Keresés

Partnerek

Termékmonitor

Adatfeldolgozási tanácsadás, és revízió Adathozzáférés elleni védelem Adatkisugárzás elleni védelem Beszéd -, és jeltitkosító eszközök Biztonsági szoftverfejlesztés Dokumentum - megsemmisítő készülékek Lehallgatás elleni eszközök Villámvédelem

Audió és videó kaputelefonok Azonosító eszközök Behatolásjelzők (9) Beléptető rendszerek (2) CCTV biztonsági rendszerek (35) Inteligens épület felügyeleti rendszerek (2) Kapcsolóórák, őrjárat ellenőrző rendszerek Kapu és ajtónyitás vezérlő rendszerek Kártyakészítő eszközök Kül- és beltéri figyelőrendszerek (42) Kültéri objektumőrző rendszerek (8) Lakásriasztók (12) Riasztóközpontok (9) Robbanóanyag - keresők Személy és csomagvizsgáló eszközök (3) Személyi riasztó, segélyhívó eszközök, pánikkapcsolók (1) Távfelügyeleti rendszerek (11) Áruvédelmi rendszerek (1)

Autóriasztók GPS rendszerek Gépjármű távfelügyeleti rendszerek, elfogó szolgálattal Gépjárművek biztonsági átalakítása Gépjármü azonosító rendszerek, eredetvizsgálat

GSM/GPRS kommunikációtechnika Híradástechnikai kiegészítők Kárhely rádiók Személyi hívó URH – rádiókészülékek

Bankbiztonsági mechanikus eszközök Biztonsági zárak Biztonsági nyílászárók Forgalomkorlátozó eszközök Határoló elemek Értéktárolók

Biztonságvédelmi szolgáltatások Élőerős szolgáltatások

Oltás technika Tűzjelző központok (4) Tűzérzékelés (1)

biometrikus mágneskártyás (2) számkódos

Kamerák (39) multiplikálók rögzítők (3) vezérlők

GPRS alapú rendszerek rádiós telefonos (11)

bankjegyvizsgálók pénzszállító táskák átadóablakok

hevederzárak lakatok láncok reteszek vasalások ólomzárak

ajtók biztonsági üvegek fóliák redőnyök szelepek

gátak keresztek reteszek sorompók

drótok hálók kapuk kerítések rácsok

fegyvertárolók kazetták páncélszekrények trezorok

Biztonságtechnikai felülvizsgálat Biztonságvédelmi rendszerek tervezése, szervezése Biztonági képzés, továbbképzés, tréningek Biztosítók, biztosítások Kiadók, publikációk Átvilágítás, tanácsadás Őrszolgálati tervek készítése

Magánnyomozás Objektumőrzés Pénz és értékszállítás Pénz és értékőrzés Rendezvénybiztosítás Személyvédelem

SZEMÉLYES ADATOK HARMADIK ORSZÁGBA TÖRTÉNŐ TOVÁBBÍTÁSÁNAK GARANCIÁLIS SZABÁLYAI

Kezdőlap

A felhő adatvédelmi jogi környezete III. rész
SZEMÉLYES ADATOK HARMADIK ORSZÁGBA TÖRTÉNŐ TOVÁBBÍTÁSÁNAK GARANCIÁLIS SZABÁLYAI

Címbeli megfogalmazásunkra visszautalva elmondható, hogy a felhőszolgáltatások alapvető jellemzője a globalitás: a felhő alapú szolgáltatások használata gyakran jár személyes adatok határokon átívelő mozgásával, ami megköveteli, hogy a felek fokozott figyelmet szenteljenek a megfelelő adattovábbítási feltételeknek.

