Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A pénzügyi ágazat szakemberei, így a könyvelők, könyvvizsgálók, adótanácsadók titoktartási kötelezettséget vállalnak ügyfeleik adatai, információi tekintetében. Ez természetes a mi szakmáinkban, de mit teszünk ezért konkrétan? Az magától értetődő, hogy harmadik személynek nem beszélünk a munkánk során tudomásunkra jutott adatokról, információkról. Ám mi az, ami ezen felül elvárható tőlünk?
Ebben az évben sokat foglalkozunk a – 2016. április 14-től hatályos, és 2018. május 25-étől Magyarországon is kötelezően alkalmazandó – GDPR (General Data Protection Regulation) előírásaival. A GDPR az Európai Unió területén megköveteli a személyes adatok védelmére vonatkozó intézkedéseket. Az alapelv, hogy biztosítani tudjuk az adatok és információk bizalmasságát, sértetlenségét és rendelkezésre állását.
Az ügyfél tulajdonában lévő valamennyi adatot, információt, üzleti titkot – nemcsak a személyes adattartalom okán, hanem a saját szakmai szabályainkra is tekintettel legalább oly módon tanácsos védeni, mint amit a GDPR megkövetel a személyes adatokra vonatkoztatva. Ebben a tekintetben a Ptk. is és a július 31-én hatályba lépett üzleti titok védelméről szóló 2018. évi LIV. törvény szabályaira is érdemes figyelemmel lennünk, amelyek szankciókkal fenyegetik az üzleti titoknak minősülő adatok és információk jogosulatlan megszerzését, hasznosítását, felfedését (hozzáférését, másolatát). Ez természetesen vonatkozik a könyvelési anyagokra, illetve a könyvvizsgálat, adó-tanácsadási szolgáltatás során átadott és tudomásunkra hozott információkra is.
Mivel 100 százalékos védelem nem létezik, törekednünk kell arra, hogy megteremtsünk egy kockázatarányos biztonságot. Például feltehetjük magunknak az alábbi kérdést: mennyit ér nekünk az adatok védelme? Azaz számszerűsítve mekkora lenne az adatok elvesztéséből adódó kárunk értéke? Avagy mekkora kárunk származhatna abból, ha illetéktelen személyek hozzáférnénk valamely ügyfelünk adataihoz, üzleti titkaihoz?
Adatvédelem
Az adatok védelme elsősorban az adatok elvesztése elleni intézkedéseket foglalja magában. Sokaknak erről elsősorban a digitális adatok jutnak eszébe, de emellett védjük a papíralapú adatokat, a fejünkben lévő információkat, illetve az adattároló eszközöket is. Ez ellen hétköznapi védelmi rutinokat alkalmazunk. Zárjuk például az irodát, erre kialakított táskában hordozzuk laptopunkat, nem teszünk egy pohár italt a számítógép mellé, nehogy ennek kiborulása következtében megsemmisüljenek értékes adataink…
Az adatok védelme érdekében érdemes kidolgozni egy mentési rendszert, amely biztosítja az adatok egyidejű és több időállapotban keletkezett tárolását. Az adatmentéseket ma már jól lehet tervezni és automatizálni – akár 5–6 példányban is heti, havi, vagy több havi visszakereshetőséggel is. Különböző tárhelymegoldások közül lehet választani, és fontos szempont, hogy a mentéseknek legyen olyan példánya, amely fizikailag is elkülönül az éles adatok tárolásának helyétől, még magától az épülettől is annak érdekében, hogy egy esetleges, az épületben keletkező kár (például tűz) esetén se semmisüljenek meg az adataink. Ezek megfelelő kialakításához javasolt egy informatikus szakember bevonása. A védelmi rendszer része a folyamatos kontroll, melynek keretében valamilyen mechanizmus ellenőrzi az adatmentés sikerességét. Ehhez kapcsolódva szeretném idézni rendszergazdánk szavait, aki szerint „annál nincs rosszabb, mint amikor azt hisszük, hogy van mentésünk, de közben nincs…”.
Adattárolás
Az adatainkat tárolhatjuk saját asztali számítógépünkön, laptopon, hálózatban (akár távoli bejelentkezés alkalmazásával), illetve felhőben vagy egy internetkapcsolattal rendelkező szerver bérelt tárhelyén is. Ezek közül az utóbbi két lehetőséget szeretném kiemelni, amelyekkel már egyre gyakrabban dolgozunk, vagy épp tervezzük, hogy használatba vesszük azokat.
