Az egyes kiemelt adatnyilvántartások kezelői betartották a biztonságos adatkezelésre vonatkozó előírásokat 2011 és 2015 között – állapította meg az Állami Számvevőszék (ÁSZ).
Az ÁSZ a hírportálján kedden közzétett összegzés szerint a 2011 és 2015 közötti időszakra vonatkozó ellenőrzése során azt értékelte, hogy megfelelően kialakított-e az adatvédelem hazai keretrendszere, és az ellenőrzésre kiválasztott adatkezelő szervezetek megfelelően alkalmazták-e a biztonságos adatkezelésre, az adatfeldolgozás kiszervezésére és különösen a személyes adatok és a nemzeti adatvagyon védelmére irányuló előírásokat.
Mint írták, az adatnyilvántartások ellenőrzésével a számvevőszék elősegíti a “jó kormányzás” érvényesülését, hozzájárul a nemzeti vagyon megóvásához, és támogatja, hogy az ellenőrzött szervezetek megfeleljenek “az átláthatóság megteremtésére irányuló fokozott társadalmi elvárásnak”.
Az ÁSZ az adatkezelést hat kiemelt adatkezelő szervezet – a Nemzeti Adó- és Vámhivatal (NAV), az Országos Egészségbiztosítási Pénztár (OEP), az Országos Nyugdíjbiztosítási Főigazgatóság (ONYF), a Magyar Államkincstár (Kincstár), az Oktatási Hivatal (OH), valamint a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (KEKKH) – tevékenységén keresztül ellenőrizte. Ez kiterjedt az adatkezelők feletti adatvédelmi és adatbiztonsági felügyeletet gyakorló hatóságok – így a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) és a Nemzeti Elektronikus Információbiztonsági Hatóság (NEIH) – tevékenységének értékelésére is.
A számvevőszék szerint az adatkezelő szervezeteknél az adatok kezelésére, feldolgozására és továbbítására vonatkozó belső szabályozottság a jogszabályi előírásoknak megfelelően biztosította a nemzeti adatvagyon védelmét. A felügyeletet gyakorló hatóságok közül azonban a NEIH nem látta el a törvényben előírt ellenőrzési feladatait, a NAIH pedig nem tett eleget minden előírt döntési és intézkedési kötelezettségének – olvasható a jelentésről készített összegzésben.
Az ÁSZ megállapította azt is, hogy a harmadik fél részére történő adattovábbítások belső szabályozását az adatkezelő szervezetek a jogszabályi előírásoknak megfelelően alakították ki. A felelősségi körök meghatározását, az engedélyezési, jóváhagyási és kontrolleljárásokat, a dokumentumokhoz és informatikai rendszerekhez való hozzáférést, annak szintjeit és a beszámoltatást a jogszabályi előírásokkal összhangban megfelelően szabályozták.
Az adatkezelő szervezetek a gyakorlatban megfelelően alkalmazták a biztonságos adatkezelésre, az adatfeldolgozások kiszervezésére és a nemzeti adatvagyon védelmére irányuló előírásokat, a nemzeti adatvagyon részét képező adatok továbbítását minden esetben a jogszabályi felhatalmazásnak és célnak megfelelően, a belső szabályzatok előírásait betartva, az arra felhatalmazással rendelkezők közreműködésével hajtották végre – írták.
Az ÁSZ szerint ugyanakkor az adatok megfelelő védettsége szempontjából “sérülékenységi kockázatot jelentett”, hogy az ellenőrzött adatkezelő szervezetek az adatkezeléshez használt elektronikus rendszerek és a szervezet egészének biztonsági besorolását nem minden esetben a jogszabályi előírásoknak megfelelően végezték el, vagy elmaradt a besorolás végrehajtása.
“Ezáltal nem a kezelt adatvagyon szempontjából elvárt szintű védelmi intézkedések kerültek kialakításra. A területen nem működtek megfelelően az ellenőrzési védelmi vonalak sem, mivel a hiányosságokat az adatkezelő szervezetek belső ellenőrzései nem tárták fel, továbbá elmaradtak a NEIH jogszabály alapján végrehajtandó, a biztonsági besorolásokra vonatkozó külső hatósági ellenőrzései is” – állapította meg a számvevőszék.
Az ellenőrzés megfogalmazott javaslatokat a NAIH, a kincstár, az OH elnökének, a NEIH és a NAV vezetőjének, az ONYF és a Nemzeti Egészségbiztosítási Alapkezelő mint az OEP jogutódja főigazgatójának, valamint a Belügyminisztériumot vezető miniszternek mint a KEKKH jogutód szervezete vezetőjének. A javaslatokra az érintetteknek a jelentés kézhezvételét követő harminc napon belül intézkedési tervet kell készíteniük.