A felhőszolgáltatások adatvédelmi kérdései - Az uniós adatvédelmi rendelet (GDPR) fényében

2017.09.27. Jogi Fórum / dr. Frivaldszky Gáspár ügyvéd, az Informatikai Vállalkozások Szövetségének és az International Association of Privacy Professionals tagja

Az arany és az olaj után az adat vált a gazdaság legjelentősebb erőforrásává. A világ öt legértékesebb tőzsdén jegyzett vállalata adatokkal gazdálkodik. Nem mindegy tehát, hogy a vállalkozások a kincsüket hol és milyen körülmények között tárolják. - A RedHat 250 IT vezető bevonásával készített felmérése szerint 2017. a felhő éve lesz: 52%-uk gondolja úgy, hogy egy erős felhőstratégia kialakítása az év legnagyobb IT kihívása.

Mindennapjainknak egyre inkább részévé válnak a felhőalapú szolgáltatások. A felhő lehetővé teszi az igény szerinti hálózati hozzáférést megosztott, konfigurálható számítástechnikai erőforrásokhoz (például hálózatokhoz, szerverekhez, tárolókhoz, alkalmazásokhoz és szolgáltatásokhoz), melyeket gyorsan lehet allokálni és használatukat lezárni, minimális menedzsment ráfordítással vagy szolgáltatói közreműködéssel (The NIST, Definition of Cloud Computing). A felhők révén a vállalkozások komoly versenyelőnyre tehetnek szert a szolgáltatás rugalmassága, költséghatékonysága miatt. Erre a felismerésre egyre több vállalat jut el. A londoni székhelyű Cloud Industry Forum szakmai ernyőszervezet idei felmérése szerint a felhőszolgáltatásokat igénybe vevők legkomolyabb aggodalmai az adatvédelemre (62 %), a biztonsági kérdésekre (42%) és az adatok feletti kontol elvesztésére (39 %) voltak visszavezethetőek.

Saját tapasztalatom az, hogy mind a szolgáltatók, mind a felhőszolgáltatást igénybe vevők hajlamosak nagyvonalúan kezelni az adatvédelmet, úgy az IT biztonsági kérdéseket, mind a jogszabályoknak való megfelelést. Az informatikusok és a jogászok hagyományosan távolról szokták egymást méricskélni. Az informatikusoknak a felhőszolgáltatásokkal kapcsolatos kérdések túl jogiak, a jogászoknak túl informatikaiak. Az átlag cégvezető meg mind a jogi, mind az informatikai problémáktól idegenkedik. Ez a szakadék a rohamos ütemű technikai fejlődéssel csak nőni látszik.

Másik oldalról látjuk, hogy az adatszivárgások, illetve a jogszerűtlen adatkezelések felmérhetetlen reputációs károkat okoznak a vállalkozásoknak. Nemrégiben a Yahoo példáján láthattuk, hogy egy adatvédelmi incidens napvilágra kerülése után mennyit esett a cég piaci értéke. Ezen felül az adatbiztonság és a jogszabályoknak megfelelő adatkezelés különös jelentőséget nyert az új európai adatvédelmi rendelettel, amely jelentős, akár 20 millió eurót vagy egy társaság globális árbevételének 4%-át elérő bírságokkal fenyegeti a nem kellő körültekintéssel eljáró adatkezelőket.

Hogy a veszély mennyire nem csak periférikusan, az informatikához és a joghoz nem értőket érinti, bizonyítja a Wolters Kluwer Kft. által ügyvédeknek kifejlesztett, a piacon nemrégiben bevezetett felhő alapú Praxys szoftver esete. A cég honlapján található bemutatkozás szerint: „A cég kétségkívül legismertebb termékei a Jogtárak, amelyek jelenleg Magyarország legnagyobb és legrégebbi jogi információs rendszerei, adatbázisai. Több száz funkciójuk, százezer feletti dokumentumuk, és a hozzájuk tartozó szolgáltatások révén messze a legnagyobb piaci részesedést tudhatják magukénak. A Wolters Kluwer Kft. Magyarország bíróságainak, a Köztársasági Elnöki Hivatalnak, az Ügyészségnek és az ELTE Állam- és Jogtudományi Karának hivatalos Jogtár termékcsalád szállítója. A Jogtár termékcsalád az Országgyűlés által használt jogszabály-nyilvántartó rendszer.”

