Kihívások a felhőben - cloud computing és adatvédelem

2012.07.16. Jogi Fórum / Dr. Csabai Virgínia

A Jogiforum 2012. június 15-i konferenciája az IT jog egyik még kevéssé ismert, ám annál nagyobb érdeklődéssel övezett területe, a cloud computing köré épült fel, mely túlzás nélkül mondhatjuk, a 22. század előfutára…

A téma jogi hátterébe (ide értve az Európai Unió szabályozási tendenciáit is), és a szolgáltatás jogszerű működésével kapcsolatos kérdésekbe a kiváló szaktudással és gyakorlati tapasztalattal rendelkező előadók avattak be bennünket.

Az eseményt dr. Jambrik Gergely ügyvéd, a .hu domain Tanácsadó Testület tagjának előadása nyitotta meg, aki az adatvédelem gyakorlati vonatkozásaival kapcsolatban három irányvonalat érintett. Így többek közt sor került az internetes szolgáltatások és az adatvédelem viszonyának elemzésére, valamint az adatkezeléshez való hozzájárulás problémáinak ismertetésére is.

A prezentáció magját azonban annak a vizsgálata képezte, hogy a két résztvevő fél - a szolgáltatónak (adatkezelő) és a felhasználónak (adatalany) – viszonylatában melyek azok a pontok, amelyekre mindenképpen kiemelt figyelmet kell fordítani ezen szolgáltatás igénybevétele során.

Más típusú jogügylethez viszonyítva ugyanis sokkal több az ismeretlen terület, így a felek még inkább, fokozott körültekintéssel kötelesek eljárni. A szolgáltató tekintetében a célhoz kötött adatkezelés és a tájékozott beleegyezés az a két fő elv, mely a felhasználóval szembeni magatartását keretek közé szorítja, emellett a felhasználót további törvényi jogosultságok védik (nyilvántartásba betekintés, információkérés).

A Nemzeti Adatvédelmi és Információszabadság Hatóság megalakulásával a szolgáltatónak hatósági eljárással is számolnia kell, melynek során a Hatóság az eset összes körülményeit figyelembe véve, bírságolási jogkörével élve akár milliós bírságot is kiszabhat. Természetesen a NAIH nem az egyetlen szerv, amely biztosítja a jogszerű adatkezelési eljárást és a felhasználók jogainak védelmét, a Hatóság központi fókuszba helyezésének esszenciáját leginkább csak maga a szerv, valamint az új információs törvény nóvuma adja. Emellett azonban a Fogyasztóvédelmi Hatóság szerepe sem hanyagolható el.

A felhasználó adatainak kezelésébe történő beleegyezésének megszerzése során problémás lehet a ráutaló magatartással történő hozzájárulás megállapítása, és annak bizonyítása is. Ezt könnyíti meg a törvény a különleges, ún. „szenzitív” adatoknál, ezeknél ugyanis kötelező az írásbeli forma, melytől felhasználó csak bizonyos esetekben térhet el. Az előadás közvetlen közegben zajlott, a résztvevők tucatnyi kérdése bizonyította a téma iránti feszített érdeklődést és egyúttal erősítve a tényt, miszerint a cloud computinggal kapcsolatos, egyelőre még kibogozatlan szálak kimeríthetetlen láncolatot alkotnak.

A délelőtti szekcióban az előadás-sorozatot dr. Ormós Zoltán ügyvéd folytatta, aki az adatvédelem után a cloud copmuting jogi, szerződéses hátterére irányította a figyelmet és további lényegi, a szolgáltatás igénybevételéhez elengedhetetlen információkkal tudott szolgálni a nagy számban megjelent érdeklődőknek.

Az idő rövidsége, valamint a téma gazdagsága miatt a hallgatóság egy kis otthoni kutatómunkát is kapott, hiszen az előadás olyan fogalmakkal munkálkodik, melyek sem egy átlag ügyfél, sem pedig egy jogász számára nem feltétlenül egyértelműek (mivel nem mondható közismertnek pl. az „outsourcing” vagy akár maga a „cloud computing” kifejezés), ám ezek ismerete mégis alapvetően szükséges és elkerülhetetlen az adott téma megismerése érdekébe.