A GDPR (101) preambulum bekezdésében reflektál az előzőekben leírt jelenségre, amikor kifejti, „a nemzetközi kereskedelem és a nemzetközi együttműködés bővítéséhez szükség van a személyes adatoknak az unión kívüli országok és a nemzetközi szervezetek viszonylatában megvalósuló forgalmára. Az ilyen forgalom növekedése új kihívásokat és problémákat támaszt a személyes adatok védelme tekintetében. Mindazonáltal a személyes adatoknak az Unióból harmadik országbeli adatkezelőknek, adatfeldolgozóknak, egyéb címzetteknek vagy nemzetközi szervezetek részére történő továbbítása esetén nem sérülhet a természetes személyeknek az Unióban e rendelettel biztosított védelem szintje, és annak fenn kell maradnia az ilyen személyes adatoknak az adott harmadik országból vagy nemzetközi szervezettől ezt követően ugyanazon vagy másik harmadik országbeli adatkezelőnek, adatfeldolgozónak vagy nemzetközi szervezetnek történő újbóli továbbítása esetén is.”
Harmadik országnak lényegében az EGT tagállamain kívüli országok tekinthetők. Ebből következik, hogy az EGT tagállamok közötti adattovábbítás nem minősül harmadik országba (külföldre) történő adattovábbításnak.
A GDPR tehát – amennyiben érvényesülnek a GDPR hatályára vonatkozó általános rendelkezések –, a szabályozási körébe vonja a harmadik országba történő adattovábbításokat is. A vonatkozó speciális szabályokat a GDPR V. Fejezete tartalmazza, mely szabályoknak – ahogy a felhőszolgáltatások igénybevételével együtt járó adatmozgások jogszerűségének is egyik – központi kérdése a természetes személyek személyes adatainak megfelelő szintű védelmére vonatkozó garanciák biztosítása, tehát annak garantálása, hogy a harmadik országokban történő adatkezelés az európai uniós adatvédelem szintjével megegyező szintű védelmet élvezzen.

■ A személyes adatoknak harmadik országba való továbbításának szabályai annak függvényében alkalmazandóak tehát, hogy a személyes adatokat melyik országba továbbítják, illetve a célországban biztosított-e a személyes adatok megfelelő szintű védelme. A GDPR egy többlépcsős feltételrendszert dolgozott ki annak szabályozására, mikor lehetséges a személyes adatokat harmadik országba továbbítani: az adattovábbítás kapcsán lényegében ezeken a lépcsőfokokon kell végighaladni addig, amíg a megfelelő adattovábbítási jogalapra rá nem talál az adatkezelő.
1. A személyes adatok országhatáron átnyúló továbbításának első jogszerű esete, amikor a személyes adatok megszorítás nélkül, szabadon áramoltathatóak a felek között a következő feltételek fennállása esetén:
■ az adattovábbításra az EU és az EGT határain belül kerül sor;
■ olyan országokba történik az adattovábbítás, amelyek tagjai az „Az egyének védelméről a személyes adatok gépi feldolgozása során” elnevezésű, Strasbourgban, 1981. január 28. napján kelt Egyezménynek;
■ valamint azokba az országokba, amelyeket az Európai Bizottság megfelelőségi határozatában „biztonságosnak” minősített. Jelenleg az Európai Bizottság által biztonságosnak minősített országok a következők:
• Andorra, • Argentína, • Kanada, • Feröer-szigetek, • Guernsey, • Izrael, • Man-sziget, • Jersey, • Új-Zéland, • Svájc, • Uruguay, • Egyesült Államok (Privacy Shield), • Japán
Kanada és az Egyesült Államok esetében a határozatok „részleges” megfelelőségi megállapítást tartalmaznak. Kanada esetében a határozat kizárólag a személyes információk védelméről és az elektronikus dokumentumokról szóló kanadai törvény hatálya alá tartozó magánszervezetekre vonatkozik.
Az Egyesült Államok és az EU közötti személyes adatok továbbításának szabályozására a Privacy Shield (másképp: adatvédelmi pajzs) egyezmény 2016. július 12-én került elfogadásra. Azon amerikai társaságok, akik az adatvédelmi pajzs rendszerében részt vesznek, szigorú, kikényszeríthető, és az egyesült államokbeli hatóságok által szankcionálható kötelezettségeket vállalnak a személyes adatok kezelése tekintetében.
■ Az Európai Unió Bizottsága közleményében1 az adatvédelmi pajzs mechanizmusának három kulcsfontosságú pontját emeli ki:
1. Az Egyesült Államok jogilag kötelező erejű dokumentumban vállalta, hogy az amerikai hatóságok csak korlátozások mellett férnek hozzá az uniós állampolgárok az Egyesült Államok területén tárolt adataihoz. Ehhez az amerikai fél írott biztosítékot ad, amelynek betartását az uniós fél ellenőrizheti.
2. A mechanizmus egyévenként esedékes átvilágítással egészült ki, az Európai Bizottság és az amerikai Kereskedelmi Minisztérium közösen fogja vizsgálni, hogy a vállalások teljesülnek-e. A munkában a tagállami adatvédelmi hatóságok is részt vesznek majd, ami erősíti e szervek hatáskörét a Privacy Shield felügyeletében.
3. A harmadik, hogy az uniós állampolgárok közvetlenül az amerikai jogrendszerben kapnak védelmet. Ez azt jelenti, hogy ha valaki úgy érzi, csorbultak a jogai és amerikai intézmények hatáskörüket túllépve, illetéktelenül fértek hozzá az adataihoz, akkor lehetősége van jogorvoslatot kérni: a polgárok az EU-s adatvédelmi hatóságokhoz fordulhatnak, melyek az amerikai Szövetségi Kereskedelmi Bizottsággal (FTC) együttműködve vizsgálódnak.
Megjegyzendő, hogy az adatvédelmi pajzs egyezményének mielőbbi elfogadására az Amerikai Egyesült Államoknak és az Uniónak is jó oka volt: a globálisan négy legnagyobb felhőszolgáltató – Amazon Web Services, Microsoft Azure, Google és IBM SoftLayer – székhelye ugyanis az Amerikai Egyesült Államokban található, valamint adatközpontjaik nagy része is.
Annak érdekében, hogy a megfelelőség egyáltalán vizsgálható legyen, a harmadik országok jogrendszerében az Unión belüli adatvédelmi szabályokhoz hasonló rendelkezésekre van szükség. Ez a személyes adatok védelmének tartalmi elemeire és a harmadik országban e téren rendelkezésre álló felügyeleti és jogorvoslati lehetőségekre egyaránt vonatkozik.

