Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A bizalmas információk, üzleti titkok ma már akár egyetlen kattintással is továbbíthatók, ami jelentősen megnöveli annak az esélyét, hogy ezek az adatok kikerüljenek az ellenőrzési körünkből és illetéktelen kezekbe jussanak. Mivel a külső hacker támadások mellett az adatszivárgás leggyakoribb kiváltó oka a munkavállalók tudatos, vagy gondatlan magatartása, a munkáltatói prevenció ezen a területen is kiemelt szerephez jut.
Legyen szó ügyféllistákról, prototípus tervekről, vagy éppen pénzügyi adatokról, a kisvállalkozásoktól kezdve a multinacionális óriásokig minden vállalat rendelkezik olyan, számára jelentős értéket képviselő információkkal, melyek kiszivárgása felbecsülhetetlen károkat okozhat. A munkavállalók internet-hozzáférése automatikusan maga után vonja az adatszivárgás veszélyét, de a hagyományos üzenetküldő alkalmazások mellett új kockázati tényezőt jelenthetnek a népszerű közösségi oldalakon hagyott posztok, az oda feltöltött fényképek is.
„A vállalat – az adatszivárgás elleni védelmet is tartalmazó – belső biztonsági stratégiájának kialakítása során az informatikai és a jogi védelem eszközei egyformán fontos szerepet kapnak.” – emeli ki dr. Csengery Levente, a Gide Loyrette Nouel – d’Ornano iroda vezető ügyvédje. A védelmi stratégia kialakításánál első lépés egy biztonsági kockázatelemzés elvégzése, mely magában foglalja a védendő adatok azonosítását, és biztonsági fokozat szerinti csoportosítását. A védendő adatnak minősül mindenekelőtt az üzleti titok, azaz a vállalat gazdasági tevékenységéhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené vagy veszélyeztetné, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette. Az üzleti titok védelmének kötelezettsége a munkavállalót nem csak munkaviszonya alatt, hanem annak megszűnését követően is, korlátlan ideig terheli. Jellemző, hogy a munkáltató ezért nem köteles külön ellenértéket szolgáltatni.
A bizalmas információk azonosítását és csoportosítását követően célszerű meghatározni az érzékeny adatok védelmét leghatékonyabban szolgáló magatartási szabályokat, melyeket aztán kötelező érvényű belső szabályzatba foglalva lehet ismertetni a dolgozókkal. A szabályzatban fontos egyértelműen lefektetni, hogy a munkavállalók jogosultak-e szoftvereket telepíteni a vállalati számítógépre, milyen külső hardver eszközök csatlakoztathatók a belső hálózatra, milyen információkat, és milyen formátumban továbbíthatnak külső levelezőpartnereiknek, továbbá azt is, hogy a kötelezettségszegő munkavállalókkal szemben milyen jogkövetkezményeket alkalmazhat a munkáltató. A munkavállalók egyéni felelősségérzetének és a tudatos magatartásának kialakításában kiemelt szerepet kapnak a rendszeres vállalati tréningek is, melyekkel elejét lehet venni a dolgozói hanyagságból, vagy gondatlanságból fakadó adatszivárgásnak. Bár munkáltató jogosult a nem kívánatos internetes weboldalakhoz való hozzáférés korlátozására, gyakorlati tapasztalatok azt mutatják, hogy a tudatos magatartásra nevelés hosszú távon kifizetődőbb, mint a kategorikus tilalom.
Gyakran előfordul, hogy munkavállalók sokkal több információhoz férnek hozzá, mint amennyi a munkájuk elvégzéséhez ténylegesen szükséges. A biztonsági kockázatok csökkentése érdekében célszerű rendszeres időközönként felmérni, hogy ki az, akinek indokolt széleskörű hozzáférési jogosultságot biztosítani.
„A munka törvénykönyve biztosítja a munkáltató számára azt a lehetőséget is, hogy technikai eszközökkel ellenőrizze a munkavállaló tevékenységét. Noha a munkavállaló beleegyezése nem szükséges az on-line monitorozás megkezdéséhez, a magánélet védelme érdekében a munkáltató köteles előzetes és kellően részletes tájékoztatást nyújtani a megfigyelőrendszer alkalmazásáról.” – mondta el dr. Ruppl Klaudia, a Gide Loyrette Nouel adatvédelmi szakértője.
A bizalmas információk, adatok kiszivárgása jelentős kockázatot jelent a munkáltató számára, hiszen az jogos gazdasági érdekeit, jó hírnevét veszélyeztetheti vagy sértheti, továbbá magában rejti a stratégiai fontosságú ügyfelek, vagy versenyelőnyt jelentő információk elvesztésének rizikóját is. Bár az okozott kárt csak jelentős költség- és erőforrás ráfordítással lehet helyreállítani, érdemes tudni, hogy az érzékeny adatok kiszivárgásáért felelős munkavállaló több síkon is felelősségre vonható.
A munkavállaló bizalmas adatokra- és üzleti információkra vonatkozó titoktartási kötelezettségének megszegésével okozott kárt köteles megtéríteni a munkáltatónak. A kártérítés mértéke ilyen estben felróhatósághoz kötött – gondatlan károkozás esetén a munkavállaló legfeljebb négyhavi távolléti díjának megfelelő, míg szándékos vagy súlyosan gondatlan károkozás esetén a teljes kárt felölelő kártérítés megfizetésével tartozik. Amennyiben a munkavállaló a munkáltató előzetes engedélye nélkül telepít számítógépes programokat, úgy az esetleges szerzői jogi jogsértésekből eredő teljes, polgári és büntetőjogi felelősség kizárólag a munkavállalót terheli.
A Polgári Törvénykönyv a magántitokkal egyenlő védelmet biztosít az üzleti titoknak, így akinek az üzleti titkát megsértik, személyiségi jogi jogvédelemért fordulhat a bírósághoz, továbbá vagyoni és nem vagyoni kártérítést követelhet a jogsértőtől. Az üzleti titokkal, illetve bizalmas információval súlyosan visszaélő, így tipikusan a munkaviszony megszűnése előtti napokban „adatkimentést” folytató munkavállaló pedig büntetőjogi jogkövetkezményekkel is számolhat. A büntetőjogi felelősség mértéke elsősorban az okozott érdeksérelem nagyságától függ, de az adatszivárogtatás akár 8 évig terjedő szabadságvesztéssel is büntethető.
dr. Csengery Levente és dr. Ruppl Klaudia
