Termékmonitor

Adat és információvédelem
Elektronikus jelzéstechnika (135)
Gépjárművédelem
Kommunikációtechnika
Mechanikus biztonságvédelem
Szolgáltatások
Tűzvédelem technika (5)

ADATVÉDELEM

A felhő adatvédelmi jogi környezete V. rész

A felhő egyes jogi-technológiai kihívásai, azok lehetséges megoldásai

Előző írásunkban röviden bemutatásra kerültek a felhő-technológiában rejlő azon lehetőségek, melyek globálisan vonzóvá teszik ezen speciális szolgáltatások igénybevételét. Jelen írásunkban azon aktuális jogi-technológiai kihívásokat fogjuk bemutatni, melyek megoldása jelenleg is aktívan foglalkoztatja mind az uniós, mind a hazai jogalkotókat és információbiztonsági szakembereket.
 
1. A jogi megfelelősé g problémája és a lehetsé ges megoldások

-1.1. A már korábbi cikkünkben elővezetett, adatvédelmi munkacsoport által kibocsátott Felhővélemény számos követelményt fogalmaz meg a felhőalapú számítástechnikai megoldások és a személyes adatok kezelésének az összefüggésében.
A véleményben megfogalmazott kritikai észrevételek – tekintettel arra, hogy 2012- ben kerültek publikálásra – alapvetően az EU
Adatvédelmi Irányelve, valamint az e-Privacy Irányelv1 rendelkezéseinek a teljesítésére vonatkoznak, tehát a GDPR szabályait megelőző állapotokat tükrözik mind a jogi, mind a technológiai kihívások bemutatása során. Ezen körülmények azonban korántsem teszik anakronisztikussá a vélemény észrevételeit, sőt máig aktuálisak azok.

A Felhővélemény által azonosított kockázatokat a következők szerint foglalhatjuk össze:
- -(A) A kontroll hiánya miatti kockázatok:
-elérhetőség hiánya (az interoperabilitás hiánya miatt): az adatok és információk hordozhatóságának nehézségei a különböző felhőalapú rendszerek között, illetve az információáramlás nehézségei olyan cégek között, akik különböző szolgáltatóktól vesznek igénybe felhőalapú szolgáltatásokat;
-integritás hiánya: mivel a szolgáltatók számos különböző forrásból származó személyes adatokat kezelnek, elképzelhető, hogy különböző érdekek és célok ütköznek az adatkezeléssel kapcsolatosan;
-titoktartás hiánya: EU-s, illetve harmadik országbeli hatóságok kötelezhetik a szolgáltatókat, hogy adják ki a részükre a tárolt személyes adatokat;
- az adatalanyok jogainak érvényesítése nehézzé válhat a kiszervezési lánc komplexitása okán;
- az adatalanyok jogainak érvényesítése nehézzé válhat arra tekintettel, hogy a felhőszolgáltató nem feltétlenül biztosítja az érintetti jogok gyakorlásához szükséges eszköztárat a felhasználója részére;
- elkülönítés hiánya: itt az okozhatja a kockázatot, hogy a szolgáltató képes a különböző ügyfelektől származó adatokat összekapcsolni.
-- (B) Az adatfeldolgozással kapcsolatos információ hiánya (átláthatóság hiánya) miatti kockázatok:
A felhőszolgáltató által nyújtott szolgáltatás során az adatfeldolgozás folyamatának, annak szereplőinek, egyéb körülményeinek kellő ismerete hiányában sem a felhasználó, sem a személyes adat tekintetében az érintett nem képes az adatfeldolgozással járó veszélyek felmérésére. Így kockázatos, ha a felhasználó nem rendelkezik ismeretekkel a következőkről:
- az adatfeldolgozási láncolatban több feldolgozó, több al-feldolgozó vesz részt;
- a személyes adatok feldolgozása több EGT állam területén valósul meg. Ezen körülmény egy felhőszolgáltató és felhasználó közötti esetleges adatvédelmi vita esetén az alkalmazandó jog meghatározására közvetlenül is
kihatna;
- a személyes adat EGT államon kívüli harmadik országba történő továbbítása.

