Kezdőlap
A felhő adatvédelmi jogi környezete
EMBER A HOLDON
– Adatkezelő a felhőben
A felhő adatvédelmi jogi környezete
A technológiai fejlődés forradalmi jelentőségű jelensége a felhő-számítástechnika megjelenése. A felhőszolgáltatásokat
napjainkban magánszemélyek és vállalkozások, akár közigazgatási szervek is használják, az elektronikus hírközlési
szolgáltatások jelentős része is felhőalapú technológiára épül, gondoljunk akár a különböző e-mail-szolgáltatók portfólióira,
akár a közösségi hálók működésére, amelyek használata a társadalomban rendkívül magas arányú.
A felhőalapú számítástechnikai megoldások univerzális definícióval nem rendelkeznek, ugyanakkor a legáltalánosabban elfogadott és
hivatkozott, az Egyesület Államok Technológiai és Szabványügyi Nemzeti Intézete (NIST) meghatározása szerint „a felhő számítástechnika a felhőszolgáltató által kínált olyan modell, amelynek révén a felhasználók kényelmesen és igény szerint férhetnek hozzá a megosztott, beállítható informatikai erőforrásokhoz, amelyeket gyorsan és minimális adminisztrációs megterhelés vagy szolgáltatói beavatkozás mellett rendelkezésre lehet bocsátani és fel lehet szabadítani”.
Az Európai Bizottság 2012. szeptember 27-i, „A számítási felhőben rejlő potenciál felszabadítása Európában” című közleménye („Felhőközlemény”) szerint „Leegyszerűsített kifejezésekkel megfogalmazva a „számítási felhő” adatok interneten keresztül elért, távoli számítógépeken történő tárolását, feldolgozását és felhasználását jelenti”.
Az egységes definíció hiánya ellenére elmondható, hogy a felhő egy sajátos infrastruktúra, melyben a felhőszolgáltatók különböző szolgáltatásokat kínálnak a világ bármely pontján internet- hozzáféréssel rendelkező felhasználói számára. A szolgáltatásaik adatokkal végezhető műveletek végrehajtására irányulnak, és az adatok a felhasználó számítógépén kívüli, sokszor több ezer kilométer távolságra lévő szervereken tárolódnak, az igénybe vehető programok és alkalmazások is innen érhetőek el. Ezen távoli
szerverek megjelölésére általában a felhő kifejezést használják.
■ A felhőszolgáltatások csoportosítása
többféleképpen történhet. Egyrészt a felhő-számítástechnikai erőforrások üzembe helyezésén módja szerint: 1. Magánfelhő (private cloud): magánfelhő a nagyközönség helyett csak meghatározott felhasználóknak kínált, az interneten vagy belső magánhálózaton keresztül elérhető számítástechnikai szolgáltatások halmaza. 2. Nyilvános felhő (public cloud): a külső szolgáltatók által a nyilvános interneten kínált, bárki által használható vagy megvásárolható számítástechnikai szolgáltatások halmazaként definiálható. A felhő-infrastruktúra tehát a nagyközönség vagy egy jelentős ipari csoport számára elérhető, és egy felhőalapú szolgáltatásokat értékesítő szervezet tulajdonában van. 3. Hibrid felhő (hybrid cloud): olyan számítástechnikai környezet, amely úgy kombinálja a nyilvános felhőt és a magánfelhőt, hogy az adatok és az alkalmazások megoszthatók a kettő között. A számítási és feldolgozási igény ingadozása esetén a hibrid felhőalapú számítástechnika lehetővé teszi a helyszíni infrastruktúra nyilvános felhőbe való zökkenőmentes kiterjesztését a többletterhelés kezelése érdekében anélkül, hogy a vállalat teljes adatállományához hozzáférne egy harmadik féltől származó adatközpont.
■ A felhőtípusok csoportosíthatóak továbbá
a felhőszolgáltató által biztosított szolgáltatások tartalma szerint, azaz hogy a teljes infrastruktúra üzemeltetése miképpen oszlik meg a szolgáltató és a felhasználó között, melyik részéért felelős a szolgáltató, és mely – maradék – részéérta felhasználó: 1. Szoftver mint szolgáltatás (SaaS – software as aservice): a felhőszolgáltató az interneten keresztül szoftvert bocsájt a felhasználó
rendelkezésére, a felhasználó pedig többnyire a használat mértéke alapján fizet ellenértéket. Ebben a megoldásban a szolgáltató felelőssége a teljes rendszer üzemeltetése, a szolgáltatás rendelkezésre állásának biztosításával. Ez vált a leggyakrabban, átlagfelhasználók – végfelhasználók – milliárdjai által használt felhőtípussá.
