A General Data Protection Regulation, az EU új adatvédelmi rendelete (továbbiakban: GDPR) nem csupán a piaci szereplők nyugalmát borzolja: egyre több önkormányzat és általuk alapított cég kér tanácsot a 2018. május 25-ei határidő közeledtével. (A rendelet hatályos, de ettől a dátumtól kezdődően lesz kötelezően alkalmazandó.)
Tapasztalatunk szerint a megkeresést követő beszélgetés kellemes hangulatban kezdődik. Akik szeretnének tájékozódni, eleve jobb esélyekkel indulnak, mint azok, akik majd a hatóság megkeresése után limitált időkerettel (hiánypótlási határidő) fognak szembesülni, hogy mi is vár rájuk. A kezdeti nyugalom hamar elillan...
A GDPR-megfelelés komplex feladat: van benne szerepe jogásznak, informatikusnak, e szakmák adatvédelmi gyakorlattal rendelkező szakértőinek és mindezek tetejébe a velünk szerződéses kapcsolatban álló partnereinknek is. (A vezetői felelősségről is szót kell ejtenünk: a feladat delegálható, de a felelősség továbbra is a szervezet vezetőjénél marad.) Amikor a beszélgetésben eljutunk idáig, szoktunk egy kis szünetet tartani. Itt vetődik fel, hogy a vállalat jogi ügyeinek vitelével megbízottak, az adatvédelmi felelős, az informatikai rendszerek fejlesztéséért és üzemeltetéséért felelős személyek tudnának-e csatlakozni a megbeszélés második részéhez. Az önkormányzati cégek esetében pedig itt vetődik fel, hogy a 2013. évi L. törvény (továbbiakban: Ibtv.) alapján kialakított információbiztonsági rendszer - amely az alapító szervezetekre kötelező feladatokat és rendelkezéseket tartalmaz -, milyen módon került az alapítói okiratba, illetve a napi üzemelés során mely elemei kerültek bevezetésre.
A kezdetben kellemes hangulatúnak leírt beszélgetés ezen a ponton már kellemetlen helyzeteket teremt. Tanácsadóink kérdései alapján válik nyilvánvalóvá, hogy a GDPR adatvédelmi intézkedései nem valósíthatóak meg működő információbiztonsági rendszer nélkül. És itt nem arra gondolunk, hogy a fiókban találunk-e adatvédelmi[1] és/vagy információbiztonsági szabályzatot. A beépített kontrollokra kérdezünk rá, az észlelt fenyegetésekre, a kollégák felkészültségére; a szabályzatban leírtak aprópénzre váltására, vagyis mindenki tudja-e, hogy mi a teendője, ha incidens történik, kit értesít, minek minősíti az esetet és tudja-e, hogy milyen következményekkel jár, ha rosszul kategorizál?
A beszélgetés zárása viszont ismét megnyugvást hoz: van megoldás! Az önkormányzatok jó része már találkozott információbiztonsági felelőssel - az Ibtv. 2013. évi hatálybalépését követően elvileg ki is nevezett ilyet. Az ASP pályázat keretében a "Működésfejlesztési és szabályozási keretek kialakítása" sorban még a 3000 fő alatti lélekszámmal bíró települések is kaptak forrást, hogy felülvizsgálhassák/elkészíthessék/aktualizálhassák az információbiztonsággal összefüggő szabályzataikat és áttekinthessék a szervezet kitettségét, szükség esetén új kontrollokat telepítsenek. A Jegyző és Közigazgatás 2017/5. számban említésre került, hogy a Kincsinfo és a MÁK milyen biztonsági intézkedéseket és besorolásokat[2] javasolt: ez az anyag mintaként szolgálhat a többi szakrendszer esetében. Elvárható, hogy ilyen részletezettségű és alaposságú leírásokat szerezzünk be azokhoz is, illetve követeljünk meg a további beszerzések során.
Az Ibtv. által meghatározott feladatok végrehajtásának ellenőrzését az önkormányzatok esetében a NEIH[3] végzi. Közvetlenül nem az általuk alapított cégeknél fognak kopogtatni, de ha az ellenőrzés során azon tevékenységek is az ellenőrzés tárgyát képezik, mely feladatokat a hivatal az adott cég hatáskörébe utalt, úgy az ellenőrzés e cég tevékenységére is kiterjed.
A NAIH[4] esetében ennél is egyszerűbb a helyzet: hatásköre bármely adatvédelemmel kapcsolatos kérdésben kiterjed minden szervezetre - akár panaszra, akár saját döntése alapján kezdeményezhet vizsgálatot. (Az "Üzemanyagtöltő állomások elektronikus megfigyelőrendszereinek üzemeltetésével végzett adatkezelés" esetében állampolgári panaszra kezdeményeztek vizsgálatot[5], ahogyan a Magyarországi Szcientológia Egyház és a Szcientológia Egyház Központi Szervezet[6] esetében is.)
Reméljük, hogy az ünnepek alatt sikerült kipihenniük az óév fáradalmait és kellően feltöltődtek, hogy az új esztendőben az Önökre - és tanácsadóikra - váró kihívásokra válasz(oka)t és megoldás(oka)t találjanak! ■
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