- 1.2 Az Uniós intézmények felhőszolgáltatások igénybevételében rejlő adatvédelmi kockázatokkal foglalkozik az európai adatvédelmi biztos (EDPS2) 2018 márciusában kiadott útmutatója3.
Az útmutató célja, hogy praktikus tanácsokkal lássa el az EU intézményeit a felhőszolgáltatások igénybevétele során, a GDPR rendelkezésekkel összhangban álló jó gyakorlatokat megismertesse.
Az útmutató 4. melléklete foglalkozik speciálisan a felhőszolgáltatások jellegzetességeivel és az ezen jellegzetességekből fakadó adatvédelmi kockázatokkal. Ezek közül néhányat kiemelve:
- Az Unió intézményei korábban vagy nem használtak felhőszolgáltatásokat vagy korlátozott tapasztalatokkal rendelkeznek azokkal
kapcsolatban:
• ez a kockázatok alábecsüléséhez vezethet;
- A felhőszolgáltatásokat a nyilvános interneten keresztül szolgáltatják:
• az adattovábbítás során sérülhet a személyes
adat integritása;
• az internetszolgáltatót érő kibertámadás esetén a szolgáltatás elérhetetlenné válhat;
• kormányzati nemzetbiztonsági erők a felhő adattartalmának megfigyelését kísérelhetik meg;
- Nyilvános felhőszolgáltatások sokfelhasználós
jellege:
• az adatokhoz való jogosulatlan hozzáférés kockázata növekedését, a biztonsági intézkedések feletti kontroll gyengülését eredményezheti;
- Az igénybe vevő számára ismeretlen helyen tárolják az adatait, annak ismerete esetén pedig nem határozható meg kellő pontossággal és kellő hitelességgel annak helye:
• az alkalmazandó jog és ezáltal az adatbiztonság szintje eltérő lehet országonként attól függően, hogy az adat az EU-n belüli vagy az EU-n kívüli harmadik országban tárolódik;
• EU-n kívüli ország esetén megnő annak a kockázata, hogy a felhőszolgáltató nemzetbiztonsági szerveknek adatot szolgáltat;
• a felhő igénybe vevői elvesztik a kontrollt az adataik felett;
- Felhőmodelltől függően az IT menedzsment felhőszolgáltató számára történő szinte teljes átengedése is előfordulhat, kevés interakcióval a szolgálaltó és a felhasználója között. Ez a felhasználót kiszolgáltatottá teszi, és különösen KKV-k esetében kedvezőtlen szerződéses pozíciót eredményezhet. Kisebb EU-s intézményi egységek hasonlóan kiszolgáltatottá válhatnak.
- Számtalan adatfeldolgozó vagy al-adatfeldolgozó működhet együtt a szolgáltatásnyújtás során országhatárokra tekintet nélkül.
Mindeközben az adatok gyors elérése érdekében az adatok többszöröződhetnek a gyorsabb és biztonságosabb elérés érdekében:
• ez szintén a felhasználók adataik feletti kontrolljának gyengülését eredményezheti;
• az érintetti jogok gyakorlását elnehezítheti
• az adatok zárolása és törlése különösen nagy kihívást jelenthet ezáltal
- A saját telephelyen, helyben található szerverekhez viszonyítva a felhőben tárolt adatok tekintetében speciális adatbiztonsági kihívások jelentkezhetnek:
• a felhőkliens biztonsága: böngésző, mobil applikáció biztonsága;
• azonosítási és hitelesítési kihívások;
• titkosítás során a kulcs-menedzsment kihívása;
• a virtualizáció szintjei és a virtuális eszközök sérülékenységének kihívása.

