2018. május 25. napjától kötelező alkalmazni a közszférában is az előtte már két éve hatályba lépett, külön belső jogszabályi átültetést nem igénylő általános uniós adatvédelmi rendeletet, a GDPR-t. A jogszabály uniós rendeleti formát visel, tehát minden uniós tagországban kikerülhetetlen az alkalmazása, nem úgy, mint a korábbi 1995-ös irányelv esetében, mely alapvetően irányokat szabott és különböző tagállami értelmezésekre adott lehetőséget.
A GDPR szektorsemleges, tehát mind az üzleti világra, mind a közszférára vagy akár egyes társadalmi és egyéb szervezetekre is vonatkozik. Előadásokon, tanfolyamokon többször és több előadótól is lehet hallani, hogy alapvetően nem a közszféra megrendszabályozásáról szól, sokkal inkább a hatalmi potenciállal rendelkező multinacionális cégek, közösségi média-szereplők, bankok és egyéb pénzügyi szervek állnak a célkeresztben.
Ettől függetlenül, semmi olyan rendelkezés nem található meg a rendeletben (és az adatvédelmi hatóság felfogásában), amely jelen esetben az önkormányzati szervek, intézmények számára kézzelfogható könnyítést adna a többi jogalanyhoz képest.
2019 novemberébe lépve már vannak közigazgatási szervet érintő bírság-ügyei a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, olyan is, amelyben érintett az önkormányzat-fenntartott intézmény kapcsolat. Milliós bírság egyetlen adat kezelésének kérdésessége miatt.
1. A kötelező alkalmazás időpontját követően másfél évvel a fő alapprobléma még mindig ugyanaz, mint a 2018. május 25. előtt biztosított kétéves felkészülési idő alatt:
A megannyi és sokfelé szerteágazó napi feladatok között a hivatalvezetés, intézményvezetés nem érzi a súlyát, a kockázatát annak, hogy a személyes adatok védelme milyen szintű és erősségű jogi szabályozást kapott összeurópai szinten. A magas, 20 millió eurós, aztán a közszférára csökkentett 20 millió forintos felső bírsághatár a vezetők többségét megrémiszti, de még mindig nem annyira, hogy a feladat elvégzésre kerüljön és a költségvetési tervezés része legyen a DPO (adatvédelmi tisztviselő) megbízása. Bármilyen formában is, akár külső szakértővel, akár belső ember alapos kiképzésével.
Saját szubjektív felmérés alapján a hivatalvezetők talán maximum 2/3-a hallott arról, hogy az önkormányzatot és a hivatalt fel kellett volna egy adatvédelmi audit keretén belül készíteni az uniós normának való megfelelésre, viszont az intézményvezetőknek az 1/3-a sem tudja, hogy alapvetően a vezetői állását kockáztatja a nem megfelelőség és a majdan kiszabott hatósági bírság miatt.
2. Bizonyos esetekben a hivatalvezetők viszont már annyi üzleti ajánlatot kapnak piaci szereplőktől az adatvédelmi audit elvégzésére, hogy azért nem születik döntés, mert az egyes ajánlatok szakmai tartalmát és különbözőségeit a döntéshozók nem tudják megítélni, így félnek felelős döntést hozni. A kevésbé fizetőképes óvodák, művelődési házak többsége nem küzd ilyen megkeresési dömpinggel, kétségkívül ezek kevésbé fizetőképes célszemélyei az igen sokszereplőssé duzzadt adatvédelmi tanácsadói piacnak.
3. Az 1. pontban megjelölt tudatosság hiányában, illetve az ingerküszöböt el nem ért feladat megjelenésén túl még mindig alapvető probléma a hivatalvezetők és intézményvezetők számára annak beazonosítása is, hogy tevékenységük során milyen eljárások, technológiák alkalmazása, illetve milyen viszonyok kialakítása valósít meg személyes adatkezelést.
A jelenleg már terjedőben lévő belső hivatali biztonsági kamerák, beléptető rendszerek alkalmazása, Facebook oldal működtetése, online közvetítés testületi ülésről mind-mind felvetik a személyes adatok kezelésének, így a GDPR kötelező alkalmazásának a kérdését. De a jogi szempontokon túl kitekinthetünk az adatvédelmi hatóság által igen kedvelt technikai és szervezési intézkedésekre is: a portán szolgálatot teljesítő éjjeli őr/vagyonőr hozzáfér-e például a nála elhelyezett kulcsszekrényből az egyes irodák irataihoz. Illetve szintén a példa kedvéért: a külsős/belsős takarító bele tud-e nézni az íróasztalon, szekrényben, dossziéban vagy akár a számítógépben lévő adatba? Ezek nem kitalált példák, az adatvédelmi hatóság alapkérdése, hogy éjjelre minden irat zárható szekrényben van-e, s egyáltalán csak zárható szekrények vannak-e?
Az egyes intézmények gyakran érzik úgy, hogy a hivatali ügyekhez és dolgozókhoz képest az általuk vitt feladat és személyi állományuk finoman szólva is kevésbé preferált kérdés. Ez teljesen jól tapintható a GDPR megfelelőség vonatkozásában is.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
