Termékmonitor

Adat és információvédelem
Elektronikus jelzéstechnika (135)
Gépjárművédelem
Kommunikációtechnika
Mechanikus biztonságvédelem
Szolgáltatások
Tűzvédelem technika (5)

A felhő adatvédelmi jogi környezete II. rész

A felhő adatvédelmi jogi környezete II. rész 

A FELEK FELELŐSSÉGE AZ ADATVÉDELMI JOGI SZABÁLYOK BETARTÁSÁÉRT 

- Az adatfeldolgozási szerződés szerepe

A felhőszolgáltatási struktúrákban közreműködő szereplőkről, a lehetséges szereposztással előző bejegyzésünk záró soraiban foglalkoztunk, most ehhez kapcsolódóan szeretnénk bemutatni a felek felelősségviselésére vonatkozó szabályokat. 

Ahogy arra már utaltunk, általában a felhőszolgáltatás igénybe vevője – aki meghatározza az adatfeldolgozás végső eszközeit és céljait, dönt a feldolgozási tevékenységek külső szervezetre történő átruházásáról, a felhőszolgáltató igénybevételéről – adatkezelőnek fog minősülni, tehát ő lesz az, aki a GDPR szerint felelni fog az adatvédelmi szabályok betartásáért, illetve a GDPR-ban foglalt valamennyi kötelezettség teljesítéséért. 

Az adatvédelem tekintetében a GDPR a következőt várja el az adatkezelőktől: „adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.” (GDPR 24. cikk (1) bekezdés) 

A GDPR továbbá az adatkezelő feladatául rendeli nem kimerítően a következők teljesítését is:  a beépített és alapértelmezett adatvédelemre vonatkozó elvárásnak való megfelelés (25. cikk);  a megfelelő adatfeldolgozók kiválasztása és igénybevétele (28. cikk);  az adatkezelési tevékenységek nyilvántartása (30. cikk);  a megfelelő adatbiztonsági intézkedések megtétele (32. cikk);  adatvédelmi incidensek megfelelő kezelése (33–34. cikk);  az adatvédelmi hatásvizsgálat elvégzése (35. cikk);  az adatvédelmi tisztviselő kijelölése (37. cikk);  csatlakozás magatartási kódexhez (40. cikk); jóváhagyott tanúsítási mechanizmushoz való csatlakozás (42. cikk); a kötelező erejű vállalati szabályok alkalmazása adattovábbítás esetén (47. cikk). Az alkalmazott adatbiztonsági intézkedéseknek, adatbiztonsági szintnek az adatkezelési kockázathoz kell igazodnia, így az adatbiztonsági szint meghatározásakor különösen a következő szempontokat kell az adatkezelőnek mérlegelnie:  a tudomány és technológia állása;  a megvalósítás költségei;  az adatkezelés jellege, hatóköre, körülményei és céljai;  az érintettek jogaira jelentett kockázat mértéke; kezelt adatok véletlen vagy jogellenes megsemmisüléséből, levesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából, jogosulatlan hozzáférésből eredő kockázatok.

A GDPR az adatkezelő által végrehajtandó technikai és szervezési intézkedésekre definíciót nem ad, pusztán példálózó felsorolásban rögzíti a megfelelő szintű adatbiztonság garanciáit (GDPR 32. cikk (1) bekezdés): ¦ álnevesítés, titkosítás; ¦ a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képessége ¦ fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani; ¦ az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást. A felhőszolgáltatás igénybe vevője az előzőek szerint olyan felhőszolgáltatót vehet igénybe, aki garantálja az adatvédelmi jogszabályok betartását, különös tekintettel a felek között megkötendő adatfeldolgozási szerződésnek a GDPR 28. cikkében meghatározott, kötelező tartalmi elemeire, azok megfelelő részletezettségű kibontására.

Abban az esetben tehát, ha a felhőszolgáltató az igénybe vevő utasításai szerint biztosítja az adatfeldolgozás módját és platformját, adatfeldolgozónak fog minősülni. A felhő sajátosságaiból adódik, hogy a felhőszolgáltató legfontosabb kötelezettsége az adatok bizalmas kezelése azzal, hogy bármely, az adatkezelő vagy az adatfeldolgozó meghatalmazásával eljáró személy, beleértve magát az adatfeldolgozót is, aki a személyes adatokhoz hozzáféréssel rendelkezik, kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat. Az adatfeldolgozóknak az utasítások teljesítése során figyelembe kell venniük a korábban tárgyalt egyes felhőtípusok sajátosságait, illetve az ügyfél által megrendelt szolgáltatás típusát. Az adatfeldolgozóknak továbbá be kell tartaniuk nemcsak a saját, de az adatkezelő országában alkalmazott uniós jogszabályokat, különösen a GDPR szerinti megfelelő biztonsági intézkedések meghozatala vonatkozásában. Az adatfeldolgozónak egyebekben támogatnia és segítenie kell az adatkezelőt az érintettek és az általuk gyakorolt jogok tiszteletben tartása, esetleg érvényesítése során.

