Az adatvédelmi tisztviselő (DPO – Data Protection Officer) kiválasztása során sok cég felteszi a kérdést: vajon mit kapunk a pénzünkért? Az ár nyilvánvalóan fontos tényező, de önmagában nem mutatja meg, hogy egy szolgáltatás valóban értéket is teremt-e. Ahhoz, hogy a DPO-szolgáltatás értékét mérni tudjuk, több szempontot is figyelembe kell venni. Jogszabályi megfelelés biztosítása A DPO egyik elsődleges feladata, hogy segítse a szervezetet a GDPR és más adatvédelmi szabályok betartásában. A valódi érték itt nem feltétlenül azonnal látható, viszont egy adatvédelmi incidens vagy hatósági vizsgálat során már nagyon is mérhető lesz. Mérőszempontok: Van-e naprakész adatkezelési nyilvántartás? Végzett-e a DPO adatvédelmi auditot? Frissülnek-e rendszeresen a szabályzatok? Volt-e hatósági bírság? Ha igen, megelőzhető lett volna? Kockázatcsökkentés Egy jó DPO-szolgáltatás segít az adatkezelési kockázatok felismerésében és csökkentésében. Ez nemcsak a bírságokat segít elkerülni, hanem az üzleti hírnév védelmét is szolgálja. Mérőszempontok: Azonosított-e a DPO korábban nem feltárt kockázatokat? Volt-e javaslata adatvédelmi szempontból biztonságosabb folyamatokra? Rendszeresen végez-e DPIA-t (adatvédelmi hatásvizsgálatot), ahol szükséges? Reakcióidő és elérhetőség Egy hatékony DPO nemcsak tanácsot ad, hanem gyorsan és megbízhatóan reagál. Egy adatvédelmi incidensnél a válaszidő kritikus. Mérőszempontok: Mennyi időn belül válaszol a megkeresésekre? Kapott-e a cég érthető, gyakorlatias tanácsokat sürgős helyzetekben? Részt vesz-e az incidensek kivizsgálásában és jelentésében? Üzleti szemlélet és együttműködés A DPO nem csak jogi szakértő. Akkor a leghasznosabb, ha érti a cég működését, és képes az adatvédelmi szempontokat a gyakorlatba átültetni. Mérőszempontok: Segíti-e a belső folyamatok adatvédelmi optimalizálását? Rendszeresen egyeztet-e az IT, HR, marketing vagy más érintett területekkel? Érthetően kommunikál-e, vagy csak jogi nyelven? Képzések és tudatosságnövelés Az adatvédelem nem csak a DPO dolga. A dolgozók tudatossága is kulcskérdés. Egy értékes szolgáltatás része a belső képzés is. Mérőszempontok: Tartott-e a DPO adatvédelmi képzést a munkatársaknak? Kapnak-e a dolgozók gyakorlati útmutatót a napi munkához? Nőtt-e a szervezeten belül az adatvédelmi érettség? Egy DPO-szolgáltatás értéke nemcsak havidíjban mérhető, hanem abban is, hogy mennyire segíti elő a szervezet biztonságos és szabályos működését. A jó DPO nem láthatatlan háttérember, hanem aktív partner a cég adatvédelmi kultúrájának kialakításában. Ha ezek alapján úgy érzi, hogy a jelenlegi DPO nem hozza ezt a szintet, érdemes lehet újragondolni az együttműködést, vagy akár új ajánlatot kérni egy tapasztaltabb szolgáltatótól.
Az Omnibus javaslatcsomag: Mit jelent és milyen változásokat hoz?
