A betűs definíciókIT menedzsmentL betűs definíciókSzoftver fogalmak

Adatmegőrzési kötelezettség (litigation hold): a jogi folyamat célja és definíciójának magyarázata

Az adatmegőrzési kötelezettség, vagyis litigation hold, egy jogi eszköz, amely biztosítja, hogy fontos információk ne vesszenek el egy jogi eljárás során. Ez segít megőrizni a bizonyítékokat, hogy tisztességes és átlátható legyen a per folyamata.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
31 Min Read
Gyors betekintő

A modern jogi eljárások, különösen a komplex peres ügyek és szabályozói vizsgálatok korában, az adatok szerepe kritikus fontosságúvá vált. Az információk digitális robbanása, a felhőalapú tárolás és a kommunikációs csatornák sokszínűsége miatt az adatok kezelése, megőrzése és előállítása kulcsfontosságú eleme lett a jogi folyamatoknak. Ezen a ponton lép be az adatmegőrzési kötelezettség, angolul litigation hold, mint alapvető jogi eszköz, amely biztosítja, hogy a potenciálisan releváns információk ne vesszenek el, ne módosuljanak, és ne semmisüljenek meg egy peres vagy vizsgálati eljárás során.

Az adatmegőrzési kötelezettség nem csupán egy technikai feladat, hanem egy összetett jogi és operatív folyamat, amely stratégiai tervezést, szigorú végrehajtást és folyamatos felügyeletet igényel. Célja kettős: egyrészt megvédeni a jogi eljárás integritását azáltal, hogy biztosítja a bizonyítékok rendelkezésre állását, másrészt minimalizálni az érintett felek jogi kockázatait, elkerülve a szankciókat és a pervesztességet az adatok elvesztése miatt.

Az adatmegőrzési kötelezettség definíciója és alapjai

Az adatmegőrzési kötelezettség, vagy litigation hold, egy olyan jogi eljárás, amely előírja egy szervezet vagy egyén számára, hogy megőrizzen minden olyan információt, amely potenciálisan releváns lehet egy közelgő, folyamatban lévő vagy ésszerűen előrelátható jogi eljárás (peres ügy, vizsgálat, audit) szempontjából. Ez a kötelezettség akkor keletkezik, amikor az érintett félnek ésszerű oka van feltételezni, hogy egy jogi eljárás indulhat ellene, vagy ő maga kezdeményez egy ilyet, és bizonyítékokra lesz szüksége.

A kötelezettség célja, hogy megakadályozza az érintett adatok szándékos vagy véletlen megsemmisítését, módosítását, elrejtését vagy hozzáférhetetlenné tételét. Ez magában foglalja azokat az információkat, amelyek egyébként a szervezet normál adatkezelési vagy adatmegsemmisítési politikája szerint törlésre kerülnének. Az adatmegőrzési kötelezettség felülírja a szokásos adatkezelési protokollokat, beleértve az automatikus törlési vagy archiválási rendszereket is.

A jogi alapja ennek a kötelezettségnek a jogrendszerekben gyökerezik, amelyek elvárják a felektől, hogy jóhiszeműen járjanak el a jogi eljárások során, és ne akadályozzák a bíróságot vagy a hatóságot az igazság kiderítésében. Ennek megsértése súlyos jogi következményekkel járhat, beleértve a pénzbírságokat, a kedvezőtlen ítéleteket, sőt, bizonyos esetekben büntetőjogi felelősségre vonást is.

„Az adatmegőrzési kötelezettség a modern jogi eljárások sarokköve, biztosítva a digitális bizonyítékok integritását és hozzáférhetőségét.”

A jogi folyamat célja: miért olyan fontos az adatmegőrzés?

Az adatmegőrzési kötelezettség elsődleges célja a bizonyítékok integritásának megőrzése. Egy peres eljárás során a feleknek bizonyítékokkal kell alátámasztaniuk állításaikat. Ezek a bizonyítékok ma már nagyrészt digitális formában léteznek: e-mailek, dokumentumok, üzenetváltások, adatbázis rekordok, közösségi média posztok, videók és hangfelvételek. Ezek az úgynevezett elektronikusan tárolt információk (ESI – Electronically Stored Information) kulcsfontosságúak lehetnek egy ügy kimenetelét illetően.

A kötelezettség biztosítja, hogy ezek az információk ne vesszenek el, még akkor sem, ha a szervezet napi működése során egyébként törölné vagy felülírná őket. Gondoljunk például egy e-mailre, amelyet egy adott idő után automatikusan töröl a rendszer, vagy egy szerver logra, amely bizonyos idő elteltével felülíródik. Egy adatmegőrzési kötelezettség elrendelése esetén ezeket az automatizmusokat fel kell függeszteni, és az érintett adatokat meg kell őrizni.