-1.3. GDPR specifikus jogi kihívások: az Általános Adatvédelmi Rendelet rendelkezéseinek való megfelelés további kihívások elé állítja az adatkezelőket, melyek közül a legjelentősebbeket szeretném bemutatni.
- Az adatmegőrzés hatékony végrehajtása a felhőben: A GDPR alapján a személyes adatokat általában csak az előre meghatározott cél érdekében szükséges ideig lehet megőrizni. Ennek megfelelően a megőrzési időszakot be kell tartani, és a megőrzési időszak végén biztosítani kell az adatok hatékony törlését: mind a helyileg tárolt adatok, mind a felhőben tárolt adatok tekintetében. A nehézséget az jelenti, hogy az adatokat több helyen is lehet tárolni, több joghatóság hatálya alatt, több felhőalapú szolgáltatást nyújtó szolgáltató által, és így kihívást jelent a több joghatóság hatálya alá tartozó követelmények azonosítása és kezelése. Az adatok törlése szintén kihívást jelenthet, továbbá az adatok végleges törléséhez a biztonsági másolatokra is figyelemmel kell lenni. Fontos tehát átlátni, hogy a szolgáltató milyen módon végzi a biztonsági mentéseket és kezeli a megőrzést.
- Incidens jelentése és az együttműködési kötelezettség: Az adatvédelmi incidens bejelentési kötelezettséget és a protokollokat a felhőszolgáltatókkal kötött adatfeldolgozási szerződésben szabályozni kell. A szerződésben meg kell határozni, hogy milyen esemény minősül incidensnek, és rögzíteni kell azt az eljárást, amelynek során a szolgáltató a vállalkozást késedelem nélkül értesíti az incidensről.
-Személyes adatok kezelése az Európai Gazdasági Térségen kívül (EGT): Mivel az adatokat a felhőalapú szolgáltatást nyújtó szolgáltatók számos helyen tárolhatják, előfordulhat, hogy a személyes adatok tárolási helye az EGT-n kívül esik. Egy ilyen adatkezelés esetében megfelelő garanciáknak kell rendelkezésre állniuk arra az esetre, ha az adat tárolása szerinti ország
tekintetében nem került sor megfelelőségi határozat elfogadására. Az adatkezelőknek ki kell dolgozniuk egy határokon átívelő felhőstratégiát a megfelelőségi követelményeknek és az adatlokalizációs jogszabályoknak való megfelelés érdekében.
-Adathordozhatóság kérdése: Az adatkezelőknek biztosítaniuk kell az érintettek részére az adatok hordozhatóságához való jogot. Ha az adatkezelő adatai a felhőben vannak, lehetővé kell tenni az adatkezelő számára, hogy az adatokat visszanyerhesse egy strukturált, általánosan használt és számítógéppel olvasható formátumban, hogy azokat az érintett vagy más adatkezelő részére átadhassa. Több felhőszolgáltató esetén különösen olyan adatfeldolgozási szerződésre van szükség, ahol mindez megfelelően szabályozásra került. A GDPR rendelkezései szerint a szolgáltatóknak biztosítaniuk kell, hogy rendelkeznek azokkal a technikai feltételekkel, amelyekre az adatkezelőknek szüksége lesz az adathordozási igény teljesítéséhez.
- Az adat feletti tulajdonjog kérdése: Az adatkezelőnek fenn kell tartania a rendelkezési jogát és a tulajdonjogát a saját adatai felett.
Ezért ezt kifejezetten bele kell foglalni a felhőszolgáltató és a felhasználó közötti adatfeldolgozási szerződésbe. Emellett az adatkezelőnek meg kell bizonyosodnia arról, hogy a fogadó országok jogszabályai alapján is az adatkezelőt illeti meg az átadott adatok tulajdonjoga.
- Kockázatkezelés: Az adatkezelőnél hatályban lévő kockázatkezelési eljárásrendnek a felhőalapú    szolgáltatást nyújtó szolgáltatókra is kikell terjednie. A felhőalapú szolgáltatást nyújtó szolgáltatók igénybevétele során esetlegesen felmerülő kockázatok meghatározása érdekében adatvédelmi hatásvizsgálatot (DPIA4), valamint adatbiztonsági vizsgálatot kell elvégezni.
Emellett a felhőalapú szolgáltatást nyújtó szolgáltatók feletti ellenőrzési jogot is bele kell foglalni a szolgáltatóval kötendő adatfeldolgozási szerződésbe.
- A felhő felépítése és beépített adatvédelem:
Adatkezelőként, amikor jogviszonyt létesít a felhőszolgáltatóval, tisztában kell lennie a felhőszolgáltató által használt háttér technológiákkal, és ezeknek a technológiáknak a biztonsági garanciákra és a felhőben tárolt személyes adatokra
gyakorolt hatásaival. A felhőszolgáltató rendszerének felépítését nyomon kell követni tekintettel a technológiát érintő változásokra, és szükség esetén javaslattal kell élni a rendszer fejlesztése, frissítése érdekében.
- A metaadatok láthatósága és az adatminimalizálás kérdése: Amennyiben az adatkezelő az felhőszolgáltatóval szolgáltatási szerződést kíván kötni, ajánlott tájékozódnia arról, hogy a felhőszolgáltató milyen metaadatokat gyűjt. Ennek során figyelembe kell venni, egyrészt, hogy a metaadatok milyen szintű védelemben részesülnek, valamint a vonatkozó tulajdonjogokra, a metaadatok gyűjtésének és terjesztése elutasítására, valamint a metaadatok tervezett felhasználására.
- A magánélet védelme: Az adatkezelő legtöbbször nem rendelkezik ellenőrzési joggal a felhőszolgáltató IT infrastruktúrája felett, és kénytelen a szolgáltatónál hatályban lévő ellenőrzésekre hagyatkozni. Ebből kifolyólag minden alkalommal szükséges annak vizsgálata, hogy a szolgáltató milyen mértékben felel meg az adatkezelőnél alkalmazott számítástechnikai biztonsági
követelményeknek.
-  A felelősség kérdése: A GDPR egyik legjelentősebb alapelve az elszámoltathatóság elve.
A GDPR szerint az adatkezelőnek, mint a személyes adatot valamilyen célból kezelő fél feladata, hogy biztosítsa az adatvédelmi alapelvek érvényesülését nemcsak a saját szervezetén belül, hanem azon beszállítóinál is, akikkel megosztja az adatokat, illetve azon alvállalkozóinál, amelyek az adatokat a szervezet nevében kezelik, vagyis az adatfeldolgozóinál.