Az Európai Bizottság nemrégiben bevezetett egy új szabályozási csomagot, amelyet Omnibus néven ismerhetünk. De mit is jelent ez pontosan és milyen formában érinti a vállalkozásokat? Ebben a blogbejegyzésben bemutatjuk az Omnibus-csomag lényegét és hatásait. Mi az az Omnibus javaslatcsomag? Az Omnibus egy olyan szabályozási csomag, melynek célja a fenntarthatósági jelentéstételi kötelezettségek egyszerűsítése és csökkentése. Az Európai Bizottság ezzel a lépéssel szeretné mérsékelni az európai vállalatokra nehezedő adminisztratív terheket, miközben javítja azok versenyképességét. Az Omnibus tehát egyfajta könnyítés a vállalatok számára, hogy kevesebb időt és erőforrást kelljen a jelentéstételre fordítaniuk. Milyen változásokat hoz az Omnibus? Jelentéstételi határidők kitolása: Az egyik legfontosabb változás, hogy a fenntarthatósági jelentéstételi kötelezettségek kezdete két évvel kitolódik. Ez azt jelenti, hogy a vállalatoknak több idejük lesz felkészülni a jelentéstételre és jobban meg tudják tervezni a szükséges lépéseket. Érintett vállalatok körének csökkentése: Az új szabályozás szerint kevesebb vállalat lesz köteles fenntarthatósági jelentést készíteni. Az érintett vállalatok mérethatárai emelkednek, így csak a nagyobb vállalatoknak kell majd jelentést készíteniük. Ez jelentős könnyítést jelent a kisebb vállalkozások számára. Adatpontok csökkentése: Az Omnibus csökkenti a jelentéstételhez szükséges adatpontok számát is. Ez azt jelenti, hogy a vállalatoknak kevesebb adatot kell gyűjteniük és jelenteniük, ami egyszerűsíti a jelentési folyamatot és csökkenti az adminisztratív terheket. Az ESG képzések jelentősége A jelenlegi bizonytalan jogi környezetben különösen fontos, hogy a vállalatok nagyobb figyelmet fordítsanak a képzésekre. A folyamatosan változó szabályozások és jogi előírások miatt elengedhetetlen, hogy naprakész ismeretekkel rendelkezzünk. A képzések segíthetnek abban, hogy jobban megértsük az új szabályozásokat és felkészültebbek legyünk a változások kezelésére. Az Omnibus-csomag egy fontos lépés a fenntarthatósági jelentéstétel egyszerűsítése felé, amely hosszú távon pozitív hatást gyakorolhat az érintett vállalatokra. Reméljük, hogy ez a blogbejegyzés segített megérteni az Omnibus lényegét és hatásait. Ha bármilyen kérdésed van, ne habozz feltenni!
Miért fontos a megfelelő ajánlatkérés egy DPO szolgáltatónál?
Sok kisebb és közepes vállalat nem rendelkezik elegendő erőforrással ahhoz, hogy belső adatvédelmi tisztviselőt alkalmazzon. Ilyenkor külső DPO szolgáltatás igénybevételére van szükség. A megfelelő ajánlatkérés azért fontos, mert segít megtalálni azt a szolgáltatót, aki a legjobban illeszkedik a vállalat igényeihez. De hogyan kérjünk megfelelő ajánlatot? Az ajánlatkérés előtt fontos tisztázni, hogy a DPO szolgáltatónak pontosan milyen feladatokat kell ellátnia. Például szükség lehet egy teljeskörű GDPR megfelelőségi auditra, adatvédelmi hatásvizsgálatra (DPIA), folyamatos jogi tanácsadásra vagy akár adatvédelmi megfeleltetési program kidolgozására is. Minél pontosabban határozzuk meg az elvárásokat, annál pontosabb ajánlatot kapunk, így elkerülhetjük a későbbi félreértéseket. Amikor ajánlatot kérünk ügyeljünk arra, hogy az tartalmazza az általunk elvárt szolgáltatások teljes listáját, valamint az árakat. Ne csak a végső árat kérjük, hanem részletes tájékoztatást is kérjünk arról, hogy mely szolgáltatásokért milyen költség kerül felszámításra. Például, ha a szolgáltatás havidíj ellenében történik érdemes tisztázni, hogy az ár tartalmazza-e az összes várható tevékenységet vagy esetleg további költségek is felmerülhetnek. Egy jó DPO szolgáltató szakértői csapattal, széleskörű referenciával és tapasztalattal rendelkezik, amit alátámasztanak a sikeres együttműködések. Érdemes érdeklődni más cégek tapasztalatairól és arról, hogy