A Praxys szoftver esetében az egyik oldalon jelentős informatikai tudással rendelkező piaci szereplőről van tehát szó, az asztal másik oldalán pedig ügyvédek vannak, akik ugyebár a jogszabályok ismeretéből élnek. A cég saját állítása szerint már több ezer ügyvéd használja a szoftvert. De miért érdekes ez? Hamarosan visszatérünk a kérdésre…

A felhőszolgáltatások esetében, amint arra az Unió 29. cikk szerinti adatvédelmi munkacsoportjának a témában írt iránymutatása is rámutat, a szolgáltatást megrendelő határozza meg a személyes adatok kezelésének céljait és eszközeit, ezért ő adatkezelő lesz, míg a felhőszolgáltatást nyújtó, mivel ő az adatkezelő nevében kezeli a személyes adatokat, ezért ő jogilag adatfeldolgozó lesz.

Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés jogszabályi követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Mindannyian találkozunk azzal, hogy a jogszabályokban lefektetett elvek és a gyakorlat finoman szólva nincsenek teljes harmóniában. Az adatvédelmi jogban viszont egyáltalán nem ritka, hogy az elvek és a gyakorlat köszönés nélkül sétálnak el egymás mellett. A felhőszolgáltatás alapja a sokszor nagyon is törékeny bizalom. Úgy tűnik, hogy ez a bizalom a hazai vállalkozók esetében inkább vak, mint megalapozott. Ez érthető is. A felhőszolgáltatások esetében, mint már említettük, informatikai és jogi tudásra egyszerre van szükség. Hiába van meg ez a tudás a legmagasabb szinten az egy asztalnál ülőknél, ha a két ismeretanyag nem ötvöződik, amint azt látni fogjuk súlyos érdeksérelemhez és jogszabálysértéshez vezethet.

Ha másért nem, a mammut adatvédelmi bírságok miatt 2018. május 25-ét követően, az új európai adatvédelmi szabályozás életbelépésével immáron elkerülhetetlen lesz, hogy a felhőszolgáltatók elszámoltathatóak, tevékenységük pedig átlátható legyen az ügyfeleik, illetve az adatvédelmi hatóságok számára. A jogszabályi megfelelést szerződésben rögzítetten, a tényleges gyakorlatot a hatóságok által ellenőrizhető módon, folyamatosan dokumentálva kell tudnia bizonyítania a feleknek.

De hogyan tud meggyőződni arról egy vállalkozás, hogy a felhőben a jogszabályoknak, különösen a GDPR-nak megfelelően kezelik az adatait? Másik oldalról hogyan tudja a felhőszolgáltató az ügyfeleinek bizalmát megszerezni, majd megtartani, s szükség esetén a jogi megfelelőségét a külvilág felé, elsősorban az illetékes hatóságok felé bizonyítani? Az Európai Távközlési Szabványügyi Intézet besorolása szerint a felhőszolgáltatások életciklusa három fázisara osztható: a beüzemelésre, a működésre és a szolgáltatás megszüntetésére. A jogszabályi megfelelést ezekben a fázisokban, külön-külön érdemes vizsgálni.

A felhőszolgáltatást igénybe vevő sem az ügyfelei, sem az illetékes hatóságok előtt nem takarózhat azzal, hogy a szolgáltató az „eszi, nem eszi, nem kap mást” vagy, ahogy az angolok mondják „take it or leave it” elv szerint működik. Ezért még egy ügyvéd sem engedheti meg magának, hogy bizonyos informatikai, horribile dictu IT biztonsági kérdésekbe ne merüljön el. Egy ügyvédi praxis során rengeteg személyes adattal, sőt különleges adattal dolgoznak a kollégák. Adatkezelőként náluk marad a felelősség, hogy az adatok kezelése a felhőben a jogszabályok szerint történik. Az más kérdés, hogy a szolgáltatás elégtelenségére visszavezethető adatvédelmi incidens esetén az adatfeldolgozó felhőszolgáltató felelőssége is megállhat.

