Összefoglaló önkormányzatok számára („GDPR”) – gyakorlati megoldások

Forrás: jegyzo.hu

Jelen összefoglaló és gyakorlatközpontú írásunkban a konkrétumokat igyekszünk felvázolni, nem annyira a jogászi aprólékosságot, precíz megfogalmazást, mint inkább a feladatok hétköznapi nyelven való megjelölését szem előtt tartva. Amilyen nyelvi megfogalmazásokat egyébként az uniós rendelet is elvár a magánszemélyek felé, érdekeik és jogaik védelmében.

2016. év áprilisában született meg az Európai Parlament és Tanács 679. számú rendelete, amely immár „összeurópai” szinten szabályozta a magánszemélyek személyes adatainak kezelését és védelmét. Korábban egy 1995. évi Iránymutatás, tehát nem kötelező norma igyekezett támpontokat adni akár a közigazgatás számára is, de elmondható, hogy korlátozott volt a szerepe abban a tekintetben, hogy mennyire vették komoly veszélynek a be nem tartását.

A GDPR mint immár kötelező rendelet a közlönyben való megjelenésével gyakorlatilag 2016. májustól hatályos, de az első jó hírként a jogalkalmazók, főképpen az adatkezelők kaptak 2 év türelmi felkészülési időt a kötelező alkalmazására, ami 2018. május hó 25. napján jár le.

 

Mielőtt magába a feladatba belemélyednénk, egy alapvető figyelemfelhívás:

a személyes adatok kezelésének problematikája nem csak a hivatal–ügyfél kapcsolatokat érinti. Ez a legjelentősebb terület, de számos más vonatkozás is kapcsolódik hozzá. Személyes adatokat kezel a hivatal, amikor kezeli a saját köztisztviselői állománya és pályázók személyi anyagát (önéletrajzok, iskolai dokumentumok, igazolások), a térfigyelő kamerák felvételei személyes adatok is lehetnek, a hivatali e-mail címek és fiókok tartalmában is lehetnek személyes adatok, a weboldal is végezhet adatkezelést, s mondjuk a díszpolgárok nyilvántartása vagy az életkorukkal jubiláló helyi nyugdíjas nyilvántartások is érintettek ebben a kérdésben. Az önkormányzatnak mint elvont jogi entitásnak is van kapcsolódó témaköre: a testületi és bizottsági ülések kép- és hangrögzítései és a felvételek nyilvánossá tételei. És ezek csak bemelegítő példák, s mindegy hogy papír alapú listákról, jegyzetfüzetről, aktákról vagy elektronikus fájlokról beszélünk. S az elvégzendő feladat is részben jogi, részben technikai, szervezési, nem kis részben pedig számítástechnikai.

Jelenlegi felkészülés, a „csúszás”

Országos tapasztalataink alapján a helyi önkormányzatok többsége leginkább csak idén ősszel kezdte el a felkészülést, illetve jó néhány helyi hatóság még csak fontolgatja, illetve nem elenyésző számú hivatal tolja még maga előtt a feladat megkezdését is.

A „csúszásban” nagymértékben szerepet játszik az elektronikus eljárás bevezetéséhez kapcsolódó feladatteher, így az ASP és az új ÁKR okozta többletmunka is. Benyomásaink szerint ezen túl is jelentős gondot okoz, hogy a jegyző kollegák, ügyosztályvezetők vagy akár a kinevezett belső adatvédelmi felelősök sem látják át a konkrét feladatokat, nem tudnak érdemben hozzákezdeni a munkához. Még úgy sem, hogy akár most ősszel elmentek 2-3 tanfolyamra GDPR témakörben. Még nagyobb lett a káosz – halljuk sokszor.

Számos tanfolyamon is beszélgettünk hivatali kollegákkal, akik alapvetően egy bizonyos mértékben értik az új kötelező norma előírásait, egyes részfeladatokat is, de az uniós rendelet fő szellemisége, a jelentősebb változások és az azokhoz kapcsolódó konkrét feladatok, az optimális ütemterv összeállítása javarészt túlzott nehézséget okoz számukra.

Szabályzatközpontúság kontra folyamatközpontúság

A legnagyobb különbség, ami a hétköznapi hivatali munkára kihatással van: a szabályzatközpontúság helyett a folyamatközpontúság kerül előtérbe.