a szolgáltató hogyan segítette őket a GDPR megfelelés elérésében. Mivel minden vállalat más, érdemes olyan DPO szolgáltatót választani, aki képes a vállalat specifikus igényeihez igazítani a szolgáltatásokat. A testre szabott ajánlatok lehetővé teszik, hogy a vállalat pontosan azt kapja, amire szüksége van, nem pedig egy standard csomagot, amely nem biztos, hogy minden szükséges feladatot lefed. Bár sok esetben a DPO szolgáltatást egy éves szerződés keretében veszik igénybe fontos, hogy a szerződés részletesen tartalmazza a szolgáltatásokat, kötelezettségeket és a fizetési feltételeket. A szerződésnek világosan rögzítenie kell, hogy milyen időtartamra szól a szolgáltatás és mik azok a pontos határidők, amelyek betartása feltétlenül szükséges. Segítségképpen összefoglaltuk azokat a szempontokat, melyeknek egy ajánlatkérésben mindenképpen szerepelniük kell. Az alábbi kérdéseket érdemes átgondolni és megválaszolni mielőtt ajánlatot kérünk. Milyen időtartamra kívánunk szerződést kötni? Ha cégcsoportként működünk, minden cégre külön-külön kívánunk szerződést kötni vagy egy kijelölt cég vállalja a költségeket? Elvárunk-e a DPO-tól személyes jelenlétet? Ha igen, milyen rendszerességgel és időtartamban? Elvárunk-e a DPO-tól dokumentumkészítési tevékenységet? Ezt az állandó szerződés keretében kívánjuk elláttatni vagy külön, projekt jellegű szerződést szeretnénk kötni erre a feladatra? Tisztában vagyunk-e vállalatunk adatvédelmi felkészültségével? Ezt a kérdéskört megvizsgálva szükséges-e egy adatvédelmi felülvizsgálatot lefolytatnunk külső szakértő bevonásával? Szükségünk lesz-e az adatkezeléssel és adatvédelmi gyakorlatunk alakításával kapcsolatos egyedi állásfoglalásokra?
Hogyan védd meg személyes adataidat az online világban?
A széleskörű internethasználat számos területen pozitív hatással volt az életünkre, azonban ezzel párhuzamosan a magánszféránk jelentősen szűkült. Az online térben a személyes adatok védelme a legfontosabb kihívás. A weboldalak böngészése és használata során minden lépésünk digitális nyomot hagy maga után. Ezáltal fennáll annak a veszélye, hogy adataink illetéktelen kezekbe kerülnek. Ha szeretnél tenni ez ellen, fogadd meg az alábbi tanácsainkat: 1. Használj erős jelszavakat! Az első lépés az online biztonság felé az erős jelszavak használata. Keverd a karaktereket: használj nagy- és kisbetűket, számokat, speciális karaktereket. A jelszavad legyen legalább 12 karakter hosszú, hogy nehezebb legyen feltörni. Kerüld a személyes adataid, mint például nevek, születésnapok vagy címek használatát, mert ezek könnyen kitalálhatók. 2. Készíts biztonsági mentést! A biztonsági másolatok készítése a személyes adataid megóvásának egyik legalapvetőbb módja, mégis sokan megfeledkeznek róla. Pedig a segítségükkel gondoskodhatsz arról, hogy adataid akkor is biztonságban legyenek, ha valamelyik készüléked elveszne, megsérülne vagy esetleg ellopnák. A biztonsági másolatok tárolására a legegyszerűbb megoldás egy külső merevlemez használata. 3. Alkalmazd a kétlépcsős azonosítást! A kétfaktoros hitelesítés egy extra biztonsági réteg, amely megköveteli, hogy egy második eszközön (például mobiltelefonon) is megerősítsd a bejelentkezést. Aktiváld ezt a funkciót, hogy még nehezebb legyen illetékteleneknek hozzáférni a fiókjaidhoz. 4. Gondoskodj a vezeték nélküli kapcsolatod biztonságáról! A legtöbb ember otthoni WIFI-hálózata sokszor túlnyúlik a lakás határain, ezért könnyű célpontot jelent a hackerek számára. Használj erős jelszót az otthoni WIFI-hálózatodhoz és lehetőleg kerüld a nyilvános WIFI-hálózatokat! Ha mégis rácsatlakoznál egy ilyen hálózatra, akkor csak „https://”-sel kezdődő weboldalakat nyiss meg, mivel ezek biztonságosabb kapcsolatot tesznek lehetővé, mint a http:// kezdetűek. 