A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT

A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT

01037/12/HU WP 196

05/2012. számú vélemény a számítási felhőről

Elfogadás időpontja: 2012. július 1.

Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet 1 védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg. A titkársági feladatokat ellátja: Európai Bizottság, A Jogérvényesülés Főigazgatósága, C Igazgatóság (Alapvető jogok és Uniós polgárság), B-1049 Brüsszel, Belgium, MO-59 02/013. sz. iroda. Honlap: http://ec.europa.eu/justice/data-protection/index_en.htm

Összefoglaló A 29. cikk szerinti adatvédelmi munkacsoport ebben a véleményében az Európai Gazdasági Térségben (a továbbiakban: EGT) működő számítási felhő szolgáltatók és igénybevevők számára fontos kérdéseket elemzi, és a megfelelő esetekben megállapítja az EU adatvédelmi irányelvéből (95/46/EK) és (a 2009/136/EK irányelv által módosított) 2002/58/EK e-magánélet irányelvből származó, alkalmazandó elveket. Jóllehet a számítási felhő gazdasági és társadalmi értelemben egyaránt elismerten előnyöket biztosít, e vélemény rávilágít, hogy a számításifelhő-szolgáltatások széles körű elterjedése miként idézhet elő adatvédelmi kockázatokat, főként amiatt, hogy hiányzik a személyes adatok feletti ellenőrzés, valamint nem állnak rendelkezésre információk azzal kapcsolatosan, hogy kik, hol és hogyan dolgozzák fel/dolgozzák fel másodlagosan az adatokat. Az állami szerveknek és a magánvállalkozásoknak gondosan meg kell vizsgálniuk ezeket a kockázatokat, amikor azt mérlegelik, hogy igénybe veszik-e egy számításifelhő-szolgáltató szolgáltatásait. E vélemény megvizsgálja az alábbiakkal összefüggő kérdéseket: az adatforrások más felekkel történő megosztása, a sok adatfeldolgozóból és alvállalkozóból álló kiszervezési láncolatok átláthatóságának hiánya, a közös globális adathordozhatósági keret hiánya, valamint a személyes adatok EGT-n kívül letelepedett számításifelhő-szolgáltatók részére történő továbbításának megengedhetőségével kapcsolatos bizonytalanság. E véleményben hasonlóképpen súlyos aggodalomra okot adó kérdésként mutatunk rá az átláthatóság hiányára abban a tekintetben, hogy az adatkezelő tájékoztatni tudja-e az érintettet személyes adatai feldolgozásának módjáról. Az érintetteket kötelező1 tájékoztatni arról, hogy ki és milyen célokból dolgozza fel az adataikat annak érdekében, hogy képesek legyenek az őket e tekintetben megillető jogok gyakorlására. E véleménynek az az egyik legfontosabb következtetése, hogy azoknak a vállalkozásoknak és közigazgatási szerveknek, amelyek igénybe kívánják venni a számítási felhőt, első lépésként átfogó és alapos kockázatelemzést kell végezniük. Az EGT területén szolgáltatásokat kínáló számításifelhő-szolgáltatóknak el kell látniuk ügyfeleiket valamennyi olyan információval, amely szükséges ahhoz, hogy helyesen ítéljék meg az ilyen szolgáltatás igénybevétele mellett és ellen szóló érveket. A biztonságnak, az átláthatóságnak és az ügyfelek jogbiztonságának kell a legfontosabb hajtóerőt képeznie a számításifelhő-szolgáltatások nyújtása esetében. Ami az e véleménybe foglalt ajánlásokat illeti, rámutatunk a számításifelhő-szolgáltatások igénybevevőinek adatfeldolgozóként viselt felelősségére, és ennélfogva azt ajánljuk, hogy az igénybevevő olyan szolgáltatót válasszon, aki garantálja az uniós adatvédelmi jogszabályok betartását. A vélemény a megfelelő szerződéses biztosítékokat is tárgyalja, leszögezve, hogy az igénybevevő és a számításifelhő-szolgáltató közötti szerződéseknek megfelelő garanciákat kell nyújtaniuk a technikai és szervezési intézkedések tekintetében. Szintén fontos az az ajánlás, miszerint a számításifelhő-szolgáltatás igénybevevőjének 1

Az e dokumentumban szereplő „KÖTELEZŐ”, „TILOS”, „SZÜKSÉGES”, „KELL”, „TILTOTT”, „JAVASOLT”, „NEM JAVASOLT”, „AJÁNLOTT”, „LEHET” és „NEM KÖTELEZŐ” kulcsszavakat 2119. számú „Request for Comments”-ben [Megjegyzéskérés] meghatározottaknak megfelelően kell értelmezni. A dokumentum megtalálható az alábbi internetcímen: http://www.ietf.org/rfc/rfc2119.txt. Mindazonáltal – a könnyebb olvashatóság érdekében – az említett szavak nem mind nagybetűkkel jelennek meg ebben a formátumban.