Másodsorban, az adatmegőrzési kötelezettség a jogi kockázatok minimalizálását szolgálja. Az adatok nem megfelelő kezelése, elvesztése vagy szándékos megsemmisítése súlyos jogi szankciókat vonhat maga után, amelyet az angol jogban gyakran spoliation néven emlegetnek. Ez magában foglalhatja az ellenfél javára szóló vélelmet, pénzbírságot, a peres költségek viselését, sőt akár a per elvesztését is. Egy jól strukturált és végrehajtott adatmegőrzési protokoll segít elkerülni ezeket a súlyos következményeket.

Harmadsorban, elősegíti a hatékony e-discovery (elektronikus bizonyítékgyűjtés) folyamatát. Az e-discovery során a felek azonosítják, begyűjtik, feldolgozzák, áttekintik és előállítják az elektronikusan tárolt információkat. Ha az adatok már az elején megfelelően megőrzésre kerültek, az jelentősen leegyszerűsíti és felgyorsítja ezt a gyakran költséges és időigényes folyamatot, csökkentve a felmerülő költségeket és a hibalehetőségeket.

Az adatmegőrzési kötelezettség kiváltó okai és azonosítása

Az adatmegőrzési kötelezettség nem egy előre meghatározott időpontban, hanem egy kiváltó esemény bekövetkezésekor keletkezik. Ennek az eseménynek az azonosítása kritikus, hiszen ettől a pillanattól kezdve terheli az érintett felet a megőrzési kötelezettség. Az ilyen események széles skálán mozoghatnak, és nem mindig egyértelműek.

A leggyakoribb kiváltó okok a következők:

  • Peres eljárás indítása vagy fenyegetése: Amikor egy vállalatot perelnek, vagy szándékában áll pert indítani, esetleg a felek közötti kommunikáció arra utal, hogy pereskedésre kerülhet sor.
  • Szabályozói vizsgálat: Például egy versenyhivatali, adatvédelmi hatósági (NaiH), pénzügyi felügyeleti vagy környezetvédelmi hatósági vizsgálat megkezdése.
  • Belső vizsgálat: Amennyiben egy vállalat belső vizsgálatot indít egy esetleges szabálysértés, visszaélés vagy etikai vétség tisztázására, és ennek eredménye peres eljáráshoz vezethet.
  • Szerződéses vita: Egy jelentős szerződés megszegése vagy vitatott értelmezése, amely várhatóan peres eljárásba torkollik.
  • Súlyos incidens: Például egy adatvédelmi incidens, baleset vagy termékhiba, amely jelentős kártérítési igényekhez vezethet.

Az a pillanat, amikor a kötelezettség keletkezik, az úgynevezett „trigger event”. Ez nem feltétlenül a hivatalos jogi értesítés (pl. idézés vagy keresetlevél) kézhezvétele. Gyakran már jóval korábban, a „jogi vita ésszerű előreláthatósága” (reasonable anticipation of litigation) pillanatában megkezdődik. Ez azt jelenti, hogy amint egy ésszerűen gondolkodó fél feltételezheti, hogy perre kerülhet sor, azonnal cselekednie kell.

Ennek az azonosítása komoly kihívást jelenthet, hiszen a jelek gyakran szubjektívek és nem egyértelműek. Ezért kulcsfontosságú, hogy a vállalatoknak legyenek belső protokolljai és képzett munkatársai, akik képesek felismerni ezeket a jeleket és időben riasztani a jogi osztályt.

Az adatmegőrzési kötelezettség hatálya és az érintett adatok köre

Az adatmegőrzési kötelezettség minden releváns digitális dokumentumra kiterjed.
Az adatmegőrzési kötelezettség kiterjed minden releváns elektronikus és papíralapú dokumentum megőrzésére a jogi eljárás során.

Az adatmegőrzési kötelezettség hatálya rendkívül széleskörű lehet, és nem korlátozódik csupán a nyilvánvalóan releváns dokumentumokra. A kötelezettség kiterjed minden olyan információra, amely potenciálisan releváns lehet az ügy szempontjából, függetlenül annak formájától, helyétől vagy tárolási módjától. Ez magában foglalja az elektronikusan tárolt információkat (ESI) és a fizikai dokumentumokat egyaránt.

Az ESI kategóriájába tartozik szinte minden digitális adat, amit egy szervezet generál vagy tárol:

  • E-mailek és mellékletek: Vállalati és személyes e-mail fiókok (ha relevánsak).
  • Irodai dokumentumok: Word, Excel, PowerPoint fájlok, PDF-ek.
  • Üzenetküldő rendszerek: Teams, Slack, Skype, WhatsApp üzenetek.
  • Adatbázisok: CRM, ERP rendszerek adatai, tranzakciós logok.
  • Szerver logok és audit trail-ek: Rendszerhasználati adatok, hozzáférési naplók.
  • Mobil eszközök adatai: Okostelefonok, tabletek tartalma (SMS, híváslisták, applikációk adatai).
  • Felhő alapú tárolás: Google Drive, OneDrive, Dropbox, SharePoint tartalmak.
  • Közösségi média: Posztok, üzenetek, kommentek.
  • Hang- és videófelvételek: Konferenciahívások, biztonsági kamerák felvételei.
  • Backup és archivált adatok: Még a régóta archivált vagy backupolt adatok is relevánsak lehetnek.

