Jelen összefoglaló és gyakorlatközpontú írásunkban a konkrétumokat igyekszünk felvázolni, nem annyira a jogi megfogalmazást, mint inkább a feladatok hétköznapi nyelven való megjelölését szem előtt tartva. Amilyen nyelvi megfogalmazásokat egyébként az uniós rendelet is elvár a magánszemélyek felé, érdekeik és jogaik védelmében.
2016. év áprilisában született meg az Európai Parlament és Tanács 679. számú rendelete, amely immár "összeurópai" szinten szabályozta a magánszemélyek személyes adatainak kezelését és védelmét. Korábban egy 1995. évi Iránymutatás, tehát nem kötelező norma igyekezett támpontokat adni akár a közigazgatás számára is, de elmondható, hogy korlátozott volt a szerepe abban a tekintetben, hogy mennyire vették valódi kockázatnak a be nem tartását.
A GDPR mint immár kötelező rendelet a közlönyben való megjelenésével gyakorlatilag 2016. májustól hatályos, de az első jó hírként a jogalkalmazók, főképpen az adatkezelők kaptak 2 év türelmi felkészülési időt a kötelező alkalmazására, ami 2018. május hó 25. napján jár le.
Mielőtt magába a feladatba belemélyednénk, szeretném felhívni szíves figyelmüket az alábbiakra:
a személyes adatok kezelésének problematikája nem csak a hivatal-ügyfél kapcsolatokat érinti. Ez a legjelentősebb terület, de számos más vonatkozás is kapcsolódik hozzá. Személyes adatokat kezel a hivatal, amikor kezeli a saját köztisztviselői állománya és pályázók személyi anyagát (önéletrajzok, iskolai dokumentumok, igazolások), a térfigyelő kamerák felvételei személyes adatok is lehetnek, a hivatali e-mail címek és fiókok tartalmában is lehetnek személyes adatok, a weboldal is végezhet adatkezelést, s mondjuk a díszpolgárok nyilvántartása vagy az életkorukkal jubiláló helyi nyugdíjas nyilvántartások is érintettek ebben a kérdésben. Az önkormányzatnak mint elvont jogi entitásnak is van kapcsolódó témaköre: a testületi és bizottsági ülések kép- és hangrögzítései és a felvételek nyilvánossá tételei. És ezek csak bemelegítő példák, s mindegy, hogy papíralapú listákról, jegyzetfüzetről, aktákról vagy elektronikus fájlokról beszélünk. S az elvégzendő feladat is részben jogi, részben technikai, szervezési, nem kis részben pedig számítástechnikai.
Országos tapasztalataink alapján a helyi önkormányzatok többsége csak idén ősszel kezdte el a felkészülést, néhány helyi hatóság még csak fontolgatja, de nem elenyésző azon hivatalok száma sem, amelyeknél a feladat megkezdése sem vetődött fel.
A "csúszásban" nagymértékben szerepet játszik az elektronikus eljárás bevezetéséhez kapcsolódó feladat terhe, így az ASP és az új Ákr. okozta többletmunka is. Benyomásaink szerint ezen túl is jelentős gondot okoz, hogy a jegyző kollegák, ügyosztályvezetők vagy akár a kinevezett belső adatvédelmi felelősök sem látják át a konkrét feladatokat, nem tudnak érdemben hozzákezdeni a munkához annak ellenére sem, hogy esetlegesen ősszel már részt vettek 2-3 tanfolyamon GDPR témakörben. Még nagyobb lett a káosz - halljuk sokszor.
Számos tanfolyamon is beszélgettünk hivatali kollégákkal, akik alapvetően bizonyos mértékben értik az új kötelező norma előírásait, egyes részfeladatokat is, de az uniós rendelet fő szellemisége, a jelentősebb változások és az azokhoz kapcsolódó konkrét feladatok, az optimális ütemterv összeállítása komoly nehézséget okoz számukra.
A legnagyobb különbség, ami a hétköznapi hivatali munkára kihatással van: a szabályzatközpontúság helyett jelen esetben a folyamatközpontúságnak kell előtérbe kerülnie.
