Kategóriák
Uncategorized

Adatkezelési tájékoztató vagy adatkezelési szabályzat? Melyik kötelező?

Néhány kattintás és számos olyan honlapot találunk, ahol az adatkezelők rosszul használják ezeket a fogalmakat. Pedig a különbség egyszerű, érdemes tehát pontosan használni a kifejezéseket. A következőkben röviden összefoglalom a két dokumentum közötti különbséget.

Az adatkezelési tájékoztató – vagy egyesek adatvédelmi tájékoztatóként hivatkoznak rá – egy olyan dokumentum, mellyel az adatkezelő tájékoztatja az érintettet az adatkezelés legfontosabb mozzanatairól a GDPR 13-14. cikke alapján. Az adatkezelési tájékoztató egy egyoldalú közlés – tájékoztatás – az adatkezelőtől az érintett felé. Az adatkezelési tájékoztatót nem kell elfogadni, nem kell hozzájárulni, legfeljebb a megismeréséről érdemes nyilatkoztatni az érintettet – bár megjegyezzük, ez utóbbit sem várja el a GDPR, az elszámoltathatóság általános elve alapján célszerű lehet egy ilyen nyilatkozat.

Az adatkezelők általában több adatkezelési tevékenységet folytatnak. Érdemes végiggondolni, hogy az egyes adatkezelésekkel kapcsolatos tájékoztatókat hogyan csoportosítják és tagolják. Az egyik szempont, hogy különböző érintetti csoportokat érintő adatkezelési tevékenységek külön tájékoztatóba kerüljenek. (Könnyű belátni, hogy nem tehetjük egy adatkezelési tájékoztatóba a munkavállalók bérszámfejtésével kapcsolatos tájékoztatást az ügyfélnek szóló hírlevél tájékoztatóval). Érdemes azonban tovább bontani és tagolni a tájékoztatókat annak érdekében, hogy az érintett számára átlátható legyen, és valóban a számára releváns információkat kapja meg. Ha nagyon hosszú az adatkezelési tájékoztató, akkor mindenképpen alkalmazzunk tartalomjegyzéket az elején, illetve érdemes lehet rövid kivonatokat is készíteni az átláthatóbb tájékoztatás érdekében.

Az adatkezelési szabályzat a fentiekkel szemben egy belső dokumentum, melynek célja, hogy a vezetőség meghatározza a munkavállalók – esetleg megbízottak – számára az adatkezeléssel kapcsolatos előírásokat. Az adatkezelési szabályzat címzettjei tehát az adatkezelő nevében adatkezelési tevékenységet végző személyek. Az adatkezelési szabályzat tartalmazza az adatkezelési tevékenységek folyamatát, és a munkavállalók kötelezettségeit az adatkezelés során.

Adatkezelési tájékoztatót minden olyan társaságnak készítenie kell, aki természetes személyek személyes adatait kezeli – tehát gyakorlatilag mindenkinek. Tartalmát a GDPR határozza meg, melyek közül a legfontosabbak az adatkezelési tevékenységek leírása és az érintettek jogai.

A GDPR nem írja elő adatkezelési szabályzat készítését, az egyes adatkezelőknek mérlegelnie kell, hogy a vállalat belső folyamatainak kialakításához szükséges-e ilyen szabályzat. Ennek megfelelően kötelező tartalmi elemeket sem határoz meg a GDPR.

Nem szabad elfelejteni azonban, hogy az Infotv. hatálya alá tartozó adatkezelések tekintetében az Infotv. 25/A.§ (3) bekezdése az adatvédelmi tisztviselő kijelölésére köteles adatkezelők számára előírja belső adatvédelmi és adatbiztonsági szabályzat készítését. Ezen felül az általános közzétételi lista elvárja szabályzat hatályos és teljes szövegének honlapon való közzétételét is.

Az adatkezelési tájékoztató és az adatkezelési szabályzat különböző célokat szolgálnak, különböző személyeknek szólnak, így a két dokumentum tartalma is eltérő. Az adatkezelési tájékoztató általában az ügyfelek számára szóló információkat tartalmaz, míg az adatkezelési szabályzat a vállalat belső adatkezelési folyamatait és szabályait részletezi.