A fizikai dokumentumok körébe tartoznak a papír alapú szerződések, levelek, jegyzetek, kézikönyvek és egyéb nyomtatott anyagok. Fontos, hogy a kötelezettség kiterjedhet nemcsak a „aktív” adatokra, hanem a „passzív” vagy „dark data”-nak nevezett információkra is, amelyekről a szervezet esetleg nem is tudja, hogy léteznek, vagy nem kezeli azokat aktívan.

A kötelezettség továbbá nemcsak a szervezet egészére, hanem konkrét személyekre vagy osztályokra is vonatkozhat. Az úgynevezett „custodianok” azok a kulcsfontosságú személyek, akik potenciálisan releváns információkat birtokolnak vagy hoznak létre. Ők lehetnek vezetők, projektmenedzserek, IT szakemberek, pénzügyi dolgozók vagy bármely más alkalmazott, aki az ügyhöz kapcsolódó adatokkal dolgozik.

A hatókör meghatározása bonyolult feladat, amely alapos elemzést igényel a jogi osztály, az IT és a releváns üzleti egységek bevonásával. Egy túlságosan szűk körű meghatározás a bizonyítékok elvesztéséhez vezethet, míg egy túlságosan széles körű meghatározás feleslegesen nagy mennyiségű adat megőrzését és későbbi feldolgozását eredményezi, ami óriási költségeket generálhat.

A litigation hold folyamata lépésről lépésre

Az adatmegőrzési kötelezettség hatékony kezelése egy jól definiált és következetesen alkalmazott folyamatot igényel. Ennek a folyamatnak több kritikus lépése van, amelyek mindegyike hozzájárul a kötelezettség sikeres teljesítéséhez és a jogi kockázatok minimalizálásához.

Értesítés (hold notice) kiküldése és kommunikáció

Az első és talán legfontosabb lépés az adatmegőrzési értesítés (hold notice) kiküldése. Ez egy hivatalos dokumentum, amelyet a jogi osztály vagy a külső jogi tanácsadók állítanak össze, és amelyet eljuttatnak minden érintett személyhez (custodianokhoz) és osztályhoz. Az értesítésnek világosan és egyértelműen kell tartalmaznia:

  • Az adatmegőrzési kötelezettség okát (pl. peres ügy neve, vizsgálat tárgya).
  • A kötelezettség hatályát (milyen típusú adatokra, milyen időszakra vonatkozik).
  • Az érintett adatok példáit (e-mailek, dokumentumok, üzenetek stb.).
  • A megőrzési kötelezettség megsértésének lehetséges következményeit.
  • A kapcsolattartó személyeket (jogi osztály, IT), akik segítséget nyújtanak.
  • Konkrét utasításokat arra vonatkozóan, hogy mit tegyenek a custodianok az adatok megőrzése érdekében (pl. ne töröljenek semmit, ne használjanak automatikus törlési funkciókat, ne módosítsanak fájlokat).

Az értesítésnek nem csak informálnia kell, hanem tájékoztatnia és edukálnia is kell az érintetteket. Fontos, hogy az értesítés kézhezvételét minden custodian írásban visszaigazolja, ezzel is dokumentálva a tájékoztatást. A kommunikációnak folyamatosnak kell lennie, különösen, ha az ügy körülményei változnak, vagy új információk válnak relevánssá.

Az érintett adatok azonosítása és hatókörének meghatározása

Az értesítés kiküldését követően elengedhetetlen az érintett adatok pontos azonosítása. Ez a lépés gyakran a legidőigényesebb és legkomplexebb, mivel magában foglalja a szervezet teljes információtérképének feltérképezését. A jogi osztálynak és az IT-nak szorosan együtt kell működnie, hogy felmérjék, hol tárolódnak a releváns adatok, kik a custodianok, és milyen rendszerek érintettek.

Ez a folyamat magában foglalja a következők feltérképezését:

  • Adatforrások: Levelező szerverek, fájlszerverek, felhő alapú tárolók, adatbázisok, mobil eszközök, CRM/ERP rendszerek, közösségi média platformok.
  • Custodianok: Azok a személyek, akik releváns információkat birtokolnak vagy generálnak. Interjúkat kell készíteni velük, hogy pontosan felmérjék, milyen adatokkal dolgoznak, és hol tárolják azokat.
  • Időszak: Az ügyhöz releváns időkeret meghatározása.
  • Kulcsszavak és keresési kifejezések: Az adatok későbbi azonosításához és szűréséhez hasznos kulcsszavak előzetes meghatározása.

Az adatmegőrzés hatókörének pontos meghatározása kulcsfontosságú. Egy túl széles kör feleslegesen nagy adatmennyiség megőrzését vonja maga után, ami növeli a költségeket és a komplexitást. Egy túl szűk kör viszont releváns adatok elvesztéséhez vezethet, ami jogi szankciókat eredményezhet.

