Biztonságos az ellenőrzött kiemelt nyilvántartások adatkezelése - Az Állami Számvevőszék megállapításai

2017.03.16. Jogi Fórum / MTI

Az egyes kiemelt adatnyilvántartások kezelői betartották a biztonságos adatkezelésre vonatkozó előírásokat 2011 és 2015 között - állapította meg az Állami Számvevőszék (ÁSZ).

Az ÁSZ a hírportálján kedden közzétett összegzés szerint a 2011 és 2015 közötti időszakra vonatkozó ellenőrzése során azt értékelte, hogy megfelelően kialakított-e az adatvédelem hazai keretrendszere, és az ellenőrzésre kiválasztott adatkezelő szervezetek megfelelően alkalmazták-e a biztonságos adatkezelésre, az adatfeldolgozás kiszervezésére és különösen a személyes adatok és a nemzeti adatvagyon védelmére irányuló előírásokat.
    

Mint írták, az adatnyilvántartások ellenőrzésével a számvevőszék elősegíti a "jó kormányzás" érvényesülését, hozzájárul a nemzeti vagyon megóvásához, és támogatja, hogy az ellenőrzött szervezetek megfeleljenek "az átláthatóság megteremtésére irányuló fokozott társadalmi elvárásnak".
    

Az ÁSZ az adatkezelést hat kiemelt adatkezelő szervezet - a Nemzeti Adó- és Vámhivatal (NAV), az Országos Egészségbiztosítási Pénztár (OEP), az Országos Nyugdíjbiztosítási Főigazgatóság (ONYF), a Magyar Államkincstár (Kincstár), az Oktatási Hivatal (OH), valamint a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (KEKKH) - tevékenységén keresztül ellenőrizte. Ez kiterjedt az adatkezelők feletti adatvédelmi és adatbiztonsági felügyeletet gyakorló hatóságok - így a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) és a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) - tevékenységének értékelésére is.
    

A számvevőszék szerint az adatkezelő szervezeteknél az adatok kezelésére, feldolgozására és továbbítására vonatkozó belső szabályozottság a jogszabályi előírásoknak megfelelően biztosította a nemzeti adatvagyon védelmét. A felügyeletet gyakorló hatóságok közül azonban a NEIH nem látta el a törvényben előírt ellenőrzési feladatait, a NAIH pedig nem tett eleget minden előírt döntési és intézkedési kötelezettségének - olvasható a jelentésről készített összegzésben. 
    

Az ÁSZ megállapította azt is, hogy a harmadik fél részére történő adattovábbítások belső szabályozását az adatkezelő szervezetek a jogszabályi előírásoknak megfelelően alakították ki. A felelősségi körök meghatározását, az engedélyezési, jóváhagyási és kontrolleljárásokat, a dokumentumokhoz és informatikai rendszerekhez való hozzáférést, annak szintjeit és a beszámoltatást a jogszabályi előírásokkal összhangban megfelelően szabályozták. 
    

Az adatkezelő szervezetek a gyakorlatban megfelelően alkalmazták a biztonságos adatkezelésre, az adatfeldolgozások kiszervezésére és a nemzeti adatvagyon védelmére irányuló előírásokat, a nemzeti adatvagyon részét képező adatok továbbítását minden esetben a jogszabályi felhatalmazásnak és célnak megfelelően, a belső szabályzatok előírásait betartva, az arra felhatalmazással rendelkezők közreműködésével hajtották végre - írták.
    

Az ÁSZ szerint ugyanakkor az adatok megfelelő védettsége szempontjából "sérülékenységi kockázatot jelentett", hogy az ellenőrzött adatkezelő szervezetek az adatkezeléshez használt elektronikus rendszerek és a szervezet egészének biztonsági besorolását nem minden esetben a jogszabályi előírásoknak megfelelően végezték el, vagy elmaradt a besorolás végrehajtása. 
    

"Ezáltal nem a kezelt adatvagyon szempontjából elvárt szintű védelmi intézkedések kerültek kialakításra. A területen nem működtek megfelelően az ellenőrzési védelmi vonalak sem, mivel a hiányosságokat az adatkezelő szervezetek belső ellenőrzései nem tárták fel, továbbá elmaradtak a NEIH jogszabály alapján végrehajtandó, a biztonsági besorolásokra vonatkozó külső hatósági ellenőrzései is" - állapította meg a számvevőszék.
    

Az ellenőrzés megfogalmazott javaslatokat a NAIH, a kincstár, az OH elnökének, a NEIH és a NAV vezetőjének, az ONYF és a Nemzeti Egészségbiztosítási Alapkezelő mint az OEP jogutódja főigazgatójának, valamint a Belügyminisztériumot vezető miniszternek mint a KEKKH jogutód szervezete vezetőjének. A javaslatokra az érintetteknek a jelentés kézhezvételét követő harminc napon belül intézkedési tervet kell készíteniük.

  • kapcsolódó anyagok
ÁSZ - ÁLLAMI SZÁMVEVŐSZÉK