2018. február 7-én benyújtásra került a Parlament részére az ágazati törvények GDPR miatt szükségessé vált módosítására vonatkozó javaslat (T/4479. számú törvényjavaslat "az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról[1]"). A törvényjavaslat több, mint nyolcvan törvény esetében tartalmaz adatvédelmi tárgyú módosításokat. A módosításra azért is van szükség, mert az Országgyűlés az Európai Unió adatvédelmi reformjához kapcsolódó hazai jogharmonizációs kötelezettségek egy részének már 2018 tavaszán, a megalkotott törvényi szabályok hatályba lépésével eleget tett, az ágazati adatkezelési normáknak az általános adatvédelmi rendelettel, valamint a bűnüldöző szervek adatkezelését szabályozó 2016/680 (EU) európai parlamenti és tanácsi irányelvet átültető rendelkezésekkel való összhangjának megteremtése még várat magára. A módosítások a tervek szerint a törvény kihirdetését követő 15 napon belül lépnek majd hatályba.
Ha figyelmesen végigolvassuk, akkor a javaslat 88. §-ában, mely Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény módosítására vonatkozó részt tartalmazza, egy igen érdekes, új rendelkezésre bukkanunk:
"A Hatóság megkeresésére a települési önkormányzat jegyzője ellenőrzi az illetékességi területén folytatott, a Hatóság által a megkeresésben megjelölt adatkezelés tényleges körülményeit, így különösen a kezelt személyes adatok körét, a személyes adatokkal végzett műveleteket és e műveletek eszközeit, továbbá az adatkezelő által alkalmazott technikai és szervezési intézkedéseket."
De mit is jelent ez?
A jegyzőkre egy újabb feladat hárul, amit ráadásul az Adatvédelmi Hatóságtól fognak kapni, és amit a már meglévő feladatok mellett kell elvégezniük.
A javaslatból egyértelműen kiolvasható az a tendencia, amit már tapasztalhattunk az utóbbi időben, miszerint a Hatóságnál kevesen vannak arra a feladatra, amit a megváltozott adtavédelmi jogi környezet ró rájuk: kevés a szakember, sok az új, még kevés vagy tapasztalattal egyáltalán nem bíró munkatárs, ezzel szemben egyre több feladatot, vizsgálatot kell lefolytatniuk. Az ellenőrzés ilyen irányú "leosztása" persze nem jelenti azt, hogy minden jegyző rendelkezik olyan és akkora tapasztalattal az adatvédelem területén, hogy a Hatóság által elvárt minőségben, gyorsasággal és teljeséggel végezzék majd el ezeket az ellenőrzéseket, főleg úgy, hogy a jogszabályokban foglalt alap-kötelezettségüket is, sőt elsősorban azokat kell teljesíteniük.
A tervezet olvasása során ezzel a pár soros mondattal kapcsolatban az alábbi még megválaszolatlan kérdések merültek fel bennem:
Azokban az esetekben, ahol a jegyző nem jártas az adatkezelés területén, hogyan és milyen hatékonysággal fogja ezt a feladatát ellátni? Ez az új feladat mennyiben befolyásolja majd a napi munkavégzésben? Egy bonyolultabb adatkezelés esetén nem is olyan egyszerű a jogszabályban előírt és a Hatóság által megjelölt kérdéseket tisztázni. Ha az önkormányzat külső, szerződéses adatvédelmi tisztviselőt alkalmaz, vajon eredményesen sikerül-e bevonni egy-egy ilyen ellenőrzésbe, egyáltalán bevonásra kell, hogy kerüljön? Ráadásul a most megkapott feladat része egy információbiztonsági, informatikai szempontú vizsgálatot is tartalmaz. Ezekhez sokszor speciális tudással is rendelkezni kell, hogy az alkalmazott technikai intézkedéseket felmérni és felismerni tudja a vizsgálatot végző. Vajon a jegyző és az informatikus tudnak majd egy nyelvet beszélni? Érteni fogják egymást, hogy ki milyen adatra kíváncsi? Az átadott információk pontosak, napra készek lesznek? Mi történik akkor, ha félreértik egymást?
Nézzük a feladatot kicsit bővebben. A vizsgálat tárgya az adatkezelés tényleges körülményei. A kezelt személyes adatok köre. Ez egyértelmű akkor, ha a jegyző tudatában van annak, hogy mi a személyes adat. Például rendelkezésére áll az adatkezelési nyilvántartás, melyből kiolvasható ez az adat, ismeri az adott adatkezelési folyamatot teljeskörűen. Vagy megfelelő szakmai támogatást kap az adatvédelemmel foglalkozó kollégától, tisztviselőtől, aki ebben segítségére tud lenni. Ismeri a személyes adatokkal végzett műveleteket. Ehhez megint tisztában kell lenni azzal, hogy milyen szakaszokból áll az adott adatkezelés, történik-e adatfeldolgozás, adattovábbítás. Ha történik bármilyen adatkezelési művelet - és lássuk be általában szokott - az milyen eszközzel. Ez lesz talán az első olyan pont, ahol biztos, hogy bevonásra kell kerülnie például egy informatikai szakembernek. Ezenfelül az adatkezelő által alkalmazott technikai és szervezési intézkedések meghatározásához is. Összességében elmondhatjuk, hogy a Hatóság részéről történő megkeresés nem csak egy embert fog érinteni a szervezetben.
A vizsgálat lezárulta után az Adatvédelmi Hatóság hogyan tudja ellenőrizni a jegyző által megküldött adatokat? Ki tudja majd szűrni azokat a hibákat, amiket nem tudatosan követ el a jegyző mondjuk az ismeretek hiánya, vagy a tévesen megkapott információk miatt? A Hatóság a jegyző által átadott adatok és dokumentumok ismeretében bírságot is szabhat majd ki?
A jegyző ilyen jellegű új feladatának ellátásához kap-e segítséget majd a
- 35/36 -
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
