Egy kormányrendelet értelmében az elektronikus piactereknek regisztrálniuk kell magukat az illetékes hatóságnál, továbbá biztonsági kockázatelemzést kell végezniük és ennek megfelelő intézkedéseket szükséges bevezetniük. Ugyanakkor az utóbbi időben nem piactérnek minősülő webshopok is kaptak felszólítást regisztrációra. Megpróbáltunk utánajárni, kire vonatkozik a rendelkezés és kire nem.
Dr. Székely Gergely, a Székely Legal alapító partnere szerint uniós irányelv határozza meg, hogy a tagállamokban kiemelten kell figyelni azokra az online szolgáltatókra, amelyek nagy mennyiségű személyes adatot kezelnek, hiszen náluk a kiberbűnözők sok emberre kiható, nagy értékű kárt tudnak okozni. A gyakorlatban ezt azt jelenti, hogy bizonyos szolgáltatóknak törvényileg szabályozott kötelezettségei keletkeznek: regisztráció, kockázatelemzés, biztonsági intézkedések és az incidensek bejelentése egy központi helyen. Dr. Székely úgy véli, ez helyes és üdvözlendő rendelkezés, mivel hatékonyabbá teszi a kritikus digitális infrastruktúra védelmét.
Az első változat
Ezt az irányelv 2018. május 10-től már a hazai jogrendben is érvényben van. A 410/2017. számú kormányrendelet megállapította a bejelentés-köteles szolgáltatásokkal kapcsolatos részletes szabályokat. A kapcsolódó hatósági és eseménykezelési feladatok végrehajtására a BM Országos Katasztrófavédelmi Főigazgatóságot jelölte ki.
A rendelet tételesen felsorolja azokat a szolgáltatástípusokat, amelyek bejelentés-kötelesek: ide tartoznak a keresőszolgáltatások, a felhő alapú számítástechnikai szolgáltatások és az online piacterek. Kivéve, ha egy cég a 2004. évi 34-es KKV törvény alapján mikro- vagy kisvállalkozásnak számít, mert akkor hiába tartozik a fent említett tevékenységi körbe, nem keletkezik kötelezettsége.
Minden érintett vállalkozásnak első lépésben regisztrálnia kell a hatóságnál. Ezt követően köteles kockázatelemzést készíteni, ami kiterjed:
- a hálózati és információs rendszerek és létesítmények biztonságára,
- a biztonsági események kezelésére és
- az üzletmenet folytonosság biztosítására.
A cégnek a kidolgozott kockázatelemzés alapján a kockázatokkal arányos biztonsági intézkedéseket kell bevezetnie és alkalmaznia, mégpedig legkésőbb 2019. május 10-ig. Végül pedig jelenteni kell az eseménykezelő központ számára, ha jelentős biztonsági incidens történik a cég hálózati és információs rendszereiben.
A második változat
Csakhogy tavaly év végével az említett 410/2017. számú kormányrendeletet hatályon kívül helyezték, és hatályba lépett helyette a 270/2018. évi (XII.20.) kormányrendelet. Az alapelvek nem változtak, de több dolog is pontosításra került. Például a hatósági és eseménykezelési feladatok és jogkörök a Katasztrófavédelemtől a Nemzeti Kibervédelmi Intézethez kerültek át. Meghatározták a bírságok pontos mértékét, így 50 ezer Ft-tól akár 5 millió forintig is fizethet az az érintett szolgáltató, amely 90 napon belül nem teljesíti kötelezettségeit. Ez a rendelet azonban már úgy fogalmaz, hogy a rendelkezés a 2001. évi CVIII. törvényben (Ekertv.) meghatározott bejelentés-köteles szolgáltatókra vonatkozik. Az Ekertv. szintén következetesen a piactér kifejezést használja.
Eltérő értelmezések
Annak ellenére, hogy az online piacterek és webshopok között jó definiálható különbségek vannak, a piacon több esetben is előfordult, hogy a hatóság (pontosabban: még a korábbi, 410/2017. számú kormányrendelet idején a Katasztrófavédelem) webshopokat is megkeresett és regisztrációra szólított fel.
Dr. Székely Gergely szerint mind az európai irányelv, mind a magyar kormányrendelet megfogalmazása tisztán és egyértelműen piacterekre vonatkozik, és ezen túl a szövegben valamennyire még definiálták is ezt a fogalmat. A piactér olyan online felületet jelent, ami az oldalon regisztráló magánszemélyek vagy akár kereskedők számára lehetővé teszi az egymással történő kereskedést, online adásvételt. Tehát ebbe a kategóriába lényegében a kereskedelmi platform szolgáltatók tartoznak bele, akiknél sok eladó tud sok vevővel üzletelni. Jó példa erre a Booking.com, a Szallas.hu, a Vatera vagy akár a Jófogás.hu. Ezzel szemben egy webshopban jellemzően egy kereskedő vagy egy cég értékesít sok vevője számára. Náluk sok esetben aránytalan munkamennyiséggel és kiadással járhat, ha teljesíteni akarja az elvárt feltételeket.
Az ügyben megkerestük a Nemzeti Kibervédelmi Intézetet, hogy megtudjuk, álláspontjuk szerint mi a piactér definíciója, illetve minden webshopot érintenek-e regisztrációs és egyéb kötelezettségek. Választ egyelőre nem kaptunk, de amint megérkezik hozzánk az állásfoglalás, közzé fogjuk tenni.
Addig is, ha valakit felszólítanak regisztrációra, az érintettnek mindenképpen tanácsos elolvasnia az hatályos kormányrendelet és az Ekertrv. pontos szövegét, és ez alapján eldöntenie, hogy vonatkozik-e rá a jogszabály. Amennyiben igen, akkor teljesítenie kell a meghatározott kötelezettségeket, ellenkező esetben bírságra számíthat. Ha viszont a tevékenysége vagy cégmérete alapján nem vonatkozik rá a rendelet, akkor értelemszerűen nem kell regisztrálnia.