5. Telepíts vírusirtót a személyes adatok védelméért! Telepíts egy jó minőségű vírusirtót, amely segít megvédeni az eszközeidet a kártékony szoftverektől. Emellett győződj meg róla, hogy az operációs rendszered és az alkalmazásaid naprakészek, hogy elkerüld a biztonsági réseket. 6. Légy óvatos az e-mailekkel! Te is kaptál már ismeretlen feladótól, kétesnek tűnő e-mailt, amely helyesírási hibákat, furcsa megfogalmazásokat és ragokat tartalmaz? Sok hacker átveréssel próbálja meg elérni, hogy a fogyasztók e-mailben adják meg a személyes adataikat. Ha egy e-mail gyanúsnak tűnik, ne kattints a benne található linkekre és ne add meg személyes adataidat. Ellenőrizd a feladót, ha egy ismerősödtől érkezik gyanús üzenet, vedd fel vele a kapcsolatot más módon (például telefonon), hogy megerősítsd az üzenet valódiságát. 7. Ne ess túlzásba a közösségi oldalak használatával! Ellenőrizd a közösségi média beállításaidat, hogy csak azok láthassák a posztjaidat, akiket te engedélyeztél. Korlátozd a személyes információk megosztását, semmiképpen ne ossz meg olyan adatokat, mint például a lakóhelyed vagy a születésnapod. 8. Vigyázz az online vásárlások során! Mindig ellenőrizd az online áruházak megbízhatóságát és használj biztonságos fizetési módokat. A bankkártya helyett inkább válassz virtuális fizetési szolgáltatásokat. Figyelj az internetes oldalak URL-jére, győződj meg a weboldalak hitelességéről és az SSL tanúsítvány meglétéről.
Hogyan védheti meg vállalkozását az adatvédelmi incidensektől?
Az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy hozzáférését eredményezi. Ez magában foglalhat olyan hétköznapi eseteket is, mint például egy személyes adatokat tartalmazó laptop elvesztése, egy spam e-mail miatti vírustámadás, egy adatbázis véletlen törlése, vagy akár egy rossz címzettnek küldött e-mail. Az adatvédelmi incidens miatt sérülhet a titoktartási kötelezettség, komoly vagyoni és nem vagyoni károkat okozva az ügyfeleknek és a cégeknek egyaránt. Amennyiben Ön olyan vállalat tulajdonosa, amely személyes adatokat tárol, mindenképp fektessen kiemelt hangsúlyt a GDPR megfelelőség kialakítására és fenntartására. Az adatvédelmi incidensek megelőzése és kezelése érdekében a vállalkozások számos lépést tehetnek. A rendszeres kockázatértékelések elvégzése hozzájárul ahhoz, hogy azonosítsák a potenciális sebezhetőségeket és fenyegetéseket. Ajánlott az erős biztonsági protokollok kialakítása, beleértve a jelszavak kezelését és a hozzáférés-vezérlést. A naprakész és integrált vírusvédelmi szoftverek, tűzfalak, valamint behatolás-észlelő és- megelőző rendszerek használata hozzájárul a technikai védelemhez. Az adatvédelmi incidensek kezelésére egyértelmű eljárásokat kell kidolgozni, beleértve a következmények elhárítását, a nyilvántartásba vételt, a hatósági bejelentést és az érintettek tájékoztatását. A fizikai biztonság biztosítása rendkívül fontos, például zárt helyiségek, biztonsági kamerák és beléptető rendszerek használatával. Az adatvesztés kockázatának minimalizálására rendszeres adatmentés és hatékony adat-helyreállítási tervek készítése szükséges. A dolgozók folyamatos tájékoztatása és képzése az adatvédelmi előírásokról, jó gyakorlatokról, valamint a legújabb fenyegetésekről hozzájárul az adatvédelmi incidensek minimalizálásához. Az adatvédelmi jogszabályok és a vállalat saját szabályzatainak szigorú betartása elengedhetetlen feltétel. Ezek a lépések segíthetnek a vállalkozásoknak abban, hogy csökkentsék az adatvédelmi incidensek kockázatát és azok negatív hatásait. Fontos, hogy a vállalkozások proaktívan kezeljék az adatvédelmet és folyamatosan frissítsék biztonsági intézkedéseiket a technológiai fejlődéssel, valamint a fenyegetések változásaival összhangban. Amennyiben szeretne többet megtudni a GDPR rendeletről, a kiberbiztonsági kihívásokról és az azoknak való megfelelésről, kérje szakértői segítségünket!