2

ellenőriznie kell, hogy a szolgáltató képes-e garantálni a nemzetközi adattovábbítások jogszerűségét. Bármely más fejlődési folyamathoz hasonlóan a számítási felhő globális technológiai paradigmaként történő megjelenése is kihívást jelent. E vélemény jelenlegi formájában fontos lépésnek tekinthető annak meghatározása során, hogy mely feladatokat kell ellátnia az adatvédelemmel foglalkozók közösségének az elkövetkező években.

3

Tartalomjegyzék

Összefoglaló ........................................................................................................................... 2 1. Bevezetés................................................................................................................................ 5 2. A számítási felhő adatvédelmi kockázatai ............................................................................. 6 3. Jogi keret ................................................................................................................................ 8 3.1. Adatvédelmi keret ........................................................................................................... 8 3.2. Alkalmazandó jog ........................................................................................................... 8 3.3. A különböző szereplők feladat- és felelősségi köre ........................................................ 9 3.3.1. A számításifelhő-szolgáltatás igénybevevője és szolgáltatója ................................. 9 3.3.2. Alvállalkozók ......................................................................................................... 10 3.4. Adatvédelmi követelmények az igénybevevő és a szolgáltató közötti kapcsolatban ... 12 3.4.1. Az alapelvek betartása............................................................................................ 12 3.4.1.1. Átláthatóság......................................................................................................... 12 3.4.1.2. Célmeghatározás és -korlátozás .......................................................................... 13 3.4.1.3. Az adatok törlése................................................................................................. 13 3.4.2. Az „adatkezelő” és az „adatfeldolgozó” kapcsolatára/kapcsolataira vonatkozó szerződéses biztosítékok .................................................................................................. 14 3.4.3. Az adatvédelem és adatbiztonság technikai és szervezési intézkedései ................ 16 3.4.3.1. Rendelkezésre állás ............................................................................................. 16 3.4.3.2. Sértetlenség ......................................................................................................... 17 3.4.3.3. Bizalmas természet.............................................................................................. 17 3.4.3.4. Átláthatóság......................................................................................................... 18 3.4.3.5. Elkülönítés (a cél korlátozása) ............................................................................ 18 3.4.3.5. Beavatkozási lehetőség ....................................................................................... 18 3.4.3.6. Hordozhatóság..................................................................................................... 19 3.4.3.7. Elszámoltathatóság.............................................................................................. 19 3.5. Nemzetközi adattovábbítások ....................................................................................... 19 3.5.1. A védett adatkikötő (Safe Harbor) és a megfelelő országok.................................. 20 3.5.2. Eltérések ................................................................................................................. 21 3.5.3. Általános szerződési feltételek ............................................................................... 21 3.5.4. Kötelező erejű vállalati szabályok: a globális megközelítés felé ........................... 22 4. Következtetések és ajánlások ............................................................................................... 22 4.1. Iránymutatások a számításifelhő-szolgáltatások igénybevevői és szolgáltatói számára23 4.2. Külső adatvédelmi tanúsítások...................................................................................... 25 4.3. Ajánlások: Jövőbeni fejlemények ................................................................................. 26 MELLÉKLET .......................................................................................................................... 28 a) Kiépítési modellek ........................................................................................................... 28 b) Szolgáltatásnyújtási modellek.......................................................................................... 29