A Norvég Adatvédelmi hatóság ajánlásában egy ellenőrző lista elkészítésével segítette a szolgáltatást igénybe vevők döntését. Ennek értelmében

  • a vállalkozásnak alapos kockázatelemzést kell végeznie mielőtt megbíz egy felhőszolgáltatót;
  • a vállalkozásnak szerződésben kell az adatkezelés részleteit szabályoznia;
  • a szolgáltatást igénybe vevő az adatkezelő, és ilyen módon az adatkezelés jogszerűségéért a felelős;
  • a szolgáltatási szerződésnek, az alvállalkozókra is kiterjedő módon, világosan ki kell térnie arra, hogy az adatokat hol kezelik;
  • a szerződés nem rendelkezhet úgy, hogy a felhőszolgáltató (adatfeldolgozó) saját céljaira, még a szolgáltatás optimalitására sem, használhatja a felhőben tárolt adatokat;
  • a vállalkozásoknak rendszeresen felül kell vizsgálniuk a felhőszolgáltatás igénybevételi gyakorlatukat. Ennek keretében magának a vállalkozásnak vagy egy külső félnek auditot kell végeznie, amelyben megvizsgálják, hogy a felhőszolgáltatás adatkezelésre vonatkozó megállapodása mennyiben alkalmazzák a felek a gyakorlatban.
  • az adatkezelőnek biztosítania kell, hogy a határokon átnyúló adatszolgáltatás a hatályos jogszabályoknak megfelelően történik;
  • az adatok továbbítása csak megfelelő biztonsági intézkedések mellett kivitelezhető. Az érzékeny adatokat titkosítani kell.
  • a különböző vállalkozások személyes adatait az adatfeldolgozó felhőszolgáltatónak elkülönítve kell tárolnia;
  • a választott megoldásokat megfelelően dokumentálni kell és a hatóság kérésére a dokumentumokat be kell mutatni.

A jogi megfelelőség elérése és bizonyítása elképzelhetetlen a megfelelő felhasználói hozzáférés menedzsment és a naplózási technikák (kereshető naplófájlok, amelyeket csak a szükséges ideig őrzik, védve őket az illetéktelen módosításoktól stb.) kialakítása nélkül.

Ahogy arra az Európai Bizottság felhőszolgáltatásokra vonatkozó jelentése is rámutat, a rendelkezésre álló hardver használatának optimalizálása érdekében a felhőalapú szolgáltatást nyújtó szolgáltatók gyakran helyezik át a felhasználói terheléseket (pl. egyik számítógépről a másikra vagy egyik adatközpontból egy másikba), ezért sokszor olyan egyszerűnek tűnő kérdés megválaszolása is komoly nehézséget jelenthet, hogy melyik ország területén történik az adatkezelés. Ennek az alkalmazandó jogszabályok, illetve az adatkezelés jogszerűségének eldöntése szempontjából lesz döntő jelentősége.

A felhőszolgáltatások jogi megfelelőségét biztosító eszközök lehetnek az olyan nemzetközi információbiztonsági szabványok, mint amilyen az ISO:27001, a PCI-DSS vagy az SSAE 16/ISAE 3402 (korábban SAS 70). Magas biztonsági védettséget bizonyít az Egyesült Királyságban a közszféra szereplői számára bevezetett G-Cloud tanúsítvány, amelyet a CESG (Nemzeti Információbiztonsági Hatóság) auditál. A fenti szerepet tölti be az Andromède Franciaországban, a Trusted Cloud Németországban. A fenti szabványok minden esetben minimálisan a biztonságra, az átjárhatóságra, az adathordozhatóságra terjednek ki.

Az olyan nagy szolgáltatók, mint a Google, az Amazon vagy a Microsoft valamennyi tanúsítvánnyal rendelkeznek. Egy általánosan elfogadott, kisebb felhőszolgáltatóknak is megfizethető szabvány kialakítása még várat magára.

Kiváló, nagy multinacionális szolgáltatók által, az Európai Bizottsággal történt előzetes egyeztetés után kialakított magatartáskódexek (Cloud Industry Forum, Cloud Infrastructure Services Providers in Europe, Cloud Security Alliance) születtek viszont a közelmúltban, amelyhez való auditált csatlakozással a felhőszolgáltatók bizonyíthatják az európai adatvédelmi megfelelőségüket. A hazai piacon említésre méltóak az Informatikai Vállalkozások Szövetsége (IVSZ) Adatközpont- és Felhő munkacsoportjának ebbe az irányba tett erőfeszítései is.