Előfordulhat olyan eset is, hogy a felhőszolgáltató saját jogon önálló adatkezelőnek fog minősülni, ha például az adatokat a saját céljaira is kezeli, ha pedig az adatkezelés célját a felhasználóval együtt határozzák meg, közös adatkezelők lesznek. Természetes személy igénybe vevők mentesülhetnek a GDPR tárgyi hatálya alól annyiban, amennyiben a felhőt kizárólag személyes vagy „háztartási tevékenységek” végzése céljából használják. A GDPR (18) preambulumbekezdése szerint a Rendelet „nem alkalmazandó a személyes adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon történő kapcsolattartás és online tevékenységek”. Ha a tevékenység ezen körön kívül esik, akkor a természetes személy is adatkezelőnek fog minősülni, és az ezzel együtt járó felelősséget is viselnie kell.

Ahogy erre korábban érintőlegesen utaltunk, az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó – szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. Ezen jellemzően adatfeldolgozási szerződések különösen felértékelődnek nemcsak az alapvető felhőszolgáltatási modellekben bemutatott felelősségi szabályok érvényesítése során, hanem a gyakorlatban a felhőszolgáltatók által kiszervezett egyes rész-szolgáltatásokat nyújtó alvállalkozók felelősségének meghatározása során is. A felhőszolgáltatók ugyanis jellemzően a magas hozzáadott értékkel bíró infrastruktúrát működtetik, de nem feltétlenül éri meg nekik az egyes tárhelyeket is fenntartani, ekkor számos, adatfeldolgozóként eljáró szerződéses partnerrel működnek együtt.

Ennek során fontos garanciális szabály, hogy az adatfeldolgozó kizárólag az adatkezelő előzetes, írásos hozzájárulásával vehet igénybe további adatfeldolgozót. Az adatkezelői hozzájárulás megadásának tipikus formája, hogy arra a szolgáltatás megkezdését megelőzően, a felhőszerződésben kerül sor. Az adatfeldolgozó köteles tájékoztatni az adatkezelőt az alvállalkozói kört érintő bármely változásról, tervezett változtatásról, az adatkezelő pedig bármikor kifogással élhet ezen intézkedésekkel szemben, illetve fel is mondhatja a szerződést.

További garancia, hogy a felhőszolgáltató és az alvállalkozó által aláírt szerződésnek tükröznie kell a felhő igénybe vevője és a felhőszolgáltató közötti szerződés rendelkezéseit. Az adatkezelőnek képesnek kell lennie arra, hogy az alvállalkozók által okozott szerződésszegések esetén, az egyes szerződéses jogorvoslati lehetőségeket igénybe vegye.

Az adatfeldolgozási szerződés alapján azonban elsősorban, ha a további adatfeldolgozók nem tesznek eleget a szerződésben vállalt kötelezettségeiknek, az adatfeldolgozó továbbra is teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó e szerződés szerinti kötelezettségeinek a teljesítéséért.

Közelebbről vizsgálva az adatfeldolgozási szerződés garanciális elemeit, a GDPR 28. cikk (3) bekezdése rögzíti az adatfeldolgozási szerződések kötelező tartalmi elemeit, így különösen, hogy: ¦

- az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezelheti; 

- a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak; 

- az adatfeldolgozó meghozza azokat az intézkedéseket, végrehajtja azokat a technikai és szervezési intézkedéseket, amelyek a kockázat mértékének megfelelő szintű adatbiztonság garanciáját jelenthetik a személyes adatoknak véletlen vagy jogellenes megsemmisítése, valamint a véletlenül bekövetkező adatvesztés, változás, illetéktelen adattovábbítás vagy hozzáférés, és a feldolgozás minden más, jogellenes módja elleni védelme érdekében;  

- az adatfeldolgozó az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazása nélkül további adatfeldolgozót nem vehet igénybe. ¦

- ha az adatfeldolgozó további adatfeldolgozót vesz igénybe, rá is ugyanazokat az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejöttek. A további adatfeldolgozónak megfelelő garanciákat kell nyújtania a megfelelő technikai és szervezési intézkedések végrehajtására, és ezáltal biztosítania kell, hogy az adatkezelés megfeleljen a GDPR követelményeinek. Ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért. ¦

