eszközök kiosztása és igénylése című szabályzat. Vezetők és munkavállalók titoktartási kötelezettsége A Társaság minden munkavállalója, aki bármely informatikai rendszerhez jogosultságot kap, titokvédelmi nyilatkozattételre kötelezett. A nyilatkozat tartalmazza az üzleti, ügyfél és személyes adatok kezelésére vonatkozó irányelveket, kötelezettségeket valamint az informatikai rendszerek belépési és használati jelszó szabályokat. A titokvédelmi nyilatkozat megfelel a Megfelelési szabályzat elvárásainak. Jogosultság kezelés, jogosultság igénylés és jóváhagyás menete Az informatikai rendszerhez történő jogosultságszerzést minden esetben jóváhagyás előzte meg. A jogosultság nyilvántartás alapján követhető és visszakereshető a hozzáfért adatok köre. Külső partnerek hozzáférés kezelése (fejlesztés, karbantartás) A Társaság 2008. évben hatályban volt szerződései tartalmazták az adatvédelemmel kapcsolatos eljárást. Ha a szerződés teljesítéséhez ügyféladatot tartalmazó rendszerhez történő hozzáférésre volt szükség, az eljárás a jogosultság igénylési folyamat alapján történt. Ügyfelenkénti adatok elkülönítésének vizsgálata és rendszermódosítások. 2008. év során a DÉMÁSZ Zrt., DÉMÁSZ Partner Kft., DÉMÁSZ Prímavill Kft. és a Társaság között szolgáltatási megállapodások (SLA) kerültek aláírásra az adatok feldolgozásának módjáról. Adatgazdai elvárások kerültek meghatározása e megállapodásokban. A megállapodások tartalmazzák a működési feltételeket (a rendszer elérésének időtartama, biztonsági mentések, hibakezelés és elhárítás, jogosultsági hozzáférések), szolgáltatási paramétereket, a felhasználókkal és a Társaság egyes szakterületeivel történő kapcsolattartás módját, és a megállapodás időtartamát. Az alábbi, felhasználói hozzáférések szabályozásának irányelvei valósultak meg 2007. év során, amelyeket 2008. év folyamán is alkalmaztunk: •
Az információhoz és az üzleti folyamatokhoz történő hozzáférést az üzleti és biztonsági követelményeknek megfelelően szabályozottak.
•
A hozzáférési eljárás a felhasználói hozzáférés teljes életciklusára van kialakítva, az új felhasználók kezdeti regisztrációjától kezdve, a végső hozzáférés visszavonásig.
•
A felhasználókkal tudatosítva van, hogy felelősek az IT szolgáltatások biztonságos használatáért (Titokvédelmi nyilatkozat, oktatások).
•
A jelszószabályok a védelmi igényeknek megfelelően kerültek kialakításra.
•
Külön szabályozott a távolról történő munkavégzés, és a hordozható számítógépes eszközök használata.
10
2008 során alkalmazott informatikai rendszerek: Az alábbi informatikai rendszerek működtetését a DÉMÁSZ Zrt-től veszi igénybe a Társaság. SAP CORE, HR vállalat-irányítási rendszer A rendszerben a vállalatok „vállalatkódok” használatával kerültek szétválasztásra. Ezen vállalat kódok beállításai tükrözik az aktuális szervezeti - külön elosztói és kereskedelmi – struktúrát. Ezen vállalatkódok alapján az adatok teljes elkülönítése megvalósításra került, a vállalatkód – felhasználó hozzárendeléssel. SAP ISU számlázási és ügyfél nyilvántartási rendszer A DÉMÁSZ Csoporton belüli jogosultság szabályozás alkalmas volt az ügyfél adatok hozzáférési szabályainak kezelésére is. Az ISU rendszeren belől lehetőség volt „jogosultsági csoport”-ok és „jogosultsági mező”-k alkalmazásával strukturált, átlátható módon felhasználói csoportokhoz rendelni a fogyasztói adatokat, amelyek elkülönítik az elosztói és kereskedelmi adatok körét, biztosítva ezzel a Társaság adatainak elkülönülését a DÉMÁSZ Csoport kereskedelmi engedélyekkel rendelkező leányvállalatainak adataitól. Ezzel megvalósult, hogy ugyanazon adatkör ne kerüljön többszörözésre más-más feladatot támogató alkalmazásban, elkerülve annak kockázatát, hogy a különböző nyilvántartásokban ugyanazon fogyasztói adat eltérő állapota esetén nincs referencia adat (eltérő adatok esetén nem dönthető el melyik a helyes és helytelen adat). Levelezési rendszer A levelezési rendszerben már a korábbi működés során minden felhasználónak egyedi, csak számára hozzáférhető postafiókok kerültek alkalmazásra, az üzleti bizalmas adatok megbízható kezelése, valamint az adatvédelmi törvény által szabályozott dolgozói személyes adatok kezelése végett. A Társaság belső szabályozása megengedi a dolgozói magánlevelezést az informatikai biztonsági kézikönyvben szabályozott módon). Így a levelezési rendszerben, ha a felhasználók továbbítanak a Társaságon belől üzleti és ügyfél adatokat, azok csak a címzettek számára érhetők el. Hálózati fájlkezelő rendszer A hálózati fájlrendszerben a jogosultság hozzáférési struktúra követte a Társaság szervezeti hierarchiáját. Minden szinten „közös” könyvtárak kerültek létrehozásra, így egy munkavállaló a szervezeti hierarchiában a saját könyvtárához, a csoport közös könyvtárához, az osztály közös könyvárához rendelkezik jogosultsággal. A közös munkákra, projektekre létrehozott könyvárak és jogosultságok egyedi elbírálások alapján kerültek kialakításra a jogosultságok igénylése és kiosztása szabályozás alapján.