Megőrzési stratégia kialakítása és technikai megvalósítás

Miután azonosították az érintett adatokat és azok forrásait, ki kell alakítani egy megőrzési stratégiát. Ez magában foglalja a technikai lépéseket, amelyek biztosítják az adatok megőrzését. A technikai megvalósítás a következőket foglalhatja magában:

  • Automatikus törlési és archiválási szabályok felfüggesztése: A normál adatkezelési protokollok, amelyek törölnék vagy felülírnák az adatokat, azonnali felfüggesztésre kerülnek az érintett rendszereken és felhasználóknál.
  • Adatok gyűjtése és centralizálása: Bizonyos esetekben az adatokat biztonságos, központi tárolóba kell mozgatni, vagy másolatot kell készíteni róluk. Ez különösen fontos a mobil eszközök, laptopok vagy külső meghajtók esetében.
  • Shadow IT és felhő alapú alkalmazások kezelése: Azoknak az alkalmazásoknak és tárolóknak a kezelése, amelyeket a munkatársak vállalati kontroll nélkül használnak, de releváns adatok lehetnek rajtuk.
  • Forensikus képkészítés: Kritikus esetekben, különösen, ha fennáll a manipuláció veszélye, forensikus másolatot kell készíteni a merevlemezekről vagy szerverekről, hogy megőrizzék az adatok eredeti állapotát.
  • Verziókövetés biztosítása: Ha lehetséges, biztosítani kell a dokumentumok és fájlok korábbi verzióinak hozzáférhetőségét.

A stratégia kidolgozásakor figyelembe kell venni a szervezet informatikai infrastruktúráját, az adatok mennyiségét és típusát, valamint a rendelkezésre álló erőforrásokat. A technikai csapatnak szorosan együtt kell működnie a jogi osztállyal, hogy a megőrzési megoldások megfeleljenek a jogi követelményeknek.

Nyomon követés, dokumentálás és a hold feloldása

A megőrzési folyamat nem ér véget a technikai lépések végrehajtásával. Folyamatos nyomon követésre és ellenőrzésre van szükség annak biztosítására, hogy az adatok megőrzése hatékony maradjon. Ez magában foglalja a custodianok emlékeztetését a kötelezettségre, az új adatok azonosítását, amelyek a peres eljárás során relevánssá válhatnak, és a rendszerek működésének ellenőrzését.

A dokumentálás létfontosságú. Minden lépést részletesen rögzíteni kell: mikor küldték ki az értesítéseket, kik kapták meg, milyen adatokra terjed ki a hold, milyen technikai intézkedéseket tettek, és mikor. Ez a dokumentáció szolgál bizonyítékul arra, hogy a szervezet jóhiszeműen járt el a kötelezettség teljesítése során, és segíthet elhárítani a spoliation vádját.

Amikor a jogi eljárás lezárul, és már nincs szükség az adatok további megőrzésére, az adatmegőrzési kötelezettséget fel lehet oldani. Ezt szintén hivatalos értesítés formájában kell megtenni, tájékoztatva a custodianokat, hogy visszatérhetnek a normál adatkezelési protokollokhoz. Fontos azonban, hogy a feloldás csak akkor történjen meg, ha minden jogi követelménynek eleget tettek, és nincs más jogi alapja az adatok további megőrzésének.

Kihívások és kockázatok az adatmegőrzési kötelezettség kezelésében

Az adatmegőrzési kötelezettség kezelése számos jelentős kihívást és kockázatot rejt magában, amelyek megfelelő kezelés nélkül súlyos következményekkel járhatnak a szervezetek számára.

Az adatok szétszórtsága és a dark data problémája

A modern vállalatok informatikai környezete rendkívül komplex. Az adatok nem egyetlen központi helyen tárolódnak, hanem szétszórva vannak különböző rendszerekben, szervereken, felhőszolgáltatásokban, mobil eszközökön és személyes laptopokon. Ez a szétszórtság rendkívül megnehezíti a releváns információk azonosítását és megőrzését.

A probléma súlyosbodik a „dark data” jelenségével. Ez olyan információkra utal, amelyekkel a szervezet rendelkezik, de nem ismeri azok tartalmát, értékét vagy helyét. Ilyenek lehetnek régi archívumok, elfeledett szerverek, vagy olyan adatok, amelyeket a munkatársak személyes felhőalapú tárhelyeken vagy nem engedélyezett alkalmazásokban tárolnak (shadow IT). Ezek az adatok gyakran rejtve maradnak a hagyományos adatfeltérképezési folyamatok elől, de jogilag relevánsak lehetnek, és megőrzésük elmulasztása komoly kockázatot jelent.

Költségek és erőforrásigény

Az adatmegőrzési kötelezettség kezelése jelentős költségekkel és erőforrásigénnyel jár. Ezek a költségek magukban foglalják:

  • IT infrastruktúra: További tárhelyek, archiváló rendszerek, szoftverek beszerzése.
  • Szakértelem: Jogi szakértők, e-discovery tanácsadók, forensikus IT szakemberek díjai.
  • Munkaerő: A belső jogi, IT és compliance csapatok megnövekedett munkaideje.
  • Feldolgozási költségek: Az adatok gyűjtése, feldolgozása, áttekintése és előállítása rendkívül költséges lehet, különösen nagy adatmennyiség esetén.
  • Elvesztett termelékenység: A munkatársak idejének lekötése az adatok megőrzésével és a kapcsolódó feladatokkal.

