4 minute read
Adatbiztonság az ügyvédi irodában
Az adatbiztonság kérdése a GDPR hatályba lépése óta sokkal hangsúlyosabban van jelen az adatkezelők gyakorlatában. Bár az ügyvédi irodáknak már 2018 előtt is az adatbiztonság magas szintjét kellett elérniük az ügyvédi titok védelme érdekében, célszerű nekünk is felülvizsgálni, hogy az adatvédelmi intézkedéseink megfelelően szolgálják-e az adatbiztonsági követelményeket.
Először is tisztázni kell, hogy mely adatokra vonatkoznak az adatbiztonsági intézkedések. Az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény (a továbbiakban Üttv.) 9. § (1) bekezdése alapján ügyvédi titoknak minősül minden olyan tény, információ és adat, amelyről az ügyvédi tevékenység gyakorlója e tevékenysége gyakorlása során szerzett tudomást. Az ügyvédi titkot meg kell tartani. (E helyütt nem kívánok külön kitérni a védői titokra, melyet az ügyvédi titoknál is komolyabb garanciák védenek. A témában javaslom dr. Bánáti János: Az ügyvédi titok védelmében c. értekezését, mely az Ügyvédek Lapja 2022. március–áprilisi számában olvasható.)
Advertisement
A GDPR 4. cikke személyes adatként definiálja az azonosított vagy azono- sítható természetes személyre („érintett”) vonatkozó bármely információt. A személyes adatokat védeni kell.
Van tehát két adatkör, melyek védelmet élveznek: az ügyvédi titok körébe tartozó adatok, illetve a személyes adatok. A két kör között még véletlenül sem lehet amolyan „minden bogár rovar, de nem minden rovar bogár” összefüggést felfedezni, hiszen vannak olyan személyes adatok az ügyvédi irodában, melyek nem minősülnek ügyvédi titoknak, ellenben van olyan ügyvédi titok, mely nem személyes adat… És persze van olyan, ami személyes adat és ügyvédi titok, és van olyan, ami egyik sem. (Egy jó kávéra a vendégem, aki először mind a négyre tud példát mondani! A megoldásokat várom e-mailben.)
Kérdés, hogy érdemes-e az adatbiztonság külön szintjeit meghatározni az egyes adatkörök vonatkozásában. Véleményem szerint nem, az eltérő biztonsági szintek ugyanis több hibalehetőséget hordoznak magukban, mint az a döntés, mely szerint minden védendő adatot a legmagasabb adatbiztonsági szinten kezelünk az ügyvédi irodában.
Betűk és bitek
Az adatbiztonság kialakítása érdekében az adattárolás két módját érdemes megkülönböztetni, hiszen ez alapján tárhatóak fel a potenciális veszélyek, melyek ellen védekezni kell.
Lassan csökken ugyan a jelentősége, de biztos, hogy még évtizedekig fogunk papíralapon tárolni adatokat.
A papíralapú iratok tárolása esetén biztosítani kell a fizikai védelmet, azaz hogy ne férhessen hozzá illetéktelen személy. Röviden: az iratokat be kell zárni! Ez egyszerűnek tűnik, de tényleg megfelelünk neki?
A 6/2017. (XI. 20.) MÜK szabályzat
1.7. pontja alapján az ügyvédi tevékenység gyakorlását az iroda kialakításával vagy más eszközökkel úgy kell megszervezni, hogy az ügyvédi titok védelmét más, annak megismerésére nem jogosult személyekkel szemben – ideértve az ügyvédi tevékenység más gyakorlóit is – biztosítsa.
Tipikus probléma, ha a rezsiközösségben együtt dolgozó kollégák az asztalukon hagynak ügyvédi titkot vagy személyes adatokat tartalmazó iratokat, így mások – szélsőséges esetben az irodába érkező ügyfelek is – beleláthatnak abba. Ugyanígy nem szerencsés, ha az érkező ügyfelek rálátnak a polcon lévő aktákra, melyen más ügyfelek neve szerepel.
Egy reggeli tárgyalás előtt kevesen mennek már be az irodába, az aktát hazaviszik. Rosszabb esetben az akta a kocsiban marad, a kocsi az utcán parkol, az aktán a név virít – az adatbiztonság sérül. (Csak utalnék rá, hogy az iratok ügyvédi irodán kívüli őrzését be kell jelenteni a kamarának, ennek hiányában ugyanis nem illeti meg az őrzési helyet – például az ügyvéd lakását – a speciális védelem hatósági eljárás során.)
A papíralapú iratoknál nagy kérdés a biztonsági másolatok szükségessége. Környezetvédelmi szempontból semmiképpen nem javasolnám az akták duplikálását, de fontosabb iratok esetén felmerülhet a dokumentumok szkennelésének lehetősége.
Elektronikus adatokra leselkedő veszélyek
A papíralapú iratoknál sokkal több veszély leselkedik az elektronikusan tárolt adatainkra. A védelem alapszintje, hogy az elektronikus eszközöket jelszóval kell védeni (amit nem írunk fel a monitor szélére ragasztott post-it-re). A számítógépekre vírusirtót kell telepíteni, amit rendszeresen frissíteni is kell. A külső informatikai támadás valószínűségét csökkenti továbbá a jogtiszta szoftverek használata – ami egy ügyvédi irodában egyébként is alapvető elvárás.
