Az egyes kiemelt adatnyilvántartások kezelői betartották a biztonságos adatkezelésre vonatkozó előírásokat 2011 és 2015 között - állapította meg az Állami Számvevőszék. Ellenőrzése során azt értékelte, hogy megfelelően kialakított-e az adatvédelem hazai keretrendszere, és az ellenőrzésre kiválasztott adatkezelő szervezetek megfelelően alkalmazták-e a biztonságos adatkezelésre, az adatfeldolgozás kiszervezésére és különösen a személyes adatok és a nemzeti adatvagyon védelmére irányuló előírásokat.
Az adatnyilvántartások ellenőrzésével az Állami Számvevőszék (ÁSZ) elősegíti a „jó kormányzás” érvényesülését, hozzájárul a nemzeti vagyon megóvásához, és támogatja, hogy az ellenőrzött szervezetek megfeleljenek „az átláthatóság megteremtésére irányuló fokozott társadalmi elvárásnak”.
Az ÁSZ az adatkezelést hat kiemelt adatkezelő szervezet - a Nemzeti Adó- és Vámhivatal (NAV), az Országos Egészségbiztosítási Pénztár (OEP), az Országos Nyugdíjbiztosítási Főigazgatóság (ONYF), a Magyar Államkincstár (Kincstár), az Oktatási Hivatal (OH), valamint a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (KEKKH) - tevékenységén keresztül ellenőrizte. Ez kiterjedt az adatkezelők feletti adatvédelmi és adatbiztonsági felügyeletet gyakorló hatóságok, így a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) és a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) tevékenységének értékelésére is.
A számvevőszék szerint az adatkezelő szervezeteknél az adatok kezelésére, feldolgozására és továbbítására vonatkozó belső szabályozottság a jogszabályi előírásoknak megfelelően biztosította a nemzeti adatvagyon védelmét. A felügyeletet gyakorló hatóságok közül azonban a NEIH nem látta el a törvényben előírt ellenőrzési feladatait, a NAIH pedig nem tett eleget minden előírt döntési és intézkedési kötelezettségének - olvasható a jelentésről készített összegzésben.
Az ÁSZ megállapította azt is, hogy a harmadik fél részére történő adattovábbítások belső szabályozását az adatkezelő szervezetek a jogszabályi előírásoknak megfelelően alakították ki. A felelősségi körök meghatározását, az engedélyezési, jóváhagyási és kontrolleljárásokat, a dokumentumokhoz és informatikai rendszerekhez való hozzáférést, annak szintjeit és a beszámoltatást a jogszabályi előírásokkal összhangban megfelelően szabályozták.
Az adatkezelő szervezetek a gyakorlatban megfelelően alkalmazták a biztonságos adatkezelésre, az adatfeldolgozások kiszervezésére és a nemzeti adatvagyon védelmére irányuló előírásokat, a nemzeti adatvagyon részét képező adatok továbbítását minden esetben a jogszabályi felhatalmazásnak és célnak megfelelően, a belső szabályzatok előírásait betartva, az arra felhatalmazással rendelkezők közreműködésével hajtották végre.
Az ÁSZ szerint ugyanakkor az adatok megfelelő védettsége szempontjából „sérülékenységi kockázatot jelentett”, hogy az ellenőrzött adatkezelő szervezetek az adatkezeléshez használt elektronikus rendszerek és a szervezet egészének biztonsági besorolását nem minden esetben a jogszabályi előírásoknak megfelelően végezték el, vagy elmaradt a besorolás végrehajtása. „Ezáltal nem a kezelt adatvagyon szempontjából elvárt szintű védelmi intézkedések kerültek kialakításra. A területen nem működtek megfelelően az ellenőrzési védelmi vonalak sem, mivel a hiányosságokat az adatkezelő szervezetek belső ellenőrzései nem tárták fel, továbbá elmaradtak a NEIH jogszabály alapján végrehajtandó, a biztonsági besorolásokra vonatkozó külső hatósági ellenőrzései is” – állapította meg a számvevőszék.
Az ellenőrzés javaslatokat fogalmazott meg a NAIH, a kincstár, az OH elnökének, a NEIH és a NAV vezetőjének, az ONYF és a Nemzeti Egészségbiztosítási Alapkezelő mint az OEP jogutódja főigazgatójának, valamint a Belügyminisztériumot vezető miniszternek mint a KEKKH jogutód szervezete vezetőjének. A javaslatokra az érintetteknek a jelentés kézhezvételét követő harminc napon belül intézkedési tervet kell készíteniük.
Hogy volt régen...?
