A felhőalapú tárolás adatvédelmi kérdései

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Manapság mindenki hallhatott már a felhőszolgáltatásról, vagyis arról, hogy az adatainkat „fellőhetjük” a felhőbe, megnövelve ezáltal a tárhelyünket, és segítve munkánkat azzal, hogy ezekhez az adatokhoz később bármilyen eszközről – akár telefonról, táblagépről is – hozzáférhetünk, bárhol is tartózkodunk épp.

A felhőszolgáltatások közös jellemzője tehát a szolgáltatások fokozott virtualizációja, ami a felhasználó számára távoli és ismeretlen erőforrásokat nyújt, amelyek kulcsa a szinte korlátlan kapacitás, rendelkezésre állás és hozzáférés, függetlenül helytől, időtől és a felhasználók számától. Ám ezáltal fontos jellemzője ennek a szolgáltatásnak az is, hogy a felhasználók által kontrollálhatatlan: attól kezdve ugyanis, hogy egy felhasználó valamilyen mértékben külső erőforrásra támaszkodik, a hozzá kapcsolódó adatok szükségszerűen kikerülnek az ő teljes ellenőrzése alól. Ez pedig az adatvédelem terén lényeges kérdéseket vet fel, de általánosságban a jogi szabályozás számára is nehézséget okoz.

Alkalmazható-e az infotörvény?

A felhőszolgáltatással kapcsolatos kérdéseket részben az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (infotörvény) rendelkezéseiből tudjuk levezetni, mivel ez a jogszabály tartalmazza a magyarországi adatkezelésre vonatkozó szabályokat.

A 2.§ (1) bekezdése szerint a törvény hatálya a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.

Ez a szakasz már önmagában felveti annak kérdését, hogy ha magyar felhasználóról van szó, akkor a felhőszolgáltató hol működteti rendszerét, erőforrásait. Mivel a fenti rendelkezés szerint az infotörvényt csak a hazai adatkezelésekre kell alkalmazni. Egy ilyen virtuális szolgáltatás esetében pedig nem kizárt az sem, hogy bár hazai székhelyű a vállalkozás, mégis a szerverei külföldön találhatóak. Még cifrábbá teszi a helyzetet az, ha Magyarország területén való szolgáltatása mellett külföldön is képes biztosítani ugyanazt a szolgáltatást a vállalkozás. Ilyen esetekben igen nehéz eldöntetni, vajon alkalmazandó-e az adatkezelésekre a hazai törvény, vagy sem. Talán megoldást jelentene, ha a felhőszolgáltatásra kötött szerződések kötelező eleme lenne az adatkezelési helyszín megjelölése, azonban a publikus, bárki számára elérhető felhők esetében ilyenről nem beszélhetünk, így ott továbbra is fennmaradna a hatály kérdése.

A fentieken kívül az adattovábbítás is felvethet hatályossági kérdést, ugyanis a törvény szerint személyes adatot e törvény hatálya alá tartozó adatkezelő vagy adatfeldolgozó harmadik országban adatkezelést folytató adatkezelő részére akkor továbbíthat, vagy akkor adhat át, ha ahhoz az érintett kifejezetten hozzájárult, vagy a törvényben előírt feltételei teljesülnek, és a harmadik országban az átadott adatok kezelése, valamint feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. Lényeges azonban az a rendelkezés is, miszerint az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor. Tehát nem szükséges a hozzájárulás és a megfelelő szintű védelem sem, ha a felhőszolgáltató bár külföldi, de EGT-tagállami illetőségű, az adatokat minden további nélkül hozzáférhetővé teheti a magyar adatkezelő a szolgáltató számára.

Új szolgáltatásokkal bővült az Adó Online: díjmentes cikk és szaklap értesítő kérdés-válasz szolgáltatásunk kényelmesebb használata egyedi szaklap ajánlatok Részletes információk »

Jogalap kell a felhőszolgáltatásra

Alapesetben a felhőszolgáltató csupán adatfeldolgozást végez, idetartozik az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adaton végzik.