Korábban az volt a szemléletünk, hogy ha van egy szabályzatunk, akkor ellenőrzéskor majd azt bemutatjuk és addig nincs semmi gondunk és feladatunk, nem kell a témával foglalkozni. Ez mind az adatvédelemre, mind másra is vonatkozott. Május végétől, illetve jobb esetben már most a felkészülés során is alapvető szemléletváltásra van szükségünk az adatkezelések kapcsán.

A személyes adatok kezelésére, mint folyamatra kell tekintenünk a jövőben, a maga előírásaival. Időről időre járulhatnak hozzá hatásvizsgálatok, kockázatkezelések, illetve érdekmérlegelési tesztek elvégzésére is sor kerülhet. Ezek még az általános jogászok, ügyvédek számára is ismeretlen fogalmak, nemhogy a jegyzők, szakterület-vezetők számára. Külön nem is kell megijedni tőlük, mivel az alapkérdések nem ezek, ha idáig eljutunk, akkor lesznek rájuk megoldási módozatok.

A legelső eldöntendő kérdés

A legnagyobb kérdés az, hogy egy hivatal vagy egy kijelölt köztisztviselője meg tudja-e belülről oldani a feladat elvégzést, fel tud-e készülni teljes körűen. Ki legyen adatvédelmi tisztviselő, ki dolgozza ki és valósítsa meg az uniós rendeletre való felkészülést.

Birtokában vagyok az információnak, hogy viszonylag sok hivatal kísérli meg így, saját erőből a feladat elvégzést. Általában az első lépések azok voltak, hogy az adott kolléga elment egy továbbképzésre. Aztán még egyre és még egyre. És aztán nagyon összezavarodott a sok elhangzott elméleti ismerettől, s így a feladat hozzákezdésében sem jutott sokkal előrébb.

A házon belüli tisztviselő kijelölésének pedig van számos előnye: az adott személy már belülről ismeri a szervezeti struktúrát, az ügyosztályokat, eljárásokat, s a szabályzatok egy részét legalább. Ez azzal is járhatna, hogy magához az uniós rendelethez rendelt feladatok elvégzése kevesebb időbe kerülne. A „belső ember” olcsóbb is, mint a külső szakértő megbízása, ez tagadhatatlan tényező.

Az egyetlen fő nehézség inkább az, és ez viszont döntő jelentőségű, hogy hiányzik az a mély tapasztalat, szakismeret (hatósági, bírósági, uniós munkacsoport), amit most néhány hónapon belül nem lehet megszerezni. Főleg úgy nem, hogy a hétköznapi hivatali feladatokat is „vinni” kell, tehát csak kiegészítő figyelem és ennek megfelelő időmennyiség jut(na) erre a kérdéskörre.

Van még egy nagy nehézség: a GDPR-nek megfelelő adatvédelmi tisztségviselő (DPO) posztja egy függetlenített poszt. Leginkább a belső ellenőri szerepnek feleltethető meg, csak egy sokkal kisebb részterületre vonatkozóan. Ez egy speciális jogállású poszt, csak a szervezet vezetőjének van közvetlenül alárendelve, s szakmai tevékenységében nem utasítható, ilyen jellegű munkájával kapcsolatban nem vonható felelősségre.

Számos nehézséget fog okozni a jövőben, ha valaki ebben a tisztségében is eljár a hivatalon belül, de egyben egy beosztott tisztviselő is. Nehéz lesz elkülöníteni a gyakorlatban, s nem is a vezetők felé, hanem inkább a személyi állomány felé az adatvédelmi tisztviselő kéréseit, szakmai elvárásait, utasításait. Hogy akkor most az adott személy egy függetlenített személy pozíciójából beszél hozzánk vagy most épp ugyanolyan beosztott kolléga-e, mint amúgy mi magunk? Vezetői szintem pedig vannak összeférhetetlenségi kritériumok is. Nem lesznek ezek egyszerű kérdések a hétköznapokban.

Akcióterv, cselekvési program, ütemterv

Az uniós rendelet két évet adott egy nem kicsi feladat elvégzésére, így a hivatalok többsége most már a hátralévő fél évből sem tud kényelmesen gazdálkodni. Az első/második feladat, döntés az, hogy milyen ütemtervet állítunk fel a sokrétű feladatok elvégzésére, mi lesz a konkrét tervünk? Melyek is egy ideális és optimális ütemterv részegységei?

