Sokan nem tudják, hogy a cégkapu és ügyfélkapu hozzáférési adataik megosztása másokkal (például a könyvelőjükkel), nem csak súlyos adatvédelmi és egyéb kockázatokat jelent, de jogellenes is.
Adójogász ügyvédként gyakran találkozom azzal a helyzettel, hogy vállalkozások vezetői megadják ügyfélkapus hozzáférésüket könyvelőiknek vagy munkatársaiknak. Ezzel szeretnék egyszerűbbé tenni a cégkapura érkező levelezés kezelését és a bevallások benyújtását. A problémák azonban sokszor csak akkor kerülnek felszínre, amikor már baj van. Gyakran előfordul, hogy a bevallásokkal kapcsolatos mulasztások és határidők elmulasztása csak akkor derül ki, amikor már késő, és ilyenkor nehéz megállapítani, ki hibázott valójában.
Bár praxisomban a most jelzett problémák általában a könyvelést végzők vagy a cég adminisztrációs munkatársainak mulasztásaival kapcsolatosak, szeretném felhívni a figyelmet arra, hogy senkinek ne adjuk meg ügyfélkapu jogosultságainkat! Ez nem csak a jogszabályok megsértését jelenti, hanem komoly adatvédelmi és biztonsági kockázatokat is rejt.
Először is tisztázzuk: ügyfélkapu vagy cégkapu?
Az ügyfélkapu a magánszemélyek számára biztosított elektronikus ügyintézési platform. Ez a saját személyünkhöz kapcsolódó egyedi felhasználónévvel és jelszóval működik. Az egyéni vállalkozók, mint magánszemélyek, szintén ügyfélkapun keresztül intézhetik ügyeiket.
A cégkapu viszont jellemzően a társas vállalkozások vezető tisztségviselői számára van fenntartva. Ez is egy elektronikus platform, amelyhez az ügyfélkapuhoz használt egyedi felhasználónévvel és jelszóval lehet hozzáférni. Akinek tehát cégkapuja van, egy bejelentkezéssel mindkét platformon intézheti ügyeit, csak a megfelelő felületet kell kiválasztania.
Ez azt jelenti, hogy a céges ügyintézői felületre ugyanazokat a belépési adatokat kell megadni, mint az ügyfélkapuhoz. Ez a kettős felhasználás kényelmes, de növeli a biztonsági kockázatokat is, ha a hozzáférési adatokat megosztjuk másokkal.
Mi történik, ha megadjuk az azonosító adatainkat és jelszavunkat másnak? Miért veszélyes ez?
Személyes adatokhoz való hozzáférés:
Ha valaki más használja az ügyfélkapu belépési adataidat, hozzáférhet minden személyes információdhoz. Ez magában foglalja az egészségügyi adatokat, lakcímet és egyéb érzékeny információkat is. Például, ha valaki ismeri a felhasználónevedet és jelszavadat, az eeszt.gov.hu oldalon hozzáférhet az összes egészségügyi leletedhez, diagnózisodhoz és beavatkozásaidhoz.
Az is előfordulhat, hogy az, akinek a belépési adataidat megadtad, az ingatlan-nyilvántartási rendszerből a te kódoddal kér le információkat. Miért tenné ezt? Például, mert évente kétszer mindenki ingyenesen lekérhet tulajdoni lapot, és ő már kimerítette ezt a lehetőséget. Így tehát bárki, aki hozzáfér az ügyfélkapudhoz, bármilyen adatbázisból adatokat kérhet le vagy akár módosíthat is, amelyek a magyarorszag.hu-n keresztül érhetők el. Itt a belépési kódok ismeretében bármely dokumentum elektronikusan azonosításra visszavezethető dokumentum-hitelesítésére (AVDH) is sor kerülhet az ügyfélkapu belépési kódok ismeretében.
Jogellenes cselekmények:
Ha valaki a te belépési adataiddal végez jogellenes tevékenységeket, például hibás bevallásokat nyújt be vagy elmulaszt határidőket, te leszel felelős mindenért. Egy ügyfelem például csak a végrehajtás során értesült arról, hogy nem tájékoztatták az adóhatósági megállapításokról, amelyek jogorvoslat hiányában jogerőre emelkedtek.Az ügyfelem, mint a cég vezetője, tudott az ellene folyó ellenőrzésről, de a cégkapu tárhelyen lévő leveleket rendszeresen a könyvelője töltötte le. A könyvelő azonban nem szólt sem a jegyzőkönyv megérkezéséről, sem pedig a határozatról. Amikor végrehajtásra került sor, akkor szembesült azzal, hogy az ügyben már jogerős megállapítás született.Ráadásul, mivel 30 nap után a cégkapu tárhelyről törlődnek a küldemények, az ügyfél utólag nem tudott utánanézni az előzményeknek. Így sosem tudja bizonyítani, hogy a küldeményeket nem ő maga vette át. Ezért fontos, hogy senkinek ne adjuk meg ügyfélkapu vagy cégkapu hozzáférési adatainkat, mert a felelősség mindig a miénk marad.