4

1. Bevezetés Egyesek szerint a számítási felhő az utóbbi időben elért egyik legjelentősebb technológiai forradalmi vívmány. Mások úgy gondolják, hogy csupán az informatikai infrastruktúra hosszú ideje dédelgetett álmának megvalósítására szolgáló technológiák természetes fejlődéséről van szó. Mindenestre nagyon sok érdekelt biztosít kiemelt helyet a számítási felhőnek technológiai stratégiájának kidolgozása során. A számítási felhő olyan technológiákból és szolgáltatási modellekből áll, amelyek az ITalkalmazások, feldolgozási kapacitások, memória- és tárhelyek internetalapú igénybevételére és nyújtására helyezik a hangsúlyt. A számítási felhő komoly gazdasági hasznot hajthat, mivel az igény szerinti erőforrások nagyon könnyen konfigurálhatók, bővíthetők és hozzáférhetők az interneten. A gazdasági haszon mellett a számítási felhő biztonsági előnyökkel is járhat; a vállalkozások – különösen a kis- és középvállalkozások – elhanyagolható költséggel juthatnak hozzá olyan első osztályú technológiákhoz, amelyek különben megfizethetetlenek volnának számukra. A számításifelhő-szolgáltatók különféle szolgáltatások széles skáláját kínálják, a virtuális adatfeldolgozó rendszerektől (amelyek helyettesítik a hagyományos szervereket és/vagy azokkal párhuzamosan működnek az adatkezelő közvetlen ellenőrzése alatt) az alkalmazásfejlesztést és a kiterjesztett tárhelyszolgáltatást támogató szolgáltatásokig, és olyan webalapú szoftvermegoldásokig, amelyek felválthatják a végfelhasználók személyi számítógépein hagyományosan telepített alkalmazásokat. Ezek felölelik a szövegfeldolgozó alkalmazásokat, a napirendeket és naptárakat, az online dokumentum-tárolási és a kiszervezett elektronikus levelezési megoldások tárolási rendszereit. Az ilyen típusú szolgáltatások legelterjedtebb meghatározásainak egy része megtalálható e vélemény mellékletében. A 29. cikk szerinti adatvédelmi munkacsoport e véleményében elemzi az Európai Gazdasági Térségen (a továbbiakban: EGT) belüli adatkezelőkre, valamint az EGT-n belüli igénybevevőkkel rendelkező számításifelhő-szolgáltatókra alkalmazandó jogot és kötelezettségeket. E vélemény arra a feltételezett helyzetre összpontosít, amikor olyan adatkezelő és feldolgozó közötti kapcsolat jön létre, amelyben a fogyasztó minősül adatkezelőnek, a számításifelhő-szolgáltató pedig adatfeldolgozónak. Azokban az esetekben, amikor a számításifelhő-szolgáltató is adatkezelőként jár el, további követelményeknek kell eleget tennie. Következtetésképpen az adatkezelő azzal az előfeltétellel vehet igénybe számításifelhő-megállapodást, hogy megfelelő kockázatelemzést végez, amely kiterjed az adatfeldolgozást végző szerverek földrajzi helyére, valamint az adatvédelmi kockázatok és előnyök mérlegelésére az alábbi bekezdésekben körvonalazott kritériumok alapján. E vélemény meghatározza az általános adatvédelmi irányelvből (95/46/EK) kifolyólag az adatkezelőkre és –feldolgozókra egyaránt alkalmazandó elveket, így a célok meghatározását és korlátozását, az adatok törlését, valamint a technikai és szervezési intézkedéseket. A vélemény iránymutatást nyújt a szervezeti és eljárási biztosítékul is szolgáló biztonsági követelményekről. Különös hangsúlyt helyezünk az adatkezelő és adatfeldolgozó közötti viszonyt e kapcsolat során szabályozni hivatott szerződési szabályokra. Az adatbiztonság hagyományos céljai az adatok rendelkezésre állása, sértetlensége és bizalmas természete. Mindazonáltal az adatvédelem nem korlátozódik az adatbiztonságra, és ennélfogva az említett célokat az átláthatóságra, az elkülönítésre, a beavatkozási lehetőségre és a hordozhatóságra vonatkozó konkrét adatvédelmi célok egészítik ki, amelyek az EU Alapjogi Chartájának 8. cikkébe foglalt egyéni adatvédelemhez való jogot töltik meg tartalommal. 5