NIS 2.0: Az EU kiberpajzsa a jövő számára
A NIS 2.0, vagyis a módosított kiberbiztonsági irányelv, az Európai Unióban egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szól. Az új irányelv a 2016-os NIS irányelvet váltotta fel és 2023 januárjában lépett hatályba. A NIS 2.0 célja, hogy a különböző ágazatokban működő szervezetek magasabb szintű kiberbiztonságot érjenek el a szolgáltatásnyújtáshoz és tevékenységük végzéséhez használt hálózatok és rendszerek tekintetében. Az irányelv a korábbihoz képest több szektorra terjeszti ki a szabályozás hatályát és szigorúbb követelményeket állapít meg a kiberbiztonsági intézkedésekkel kapcsolatban. NIS 2.0 irányelv további részletei a következők: Szélesebb hatály: A NIS 2.0 kiterjeszti az előző irányelv hatályát több szektorra vonatkozóan, beleértve a közszolgáltatásokat, az energiaipart, közlekedés- és pénzügyi szektort, valamint a technológiai rendszereket. Kötelező jelentéstétel: Az irányelv előírja, hogy a kritikus infrastruktúrával rendelkező szervezeteknek jelenteniük kell a biztonsági incidenseket a nemzeti hatóságok felé. Biztonsági követelmények: A NIS 2.0 meghatározza a minimális biztonsági követelményeket, amelyeket a szervezeteknek be kell tartaniuk, hogy megvédjék magukat a kiberfenyegetésektől. Nemzeti hatóságok szerepe: Az irányelv erősíti a nemzeti hatóságok szerepét a kiberbiztonsági előírások végrehajtásában és felügyeletében. Bírságok és szankciók: A NIS 2.0 lehetővé teszi a tagállamok számára, hogy szankciókat és bírságokat szabjanak ki azokra a szervezetekre, amelyek nem felelnek meg az irányelv követelményeinek. A NIS 2.0 célja, hogy növelje az EU kiberbiztonsági szintjét és erősítse a tagállamok közötti együttműködést a kiberfenyegetésekkel szemben. Ezáltal hozzájárul az információs rendszerek és hálózatok ellenálló képességének javításához, valamint segít megvédeni az európai polgárok és vállalatok adatait. Amennyiben további információra van szüksége a NIS 2.0 kiberbiztonsági irányelvvel kapcsolatban, lépjen velünk kapcsolatba elérhetőségeink egyikén! Szívesen állunk rendelkezésére minden felmerülő kérdés esetén.