A jogalapot a felhőszolgáltatásra vonatkozóan az adatfeldolgozó és az adatkezelő (mint pl. munkáltató, vagy pénzügyi intézmény) között létrejövő szerződés adja, amelyet minden esetben írásba kell foglalni. Az adatfeldolgozót viszonylag védi a törvény azon rendelkezése, miszerint a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit az adatkezelő határozza meg és ő is tartozik felelősséggel utasításai jogszerűségéért. A felhőszolgáltató felelősségének korlátozását azonban leginkább az infotörvény 10.§ (3) bekezdése hangsúlyozza, amely kimondja, hogy az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni.

A felhőszolgáltatások közös jellemzője tehát a szolgáltatások fokozott virtualizációja, ami a felhasználó számára távoli és ismeretlen erőforrásokat nyújt

A fentiek az adatfeldolgozói minőségre vonatkoznak, azonban lehetséges, hogy a felhőszolgáltató olyan érdemi tevékenységet is végez, amely már adatkezelésnek minősül. Erre vonatkozóan a törvény már szélesebb tevékenyégi kört határoz meg, mivel ebbe már az adaton végzett bármely művelet is beletartozik. A törvény ide sorolja különösen az adatok gyűjtését, felvételét, rögzítését, rendszerezését, tárolását, megváltoztatását, felhasználását, lekérdezését, továbbítását, nyilvánosságra hozatalát, összehangolását vagy összekapcsolását, zárolását, törlését és megsemmisítését, valamint az adat további felhasználásának megakadályozását, fénykép-, hang- vagy képfelvétel készítését, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítését.

A jogalap szempontjából – az infotörvény szerint – személyes adat két esetben kezelhető. Egyrészt, ha az érintett ahhoz hozzájárul, másrészt, ha annak kezelése kötelező. Ehhez pedig már a felhőszolgáltatónak is alkalmazkodnia kell, amennyiben adatkezelést is végez.

Egyértelmű a helyzet, amennyiben a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, ugyanis ebben az esetben a törvény előírja, hogy a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – e törvény alapján – az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. Ezen túl a szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez. Vagyis a felhőszolgáltató ez alapján megbizonyosodhat arról, hogy az adatkezelő eleget tett-e tájékoztatási kötelezettségének az érintett személyek felé.

Tájékoztatás nélkül nem lehet adatot kezelni

Az infotörvény kimondja, hogy az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő hozzájárulás alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.

Lehetséges az is, hogy az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna. Ebben az esetben a tájékoztatás megtörténhet az alábbi információk nyilvánosságra hozatalával is:
a) az adatgyűjtés ténye,
b) az érintettek köre,
c) az adatgyűjtés célja,
d) az adatkezelés időtartama,
e) az adatok megismerésére jogosult lehetséges adatkezelők személye,
f) az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetőségeinek ismertetése, valamint
g) ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma, kivéve, ha a hatóság nem bírálta el a bejelentést határidőben és az adatkezelő megkezdte tevékenységét

Törölni, helyesbíteni, tájékoztatni kell

A felhőszolgáltatónak van egy további fontos kötelezettsége, mégpedig az, hogy ha az érintett kérelmezi, kötelessége az adatait törölni, helyesbíteni, vagy azok kezelésével kapcsolatban tájékoztatást nyújtani.

Annak érdekében, hogy az adattovábbítás jogszerűsége ellenőrizhető legyen, valamint az érintett tájékoztatása céljából a szolgáltatónak adattovábbítási nyilvántartást kell vezetnie a törvény alapján, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

Ha a kérelmező az adatai törlését igényli, abban az esetben fontos, hogy az olyan formában történjen, ami helyreállíthatatlanná teszi az adatokat, vagyis valóban végleges törlés történjen. Törlés helyett azonban zárolni kell a személyes adatot, ha az érintett ezt kéri, vagy, ha a rendelkezésére álló információk alapján feltételezhető, hogy a törlés sértené az érintett jogos érdekeit.