Ezek a költségek exponenciálisan növekedhetnek, ha a folyamat nem hatékony, vagy ha a szervezet nem készült fel megfelelően. A költségek optimalizálása érdekében elengedhetetlen a proaktív tervezés és a megfelelő technológiai megoldások alkalmazása.

Jogi szankciók és spoliation

Az adatmegőrzési kötelezettség elmulasztása, vagy az adatok szándékos, illetve gondatlan megsemmisítése, módosítása vagy elrejtése súlyos jogi következményekkel járhat. Ezt a jogi hibát nevezik spoliationnek. A spoliation szankciói rendkívül változatosak lehetnek, és a bíróságok széles mérlegelési jogkörrel rendelkeznek azok alkalmazásában:

  • Kedvezőtlen vélelem (adverse inference): A bíróság feltételezheti, hogy az elveszett adatok az ellenfél számára kedvező, az érintett félre nézve hátrányos információkat tartalmaztak volna.
  • Pénzbírságok: Jelentős pénzbírságok kiszabása.
  • Peres költségek viselése: Az ellenfél jogi költségeinek megtérítésére való kötelezés.
  • Bizonyítékok kizárása: Az érintett fél által előterjesztett bizonyítékok kizárása.
  • Per elvesztése (default judgment): A legsúlyosabb szankció, amikor a bíróság az adatvesztés miatt az ellenfél javára ítél.
  • Büntetőjogi következmények: Ritkán, de előfordulhatnak büntetőjogi eljárások is, ha a megsemmisítés szándékos és súlyos bűncselekményt valósít meg.

A spoliation elkerülése érdekében elengedhetetlen a proaktív megközelítés, a hatékony folyamatok bevezetése és a folyamatos ellenőrzés. A jóhiszeműség és a gondosság bizonyítása kritikus fontosságú a szankciók enyhítésében vagy elkerülésében.

Technológiai megoldások és az e-discovery szerepe

Az adatmegőrzési kötelezettség hatékony kezelése elképzelhetetlen a megfelelő technológiai megoldások nélkül. Az e-discovery szoftverek és platformok kulcsfontosságú szerepet játszanak a folyamat minden szakaszában, az adatok azonosításától a megőrzésen át az előállításig.

E-discovery platformok és szoftverek

Az e-discovery platformok olyan integrált szoftvermegoldások, amelyek célja a teljes e-discovery munkafolyamat támogatása. Ezek a platformok számos funkciót kínálnak, amelyek elengedhetetlenek az adatmegőrzési kötelezettség kezeléséhez:

  • Adatfeltérképezés és gyűjtés: Segítenek azonosítani az adatforrásokat, és hatékonyan gyűjteni az adatokat különböző rendszerekből (e-mail szerverek, fájlszerverek, felhőalapú tárolók, mobil eszközök).
  • Adatmegőrzés (in-place hold): Bizonyos platformok lehetővé teszik az adatok „helyben” történő megőrzését (in-place hold), ami azt jelenti, hogy az adatok a forrásrendszerben maradnak, de speciális szabályok vonatkoznak rájuk, amelyek megakadályozzák a törlésüket vagy módosításukat.
  • Deduplikáció és szűrés: Az ismétlődő adatok eltávolítása és az irreleváns adatok kiszűrése csökkenti a feldolgozandó adatmennyiséget.
  • Metaadatok megőrzése: A fájlokhoz tartozó metaadatok (létrehozási dátum, módosítási dátum, szerző stb.) megőrzése kritikus fontosságú a bizonyítékok hitelessége szempontjából.
  • Adatfeldolgozás és indexelés: Az adatok feldolgozása kereshető formátumba, indexelés és optikai karakterfelismerés (OCR) a nem kereshető dokumentumokhoz.
  • Áttekintés és elemzés: Lehetővé teszik a jogi csapatok számára, hogy hatékonyan áttekintsék a nagy mennyiségű adatot, releváns dokumentumokat azonosítsanak, és privilegizált információkat (pl. ügyvédi-ügyfél titok) jelöljenek.
  • Előállítás: Az adatok előállítása a bíróság vagy az ellenfél számára, a szükséges formátumban és a jogi követelményeknek megfelelően.

Ezek a platformok jelentősen felgyorsítják és automatizálják az adatmegőrzési és e-discovery folyamatokat, csökkentve az emberi hibák kockázatát és optimalizálva a költségeket. A mesterséges intelligencia (AI) és a gépi tanulás (ML) egyre inkább beépül ezekbe a rendszerekbe, további hatékonyságnövelést biztosítva az adatok elemzésében és a releváns információk azonosításában (pl. Technology Assisted Review – TAR).