Referenciáink
Céges partnereink Rack Autó Kft. NRG Car Kft. Útnet Kft. eGov Tanácsadó Kft. DX Digital Transformation Solutions Zrt. N&M Constructor Kft. Vörösvár Kft. – CBA cégcsoport Geo World – Tech Kft. Caola Zrt. Sentimento Kft. Medi-Radiopharma Kft. Éder STT International Kft. ZANIX Hungary Kft. Responsum Kft. Czégel Légtechnikai Kft. KASIB Mérnökiroda Kft. Ulyssys Kft. QLM Logistics Solutions Kft. Újvilág Nonprofit Kft. Z.É. Műhely Kft. RedFlag Technologies Kft. Argento Kft. Vector Kft. RH Fleet Kft. Mátrix Oktatási Kft. Creascola Nyolcosztályos Gimnázium Köztestületek Budapesti Kereskedelmiés Iparkamara Pest Vármegyei és Érdi Kereskedelmi és Iparkamara Közszférában működő partnereink Budafok-Tétény Budapest XXII. kerületi Polgármesteri Hivatal Szigetszentmiklósi Polgármesteri Hivatal Paks Város Önkormányzata Biatorbágyi Polgármesteri Hivatal Nádudvar Város Önkormányzata Törökbálint Város Önkormányzata Fót Város Önkormányzata Mányi Polgármesteri Hivatal Nagykovácsi Nagyközség Önkormányzata Felsőpakony Nagyközség Önkormányzata Alsónémedi Nagyközség Önkormányzata Pátyi Polgármesteri Hivatal Létavértes Város Önkormányzata Pilisszentiván Község Polgármesteri Hivatala Nyíradonyi Vagyonkezelő Kft. BTVR Budafok-Tétényért Városfejlesztő és Rehabilitációs Kft. Mezőföldvíz Kft. Telki KözségÖnkormányzata Ilki Közös Önkormányzati Hivatal Budakeszi Város Német Önkormányzata Velencei Polgármesteri Hivatal Egyesületek, Alapítványok: Pest Vármegyei Vállalkozásfejlesztési Alapítvány Unokáink Országáért Alapítvány Maglódi Torna Club Egyesület Balambér Világa Alapítvány További partnereink:
Zöld jövő, erős közösség, felelős vezetés: Az ESG útmutatója
Az ESG (Environmental, Social, Governance) egy keretrendszer, amely a vállalatok és szervezetek teljesítményének értékelésére szolgál környezeti, társadalmi, valamint vállalatirányítási szempontból. Az ESG szempontok egyre fontosabbá válnak a vállalati döntéshozatalban, mivel a befektetők, ügyfelek és a szabályozó hatóságok egyaránt nagyobb figyelmet fordítanak a fenntarthatóságra és a társadalmi felelősségvállalásra. Környezeti (Environmental) szempontok közé tartoznak az üvegházhatású gázok kibocsátása, az energia- és vízfelhasználás, a hulladékgazdálkodás és a biodiverzitás védelme. Társadalmi (Social) szempontok alatt a munkavállalók jogai és jóléte, a sokszínűség és befogadás, valamint az emberi jogok tiszteletben tartása értendő. Vállalatirányítási (Governance) szempontok a vállalat vezetésének átláthatóságát, az etikus üzleti gyakorlatokat és a korrupcióellenes intézkedéseket foglalják magukban. Az ESG jelentéstétel egyre inkább előtérbe kerül, mivel a vállalatoknak nem csak pénzügyi teljesítményükről, hanem társadalmi és környezeti hatásaikról is be kell számolniuk. Ez segít a befektetőknek és más érdekelt feleknek abban, hogy jobban megértsék a vállalatok fenntarthatósági gyakorlatát és esetleges kockázatait. Az ESG keretrendszer alkalmazása a vállalatok számára nem csak a felelősségvállalásuk kifejezése, hanem egyre inkább alapvető elvárás a piaci szereplők és az állami szereplők részéről is. Íme néhány további előny, amely az ESG-nek a vállalati stratégiába való beépítéséből származhat: Befektetői érdeklődés: Az ESG teljesítmény egyre fontosabbá válik a befektetői döntésekben. A befektetők keresik azokat a vállalatokat, amelyek proaktívan kezelik az ESG kockázatokat és lehetőségeket. Ügyfélkövetelmények: A fogyasztók és ügyfelek egyre tudatosabbak és gyakran preferálják azokat a vállalatokat, amelyek elkötelezettek a fenntarthatóság és a társadalmi felelősségvállalás mellett. Versenyelőny: Az ESG gyakorlatok bevezetése versenyelőnyt jelenthet, mivel a vállalatok képesek lesznek jobban reagálni a piaci és állami szabályozásbeli változásokra. Márkaérték és hírnév: A jó ESG teljesítmény javíthatja a vállalat hírnevét és erősítheti a márkát, ami hosszú távon előnyös lehet. Az ESG keretrendszer tehát nem csupán egy jelentéstételi kötelezettség, hanem egy stratégiai eszköz, amely segíthet a vállalatoknak a fenntartható növekedés elérésében és a társadalmi, valamint környezeti hatásuk pozitív irányba történő alakításában. Amennyiben vállalatának segítségre van szüksége az ESG szabályokra történő felkeszülésben, keressen bennünket bizalommal!
