Adatvédelem, információbiztonság, adatbiztonság…

Nemrégiben magyarországi aktualitást is kapott az adat- és információbiztonság: a szaksajtón kívül a bulvár is foglalkozott egy BKK-s incidenssel. Több hatóság vizsgálatot indított – némelyik saját indíttatásból, néhány konkrét felkérésre.

Jegyző és Közigazgatás (J. K.): Hasonló esetekre számítani lehet az önkormányzati szektorban is?

Jerabek György (J. Gy.): Igen. Az adatok megszerzésére irányuló kísérletek egyre kifinomultabbak és ravaszabbak: ahogy a mindennapunk részévé válik az internethasználat és általában az elektronikus ügyintézés, úgy növekszik annak az esélye, hogy óvatlanul járunk el. Nemrégiben én is posztoltam egy olyan esetet, amelynek elszenvedője voltam, pedig megítélésem szerint a szakmai alapjaim és az információbiztonsági tudatossági szintem is rendben van. Mégis elég volt egy pillanatnyi kihagyás és figyelmetlenség – máris tilthattam le a bankkártyám, mert megadtam az adatait egy adathalász oldalnak… Az önkormányzati szektor kitettsége talán épp az ASP bevezetéséhez kapcsolódó információbiztonsági képzéseknek köszönhetően kisebb, mint azon szervezeteké, ahol nem voltak források a működési és szabályozási keretek kialakítására és az oktatásra.

J. K.: Információ- és adatbiztonság, adatvédelem, GDPR – sokat hallunk ezekről mostanában – mitől ilyen forró ez a téma?

J. GY.: Az új – uniós – adatvédelmi irányelv: 2018. május 25-től kötelezően alkalmazandó lesz. Ez nem csak a közigazgatási szektort tartja izgalomban. A jelenleg hatályos szabályozás és az ASP bevezetése során már élőnek mondható a kapcsolat az információbiztonsági előírásokkal és szabályzatokkal, de a GDPR (General Data Protection Regulation) jelentősen kibővíti a személyes adatok körét. Az egységes európai szabályozás célja épp annak a környezetnek a megteremtésére irányul, hogy a bizalmat teremtse meg és az internet használatát ne csak a magasan képzett szűk elit számára tegye elérhetővé, de olyan feltételeket teremtsen állampolgárai számára, hogy biztonságban tudják az adataikat és tranzakcióikat. Alapvetően ez volt a törvényalkotó szándéka, ennek szellemében fogalmazta meg az irányelvet és a nemzeti adatvédelmi hatóságok ezek alapján egyeztetik azokat az eseteket, amelyeket a jövőben egységesen kezelnek majd az Unión belül. A maximálisan kiszabható bírság mértéke az, ami a vezetőket arra indítja, hogy foglalkozzanak a kérdéssel (20 millió euró vagy a mérlegfőösszeg 4%-a).

J. K.: Komolyan gondolja, hogy az Ön által jelzett nagyságrendű büntetésre kötelezik majd az önkormányzatokat?

J. GY.: Igen. De azért nem eszik ilyen forrón ezt a kását sem! A törvény nemzeti hatáskörben történő szabályozásában lehetőséget ad, hogy bizonyos esetekben felmentést adjon a bírság kiszabására. Ha például az adatok kezelése törvényi felhatalmazás alapján történik, úgy az érintettnek máris korlátozzuk abbéli jogát, hogy ettől a gyakorlattól az adatkezelőt eltiltsa. (Nem kérhetem például a személyes adataim törlését az adóhatósági nyilvántartásból. Pedig volt, akiben már felmerült és jó ötletnek tűnt…). A parlament szeptemberi ülésszakán valószínűleg napirenden lesz a kérdés: árgus szemekkel figyeljük, hol húzódik majd a határ. Kiterjed/kiterjedhet-e az önkormányzati tulajdonú cégekre is, vagy csak maga a hivatal kap bizonyos fokú mentességet? Esetleg a törvény tartalmaz majd egy GDPR klauzulát és az általa meghatározott adatkezelésekre nem kell hatásvizsgálatot végezni, vagy minden önkormányzat a saját hatáskörében fogja majd lefolytani ezt az eljárást? Nem lesznek feladatok nélkül az ezzel foglalkozó szakemberek és a jegyzők sem!

J. K.: Mit tehetnek az önkormányzatok, hogy felkészülhessenek az új szabályozásra?

J. GY.: Azok az önkormányzatok, ahol van megfelelően üzemeltetett információbiztonsági rendszer – a jogszabályban előírt végzettséggel rendelkező információbiztonsági felelőssel – csak azt kell, hogy átgondolják, kit bíznak majd meg az adatvédelmi tisztviselői feladatokkal. A jelenlegi adatvédelmi felelőst készítik fel, vagy olyan szakértőt keresnek, aki megfelelő gyakorlattal és képességekkel felvértezve el tudja látni ezt a feladatot. Az ITOSZ most hirdetett 2018. szeptember 11-i konferenciáján jó néhány kérdésre választ lehet kapni – fel lehet mérni, milyen forrásokat érdemes erre a feladatra elkülöníteni a jövő évi költségvetés tervezésekor. (lásd 42. old. – szerk.)

J. K.: Említette az ASP-s bevezetésekhez kapcsolódó információbiztonsági szabályzatokat és az információbiztonsági felelősi feladatokat. Mi a tapasztalata: hogyan működnek ezek a már bevezetett rendszereknél?

J. GY.: Vegyes tapasztalataink vannak. Vannak önkormányzatok – és nem feltétlenül a nagyobbak közül valók –, ahol átérezték a téma fontosságát és az elnyert támogatást hatékonyan költötték el. Vannak olyanok, ahol a pályázati határidők értelmezésekor nem volt egyértelmű, hogy az információbiztonsági szabályzatoknak már az első olyan szakrendszer üzembeállásakor rendelkezésre kell állniuk, amikor az ASP-hez csatlakoznak. Néhány település pedig még semmiféle adatot nem szolgáltatott a hatóságnak – itt feltételezni sem tudom, milyen rendszer üzemel –, valószínűnek tartom, hogy az ellenőrzési lista elején az ő neveikkel találkozunk majd! A hatóság az adatvédelmi incidensek kivizsgálásakor különös súllyal mérlegeli, hogy az adatkezelő megtett-e mindent, ami elvárható volt tőle. Az Olvasókra bízom, hogy a saját hivatalukra ebből a szempontból a hatóság szemüvegén keresztül tekintve, milyen következtetésekre jutnak!

J. K.: A fentieken kívül vár még ránk újabb feladat?

J. GY.: Vár. Az elektronikus ügyintézéshez kapcsolódóan nemcsak azoknak az önkormányzatoknak kell ügyfélportált rendszerbe állítani, akik erre a feladatra az ASP pályázat során pénzt kértek – és kaptak –, hanem a többieknek is. Sok a kérdés még, de megfelelő partner kiválasztása esetén, az ezekre adandó válaszokat könnyebb lesz megtalálni. Ennek kialakítása során pedig már természetesen mindannyian eszünkbe véstük, hogy figyelemmel kell lennünk mind az információbiztonsági, mind az adatvédelmi előírásokra!