Információirányítás (information governance) és proaktív megközelítés

A hatékony adatmegőrzési kötelezettség kezelésének alapja egy erős információirányítási (information governance – IG) stratégia. Az IG egy átfogó keretrendszer, amely a szervezet összes információjának kezelésére vonatkozik, annak teljes életciklusa során, a létrehozástól a megsemmisítésig.

Egy proaktív IG stratégia:

  • Csökkenti az adatmennyiséget: Az adatok szükségtelen felhalmozódásának megakadályozásával csökkenti a potenciálisan megőrzendő adatok mennyiségét.
  • Definiálja az adatmegőrzési politikákat: Meghatározza, hogy milyen típusú adatokat mennyi ideig kell megőrizni a jogi és szabályozói követelményeknek megfelelően.
  • Implementálja az automatikus törlési és archiválási szabályokat: Amelyeket szükség esetén fel lehet függeszteni egy litigation hold esetén.
  • Feltérképezi az adatforrásokat: Segít a szervezetnek megérteni, hol tárolódnak az adatai, és ki fér hozzájuk.
  • Képzi a munkatársakat: Tudatosítja az adatkezelés fontosságát és a litigation hold kötelezettségeit.

Egy jól működő információirányítási program nagymértékben megkönnyíti az adatmegőrzési kötelezettség teljesítését, mivel már eleve rendszerezett és ellenőrzött adatkörrel dolgozik a szervezet. Ez lehetővé teszi a gyorsabb reagálást, a költségek csökkentését és a jogi kockázatok minimalizálását.

Adatmegőrzési kötelezettség és adatvédelem (GDPR)

Az adatmegőrzési kötelezettség GDPR szerint jogi védelmet biztosít.
Az adatmegőrzési kötelezettség biztosítja a személyes adatok védelmét és a GDPR előírásainak betartását.

Az adatmegőrzési kötelezettség és az adatvédelmi szabályozás, különösen az Európai Unió Általános Adatvédelmi Rendelete (GDPR), látszólag ellentmondásos célokat szolgálhat. A GDPR az adatminimalizálás és az elfeledtetés jogának (right to be forgotten) elvét hangsúlyozza, amely szerint a személyes adatokat csak a szükséges ideig szabad tárolni, és kérésre törölni kell. Az adatmegőrzési kötelezettség ezzel szemben előírja az adatok megőrzését, gyakran a normál adatmegőrzési politikán túlmutatóan.

A konfliktus és az egyensúly megtalálása

Ez a látszólagos konfliktus valójában egyensúlyozást igényel a két jogi követelmény között. A jogi rendszerek általában elismerik, hogy a jogi eljárásokhoz szükséges adatok megőrzése jogos érdeknek minősül, amely felülírhatja az adatminimalizálási elvet vagy az elfeledtetés jogát. A GDPR maga is tartalmaz olyan rendelkezéseket, amelyek lehetővé teszik a személyes adatok további tárolását, ha az jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

A kulcs a jogos érdek igazolásában és az arányosság elvének betartásában rejlik. Ez azt jelenti, hogy:

  • Az adatmegőrzési kötelezettség csak a valóban releváns adatokra terjedhet ki.
  • Az adatok megőrzési ideje csak addig tarthat, ameddig a jogi eljárás indokolt.
  • Az adatokat megfelelően védeni kell a jogosulatlan hozzáféréstől és a biztonsági incidensektől.
  • Az érintetteket tájékoztatni kell az adatkezelésről, amennyiben az lehetséges és nem veszélyezteti a jogi eljárást.

Például, ha egy vállalatot perelnek, és a peres eljáráshoz személyes adatok (pl. e-mailek, munkavállalói adatok) szükségesek, akkor ezeket az adatokat meg lehet őrizni, még akkor is, ha a GDPR szerint egyébként törölni kellene őket. Azonban az adatoknak szigorúan az ügyhöz relevánsnak kell lenniük, és a tárolási időnek a peres eljárás időtartamára kell korlátozódnia.

Gyakorlati megközelítések

A szervezeteknek integrált megközelítést kell alkalmazniuk, amely figyelembe veszi mind az adatmegőrzési kötelezettség, mind a GDPR követelményeit. Ez magában foglalja:

  • Adatkezelési és adatmegőrzési politikák felülvizsgálata: Biztosítani kell, hogy a belső szabályzatok összhangban legyenek mindkét követelményrendszerrel.
  • Adatfeltérképezés és adatleltár: Pontos nyilvántartást kell vezetni arról, hogy milyen személyes adatokkal rendelkezik a szervezet, hol tárolja azokat, és milyen jogi alapon kezeli őket.
  • Belső folyamatok kidolgozása: Olyan eljárásokat kell kialakítani, amelyek lehetővé teszik a gyors reagálást egy litigation hold esetén, miközben biztosítják a GDPR-nak való megfelelést is.
  • Adatvédelmi hatásvizsgálat (DPIA): Bizonyos esetekben, különösen nagy mennyiségű személyes adat érintettsége esetén, adatvédelmi hatásvizsgálatot kell végezni az adatmegőrzési kötelezettség felmerülésekor.
  • Adatvédelmi tisztviselő (DPO) bevonása: A DPO kulcsfontosságú szerepet játszik az egyensúly megteremtésében és a jogi megfelelőség biztosításában.

