Milyen jogi következményekkel járhat, ha az informatikai kockázatok kezelése nem megfelelő? Milyen hatása lehet ennek egy cég vezető tisztségviselőjére nézve? És vajon mi köze mindennek az Autóklub „sárga angyalaihoz"?
Néhány példa, megtörtént esetek, lehetséges csapdák és következmények.
Néhány éve sikkasztás történt egy pénzügyi szervezetnél. A bűncselekmény előkészítéséhez és leplezéséhez az elkövetők a számlavezető és könyvelő rendszerben is különböző tranzakciókat végeztek.
A nyomozás 3 főre szűkítette a lehetséges elkövetők körét. A tényleges tettes(ek) kilétének teljes bizonyossággal történő megállapítása azonban nem volt lehetséges. A rendszerek ugyan jelszavas hitelesítés után voltak csak hozzáférhetők és naplóállományok is rendelkezésre álltak -- valami azonban hiányzott...
A bizonyító erő forrása a hitelesség
A nyomozás során feltárt, illetve a korábbi PSZÁF-vizsgálatok során dokumentált körülményekből megállapítható volt, hogy az informatikai rendszer önmagában nem kellően hiteles bizonyítékforrás a büntetőjogi felelősség megállapításához. Mit jelentett ez a mi esetünkben?
Kiderült, hogy a cégnél bevett gyakorlat volt a másik alkalmazott jelszavának ismerete, mert így rugalmasabb és gördülékenyebb volt a munkavégzés.
Kiderült az is, hogy a bűncselekményben kulcsszerepet játszó tranzakciók közül többet is egy olyan (vezető beosztású, ezért sok jogosultsággal rendelkező) felhasználó azonosítójával hajtottak végre, aki akkor már két hete nem is volt a cég alkalmazottja. (És egyéb módon bizonyítható volt, hogy valóban nem is ő használta az azonosítóját.)
Ehhez képest már valóban csak hab volt a tortán, hogy a naplóállományok sértetlensége sem volt kellően biztosított. Az eredmény összességében az lett, hogy az informatikai kockázatok nem megfelelő kezelése és a gyenge kontrollkörnyezet miatt az informatikai rendszer nem volt kellően hiteles bizonyítékforrás. Emiatt igen nagy valószínűséggel nem lesz elegendő bizonyíték a felelősségre vonáshoz, így jó eséllyel nem lesz kin behajtani (a tízmilliós nagyságrendű) veszteséget.
De a vezető tisztségviselők számára még nem is biztos, hogy itt véget ér a történet. Elképzelhető, hogy végül nekik kell majd megtéríteni a céget ért kárt. Mi ennek a jogi alapja?
Vezető tisztségviselők felelőssége
A gazdasági társaságokról szóló törvény értelmében a gazdasági társaság vezető tisztségviselője az ilyen személyektől elvárható fokozott gondossággal köteles eljárni. Az e kötelezettségének megszegésével a társaságnak okozott kárért pedig a polgári jog szabályai szerint korlátlanul - tehát akár teljes privát vagyonával - felelős.
És vajon mondhatja-e védekezésül a XXI. században egy cégvezető, hogy nem gondolta, hogy az informatikai kockázatokra is figyelnie kell? Hivatkozhat-e eredményesen arra, hogy vezető tisztségviselőként az elvárható módon és gondossággal járt el, miközben az előbbi példában említett események megtörténhettek az általa vezetett cégben?
Aligha. A vezető tisztségviselőknek tudatában kell lenniük, hogy a fokozott gondosságot előíró szabály az informatikai rendszeren keresztül jelentkező kockázatokra is kiterjed. Vannak azonban olyan területek is, ahol még a bizonyíthatóan fokozott gondosság is kevés.
Személyes adatok - objektív felelősség és büntetőjogi következmények
Az adatvédelmi törvény úgy rendelkezik, hogy az adatkezelő az adatvédelem követelményeinek megszegésével másnak okozott kárt köteles megtéríteni. Ez alól csak egy nagyon szűk körben enged kimentési lehetőséget: ha az adatkezelő bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő. Ez a gyakorlatban a következőt jelenti.
Szemben az általános, felróhatóságon (vagyis az elvárható magatartás hiányán) alapuló felelősséggel, ebben az esetben úgynevezett objektív felelősségről van szó. Tehát nem számít, hogy az adatkezelő milyen szintű gondossággal járt el, ha a szabályok megszegésével kár keletkezett, azt meg kell téríteni.
A személyes adatkezeléssel összefüggő szabálytalanságoknak akár büntetőjogi következménye is lehet. Azzal általában mindenki tisztában van, hogy a személyes adatoknak az adatvédelmi törvénybe ütköző kezelése bűncselekmény is lehet (ha jelentős érdeksérelmet okoz). Ugyanakkor viszonylag kevéssé ismert a személyes adattal való visszaélés bűncselekményének egy másik lehetséges tényállása, az adatbiztonsági intézkedés elmulasztása. Hogyan lehet ezt a bűncselekményt elkövetni?
Úgy, hogy a nem megfelelő biztonsági környezet miatt jelentős érdeksérelem éri azt, akinek személyes adatát kezeljük (vagy feldolgozzuk). Fontos, hogy nem gondatlanságról van szó, ennek a bűncselekménynek csak szándékos alakzata van, csak szándékosság esetén beszélhetünk bűncselekményről. Ugyanakkor tudni kell azt is, hogy a jog a szándékosságon belül két típust különböztet meg:
- az egyenes szándékot, amikor tisztában vagyunk a magatartás következményeivel, és kívánjuk is e következmény megvalósulását, illetve
- az eshetőleges szándékot, amikor szintén tisztában vagyunk a magatartás következményeivel, de közömbösen viseltetünk iránta, belenyugszunk annak lehetséges bekövetkeztébe
Egy mulasztással elkövethető bűncselekménynél (ilyen például a közlekedésből mindenki által ismert segítségnyújtás elmulasztása is) persze nem minden esetben egyszerű az eshetőleges szándékot bizonyítani a gondatlansággal szemben. De talán egyetérthetünk abban, hogy jobb, ha ez a kérdés fel sem merül.
Jobb, ha megelőzzük egy olyan helyzet kialakulását, amikor azzal kellene védekeznünk, hogy márpedig okkal bíztunk abban, hogy a monitorra kiragasztott jelszavak ellenére nem fog sérülni a személyes adatok biztonsága. Vagy esetleg azzal próbálkozunk, hogy egyáltalán nem is kellett volna számítanunk arra, hogy ez a gyakorlat ilyen következménnyel járhat. Nem vagyok biztos benne, hogy ezek eredményes védekezési stratégiák lehetnek.
Üzleti titok - egy csapda haladóknak
Az személyes adatokon kívül egy másik érzékeny kategória az üzleti titkok köre. De vajon mi is az ületi titok definíciója?
Üzleti titok minden olyan tény, információ, megoldás vagy adat, amire igaz az alábbi feltételrendszer mindhárom eleme:
- a gazdasági tevékenységhez kapcsolódik
- nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné
- titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette
Ha ezek bármelyike nem teljesül, akkor jogi értelemben nem beszélhetünk üzleti titokról. Nyilván Ön is észrevette, hogy a titokban maradáshoz szükséges intézkedések megtétele (pontosabban: meg nem tétele) lehet az a banánhéj, amin egy cég elcsúszhat, amennyiben nem gondoskodik megfelelően az informatikai kockázatok kezeléséről.
És végül egy jellemző szituációtóról és a sárga angyalokról...
„Kivételes" ügyfelek - a bíróságon és az Autóklubnál
Rendszeresen előforduló ügytípus, amikor informatikai tárgyú szerződés teljesítésének (vagy nem teljesítésének) tárgyában kér a bíróság szakértői bizonyítást. Mivel szembesül a szakértő az ilyen esetek szinte mindegyikében?
Pontosan azzal, ahogyan az Autóklub segélyszolgálatának vezetője is jellemezte a februári nagy hidegek idején megnégyszereződő ügyfeleik hozzáállását: ők a „kivételes" ügyfelek. Bár tudják, hogy 6-7 éves akkumulátorral nem lehet nekivágni a télnek, mégis úgy gondolják, hogy ők majd kivételek lesznek, velük ez nem fog megtörténni, ezért nem is törődnek azzal, hogy felkészüljenek. Milyenek a „kivételes" (ügy)felek a bíróságon?
Nos, ők úgy gondolják, hogy nem szükséges drága időt és papírt pazarolni arra, hogy pontosan meghatározzák a szerződés tárgyát, pontosan specifikálják a szoftvertől elvárt funkcionalitást, pontosan állapítsák meg az elvárt szolgáltatási szintet, pontosan „feltegyék a lécet", hogy aztán egyértelműen eldönthessék: átugrotta-e azt a „versenyező", vagy sem.
Sokszor három-négy mondatban elintézik a szerződés tárgyát, úgy gondolva, hogy az „egyértelmű", „magától értetődő" és egyébként is biztos nem lesz semmi probléma. És mit lehet ilyenkor utólag bizonyítani?
Többnyire semmit. Néhány valóban triviális állításon kívül a szerződésszerű teljesítésre vonatkozó kérdések egy bizonyítási „senkiföldjén" találhatók: sem pro sem kontra nem lehet megalapozott megállapítást tenni velük kapcsolatban. Nem lehet eldönteni, hogy a versenyző átugrotta-e a lécet, hiszen azt fel sem tették: csak egy homályos utalás van arra vonatkozóan, hogy egy szép nagyot kell neki ugrani. És mi lesz ennek az eredménye?
Az a fél, akire a bizonyítás terhe esik, nem fogja tudni bizonyítani állításait, ezért el fogja veszíteni a pert. Függetlenül attól, hogy a megrendelő perelt (mert álláspontja szerint a szállító nem teljesített szerződésszerűen), vagy a szállító (mert ő úgy gondolja, hogy a megrendelő alaptalanul tagadta meg a teljesítés elfogadását), a kérdés egyik oldalról sem lesz eldönthető, csak a bizonyítatlanság más számára lesz hátrányos.
Ön se legyen „kivételes" ügyfél: ne gondolja, hogy majd kivétel lesz. Ne vágjon neki a télnek elöregedett aksival és ne sajnáljon időt szánni egy informatikai tárgyú szerződés tárgyának és a teljesítés kritériumainak pontos megfogalmazására.
Mi is forog kockán?
Összefoglalva: az informatikai kockázatok nem megfelelő kezelése olyan helyzetbe hozhatja bármelyik gazdálkodó szervezetet, hogy e hiányosságok miatt (egyébként jogos) igényét, követelését jogi úton nem fogja tudni érvényesíteni.
Tovább lehetséges következmény, hogy emiatt a cég kártérítési pert indíthat a vezető tisztségviselője ellen. A kártérítési felelősség alapja a társasági törvényben a vezető tisztségviselők számára előírt fokozott gondossági követelmény megszegése, ami az informatikai kockázatok nem megfelelő kezelésében testesül meg.