2. Platform mint szolgáltatás (PaaS – platform as a service): a felhőszolgáltató az alkalmazás üzemeltetéséhez szükséges informatikai környezetet, a platformot (operációs rendszert) biztosítja, a szoftvermegoldás (a szoftver lefejlesztése) a felhasználó felelőssége. A PaaS kiválóan alkalmas új alkalmazások tesztelésére és bevezetésére anélkül, hogy szükség
lenne helyi virtuális gépekre és a megfelelő szoftverekre. 3. Infrastruktúra mint szolgáltatás (IaaS – infrastructure as a service): a felhőszolgáltató az infrastruktúrát (virtuális gépet és más erőforrásokat) biztosítja, az operációs rendszert és az alkalmazásokat a felhasználó működteti. A felhasználók a teljes szoftverek úgynevezett „image”-eit telepítik fel az ilyen virtuális szerverkörnyezetre. A virtuális gépek fizikai értelemben tehát nem léteznek,
pusztán a felhőben érhetőek el. A szerződési feltételek rendszerint megengedik, hogy a végfelhasználó szükséglete szerint bővítse a rendelkezésére álló infrastruktúra használatát, általában önkiszolgáló portálokon keresztül.
■ A felhő által biztosított legjellemzőbb
szolgáltatások lehetővé teszik többek között adatok nagy mennyiségű tárolását, biztonsági mentését és helyreállítását, hang- és videotartalom streamelését, webhelyek és blogok üzemeltetését, szoftverszolgáltatás igénybevételét, átfogó profilelemzést, általános értelemben bármilyen adatelemzést, speciális hardverek, célrendszerek igénybevételét. Ha jogi szempontból is elemezni szeretnénk a felhőszolgáltatások jellemző vonásait, a szolgáltatás jogi relevanciával bíró tulajdonságai a következőképpen
foglalhatóak össze:
– A felhőszolgáltatóknak jellemzően sok a felhasználója, akik a felhőben található szolgáltatásokat közösen használják.
– A hardver a felhőszolgáltató tulajdona, az adatokat pedig ezen távoli hardverek tárolják.
– A felhőarchitektúra rétegekből áll: hardverből, köztes rétegből (middleware) vagy platformból, valamint alkalmazásszoftverekből. Azon rétegekben, amelyek az átlagfelhasználók igényeit hivatottak kielégíteni, fontos a szabványosítás: vagyis azért, hogy ezen felhasználók különösebb informatikai ismeretek hiányában is képesek legyenek a különböző funkciókat elérni, a céljaik érdekében használni, így a szabványosítás különösen a köztes rétegnél jelentős.
– A rendszer alapvetően önkiszolgáló jellegű, a szolgáltatóval nem szükséges a felhasználó rendszergazdájának személyes kapcsolatot tartania ahhoz, hogy a számítástechnikai erőforrást igénybe vehesse. Elvben és szigorúan technikai értelemben a felhasználónak az adatok és adatkezelés, adatfelhasználás pontos (földrajzi) helyével, a felhasználót adott pillanatban ténylegesen kiszolgáló hardvert beazonosító információkkal sem kell foglalkoznia. Ez az adatvédelmi jogi garanciák érvényesülése szempontjából fog ugyanakkor kiemelt jelentőséggel bírni.
– A felhasználók igényük szerint, tértől és időtől függetlenül, nagyon egyszerűen
akár néhány kattintással), másodpercek alatt hozzáférhetnek tárolt adataikhoz, további tárolókapacitást vehetnek igénybe, módosíthatják az általuk használt hardvereszközök mennyiségét.
– A szolgáltatók erőforrásaik optimalizálása érdekében gyakran helyezik át a felhasználói terheléseket (a felhasználói adatállományt vagy annak egy részét egyik számítógépről a másikra vagy egyik adatközpontból egy másikba).