A gondos tervezés és a jogi szakértelemmel való konzultáció elengedhetetlen ahhoz, hogy a szervezet megfelelően kezelje ezt a komplex területet, elkerülve mind az adatvédelmi, mind a peres jogi szankciókat.

Szervezeti szereplők és a proaktív felkészülés fontossága

Az adatmegőrzési kötelezettség sikeres kezelése nem egyetlen osztály vagy személy feladata, hanem egy szervezeten átívelő együttműködést igényel. Számos kulcsszereplőnek van felelőssége a folyamat különböző szakaszaiban.

Kulcsszereplők és feladataik

Szereplő Főbb feladatok
Jogi osztály / Belső jogtanácsos
  • Az adatmegőrzési kötelezettség keletkezésének felismerése.
  • Az értesítés (hold notice) elkészítése és kiküldése.
  • A jogi relevancia és a hatókör meghatározása.
  • Kapcsolattartás külső jogi tanácsadókkal.
  • A folyamat jogi megfelelőségének felügyelete.
  • A jogi kockázatok értékelése.
IT osztály
  • Az adatforrások azonosítása és feltérképezése.
  • A technikai megőrzési intézkedések végrehajtása (törlési szabályok felfüggesztése, adatok gyűjtése).
  • Az adatok biztonságos tárolása és hozzáférhetőségének biztosítása.
  • E-discovery platformok kezelése.
  • Technikai támogatás nyújtása a custodianoknak.
Információirányítási (IG) csapat / Adatvédelmi tisztviselő (DPO)
  • Az adatkezelési és adatmegőrzési politikák kidolgozása és fenntartása.
  • Az adatvédelmi és egyéb szabályozói követelmények összehangolása.
  • Adatvédelmi hatásvizsgálatok elvégzése.
  • A munkatársak képzése.
HR osztály
  • A custodianok azonosításában való segítségnyújtás (különösen elbocsátott alkalmazottak esetén).
  • A munkavállalói adatok kezelése a kötelezettség során.
Üzleti egységek / Custodianok
  • Az értesítésben foglaltak betartása.
  • Releváns adatok azonosítása és megőrzése.
  • Együttműködés a jogi és IT osztállyal.
  • Kérdések megválaszolása és információk szolgáltatása.
Vezetőség / Felső vezetés
  • Erőforrások biztosítása a folyamat megfelelő működéséhez.
  • A megfelelés kultúrájának támogatása.
  • A jogi kockázatok megértése és kezelése.

A proaktív felkészülés fontossága

A legrosszabb forgatókönyv az, ha egy szervezet az adatmegőrzési kötelezettség elrendelésekor próbálja kapkodva felépíteni a folyamatait. A proaktív felkészülés kulcsfontosságú a hatékony és költséghatékony kezeléshez.

A proaktív megközelítés magában foglalja:

  • Információirányítási (IG) program kialakítása: Egy átfogó IG program, amely definiálja az adatkezelési és adatmegőrzési politikákat, feltérképezi az adatforrásokat, és kezeli az adatok teljes életciklusát.
  • Adatmegőrzési protokollok és irányelvek kidolgozása: Részletes, írásos eljárások, amelyek meghatározzák, hogyan kell kezelni egy litigation holdot, a trigger event felismerésétől a feloldásig.
  • Technológiai infrastruktúra előkészítése: E-discovery platformok, archiváló rendszerek és biztonsági megoldások bevezetése, amelyek támogatják az adatmegőrzést.
  • Rendszeres képzések: A kulcsszereplők (jogi, IT, HR, vezetők) és a munkatársak rendszeres képzése az adatmegőrzési kötelezettségről és a kapcsolódó feladatokról.
  • Szimulációk és tesztelések: Az adatmegőrzési folyamatok rendszeres tesztelése és szimulációk futtatása a felkészültség ellenőrzésére és a gyenge pontok azonosítására.
  • Külső tanácsadók bevonása: Partnerség kialakítása jogi tanácsadókkal és e-discovery szakértőkkel, akik segíthetnek a felkészülésben és a válságkezelésben.

Egy jól felkészült szervezet sokkal gyorsabban és hatékonyabban tud reagálni egy adatmegőrzési kötelezettség felmerülésekor, minimalizálva a jogi és pénzügyi kockázatokat, valamint megőrizve a reputációját.

„A proaktív információirányítás nem teher, hanem befektetés, amely megvédi a szervezetet a jogi viharoktól és optimalizálja az adatok értékét.”

Gyakorlati tanácsok és best practice-ek az adatmegőrzéshez

Az adatmegőrzési kötelezettség bonyolult terület, de számos best practice segíthet a szervezeteknek abban, hogy hatékonyan és jogszerűen kezeljék azt. Ezek a gyakorlati tanácsok az elmúlt évtizedek tapasztalataira épülnek, és céljuk a kockázatok minimalizálása, miközben optimalizálják a folyamat hatékonyságát.