- az adatfeldolgozó a megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy az az érintettek jogainak gyakorlásával kapcsolatos megkereséseket teljesíteni tudja; 

- az adatfeldolgozó segíti az adatkezelőt az adatkezelés biztonsága megvalósításában, az adatvédelmi incidens bejelentési kötelezettsége teljesítésében, az érintettek tájékoztatásában adatvédelmi incidens esetén, adatvédelmi hatásvizsgálat elvégzése során, az adatvédelmi hatásvizsgálat eredményétől függően a felügyeleti hatósággal folytatott előzetes konzultáció során;

- az adatfeldolgozó az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat (kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő); 

- az adatkezelő rendelkezésére bocsát minden olyan információt, amely a 28. cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is. Az igénybe vevő és a felhőszolgáltató közötti erőegyensúly megtartása érdekében az előzőekre is figyelemmel az adatfeldolgozási szerződésben a feleknek célszerű a következő kérdéseket részletes szabályozásnak alávetni:

- Az átláthatóság érdekében széles körű tájékoztatási kötelezettség telepítése az adatfeldolgozóra. Így különösen a felhőszolgáltatónak a felhasználóját mindenkor tájékoztatnia kell a személyes adatok védelmét érintő minden lényeges körülményről: pl. alvállalkozó igénybevételéről, azokról a helyekről, ahol a személyes adatok tárolása és feldolgozása történik. Ezen döntések meghozatalát célszerű az adatkezelő előzetes írásbeli jóváhagyásához kötni. Az átláthatóságot szolgálja továbbá az előzőekben jelölt, a szolgáltató által teljesítendő technikai és szervezési intézkedések részletes leírása.

-  Az arányos és célhoz kötött adatkezelés érdekében korlátozó szerződési kikötések alkalmazása (pl. annak a kifejezett megtiltása, hogy a szolgáltató a felhasználó adatait saját céljaira, reklámcélra felhasználja). Rendelkezni kell továbbá arról, hogy az adatok tulajdonjoga nem száll át a felhőszolgáltatóra, és minden más egyéb jog is a felhasználónál marad. 

- Az adatkezelőkénti, illetve adatfeldolgozókénti minősítés szempontjából kivételesen fontos annak rögzítése, hogy ki jogosult az adatkezelés céljait és eszközeit meghatározni. A GDPR 28. cikk (10) bekezdése rögzíti, hogy „A 82., 83. és 84. cikk sérelme nélkül, ha egy adatfeldolgozó e rendeletet sértve maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében adatkezelőnek kell tekinteni”. Felhőszolgáltatások igénybevételekor tömegesen kötött adatfeldolgozási szerződésekben kritikus pont lehet a felhőszolgáltató és a felhasználója között, hogy melyikőjük jogosult ezen jogokat gyakorolni. A felhőszolgáltató üzleti érdeke, hogy adatkezelőként a felhasználótól függetlenül, autonómiával járhasson el az adatok kezelése során, ezen álláspontjából pedig a szerződések egyenkénti tárgyalási nehézsége, illetve a tárgyalások eredményétől függően a saját szerződésállománya fragmentációja veszélye okán sem szívesen mozdul el.

A felhasználó oldalán a személyes adatok feletti kontrollvesztés kockázata merülhet fel, a GDPR-ban foglalt kötelezettségei teljesítésének nehézségei, az érintetti jogok gyakorlásának nehézségei mind amellett szól, hogy az adatkezelés célja és módja meghatározása jogát magánál tartsa. Arról nem is beszélve, hogy amennyiben a felhőszolgáltatóval közös adatkezelőnek is minősülnek, úgy az érintett akár vele szemben is felléphet a GDPR-ban foglalt jogainak gyakorlása érdekében. 

- Az általános szerződési biztosítékok körében részletesen rögzíteni kell, hogy a felhőszolgáltató milyen biztonsági intézkedéseket köteles alkalmazni, valamint a felhasználó által adható utasítások módozatait és terjedelmét, ideértve a szolgáltatási szintek meghatározását, és a szolgáltatási szintek megsértése esetén alkalmazandó szankciókat. A szankciók jellemzően lehetnek kötbérek, illetve a szolgáltatási szintekhez  kapcsolódó jóváírásokkal és díjkedvezményekkel állhatnak összefüggésben.  