■ Az Európai Bizottság az alábbi szempontokat veszi figyelembe annak értékelésekor, mely harmadik országokkal érdemes párbeszédet kezdeményezni a megfelelőségről:
• az adott harmadik országgal (ténylegesen vagy esetlegesen) fennálló uniós kereskedelmi kapcsolatok terjedelme, ideértve szabadkereskedelmi megállapodás meglétét, illetve arra vonatkozóan folyamatban lévő tárgyalásokat;
• a személyes adatok Európai Unióból kifelé irányuló áramlásának mértéke, tükrözve a földrajzi és/vagy kulturális kapcsolatokat;
• a harmadik ország által a magánélet és az adatok védelme terén betöltött úttörő szerep, amellyel példát mutathat az adott térség többi országa számára2; valamint
• az adott harmadik országgal fennálló általános politikai kapcsolat, különös tekintettel a közös értékek és célkitűzések nemzetközi szinten való előmozdítására.
Az Európai Bizottság tehát ezen szempontok figyelembevételével jelenleg is aktívan egyeztet fő kelet- és délkelet-ázsiai kereskedelmi partnereivel: jelenleg Dél-Koreával, valamint – az adatvédelmi jogszabályainak korszerűsítésével kapcsolatos előrehaladás fényében – Indiával, továbbá latin-amerikai országokkal, különösen a Mercosur (Déli Közös Piac) országaival és a szomszédos európai országokkal, amelyek érdeklődnek megfelelőségük megállapítása iránt. A Bizottság emellett nyitott más olyan harmadik országok tekintetében is, akik érdeklődésüket nyilvánítják ki az adatvédelmi kérdésekkel kapcsolatos együttműködés iránt.
Bizonyos helyzetekben az egész országra kiterjedő megközelítés helyett helyénvalóbb más lehetőségeket, például részleges vagy adott ágazatra (például a pénzügyi szolgáltatási vagy az informatikai szektorra) vonatkozó megfelelőséget választani, amely kiterjedhet földrajzi területre vagy az adott harmadik ország gazdaságának fontos részét képező iparágra. Ezt olyan tényezők fényében kell mérlegelni, mint az adatvédelmi szabályozás jellege és fejlettsége (önálló jogszabály, több jogszabály vagy ágazati jogszabályok stb.), a harmadik ország alkotmányos berendezkedése vagy az Unióból a harmadik országba irányuló adatáramlás kiemelt jelentősége bizonyos gazdasági ágazatok számára.