1.) Adattérkép elkészítése

Az első és legnagyobb, több hónapot is igénylő lépés: az összes adatkezelési művelet, folyamat, az összes általunk kezelt személyes adat számbavétele és rögzítése. Művésznéven lehet ezt Adattérképnek vagy Adatvagyon leltárnak szólítani. Hangsúlyozzuk ismételten: nem csak arról beszélünk, amikor egy hatósági vagy általános igazgatási ügyünk van, ügyféllel. Az adattérképben fel kell tüntetni azt is, amikor egy érdeklődő, kérelmező küld egy e-mailt vagy betelefonál és felírjuk az adatait. Vagy valaki közérdekű adatot igényel, bejelent, panaszkodik, bármit tesz, amihez adja nevét, telefonszámát, e-mail címét vagy más azonosító adatát. Az adattérkép elkészítésére nincs forma, csinálhatjuk Excel-táblában vagy akár papír alapon is. Egy a lényeg: teljes körű legyen. Ne hagyjunk ki semmit, a polgármester úr/hölgy feljegyzéseit, a hirdetőtábláink kifüggesztéseit és az üdvözlőkártyák címlistáját sem.

2.) Elemzések, értékelések elvégzése

Egy jó adattérkép elkészítése után kénytelenek vagyunk egy elemző és értékelő tevékenységet végezni. Minden egyes adatkezelésre vonatkozóan át kell tekinteni, hogy jogszerűen teszem-e, van-e hozzá jogalapom, célhoz kötött-e, érvényesülnek-e a garanciális jogok, tájékoztatások. A jelenleg is hatályos Infotörvény (2011. évi CXII. törvény) jogalapjait jelentősen megváltoztatja és szélesíti a GDPR, de körültekintően kell eljárni. Egy példa: engedi a jegyzőnk, hogy hivatali gépeken vagy hivatali e-mail címen keresztül privát tartalom (pl.: a gyerekem óvodai fotóját küldik az óvodából) is bekerüljön a hivatal informatikai rendszerébe? Ez például egy alapkérdés, bármilyen lényegtelennek is tűnik. Az elemzéshez szükségszerűen hozzá kapcsolódhat egy kockázatkezelési eljárás, mérlegelés, hatásvizsgálat. Meg kell határozni, hogy milyen adatkezelések nem folytathatók tovább, mert jogilag védhetetlenek. Ezeket a megállapításokat nagyon körültekintően kell meghozni.

3.) Adattisztítás

Ha már teljes körűen látható, hogy milyen adatkezeléseket végez a hivatal, önkormányzat, intézmény vagy önkormányzati cég és már tudom, hogy milyen adatkezeléseket nem lehetséges jogszerűen tovább folytatni, akkor szükséges az adattisztítást végrehajtani. Ez annyit jelent, hogy megszüntetem, törlöm, elhagyom a védhetetlen adatkezeléseket, adatbázisokat, feljegyzéseket, listákat. A gyakorlatban ez járhat selejtezési, iratmegsemmisítési, fájltörlési cselekményekkel.

4.) Belső eljárásrendek, iratminták, tájékoztatók kidolgozása, oktatások megszervezése

Ha már teljesen nyilvánvaló és akár vezetői szinten is eldöntött vagy jóváhagyott, hogy mely adatkezelések, milyen adatkörrel és mennyi ideig maradhatnak meg, akkor arra a hivatalon belül egy átlátható, védhető és az adatvédelmet beépített szemléletként és funkcióként kezelő eljárásrendi szabályrendszert kell kidolgozni. Olyan kérdésekre is kiterjed, hogy például mit csinál az ügyfélszolgálatos, amikor valaki megadja a telefonszámát, milyen tájékoztatást nyújtunk egy hivatali helyre pályázó jelentkezőnek az önéletrajzára vonatkozóan vagy milyen tájékoztatót teszünk ki a fő téren a térfigyelő kamerák alá. És még nagyon sok példa lehet, így nagyon sok feladat is van.

Ha elkészültek a folyamatleírások, utasítások, akkor természetesen a személyi állománynak el is kell sajátítani a feladatokat. Visszautalunk jelen írás elejére a szabályzatközpontúsághoz: most már ebben a feladatban sem lesz elég egy megismerési nyilatkozat aláíratása a közszolgával, hogy az adatvédelmi szabályzat tartalmát megismerte és vállalja, hogy be fogja tartani a benne leírtakat. Nem fogja tudni megvalósítani, mert az egész szellemiségét, fő ismertető jegyeket nem érti. Belső, külső oktatások szükségesek a szemléletmód megváltoztatásához nagyon jól összerakott oktatási anyagokkal. Irodánk például ezért is készített oktatási csomagot, amelynek kidolgozása során magunk is tanultunk, szembesültünk olyan kérdésekkel, amelyek eddig elkerülték a figyelmünket.