A személyes adatoknak az EGT-n kívülre történő továbbítása tekintetében olyan eszközöket elemeztünk, mint az Európai Bizottság által elfogadott általános szerződési feltételek, a megfelelőségi vizsgálatok, és az adatfeldolgozókra vonatkozó esetleges jövőbeni kötelező erejű vállalati szabályok, továbbá megvizsgáltuk a nemzetközi bűnüldözési megkeresésekből eredő adatvédelmi kockázatokat. E vélemény olyan ajánlásokkal zárul, amelyek címzettjei a számításifelhő-szolgáltatások adatkezelői szerepben lévő igénybevevői, az adatfeldolgozó szerepét betöltő számításifelhőszolgáltatók, valamint az európai adatvédelmi keret jövőbeni változásai tekintetében az Európai Bizottság. A berlini Nemzetközi Távközlési Adatvédelmi Munkacsoport 2012 áprilisában elfogadta Sopoti Nyilatkozatot2. E nyilatkozat megvizsgálja a számítási felhővel kapcsolatos magánéletés adatvédelmi kérdéseket, és azt hangsúlyozza, hogy a számítási felhő nem eredményezheti az adatvédelmi normák csökkenését a hagyományos adatfeldolgozáshoz képest.

2. A számítási felhő adatvédelmi kockázatai Mivel ez a vélemény a számításifelhő-szolgáltatások alkalmazásával járó személyesadatfeldolgozási műveletekre összpontosít, kizárólag az ezzel kapcsolatos konkrét kockázatokat mérlegeli 3 . Az említett kockázatok többsége két tág kategóriába – nevezetesen az adatok feletti ellenőrzés hiánya, valamint a magával a feldolgozási művelettel kapcsolatos elégtelen információk (az átláthatóság hiánya) – tartozik. E véleményben az alábbi konkrét kockázatokat mérlegeltük a számítási felhővel kapcsolatosan: Az ellenőrzés hiánya A számításifelhő-szolgáltatás igénybevevője, aki személyes adatokat bocsát a szolgáltató által kezelt rendszerek rendelkezésre, többé nem gyakorol kizárólagos ellenőrzést az említett adatok felett, és nem tudja megtenni az adatok rendelkezésre állása, sértetlensége és bizalmas természete, átláthatósága, elkülönítése 4 , az azokba történő beavatkozási lehetősége és az adatok hordozhatósága érdekében szükséges technikai és szervezési intézkedéseket. Az említett ellenőrzéshiány az alábbi módon nyilvánulhat meg: o A rendelkezésre állás hiánya az átjárhatóság hiánya („vendor lock-in”) miatt: Ha a számításifelhő-szolgáltató saját technológiát alkalmaz, előfordulhat, hogy az ügyfél számára nehézséget okoz az adatok vagy dokumentumok átvitele a számításifelhőalapú rendszerek között (adathordozhatóság), vagy az információcsere az eltérő szolgáltatók által kezelt számításifelhő-szolgáltatásokat alkalmazó szervezetekkel (átjárhatóság). o A sértetlenség hiánya az erőforrások megosztása miatt: A számítási felhőt megosztott rendszerek és infrastruktúrák alkotják. A számításifelhő-szolgáltatók az érintetteket és a szervezeteket illetően a források széles köréből származó személyes adatokat dolgoznak fel, és lehetséges, hogy ellentétes érdekek és/vagy eltérő célok jelenhetnek meg.

2 3 4

http://datenschutz-berlin.de/attachments/873/Sopot_Memorandum_Cloud_Computing.pdf Az e véleményben kifejezetten megemlített, a számítási felhőben történő adatfeldolgozással kapcsolatos kockázatok mellett figyelembe kell venni a személyes adatok feldolgozásával járó kockázatokat is. Németországban az „összekapcsolhatatlanság” tágabb fogalmát vezették be. Lásd az alábbi 24. lábjegyzetet.

