AZ MVM CSOPORT ADATVÉDELMI PROGRAMJA
1. Az MVM Csoport személyes adatkezelési és adatvédelmi irányítási struktúrája
Az MVM Csoport személyes adatok kezelésére és adatvédelmére vonatkozó központi irányelve (KIE-16) című központi irányelv határozza meg az MVM Csoport rendelkezéseit a személyes adatok kezelésével kapcsolatban, hogy ezáltal teljesítse a vonatkozó jogszabályi követelményeket. Ez a belső szabályozás meghatározza azokat a technikai és szervezési intézkedéseket és elvárásokat, amelyeket a csoporthoz tartozó vállalatoknak meg kell tenniük az érintettek jogainak védelme érdekében. Az adatkezelési tevékenységekre vonatkozó tagvállalati belső szabályozásokat ezen irányelvvel összhangban kell értelmezni és alkalmazni. A kettő közötti ellentmondás esetén az adatvédelmi kérdésekben ez a központi irányelv szabályozás az irányadó.
Az irányelv gyakorlati alkalmazásához szükséges módszertani információkat és modelleket az MVM Csoport Személyes Adatkezelési és Adatvédelmi Kézikönyve tartalmazza. Ez a kézikönyv minden csoporttag leányvállalat és minden munkavállaló számára elérhető az MVM Csoport Minőségirányítási és Szabályozási Dokumentumtárának központi könyvtárában.
A vállalat adatvédelmi működésének megfelelő működését és a napi adatvédelmi feladatok ellátását három szintű alkalmazotti hálózatnak kell biztosítania:
• adatvédelmi tisztviselők (csoportszintű közös adatvédelmi tisztviselők)
• társasági adatvédelmi felelősök
• szakterületi adatvédelmi megbízottak.
2. Adatvédelmi riportolás a vállalatvezetés részére
A csoportszintű közös adatvédelmi tisztviselők félévente összefoglaló jelentést készítenek az MVM Zrt. Igazgatósága számára, hogy a vezetőség szükség esetén reagálni tudjon. Ez a jelentés részletes, csoportszintű információkat nyújt az adatvédelmi incidensekről, a felmerülő kockázatokról és az esetleges hatósági eljárások állapotáról. Ezenkívül az adott tagvállalathoz kijelölt adatvédelmi tisztviselő negyedévente összefoglaló jelentést készít a társaság adatvédelmi feladatairól a társaság vezérigazgatója számára.
3. Adatvédelmi kockázatértékelések, felülvizsgálatok
Az MVM Csoport elkötelezett a GDPR-megfelelőség iránt az MVM Csoport egészében, és rendszeres belső ellenőrzést végez a különböző üzleti folyamatok adatvédelmi tevékenységeivel kapcsolatban. Az adatvédelmi hatásvizsgálat (DPIA) elkészítése kötelező elem a magas kockázatú adatvédelmi tevékenységek esetében. Az MVM Csoport Adatvédelmi Kézikönyvének XVI. fejezete részletes módszertani sablont tartalmaz a hatásvizsgálat elvégzéséhez a Francia Adatvédelmi Hatóság (CNIL) mintájára. Az adatvédelmi hatásvizsgálatot az adatkezelés megkezdése előtt kell elvégezni. Ez összhangban van a beépített és alapértelmezett adatvédelem elvével. Az adatvédelmi hatásvizsgálatokat az adatkezeléssel kapcsolatos döntések meghozatalát segítő eszközként kell tekinteniük a tagvállalatoknak.
Azonban nem elegendő az adatkezelési hatásvizsgálatot csak egyszer, az adatkezelés megkezdése előtt elvégezni, hanem azt folyamatosan, az adatkezelés folyamatos nyomon követésével kell elvégezni, különösen akkor, ha az adatkezelési művelet vagy annak kockázata gyakran változik; ezért az adatkezelés teljes időtartama alatti folyamatosnak kell tekinteni.
