Üzleti titok védelme a vállalkozásban

2020-07-08

Azt már majdnem mindenki tudja, hogy a vállalati ügyvitelben a természetes személyek adatait és vonatkozó jogait az Európai Unió általános adatvédelmi rendelete, a GDPR védi. De vajon mi védi a vállalkozások üzleti titkait? A vállalati ügyvitelben két igazán fontos adatkör van: a személyes adatok és az üzleti titkot képező információk köre. Érdemes a vállalkozásnak a GDPR-ban meghonosított adatvédelmi eszközöket, eljárásokat – ha már alkalmazásuk úgyis kötelező – kiterjeszteni az üzleti titok körébe tartozó információik védelmére is.

Minden vállalkozásnak vannak üzleti titkai, ez a tény rosszabb esetben csak akkor tudatosul, ha ellopják. Érzékeny vállalati információk ellopását mindennapos tevékenységnek mondhatjuk KKV körben is, minden cégvezető tudna mesélni arról, hogyan vitt magával üzleti információkat, ügyfeleket elbocsátott alkalmazottja.

Hogy mi védi a vállalkozások üzleti titkait?

Hát az üzleti titok védelméről szóló 2018. évi LIV. törvény. E törvényről a legkevesebb, ami elmondható, hogy korántsincs olyan presztizse, mint a GDPR-nak. Az Unió általános adatvédelmi rendelete tette a vállalti ügyvitel bizalmas részévé az adatvédelmet, a természetes személyek személyes adatainak kezelésére vonatkozó szabályozásával.

A bizalmasság előírásával a vállalti ügyvitelben a titkosság főszabállyá lépett elő. A GDPR az egyik alapelveként fogalmazza meg az adatbiztonságot, és a tételes rendelkezései között is részletes adatbiztonsági előírásokat ad, amelyek kötelezőek az adatkezelőkre, és ezek megsértését súlyos bírságszankciókkal is fenyegeti. Az üzleti titokra vonatkozó polgári jogi szabályozás a GDPR-hoz képest más logikát követ, és ebből következően lehet, hogy a jogi szabályozás végeredményben az üzleti titkokat gyengébben védi, mint a személyes adatokat.

Az üzleti titok védelméről szóló 2018. évi LIV. törvény az Európai Parlament és a Tanács által 2016. június 8. napján elfogadott, a nem nyilvános know-how és üzleti információk (üzleti titkok) jogosulatlan megszerzésével, hasznosításával és felfedésével szembeni védelemről szóló 2016/943/EU irányelvet ülteti át a magyar jogba. Ez azt is jelenti az Európai Unióban egységesen ez a szabályozás érvényesül az üzleti titokra. E törvénnyel az üzleti titokra és a know-howra vonatkozó szabályozás kikerült a Polgári törvénykönyvből, illetve a tisztességtelen piaci magatartás és a versenykorlátozás tilalmáról szóló 1996. évi LVII. törvényből.

Az üzleti titokra vonatkozó polgári jogi szabályozás a GDPR-hoz képest más logikát követ. Az üzleti titok védelme és biztonsági intézkedések megtétele a jogosult titokgazdának nem kötelezettsége, hanem joga. Ez egy alapvető szabályozási és alkalmazási különbség. Így ha egy vállalkozás nem tesz intézkedéseket az üzleti titkai megvédésére, azt nem fogja szankcionálni senki, az adatvédelmi hatóság sem fog bírságot kiszabni. De ha úgy dönt a vállalkozás, hogy mégis csak jó lenne az üzleti titkait védeni, ahhoz a jogi szabályozás már biztosítja a jogvédelmet, az üzleti titokra vonatkozó törvénnyel és intézményeivel.

Az üzleti titok fogalma

Az üzleti titok új törvényi fogalma szerint a gazdasági tevékenységhez kapcsolódó, titkos - egészben, vagy elemeinek összességeként nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető -, ennélfogva vagyoni értékkel bíró olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek a titokban tartása érdekében a titok jogosultja az adott helyzetben általában elvárható magatartást tanúsítja (1.§/1/).

Az üzleti titokkal egy párban kezeli a törvény a védett ismeretet ((know-how): az üzleti titoknak minősülő, azonosításra alkalmas módon rögzített, műszaki, gazdasági vagy szervezési ismeret, megoldás, tapasztalat vagy ezek összeállítása. (1.§/1/).

