Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet, GDPR) a személyes adatok kezelésére vonatkozóan alapelveket határoz meg, az alapelvek teljesüléséhez pedig részletes követelményrendszert állapít meg. A hetedik alapelv az elszámoltathatóság elve.

A GDPR az elszámoltathatóságot a korábbi szabályozásokkal szemben alapelvi szintre emelte és központi szerepbe helyezte. Az alapelv röviden megfogalmazva annyi jelent, hogy az adatkezelő alakítsa ki azokat a belső szabályokat, folyamatokat, mechanizmusokat, amelyek a rendeletből fakadó kötelezettségek teljesítéséhez szükségesek, másrészt képes legyen a megfelelés bemutatására. Sem a GDPR, sem más szabályozók nem részletezik nagy mélységben az elszámoltathatósággal kapcsolatos elvárásokat, de az alapelvek összessége alapján meghatározhatók a kötelezettségek.

 

SZERVEZETEN BELÜLI FELADATOK

Ez a rövid rendelkezés azonban jelentős adminisztrációs terhet jelent az adott szervezet részére, ugyanis magába foglalja:

- a kezelt személyes adatok, az adatkezelési feladatok tételes és folyamatszerű felmérését, a hat alapelvnek való megfelelőség igazolását és ennek dokumentációját,

- az adatkezeléssel kapcsolatos tájékoztatások, hozzájárulások dokumentálását,

- az adatkezelés folyamatainak kockázati elemzését,

- a kockázatok elhárítására tett intézkedések rögzítését, ami első sorban az adatkezeléssel kapcsolatban álló szervezeti szabályzók módosítását jelenti,

- adatkezelők kijelölését, adatkezelésre jogosultak nyilvántartását az adatkezelési jogkörök pontos rögzítését,

- az adatkezeléssel kapcsolatos panaszok, adatvédelmi incidensek kapcsán tett intézkedések naplózását,

- a rendszer működésének folyamatos nyomon követését, felülvizsgálatát.

Az adatvédelmi szabályozás szerint minden adat, adatkezelés esetén folyamatosan kell megfelelni az adatkezelési elveknek, az azokból fakadó jogi és szakmai követelményeknek. Az elszámoltathatóság elve lényegében a fordított bizonyítási terhet jelent, vagyis a szervezetnek kell igazolnia, hogy az adatkezelése megfelel a szabályoknak.

 

ADATKEZELŐI NYILVÁNTARTÁS

Az elszámoltathatóság elvének egyik legfontosabb megjelenése a szabályozásban az adatkezelői és az adatfeldolgozói nyilvántartás és az elektronikus napló. Az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást köteles vezetni (adatkezelői nyilvántartás). Az adatkezelői nyilvántartásban az adatkezelő rögzíti

- az adatkezelő, ideértve minden egyes közös adatkezelőt is, valamint az adatvédelmi tisztviselő nevét és elérhetőségeit,

- az adatkezelés(ek) célját vagy céljait,

- személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek körét,

- az érintettek, valamint a kezelt adatok körét,

- profilalkotás alkalmazása esetén annak tényét,

- nemzetközi adattovábbítás esetén a továbbított adatok körét,

- az adatkezelési műveletek – ideértve az adattovábbítást is – jogalapjait,

- ha az ismert, a kezelt személyes adatok törlésének időpontját,

- az e törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását,

- a kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket,

- az érintett hozzáférési jogának érvényesítését e törvény szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait.

A jogszabály említi még az adatfeldolgozói nyilvántartást is, ez leginkább a központi elektronikus nyilvántartások esetén értelmezhető, a szociális ágazat szolgáltatói oldalán nem jellemző.

 

FELELŐSSÉGI KÉRDÉSEK

A feladatok végrehajtásában jelentős szerepe van az adatvédelmi tisztviselőnek, de a szervezet minden, adatkezelésben érintett személyétől odafigyelést, felelősségteljes magatartást és aktív közreműködést igényel.

Általában véve az adatkezelőnek a saját belső folyamatainak szabályozásában jelentős mozgástere van, a jogi és szakmai elvárásokat a saját működési rendjéhez igazítva valósíthatja meg. A szabadság ugyanakkor felelősséggel is jár, hiszen az adatkezelés kapcsán hozott (vagy épp nem hozott) döntések számonkérhetőek, és körülményektől függően súlyosan szankcionálhatók is.

