Jelen tanulmány az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 24. § által előírt belső adatvédelmi felelős (a továbbiakban: BAF), valamint az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (a továbbiakban: Ibtv.) 13. § szerinti elektronikus információs rendszer biztonságáért felelős személy (a továbbiakban: IBF) feladatainak összehasonlítását, valamint a két munkakör feladatellátásával kapcsolatos összefüggéseket mutatja be.
A téma aktualitását mi sem jelzi jobban, hogy a BAF, és az IBF feladatait meghatározó törvényeknek, illetve végrehajtási rendeleteknek való megfelelés, illetve az előírt kötelezettségek teljesítése a gyakorlatban jelenleg nem teljesen megfelelő. Ehhez elég egy közérdekű adatigényléssel élni valamely Infotv. hatálya alá tartozó szerv felé, és megnézni, hogy mennyire felel meg adattartalmilag, vagy egyéb előírásnak a tájékoztatás, vagy meg kell nézni az Infotv. előírása szerinti általános közzétételi listákat, melyek sok helyen egyáltalán nincsenek, vagy hiányosak. Az Ibtv., illetve kapcsolódó végrehajtási rendeletei szerinti feladatok tekintetében az önkormányzatoknak több, mint az 50%-a elvégezte a szükséges intézkedéseket[1], ez azt jeleni, hogy a kötelezett önkormányzatok kevesebb, mint a fele nem teljesítette az előírások szerinti feladatok elvégzését.
Ez véleményem szerint visszavezethető a szankciórendszer hiányára is, mivel a Nemzeti Elektronikus Információbiztonsági Hatóság (a továbbiakban: NEIH), tájékoztatása alapján[2] a NEIH még nem rendelt ki információbiztonsági felügyelőt egy szervezethez sem. Amíg szankció alkalmazására nem kerül sor, és ennek híre nem terjed el a köztudatban, ez a helyzet valószínűleg nem fog változni.
Az informatika és az információ technológia folyamatos fejlődése, az Európai Unió és a magyar állam szabályozása megköveteli, hogy a jogszabályok által védett adatok biztonsága (Ibtv. szerinti bizalmasság, sértetlenség és rendelkezésre állás) biztosított legyen.
Magyarországon a 21. század kezdetétől folyamatosan nő a jelentősége a korrupció ellenességnek, a transzparenciának, az adatvédelemnek, az információbiztonságnak, ez észrevehető a területeket érintő szabályozások egyre nagyobb számú megjelenésével.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) rendszeresen közzéteszi jelentéseit a nem jogszabályszerű adatkezelésekről, mely a BAF hiányára is visszavezethető sok esetben, vagy a Kormányzati Eseménykezelő Központ folyamatosan feltölti honlapjára az elektronikus információs rendszerek sérülékenységeit, melyek az IBF általi figyelmen kívül hagyása akár biztonsági eseményhez, rosszabb esetben adatvédelmi incidenshez is vezethet.
Fontos továbbá, hogy az Európai Unió szigorítani fogja az adatvédelmi szabályozását a 2016. április 27-én kihirdetett új általános adatvédelmi rendelete által. Akár 20 millió eurós bírság, vagy a globális éves forgalom 4%-ának megfelelő összeg kiszabását is lehetővé teszi a rendelet 2018. május 25-től.
A tanulmány elsődleges célja annak vizsgálata, hogy érdemes-e egy személynek ellátni ezeket a feladatokat, vagy külön személyek végezhetik-e el hatékonyabban a jogszabályban meghatározott feladataikat. Jogszabály tiltó rendelkezést nem ír elő erre vonatkozóan, így jogi akadálya nincs annak, hogy a két felelős feladatait egy személyben lássa el egy munkavállaló, köztisztviselő vagy közalkalmazott. Egy személyben alkalmazva a BAF-t és az IBF-t, munkaszervezési, és szervezeti sajátosság lehet a szervezetben. Érdekesség, hogy a szervezet vezetői felismerik-e, hogy mennyire hasznos, ha a két felelős személy feladatait egy látja el, érhető-e el költségmegtakarítás?