Mindkét dokumentum fontos szerepet játszik azonban az adatvédelem biztosításában és az átlátható adatkezelés gyakorlatának kialakításában és fenntartásában.

Kategóriák
Uncategorized

DataDom ügyvédi együttműködés

A JOGSZABÁLY A KERETET ADJA, MI A MEGOLDÁST HOZZUK!

Az adatvédelem egy nagyon speciális jogterület, mert amellett, hogy ismerni kell az adatvédelmi jogot, tudni kell hozzá az ágazati jogszabályokat is. Ezen felül pedig – megfelelő kreativitással és gyakorlatiassággal – olyan megoldásokat kell kitalálnunk, melyet a megbízók nem a napi működés akadályának tekintenek. 

Hiszünk abban, hogy ezen a területen a magas színvonalú szakmai munka kulcsa a szakmai együttműködés. Szerencsésnek mondhatom magam, hogy megtaláltam azokat a kollégákat, akikkel évek óta eredményesen tudunk együtt dolgozni. Ezen kollégákkal hoztuk létre a DataDom Ügyvédi Együttműködést, kifejezetten olyan adatvédelmi tárgyú megbízások ellátására, melyeknek a csapatmunka elengedhetetlen. 

Látogasson el honlapunkra és ismerje meg kollégáimat: 

www.datadom.hu 

Kategóriák
Uncategorized

Véradás a Budapesti Ügyvédi Kamarában

A segítség a vérünkben van!

2022. augusztus 23-án ismét véradást szerveztek a Budapesti Ügyvédi Kamarában. 85 kollégámmal adtuk vérünket a jó ügyért, de rajtunk kívül még számtalan kollégánk járult hozzá az esemény sikeréhez. 

Köszönjük a szervezést.

Kategóriák
Uncategorized

Egységesítik a parkolást Budapesten

Változik a parkolás rendszere 2022. szeptember 5-én Budapesten. Az eddigi bonyolult rendszert egy egyszerűbb, az ügyfelek számára átláthatóbb szisztéma váltja fel. 

2022. szeptember 5-én hatályba lép a Budapest Főváros Közgyűlésének 30/2010. (VI. 4.) önkormányzati rendelete Budapest főváros közigazgatási területén a járművel várakozás rendjének egységes kialakításáról, a várakozás díjáról és az üzemképtelen járművek tárolásának szabályozásáról szóló jogszabály módosítás. A fővárosban eddig 27 fél parkolási zóna volt, ami esetenként nehézséget okozott az ügyfeleknek. Ezt a helyzetet változtatja meg az új rendelet a négyféle parkolási zóna kialakításával. A zónákban egységesen kerül szabályozásra a várakozási díj, illetve maximalizálják a parkolás időtartamát. 

Javasoljuk minden autósnak, hogy szeptemberben ne a rutint kövessék, hanem tájékozódjanak az új rendről, és ennek megfelelően gondoskodjanak a várakozási díj megfizetéséről. 

Kategóriák
Uncategorized

Adatbiztonság az ügyvédi irodában

Védendő adatkörök

Az adatbiztonság kérdése a GDPR (az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról) hatályba lépése óta sokkal hangsúlyosabban van jelen az adatkezelők gyakorlatában. Bár az ügyvédi irodáknak már 2018 előtt is az adatbiztonság magas szintjét kellett elérniük az ügyvédi titok védelme érdekében, célszerű nekünk is felülvizsgálni, hogy az adatvédelmi intézkedéseink megfelelően szolgálják-e az adatbiztonsági követelményeket.  

Először is tisztázni kell, hogy mely adatokra vonatkoznak az adatbiztonsági intézkedések.

Az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény (a továbbiakban Üttv.) 9. § (1) bekezdése alapján ügyvédi titoknak minősül minden olyan tény, információ és adat, amelyről az ügyvédi tevékenység gyakorlója e tevékenysége gyakorlása során szerzett tudomást. Az ügyvédi titkot meg kell tartani. (E helyütt nem kívánok külön kitérni a védői titokra, melyet az ügyvédi titoknál is komolyabb garanciák védenek. A témában javaslom Dr. Bánáti János: Az ügyvédi titok védelmében c. értekezését, mely az Ügyvédek Lapja 2022. március-áprilisi számában olvasható.)

A GDPR 4. cikke személyes adatként definiálja az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információt. A személyes adatokat védeni kell.