11
Fogyasztási- és mérő adatokat gyűjtő rendszer A fogyasztásra vonatkozó terhelési statisztikákat és előrejelzéseket a fogyasztási és mérő adatokat gyűjtő rendszerek kezelik. A rendszer használata saját jogosultsági rendszere kapcsán biztosította az adatok védelmét. Dokumentumkezelési rendszer A Társaság iratainak, hivatalos kimenő és beérkező dokumentumainak kezelését a Dokumentumkezelő és nyilvántartó rendszerben valósítottuk meg. A munkavállalók a rendszerben tárolt adatokhoz elkülönített jogosultság hozzáférési struktúrával szabályozott módon férhettek hozzá. Ennek megfelelően biztosított, hogy a Társaság ügyviteli iratai, dokumentumai a szervezeteken belől csak az arra illetékes munkavállalók számára volt hozzáférhető. 6. A 2009. évre tervezett intézkedések. 2009. év során Társaságunk két területen – oktatás és ellenőrzés - kíván intézkedéseket végrehajtani. Célunk, hogy a DÉMÁSZ Csoport munkavállalóinak tudása a megfelelési programban leírtakról, az abban megfogalmazott elvekről még mélyebbé, biztosabbá váljon. Intézkedéseink során alapként szolgál a 2008. év végén a DÉMÁSZ Csoport felsőés középvezetői részéről kitöltésre került teszt eredménye. 6. 1 Oktatás A 2007. év során az Akciótervünk kidolgozásában közreműködő külső tanácsadó cég bevonásával a DÉMÁSZ Csoport megfelelési program szempontjából releváns szervezeti egységeinek tréning programot kívánunk megvalósítani. Az egyes szervezeti egységeket a megfelelési programhoz „fűződő kapcsolatuk” alapján kategorizáljuk, és ennek megfelelően eltérő oktatást szervezünk részükre. 2009 tavaszán készítjük el az intézkedési tervet, mely tartalmazni fogja: •
Szegmentáció: az egyes szervezeti egységek/szervezeti egység csoportok meghatározását, amelyek részére eltérő oktatást fogunk megvalósítani.
•
Prezentációk: az egyes szervezeti egységek/szervezeti egység csoportok részére készítendő előadások
•
Időütemezés: a tréning program tervezett időütemezése
Az oktatások végrehajtása után kiértékeljük a tréning program sikerességét, és az eredmények alapján határozzuk meg a következő évekre vonatkozó intézkedési tervet. 6. 2 Ellenőrzés 2009. évben egy átfogó ellenőrzési programot hajtunk végre, mely 4 területre koncentrálódik:
12
•
Vezetői ellenőrzés: Társaságunk minden középvezetője részére kötelezővé tesszük, hogy az éves vezetői ellenőrzése keretein belül ellenőrizzen egy, a munkájával kapcsolatos, megfelelési programmal összefüggő területet.
•
IT rendszerek ellenőrzése, különös hangsúlyt helyezve az érzékeny adatok kezelésére: 2008 folyamán Társaságunk minden dolgozója elektronikus levélben kapott összefoglalót az érzékeny adatok kezelésével összefüggésben. 2009. évben ellenőrizni kívánjuk, hogy Társaságunk mindennapi működése során hogyan alkalmazzák munkavállalóink az informatikai rendszereket, az alkalmazás során mennyire érvényesülnek a megfelelési program alapelvei, illetve mennyire körültekintőek az érzékeny adatok alkalmazása során.
•
Kiszervezett tevékenységeket végző kapcsolt vállalkozások ellenőrzése: a kapcsolt vállalkozásokkal kötött szerződéseinkben leírtak alapján ellenőrizzük, mennyire tartják be a megfelelési program alapelveit a leányvállalatok.
•
Társaságunk épületeibe történő belépés: a vizsgálat a belépőkártya alkalmazásának gyakorlatát, az épületek portáján vezetett nyilvántartás megfelelőségét kívánja vizsgálni.