- Az egyik legfontosabb szempont, hogy az adatokhoz való hozzáférést milyen garanciális szabályok biztosítják. Ebben a körben meg kell határozni, hogy kizárólag kifejezett jogosultsággal rendelkező és titoktartásra kötelezett személyek részére adható hozzáférés a felhőben tárolt adatokhoz. A felhő felhasználóitól nem ritka elvárás, hogy a felhőszolgáltató tanúsítvánnyal igazolja az általa alkalmazott biztonsági szint és az adatmenedzsment megfelelőségét, amelyek le is írják a fizikai és online biztonság fenntartása érdekében szükséges intézkedéseket, valamint a jogsértésekkel szemben teendő válaszlépéseket. ¦

- Szintén szabályozandó, hogy milyen feltételekkel jogosult a felhőszolgáltató a személyes adatokat harmadik országba továbbítani alvállalkozói számára, további adatfeldolgozási műveletek elvégzésére. A felhőszolgáltató számára előírható, hogy ezen adatfeldolgozások a később bemutatásra kerülő uniós mintaszerződések keretében kerüljenek megvalósításra.  

- A felhőszolgáltató által teljesítendő szerződéses elvárások súlyukat vesztik, ha a felhasználó nem jogosult kellően széles körben ellenőrizni azok betartását. Ezért az ellenőrzési és akár külső auditálási gyakorlatokra vonatkozó szabályok megállapítására a feleknek szintén ki kell térniük.  

- A felhőszolgáltató szerződésszegése vagy az adatfeldolgozási tevékenységére vonatkozó jogszabályi előírásoknak megsértése okán a felhasználóval szemben támasztott igények, felmerült költségek stb. tekintetében a felhőszolgáltató kártalanítási és mentesítési kötelezettségét is célszerű rögzíteni, mint szankciót. A feleknek legalább a fent leírt kérdésekben meg kell állapodniuk az adatfeldolgozás jogszerűsége érdekében, illetve azért, hogy ne a többnyire kedvezőbb pozícióban lévő felhőszolgáltató egyoldalú szerződési feltételei érvényesüljenek szinte kizárólagosan. Utóbbi eset kockázataival már a Felhővélemény is foglalkozott. Ezen kockázatokat a következők szerint jelölte meg: ¦

- Sablonszerű, egyoldalú és tárgyalhatatlan szerződési feltételek, akár a felhőszolgáltató által a feltételek egyoldalú módosítási lehetőségével; ¦ A felhasználók még kevesebb kontrollgyakorlási lehetőséggel rendelkeznek adataik felett; 

- Az adatbiztonsági követelményeknek való megfelelés feletti ellenőrzés joga ugyancsak fokozottan sérülhet;  

- Az érintetti jogok gyakorlása nehézségei merülhetnek fel;

- A felhőszolgáltató csődje vagy más váratlan körülmény miatt az adatok elérhetetlenné válhatnak, illetve a szerződéses feltételektől függően az új szolgáltató tekintetében eltérő lehet az alkalmazandó jog vagy az adatvédelemre vonatkozó szabályok anélkül, hogy az uniós intézmény beavatkozhatna;

- Sérülhet az adathordozhatósághoz való jog gyakorlása. Ugyanakkor fontos szem előtt tartani, hogy a jelenleg is érvényben lévő gyakorlat az, hogy egy kis adatkezelő és a nagy felhőszolgáltatók szerződéskötési alkupozíciójának egyenlőtlensége nem indokolhatja, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak, az adatkezelő ilyen alapon a felelőssége alól semmiképpen nem mentesülhet. A felhőszolgáltatások globális jellegéből következően azok az adatközpontok, ahol a felhasználók adatait tartják, gyakran kívül vannak annak az országnak a határain, ahol a felhasználó működik.

Ennél fogva a felhőalapú szolgáltatások használata gyakran jár személyes adatok határokon átívelő mozgásával, ami viszont megköveteli, hogy a felek fokozott figyelmet szenteljenek a megfelelő adattovábbítási feltételeknek.

Következő cikkünkben a természetes személyek adatainak harmadik országba történő továbbításának garanciális szabályaival fogunk foglalkozni. 

Dr. Kádár Ágnes, Holló Ügyvédi Iroda 

Megjegyzés: A cikkben található információk csupán tájékoztató jelleguek. Ezek az információk nem helyettesítik a szakmai tanácsadást, és nem szolgálnak bármely döntés alapjául az ügyvédjével, jogi tanácsadójával való előzetes konzultáció nélkül.  

 

© Detektor Plusz    2010    Minden jog fenntartva.
powered by SiteSet