Kiberbiztonsági biztosítás már Magyarországon is köthető, ez is része lehet egy felhőszolgáltató ajánlatának.

Az Európai Bizottság az elmúlt években szerződési mintafeltételek kidolgozását szorgalmazta a felhőszolgáltatások piacán. Részben ennek köszönhetően jelenleg már nagyon jól használható minták állnak a piaci szereplők rendelkezésére. Az Európai Távközlési Szabványügyi Intézet (ETSI) felhő-munkacsoportot hozott létre, hogy tanulmányozza a felhő szabványosításának szükségességét és az átjárhatósági szabványoknak való megfelelést. Az elkészült dokumentum a szabványokon alapuló tanúsítás fontosságát hangsúlyozza a szolgáltatást igénybe vevők bizalmának megszerzése és megtartására. Az Intézet rámutat, hogy 16 szervezet 168 dokumentuma foglalkozik a felhőszolgáltatások szabványosításával.

A Magyar Nemzeti Bank idén januárban kiadott ajánlása az alábbiak szerződésben való teljesülését várja el a pénzügyi szervezetektől:

a) egyértelmű eljárásrend meghatározása a szolgáltatási feltételek módosítására, a szerződés megújítására, új funkciók, kiegészítések, kapcsolódó szoftverek és szolgáltatások bevezetésére;

b) a szerződés megszűnése részletes feltételeinek meghatározása mind a felhőszolgáltatást igénybe vevő, mind a szolgáltató részéről való felmondás esetén, a felmondás jogának (rendes, azonnali hatályú) részletes szabályozása;

c) az informatikai kockázatelemzés és az üzleti igények alapján a felmondási időt, az adat-visszaszolgáltatási és adattörlési eljárásokat úgy kell megállapítani, hogy a szolgáltatás kivezetése a szerződés bármilyen okból való megszűnése esetén biztonságosan megvalósítható legyen, és ne járjon az üzleti folyamatok elfogadhatatlan mértékű sérülésével;

d) a szolgáltató és az általa nyújtott szolgáltatás ellenőrzési és tanúsítási jogának kikötése, beleértve a helyszíni ellenőrzés jogát is azzal, hogy az ellenőrzés jogának gyakorlását csak ésszerű keretek között lehet korlátozni, melyek nem gátolják, vagy jelentősen nem hátráltatják az ellenőrzés végrehajtását;

e) rendelkezések rögzítése a biztosítéki rendszerre, a garanciális jogokra és a kártérítésre, különös tekintettel arra, hogy a biztosítékok arányosak legyenek az esetlegesen okozott kárral;

f) a vis maior esetek és kezelési módjuk meghatározása;

g) a licencek és szellemi alkotások kezelési módjának rögzítése;

h) a szolgáltatás, a kommunikáció nyelvének, formájának, feltételeinek és előírt tartalmának meghatározása;

i) informatikai biztonsági és adatvédelmi kötelezettségvállalások, az adatkezelés, adatfeldolgozás és tárolás pontos, legalább adatközpontú helyszíneinek rögzítése, különös tekintettel az adatok átadhatóságával, továbbadhatóságával kapcsolatos előírásokra;

j) annak biztosítása, hogy a felhőszolgáltatást igénybe vevő adataihoz hozzáférő, illetve az adatkezelés vagy adatfeldolgozás folyamatában érintett minden alvállalkozó, közreműködő, beszállító, valamint ezek feladatai, felelőssége és számonkérhetőség a vállalkozás számára mindenkor aktuálisan azonosítható és átlátható legyen;

k) erőforrások védelmének, biztonságos üzemeltetési elvárásainak rögzítése;

l) szolgáltatási szintek (a továbbiakban: SLA-k) meghatározása, legalább az alábbiakra kitérve:

la) a mérendő indikátorok, és azok elvárt értékei;

lb) a mérések módja és eszközei;

lc) a szolgáltatás elérhetősége és minimális funkcionalitása;

ld) a méréseket végző fél, az SLA jelentések elkészítésének felelőssége, jelentések gyakorisága.