- 1.4. A fent leírt kockázatok minimalizálása, az adatfeldolgozás során a megfelelő szerződéses
garanciák biztosítása érdekében az említett Felhővélemény a feltárt kockázatokat elsősorban a felhőszolgáltató és a felhasználója között megkötendő adatfeldolgozási szerződés keretében javasolja kezelni.
Az EU adatvédelmi előírásainak való megfelelés elősegítését célozzák a már említett Európai Unió Bizottsága által elfogadott, már bemutatott 4 Data protection impact assessment minta szerződési feltételek (model clauses), a pénzügyi szektor számára pedig hazai szinten először a Pénzügyi Szervezetek Állami Felügyelete körlevelet 5, majd a Magyar Nemzeti Bank bocsátott ki ajánlást6 a felhőszolgáltatások igénybevételével kapcsolatos követelményekről, az alkalmazandó mintafeltételek tartalmáról.
Egyebekben a kockázatok csökkentését szolgálhatják a személyes adatok harmadik országba történő továbbításának garanciális szabályaival összefüggésben korábban bemutatott jogintézmények, így különösen a felhő-számítástechnikára specializált magatartási kódexek vagy jóváhagyott tanúsítási mechanizmusok alkalmazása.
Végül, ha közvetlenül a jogi megfelelőséget nem is garantálja, de az esetleges jogsértésekből eredő károk helyreállítására már Magyarországon is van lehetőség kiberbiztonsági biztosítás megkötésére, mely akár már a felhőszolgáltató ajánlatának is a részét képezheti.  
 

2. Technológiai kihívások és a lehetsé ges megoldások

- - 2.1. Adatbiztonság: Ahogy azt előző cikkünkben bemutattuk, a felhőszolgáltatóknak elemi érdeke az adatok biztonságának garantálása, és erre hatalmas erőforrásokat is képesek áldozni. A gyakorlatban ugyanakkor a média sorra számol be nagy felhőszolgáltatóknál felmerülő tömeges adatszivárgásokról, adatvédelmi incidensekről, valamint az ún. megosztott felelősségi körök modellje7 önmagában emeli az adatvédelmi (biztonsági) incidensek kockázatát.
Az Oracle és a KPMG legújabb, kiberfenyegetésekről szóló 2019-es, globális felmérésen alapuló jelentése8 szerint pedig a felhőmegoldásokat használók 82 százaléka tapasztalt biztonsági incidenseket, amelyek a megosztott felelősségi körök értelmezésének hibáiból adódtak.
Végül a felhőben tárolt adatok kibertámadásoknak való kitettsége minden valószínűséggel nagyobb, hiszen bár nehezebb hozzájuk férni, azonban mennyiségileg és minőségileg is más értéket képviselnek, mint egy helyi szerverrel üzemelő KKV adatvagyona.
- 2.2. A felhasználóknak továbbá többek között a következő kihívásokkal kell megküzdenie a felhő-technológia igénybevétele során:
- A biztonsági incidensekhez kapcsolódó adatok elemzésének képessége, annak hiánya;
- Adatvédelmi (biztonsági) incidensek detektálása;
-  Átláthatóság hiánya;
-  Shadow-IT jelensége (a munkáltató által nem engedélyezett IT eszközök munkavállalók általi alkalmazása munkavégzésükkel összefüggésben), a munkavállalói adatvédelmi tudatosság hiánya;
- Felhőbiztonsági szakértők hiánya.
-- 2.3. Az Oracle felmérése szerint a legnagyobb kihívásra, a biztonsági incidensekre megoldást jelenthet az automatizáció, a gépi tanulással felvértezett kibervédelmi rendszerek alkalmazása.
Az adatbiztonság fokát növelő lehetőség, ha a szolgáltatók különböző titkosítási vagy pszeudonimizálási eljárásokkal elérik, hogy a felhasználói adat senki más, jellemzően még a szolgáltató számára se lehessen megtekinthető dekriptált formában, hanem kizárólag a felhasználó számára, annak beazonosítását követően9.
Az átláthatóságot és a jogszabályi követelményeknek való megfelelést segíti nagyban az adathalmazban való kereshetőség és az adatok klasszifikációja vagyis csoportosíthatósága.
Az adatvesztés elkerülése, de a későbbiekben a felelősség megállapítása érdekében is nagyon fontos a hozzáférési jogosultságok megfelelő és adminisztrált kiosztása.
Az adatbiztonság érdekében kiemelkedően fontos a munkavállalók felkészítése a kibertér sajátosságaira, a speciális veszélyekre és a megelőzés fontosságára.
Végül a felhőszolgáltatások felhasználóinak számára fontos, hogy az alkalmazási környezet minden egyes felhasználó számára biztonságosan virtualizált legyen, az adataik legyenek egymástól elszigetelve, és lehetőség szerint biztonságos területek jöjjenek létre a közösen használt SaaS szolgáltatáson belül.
-  Összefoglalóan elmondható, hogy a hatékony adatgazdálkodás a vállalkozások versenyképességének fokmérője lesz a globális piacon, a felhő pedig ehhez biztosítja a technológiai hátteret.
Ebben az új modellben új biztonsági szabályozásra és a szabályok kikényszerítésének újmódjaira, a felek közötti fokozott együttműködésre van szükség, azonban az adatvédelem biztosítása a felhőben egy komplex kérdés, melynek adekvát kezeléséhez kizárólag a jogi keretek biztosítása vagy az IT biztonsági infrastruktúra rendelkezésre állása nem elegendő, hanem ezen eszközökön túl koncepcionális, szervezési, képzési-oktatási szempontú megközelítést is megkíván. Érdemes továbbá szem előtt tartani, hogy a százszázalékos adatvédelmi megfelelés jelenleg nem lehetséges, a kérdés inkább az, hogy a rendelkezésre álló eszközökkel a piac szereplői hogyan tudnak élni a kockázatok minimalizálása érdekében.

