„Online sérülékenység”: jogi és adatbiztonsági kockázatok a digitális térben

jogi biztonság

A digitalizációval jogi szempontból is sok tekintetben teljesen új területre lép egy vállalkozás, más jellegű jogi és adatbiztonsági kockázatokkal kell szembenéznie. Ezek felismerését nehezíti, hogy a köztudatban sok téves meggyőződés kering még – főként – az adatvédelmi és a fogyasztóvédelmi kötelezettségekkel kapcsolatban. A Számlázz.hu PARK-ban megjelenő első cikkel a szakmai részleteket egyelőre nélkülözve, de megfelelő irányt mutatva szeretném segíteni az olvasókat abban, hogy el tudják helyezni magukat az őket érintő jogi környezetben. Hiszem, hogy egy vállalkozás akkor tud hatékonyan és jól működni, ha megkíméli magát a szabálytalanságokból adódó eljárások és esetleges szankciók okozta kellemetlenségektől.

Mit tehet egy vállalkozás annak érdekében, hogy elkerülje a jogi természetű kötelezettségeivel kapcsolatban felmerülő kockázatokat? Egyáltalán mik ezek a kockázatok? Kihez fordulhatunk? Elsősorban ezekre a kérdésekre keressük a válaszokat.

Adatbiztonság

Mivel egyre több szolgáltatás praktikusan, távolról is igénybe vehető, élünk is ezekkel a lehetőségekkel. Mindemellett a helyben telepített szoftverek frissítése, hibaelhárítása, de gyakran a rendszergazdai szolgáltatások egy részének végrehajtása is távolról, az interneten keresztül történik. Ennek eredménye, hogy ha üzleti tevékenységünk nem is az online térben végezzük, az üzletvitelünk hatékonyabbá tételéhez igénybe vett szolgáltatások kapcsán ugyanúgy az internetre „kötjük” a vállalkozásunk belső hálózatát.

Azzal, hogy egyre több dolgot digitális úton, az online térben rendezünk, a praktikusság mellett egyúttal más típusú hozzáférhetőségnek is tesszük ki az általunk kezelt adatokat. Ha ezt a helyzetet nem kezeljük megfelelően, akkor ezt a hozzáférhetőséget sérülékenységnek hívják – ez a szó pedig magáért beszél.

Tehát ma már más szemlélet szükséges az adatbiztonsági követelmények betartásához. Triviális példával élve: a digitalizáció előtt arra kellett figyelnünk, hogy a papír iratainkat ne fújja ki a szél az ablakon, illetve jól zárjuk el a betörők elől. Ma viszont azt kell megakadályoznunk, hogy egy adatbiztonsági rést kihasználva úgy „törjön be” hozzánk és férjen hozzá céges adatainkhoz – köztük pl. munkavállalóink, partnereink személyes adataihoz, vagy éppen üzleti titkokhoz – a „betörő”, hogy közben fel sem áll a foteljából Kuala Lumpur külvárosában. Sőt, igazából nem is ő hajtja végre a támadást, hanem egy program, robot módjára; jellemzően például az adatbázisok titkosítással történő hozzáférhetetlenné tételével támadó zsarolóvírusok.

Ezen felül úgy is kell gondolni az adatbiztonság fogalmára, mint folyamatosan változó követelményrendszerre. Ugyanis lépést kell tartanunk azzal a versennyel, ami az online tér bűnözői és az adatbiztonságunkat garantáló szolgáltatók között folyik. Ezért nagyon fontos, hogy az igényeink közé felvegyük az adatbiztonság ilyen szemléletét is, amikor szolgáltatást, szolgáltatót választunk a vállalkozásaink ügyeinek viteléhez.