A vizsgálatokat helyi önkormányzatok tekintetében végeztem el, nevezetesen Budapest Főváros Önkormányzata, valamint 18 megyeszékhely város önkormányzatai vonatkozásában. Közérdekű adatigénylésekkel felmértem az említett önkormányzatok működését az említett munkakörökkel kapcsolatos feladatellátás tekintetében, és abból a területeket érintő következtetéseket vontam le.
Az Infotv. vonatkozó előírásai szerint[3] a BAF-nek jogi, közigazgatási, informatikai vagy ezeknek megfelelő felsőfokú végzettséggel kell rendelkeznie. A jogszabályi hely rendelkezik arról is, hogy mely szervezeteknél kötelező a BAF kinevezése, vagy megbízása. A helyi önkormányzatok tekintetében nem kötelező a BAF kinevezése. Viszont minden Önkormányzat rendelkezik jogi vagy közigazgatási végzettségű személlyel, ha más nem a jegyző révén, így az önkormányzatoknál biztosan van olyan személy, akit ki lehet nevezni erre a pozícióra. Más közigazgatási szerv esetén is valószínűsíthető, hogy rendelkezik olyan személlyel, akinek jogi, közigazgatási, vagy informatikai végzettsége van. Például rendszergazda, jogászok stb. Előzőek alapján a lehetőség megvan a közigazgatási szervek esetén BAF kinevezésére, ahol ez nem kötelező.
Az Ibtv. IBF-re irányadó előírásai alapján[4] büntetlen előéletű, a feladatellátáshoz a szükséges elektronikus információbiztonsági vezető képzettséggel kell rendelkeznie. Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról szóló 26/2013. (X. 21.) KIM rendelet (a továbbiakban: KIM rendelet) rendelkezik előírásokkal[5] arra vonatkozóan, hogy az elektronikus információbiztonsági vezető képzettség hiányában CISA, CISM, CRISC, CISSP végzettségek valamelyikével, vagy a szakmában 5 év gyakorlattal kell rendelkeznie a szervezet által kijelölt IBF-nek. Az IBF részére az Ibtv. rendszeres továbbképzési kötelezettséget is előír.
- 71/72 -
1. táblázat
| Végzettség/Munkakör betölthetőség összehasonlítás | BAF | IBF |
| Végzettség | Felsőfokú szakirányú egyetemi vagy főiskolai végzettség: - Jogi - Közigazgatási - Informatikai | Felsőfokú egyetemi vagy főiskolai végzettség + elektronikus információbiztonsági vezető kép- zettség[6], |
| Mentességek a végzettségekre vonatkozóan | A jogszabályok nem rendelkeznek erre vonatko- zó előírással | CISA, CISM, CRISC, CISSP végzettség vagy 5 év szakmai gyakorlat a KIM rendelet rendelkezései szerint |
| Tapasztalat, gyakorlat | A jogszabályok nem rendelkeznek erre vonatko- zó előírással | Végzettség vagy szakképzettség hiányában 5 év szakmai gyakorlat a KIM rendelet rendelkezései szerint |
| Szakmai képzés, szakmai kép- zettség | Eötvös Lóránd Tudományegyetem adatbizton- sági és adatvédelmi jogi szakokleveles szakem- ber képzés[7], Szegedi Tudományegyetem adatvé- delmi szaktanácsadó szakirányú továbbképzés[8], Gazdasági társaságok szervezésében: Infoszféra Kft. adatvédelmi felelős képzése[9] vagy a Sämling Kft. adatvédelmi felelős képzése[10] | Nemzeti Közszolgálati Egyetem Vezető- és To- vábbképzési Intézete (a továbbiakban: NKE VTKI) elektronikus információbiztonsági vezető képzés, vagy az ISACA képzései[11] CISA, CISM, CRISC, CISSP |
| Továbbképzési kötelezettség | A jogszabályok nem rendelkeznek erre vonatko- zó előírással | Évente továbbképzési kötelezettség |
| Büntetlen előélet | A jogszabályok nem rendelkeznek erre vonatko- zó előírással | Büntetlen előélettel kell rendelkeznie |
| Nyelvtudás | A jogszabályok nem rendelkeznek erre vonatko- zó előírással | Alapfokú angol nyelvtudás előírás az elektro- nikus információbiztonsági vezető képzettség megszerzéshez |
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