Egy távoli szerver az esetek nagy részében egy szerverhotelben (lásd még: szerver hoszting) van, folyamatos felügyelet alatt, és mi bérleti díjat vagy üzemeltetési díjat fizetünk a választott (vagy csomagban kínált) tárhely mérete után. A szerver egy nagy teljesítményű számítógép, amely alkalmas adattárolásra és programok futtatására is (attól függően, hogy mire szerződünk). Használhatunk persze saját szervert is, de a külső professzionális védelem okán e témában elsősorban a szerverhotelben tárolt szerverekben érdemes gondolkodni. Mielőtt egy ilyen adattárolási vagy programhasználati megoldás mellett döntünk, tanácsos információt gyűjteni arról, hogy fizikailag hol van a szerver, illetve, hogy üzemzavar vagy karbantartás esetén ki férhet hozzá az azon tárolt adatainkhoz. Érdekes kérdés továbbá, hogy a szolgáltató milyen rendelkezésreállást garantál egy meghibásodás esetén. Ennyi munkaidő eshet ugyanis ki egy nagyobb probléma esetén, s ennek időzítése sajnos nincs tekintettel a szezonális feladatainkra, határidőnkre. (Például május 16-án egyikünknek sem esne jól egy 3 napos leállás…)
A felhő több szerverből áll, pontosabban egy szerverhálózat, szerverek összessége. Míg a korábban említett távoli szervernél ismerjük a szerver pontos fizikai helyét, itt nem ismert az adatok tárolásának helye, s a felhőt általában csak bérleti konstrukcióban tudjuk igénybe venni. A felhő is olyan erőforrás, amely képes adattárolóként működni és programok futtatására is alkalmas lehet (ez is szerződés függő). Meghibásodás esetén a felhő nem áll le, hiszen a hálózatba kötött szerverek képesek átvenni egy-egy hibás gép szerepét, és zavartalanul működik tovább a rendszer.
A felhő esetében meg kell különböztetnünk az ingyenes felhőt a fizetős változattól. Az ingyenesség mindig egy lehetőséget jelent, de mint minden ingyenes szolgáltatásnak, ennek is „ára van”. Például a szolgáltató reklámokkal fedezi költségeit, szakmai támogatás pedig nem, vagy minimális szinten érhető el. Ez adatbiztonság szempontjából fontos kritérium lehet. A fizetős felhő esetében különböző szakmai szolgáltatások érhetők el, jellemzően nem társul hozzá reklámfelület, biztosított a folyamatos rendelkezésre állás, illetve a szolgáltató garanciát vállal adataink biztonságára stb. Ezek ismeretében persze érdemes megfontolni az üzleti célú e-mail fiók használatát is. Vajon helyálló-e adatbiztonsági szempontból, ha egy könyvelő, könyvvizsgáló, adótanácsadó ingyenes e-mail címet használ a munkája során? Az e-mail fiókok csekély havi/éves díja mellett talán elvárható egy ilyen szakembertől az ingyenes e-mail fiók mellőzése.
Jegyzem meg, kapcsolódóan azt is ajánlott felülvizsgálni, hogy az ingyenesen használni kívánt vagy használt e-mail fiók vagy tárhely szolgáltatója engedélyezi-e egyáltalán az üzleti célú használatot vagy kizárólag magán célra üzemelteti a szolgáltatást. Ez utóbbi mindenképpen aggályokat vet fel.
Adatbiztonság
Az adatok biztonsága az illetéktelen hozzáférés elleni intézkedéseket jelenti. Itt elsősorban az üzleti titkot védelmét kell kiemelni. A mindennapi munka során az alábbi területeken merül fel az adatbiztonsági követelmények kérdése.
Szoftverhasználat: az üzleti adatokat tartalmazó (könyvelő, bérszámfejtő, könyvvizsgáló) szakmai programok használatához mindenképpen javasolt egy belépési azonosító és jelszó használata. A jelszó ne legyen rövidebb, mint 8 karakter, tartalmazzon legalább 2 kis és nagy betűt, számot valamint speciális karaktert. Ezeket a követelményeket egy jelszószabályzatban lehet rögzíteni.