5.) Szabályzatok elkészítése

Bármilyen meglepő, de csak most, az ötödik lépésben kerülhet sor a szabályzatok részletes kidolgozására, vagy annyi engedmény alkalmazható, hogy az előző 4. ponttal cseréljük fel az időbeli sorrendet. Minimum 5-6 adatvédelmi és adatkezelési szabályzatot kell különböző feladatokra elkészíteni, de inkább 10 körül van a kapcsolódó és szükséges szabályzatok száma. Nóvumként, új előírásként például adatvédelmi incidenskezelési és -bejelentési szabályzatra is szükség lesz. Senkinek nem lesz könnyű úgy elkészíteni, ha nincs gyakorlata adatkezelési szabályzatok kidolgozásában. Súgásként tudunk segíteni, hogy az információbiztonsági szabályzat vonatkozó részét részben fel tudjuk itt is használni, de nem számítástechnikai, hanem jogi és az érintett magánszemély jogi érdekének a szempontjából kell megragadni a feladatot.

Bónusz (már a feladatok megkezdésekor mindenképpen vegyük figyelembe):

A fenti feladatsor véghezvitele kapcsán alapelvi szinten és szellemiség-központúan az alábbiak lebegjenek a szemünk előtt, túl azon, hogy a szabályzatközpontúság helyett immár a folyamatközpontúság tudatosodott bennünk:

  • az egész uniós rendelet központi magva az elszámoltathatóság, azaz legyen egyértelműen világos számomra mint adatkezelő számára, hogy milyen adatot, miért, milyen felhatalmazás alapján, hol tárolva, mennyi ideig kezelek. Lássam át a rendszert, tudjam bizonyítani, hogy (szinte) mindent megtettem a magánszemélyek privát szférájának védelme érdekében és legyek tudatában, hogy igen magas bírsággal, akár több tíz vagy százmillió forintos bírságteherrel járok el egyszerű ügyintézőként is,
  • az adatkezelést mint tevékenységet, az egyes feladatokat, műveleteket tudnom kell besorolni a kockázati szintek szerint, tudatában kell, hogy legyek hivatalt vezető jegyzőként, hogy az egyes cselekményeim, eljárásaim milyen kockázattal járnak a magánszemélyek adataira nézve,
  • az összes adatkezelési műveletemet, tevékenységeimet, eljárásrendemet úgy kell megszerveznem és kidolgoznom, hogy a beépített adatvédelem elve érvényesüljön, azaz egy hatósági ellenőrzéskor is tudjam bizonyítani, hogy a fentiek során vagy bármilyen szoftver alkalmazása során is maximális tekintettel vagyok az adatvédelem szabályrendszerére,
  • az adatkezelési tevékenységemet folyamatosan monitorozom, ellenőrzöm, szükség esetén változtatom és folyamatosan képzem, oktatom az adatkezelést végző közszolgákat és az ilyen tevékenységem elvégzését iratokkal tudom igazolni majd az adatvédelmi hatóságnak.

Irodánk tudatában van annak, hogy az elektronikus eljárások bevezetéséhez kapcsolódó óriási munkateher jelentős energiákat vett el a még messzinek tűnő májusig elvégzendő feladatok elől.

Ugyanakkor azt is tapasztaljuk partner-hivatalaink visszajelzéseiből, hogy a költségvetés kidolgozása és elfogadása, az új Ákr.-hez való igazodás, majd a választási előkészületek és azok lebonyolítása szintén jelentős terheket jelez már most előre.

Nem tudunk vitatkozni azzal a gyakorta feltett kérdéssel és véleménnyel: kaptak ehhez az önkormányzati hivatalok, hatóságok emberi erőforrást, szakmai támogatást és plusz anyagi forrást? Ismerjük a nemleges választ, s ennek fényében még riasztóbb a bevételek 4%-át elérő potenciális bírság.



NE HALOGASSA, KEZDJE EL VAGY FOLYTASSA A GDPReg RENDSZERBEN!


Hírlevél • GDPReg Kft.

Hírlevél feliratkozás

IP Monitoring - GDPReg - Kövessen minket Facebookon is!