Nehéz bizonyítás:
Ha valaki a te kódoddal lép be és végez tevékenységeket a cégkapun, akkor nagyon nehéz lesz bizonyítani, hogy nem te követted el ezeket a műveleteket. Minden joghatályos cselekmény a te neved alatt jelenik meg, ami komoly jogi következményekkel járhat.Egy másik esetben a könyvelő, aki összerúgta a port a volt ügyvezetővel, visszamenőlegesen egy jelentős fizetendő áfát tartalmazó bevallást nyújtott be a cég ügyvezetőjének kódjával. A NAV azonnali inkasszót nyújtott be a céggel szemben. Utólag, ráadásul a könyvelési anyag hiányában, nagyon nehéz helyzet alakult ki.Ezért különösen fontos, hogy soha ne adjuk meg ügyfélkapu vagy cégkapu hozzáférési adatainkat másoknak. Az ilyen helyzetek elkerülése érdekében mindig saját kódunkkal és jelszavunkkal végezzük el a hivatalos műveleteket.
Felelősségre vonás és bizonyítási nehézségek:
Később egy mulasztás miatt nem csak külső hatóságokkal szemben, de a belső felelősségre vonás esetén is ellehetetlenül a bizonyítás, hogy nem te követted el a mulasztást. Mivel a hozzáférést a te nevedben használták, nem tudod bizonyítani, hogy ki hibázott. A könyvelőd mulasztása sosem lesz bizonyítható, az általa elkövetett szabálytalanságok miatt kártérítésre sem lesz sok esélyed, mivel nem hozzá, hanem hozzád köthetőek ezek a szabálytalanságok. Szélsőségesebb esetekben pedig egy büntetőeljárás során még nehezebb lesz bizonyítani azt, hogy nem te állsz a jogsértések mögött, mivel minden a te személyes hozzáféréseiddel történt.
Fontos tudni: A könyvelődnek vagy más meghatalmazottnak nincs szüksége a te személyes hozzáférési adataidra ahhoz, hogy hatékonyan végezze a munkáját. A könyvelők és más szakemberek hivatalos meghatalmazással, saját felhasználói nevükkel és jelszavukkal tudnak kommunikálni a NAV-val és más hatóságokkal. Ezt a meghatalmazást szabályszerűen be kell jelenteni a NAV-nak, így minden tevékenységük nyomon követhető és jogszerű.
Mit tegyél, ha már teljes körű hozzáférést adtál?
- Azonnal változtasd meg a jelszavadat a cégkapu és ügyfélkapu portálokon.
- Értesítsd a könyvelődet és minden érintettet, hogy a jövőben nem használhatják a személyes hozzáférési adataidat. Kérd meg őket, hogy hivatalos meghatalmazás alapján, saját fiókkal végezzék a munkájukat.
- Ha az adataiddal visszaéltek, tegyél feljelentést.
- Ellenőrizd a fiókodban történt tevékenységeket, hogy biztos lehess benne, nincs semmilyen engedély nélküli művelet.
- Szabályosan és átgondoltan oszd ki a jogosultságokat munkatársaidnak. Ezt megteheted úgy, hogy szabályos meghatalmazást adsz az ügyek vitelére. A munkatársaidnak a cégkapu kezeléséhez korlátozott hozzáférést adhatsz a megfelelő beállításokkal. Ehhez segítséget találsz itt.
Hosszú távon mindig tartsd be a jogi előírásokat és adatvédelmi szabályokat. Gondoskodj arról, hogy mindenki, aki hozzáférést igényel, saját, hivatalosan regisztrált fiókkal rendelkezzen, így biztosítva az adatbiztonságot és a jogi felelősség egyértelműségét.
Ezen lépésekkel megvédheted a céged és saját magad a jogi és adatvédelmi problémáktól, és biztosíthatod, hogy minden tevékenység átlátható és jogszerű maradjon.
dr. Szőke Ágnes Éva ügyvéd