2. Abban az esetben, ha a célország vonatkozásában a Bizottság nem fogadott el megfelelőségi határozatot, akkor az adatkezelő vagy adatfeldolgozó csak abban az esetben továbbíthat személyes adatokat harmadik országba vagy nemzetközi szervezet részére, ha a címzett adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújt az adatok kezelésével kapcsolatban.

■ Ilyen megfelelő garanciák lehetnek például:
• kötelező erejű vállalati szabályok (BCR3) alkalmazása;
• a Bizottság által elfogadott minta szerződési feltételek (standard contractual clauses), illetve a felügyeleti hatóság által elfogadott és a Bizottság által jóváhagyott mintaszerződési feltételek;
• jóváhagyott magatartási kódex a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő – ideértve az érintettek jogaira vonatkozó – garanciákat (a magatartási kódexek részleteire a későbbiekben térek ki);
• jóváhagyott tanúsítási mechanizmus a harmadik országbeli adatkezelő vagy adatfeldolgozó arra vonatkozó, kötelező erejű és kikényszeríthető kötelezettségvállalásával együtt, hogy alkalmazza a megfelelő garanciákat, ideértve az érintettek jogait illetően is.
A mintaszerződési feltételek jelentőségét az adja, hogy egyrészt kézenfekvő, könnyen hozzáférhető eszközt kínál az adattovábbító fél részére, másrészt az EU-n kívüli adatkezelő vagy adatfeldolgozó (al-)adatfeldolgozója vonatkozásában hatékonyan képes megteremti az elszámoltathatóság feltételét. A mintaszerződési feltételek tehát abban az esetben adnak a szerződő feleknek támpontot, ha a felek mindegyike adatkezelő, és ilyen minőségben az EU-s adatkezelő harmadik országba történő adattovábbítást valósít meg, illetve az EU-s adatkezelő és a harmadik országbeli adatfeldolgozó relációjában. A felek ugyanakkor nem jogosultak a mintaszerződési feltételeket módosítani, bármiképp meg-
változtatni anélkül, hogy külön felhívnák erre a figyelmet, illetve arra, hogy az adott szerződéses kikötés már nem minősül mintaszerződési feltételnek.

A magatartási kódexek alkalmazásának nagy előnye a normatív jogi aktusokkal szemben, hogy rugalmasan képesek követni egy folyamatosan változó iparág legújabb eredményeit, így például kiválóan alkalmasak a felhőszolgáltatások igénybevételekor felmerülő speciális kihívások kezelésére. A magatartási kódexeknek megfelelés továbbá alkalmas az igénybevevői bizalom elnyerésére.

A magatartási kódexekben rejlő lehetőségeket felfedezve az európai felhőiparág szereplői is aktívan részt vesznek az önszabályozásban annak érdekében, hogy megfeleljenek a GDPR-nak és ezt tudathassák a felhasználóikkal: a Cloud Infrastructure Services Providers in Europe (CISPE) által kidolgozott magatartási kódex megalkotására már kifejezetten a GDPR szellemében, a szolgáltatók GDPR-nak való megfelelésének előmozdítása érdekében került sor.

Az Európai Bizottsággal történt előzetes egyeztetés után olyan említésre méltó magatartási kódexek születtek, mint a már említett CISPE kódex, a Cloud Industry Forum, a Cloud Security Alliance kódexe. Magyarországon az Informatikai Vállalkozások Szövetsége (IVSZ) Adatközpont- és Felhő munkacsoportja említhető, mint hasonló célkitűzéseket megvalósító szervezet.