7. A megfelelési programtól való eltérés, és annak indoklása. A megfelelési programtól nem történt eltérés Társaságunknál. 8. A tevékenységek szétválasztásához kapcsolódó vitás vagy peres ügyek bemutatása, különösen a hálózathoz való hozzáférés, és az információkezelés vitás esetei. 2008. év folyamán a Társaságnak nem volt olyan vitás vagy peres ügye, amely a tevékenységek szétválasztására vezethető vissza. 9. A támogató funkciók és a kiszervezett tevékenységek végzésének részletes értékelése, különös tekintettel a piaci alapú árazás kialakítására, valamint a minőségi követelmények felügyeletére. 9.1. Támogató funkciók: A támogató szolgáltatásokat a DÉMÁSZ Csoporton belül a leányvállalatok, így a Társaság részére is a DÉMÁSZ Zrt. nyújtja, tekintettel arra, hogy ezen szolgáltatások megtöbbszörözése jelentősen növelné a költségeket, anélkül, hogy megfelelő többletelőnyt biztosítana. 2008. év során Társaságunk a támogató szolgáltatásokat a DÉMÁSZ Zrt.-vel kötött szerződésben foglaltak szerint vette igénybe, a szolgáltatás nyújtó részéről a szerződésben leírt kötelezettségek be nem tartására nem került sor, a szerződésben leírt minőségi követelmények teljesültek, mely a Társaságra meghatározott minőségi mutatók kedvező alakulásában is visszatükröződik. A támogató szolgáltatások árképzéséről a DÉMÁSZ Csoporton belül a 366. számú vezérigazgatói utasítás rendelkezik. Minden évben a könyvvizsgálat során az utasításra épülő 13
leányvállalatokkal kötött támogató szolgáltatások szerződései, így a Társaságra vonatkozó szerződések is átadásra kerülnek a könyvvizsgáló részére. A 2008. évre vonatkozó könyvvizsgálat során a könyvvizsgáló ellenőrizte az utasításban leírt rendelkezések érvényesülését Társaságunk szerződéseiben. Eltérést nem állapított meg. 9.2. Kiszervezett tevékenységek: A Társaság 2008. év során is biztosította, hogy a kiszervezett tevékenységek végzése a Vet. és a végrehajtására kiadott jogszabályok, az alkalmazandó egyéb jogszabályok, a villamosenergia-ellátási szabályzatok, az elosztói működési engedély, a Társaság Belső Kiválasztási Szabályzata, a Társaság elosztói üzletszabályzata és a MEH Társaságra vonatkozó határozatai rendelkezéseivel összhangban történjen. Tekintettel arra, hogy a Társaság az engedélyköteles tevékenység egyes elemeit végző más személy tevékenységéért úgy felel, mintha azt maga végezte volna, ezért a Társaság Megfelelési Programjának rendelkezései a kiszervezett tevékenységet végzőkre, valamint azok munkavállalóira is megfelelően irányadók. A fentiek érvényesülését az 1.1 pontban (Az Akcióterv alapján a 2008. évben megvalósított akciók) valamint a 4. pontban (A megfelelési program alapján végrehajtott oktatások) részletezzük. A Társaság a kiszervezett tevékenységre vonatkozó jogviszony tekintetében a következő feltételeket érvényesítette: •
A létrejött jogviszonyt a szolgáltatást nyújtó és a megrendelő társaság között írásbeli szerződésben szabályozta. • A szolgáltatást nyújtó társaság tevékenységi körében az illetékes cégbíróság által bejegyezve szerepel a cég által a létrejött jogviszony keretében végzendő tevékenység. • A szolgáltatást nyújtó társaság a szerződésben szereplő kiszervezett tevékenységet legalább ugyanolyan minőségi színvonalon volt köteles végezni, mint ami a Társaságra vonatkozik. Ennek biztosítására az írásbeli szerződésben külön rész rendelkezik a szolgáltatások minőségi színvonalára, valamint azok be nem tartása esetén a szankciók alkalmazására. • A szolgáltatást nyújtó társaság a Megfelelési Programban foglalt adatkezelési szabályokat és eljárásokat volt köteles alkalmazni. • A kiválasztás mechanizmusa összhangban állt a vonatkozó jogszabályokkal és a Társaság Belső Kiválasztási Szabályzatával. Ennek megfelelően 2008. év során Társaságunk eleget tett a 794/2006 MEH határozatban előírt pályáztatási kötelezettségeinek, mely során a kiemelt prioritást élvezett a minőség és az ár. A pályáztatás során kialakult versenyárak visszaigazolták a korábban alkalmazott szerződéses árak piaci alapú képzésének helyességét. A Társaság szolgáltatás-minőségi mutatóinak folyamatos javulása jól tükrözik a minőségi követelmények hatékony felügyeletét.
14
15