Ezen kívül az operációs rendszert szintén jelszóval, vagy ujjlenyomattal kell védeni. Ugyanez vonatkozik a mobil eszközökre is. Például ha mobiltelefonon is hozzáférünk az üzleti levelezésünkhöz, akkor a telefont is jelszóval/ujjlenyomattal szükséges védeni. A hordozható számítógépeken fokozottabban kell figyelni a jelszóvédelemre a bekapcsolásnál, az alvó állapotból való felébredésnél, valamint szakmai programok használatánál.
Erősebb a biztonság, ha a fájlok tárolása titkosítással történik, de ennek szerepe változó lehet. A mobil eszközökön, laptopon, pendrive-okon általánosságban is indokolt lehet az adatok titkosítással történő tárolása.
A vírusok elleni védelem fontossága nemcsak az adatvesztésre korlátozódik, hanem az automatikus file-küldés elleni védelemre is, amit akár a levelező program, akár egy közösségi oldal továbbít illetéktelenek részére.
Adatbiztonsági szempontból kiemelt szerepe van továbbá annak, hogy milyen digitális formában kapunk adatot az ügyféltől: pendrive-on, e-mail-en, ingyenes felhő használatával vagy egy adott szervertárhelyen, stb.
Kommunikáció az ügyféllel – WebPosta
Rengeteg adatot és információt kapunk ügyfeleinktől, amelyek üzleti titok részét képezik. Mi, mint szolgáltatók teremtjük meg ehhez a kommunikáció eszközeit az ügyfél részére, magunk határozzuk meg, hogy milyen formában kérjük az adatokat, ami valóban nagy felelősség.
Alkalmas lehet erre például egy mobil adattároló eszköz is, mint például pendrive vagy külső merevlemez, de ez csak személyes találkozó esetén áll rendelkezésre azonnal, s erre a mai felgyorsult világban nincs mindig lehetőség.
Gyakran kaptunk hát adatot e-mail-en. Ennek veszélye, hogy valamennyi eszköz kockázatnak van kitéve ahol lehetőségünk van hozzáférni a levelezéshez, és ez elmentett jelszó esetén fokozottan igaz. Az e-mailek alkalmazása esetén nem könnyű tehát az adatok védelme, ráadásul az e-mail-ben elhelyezett személyes adatok esetében nehéz biztosítani a GDPR megfeleltetést (például a felejtés joga, mint törlési eljárás nehézkes) is.
Az online adattovábbítás másik lehetősége a szerver-, a webes- vagy felhőalapú tárhely alkalmazása. Ezeket az ügyfél vagy a szolgáltató is üzemeltetheti. Az ügyfél által üzemeltetett tárhelyek adatbiztonságát ő garantálja, az általunk üzemeltetett tárhelyek biztonságát nekünk kell biztosítanunk. Az ingyenes megoldások – a fenti érvekre figyelemmel – nem preferáltak az üzleti titkok, személyes adatok, esetleg egyéb szenzitív adatok esetében. Javasolt egy fizetős felhő vagy olyan fizetős webes tárhely használata, amelynek üzemeltetője ismert, és a szerződő ki tudja osztani az egyes mappákhoz a hozzáférési jogosultságot. Eszerint akár minden ügyfélnek lehet egy mappája, amihez kizárólag az adott ügyfél és a könyvelő/könyvvizsgáló, adózással foglalkozó szakember fér hozzá (természetesen erős jelszóvédelem mellett). Növeli a munkánk
hatékonyságát, ha mindez össze van kötve az adott szakmai szoftverünkkel is, így a fájlküldés nem jelent manuális fájlmozgatást sem, mert mindez automatizálható.
A digitalizáció hatására tehát egyrészt egyszerűsödnek feladataink, ahol a gépek kiváltják a sokszor időrabló, manuális emberi munkát, másrészt a napi szakmai munkánk mellett új feladatok kerülnek előtérbe, mint például az adatvédelem, adatbiztonság. Az ügyfelekkel való kapcsolattartás is új dimenzióba kerül az online kommunikációval, ezért érdemes erre kiemelt figyelmet fordítani.
A cikk szerzője Tusnádiné Ágoston Márta adótanácsadó, informatikus mérnök (Helló Adó Könyvvizsgáló és Tanácsadó Kft), a Magyar könyvvizsgálói Kamara Oktatási Központ oktatója. Az Magyar könyvvizsgálói Kamara Oktatási Központ az Adó Online szakmai partnere.
