Nemrégiben magyarországi aktualitást is kapott az adat- és információbiztonság: a szaksajtón kívül a bulvár is foglalkozott egy BKK-s incidenssel. Több hatóság vizsgálatot indított - némelyik saját indíttatásból, néhány konkrét felkérésre.
• Jegyző és Közigazgatás (J. K.): Hasonló esetekre számítani lehet az önkormányzati szektorban is?
Jerabek György (J. Gy.): Igen. Az adatok megszerzésére irányuló kísérletek egyre kifinomultabbak és ravaszabbak: ahogy a mindennapunk részévé válik az internethasználat és általában az elektronikus ügyintézés, úgy növekszik annak az esélye, hogy óvatlanul járunk el. Nemrégiben én is posztoltam egy olyan esetet, amelynek elszenvedője voltam, pedig megítélésem szerint a szakmai alapjaim és az információbiztonsági tudatossági szintem is rendben van. Mégis elég volt egy pillanatnyi kihagyás és figyelmetlenség - máris tilthattam le a bankkártyám, mert megadtam az adatait egy adathalász oldalnak... Az önkormányzati szektor kitettsége talán épp az ASP bevezetéséhez kapcsolódó információbiztonsági képzéseknek köszönhetően kisebb, mint azon szervezeteké, ahol nem voltak források a működési és szabályozási keretek kialakítására és az oktatásra.
• J. K.: Információ- és adatbiztonság, adatvédelem, GDPR - sokat hallunk ezekről mostanában - mitől ilyen forró ez a téma?
J. GY.: Az új - uniós - adatvédelmi rendelet hatálybalépésének dátuma: 2018. május 25. Ez nem csak a közigazgatási szektort tartja izgalomban. A jelenleg hatályos szabályozás és az ASP bevezetése során már élőnek mondható a kapcsolat az információbiztonsági előírásokkal és szabályzatokkal, de a GDPR (General Data Protection Regulation) jelentősen kibővíti a személyes adatok körét. Az egységes európai szabályozás célja épp annak a környezetnek a megteremtésére irányul, hogy a bizalmat teremtse meg és az internet használatát ne csak a magasan képzett szűk elit számára tegye elérhetővé, de olyan feltételeket teremtsen állampolgárai számára, hogy biztonságban tudják az adataikat és tranzakcióikat. Alapvetően ez volt a törvényalkotó szándéka, ennek szellemében fogalmazta meg az irányelvet és a nemzeti adatvédelmi hatóságok ezek alapján egyeztetik azokat az eseteket, amelyeket a jövőben egységesen kezelnek majd az Unión belül. A maximálisan kiszabható bírság mértéke az, ami a vezetőket arra indítja, hogy foglalkozzanak a kérdéssel (20 millió euró vagy a mérlegfőösszeg 4%-a).
• J. K.: Komolyan gondolja, hogy az Ön által jelzett nagyságrendű büntetésre kötelezik majd az önkormányzatokat?
J. GY.: Igen. De azért nem eszik ilyen forrón ezt a kását sem! A törvény nemzeti hatáskörben történő szabályozásában lehetőséget ad, hogy bizonyos esetekben felmentést adjon a bírság kiszabására. Ha például az adatok kezelése törvényi felhatalmazás alapján történik, úgy az érintettnek máris korlátozzuk abbéli jogát, hogy ettől a gyakorlattól az adatkezelőt eltiltsa. (Nem kérhetem például a személyes adataim törlését az adóhatósági nyilvántartásból. Pedig volt, akiben már felmerült és jó ötletnek tűnt...). A parlament szeptemberi ülésszakán valószínűleg napirenden lesz a kérdés: árgus szemekkel figyeljük, hol húzódik majd a határ. Kiterjed/kiterjedhet-e az önkormányzati tulajdonú cégekre is, vagy csak maga a hivatal kap bizonyos fokú mentességet? Esetleg a törvény tartalmaz majd egy GDPR klauzulát és az általa meghatározott adatkezelésekre nem kell hatásvizsgálatot végezni, vagy minden önkormányzat a saját hatáskörében fogja majd lefolytani ezt az eljárást? Nem lesznek feladatok nélkül az ezzel foglalkozó szakemberek és a jegyzők sem!
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