4. Adatvédelmi incidenskezeléssel kapcsolatos általános szabályok
Minden adatkezelő tagvállalat kötelessége megelőzni az adatbiztonság garantálása érdekében hozott technikai és szervezési intézkedések ellenére bekövetkező adatvédelmi incidenseket, a lehető legrövidebb időn belül minimalizálni az adatvédelmi incidensek kockázatait, valamint az ilyen incidensek következtében felmerülő károk kockázatát.
Adatvédelmi incidensek esetén releváns és megfelelő eljárásokat kell alkalmazni. A bekövetkezett és nem elhanyagolható kockázatú incidenseket a tagvállalat adatvédelmi tisztviselője vagy a társaság adatvédelmi felelőse jelenti a hatóság űrlapjának megfelelően. Az adatvédelmi incidensek kezelési módszertanát – a központi információbiztonsági szabályozással összhangban – a Kézikönyv VIII. fejezete, míg az adatvédelmi incidensek kockázatértékelésének módszertanát és az incidensek bejelentéséhez szükséges elérhetőségeket az MVM Csoport Adatvédelmi Kézikönyvének XV. fejezete tartalmazza.
Az adatvédelmi incidensek kezelésére vonatkozó részletes eljárásokat az MVM Csoport adatvédelmi incidensek kezelésére vonatkozó központi eljárási szabályzata (KER-16-01) szerint kell lefolytatni.
Az Adatkezelő bármely alkalmazottja köteles a személyes adatok kezelésével kapcsolatban tudomására jutott, intézkedést igénylő rendkívüli eseményre – feltételezett adatvédelmi incidensre – utaló információkat haladéktalanul továbbítani felettesének és a biztonsági diszpécser szolgálatnak, valamint tájékoztatni a társaság adatvédelmi felelősét és az adatkezelő társasághoz kijelölt adatvédelmi tisztviselőt. Az MVM Csoporton belüli adatfeldolgozó bármely alkalmazottja köteles a személyes adatok kezelésével kapcsolatos rendkívüli, intézkedést igénylő eseménnyel kapcsolatos adatkezeléssel kapcsolatban tudomására jutott információkat haladéktalanul továbbítani az adatkezelőnek, a társaság adatvédelmi felelősének egyidejű értesítésével. Az adatvédelmi tisztviselő és a társasági adatvédelmi felelős az incidens kezeléséért felelős, együttműködve a vállalat illetékes vezetőjével, a szakterületi adatvédelmi megbízottal és a vállalat illetékes alkalmazottjaival, akik ismerik az incidens körülményeit.
Kockázatértékelést kell végezni minden olyan esetben, amikor adatvédelmi incidens történik bármely tagvállalatnál – a kockázatértékelési útmutatót az MVM Csoport Adatvédelmi Kézikönyvének XV. fejezete tartalmazza. Az adatkezelő tagvállalat vezérigazgatójának haladéktalanul döntenie kell arról, hogy kötelező-e a szabályozó hatóságnak történő bejelentés, vagy az érintettek értesítése, figyelembe véve az eset minden körülményét, valamint az illetékes adatvédelmi tisztviselő és a társaság adatvédelmi felelősének véleményét.
Minden adatvédelmi incidens esetén meg kell határozni az adatvédelmi incidensre adott válaszintézkedéseket az adatbiztonságról szóló központi irányelv követelményeivel összhangban, annak érdekében, hogy az adatfeldolgozó eszközök megfeleljenek a jogi kötelezettségeknek.
5. Adatvédelmi tudatosság-növelése és fenntartása
Az újonnan belépő munkavállalóknak kötelező jelleggel részt kell venniük adatvédelmi oktatáson.
Az adatvédelmi tudatosság növelése érdekében évente adatvédelmi tudatosság fenntartását célzó képzéseket kell tartani. Az adatvédelmi oktatási anyagok szakmai tartalmának előkészítéséről a csoportszintű közös adatvédelmi tisztviselők gondoskodnak. Az oktatások megtartásáért a társaságnál az oktatások témafelelős szervezeti egysége, vagy ilyen szervezeti egység hiányában a HR szakterület felelős a csoportszintű közös adatvédelmi tisztviselők által kiadott központi oktatási tananyag alapján (e-learning szervezésével, vagy szóbeli oktatás esetén az adatvédelmi tisztviselő bevonásával).