Van tehát két adatkör, melyek védelmet élveznek: az ügyvédi titok körébe tartozó adatok, illetve a személyes adatok. A két kör között még véletlenül sem lehet amolyan „minden bogár rovar, de nem minden rovar bogár” összefüggést felfedezni, hiszen vannak olyan személyes adatok az ügyvédi irodában, melyek nem minősülnek ügyvédi titoknak, ellenben van olyan ügyvédi titok, mely nem személyes adat…és persze van olyan, ami személyes adat és ügyvédi titok, és van olyan, ami egyik sem. (Egy jó kávéra a vendégem, aki először mind a négyre tud példát mondani! Megoldásokat várom e-mailben.)

Kérdés, hogy érdemes-e az adatbiztonság külön szintjeit meghatározni az egyes adatkörök vonatkozásában. Szerény véleményem szerint nem. Az eltérő biztonsági szintek több hibalehetőséget hordoznak magukban, mint az a döntés, mely szerint minden védendő adatot a legmagasabb adatbiztonsági szinten kezelünk az ügyvédi irodában.

Betűk és bitek

Az adatbiztonság kialakítása érdekében az adattárolás két módját érdemes megkülönböztetni, hiszen ez alapján tárhatóak fel a potenciális veszélyek, mely ellen védekezni kell.

Lassan csökken ugyan a jelentősége, de biztos, hogy még évtizedekig fogunk papír alapon tárolni adatokat. A papír alapú iratok tárolása esetén biztosítani kell a fizikai védelmet, azaz hogy ne férhessen hozzá illetéktelen személy. Röviden: az iratokat be kell zárni! Ez egyszerűnek tűnik, de tényleg megfelelünk neki?

A 6/2017. (XI. 20.) MÜK szabályzat 1.7. pontja alapján az ügyvédi tevékenység gyakorlását az iroda kialakításával vagy más eszközökkel úgy kell megszervezni, hogy az ügyvédi titok védelmét más, annak megismerésére nem jogosult személyekkel szemben – ideértve az ügyvédi tevékenység más gyakorlóit is – biztosítsa.

Tipikus probléma, ha a rezsiközösségben együtt dolgozó kollégák az asztalukon hagynak védett iratokat, így mások – szélsőséges esetben az irodába érkező ügyfelek is – beleláthatnak abba. Ugyanígy nem szerencsés, ha az érkező ügyfelek rálátnak a polcon lévő aktákra, melyen más ügyfelek neve szerepel.

Egy reggeli tárgyalás előtt kevesen mennek már be az irodába, az aktát hazaviszik. Rosszabb esetben az akta a kocsiban marad, a kocsi az utcán parkol, az aktán a név virít – az adatbiztonság sérül. (Csak utalnék rá, hogy az iratok ügyvédi irodán kívüli őrzését be kell jelenteni a kamarának, ennek hiányában ugyanis nem illeti meg az őrzési helyet – például az ügyvéd lakását – a speciális védelem hatósági eljárás során.)

A papír alapú iratoknál nagy kérdés a biztonsági másolatok szükségessége. Környezetvédelmi szempontból semmiképpen nem javasolnám az akták duplikálását, de fontosabb iratok esetén felmerülhet a dokumentumok scannelésének lehetősége.

Elektronikus adatokra leselkedő veszélyek

Sokkal több veszély leselkedik az elektronikusan tárolt adatainkra. A védelem alap szintje, hogy az elektronikus eszközöket jelszóval kell védeni (amit nem írunk fel a monitor szélére). A számítógépekre vírusirtót kell telepíteni, amit rendszeresen frissíteni is kell. A külső informatikai támadás valószínűségét csökkenti továbbá a jogtiszta szoftverek használata – ami egy ügyvédi irodában egyébként is alapvető elvárás.

Az adatbiztonság sérülését nem csak az illetéktelen hozzáférés valósítja meg, hanem az adatok elvesztése is. Ezt megakadályozandó érdemes rendszeres biztonsági mentést készíteni a számítógépen tárolt adatokról, mely megvalósítható felhőben vagy más adathordozón.

