A Hétpecsét Információbiztonsági Egyestület, illetve a Gill & Murry által közösen szervezett DPO Klub 2023.05.17-i eseményén tartottunk előadást az Egyesület CLI. számú szakmai rendezvényén, szervezői felkérésre. Az előadás címe a következő volt: Egy önkormányzati DPO mindennapjai – Az adatvédelem és az információszabadság határán. Köszönjük a szervezést, a moderálást, illetve a hallgatóság aktivitását, ami lehetővé tette a szakmai diskurzust az előadás teljes tartalma alatt!
1. A témafelvetés
A témafelvetés mögötti szándék volt, hogy az általános adatvédelmi rendelet (GDPR) közel 5 éves alkalmazása óta a helyi önkormányzati szektorban felmerült több gyakorlati adatvédelmi kérdés megválaszolására a mai napig nem alakult ki egységes álláspont és ennek megfelelően célszerű volt egy olyan, releváns tapasztalattal rendelkező szakértő meghallgatása, aki mindennapi munkája során rendszeresen foglalkozik ezekkel a jogi kérdésekkel.
Az előadás felépítése végig követte az adatvédelmi tisztviselő pozíció kettős jellegét a helyi önkormányzatok vonatkozásában. Mivel a területen működő szervek közfeladatot látnak el, illetve közhatalmat gyakorolnak, természetszerűen kapcsolódik működésükhöz a személyes adatok védelme mellett a nyilvánosság, tehát a közérdekű adatok megismerhetővé tétele. Ugyan az adatvédelmi tisztviselő a GDPR alapján kizárólag a személyes adatokkal összefüggő kérdések kapcsán rendelkezik feladatkörrel, a tapasztalat szerint ténylegesen közérdekű adatigénylések megválaszolásában, valamint a helyi önkormányzatokat érintő közzétételi kötelezettségek teljesítésében is szakértői segítséget nyújt (2011. évi CXII. törvény, azaz Infotv. III. fejezete). Ahhoz azonban, hogy az adatvédelmi tisztviselő az utóbbi feladatokat is köteles legyen ellátni, erre irányuló külön megállapodást kell kötni a helyi önkormányzati szervvel.
2. Szervi meghatározás és a DPO szerepkör
Helyi önkormányzati szervek alatt az előadás keretében elsődlegesen a 2011. évi CLXXXIX. törvény (Mötv.) szerinti helyi önkormányzatokat és polgármesteri hivatalokat, mint jogi személyeket vizsgáltuk, azonban utaltunk arra is, hogy egy ezen szektorban tevékenykedő DPO (adatvédelmi tisztviselő) önkormányzati gazdasági társaságok, illetve intézmények részére is nagy valószínűséggel vállal feladatot, mivel az említett szervek tevékenysége egymással szorosan összefügg.
Az évek során rendszeresen előkerülő kérdést, miszerint melyik szerv köteles (az önkormányzat vagy a hivatal, esetleg mindkettő) a DPO kijelölésére, megvitattuk. Összességében elmondható, hogy vonatkozó magyar hatósági döntés hiányában bármely megoldás elfogadható, amennyiben az megfelel a GDPR adatvédelmi tisztviselőre vonatkozó összeférhetetlenségi és függetlenségi követelményeinek (további részletek ebben a témában itt érhetők el).
Megvizsgáltuk, hogy az adatvédelmi tisztviselői pozícióra vonatkozó belső szabályokat hol és hogyan érdemes rögzíteni, ismertettük az érveket és ellenérveket a belsős munkatársként, illetve a külsős szolgáltatóként eljáró adatvédelmi tisztviselő kijelölése tekintetében (a korábbi cikkünkben leírt problémaköröket is ismertettük), mindezeket a helyi önkormányzatokkal kapcsolatos gyakorlati tapasztalatok szemléltetésével.
3. A DPO feladatai
A területen gyakorló szakemberként általánosságban bemutattuk, hogy önkormányzati adatvédelmi tisztviselőként milyen feladatok ellátásával töltjük időnket. Utaltunk többek között arra, hogy az önkormányzatok fentiek szerinti kettős jellege és a jogszabályi környezet azzal a következménnyel jár, hogy egy állampolgársági megkeresés – annak tartalmától függően – egymástól eltérő előírások alkalmazását teheti szükségessé, így a megfelelő eljárásrend kiválasztása és az ebben való tanácsadás (GDPR szerinti érintetti kérelem, Infotv. szerinti érintetti kérelem, közérdekű bejelentés, Mötv. szerinti képviselői kérdés, Infotv. szerinti közérdekű adatigénylés, egyéb), ha erre kiterjed a megbízása, szintén az adatvédelmi tisztviselő feladata.
Kiemelt jelentőséggel bír az adatvédelmi tisztviselői feladatkörök hatékony ellátása vonatkozásában, hogy az adatvédelmi tisztviselőt meghívja az önkormányzat azon vezetői értekezletekre, bizottsági ülésekre és képviselő-testületi ülésekre, amelyek adatvédelmi és közérdekű adatokkal összefüggő kérdéseket érinthetnek, továbbá több kijelölt kapcsolattartót is biztosítanak számára a napi feladatok ellátásához. Mindemellett speciális feladat a meglévő, illetve a készülő helyi önkormányzati rendeletek adatvédelem és információszabadság szempontjából történő véleményezése, szövegezése az adatvédelmi tisztviselő részéről.
4. Új fejlemények, közterület-felügyelet, gyakorlati példák
Az előadás végén beszámoltunk az információszabadság területét érintő új fejleményekről, így a közérdekű adatigénylések eljárási szabályainak tavaly év végi változásairól, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által létrehozott új felületről, egy idei évtől induló új és minden költségvetési szervre kiterjedő adatszolgáltatási kötelezettségről, valamint a Közadattár nevű felület jelentőségéről az önkormányzatok tekintetében.
Saját tapasztalatainkból vett gyakorlati példák (például egy önkormányzati képviselő által megvalósított adatvédelmi incidens kezelése) ismertetésén felül bemutattuk a közterület felügyelet hatáskörébe tartozó térfigyelő kamerarendszerrel kapcsolatos NAIH tájékoztatót és feltüntettünk a diasorunkon további, nyilvánosan elérhető NAIH állásfoglalásokból eseteket, melyeket az alábbi cikkeinkben dolgoztunk fel korábban:
Képviselő testületi ülés nyilvánossága
NAIH állásfoglalások információszabadság témában
Dr. Miklós Péter ügyvéd
- 05. 23.
Adatvédelemmel, adatvédelmi tisztviselő pozícióval kapcsolatos kérdése van? Keressen bizalommal!
Dr. Miklós Péter / dmp@dmp.hu / +36306485521