Dr. Kádár Ágnes – Holló Ügyvédi Iroda
 
Megjegyzés: A cikkben található információk csupán tájékoztató jellegûek. Ezek az információk nem helyettesítik a szakmai tanácsadást, és nem szolgálnak bármely döntés alapjául az ügyvédjével, jogi tanácsadójával való elôzetes konzultáció nélkül.
 
1 Az Európai Parlament és a Tanács (EU) 2002/58/EK irányelve
(2002. július 12.) az elektronikus hírközlési ágazatban a
személyes adatok kezeléséről, feldolgozásáról és a magánélet
védelméről („Elektronikus hírközlési adatvédelmi irányelv”).
Az irányelvet a GDPR-hoz hasonlóan felváltó e-Privacy
Rendelet egységes szerkezetbe foglalt változatát az Európai
Tanács 2017. december 5-én publikálta, és jelenleg a hatályba
lépésre vár.
2 European Data Protection Supervisor
3 European Data Protection Supervisor: Guidelines on the use
of cloud computing services by the European institutions
and bodies https://edps.europa.eu/sites/edp/files/
publication/18-03-16_cloud_computing_guidelines_en.pdf
4 Data protection impact assessment
5 PSZÁF 4/2012. számú Vezetői körlevél https://www.mnb.
hu/letoltes/vezkorlev-4-2012.pdf
6 MNB 2/2017 (I.12.) számú ajánlása a közösségi és publikus
felhőszolgáltatások igénybevételéről https://www.mnb.hu/
letoltes/2-2017-felho-szolg.pdf
7 T.i. SAAS, PAAS vagy SAAS konstrukciótól függően egyes
biztonsági intézkedésekről a felhőszolgáltató köteles gondoskodni,
más esetben a felhőszolgáltatót terheli felelősség
az adatbiztonság megteremtéséért.
8 Oracle and KPMG Cloud Threat Report 2019 https://www.
oracle.com/a/ocom/docs/dc/final-oracle-and-kpmg-cloudthreat-
report-2019.pdf?elqTrackId=063c9f4a2a5b465ab55b
734007a900f0&elqaid=79797&elqat=2
9 Némely felhőszolgáltató lehetőséget kínál továbbá ún.
„Hozd a kulcsod” vagy Bring-Your-Own-Key (BYOK) típusú
titkosításra, amelynek a folyamatában a szolgáltató semmilyen
formában nem vesz részt, a felhasználó rendelkezik kizárólag
a titkosítást feloldó kulccsal.

 

© Detektor Plusz    2010    Minden jog fenntartva.
powered by SiteSet