E körben egy kissé teoretikusnak tűnő kérdés: az Üttv. 16. § (5) bekezdése szerint ha az ügyvéd az ügyvédi tevékenységével kapcsolatos iratokat részben vagy egészben az irodáján, alirodáján, illetve fiókirodáján kívüli helyen őrzi, ennek a címét köteles bejelenteni annak a területi kamarának, amelyik nyilvántartásba vette. A külső tárhely- vagy szerverszolgáltatónál való tárolás esetén elektronikus iratok őrzési helye lehet a szolgáltató (akivel természetesen adatfeldolgozási megállapodást köt az ügyvéd). Kiterjed-e erre is a bejelentési kötelezettség? Ennek jelentősége akkor válik valóssá, ha a szerverszolgáltatónál valamely hatóság vizsgálódik, és esetleg az ügyvédi – vagy védői – titok körébe tartozó adat kerül a hatóság kezébe. Az ügyvédi- és védői titkot körülbástyázó garanciális szabályok ugyanis csak akkor alkalmazhatóak, ha az iratok őrzési helye bejelentésre került, mivel a bejelentési kötelezettség a jogszerű tárolás részét képezi. Összességében tehát úgy gondolom, hogy érdemes – a védelem kiterjesztése érdekében – bejelenteni az elektronikusan tárolt adatok tárolási helyét is.

Most pedig jöjjön az adatvédelmi atombomba: az e-mail fiók. Az elektronikus kommunikáció elterjedése okán egyre több személyes adat és ügyvédi titok körébe tartozó adat közlekedik az ügyvéd e-mail fiókján. Az ügyvéd feladata azt biztosítani, hogy az e-mail szolgáltatón keresztül érkező adatok védve legyenek. Az ingyenes szolgáltatók deklarálják, hogy az ingyenesség fejében hozzáférnek az e-mailek tartalmához. Ez tehát azt jelenti, hogy az az ügyvéd, aki GM**l, Fr**m**l és hasonló szolgáltatók ingyenes szolgáltatásait veszi igénybe, naponta adja ki az e-mail fiókjába érkező és onnan küldött adatokat a szolgáltatónak. Megjegyzem, ezen szolgáltatók általában rögzítik, hogy ingyenes szolgáltatásuk csak magáncélra vehető igénybe, üzleti célra nem. Az adatbiztonság ezen sérülése megvalósíthat adatvédelmi jogsértést és szélsőséges esetben felmerülhet az ügyvéd fegyelmi felelőssége is az ügyvédi titok sérelme okán.

És hogy miért jelent ez kiemelt veszélyt? Ugyanazért, amiért a legtöbb adatkezelő a kamerás adatkezelés miatt kerül terítékre: mert a kamera azonnal látszik. Ugyanígy az e-mail cím is.

Javasolt mindenkinek felülvizsgálni, hogy ezt az egyszerű adatbiztonsági intézkedést betartja-e.

Törlés és selejtezés

Végül egy olyan veszély, mely mind a papír alapú adattárolás, mint az elektronikus tárolás esetén felmerül: a törlés és selejtezés. A megőrzési idő lejártát követően az adatokat törölni kell. A papír alapú iratokat selejtezni lehet iratmegsemmisítő készülékkel, vagy megbízhatunk erre külső szolgáltatót. Az elektronikus adatok törlése esetén biztosítani kell, hogy helyreállíthatatlan legyen az adat a törlés után. Illetve külön figyelmet kell fordítani az eszközök selejtezésére, hogy ne maradhasson helyreállítható adat az adathordozón. Nem jó megoldás az akták vagy a számítógép kukába helyezése, de ugyanígy problémákat vethet fel, ha az irodai kiselejtezett gépet – szakszerű törlés nélkül – más kapja meg használatra! A selejtezésről – az elszámoltathatóság elve alapján – készítsünk jegyzőkönyvet.

Igyekeztem rámutatni, hogy az ügyvédi iroda adatait nem elsősorban a Kardhal c. filmhez hasonló hackerek vagy szuperbetörők veszélyeztetik. A legtöbb veszélyt a napi gyakorlat kialakítása és az emberi tényező hordozza magában. Ezek a veszélyek azonban a megfelelő adatbiztonsági intézkedések betartásával minimalizálhatóak. Az ügyvédi irodában erre kettős kötelezettségünk is van, hiszen mind az Üttv., mind a GDPR előírja ezt számunkra. Törekedjünk betartani.