1. Azonnali reakció és a „trigger event” felismerése

Az egyik legfontosabb tanács az azonnali reakció. Amint felmerül a jogi vita ésszerű előreláthatósága (a „trigger event”), azonnal meg kell kezdeni az adatmegőrzési folyamatot. A késedelem súlyos jogi szankciókat vonhat maga után. Ennek érdekében a szervezetnek képzett személyzettel kell rendelkeznie, akik képesek felismerni ezeket a jeleket, és gyorsan értesíteni a jogi osztályt.

2. Világos és részletes adatmegőrzési értesítés

Az adatmegőrzési értesítés (hold notice) legyen a lehető legvilágosabb, legpontosabb és legátfogóbb. Tartalmazza az ügy nevét, a releváns dátumokat, az érintett adatok típusait és tárolási helyeit, valamint a konkrét utasításokat a custodianok számára. Kerülje a jogi szakzsargon túlzott használatát, és biztosítsa, hogy az értesítés mindenki számára érthető legyen. Ragaszkodjon a kézhezvétel írásos visszaigazolásához.

3. Custodianok azonosítása és interjúk

Ne csak azokat a személyeket azonosítsa, akikről Ön tudja, hogy releváns információkat birtokolnak. Végezzen alapos interjúkat a potenciális custodianokkal, hogy feltárja az összes releváns adatforrást, beleértve a kevésbé nyilvánvalóakat is (pl. személyes felhőalapú tárhelyek, mobil eszközök, chat alkalmazások). Dokumentálja ezeket az interjúkat.

4. Technológia alkalmazása

Használjon e-discovery szoftvereket és platformokat az adatmegőrzési folyamat automatizálására és hatékonyabbá tételére. Ezek a rendszerek segíthetnek az adatok gyűjtésében, feldolgozásában, szűrésében és megőrzésében, csökkentve az emberi hibák kockázatát és a költségeket. Fontolja meg az in-place hold funkciók használatát, ahol lehetséges.

5. Folyamatos nyomon követés és frissítés

Az adatmegőrzési kötelezettség nem egy egyszeri esemény. A jogi eljárás során az ügy körülményei, a releváns adatok köre és a custodianok köre is változhat. Rendszeresen kövesse nyomon a folyamatot, tartsa a kapcsolatot a custodianokkal, és szükség esetén frissítse az értesítéseket és a megőrzési stratégiát. Dokumentálja az összes változást.

6. Adatvédelmi és adatbiztonsági szempontok

Mindig vegye figyelembe az adatvédelmi és adatbiztonsági követelményeket. Győződjön meg arról, hogy a megőrzött adatok védettek a jogosulatlan hozzáféréstől, a módosítástól és a megsemmisítéstől. Ha személyes adatokat érint a kötelezettség, biztosítsa a GDPR és más vonatkozó adatvédelmi jogszabályoknak való megfelelést, különös tekintettel az arányosság és a célhoz kötöttség elveire.

7. Dokumentáció és auditálhatóság

Minden lépést részletesen dokumentáljon. Ez magában foglalja az értesítések kiküldését, a custodianok azonosítását, az interjúkat, a technikai intézkedéseket, a felmerült problémákat és azok megoldását. Ez a dokumentáció létfontosságú a jóhiszeműség bizonyításához és a spoliation vádjának elhárításához.

8. Információirányítási (IG) program

Fektessen be egy robusztus információirányítási (IG) programba. Egy jól működő IG program csökkenti az adatok mennyiségét, rendszerezi az információkat, és elősegíti a gyorsabb és hatékonyabb reagálást egy adatmegőrzési kötelezettség esetén. Ez hosszú távon jelentős költségmegtakarítást és kockázatcsökkentést eredményez.

9. Képzések és tudatosság növelése

Rendszeresen képezze a munkatársakat az adatmegőrzési kötelezettségről, az adatkezelési politikákról és a jogi következményekről. A tudatosság növelése segíthet abban, hogy a munkatársak felelősségteljesen kezeljék az adatokat, és időben jelezzék a potenciális trigger eseményeket.

10. Külső szakértelem bevonása

Ne habozzon külső jogi tanácsadókat és e-discovery szakértőket bevonni, ha a belső erőforrások vagy szakértelem nem elegendő. Különösen komplex vagy nagyszabású ügyek esetén a külső szakértelem felbecsülhetetlen értékű lehet a jogi megfelelőség és a hatékonyság biztosításában.

Az adatmegőrzési kötelezettség egy dinamikus és folyamatosan fejlődő terület, amely a digitális korban egyre nagyobb jelentőséggel bír. A fenti tanácsok betartásával a szervezetek proaktívan kezelhetik ezt a kihívást, minimalizálva a kockázatokat és megvédve jogi pozíciójukat.

TAGGED:
Megosztás
Hozzászólások

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük