A 2013. évi L. törvény (Ibtv.) végrehajtási rendelete, a 41/2015. (VII. 15.) BM rendelet 3.2.1.4.1.2–3.2.1.4.1.9-es pontjai szerint a polgármesteri hivatal kíséri a létesítménybe ad-hoc belépésre jogosultakat, figyelemmel követi a tevékenységüket, a belépések adatait rögzíti és a szükséges ideig megőrzi, valamint felügyeli a kijelölt pontokon történő átjutásokat. A megvalósításért a jegyző mint informatikai vezető felel.

Fenti előírások már a 2. biztonsági osztályra is kötelező jellegűek, a hivatalok pedig ennél magasabb besorolásúak. Az általános besorolás 3-as, azonban például az ASP rendszernek vagy az ASZA munkaállomásnak helyt adó helyiségek – mivel alacsonyabb besorolású rendszer nem csatlakozhat magasabbra sorolthoz – már 4-es biztonsági szintbe tartoznak.

A fentieknek való megfelelés megvalósítható a hivatalhoz tartozó személy jelenlétével, élőerős őrzéssel, illetve kamerarendszer alkalmazásával. Belátható, hogy az előbbiek esetében a figyelemmel kíséréshez annyi személyre lenne szükség, ahány látogató érkezik egyszerre a létesítménybe. A legtöbb hivatalban erre nincs sem személyi, sem anyagi erőforrás, így egyedüli megoldásként csak a kamerarendszer használata marad megvalósítható. A rögzítőrendszer kiépítése egy alkalmazott egy-két havi fizetéséből kivitelezhető egy átlagos hivatal esetében.

Most azon jegyzők számára szolgálok jó hírrel, akik eddig azért nem mertek kamerarendszer kiépítésébe kezdeni, mert ennek kapcsán tartottak az Európai Unió Általános Adatvédelmi Rendeletétől (GDPR). Az állami és önkormányzati szervek információs rendszerei tekintetében az operatív feladatok működtetésére a Nemzetbiztonsági Szakszolgálat (NBSZ) került kijelölésre, amelyen belül létrehozták a Nemzeti Kibervédelmi Intézetet (NKI). Mivel a személyes adatok nemzetbiztonsági felügyelet alatt álló kezelésére a 2011. évi CXII. törvényt (Infotv.) kell alkalmazni, annak 4. § (1) bekezdése megteremti a jogalapot. Ezáltal az adatkezelés jogalapja nem jogos érdek lesz, mint általában a vagyonvédelmi kamerarendszereknél, hanem a személyes adatot a hivatal közfeladatot ellátó szervként, jog gyakorlása és kötelezettség teljesítése érdekében kezelheti, az érintettek megfelelő tájékoztatása (14–16. §) azonban továbbra is kötelező.

Figyelemmel kell lenni arra is, hogy vagyonvédelmi kamerarendszer kiépítését és karbantartását kizárólag a rendőrség által a vállalkozás kérelmére kiadott működési engedély birtokában végezheti a megbízott vállalkozó (2005. évi CXXXIII. törvény 5. §). Amennyiben a felügyelet vagy a karbantartás a személyes adathoz (képmás) történő hozzáféréssel is jár, a hivatal köteles adatfeldolgozói szerződést is kötni a vállalkozással, melynek kötelező tartalmi elmeit a GDPR 28. cikke szabályozza.

Fontos kiemelni, hogy az Infotv. egyéb rendelkezései ugyanúgy érvényesek továbbra is! Az információbiztonság megvalósítása nemcsak a 41/2015. (VII. 15.) BM rendelet, hanem az Infotv. 25/I. § szerint is kötelező. Ennek megvalósítását természetesen a kötelezően kinevezendő információbiztonsági felelős [Ibtv. 11. § (1) bek. c) pont] és az adatvédelmi tisztviselő (Infotv. 25/L. §) is segíti a hivatalban szakmai útmutatásokkal. Szintén kötelező az adatkezeléshez tartozó adatvédelmi előírások megvalósítása, mint például az adatfeldolgozókkal megfelelő szerződés kötése, az adatkezelések, az adatfeldolgozások és az incidensek nyilvántartása, valamint az adatvédelmi hatásvizsgálat elvégzése, aminek ki kell térnie az elfogadható megőrzési időre is.

Az adatvédelmi hatásvizsgálat esetében a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nem elégszik meg egy általános szövegezésű dokumentummal, hanem konkrét kockázatfelmérést vár el. A nem megfelelő adatkezelés pénzbírságot vonhat maga után, ami elérheti a húszmillió forintot is. Ezenfelül a Büntető Törvénykönyvről szóló 2012. évi
C. törvény 219. §-a szerint, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével jelentős érdeksérelmet okozva jogosulatlanul személyes adatot kezel, vagy az adatok biztonságát szolgáló intézkedéseket elmulasztja, vétség miatt egy évig terjedő szabadságvesztéssel büntetendő. A büntetés bűntett miatt három évig terjedő szabadságvesztés, ha a személyes adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el.