A GDPR (General Data Protection Regulation) az Európai Parlament és a Tanács (EU) 2016/679 egységes adatvédelmi rendelete, amely 2018. május 25-től kötelezően és közvetlenül alkalmazandó az Európai Unió valamennyi tagállamában. A rendelet megalkotásának célja, hogy a magánszemélyekre vonatkozó adatok, tranzakciók tárolása és feldolgozása biztonságos keretek között történjen. A GDPR alapvetően szemléletváltást hoz(ott) az adatok kezelésében, mely jelentősen átalakítja az eddigi megszokott munkafolyamatokat, rendszereket, szabályozásokat. És ha a közszféra valamit nem szeret, az pont a változás!

A GDPR céljaival, azt gondolom, hogy mindenki egyetért, a módszereivel már kevésbé, de az tény, hogy az eddig széttagolt joganyag végre egységes rendeletben öltött testet, ami jogtechnikailag fontos evolúciós lépés.

Az önkormányzatok elektronikus információbiztonságával kapcsolatban a hazai jogalkotás [a 2013. évi L. törvény és a hozzá kapcsolódó 41/2015. (VII. 15.) BM rendelet, valamint 2011. évi CXII. törvény] már korábban is előírásokat fogalmazott meg. Időközben megjelent a  2018. évi XIII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról, de várható még néhány újabb módosítás az őszi ülésszakban is. Az önkormányzati szektor bizonyos értelemben jelenleg szabályozottabbnak és biztonságosabbnak mondható a magyarországi vállalati szektorhoz képest, de a mindenki által ismert problémák (tárgyi és személyi feltételek hiánya) miatt közel sem tökéletes.

Kit terhel az adatvédelmi szabályzat megalkotásának kötelezettsége?

A NAIH iránymutató válasza alapján a szabályzatalkotó a képviselő-testület azon szerve, amely a jogalkotó szerint a kötelezően ellátandó önkormányzati vagy államigazgatási feladat- és hatáskör címzettje. Az önként vállalt feladatok esetén a képviselő-testületnek rendeletben szükséges döntenie az adatkezelő személyéről. Az adatkezelés vagy -feldolgozás jogalapjának meghatározása sorána jogszabályon alapuló felhatalmazás ebben a szektorban a legnagyobb, hiszen magát a hatósági munkát és az önkormányzati működést is (az utóbbi időben salátatörvényekben érkező) jogszabályok tömege szabályozza.

Azt sem szabad elfelejteni továbbá, hogy a GDPR hatálya az önkormányzat intézményeire, gazdasági társaságára is kiterjed. Ezek esetében – lévén kvázi piaci szereplőkről van szó – a NAIH is teljesen más elbírálást alkalmaz egy esetleges audit eljárás során.

Az önkormányzati igazgatás egyes területein a GDPR mellett az ASP szakrendszerek bevezetésével is javulni látszik a biztonsági szint, de csak jelentős terhek árán. Az általam vezetett Budakeszi Polgármesteri Hivatal az elsők között csatlakozott az ASP rendszerhez, és azt látom, hogy a kezdeti komolynak mondható nehézségek az idő múlásával ugyan csökkentek, de még mindig nincs meg a megfelelő támogatás a hivatalok, a köztisztviselők részére a szakrendszerek optimális működéséhez, és így a megfelelő biztonsági szint eléréséhez. Emellé és ezzel együtt megérkezett az elektronikus ügyintézés bevezetésének kötelezettsége és az új közigazgatási rendtartás is, mind egy csomagban szinte egy időben, megosztva a hivatali kollégák figyelmét és erőforrásait.

 A GDPR megfelelés kialakításakor abból kell kiindulni – amit a NAIH is mérlegel az ellenőrzések során –, hogy az adatkezelő megtett-e mindent, ami elvárható volt tőle. Azaz a szabályozási és az informatikai környezet megfelelő-e, vagy legalább a megfelelő irányba tart-e a felmérést követően készített intézkedési terv alapján.

A gyakorlatban mi azt látjuk, hogy a megfelelően üzemeltetett információbiztonsági rendszer és jól működő szabályozások mellett a GDPR megfelelés kialakítása sokkal egyszerűbben megvalósítható, mint azt sokan gondolják. Be kell látni, hogy az egész GDPR túl van misztifikálva és a büntetésekkel riogatók ezt a túlfeszített helyzetet tovább fokozzák nap mint nap (cikkekkel, Facebook bejegyzésekkel). Ezzel szemben a NAIH részéről türelmi időről, büntetések helyetti figyelmeztetésekről és korrekt incidenskezelési rendszerről hallunk, amit a gyakorlati munkáink során alá is tudok támasztani. Elsősorban tehát mindenkit nyugalomra intenék, viszont fontos megjegyeznem azt is, hogy az adatvédelem kérdéskörét azért nem lehet a szőnyeg alá, a többi elmulasztott feladat és probléma mellé söpörni.