Az adatbiztonság sérülését nemcsak az illetéktelen hozzáférés valósítja meg, hanem az adatok elvesztése is. Ezt megakadályozandó érdemes rendszeres biztonsági mentést készíteni a számítógépen tárolt adatokról, ami megvalósítható felhőben vagy más adathordozón.
E körben egy kissé teoretikusnak tűnő kérdés: az Üttv. 16. § (5) bekezdése szerint ha az ügyvéd az ügyvédi tevékenységével kapcsolatos iratokat részben vagy egészben az irodáján, alirodáján, illetve fiókirodáján kívüli helyen őrzi, ennek a címét köteles bejelenteni annak a területi kamarának, amelyik nyilvántartásba vette. A külső tárhely- vagy szerverszolgáltatónál való tárolás esetén az elektronikus iratok őrzési helye lehet a szolgáltató (akivel természetesen adatfeldolgozási megállapodást köt az ügyvéd). Kiterjed-e erre is a bejelentési kötelezettség? Ennek jelentősége akkor válik valóssá, ha a szerverszolgáltatónál valamely hatóság vizsgálódik, és esetleg az ügyvédi – vagy védői – titok körébe tartozó adat kerül a hatóság kezébe. Az ügyvédi és védői titkot körülbástyázó garanciális szabályok ugyanis csak akkor alkalmazhatóak, ha az iratok tokat a szolgáltatónak. Megjegyzem, ezen szolgáltatók általában rögzítik, hogy ingyenes szolgáltatásuk csak magáncélra vehető igénybe, üzleti célra nem. Az adatbiztonság ezen sérülése megvalósíthat adatvédelmi jogsértést, és szélsőséges esetben felmerülhet az ügyvéd fegyelmi felelőssége is az ügyvédi titok sérelme okán.
És hogy miért jelent ez kiemelt veszélyt? Ugyanazért, amiért a legtöbb adatkezelő a kamerás adatkezelés miatt kerül terítékre: mert a kamera azonnal látszik. Ugyanígy az e-mailcím is. Javasolt mindenkinek felülvizsgálni, hogy ezt az egyszerű adatbiztonsági intézkedést betartja-e.
Törlés és selejtezés őrzési helye bejelentésre került, mivel a bejelentési kötelezettség a jogszerű tárolás részét képezi. Összességében tehát úgy gondolom, hogy érdemes –a védelem kiterjesztése érdekében –bejelenteni az elektronikusan tárolt adatok tárolási helyét is.
Most pedig jöjjön az adatvédelmi atombomba: az e-mail-fiók. Az elektronikus kommunikáció elterjedése okán egyre több személyes adat és ügyvédi titok körébe tartozó adat közlekedik az ügyvéd e-mail-fiókján keresztül. Az ügyvéd feladata azt biztosítani, hogy az e-mail-szolgáltatón keresztül érkező adatok védve legyenek. Az ingyenes szolgáltatók deklarálják, hogy az ingyenesség fejében hozzáférnek az e-mailek tartalmához. Ez tehát azt jelenti, hogy az az ügyvéd, aki Gm**l, Fr**mail és hasonló szolgáltatók ingyenes szolgáltatásait veszi igénybe, naponta adja ki az e-mailfiókjába érkező és onnan küldött ada-
Végül egy olyan veszély, mely mind a papíralapú, mind az elektronikus tárolás esetén felmerül: a törlés és selejtezés. A megőrzési idő lejártát követően az adatokat törölni kell. A papíralapú iratokat selejtezni lehet iratmegsemmisítő készülékkel, vagy megbízhatunk erre külső szolgáltatót. Az elektronikus adatok törlése esetén biztosítani kell, hogy helyreállíthatatlan legyen az adat a törlés után. Illetve külön figyelmet kell fordítani az eszközök selejtezésére, hogy ne maradhasson helyreállítható adat az adathordozón. Nem jó megoldás az akták vagy a számítógép kukába helyezése, de ugyanígy problémákat vethet fel, ha az irodai kiselejtezett gépet – szakszerű törlés nélkül – más kapja meg használatra. A selejtezésről – az elszámoltathatóság elve alapján – készítsünk jegyzőkönyvet.
Az ügyvédi iroda adatait nem elsősorban a Kardhal c. filmhez hasonló hackerek vagy szuperbetörők veszélyeztetik. A legtöbb veszélyt a napi gyakorlat kialakítása és az emberi tényező hordozza magában. Ezek a veszélyek azonban a megfelelő adatbiztonsági intézkedések betartásával minimalizálhatóak. Az ügyvédi irodában erre kettős kötelezettségünk is van, hiszen mind az Üttv., mind a GDPR előírja ezt számunkra. Törekedjünk betartani!
SZERZŐ: dr. Dékány Dóra ügyvéd
