Napjainkra szinte minden jelentősebb szervezet - legyen bár állami vagy piaci - működésében fontos szerepet játszik a különböző informatikai eszközök használata, üzemeltetése, akár főtevékenységként, akár működést segítő eszközeként. Ennek ellenére az alkalmazott informatikai eszközökkel, szoftverekkel, szervezeti megoldásokkal szemben támasztott biztonsági kritériumokkal átfogóan aránylag kevés magyar jogszabály foglalkozik. Uniós irányelv, vagy rendelet sem született még ezzel az igénnyel, annak ellenére, hogy az informatikai biztonsággal kapcsolatos felhasználói tudatosság növelését, az ezzel kapcsolatos legjobb gyakorlatok, és know-how terjesztését célul kitűző közösségi intézmény, az ENISA1 2004 óta működik.
Az átfogó és egységes informatikai biztonsági szabályozás hiánya ellenére, szűkebb területeken számos jogszabály tartalmaz részletszabályozást. Tanulmányunk célja az, hogy erről a meglehetősen töredezett jogterületről adjunk egy rövid áttekintést, ismertessük az informatikai biztonság megteremtését célzó, már létező jogintézményeket.2
Az első rész azokat az általános jogszabályi előírásokat foglalja össze, amelyek minden komolyabb (személyes) adatkezeléssel foglalkozó piaci szereplőre vonatkoznak. A lehető legteljesebb kép biztosítása érdekében röviden kitérünk az informatikával kapcsolatos büntetőjogi szabályozásra is. Ezt követően sorra vesszük és röviden elemezzük a gazdasági szférára vonatkozó különös szabályozást. Végül zárásként, a még inkább sokszínű, közigazgatási szervezeteket érintő speciális rendelkezéseket foglaljuk össze egy táblázat segítségével.
Az egyre fejlődő infokommunikációs iparnak is köszönhetően már csaknem minden üzleti tevékenység velejárója a személyes adatok tömeges kezelése. Főként az utóbbi években elterjedt Customer Relationship Management rendszerek, illetve egyre szofisztikáltabb marketing- és vezetői döntéseket támogató szoftverek miatt szinte minden cég komoly hangsúlyt fektet arra, hogy a lehető legjobban megismerje az ügyfeleit, piacait, célközönségét, hogy ezen információk birtokában csökkenthesse piaci kockázatait egy új termék bevezetésénél, vagy növelhesse az értékesítés hatékonyságát.
Ezen tendenciák miatt az adatbiztonság tárgyalásakor nem hagyható figyelmen kívül az adatvédelmi szabályozás sem. A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló, 1992. évi LXIII. törvény hatálya a Magyar Köztársaság területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira vonatkozik, valamint amely közérdekű adatot vagy közérdekből nyilvános adatot tartalmaz.
Az adatbiztonság szempontjából azonban különösen a törvény 10. §-a tartalmaz fontos rendelkezéseket. Eszerint az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Az adatokat védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés ellen. A személyes adatok technikai védelmének biztosítása érdekében külön védelmi intézkedéseket kell tennie az adatkezelőnek, az adatfeldolgozónak, illetőleg a távközlési vagy informatikai eszköz üzemeltetőjének, ha a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik.
Az informatikai biztonság szabályozásának tárgyalásakor szintén megkerülhetetlen téma a terület büntetőjogi vonatkozásainak rövid ismertetése. Az adatvédelmi törvényben rögzített adatkezelői, adatfeldolgozói kötelezettségek megsértését, illetve a személyes adatokkal történő visszaélést bünteti a Btk. 177/A. §-ban foglalt tényállás, mely szerint aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével jogosulatlanul vagy a céltól eltérően személyes adatot kezel, az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, az adatok biztonságát szolgáló intézkedést elmulasztja, és ezzel más vagy mások érdekeit jelentősen sérti, vétséget követ el. A Btk. súlyosító körülményként értékeli, ha a cselekményt hivatalos személyként, közmegbízatás felhasználásával, vagy jogtalan haszonszerzés végett követik el, vagy ha a személyes adattal visszaélést különleges személyes adatra (egészségügyi állapoti, faji, vallási hovatartozás, büntetett előélet stb.) követik el.
Röviden említésre érdemes a Btk. 178/A. § által szabályozott magántitok jogosulatlan megismerése, a 300/C. § paragrafus által szabályozott számítástechnikai rendszer és adatok elleni bűncselekmény tényállása és említése méltó még a készpénz-helyettesítő fizetési eszközökkel kapcsolatos tényállási kör (313/B. §, 313/C. §, 313/D. §).
Bár a büntetőeljárás szabályainak alkalmazására elsősorban a nyomozó hatóságok, az ügyészség, és a bíróságok kötelesek, mégis a büntetőeljárásról szóló, 1998. évi XIX. törvény (Be.) is tartalmaz néhány olyan speciális szabályt (az eljárás alá vont személyek jogain, illetve a törvényes garanciákon túl), melyet azon szervezeteknek, amelyeknek életében kulcsfontosságú szerepet játszik az információtechnológia fontos ismerniük. Kiemelten fontos egy speciális kényszerintézkedési típus, amelyet a jogalkotó a (jellemzően folyamatosan üzemelő) számítógépes közegben feltalálható bizonyítékok biztosítására alkotott meg. Ez a jogintézmény a számítástechnikai rendszer útján rögzített adatok megőrzésére kötelezés, melyet a Be. 158/A. §-a szabályoz.
A törvény szerint a megőrzésre kötelezés a bűncselekmény felderítése és a bizonyítás érdekében a számítástechnikai rendszer útján rögzített adat birtokosának, feldolgozójának, illetőleg kezelőjének a számítástechnikai rendszer útján rögzített meghatározott adat feletti rendelkezési jogának ideiglenes korlátozása. A bíróság, az ügyész, illetőleg a nyomozó hatóság elrendeli annak a számítástechnikai rendszer útján rögzített adatnak a megőrzését, amely bizonyítási eszköz, vagy bizonyítási eszköz felderítéséhez, a gyanúsított kilétének, tartózkodási helyének a megállapításához szükséges.
A számítástechnikai rendszer útján rögzített adatok megőrzésére kötelezés esetében az adatrögzítő eszköz a tulajdonosnál marad, nem kerül lefoglalás alá. Amennyiben azonban a büntetőeljárás sikere szempontjából szükséges, akkor lefoglalásra kerülhet sor, ami tehát szintén egy kényszerintézkedési forma, és szintén a büntetőeljárás során előkerült tárgyi bizonyítékok biztosítását teszi lehetővé. Mivel a lefoglalt dolog minősége, mennyisége, természete szerint meglehetősen sokféle lehet a büntetőeljárásokban, ezért néhány kiemelt bizonyítéktípus lefoglalására vonatkozóan a jogalkotó speciális szabályokat alkotott. Ezeket a szabályokat tartalmazza a lefoglalás és a büntetőeljárás során lefoglalt dolgok kezelésének, nyilvántartásának, előzetes értékesítésének és megsemmisítésének szabályairól, valamint az elkobzás végrehajtásáról szóló, 11/2003. (V. 8.) IM-BM-PM együttes rendelet.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