A mai jogi környezetben már komoly felelőssége minden szervezetnek, hogy az általa kezelt személyes adatokat is megvédje a jogosulatlan hozzáféréstől, de a törléstől, vagy éppen a jogosulatlan titkosítástól is. Ugyanis amiatt is szankcionálhatóvá válhatunk, ha egyszerűen csak nem férünk hozzá az általunk kezelt személyes – pl. munkavállalói – adatokhoz, amennyiben ez az érintett személyeket hátrányos helyzetbe hozza. Tehát ha ilyen, adatbiztonsági jellegű incidens történik, akkor nem csak az üzleti titkaink hozzáférhetővé válása okozhat súlyos problémákat, hanem az általunk kezelt személyes adatok érintettsége miatt külön hatósági eljárásnak, esetlegesen bírságnak vagyunk kitéve.

De miért egy jogász ír az informatikai természetű adatbiztonságról? Mivel az adatvédelem körében más, kifejezetten jogi természetű kötelezettségeink is vannak, melyekhez szorosan kapcsolódik az adatbiztonság kérdése is.

Adatvédelem az adatbiztonságon túl

A méltán „népszerű” GDPR rendelet nagyrészt a további kötelezettségekről szól. Ezek a tájékoztatási és egyéb dokumentációs, szerződéskötési kötelezettségek, melyekkel garantálnunk kell a személyes adatok kezelésének jogszerűségét más szempontok szerint is. Különös hangsúlyt kap, hogy az érintett személyek megkapják a mindenre kiterjedő tájékoztatást az adataik kezelésének körülményeiről. Mindez azt jelenti, hogy tevékenységünktől és vállalkozásunk felépítésétől függően ugyan, de legtöbb esetben jelentős mennyiségű dokumentummal kell rendelkeznünk, amiket nem elég egy fiókból elővenni a hatósági ellenőrzés alkalmával. Bizony használni is kell ezeket, akár a mindennapi tevékenységeink során, természetesen a helyesen végrehajtott adatkezelési műveletek mellett.

Miért nem elég egyszerűen vigyázni az adatokra? Mert az adatvédelmi jog egyik fő célja, hogy a természetes személyt, akinek az adatait kezeljük, olyan helyzetbe hozza, amelyben – a megfelelő tájékoztatásnak köszönhetően – lényegében átlátja az adatai kezelésének körülményeit.  Így fel tudja mérni azt, hogy az adatkezelés hogyan hat az ő magánszférájára, és megfelelő döntéseket tud hozni az adatkezeléssel kapcsolatban – pl. hozzájárulást adni és visszavonni, jogosultságait gyakorolni –, ezáltal biztosított az önrendelkezési joga.

Ugyanis mi, adatkezelőként nem ismerhetjük az érintett személy pillanatnyi élethelyzetének részleteit, ezáltal nem tudhatjuk, hogy az általunk ártalmatlannak, vegy éppen az érintett számára kifejezetten hasznosnak vélt adatkezelési tevékenységünk valójában hogyan érinti őt. Ha arra gondolunk, hogy a mi adatainkat is így kell, hogy kezeljék mások, akkor bizonyára örülünk az ilyen „előzékenységnek”, mint a megfelelő tartalmú előzetes tájékoztatás.

Hogy miért kellett a GDPR rendelet? Ma még sokan azt a választ adják erre, hogy eggyel több gondunk legyen, és hasonlók. Szakemberként azonban a következőt kell mondanom: az, hogy ma nem érezzük mindannyian a saját bőrünkön naponta a fentebb említett sérülékenységet, jórészt annak is köszönhető, hogy viszonylag kevesen élnek vissza (még) a technika – illetve elsősorban a megfelelő adatbiztonsági intézkedések és az adatvédelmi tudatosság hiánya – adta lehetőségekkel. Szóval a GDPR rendelet egy olyan korban született, amikor még van lehetőség a megelőzésre, de ez egyúttal meg nem értettséget is jelent, természetesen.

Láthatjuk, hogy a közhiedelemmel ellentétben valójában igazán emberközpontú megközelítés húzódik meg az adatvédelmi jogi előírások között, azt pedig minden túlzás nélkül kijelenthetjük, hogy a rendelkezések lényege nem bárminek a tiltása – persze van pár tiltott dolog. A legtöbb tevékenységünket tekintve csupán a feltételek változtak; jellemzően az adminisztrációs teher növekszik, de többnyire ugyanúgy végezhetjük tovább a korábbi tevékenységeinket.

Jogi környezet az online térben – az adatvédelmi jogon túl

Egyre több vállalkozás szervezi át tevékenységét az online térbe, vagy oda is. A COVID-19 járvány az ilyen törekvések számát érthető okokból jelentősen növelte az idei évben. Ezzel a lépéssel egyúttal lényegesen más jogi környezetbe kerül a vállalkozás, ugyanis számos jogszabály foglalkozik kifejezetten az elektronikus úton, online végzet tevékenységekkel, az így megkötött szerződések érvényességével. Egyúttal belépnek a távollévők közötti szerződésekre vonatkozó előírások is, különös hangsúlyt fektetve a fogyasztóvédelem területére. Az adatvédelmi rendelkezések szerepe is felértékelődik természetesen, a fentebb kifejtett okok miatt.

Nehézséget jelenthet ilyenkor csupán annak összegyűjtése is, hogy milyen előírásoknak kell megfelelnünk. Fontos, hogy figyelembe vegyük vállalkozásunk, tevékenységeink sajátosságait is, ami jellemzően egyedi tartalmú dokumentumokkal lehetséges. Jó hír viszont, hogy az előírások többsége már a megfelelő tartalmú tájékoztatók és szerződési feltételek elkészítésével és közzétételével teljesíthető, persze szükséges a megfelelő gyakorlat kialakítása is az üzletvitelünkben.

Konkrétan milyen kockázatokról van szó?

A fentebb ismertetett adatvédelmi incidenseken túl, pusztán a megfelelő tartalmú dokumentumok – pl. adatkezelési tájékoztatók, fogyasztóvédelmi jogokról szóló tájékoztatások – hiánya, mint állapot, már folyamatos jogsértés. A weboldalakon keresztül nyújtott szolgáltatások, ott végzett kereskedelmi tevékenységek könnyen ellenőrizhetők a hatóságok által, akik a dokumentációs kötelezettségeink elmulasztását észlelve rendszerint eljárást is indítanak.

Azt, hogy mitől lesz jó a dokumentumaink tartalma, számos különböző jogszabály rendelkezései írják elő, tevékenységünktől vagy éppen termékkörünktől függően eltérő követelményeket támasztva.

Ugyanakkor, ha helyesen értelmezzük a jogszabályokat a saját vállalkozásunk tükrében, akkor előre elkerülhető a hatósági ellenőrzésekből és a jogvitákból következő kockázatok legnagyobb része.

Kihez fordulhatunk?

Mivel mind az adatvédelemre, mind az online térben nyújtott szolgáltatásokra és a fogyasztóvédelemre vonatkozó elvárások a technika fejlődésével együtt szükségszerűen változnak, ezért folyamatos feladatként kell tekintenünk az ezzel kapcsolatos megfelelésre. A digitalizáció és az online térhez kapcsolódó megoldások olyan ütemben gyorsulva fejlődnek, hogy az érintett jogterületek előírásainak megfelelő értelmezése és alkalmazása mindenképpen erre specializálódott szakember közreműködését igényli.

Teendőnk tehát a megfelelő szakember igénybevétele a vállalkozásunk átvilágításához, majd a segítségével megállapított szükségleteinkhez igazodó és a jogszerű működésünket támogató szolgáltatások és szolgáltatók kiválasztása. Végül a dokumentációs kötelezettség és helyes gyakorlat kialakításának teljesítésére is speciális szakértelemmel rendelkező szakember közreműködését kell kérnünk. Mindezzel ugyanis a legtöbb kockázatot megelőzhetjük, és a megelőzés a leghatékonyabb, nem utolsó sorban a legolcsóbb megoldás.

ADATJOGÁSZWEBSHOPJOGÁSZ, ADATBIZTONSÁGI ÉS ADATVÉDELMI SZAKJOGÁSZ

Sziráczki István adatvédelmi joggal és online kereskedők és szolgáltatók jogszerű működésének támogatásával foglalkozik.

Olvass még a témában