Az üzleti titok fogalma leegyszerűsítve: az, amit a vállalkozás annak minősít. Konkrétabban: üzleti titokként védhetők a következő információk:

■ Minden technikai jellegű műszaki információ: ipari, gyártási eljárás, mód, folyamat, leírás, vegyületek, receptek, műszaki tervek, rajzok, számítástechnikai programok.

■ Kereskedelmi adatok, információk: üzleti tervek, forgalmazási tervek, stratégiák, vevőkre, szállítókra vonatkozó információk, listák, adatbázisok, piackutatások, alkalmazott szerződési formulák, és a megkötött szerződések, gyártási, értékesítési, beszerzési mennyiségek.

■ Számviteli, pénzügyi adatok, amelyek nem esnek közzétételi kötelezettség alá.

■ Védett ismeret (know-how): gazdasági, műszaki, szervezési ismeretek. Ide tartoznak a belső szabályzatok is tárgyuktól függetlenül.

Az üzleti titok alóli kivételekre az 2018. évi LIV. törvény rendelkezései irányadók. Így például nem minősül az üzleti titokhoz fűződő jog megsértésének, ha az üzleti titok megszerzését, hasznosítását vagy felfedését közvetlenül alkalmazandó uniós jogi aktus vagy törvény írja elő, vagy teszi lehetővé. (5.§/3/

Mitől függ az üzleti titok vagyoni értéke?

Az üzleti titok fogalom-meghatározásából nagyon lényeges kiemelni, hogy az üzleti titok vagyoni értéke nem az információ milyenségéből, önértékéből, hanem a titkosságból és annak jogosult általi megóvásából ered.

Egy talányos fogalom, mi az elvárható magatartás?

Az üzleti titok fogalom lényeges eleme, hogy a titokban tartás érdekében a jogosultnak az adott helyzetben általában elvárható magatartást kell tanúsítani. Ez magyarul, azt jelenti, hogy a jogosultnak meg kell határoznia azt, hogy gazdasági tevékenységéhez kapcsolódóan milyen tényeket és adatokat kíván titokban tartani, és konkrét védelmi intézkedéseket kell hoznia e titok megóvása érdekében. Ilyen védelmi intézkedés hiányában nem csak az üzleti titokhoz fűződő jog megsértésének szankcióit nem lehet érvényesíteni, hanem üzleti titokról sem lehet beszélni.

Ez a törvény nem jogi kötelezettségként írja elő az információbiztonsági intézkedéseket – hanem másfajta megközelítésben azt mondja, hogy csak akkor tekintheted üzleti titoknak az üzleti, vállalati stb. információidat, és ennek megsértése esetén csak akkor érvényesítheted a jogsértővel szemben a törvényben írt szankciókat, ha meghozod a titokban tartáshoz szükséges, elvárható óvintézkedéseket.

Tehát itt a törvény nem adja meg a biztonsági intézkedések katalógusát, és nem teszi kötelező annak egyetlen elemét sem. Van ebben a szabályozásban ráció, mivel még KKV szinten is jelentős különbségek vannak egy 250 főt foglalkoztató középvállalkozás, és egy egyszemélyes mikrovállalkozás között. Az üzleti titok megóvása körében általában elvárható magatartás követelménye tehát személyre szabott, a jogosult konkrét körülményei által meghatározott.

Konkrét technikai és szervezési intézkedéseket kell hozni az üzleti titok megóvása érdekében.

A törvény alapján az üzleti titok jogosulatlan megszerzésének a dokumentumhoz, dologhoz, anyaghoz vagy elektronikus adatállományhoz való engedély nélküli hozzáférés a lényeges mozzanata. A hozzáférésből következnek a további jogsértő cselekmények, az eltulajdonítás, másolat készítése, hasznosítás, felfedés. (6.§). Ebből következik, hogy az üzleti titok megóvására irányuló intézkedések középpontjában a birtokbavétel, a hozzáférés tényleges, fizikai technikai korlátozása, kizárása áll.

Azért az általában elvárható magatartás konkrét tartalmát illetően az üzleti titok megóvása körében is irányadó lehet a GDPR szabályozása: „Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja.” (GDPR 32. cikk /1/). Még egyszer kiemeljük, hogy ez csak a személyes adatok kezelésére vonatkozó előírás, az üzleti titok körére nem terjed ki, az erre vonatkozó szabályozásnak a fentiek szerint más a logikája.

Az előbbiek alapján azonban rögzíthető, hogy a gazdasági tevékenységhez kapcsolódó nem nyilvános tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, azzal válik üzleti titokká, hogy a jogosult a titokban tartásuk érdekében meghozza a szükséges, a kockázatokat figyelembe vevő megfelelő technikai és szervezési intézkedéseket. Tehát a jogszabályban írt elvárható megatartás a kockázatokat figyelembe vevő megfelelő technikai és szervezési intézkedések meghozatalát jelenti.

