Adatbiztonság az ügyvédi irodában

Védendő adatkörök

Az adatbiztonság kérdése a GDPR (az Európai Parlament és a Tanács 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról) hatályba lépése óta sokkal hangsúlyosabban van jelen az adatkezelők gyakorlatában. Bár az ügyvédi irodáknak már 2018 előtt is az adatbiztonság magas szintjét kellett elérniük az ügyvédi titok védelme érdekében, célszerű nekünk is felülvizsgálni, hogy az adatvédelmi intézkedéseink megfelelően szolgálják-e az adatbiztonsági követelményeket.  

Először is tisztázni kell, hogy mely adatokra vonatkoznak az adatbiztonsági intézkedések.

Az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény (a továbbiakban Üttv.) 9. § (1) bekezdése alapján ügyvédi titoknak minősül minden olyan tény, információ és adat, amelyről az ügyvédi tevékenység gyakorlója e tevékenysége gyakorlása során szerzett tudomást. Az ügyvédi titkot meg kell tartani. (E helyütt nem kívánok külön kitérni a védői titokra, melyet az ügyvédi titoknál is komolyabb garanciák védenek. A témában javaslom Dr. Bánáti János: Az ügyvédi titok védelmében c. értekezését, mely az Ügyvédek Lapja 2022. március-áprilisi számában olvasható.)

A GDPR 4. cikke személyes adatként definiálja az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információt. A személyes adatokat védeni kell.

Van tehát két adatkör, melyek védelmet élveznek: az ügyvédi titok körébe tartozó adatok, illetve a személyes adatok. A két kör között még véletlenül sem lehet amolyan „minden bogár rovar, de nem minden rovar bogár” összefüggést felfedezni, hiszen vannak olyan személyes adatok az ügyvédi irodában, melyek nem minősülnek ügyvédi titoknak, ellenben van olyan ügyvédi titok, mely nem személyes adat…és persze van olyan, ami személyes adat és ügyvédi titok, és van olyan, ami egyik sem. (Egy jó kávéra a vendégem, aki először mind a négyre tud példát mondani! Megoldásokat várom e-mailben.)

Kérdés, hogy érdemes-e az adatbiztonság külön szintjeit meghatározni az egyes adatkörök vonatkozásában. Szerény véleményem szerint nem. Az eltérő biztonsági szintek több hibalehetőséget hordoznak magukban, mint az a döntés, mely szerint minden védendő adatot a legmagasabb adatbiztonsági szinten kezelünk az ügyvédi irodában.

Betűk és bitek

Az adatbiztonság kialakítása érdekében az adattárolás két módját érdemes megkülönböztetni, hiszen ez alapján tárhatóak fel a potenciális veszélyek, mely ellen védekezni kell.

Lassan csökken ugyan a jelentősége, de biztos, hogy még évtizedekig fogunk papír alapon tárolni adatokat. A papír alapú iratok tárolása esetén biztosítani kell a fizikai védelmet, azaz hogy ne férhessen hozzá illetéktelen személy. Röviden: az iratokat be kell zárni! Ez egyszerűnek tűnik, de tényleg megfelelünk neki?

A 6/2017. (XI. 20.) MÜK szabályzat 1.7. pontja alapján az ügyvédi tevékenység gyakorlását az iroda kialakításával vagy más eszközökkel úgy kell megszervezni, hogy az ügyvédi titok védelmét más, annak megismerésére nem jogosult személyekkel szemben – ideértve az ügyvédi tevékenység más gyakorlóit is – biztosítsa.

Tipikus probléma, ha a rezsiközösségben együtt dolgozó kollégák az asztalukon hagynak védett iratokat, így mások – szélsőséges esetben az irodába érkező ügyfelek is – beleláthatnak abba. Ugyanígy nem szerencsés, ha az érkező ügyfelek rálátnak a polcon lévő aktákra, melyen más ügyfelek neve szerepel.

Egy reggeli tárgyalás előtt kevesen mennek már be az irodába, az aktát hazaviszik. Rosszabb esetben az akta a kocsiban marad, a kocsi az utcán parkol, az aktán a név virít – az adatbiztonság sérül. (Csak utalnék rá, hogy az iratok ügyvédi irodán kívüli őrzését be kell jelenteni a kamarának, ennek hiányában ugyanis nem illeti meg az őrzési helyet – például az ügyvéd lakását – a speciális védelem hatósági eljárás során.)

A papír alapú iratoknál nagy kérdés a biztonsági másolatok szükségessége. Környezetvédelmi szempontból semmiképpen nem javasolnám az akták duplikálását, de fontosabb iratok esetén felmerülhet a dokumentumok scannelésének lehetősége.

Elektronikus adatokra leselkedő veszélyek

Sokkal több veszély leselkedik az elektronikusan tárolt adatainkra. A védelem alap szintje, hogy az elektronikus eszközöket jelszóval kell védeni (amit nem írunk fel a monitor szélére). A számítógépekre vírusirtót kell telepíteni, amit rendszeresen frissíteni is kell. A külső informatikai támadás valószínűségét csökkenti továbbá a jogtiszta szoftverek használata – ami egy ügyvédi irodában egyébként is alapvető elvárás.