– A felhőszolgáltatások alapvető tulajdonsága még, hogy a szolgáltatások használata meghatározott paraméterek mentén pontosan mérhető, a szolgáltató és a felhasználó számára átlátható, és amely mérés a köztük felmerülő elszámolás alapját képezi. A felhasználók általában a használat arányában fizetnek a szolgáltatásért, adott esetben megspórolva ezzel a saját rendszer fejlesztésének és fenntartásának költségét. Az adatok azonban nem alkotnak homogén halmazt, az adatok tipizálása szempontjából jelen írásban kizárólag az Európai Unió jogszabályrendszerében (az általános adatvédelmi rendelet vagy másképp: GDPR rendelkezései szerint) definiált személyes adatok vizsgálatára térünk ki, górcső alá véve a személyes adatok gazdáinak, az érintetteknek, az adatkezelőknek és az adatfeldolgozóknak a speciális viszonyrendszerét.
■ A GDPR a személyes adatok körét meglehetősen
tágan értelmezi: „Személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. A természetes személy azonosítható, ha közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.” Adatkezelésnek minősül a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Adatkezelő az, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, adatfeldolgozó pedig az, aki az adatkezelő nevében személyes adatokat kezel.
■ A felhőalapú szolgáltatások – legyen
szó akár a Saas, a PaaS vagy a IaaS modellről – valamilyen módon és mértékben magukban foglalják személyes adatok feldolgozását. A különböző felhőszolgáltatási struktúrákban különféle szereplők működnek közre, a lehetséges szereposztással pedig az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv 29. cikk alapján létrehozott adatvédelmi munkacsoport (a továbbiakban: 29-es Munkacsoport) 2012. július 1-jén közzétett 5/2012-es számú, úgynevezett „Felhővéleményében” is foglakozott: 1. A 29-es Munkacsoport idealizált modelljében a felhőjogviszonyban szerepel egyrészt maga az érintett, az adatkezelő (aki valamely jogalapra tekintettel a személyes adatot kezeli) és a felhőszolgáltató, mint adatfeldolgozó, aki a felhő felhasználójával kötött szerződésalapján végzi a tevékenységét. 2. A szerepek pontos azonosítása érdekében azonban minden esetben vizsgálandó, mely fél gyakorlata feleltethető meg az adatkezelő fogalmának és mely szereplő fog kizárólag adatfeldolgozói minőségben eljárni. Ennek megfelelően előfordulhat az az eset is, amikor a felhőszolgáltatóval szerződést kötő fél is adatfeldolgozó, mert más nevében kezeli az adatokat, ebben az esetben az adatkezelő hátrébb áll a szerződéses láncolatban. 3. Arra is van ugyanakkor lehetőség, hogy a felhőszolgáltató adatkezelőnek minősüljön, ha például az adatokat a saját céljaira is kezeli, ekkor a saját jogán önálló adatkezelőnek is minősülhet, ha pedig az adatkezelés célját a felhasználóval együtt határozzák meg, közös adatkezelők lesznek. 4. A felhőszolgáltató az adatfeldolgozást vagy annak egy részét ki is szervezheti, sőt a szolgáltatásra jellemző rugalmasság biztosítása és a szolgáltatás rentábilitása érdekében ezt a felhőszolgáltató jellemzően meg is teszi azzal a megkötéssel, hogy a GDPR rendelkezései értelmében alvállalkozót, mint al-adatfeldolgozót kizárólag az adatkezelő eseti vagy általános írásos felhatalmazása alapján bízhat meg. A felhőszolgáltató által igénybe vett további adatfeldolgozók működésük során kötelesek betartani az adatvédelmi előírásokat és követni az adatkezelő (a felhőszolgáltatás igénybe vevője) utasításait.
■ A felhőjogviszony előzőekben bemutatott komplexitása okán, illetve arra tekintettel, hogy a felhőszolgáltatók globális szinten felbecsülhetetlen adatvagyon „őrzői”, következő cikkünkben a felek felelősségi viszonyának szabályaiba fogunk betekinteni.
Dr. Kádár Ágnes
Holló & Társai Ügyvédi Iroda
Megjegyzés: A cikkben található információk csupán tájékoztató jellegûek. Ezek az információk nem helyettesítik a szakmai tanácsadást, és nem szolgálnak bármely döntés alapjául az ügyvédjével, jogi tanácsadójával való elôzetes konzultáció nélkül.