6

o Az adatok bizalmas természetének hiánya a közvetlenül a számításifelhőszolgáltatóhoz intézett bűnüldözési megkeresések tekintetében: az uniós tagállamok és harmadik országok bűnüldöző szervei részéről bűnüldözési megkeresések érkezhetnek a számítási felhőben feldolgozásra kerülő személyes adatokra vonatkozóan. Fennáll a kockázata, hogy a személyes adatokat érvényes uniós jogalap nélkül hozhatják a (külföldi) bűnüldöző szervek tudomására, és így az uniós adatvédelmi jog megsértésére kerül sor. o A beavatkozási lehetőség hiánya a kihelyezési lánc bonyolultságának és dinamizmusának köszönhetően: Előfordulhat, hogy az egyik szolgáltató által kínált számításifelhő-szolgáltatást egy sor egyéb szolgáltatótól származó szolgáltatás vegyítésével hozzák létre. Az említett szolgáltatások folyamatosan kiegészülhetnek vagy eltávolításra kerülhetnek az ügyfél szerződésének fennállása alatt. o A beavatkozási lehetőség (az érintett jogainak) hiánya: A számításifelhő-szolgáltató esetleg nem bocsátja az adatkezelő rendelkezésére az ahhoz szükséges intézkedéseket és eszközöket, hogy pl. az adathozzáférés, az adatok törlése vagy helyesbítése tekintetében kezelhesse az adatokat. o Az elkülönítés hiánya: A számításifelhő-szolgáltató a személyes adatok összekapcsolása érdekében fizikai ellenőrzést gyakorolhat a különböző ügyfelektől származó adatok felett. Ha kellően kiemelt hozzáférési jogot biztosítanának a rendszergazdák számára (magas kockázatot jelentő szerepkör), akkor azok össze tudnák kapcsolni a különböző ügyfelektől származó információkat. Az adatfeldolgozásra vonatkozó információk hiánya (átláthatóság) A számításifelhő-szolgáltatások adatfeldolgozási műveleteivel kapcsolatos kellő tájékozottság hiánya kockázatot jelent az adatkezelők, valamint az érintettek számára, mivel előfordulhat, hogy nincsenek tudatában az esetleges veszélyeknek és kockázatoknak, és ennélfogva nem tudják meghozni az általuk megfelelőnek tekintett intézkedéseket. Egyes potenciális veszélyek abból eredhetnek, hogy az adatkezelők nincsenek tisztában azzal, hogy o több adatfeldolgozó és alvállalkozó bevonásával kialakított adatfeldolgozási lánc jön létre. o a személyes adatokat az EGT-n belül különböző földrajzi helyeken dolgozzák fel. Ez közvetlenül befolyásolja a felhasználó és a szolgáltató között esetlegesen kialakuló adatvédelmi jogvitákra alkalmazandó jogot. o a személyes adatokat az EGT-n kívüli harmadik országokba továbbítják. A harmadik országok esetleg nem biztosítanak megfelelő szintű adatvédelmet, valamint előfordulhat, hogy a továbbításokat nem biztosítják megfelelő intézkedésekkel (pl.: általános szerződési feltételek vagy kötelező vállalati szabályok), így azok jogellenesek lehetnek. Egy előírás szerint azokat az érintetteket, akiknek a személyes adatait számítási felhőben dolgozzák fel, tájékoztatni kell az adatkezelő személyéről és az adatfeldolgozás céljáról (a 95/46/EK adatvédelmi irányelv alapján valamennyi adatkezelőre vonatkozó, hatályos követelmény). Figyelemmel a felhő alapú számítástechnikai környezetében létrejövő adatfeldolgozási lánc esetleges bonyolultságára, az érintett vonatkozásában a tisztességes adatfeldolgozás biztosítása érdekében (a 95/46/EK irányelv 10. cikke) helyes módszert jelent, ha további tájékoztatást biztosítanak az adatkezelőnek a számításifelhőszolgáltatásokat nyújtó feldolgozókkal és alvállalkozókkal kapcsolatosan. 7

3. Jogi keret 3.1. Adatvédelmi keret A vonatkozó jogi keret a 95/46/EK adatvédelmi irányelv. Ez az irányelv alkalmazandó valamennyi olyan esetben, amikor számításifelhő-szolgáltatások igénybevétele következtében személyes adatokat dolgoznak fel. A (2009/136/EK irányelvvel felülvizsgált) 2002/58/EK emagánélet irányelv a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyilvános hírközlési hálózatokon (távközlési szolgáltatók) történő nyújtásával kapcsolatos személyesadat-feldolgozásra vonatkozik, így akkor is alkalmazni kell, ha felhőalapú számítástechnikai megoldás segítségével nyújtanak ilyen szolgáltatásokat5.