Az adatbiztonság sérülését nem csak az illetéktelen hozzáférés valósítja meg, hanem az adatok elvesztése is. Ezt megakadályozandó érdemes rendszeres biztonsági mentést készíteni a számítógépen tárolt adatokról, mely megvalósítható felhőben vagy más adathordozón.

E körben egy kissé teoretikusnak tűnő kérdés: az Üttv. 16. § (5) bekezdése szerint ha az ügyvéd az ügyvédi tevékenységével kapcsolatos iratokat részben vagy egészben az irodáján, alirodáján, illetve fiókirodáján kívüli helyen őrzi, ennek a címét köteles bejelenteni annak a területi kamarának, amelyik nyilvántartásba vette. A külső tárhely- vagy szerverszolgáltatónál való tárolás esetén elektronikus iratok őrzési helye lehet a szolgáltató (akivel természetesen adatfeldolgozási megállapodást köt az ügyvéd). Kiterjed-e erre is a bejelentési kötelezettség? Ennek jelentősége akkor válik valóssá, ha a szerverszolgáltatónál valamely hatóság vizsgálódik, és esetleg az ügyvédi – vagy védői – titok körébe tartozó adat kerül a hatóság kezébe. Az ügyvédi- és védői titkot körülbástyázó garanciális szabályok ugyanis csak akkor alkalmazhatóak, ha az iratok őrzési helye bejelentésre került, mivel a bejelentési kötelezettség a jogszerű tárolás részét képezi. Összességében tehát úgy gondolom, hogy érdemes – a védelem kiterjesztése érdekében – bejelenteni az elektronikusan tárolt adatok tárolási helyét is.

Most pedig jöjjön az adatvédelmi atombomba: az e-mail fiók. Az elektronikus kommunikáció elterjedése okán egyre több személyes adat és ügyvédi titok körébe tartozó adat közlekedik az ügyvéd e-mail fiókján. Az ügyvéd feladata azt biztosítani, hogy az e-mail szolgáltatón keresztül érkező adatok védve legyenek. Az ingyenes szolgáltatók deklarálják, hogy az ingyenesség fejében hozzáférnek az e-mailek tartalmához. Ez tehát azt jelenti, hogy az az ügyvéd, aki GM**l, Fr**m**l és hasonló szolgáltatók ingyenes szolgáltatásait veszi igénybe, naponta adja ki az e-mail fiókjába érkező és onnan küldött adatokat a szolgáltatónak. Megjegyzem, ezen szolgáltatók általában rögzítik, hogy ingyenes szolgáltatásuk csak magáncélra vehető igénybe, üzleti célra nem. Az adatbiztonság ezen sérülése megvalósíthat adatvédelmi jogsértést és szélsőséges esetben felmerülhet az ügyvéd fegyelmi felelőssége is az ügyvédi titok sérelme okán.

És hogy miért jelent ez kiemelt veszélyt? Ugyanazért, amiért a legtöbb adatkezelő a kamerás adatkezelés miatt kerül terítékre: mert a kamera azonnal látszik. Ugyanígy az e-mail cím is.

Javasolt mindenkinek felülvizsgálni, hogy ezt az egyszerű adatbiztonsági intézkedést betartja-e.

Törlés és selejtezés

Végül egy olyan veszély, mely mind a papír alapú adattárolás, mint az elektronikus tárolás esetén felmerül: a törlés és selejtezés. A megőrzési idő lejártát követően az adatokat törölni kell. A papír alapú iratokat selejtezni lehet iratmegsemmisítő készülékkel, vagy megbízhatunk erre külső szolgáltatót. Az elektronikus adatok törlése esetén biztosítani kell, hogy helyreállíthatatlan legyen az adat a törlés után. Illetve külön figyelmet kell fordítani az eszközök selejtezésére, hogy ne maradhasson helyreállítható adat az adathordozón. Nem jó megoldás az akták vagy a számítógép kukába helyezése, de ugyanígy problémákat vethet fel, ha az irodai kiselejtezett gépet – szakszerű törlés nélkül – más kapja meg használatra! A selejtezésről – az elszámoltathatóság elve alapján – készítsünk jegyzőkönyvet.

Igyekeztem rámutatni, hogy az ügyvédi iroda adatait nem elsősorban a Kardhal c. filmhez hasonló hackerek vagy szuperbetörők veszélyeztetik. A legtöbb veszélyt a napi gyakorlat kialakítása és az emberi tényező hordozza magában. Ezek a veszélyek azonban a megfelelő adatbiztonsági intézkedések betartásával minimalizálhatóak. Az ügyvédi irodában erre kettős kötelezettségünk is van, hiszen mind az Üttv., mind a GDPR előírja ezt számunkra. Törekedjünk betartani.