Így ér össze a gyakorlatban az üzleti titok törvény és a GDPR alkalmazása, mindegy, hogy üzleti titokról, vagy személyes adatról van szó – az információbiztonság követelménye, az óvintézkedések megtétele mindkettőre érvényes, és aktív intézkedéseket követel. Az üzleti titok vonatkozásában nem jogi kötelezettség teljesítése ez, hanem önérdek, a saját jogvédelmi és jogérvényesítési eszközrendszer megteremtése. Így van ez a KKV-körben is, cégmérettől függetlenül.

Azért vannak a jogsértésnek szankciói is

A törvény részletezi az üzleti titokhoz fűződő jog megsértésének esetköreit és ezek szankcióit. Mondjuk ezek a GDPR 20 millió eurós bírságmaximumához képest amolyan „ejnye-bejnye” szankcióknak tűnnek.

Az üzleti titokhoz fűződő jog megsértése esetén a jogosult a jogsértés ténye alapján szankcióként - az eset körülményeihez képest - követelheti a jogsértés megtörténtének bírósági megállapítását, és a jogsértés megállapítása mellett követelheti
■ a jogsértés abbahagyását és a jogsértő eltiltását a további jogsértéstől;
■ a jogsértő áru előállításának, kínálásának, nyújtásának, forgalomba hozatalának vagy hasznosításának, illetve ilyen célból történő behozatalának, kivitelének vagy raktáron tartásának megtiltását;
■ a jogsértő áru megsemmisítését vagy kivonását a kereskedelmi forgalomból, feltéve, hogy a kereskedelmi forgalomból történő kivonás nem csökkenti az üzleti titok védelmét,
■ a jogsértő áru visszahívását a kereskedelmi forgalomból vagy jogsértő mivoltától való megfosztását;
■ a jogsértő általi adatszolgáltatást a jogsértő áru előállításában, forgalmazásában, illetve teljesítésében résztvevőkről, a jogsértő hasznosításra kialakított üzleti kapcsolatokról;
■ a sérelmes helyzet megszüntetését, a jogsértést megelőző állapot helyreállítását,
■ a jogsértéssel elért gazdagodás visszatérítését;
■ az üzleti titkot tartalmazó vagy az üzleti titkot megtestesítő dokumentumok, tárgyak, anyagok vagy elektronikus adatállományok összességének vagy egy részének megsemmisítését, vagy a jogosult részére történő átadását, és
■ követelheti az ügyben hozott határozat közzétételét. (7. § /1/)

A bíróság a jogsértő kérelmére a felróhatóságtól független jogkövetkezmények alkalmazása helyett a jogsértés megállapítása mellett pénzbeli ellentételezés megfizetését rendelheti el a jogosult javára (8.§/1/).

Az üzleti titokhoz fűződő jog megsértése esetén a jogosult a polgári jogi felelősség szabályai szerint kártérítést is követelhet. (9.§/1/).

Van büntetőjogi védelem is

Az üzleti titok büntetőjogi védelemben is részesül. Az üzleti titok megsértése bűntettét az követi el, aki jogtalan előnyszerzés végett, vagy másnak vagyoni hátrányt okozva üzleti titkot jogosulatlanul megszerez, felhasznál, más személy részére hozzáférhetővé tesz vagy nyilvánosságra hoz. E cselekmény bűntett miatt három évig terjedő szabadságvesztéssel büntetendő. (Btk. 418.§)

Érdemes az információbiztonsági intézkedéseket áttekinteni és rendszerbe foglalni, és ebben a körben mindegy, hogy a védendő információ személyes adat, vagy üzleti titok. A védelmi intézkedések ilyen rendszerbe foglalásról szól az Önadózó két legújabb kiadványa, a KKV információbiztonsági kézikönyve és intézkedéscsomag, amely a vállalkozások részére szól, és a Könyvelőirodai információbiztonsági kézikönyv és intézkedés csomag, amely pedig speciálisan a könyvviteli szolgáltatóknak szól.

E kiadványokban nem csak az informatikai biztonsági követelményeket foglaltuk össze, de a munkavégzés során betartandó információbiztonsági követelményeket is leírtuk egy alkalmazható munkaköri leírásban.

***

Ilyen témák miatt kövesd az Online Jogtanácsadót a Facebookon: https://www.facebook.com/drszabotiborugyved/

Vissza az előző oldalra