A Fellowes által támogatott Védje adatait! kampány keretében először kétszáz hazai kis- és középvállalkozás (kkv) reprezentatív felmérésére került sor, amelynek során kiderült, hogy a cégek zöme, 91 százaléka elégedett adatai és iratai kezelésével, és nem tart az adatlopástól, 17 százalékukat mégis érte már kár emiatt. Kiderült az is, hogy noha a vállalkozások 91 százalékánál fellelhetők bizalmas jellegű dokumentumok, negyedüknél még nincs semmiféle előírás az iratok kezelésére vonatkozóan. A kampány második körében − elsősorban irodaházakból származó − olyan papírhulladékot néztek át a kutatók, amelyeknek nem kérték a megsemmisítését. Az átnézett 763 kiló hulladékból 173 kiló (23 százalék) tartalmazott üzleti információkat vagy ügyfelekre vonatkozó személyes adatokat. A hulladékból előkerültek többek között egy gyógyszertár több évre visszamenő teljes pénzügyi kimutatásai, egy oktatási intézmény elrontott, de a hallgatók neveit, adatait és eredményeit tartalmazó bizonyítvány- és igazolványpiszkozatai, egy cég EU-s pályázati pénzekből megvalósuló projektjének szinte minden irata és bizonylata, valamint egy fejvadász cég által a pályázókról összegyűjtött önéletrajzok, fényképekkel, születési dátummal, végzettségre és korábbi munkahelyekre vonatkozó információkkal és értékelésekkel együtt.
A papíralapú iratok, valamint egyéb információhordozók, így például cd-k, dvd-k, merevlemezek és memóriakártyák illetéktelen kezekbe kerülése nemcsak jogi, de jelentős üzleti kockázatokkal is jár. A jogi kockázatok között bírsággal, büntetőjogi és polgári jogi következményekkel is kell számolni. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) személyes adatok nem megfelelő kezelése esetén százezer forinttól tízmillió forintig terjedő bírságot szabhat ki, amire már volt is példa: tavaly a NAIH ötmillió forint összegű bírságot rótt ki egy cégre, mert az Diósjenőn egy nyitott istállóban egykori állami vállalatok, szövetkezetek iratanyagát tárolta, amelyek között bérkartonok, igazolványmásolatok, munkakönyvek és orvosi zárójelentések is voltak. A bírság összegét később a bíróság is jóváhagyta.
A személyes adatokat tartalmazó iratok hanyag kezelése miatt büntetőeljárás is indulhat a cégvezető vagy azon személy ellen, akinek az adatok kezelése munkaköri kötelessége. Az adatok biztonságát szolgáló intézkedés elmulasztása, amennyiben az jelentős érdeksérelmet okoz vagy haszonszerzés a célja, egy évig terjedő szabadságvesztéssel büntethető. A büntetőeljárásban a bíróság emellett az érintett céggel szemben is alkalmazhat intézkedéseket, így kiszabhat a cégre pénzbírságot, amelynek összege legalább ötszázezer forint, de akár ennek többszöröse is lehet, valamint korlátozhatja a cég tevékenységét vagy súlyos jogsértés esetén akár meg is szüntetheti a céget. Mindezeken túl az érintett magánszemélyek polgári peres eljárást is indíthatnak, amiben nemcsak a jogsértés megállapítását, eltiltást és nyilvános elégtételadást kérhetnek, de kártérítési igényt is előterjeszthetnek. Ráadásul 2014 márciusától a nem vagyoni sérelemért már egyösszegű sérelemdíjat is kérhetnek majd, amelyhez elég csak a jogsértés megtörténtét igazolni.
Az üzleti jellegű kockázatok azonban még ennél is nagyobb veszélyt jelenthetnek egy cég működésére. Nem véletlen, hogy az ilyen esetek ritkán kerülnek nyilvánosságra. Egy üzleti terv, levelezés, szerződés vagy annak tervezete kincset érhet a versenytársak számára, a hanyagul kezelt iratok pedig rossz kezekbe kerülve zsarolásra is használhatók, és az ilyen eseteket egyetlen cég vagy cégvezető sem szívesen osztja meg másokkal vagy hozza nyilvánosságra. A sajtó és a közösségi média azonban előszeretettel felkapja az ilyen történeteket, ami jelentős reputációvesztéssel járhat még akkor is, ha a jogi eljárások nem végződnek jelentős szankcióval.
A jogi és üzleti kockázatok ugyanakkor jelentős mértékben csökkenthetők olyan intézkedésekkel, amelyek garantálják a bizalmas információk és személyes adatok biztonságát, legyen szó akár elektronikus, akár hagyományos hordozón tárolt adatokról. Attól, hogy a honlapjára kitesz egy adatvédelmi szabályzatot, még nem biztos, hogy egy cég megfelel az adatvédelmi előírásoknak. A bizalmas információk és a személyes adatok védelmének a cég teljes szervezetén belül érvényesülnie kell, ami egy átgondolt és az adott cég igényeire szabott stratégiával könnyen megvalósítható. Az ennek elérésébe fektetett anyagi és egyéb erőforrások ugyan közvetlenül nem hoznak profitot, de elhanyagolhatók ahhoz a veszteséghez képest, amit a cégnek az adatok nyilvánosságra kerülése esetén megcsorbult reputációjának helyreállítására kellene költenie.
Halász Bálint ügyvéd, Eördögh Bird & Bird Ügyvédi Iroda
Szerző:
