GDPR, ügyvédek és közjegyzők, elmélet és gyakorlat

Átolvasásra kaptam egy szerződéstervezetet, amiben szerepel az alábbi kitétel:

Felek kijelentik, hogy az EU 2016/679. számú általános adatvédelmi rendelet (GDPR) szerint az okiratot szerkesztő ügyvéd a személyes adataikat jogszerűen kezeli, melyhez kifejezetten hozzájárulnak.

Az ügyvéd minden személyes adattal, személyi számmal, adóazonosítóval küldte plain text email csatolkányaként, jelszó vagy titkosítás nélkül. Kinek mennyire futkosik a hátán a szőr ezektől a húzásoktól? De facto? De iure?

Közjegyző szintúgy plaintext email sima csatolmányaként kéri a szerződést közjegyzői okiratba foglaláshoz.

Nem kellene kötelező GDPR tanfolyamot végeztetni velük?

Hozzászólások

Próbáltál már szerződést írni adatok nélkül? Próbáltál már egyáltalán szerződést írni valaha is? A gyakorlatban már az ügyfél se titkosítja az adatait, amikor megosztja az ügyvéddel emailen.

Minden, ami szabványos S/MIME email, bármilyen szimmetrikus vagy aszimmetrikus titkosítás nélkül, illetve valamilyen jelszó/titkosítás által nem védettt szabványos melléklettel.

Pl én már a jelszavas xlsx-et vagy docx-et illetve zippet is elfogadhatónak tartanám a szabvány email mellékleteként. Így 2020 környékén óhatatlanul a modern szervezett bűnözés rá fog állni ezekre ugyanúgy, ahogy születési anyakönyvi kivonatokra és igazolványokra is. Belépnek egy látszólag hivatalos mail relay-el és harvestelik az adatokat saját céljaikra. Ez ha még nem következett be, be fog mert minimális effort, és nem igazán értem miért ennyire nyugodt majd mindenki. Egyszerűen tálcán kínáljuk az adatokat, pláne az ügyvédi/közjegyzői emaileknél.

Nem én kaptam az emailt, nekem csak így header nélkül mutatták on-screen. Amúgy meg link1 link2. Utóbbi nyilván a saját portékáját fényezi, de ettől a probléma jelen van, van aki ennek a problémának a kiküszöbölésére építi a business-ét. Persze az adott csalások esetén nem tudom milyen módszerrel és hogyan nyúltak bele a levelezésbe, de érdekes lenne.

Az ügyfél nem hülye, csak korlátozottak a lehetőségei! Az ügyvédnek kötelessége az ügyfélhez alkalmazkodni. Egy titkosítatlan emilt, hogy tudsz titkosítani utólag, anélkül, hogy az eredetit megsemmisítenéd? Ha beérkezik egy titkosítatlan email, akkor szerinted arra mennyi az esély, hogy az ügyfél el tud olvasni egy titkosított email-t?

Ráadásul az ügyvédi kötelességek csak a gdpr ellenében láthatóak el. Ha egy szerződés nem a megfelelő adattartalommal vagy nem a megfelelő időben jön létre. Az ügyvédet ugyanúgy előveszik jogsértésért. Az ügyvédet ilyenkor leginkább csak a korábbi, ügyféllel történő levelezés védi. Jelenleg nincs olyan informatikai rendszer, ami az ügyvédi munka szolgálatába lenne állítható és a GDPR-nak és a valóságban is használható lenne.

Jogi alapelv ugyebár, hogy más jogsértésére a saját jogsértésre enyhítő körülményként nem hivatkozhatunk.

Az, hogy az ügyfél hülye és képeslapon küldözgeti a személyes adatait az ügyvédnek/közjegyzőnek, szerintem nem menti fel az ügyvédet/közjegyzőt az alól, hogy ő ne az elvárható gondossággal kezelje a személyes adatokat.

Nekem nem az a problémám, hogy az ügyvéd számítógépén titkosítatlanul hever a személyes adatom, azért ő felel, hogy onnan ne kerüljön ki. Nekem az a problémám, hogy kvázi nyílt levelezőlapon, cleartext emailben küldözgeti mások személyes adatait, szerződéstervezeteit még akkor is ha jelszavas zippelt állományban kapja, mert az ögyfélnek is vannak kétségei, hogy ennél többet az ügyvéd megugrani képes...

A brit adatvédelmi hatóság amit belinkeltem pl akkor bírságolt hasonlóért rommá cégeket, amikor így cleartextben véletlenül rossz emailcímre mentek az adatok.

B*szhatod a zippelt jelszóval védett állományodat, ha az ügyfél se tudja elolvasni! :D Szerinted Mari néni Bivalybasznádról buta telefonnal, korlátozot informatikai ismeretekkel hogyan tud gdpr-kompatibilisen kommunikálni? Meghoztak egy szabályrendszert, aminek több fontos előfeltétele nem teljesül, nem teljesíthető. Az adatvédelem a világ legnagyobb bürokratikus foshalmaza ebben a formában. Konkrétan akadályt gördít az alkotmányos jogok gyakorlása elé is, hiszen ha nem rendelkezik az ügyfél kellő informatikai ismerettel, akkor gyakorlatilag lehetetlenné válik a gdpr elvárásainak megfelelő kommunikáció. Talán ha majd a digitális írástudatlanság lecsökken, akkor majd, de főleg talán..

Meg fogsz lepődni, pont Mari néni Bivalybasznádról az, aki ki sem tudja tenni magát ezeknek a veszélyeknek, mert a sublódban tartja az iratait, nem gépeli be, hanem csak úgy csinál bármi hivatalos ügyet, hogy megy és bemutatja, majd hazaviszi. Pont ő van a legnagyobb biztonságban, mert az adatai TŐLE biztosan nem kerülnek ki, csak ha elhagyja az iratait, ha kikerülnek a személyes adatai, az csak az ügyintéző ügyvédtől/hatóságtól történhet. A baj nem az absztinens Mari néni, hanem azok, akik már nyomkodnak valamilyen számítógépet, és azt hiszik tudják mit csinálnak.

Én úgy érzem, hogy a kibúvód keresed a tömegek informatikai műveletlenségére, amit a GDPR óta pont a hivatalos személyek nem engedhetnének meg maguknak, mert következményei lehetnek. Thank god van egy minimumunk, amit teljesíteni kell.

Nem keresek kibúvót csak lényegesen reálisabban látom nálad a helyzetet. Én nem csak gdpr-t látom, hanem az egyéb nem vagy csak korlátozottan módosítható tényezőket. Tudok olyanról, hogy a gdpr-ra hivatkozva nem kapta meg az ügyvéd semmilyen formában a szerződés kötelező tartalmi elemeit. Ilyenkor hogy írsz meg egy jogilag megfelelő szerződést?

https://www.mük.hu/tavazonositas

Egy tökéletes példa arra, hogy milyen gyakorlati nehézségekbe ütközhet a gdpr alkalmazása.

Egyébként meg valamit kezdeni kéne azzal a paradoxonnal, amit te is jól látsz, hogy az elektronizált ügyintézés lényegesen nagyobb adatvédelmi kockázatot hordoz magában a papíralapúhoz képest.

A hazai e-mail használat előtt is üzemeltek már ügyvédi irodák. Vissza kéne térni a papírtologatásra ott, ahol nem tudják felelősen kezelni a személyes adatokat, vagyishát hogyismondjam kihívás számukra felelősen kezelni őket.

De ugyebár az ügyvéd és a közjegyző is inkább a kényelmes utat választja a pár évtizedes időutazás helyett, a biztonság ellenében. Szerintem egyáltalán nem betarthatatlan, egyszerűen nem fűlik a foga hozzá a jogásztársadalomnak, és elsunnyogják a GDPR-t ha önmagukat tekintik, mert kényelmetlen... én elég hosszú ideig dolgoztam igaz nem jogászként ügyvédi irodában, és semmilyen fennakadást nem okozott az e-szolgáltatások hiánya. A Complex is CD-n jött, majd DVD-n, gyakorlatilag az ügyvédeknek még internet sem kellett, ahhoz, hogy ügyfél személyes adatokhoz jusson valaki ártó szándékú, fizikailag be kellett törnie az ügyvédhez. Ma meg ott tologatják az adatokat sima emailben.

Sajnálom nem hat meg a probléma "bonyolultsága".

Mikor dolgoztál ügyvédi irodában? Jelenleg az ügyvédek számára kötelező mindenhol az elektronikus eljárás. A földhivatalban még most azért nem, mert nem készült el az informatikai rendszer hozzá.

Ha szerinted nem betarthatatlan, akkor légy szíves írd már le a konkrét megoldási javaslataidat! Komolyan érdekel.

Például azért mert az ügyfél nem tudja elolvasni? Minden szerződésben szerepel egy olyan mondat, hogy elolvasták a felek és megértették, sőt az akaratukkal egyezik is. A kommunikáció nem egy irányú. A titkosítással gyakorlatilag kizárod a szerződő felet a jogaiból. Szóval én értem, hogy gdpr, de mi hajtja??

Érdekes, ezt pl. az Allianz és az összes ügyfele meg tudja ugrani, mert ők titkosított PDF-et küldenek.

Tájékoztatjuk, hogy Ügyfeleink személyes adatainak védelme érdekében - a vonatkozó jogszabályi előírásoknak megfelelően - a jövőben az elektronikus csatornán keresztül továbbított értesítéseinket kizárólag titkosított formában, egyedi jelszóvédelemmel ellátva tudjuk kiküldeni. 

A jelen levélhez csatolt pdf dokumentumot kizárólag Ön tudja elolvasni az alábbiakban meghatározott, 7 karakterből álló jelszóval. Kérjük, a csatolmány tartalmának megismeréséhez a felugró ablakban az alábbiakban részletezett karaktereket adja meg szóközök nélkül. 
Magánszemély szerződő esetén a születési hónapja 2 számjegyét és születési napja 2 számjegyét, valamint édesanyja leánykori vezetéknevének első 3 karakterét kisbetűvel, ékezetek nélkül. 
Jogi személy szerződő esetén a székhely irányítószámát, valamint a székhely helységének első 3 karakterét kisbetűvel, ékezetek nélkül.

Az Infotv. 7. § (2) bekezdésében foglaltak alapján adatkezelő köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek az adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. A Magyar Nemzeti Bank, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóság az adatkezelő szervezetektől elvárja, fenti jogszabályokban foglaltaknak megfelelően védjék az ügyfelek adatait, ennek egyik legmegfelelőbb eszköze a titkosítás. A titkosítás során igyekeztünk olyan megoldást választani, amely az ügyfelek részére a lehető legkevesebb kényelmetlenséggel jár. 

Mondjuk jogi személy esetén ez se teljesen kerek, mert, ha tudjuk melyik cégről van szó, akkor ezen adatai nyilvánosak, így bárki el tudja olvasni.

Én egyéni ügyvédekről és magánszemélyekről beszéltem. Az Allianz egy multi, de még ők se tudják teljesen emailre terelni az ügyfeleiket. Továbbá nem elhanyagolható módon, az Allianz és az ügyfelei között élő szerződés van, ami csak bizonyos feltételek megléte esetén mondható fel. Ilyen viszont nincs az ügyvéd és az ügyfelei között, így ha nem tetszik a kedves ügyfélnek a gdpr-os kuruzslás fogja magát és odébb áll, ahol nem basztatják fölöslegesen, ellenben megírják a (sablon)szerződését. Az ügyvéd meg kereshet más munkát pusztán csak azért mert igyekezett betartani a gdpr-t. Ha ma egy kicsit mélyebben ránéznének adatvédelmi szempontból az adásvételi szerződések körülményeire, gyakorlatilag megszűnne az ingtlanpiac. Gdpr nagyüzemi körülmények között is macerás, nem hogy kisüzemben.