Az ágazatban a központi elektronikus nyilvántartási rendszerek adatkezelési elveknek való megfelelőségéért a rendszert működtető szervezet a felelős, a rendszerbe adatot szolgáltató adatkezelők felelőssége csak a szervezeten belüli szakaszra terjed ki.

 

GYAKORLATI KÉRDÉSEK, PROBLÉMÁK

Az elszámoltathatóság elvének megfelelés az intézmények, szolgáltatók részéről komoly erőfeszítéseket igényelnek. Az adatkezeléssel kapcsolatos intézkedések gyakorlatilag minden dolgozót érint, az adatvédelemmel kapcsolatos intézkedésekben mindenkinek részt kell venni, ezeknek a feladatoknak be kell épülnie a napi szintű feladatok közé, ami az intézmények, szolgáltatók leterheltségét tekintve nem egyszerű feladat.

Az adatvédelemmel kapcsolatos adminisztrációs teher jelentősnek mondható, különösen azon szervezetek esetében, ahol több szakfeladatot látnak el. A kisebb szervezetek esetében a szabályozás és adminisztráció egyszerűbbnek tűnik, de a szervezet méretéhez képest szintén jelentősnek mondható a feladat.

Az adatvédelmi, adatkezelési feladatokra előírt adatvédelmi tisztviselő alkalmazása bármilyen formában is történjen, komoly forrásokat igényel. Becsülhető, hogy egy települési szintű integrált intézmény esetében szinte elkerülhetetlen egy egész státuszt igénylő foglalkoztatás (vagy ennek megfelelő megbízás), hiszen a szociális, gyermekjóléti és esetlegesen az integrált egészségügyi feladatokhoz kapcsolódó adatkezelés bonyolult belső szabályozást és folyamatos intézkedéseket igényel. Nehézség, hogy a versenyszférával szemben olyan speciális elvárások vannak, melyek az adatvédelmi ismeretek mellett igénylik a tisztviselő részéről a szociális/gyermekjóléti terület ismeretét is. Ennek a feladatnak az ellátásához jelen pillanatban semmilyen erőforrás nem áll rendelkezésre, ez a szervezet általános forrásit igényli. Önmagában az is kérdéses, hogy ilyen tisztviselő alkalmazásának megvannak-e a kínálati oldalon a feltételek (gyaníthatóan nincsenek).

Az elszámoltathatósághoz szükséges a teljes intézményi szabályzórendszer áttekintése, ez érinti a szervezeti és működési szabályzatot (pl. adatvédelmi tisztviselő megjelenése, működésének szabályozása), a szakmai programot (adatvédelmi elvek megjelenése az ellátotti jogokhoz kapcsolódóan), az iratkezelési, a vagyonbiztonsági szabályzatokat, de igényli külön adatkezelési-adatbiztonsági szabályzat létrehozását is a kapcsolódó nyilvántartási rendszerekkel együtt. Nem utolsó sorban a dolgozók munkaköri leírásában is meg kell jelennie (hogy milyen mélységben, az kérdéses), mindezek mellett le kell gyártani a szolgáltatás-specifikus tájékoztatókat, adminisztrálni kell ezek átadását, tudomásul vételét a kliensek részéről. Ez pedig nem (vagy csak korlátozottan) moshatók össze pl. azokkal a tájékoztatási nyilatkozatokkal, melyek a jogokról és kötelezettségekről tájékoztatják az ellátottakat. Ezeknek az összehangolt változásoknak az elvégzése egy közepes intézményeknél is akár egy egész évet igényelhet, különösen ha érdemi és nem csak formális megfelelőségre törekednek, ez a napi feladatok mellett a menedzsment részére komoly szakmai kihívást és többlet munkaterhet jelenthet.

Az elszámoltathatóság szempontjából kritikus, hogy először ágazati szinten kellene az adatkezelést rendezni, ellenőrizni, hogy az adatkezelés megfelel-e az alapelveknek. Enélkül a megfelelőség bizonyításának terhe külön-külön az intézményekre, szolgáltatókra hárul.

 

Kapcsolódó anyagok