A hivatalvezetők helyzete nehéz, mivel leterheltségük mellett nincs idejük, lehetőségük részleteiben átlátni a konkrét GDPR feladatokat, nincs olyan sorvezető sem, mint amilyennel egyes szakmák esetében a kamarák által tett ajánlások során találkoztunk. A gyakorlat azt mutatja, hogy valakit kineveznek a kollégák közül adatvédelmi felelősnek – jellemzően a munkavédelmi és egyéb más feladatokkal együtt –, akitől végképp nem várható el az, hogy egymaga váltsa meg a világot. Az azonban leszögezhető, hogy ez a kolléga legalább a konkrét szervezetet, az eljárásokat, a szabályzatok egy részét jól ismeri belülről, ami már fél siker és komoly értéket képvisel, akár anyagi téren is.

A GDPR megfelelés lépései

A jelenlegi tapasztalatunk az, hogy a GDPR megfelelés az alábbi lépeseken keresztül kellő energia, idő és anyagi ráfordítással elérhető:

1. Adattérkép, adatvagyon készítés
   Össze kell állítani az adott szervezet milyen adatokat kezel, milyen folyamatokon és eljárásokon keresztül. A jó hír az, hogy mivel a hivatalok és önkormányzatok hatásköre, feladatköre nagyban hasonlóságot mutat, egy már létező sorvezetővel könnyebben összeállítható, mint azt gondolnák.

2. Intézkedési terv készítés
   Össze kell állítani azt, hogy a jelenlegi folyamatokat hol és milyen mértékben kell átalakítani, milyen biztonsági megoldásokat kell alkalmazni ahhoz, hogy az adatvagyon biztonságban legyen. Ezt érdemes határidőkhöz és felelősökhöz kötni, a belső ellenőri jelentés mintájára.

3. Intézkedési terv implementáció
   Itt javasolt apró falatokkal haladni, mint amikor az elefántot készülünk megenni, különben torkunkon akadhat a GDPR falat, tehát mi azt javasoljuk, hogy az intézkedési tervben foglaltakat érdemes részfeladatokra bontva megoldani. Azt javasoljuk, hogy azzal a feladattal kezdjünk, ami nem vagy igen csekély anyagi ráfordítást igényel, és fokozatosan haladjunk a nagyobb költségekkel járó feladatok felé, kímélve a szervezet költségvetését.

4. Szabályzatok és a kapcsolódó dokumentumok elkészítése
   Számos olyan, a NAIH állásfoglalásokban szereplő szabályzat, nyilatkozat és tájékoztató elkészítése szükséges, melyek a szervezet működésére vonatkoznak és egyben egy adott ellenőrzés során vizsgálnak.

5. Oktatás
   Nagyon fontosnak tartjuk a kollégák oktatását, ahol a konkrét kérdéseket, problémákat és a munkafolyamatok során tapasztaltakat gyakorlati példákon keresztül átbeszélve lehet a GDPR előírásokat alkalmazni.

Összegezve

Ha nem mélyedt bele a GDPR rejtelmeibe, vagy talán ezt a cikket sem olvasta végig, néhány tanácsot fogadjon el, mely pénzébe nem kerül, csak az idejébe, amíg elolvassa és végiggondolja:

• Ne kizárólag külső erőforrásban gondolkodjanak a GDPR felkészülés során. A legjobb megoldás véleményem szerint egy-két belső kolléga részvételével és külső cég bevonásával felkészülni, mivel a szervezetre vonatkozó egyedi sajátosságok így tudnak a szaktudással találkozni a siker érdekében. Ez természetesen költséghatékonyabb megoldás is, ami egy költségvetési szerv esetében fontos szempont.
• Ha külső szakértőt vesznek igénybe, fontosnak tartom, hogy a jogi végzettség mellett az adatvédelem terén legyen szakjogászi vagy egyéb szakképesítése, de ami ennél is fontosabb, hogy belülről, a gyakorlatból ismerje a közigazgatást, az önkormányzatokat, mert különben nem fognak egy nyelvet beszélni!
• Az üzemeltetésért felelős rendszergazdák mellett érdemes olyan információbiztonsági felelőssel is együttdolgozni, aki maga is üzemeltet önkormányzati rendszereket és ismeri az ASP működését is. Ő fog ugyanis kipróbált és igazán költséghatékony megoldásokat javasolni, bevezetni.
• Készítsenek 2–3 éves kifutású intézkedési tervet a GDPR megfelelőség kialakítására, a költségek megosztására, tekintettel az anyagi források rendelkezésre állásának függvényében.
• Nagyon fontos, hogy a megalkotott szabályzatok maguktól nem fognak beépülni a folyamatokba, még akkor sem, ha egy nyilatkozaton vagy jegyzőkönyvön a köztisztviselő ezt aláírta, tehát a tűz- és munkavédelemhez hasonlóan új belépők esetében és időszakos rendszerességgel a meglévő állománynál az oktatás legalább olyan fontos, mint a papírhegyekben álló szabályzatok.
• A jelenlegi belső ellenőr mintáját követve oldják meg az adatvédelmi tisztviselői (DPO) feladatokat saját szervezetüknél. Nagyobb hivataloknál belsős, csak ezzel a feladatkörrel foglalkozó kolléga, kisebb hivatalok esetében külső szakértő bevonása indokolt.
• Kössenek a jelenlegi felelősségbiztosítás mellé kiegészítő GDPR biztosítást, mely a káreseményekre és magára az esetleges bírságra is fedezetet nyújt.