Ha komolyan megakarnánk védeni a személyes adatainkat, akkor első lépésben össze kellene kapcsolni a közhiteles nyilvántartásokat lehetőleg a fölösleges átfedések kiküszöbölésével. Így viszont ez is csak egy l'art pour l'art sóhivatal, ami által a valós cselekvés látszatát lehet kelteni, és hamis biztonságérzetbe lehet ringatni magunkat.

Az adatokat jobb híján jelszavas zip állományban küldtük, hogy ne legyen legalább harvestelhető, mivel 70 kilóméterre vagyunk egymástól, és visszakaptuk sima csatolmányként, telefonon osztottuk meg vele a jelszót.

Amúgy nem értem, hogy már van lehetőségük elektronikus aláírást használni, de a publikus kulcsos titkosítást még nem intézményesítették a kamarák. Igazából az ügyvéd email címe mellett illene ott virítania a publikus kulcsnak imho.

Igen sok a hülye ügyfél, tudom, de ez a hivatalos személy eljárásbeli cselekményére nem mentség szerintem.

Meg mindenki odavan, ha az emailcíme és a jelszava a gréti néni online webshopjához nyilvánosságra kerül de ügyvéd és közjegyző meg nyugodtan küldözgethesse a személyes adatokat cleartextben?

Az ügyvédre fokozottan igaz, hogy hozott anyagból dolgozik. Sőt továbbra is azt mondom, hogy az ügyfél nem hülye! Egyszerűen teljesen mások a lehetőségei az egyszeri embernek, akinek még az ügyhöz tartozó iratok beszkennelése is atomtudomány, és teljesen más egy középvállalatnak, ahol talán kerül hozzáértő is.

Én múltkor azon szörnyülködtem, hogy a könyvelőm, az ügyfélkapum belépési adatait egy sima jegyzetfüzetben tárolja, rengeteg más ügyfelével egyetemben. 
Mondjuk talán ez még biztonságosabb is, mintha gépen tárolná. :)

Tőlem biztos nem kapná meg.

Abevjava export-import erre van. Megcsinálja, exportálja, te importálod és feladod. Persze vannak elfoglalt emberek, akiknek tényleg meg kell bízniuk ennyire, mert egyszerűen nem jut idejük ennyire sem.

Amúgy az ügyvéd/könyvelő irodájában az aktádban egy cetlin ez valszeg sokkal biztonságosabb :)

Nem is értem, hogy a könyvelők miért nem ezt erőltetik?

Tipikusan két eset van:

  1. Fogalma nincs róla, hogy ilyet lehet. Ilyenre azért nem bíznám a könyvelésem, mert akkor milyen más szükséges ismeretei hiányozhatnak még?
  2. Tud róla, de ezzel neki kellene külön foglalkoznia, és ugyan egyszeri feladat, de lusta hozzá. Nem tudom, hogy ez az első esetnél nem még rosszabb-e.

Az én könyvelőm sajnos nagyon informatikai analfabéta.
Amikor regisztrált nekem fiókot, akkor belépésnél a böngésző ugye felajánlotta, hogy megjegyzi a belépési adatokat. Erre mondja, hogy megjegyzeteli, mert akkor én egyszerűen betudok majd lépni, nem kell beírnom. De ez ugye ott nála, az Ő gépén volt :D

Az, hogy a könyvelő az én nevemben eljárhasson a NAV-nál, és ne a nevemben „írjon alá”, nem informatikai probléma. Kőkeményen szakmai. Ez a fentebbi 1. eset problémaköre.

Az én könyvelőm tényleg informatikai analfabéta (tudom, mert néha én vagyok a support :), mégis tőle tudtam meg, hogy ezt így kell. Amíg a szükséges nyomtatvány nem volt részemről aláírva, nem volt hajlandó aláírni a szerződésünket.

Majd mellekesen kozolne, hogy mivel te kuldted be ezert nem tudja garantalni, hogy hibamentes es ezert a konyveloi felelosseget es vagy biztositast rad nem tudja vonatkoztatni. Masreszt ha te kuldod be, akkor az onbevallas, barki is keszitette, jogilag teljesen maskent tekintendo. Ez tutter.

http://karikasostor.hu - Az autentikus zajforrás.