le) az SLA-k megsértésének kárral arányos következményei és az eszkalációs eljárások rögzítése;

m) a szolgáltató által működtetett informatikai folyamatokra vonatkozó elvárások rögzítése, beleértve a biztonságmenedzsmentet, az üzemeltetést és a fejlesztést, valamint humánerőforrással szembeni biztonsági elvárásokat;

n) biztonsági incidens kezelési eljárás rögzítése, beleértve a szolgáltató kötelezettségét arra vonatkozóan, hogy a szolgáltatást és a szolgáltatót a felhőszolgáltatás kapcsán ért biztonsági incidensekről késedelem nélkül tájékoztatást nyújtson;

o) támogatás és adatok biztosítása a szolgáltatást igénybe vevőnél előfordult visszaélések felderítéséhez.

Hiba lenne azt gondolni, hogy ezek a bankokra vonatkozó szabályok feleslegesek vagy túlzóak lennének a „mezítlábas” vállalkozásoknak. Valójában ezeknek a szerződéses feltételeknek a teljesülése nélkül egyetlen adatkezelő sem lehet biztos, hogy olyan adatfeldolgozót vesz igénybe, amely megfelelő garanciákat nyújt az adatkezelés jogszabályi követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Itt térnék vissza a Praxys szoftverhez. A szolgáltatás technikai feltételeiről ennyit tudunk meg a honlapon a szerződéskötést megelőzően: „Adatszervereinket a legkorszerűbb biztonsági funkciókkal láttuk el, ide értve a napi szintű titkosított biztonsági mentést.” Az Általános Szerződési Feltételekben pedig ezt olvashatjuk: A Szolgáltató kizár minden olyan felelősséget, amely az internetes világháló nem megfelelő működéséből ered, ideértve különösen a világháló működésének leállását, az adatátvitel sebességét, a Weboldal esetleges elérhetetlenségét, továbbá a bármilyen számítástechnikai módszerrel tárolt adatok elveszéséből vagy illetéktelen behatolásokból eredő, valamint számítógépes vírusok vagy más kártevők által okozott károkért való felelősséget.”

A piacvezető, jogi szoftvereket felhő alapon szolgáltató cég adatvédelmi nyilatkozatában ennyi áll: „Az Adatkezelő az Info tv. 7. §-a szerinti kötelezettségének megfelelően mindent megtesz annak érdekében, hogy gondoskodjon az Ön adatainak biztonságáról, megteszi továbbá azokat a szükséges technikai és szervezési intézkedéseket és kialakítja azokat az eljárási szabályokat, amelyek az Info tv., valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

Az Adatkezelő tevékenysége megfelel az információbiztonsági irányítási rendszereket meghatározó ISO27001 szabvány követelményeinek.

A Szolgáltatásoknak ún. felhőalapú (cloud) alkalmazások is a részei. A felhőalkalmazások jellemzően nemzetközi, illetve határokon átnyúló természetűek, és pl. az adattárolás céljait szolgálják, amikor nem a Felhasználó számítógépe/vállalati számítóközpontja az adattároló, hanem egy, a világ bármely pontján elhelyezhető szerverközpont. A felhőalkalmazások fő előnye, hogy földrajzi helytől lényegében független, nagy biztonságú, rugalmasan bővíthető informatikai tároló és feldolgozó kapacitást nyújtanak.

Az Adatkezelő a lehető legnagyobb odafigyeléssel választja meg a felhőszolgáltatásokat biztosító partnereit, mindent megtesz, hogy azokkal a Felhasználók adatbiztonsági érdekeit is szem előtt tartó szerződést kössön, azok adatkezelési elvei számára átláthatóak legyenek és az adatbiztonságot rendszeresen ellenőrizze. ”

Amint azt látjuk, van még mit közelíteni az elméleti szabályok és a gyakorlati megvalósítás között. Vagy igaz lenne a latin bölcsesség, miszerint error communis facit ius, vagyis az általános tévedés jogerővel bír?

Szerző: dr. Frivaldszky Gáspár ügyvéd, az Informatikai Vállalkozások Szövetségének, és az International Association of Privacy Professionals tagja

  • kapcsolódó anyagok
ADATVÉDELEM
INTERNET