Korábban az volt a szemlélet, hogy ha van egy szabályzat, akkor ellenőrzéskor majd annak bemutatása elegendő. Ez a "szokásjog" nem csupán az adatvédelemre, de minden egyéb, kötelezően szabályozandó területre is vonatkozott. Május végétől, illetve jobb esetben már most a felkészülés során is alapvető szemléletváltásra van szükségünk az adatkezelések kapcsán.
A személyes adatok kezelésére mint folyamatra kell tekintenünk a jövőben, a maga előírásainak figyelembevételével. Az adatkezelések vonatkozásában időről időre el kell végezni a hatásvizsgálatokat, érdekmérlegelési teszteket, illetve kiemelkedően fontos feladat a kockázatmenedzselés. Ezek még az általános jogászok, ügyvédek számára is ismeretlen fogalmak, nemhogy a jegyzők, szakterület-vezetők számára. Külön nem is kell megijedni tőlük, mivel az alapkérdések nem ezek, ha idáig eljutunk, akkor lesznek rájuk megoldási módozatok.
A legnagyobb kérdés az, hogy egy hivatal vagy egy kijelölt köztisztviselője meg tudja-e belülről oldani a feladat elvégzést, fel tud-e készülni teljes körűen. Ki legyen adatvédelmi tisztviselő, ki dolgozza ki és valósítsa meg az uniós rendeletre való felkészülést.
Birtokában vagyok az információnak, miszerint viszonylag sok hivatal kísérli meg saját erőből a feladat elvégzését. Általában az első lépések azok voltak, hogy az adott kolléga elment továbbképzésre. Aztán még egyre és még egyre, és aztán nagyon összezavarodott a sok elhangzott elméleti ismerettől, így a feladat hozzákezdésében sem jutott sokkal előrébb.
A házon belüli tisztviselő kijelölésének pedig van számos előnye: az adott személy már belülről ismeri a szervezeti struktúrát, az ügyosztályokat, eljárásokat, s a szabályzatok egy részét legalább. Ez azzal is járhatna, hogy magához az uniós rendelethez rendelt feladatok elvégzése kevesebb időbe kerülne. A belső ember "olcsóbb", mint a külső szakértő megbízása, ez tagadhatatlan tényező.
A fő nehézség inkább az, viszont döntő jelentőségű, hogy hiányzik az a mély tapasztalat, szakismeret (hatósági, bírósági, uniós munkacsoport), amit most néhány hónapon belül nem lehet megszerez-
- 31/32 -
ni. Főleg úgy nem, hogy a hétköznapi hivatali feladatokat is "vinni" kell, tehát csak kiegészítő figyelem és ennek megfelelő időmennyiség jut(na) erre a kérdéskörre.
Van még egy nehezítő körülmény: a GDPR-nek megfelelő adatvédelmi tisztségviselő (DPO) posztja egy függetlenített poszt. Leginkább a belső ellenőri szerepnek feleltethető meg, csak egy sokkal kisebb részterületre vonatkozóan. Ez egy speciális jogállású poszt, az erre kijelölt munkavállaló a szervezet vezetőjének van közvetlenül alárendelve, s szakmai tevékenységében nem utasítható, ilyen jellegű munkájával kapcsolatban nem vonható felelősségre.
Számos nehézséget megoldandó problémát fog okozni a jövőben, ha valaki ebben a tisztségében is eljár a hivatalon belül, de egyben egy beosztott tisztviselő is. Nehéz lesz elkülöníteni a gyakorlatban, s nem is a vezetők felé, hanem inkább a személyi állomány felé az adatvédelmi tisztviselő kéréseit, szakmai elvárásait, utasításait. Akkor most az adott személy egy függetlenített személy pozíciójából beszél hozzánk vagy épp ugyanolyan beosztott kolléga-e, mint amúgy mi magunk? Vezetői szinten pedig vannak összeférhetetlenségi kritériumok is. Nem lesznek ezek egyszerű kérdések a hétköznapokban.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