Az en konyvelom az en szemelyes azonositoimmal -amit kb annyira torvenyes masnak allandora atadni, mint az igazolvanyaidat- biztos nem fog sehova belepni. A csaladtagjaim sem tehetik meg, nem egy vadidegen. Ha nem alkalmas ra, hogy enelkul megoldja, akkor valoszinuleg a tobbi feladatra is alkalmatlan. 

Error: nmcli terminated by signal Félbeszakítás (2)

Monitorpolc aljára feltűzőgépezett A5-ös lapon vállalható betűmérettel kb 20-25 cég ügyfélkapu loginadat az jó? Ja, és ez munkahelyenként az adott ügyintéző saját cégeivel ismételve egy kissebb könyvelőirodában. Én tudom mi volt akkor a cégünk ügyfélkapu loginja. Sőt, sok társcégét is meg tudtam volna, ha érdekel. Akkor már volt fényképezős telefon.

Mi csak klímát takarítani mentünk be....

"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol

Az alapproblémához. Az már haladó ügyvéd aki GDPR kötelezettséget egyáltalán aláírja, a legtöbb azt mondta eddig, hogy neki titoktartás van előírva, ő nem ír alá semmi mást. Pedig a kettő nem ugyanaz...

Titkosítás nélküli e-mail küldözgetés egyértelműen nem elfogadható. Jellemzően a könyvelőknél jön elő ugyanez a probléma és ott már a jelszavas ZIP is leküzdhetetlen akadály sokszor. Viszonylag kezelhető workaround amit le tudunk nyomni a torkukon, hogy használjanak Google Drive-ot. Mappa megosztva az ügyféllel és mindenki oda tölti le/fel a cuccokat. Ez az SSL miatt viszonylag okés, legalábbis az adatátvitel szempontjából.

Úgy gondolom, hogy tökéletesen igaza van a hendrick-nek. Nagyon nagy gáz, hogy az ügyvédek (könyvelők, stb.) ennyire szabadon kezelik a személyes adatainkat. Né, akkor is, ha ezt ráfogják az ügyfeleikre.

Ma már, merem állítani az ügyfelek kb 90 %-a simán megugorja azt a problémát, hogy egy plusz jelszót kell beírnia ahhoz, hogy át tudjon egy dokumentumot nézni. Aki nem tudja ezt megugrani, az nem e-mailen levelezik, hanem személyesen bemegy az ügyvédhez (könyvelőhöz). Természetesen vannak olyan élethelyzetek, ügyfelek, akiknek ez problémát jelent, az a 10 %.

A probléma inkább az ügyvédekkel (könyvelőkkel) van. Ismerek nem egy ügyvédet, ügyvédi irodát, ahol sajnos nem, hogy az adatvédelemre de még az ügyfelek titkaira sem figyelnek. Gondolok itt üzleti titkokra, büntető ügyekre, családjogi ügyekre. Mindegyik kellően tud érzékeny lenni.

Csak pár példa:

-egész iratanyaga egy pendriv-on van, titkosítatlanul és azzal szaladgál az iroda, bíróság és a lakása között. Azon van mindene és az ügyfelei minden információja is.

IT joggal is  foglalkozó jó nevű ügyvédi iroda google drive-on tárolja az összes adatát,

Büntetős ügyvédi iroda ingyenes gmail fiókot használ, levelezésre dokumentumok küldözhgetésére, titkosítatlanul.

Azt látom, hogy nem arról van szó, hogy ne tudnák megugrani ezt a fajta problémát, hanem az a gondjuk, hogy ennek a bevezetése nem kényelmes nekik. Akkor fogják megugrani a problémát csak, ha ebből nekik valami gondjuk lesz, akkor viszont nagyon gyorsan és nagyon drágán.

Szerintemmi ügyfelek is hibásak vagyunk egy kicsit, hogy nem jelezzük, hogy ez nekünk gond.