Azonban arra is figyelemmel, hogy a jórészt jogászokból álló résztvevők már rendelkeztek a szükséges háttér ismerettel, az előadás kezdetét vette a CC szerződésekkel kapcsolatos kérdéskör tárgyalásával, mind az ügyfél, mind pedig a jogász szemszögéből szemlélve.A szerződés vizsgálata során a fő szempont, hogy az érdekeket hogyan lehet közelíteni; az ügyfél egy megbízható, kezelhető rendszert akar magának kivívni, valamint a jogai megóvását feltétlen biztosítottnak akarja tudni – ekkor hívható segítségül a jogászi megközelítés, mely számos kérdésre kielégítő válasszal tud szolgálni. A CC szerződések elemeinek részletezése során a bírósági döntések és a jelentősnek tekinthető ügyekben hozott ítéletek nyújtanak támpontot (ld. EDS vs. Sky jogvita). Az előző előadásban elhangzott adatvédelmi, privacy pontokat kiegészítendő több hasonló kérdés is felmerült újra, mint például a „Safe Harbour” vagy az EU-s Infosoc.

Az ebéd utáni szusszanásnyi pihenőt követően az előadások sora még nem ért véget, dr. Halász Bálint ügyvéd az Európai Unió adatvédelmi szabályozásának és bírói joggyakorlatának rejtelmeibe vezette be közönségét. Az előadás során a hazai szabályozáson túl a nemzetközi kitekintés is teret kapott. Természetesen ez nem jelenti azt, hogy például az új információs törvény ne került volna alaposan górcső alá, hiszen az uniós jog csak ezzel együttesen adja meg a teljes megoldást.

A prezentáció a luxemburgi székhelyű Európai Bíróságnak egy nagyon is friss (2011-es) előzetes döntéshozatali eljárása kapcsán a spanyol adatvédelmi szabályozást részletezte, kitérvén mind az irányelv közvetlen hatályának megvalósulására a tagállami rendszerekben, mind annak a konfliktushelyzetnek a rendezésére, mikor az uniós joggal (pl. az irányelvvel) ellentétes tagállami szabály születik.

Prognosztizálta továbbá a jövőbeni állapotokat az új EU-s rendelet fényében, melynek egyelőre még csak a tervezete vált megismerhetővé a nyilvánosság számára, de érdemes előre számolni vele, hiszen amennyiben rendes jogalkotási eljárás keretében megalkotásra is kerül, már részben ezen új szabályok fogják alakítani az unió adatvédelmi rendszerét.

A „felejtéshez való jog” valóban nem szerepel egyetlen alapjogi katalógus sorai közt sem, hiszen a kifejezés nem is egy elterjedt fogalom, annak tartalma viszont annál inkább; valószínűleg mindenki számára érthető: a felhasználó adatainak törlését, helyesbítését kérheti, s ezen jogát a szolgáltatónak minden körülmények között biztosítania kell. A szabályok be nem tartása esetén a szankció sem maradhat el, itt is milliós tételekről beszélhetünk, euróban.

A szünet után visszatérve az utolsó előadó, dr. Domokos Márton, a CMS Cameron McKenna LLP ügyvédje zárta a konferenciát egy igen érdekes és kreatív című előadással: „Bárányfelhő vagy esőfelhő? A cloud computing-gal kapcsolatos várakozások és aggodalmak a gyakorlatban”

Hamar kiderült, hogy nem csak a cím rejt magában némi különlegességet, de a prezentáció is végig megtartotta unicum jellegét; így izgalmas és egyben figyelemfelkeltő képekkel teletűzdelt előadásnak lehettek a hallgatók részesei.

A szolgáltatással kapcsolatos alapkérdésekkel körében az előadó rámutatott arra, hogy az adatvédelmi jog alkalmazása, az érdekelt felek (ügyfelek, szolgáltatók, hatóságok) elvárásai és a piaci gyakorlat teljes mértékben eltérő irányt mutat. Németország, Norvégia, Hollandia és Dánia joggyakorlatának elemzése sem maradt ki egyes ügyek tekintetében, mialatt ez EU-s adatvédelmi szabályozás korábbi és újabb alapelvei is tárgyalásra kerültek.

Az adattovábbítás vizsgálata során az USA jogrendszere a cloud computing tekintetében lényege adatvédelmi szempontból tulajdonképpen az adatkezelő (data controller) ellenőrzési jogának megtartása, és a szolgáltatás megszűnésekor a viszonyok rendezése sem elhanyagolható kérdés.Azonban nem csak a problémák felvetésén volt a hangsúly, ugyanis mindez egy sor konstruktív megoldási javaslattal egészült ki, összevetve az USA-ban bevezetett, valamint az EU-ban hatályos jogszabályokat (példaként említve a közel 17 éves, emiatt az új technológiák által felvetett jogi kérdések megválaszolására már nem igazán alkalmas a 95/46/ EK irányelvet), szabványokat, magatartási kódexeket, továbbá az iparági kezdeményezéseket.

  • kapcsolódó anyagok
ADATVÉDELEM
JOGI FÓRUM KONFERENCIÁK