Ezen felül még lehetőség van a személyes adat megjelölésére is a szolgáltató által, ha az érintett vitatja annak helyességét vagy pontosságát, de a vitatott személyes adat helytelensége vagy pontatlansága nem állapítható meg egyértelműen.

A helyesbítésről, a zárolásról, a megjelölésről és a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés azonban mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

[htmlbox Három Navigátor]

 

A felhőszolgáltatás kiszervezésként kezelendő

Korábban a Pénzügyi Szervezetek Állami Felügyelete is foglalkozott a felhőszolgáltatás kérdéseivel, amikor kiadta a pénzügyi szervezeteknél a közösségi és publikus felhőszolgáltatás igénybevételéből eredő kockázatokról szóló 4/2012. számú vezetői körlevelét. Ebben kimondta, hogy ha egy intézmény felhőszolgáltatást vesz igénybe, az kiszervezésként kezelendő, vagyis a felhőszolgáltatás kiszervezésnek tekintendő. Ezen túl a körlevél felhívja a figyelmet arra is, hogy ha az adott intézmény felhőszolgáltatást akar igénybe venni, úgy mire fordítsanak kiemelt gondot, mik azok a szempontok, amiket mindenképp figyelembe kell venniük.

A másik nagy terület, amelynél az adatok különös védelemben részesülnek, az az egészségügyi adatok kezelése, amelyre vonatkozóan az 1997. évi XLVII. törvény részletesen meghatározza az adatkezelés szabályait, azonban nem minősíti a felhőszolgáltatást kiszervezésnek, ugyanakkor nem is engedélyezi a külső adatkezelő megjelenését. Tehát ebből arra lehet következtetni, hogy egészségügyi intézmény egyáltalán nem köthet szerződést felhőszolgáltatóval, míg pénzügyi intézmény a banktitok körére vonatkozóan is megteheti ezt kiszervezés körében.

Lényeges szempont a biztonságos adatkezelés

A felhőszolgáltatás esetén az adatbiztonság igen kényes téma, hiszen talán pont azért nem terjedt el még túlzottan ez a szolgáltatás, mivel a bizalmatlanság igen nagy, miután az adatkezelés teljesen ellenőrizhetetlenül történik. Az infotörvény kimondja azonban, hogy az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek a törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek. Ezen túl megerősíti azt is, hogy az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A felhőszolgáltatónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére is, és több lehetséges adatkezelési megoldás közül azt kell választania, amely a személyes adatok magasabb szintű védelmét biztosítja. Ez alól csak egy kivételt enged a törvény, ha az előbbi aránytalan nehézséget jelentene az adatkezelőnek.

Új szabályok 2018-tól

Már évek óta folytak az egyeztetések, azonban idén megszületett az Európai Unió (EU) általános adatvédelmi rendelete, a General Data Protection Regulation, vagyis a GDPR. Az új szabályozás megalkotásának egyik indoka az volt, hogy az eddig érvényben lévő, már húszéves irányelv felett eljárt az idő. Az másik indok viszont a magánszemélyek online szolgáltatásokba vetett bizalmának megerősítése és az online környezethez illeszkedő modernebb adatvédelmi jogszabály megteremtése volt, és ebbe beletartoznak a felhőalapú szolgáltatások is.

A rendelet az EU adatvédelmét 2018-tól hivatott azonos szintre emelni, amely az erős adatvédelem megteremtése mellett jobban fog alkalmazkodni a mai információs technológiákhoz, képes lesz kezelni a felhőszolgáltatásokat, a határokon átnyúló adatkezelést vagy éppen az EU-n kívülre irányuló adattovábbítást. Vagyis várható, hogy a felhőszolgáltatások szerepe nagyban nőni fog 2018-tól azáltal, hogy sokkal nagyobb biztonsággal lehet majd ezt az adatfeldolgozási és adatkezelési formát választani.

---