„Nem könnyű feladat megfelelniük az önkormányzatoknak a GDPR előírásainak, hiszen sok kötelezettséggel járó közfeladatot látnak el, és ezek nagyon sokrétű adatkezeléssel járnak – emelte ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) adatvédelmi szakértője az OrientPress Hírügynökség a helyi önkormányzatok lehetőségeiről szóló konferenciáján. A felkészülés időszaka véget ért, már több mint egy éve a folyamatos megfelelés a kihívás – tette hozzá Kelemen Bíborka.
Két nagyon fontos dolognak kell megfelelniük az önkormányzatoknak: az alapelveknek, és annak, hogy az adatkezelésnek legyen megfelelő jogalapja – mondta el a szakember.
Az adatvédelmi incidenseket jelenteni kell a NAIH-nak
Az adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, az azokhoz való jogosulatlan hozzáférést vagy azok jogosulatlan közlését jelenti. Tipikus példája, amikor a személyes adatot tartalmazó pendrive elveszik, ellopják a laptopot, téves címre küldik a levelet vagy az önkormányzati képviselő-testület valamelyik tagja szabadon bejár az irattárba, és minden irathoz hozzáférhet, olyan személyes adatokhoz is, amelyekre nem voltak szükségesek a feladatai ellátásához.
Az adatvédelmi incidenseket a tudomásszerzést követő 72 órán belül be kell jelenteni a hatóságnak. Ezt a NAIK honlapján található rendszeren keresztül, esetleg e-mailen lehet megtenni. Az incidensekről nyilvántartást kell vezetni. Ebben egyébként azoknak az eseteknek is benne kell lenniük, amelyekről úgy gondolta az adatkezelő, hogy csekély jelentőségük miatt nem szükséges jelenteni a hatóságnak (például betörtek egy óvodába, és hozzáférhettek az üzenőfüzetekhez).
A közérdekű bejelentő adatainak védelme kiemelt kötelezettség
Egy friss hatósági ügyet ismertetve elmondta: valaki közérdekű bejelentést tett egy önkormányzathoz, és ezt egy az egyben továbbította a hivatal a vizsgált szervhez, az pedig elbocsátotta a közérdekű bejelentőt, merthogy a munkavállalója volt. Nagyon oda kell figyelni arra, hogy ilyen és hasonló esetek ne fordulhassanak elő! Természetesen a személyes adatok és egyéb beazonosításra alkalmas elemek (például nyelvi elemek) kitakarásával továbbítható az eredeti panasz. Ha ez nem lehetséges, meg kell mondani, hogy nem adható ki az eredeti bejelentés.
Ennek a másik oldala, amikor az önkormányzat illetékes a bejelentéssel kapcsolatos eljárásban. Ebben az esetben arra kell figyelni, hogy korlátozzák a bejelentő személyes adataihoz való hozzáférést, hogy ahhoz ne juthasson hozzá bárki. Arra különösen figyelni kell, hogy a nyilvános képviselő-testületi ülésen ne a panaszt tevő nevével és egyéb személyes adataival kerüljön megvitatásra. Vagy ha mégis így történt, akkor legalább a nyilvános jegyzőkönyvbe ne kerüljön bele.
A szakértő arra hívta fel a hallgatóság figyelmét, ha bármilyen állásfoglalás-kérésük vagy kérdésük van, sikerrel fordulhatnak a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, már csak azért is, mert az önkormányzatoktól érkező beadványokat kötelesek megválaszolni.”
Forrás:
Szakértő: az önkormányzatoknak nehéz megfelelniük a GDPR-nak; OrientPress; 2019. június 25.