Az önkormányzatok működése, az önkormányzati feladatok ellátása alapvetően együtt jár személyes adatok nagy számban történő kezelésével. Ha a teljes önkormányzati szektort egy nagy egésznek tekintenénk, akkor az egyik legnagyobb adatkezelő szervezetet kapnánk, hiszen az ország valamennyi lakosa érintett lenne az adatkezelés által.
Természetesen nagy különbségek vannak az egyes önkormányzatok között (például lakosságszám, fenntartott intézmények, rendelkezésre álló erőforrások), amelyek befolyásolják az általuk végzett adatkezelési műveletek nagyságrendjét és típusait, azonban a szervezetrendszert, a működést vagy a feladatok ellátását jogszabályok határozzák meg, így ezen a téren egységességről beszélhetünk, amelynek az adatvédelem területén is érvényesülnie kell (kellene).
Ebből következik, hogy a felmerülő kérdések, problémák is nagyon gyakran ugyanazok az önkormányzati adatkezelők részéről, függetlenül attól, hogy egy nagyvárosról vagy egy kisebb településről beszélünk. Az EU Általános Adatvédelmi Rendelete (GDPR) sem tesz különbséget - néhány kivételtől eltekintve - az adatkezelők minősége vagy mérete szerint, a legfontosabb adatvédelemmel kapcsolatos előírásoknak ugyanúgy eleget kell tennie egy pár ezer fős község polgármesteri hivatalának, mint egy megyei jogú városének. Sőt, ha a technológiai követelményektől elvonatkoztatunk, akkor egy Facebooknak is alapvetően ugyanolyan feladatai vannak az adatvédelem terén (pl.: adatkezelési nyilvántartás vezetése, tájékoztatás, érintetti jogok biztosítása, adatvédelmi tisztviselő alkalmazása), mint bármely helyi önkormányzatnak, legfeljebb az adatvédelmi bírság összege tér el pár nagyságrenddel egy esetleges jogsértés esetén. Talán éppen a Rendeletnek a közfeladatot ellátó szervek bírságolására vonatkozó külön szabálya - mely szabály lehetőséget biztosít a nemzeti jogalkotó számára, hogy alacsonyabb összegben maximálja az ilyen adatkezelőkre kiszabható bírságot vagy akár ki is zárja azt - miatt is ébredtek kicsit lassan anno a közszféra szereplői, és sokan még a mai napig hiányosságokkal küzdenek ezen a területen. Az akkori narratíva egyébként is úgy szólt, hogy a költségvetési szervek bírságolásával az állam csak egyik zsebéből a másikba helyezi a pénzt, így arra lehetett számítani, hogy az ilyen jogkövetkezmények alkalmazása ritka lesz, a bírságok mértéke pedig enyhébb. Ehhez képest a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján nyilvánosságra hozott döntések között szép számban találhatunk közfeladatot ellátó szervet marasztaló határozatokat, a GDPR alkalmazását követően kiszabott legnagyobb bírságok közül kettő sokáig két polgármesteri hivatal nevéhez fűződött.
Az elmúlt években azonban vitathatatlanul pozitív irányba változott a helyzet, és egyre több önkormányzat próbál eleget tenni adatvédelmi kötelezettségeinek, amelyhez valljuk meg őszintén, legfeljebb korlátozott mértékben kaptak segítséget az államtól. Ezzel szemben Németországban vagy Csehországban központilag támogatták az önkormányzatok felkészülését egységes, kifejezetten az ő adatkezelési tevékenységeire épülő megoldásokkal, például tájékoztató és nyilvántartás mintákkal, illetve adatvédelmi tisztviselőt is biztosítottak azok számára, akik nem tudták ezt megoldani. Cégünknél a kezdetektől fogva mi is ezt az utat szorgalmaztuk, és az egységesítés érdekében el is készítettük az önkormányzati adatkezelések alapsablonját, de ilyen megoldások igénybevétele nélkül idehaza ezt sajnos minden településnek önállóan kellene megoldania.
