A GDPR (General Data Protection Regulation) az Európai Parlament és a Tanács (EU) 2016/679 egységes adatvédelmi rendelete, amely 2018. május 25-től kötelezően és közvetlenül alkalmazandó az Európai Unió valamennyi tagállamában. A rendelet megalkotásának célja, hogy a magánszemélyekre vonatkozó adatok, tranzakciók tárolása és feldolgozása biztonságos keretek között történjen. A GDPR alapvetően szemléletváltást hoz(ott) az adatok kezelésében, mely jelentősen átalakítja az eddigi megszokott munkafolyamatokat, rendszereket, szabályozásokat. És ha a közszféra valamit nem szeret, az pont a változás!
A GDPR céljaival, azt gondolom, hogy mindenki egyetért, a módszereivel már kevésbé, de az tény, hogy az eddig széttagolt joganyag végre egységes rendeletben öltött testet, ami jogtechnikailag fontos evolúciós lépés.
Az önkormányzatok elektronikus információbiztonságával kapcsolatban a hazai jogalkotás [a 2013. évi L. törvény és a hozzá kapcsolódó 41/2015. (VII. 15.) BM rendelet, valamint 2011. évi CXII. törvény] már korábban is előírásokat fogalmazott meg. Időközben megjelent a 2018. évi XIII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról, de várható még néhány újabb módosítás az őszi ülésszakban is. Az önkormányzati szektor bizonyos értelemben jelenleg szabályozottabbnak és biztonságosabbnak mondható a magyarországi vállalati szektorhoz képest, de a mindenki által ismert problémák (tárgyi és személyi feltételek hiánya) miatt közel sem tökéletes.
A NAIH iránymutató válasza alapján a szabályzatalkotó a képviselő-testület azon szerve, amely a jogalkotó szerint a kötelezően ellátandó önkormányzati vagy államigazgatási feladat- és hatáskör címzettje. Az önként vállalt feladatok esetén a képviselő-testületnek rendeletben szükséges döntenie az adatkezelő személyéről. Az adatkezelés vagy -feldolgozás jogalapjának meghatározása során a jogszabályon alapuló felhatalmazás ebben a szektorban a legnagyobb, hiszen magát a hatósági munkát és az önkormányzati működést is (az utóbbi időben salátatörvényekben érkező) jogszabályok tömege szabályozza.
Azt sem szabad elfelejteni továbbá, hogy a GDPR hatálya az önkormányzat intézményeire, gazdasági társaságára is kiterjed. Ezek esetében - lévén kvázi piaci szereplőkről van szó - a NAIH is teljesen más elbírálást alkalmaz egy esetleges audit eljárás során.
Az önkormányzati igazgatás egyes területein a GDPR mellett az ASP szakrendszerek bevezetésével is javulni látszik a biztonsági szint, de csak jelentős terhek árán. Az általam vezetett Budakeszi Polgármesteri Hivatal az elsők között csatlakozott az ASP rendszerhez, és azt látom, hogy a kezdeti komolynak mondható nehézségek az idő múlásával ugyan csökkentek, de még mindig nincs meg a megfelelő támogatás a hivatalok, a köztisztviselők részére a szakrendszerek optimális működéséhez, és így a megfelelő biztonsági szint eléréséhez. Emellé és ezzel együtt megérkezett az elektronikus ügyintézés bevezetésének kötelezettsége és az új közigazgatási rendtartás is, mind egy csomagban szinte egy időben, megosztva a hivatali kollégák figyelmét és erőforrásait.
A GDPR megfelelés kialakításakor abból kell kiindulni - amit a NAIH is mérlegel az ellenőrzések során -, hogy az adatkezelő megtett-e mindent, ami elvárható volt tőle. Azaz a szabályozási és az informatikai környezet megfelelő-e, vagy legalább a megfelelő irányba tart-e a felmérést követően készített intézkedési terv alapján.
A gyakorlatban mi azt látjuk, hogy a megfelelően üzemeltetett információbiztonsági rendszer és jól működő szabályozások mellett a GDPR megfelelés kialakítása sokkal egyszerűbben megvalósítható, mint azt sokan gondolják. Be kell látni, hogy az egész GDPR túl van misztifikálva és a büntetésekkel riogatók ezt a túlfeszített helyzetet tovább fokozzák nap mint nap (cikkekkel, Facebook bejegyzésekkel). Ezzel szemben a NAIH részéről türelmi időről, büntetések helyetti figyelmeztetésekről és korrekt incidenskezelési rendszerről hallunk, amit a gyakorlati munkáink során alá is tudok támasztani. Elsősorban tehát mindenkit nyugalomra intenék, viszont fontos megjegyeznem azt is, hogy az adatvédelem kérdéskörét azért nem lehet a szőnyeg alá, a többi elmulasztott feladat és probléma mellé söpörni.
A hivatalvezetők helyzete nehéz, mivel leterheltségük mellett nincs idejük, lehetőségük részleteiben átlátni a konkrét GDPR feladatokat, nincs olyan sorvezető sem, mint amilyennel egyes szakmák esetében a kamarák által tett ajánlások során találkoztunk. A gyakorlat azt mutatja, hogy valakit kineveznek a kollégák közül adatvédelmi felelősnek - jellemzően a munkavédelmi és egyéb más feladatokkal együtt -, akitől végképp nem várható el az, hogy egymaga váltsa meg a világot. Az azonban leszögezhető, hogy ez a kolléga legalább a konkrét szervezetet, az eljárásokat, a szabályzatok egy részét jól ismeri belülről, ami már fél siker és komoly értéket képvisel, akár anyagi téren is.
A jelenlegi tapasztalatunk az, hogy a GDPR megfelelés az alábbi lépeseken keresztül kellő energia, idő és anyagi ráfordítással elérhető:
1. Adattérkép, adatvagyon készítés
Össze kell állítani az adott szervezet milyen adatokat kezel, milyen folyamatokon és eljárásokon keresztül. A jó hír az, hogy mivel a hivatalok és ön-
- 37/38 -
kormányzatok hatásköre, feladatköre nagyban hasonlóságot mutat, egy már létező sorvezetővel könnyebben összeállítható, mint azt gondolnák.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