■ Az Európai Távközlési Szabványügyi Intézet (ETSI) felhőmunkacsoportot hozott létre, hogy tanulmányozza a felhő szabványosításának szükségességét és az átjárhatósági szabványoknak való megfelelést. A szabványokon alapuló tanúsítás célja olyan közös sztenderdek megállapítása, melyek alkalmasak az igénybe vevők felhőszolgáltatásokba vetett bizalmának megszerzésére és megtartására. A jogi megfelelőség elérését célzó legjelentősebb nemzetközi információbiztonsági szabványok között említhetjük az ISO:270014, az ISO 270185, a PCI-DSS6 vagy az SSAE 16/ISAE 34027 (korábban SAS 70) szabványt. Magas biztonsági védettséget bizonyít az Egyesült Királyságban a közszféra szereplői számára bevezetett G-Cloud tanúsítvány, amelyet a CESG (Nemzeti Információbiztonsági Hatóság) auditál. A fenti szerepet tölti be az Andromède Franciaországban, a Trusted Cloud Németországban.
A fenti szabványok minden esetben minimálisan a biztonságra, az átjárhatóságra, az adathordozhatóságra terjednek ki. A Google, az Amazon vagy a Microsoft, mint nagy felhőszolgáltatók valamennyi tanúsítvánnyal rendelkeznek. A kevéssé ismert, kisebb felhőszolgáltatóknak ugyanakkor szűkösebb anyagi erőforrásaikra tekintettel kevéssé engedhetik meg maguknak az említett tanúsítványok beszerzését.

3. Megfelelőségi határozat, illetve megfelelő garanciák hiányában, a GDPR rendelkezései szerint az alábbi feltételek valamelyikének teljesülése esetén történhet továbbá adattovábbítás:
• az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
• az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
• az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
• az adattovábbítás fontos közérdekből szükséges;
• az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
• az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
• a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog által a betekintésre megállapított feltételek az adott különleges esetben teljesülnek.

4. Végül, ha az adattovábbítás megalapozására nem áll rendelkezésre egyik korábbi feltétel vagy körülmény sem, akkor a harmadik országba történő adattovábbítás csak akkor történhet, ha
• az adattovábbítás nem ismétlődő,
• csak korlátozott számú érintettre vonatkozik,
• az adatkezelő olyan kényszerítő erejű jogos érdekében szükséges, amely érdekhez képest nem élveznek elsőbbséget az érintett érdekei, jogai és szabadságai, és
• az adatkezelő az adattovábbítás minden körülményét megvizsgálta, és e vizsgálat alapján megfelelő garanciákat nyújtott a személyes adatok védelme tekintetében.

Ilyen esetekben az adatkezelőnek tájékoztatnia kell a felügyeleti hatóságot az adattovábbításról. Az adatkezelő az általános tájékoztatási kötelezettségen túlmenően az érintettet tájékoztatja az adattovábbításról, valamint az adatkezelő kényszerítő erejű jogos érdekéről.

■ Következő cikkünkben a felhőtechnológi-ában rejlő lehetőségekről és az aktuális jogi-technológiai kihívásokról, azok lehetséges megoldásairól fogunk összefoglalóan beszámolni.

Dr. Kádár Ágnes, Holló Ügyvédi Iroda

1 SPEECH/16/221: Speaking points by Justice Commissioner Jourová at the press conference on the new framework for transatlantic data flows: the EU-US Privacy Shield http://europa.eu/rapid/press-release_SPEECH-16-221_en.htm
2 Ez különösen a fejlődő és az átalakulóban lévő országok esetében lehet lényeges, mivel a személyes adatok védelme a jogállamiság nélkülözhetetlen eleme, és a gazdasági versenyképesség szempontjából is lényeges tényező.
3 Binding Corporate Rules: Használata egy-egy vállalatcsoporton belüli adatmozgásokra korlátozódik, és mint ilyen, a felhőszolgáltatók szempontjából csak kis mértékű relevanciával bír.
4 Információbiztonság-kezelési rendszer
5 Magatartási szabályzat a személyazonosításra alkalmas információk védelmére a személyazonosításra alkalmas adatokat feldolgozó nyilvános felhőkben
6 Bankkártya szolgáltatások, IT biztonság szabvány
7 Auditálási szabvány