Ahogy az már a bevezetőben is említésre került, rengeteg adatkezelési tevékenység zajlik az önkormányzatoknál, ráadásul ehhez társul egy komplex szervezetrendszer az önálló adatkezelőnek minősülő önkormányzati szervekkel és intézményekkel, és mindezek mellé a feladatokat meghatározó jogszabályok az adatvédelem szempontjából sokszor idejét múltak vagy nincsenek összhangban a GDPR-ral és az Infotv.-vel.[1] Látható, hogy ez egy komoly szakértelmet (mind az adatvédelem, mind az önkormányzatok működése terén) igénylő feladat, amelyet - központi iránymutatások híján - önerőből és önállóan kellett volna megoldani a több száz önkormányzatnak, amely óhatatlanul is eltérő, és nem mindig jó gyakorlatok kialakulásához vezetett. Akiknek erre lehetősége volt, azok közül sokan külső szakértőket bíztak meg az adatvédelmi feladatok ellátásával, de ez sem jelent mindig garanciát a megfelelőségre, hiszen az adatvédelmi jog ismerete mellett szükség van az önkormányzatok belső eljárásainak mélyreható ismeretére is.
Mindenesetre nagyon jó látni, hogy egyre több önkormányzati honlapon elérhetőek a GDPR-konform adatkezelési tájékoztatók a különböző ügyekhez, pályázatokhoz kapcsolódóan, egyre több település jelenti be az adatvédelmi tisztviselőjét a hatósági nyilvántartásba, de ez természetesen még csak a jéghegy csúcsa. Az adatvédelem nem egy egyszeri erőfeszítéssel abszolválható feladat, hanem folyamatos kötelezettség. Ahogy mondani szokták, nem elég rendet rakni, hanem rendet is kell tartani, és fenntartani a rendet mindig könnyebb, mint újra és újra felszámolni a rendetlenséget. Az is fontos, hogy egy érintettnek az ország bármely pontján ugyanolyan szinten érvényesüljön a személyes adatok védelméhez való joga, függetlenül attól, hogy éppen valamelyik budapesti kerületi önkormányzatnál intézi ügyeit vagy egy vidéki polgármesteri hivatalban.
A folyamatos megfelelés és az egységesség biztosításának alapjai elsősorban a NAIH által kiadott tájékoztatók, állásfoglalások és egyedi döntések lehetnek. Július végén napvilágot látott egy újabb határozat[2], amely több olyan problémát is érint, amelyekkel kapcsolatban hozzánk is gyakran érkeznek kérdések az önkormányzati ügyfelek részéről.
A szóban forgó határozat alapjául szolgáló tényállás szerint egy zárt ülésen hozott képviselő-testületi döntés az érintett valamennyi személyes adatával együtt (név, lakcím, tulajdonát képező ingatlan helyrajzi száma) közzétételre került, mind az önkormányzat által kiadott helyi újságban, mind az önkormányzat honlapján. Az érintett törlési kérelemmel fordult a jegyzőhöz, de egyrészt ez a nyomtatott és már kihordott újságok esetében nem is volt lehet-
- 26/27 -
séges, másrészt a kérelmére végül választ sem kapott, ezért az érintett az adatvédelmi hatóság eljárását kezdeményezte.
A magánszektorhoz képest a közfeladatot ellátó szervek számára külön nehézséget jelent, hogy az adatvédelmi jog előírásait összeegyeztessék a közérdekű adatok nyilvánosságával. Az önkormányzatok számára alkotmányos követelmény, hogy működésükkel kapcsolatban biztosítva legyen az átláthatóság, ez megtestesül például az Mötv. 46. § (1) bekezdésében, mely szerint "a képviselő-testület ülése nyilvános". A törvény bizonyos esetekben lehetővé teszi zárt ülések tartását, de az 52. § (3) bekezdése alapján a zárt ülésen hozott döntés is nyilvános.
Ezzel kapcsolatban nemcsak a NAIH határozatban szereplő önkormányzat jutott arra az értelmezésre, hogy a döntést teljes tartalmával - így az ügyfél személyes adataival együtt - nyilvánosságra hozza, hanem általános rossz gyakorlatról beszélhetünk, ha kicsit körülnézünk az önkormányzatok honlapjain. Ugyanez igaz a zárt ülések előterjesztéseire és a jegyzőkönyvekre is, amelyek szintén gyakran nyilvánosan elérhetőek az önkormányzati honlapokon, pedig ezek esetében jóval egyértelműbb a jogszabály.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