3.2. Alkalmazandó jog A jog alkalmazhatóságának megállapítására szolgáló kritériumokat a 95/46/EK rendelet 4. cikke tartalmazza, amely hivatkozik az EGT-n belül egy vagy több telephellyel rendelkező adatkezelőkre alkalmazandó jogra6, továbbá az EGT-n kívüli, azonban a személyes adatok feldolgozására az EGT területén belül található eszközt használó adatkezelőkre alkalmazandó jogra. A 29. cikk szerinti adatvédelmi munkacsoport az alkalmazandó jogról szóló 8/2010. sz. véleményében elemezte ezt a kérdést7. Az első esetben az uniós jognak az adatkezelőre való alkalmazását kiváltó tényező – az irányelv 4. cikke (1) bekezdésének a) pontja szerint – a letelepedése és az általa végzett tevékenység. E tekintetben a számítási felhő típusú szolgáltatási modell nem releváns. Az alkalmazandó jog annak az országnak a joga, ahol a számításifelhő-szolgáltatásokra szerződő adatkezelő letelepedett, nem pedig az a hely, ahol a számításifelhő-szolgáltatók találhatók. Amennyiben az adatkezelő különböző tagállamokban telepedett le, és az ezekben az országokban folytatott tevékenysége részeként adatokat dolgoz fel, az alkalmazandó jog mindegyik olyan tagállam joga, amelyben e feldolgozás megvalósul. A 4. cikk (1) bekezdésének c) pontja8 arról tesz említést, hogy milyen módon kell alkalmazni az adatvédelmi jogszabályokat azokra az adatkezelőkre, akik nem telepedtek le az EGT területén, és gépi vagy más olyan eszközt alkalmaznak, amely a tagállam területén található, kivéve, ha ezt az eszközt kizárólag átmenő adatforgalom céljára használják. Tehát amennyiben egy számításifelhő-szolgáltatás igénybevevője az EGT területén kívül telepedett le, azonban az EGT területén található számításifelhő-szolgáltatót bíz meg, a szolgáltató az igénybevevőre is kiterjeszti az adatvédelmi jogszabályok hatályát.

5

6 7 8

Az e-magánéletről szóló (a 2009/136/EK irányelvvel módosított) 2002/58/EK irányelv: A hírközlési adatvédelemről szóló 2002/58/EK irányelv a nyilvánosan elérhető hírközlési szolgáltatások szolgáltatóira alkalmazandó, és kötelezővé teszi számukra a közlések titkosságára és a személyes adatok védelmére vonatkozó kötelezettségek, valamint a hírközlési hálózatokkal és szolgáltatásokkal kapcsolatos jogok és kötelezettségek betartását. Azokban az esetekben, amikor a számításifelhő-szolgáltatók nyilvánosan elérhető hírközlési szolgáltatások szolgáltatóiként járnak el, ezen irányelv hatálya alá tartoznak. Az adatkezelő fogalma az irányelv 2. cikkének h) pontjában található, és a 29. cikk szerinti munkacsoport az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. sz. véleményében elemezte azt. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_hu.pdf A 4. cikk (1) bekezdésének c) pontja kimondja, hogy egy tagállam jogát kell alkalmazni, amennyiben „az adatkezelő nem telepedett le a Közösség területén, és a személyes adatok feldolgozása céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található, kivéve, ha ezt az eszközt kizárólag a Közösség területén átmenő adatforgalom céljára használják”.

8

3.3. A különböző szereplők feladat- és felelősségi köre Amint korábban jeleztük, a számítási felhőben számos különböző szereplő vesz részt. Fontos megvizsgálni és tisztázni az egyes szereplők szerepét annak megállapítása érdekében, hogy milyen konkrét kötelezettségek vonatkoznak rájuk a jelenlegi adatvédelmi jogszabályok tekintetében. Érdemes felidézni, hogy a 29. cikk szerinti adatvédelmi munkacsoport az „adatkezelő” és az „adatfeldolgozó” fogalmáról szóló 1/2010. számú véleményében rámutatott, hogy „az adatkezelő fogalmának első és legfontosabb szerepe annak meghatározása, hogy ki felelős az adatvédelmi szabályok betartásáért, és hogy az érintettek a gyakorlatban hogyan tudják érvényesíteni a jogaikat. Más szóval: a felelősség elosztása.” A részt vevő feleknek a szóban forgó elemzés során mindvégig szem előtt kell tartaniuk ezt a két általános kritériumot a szabályok betartásáért viselt felelősség és a felelősség elosztása vonatkozásában. 3.3.1. A számításifelhő-szolgáltatás igénybevevője és szolgáltatója A számításifelhő-szolgáltatás igénybevevője határozza meg az adatfeldolgozás végső célját, és dönt e feldolgozás kihelyezéséről, valamint a feldolgozási tevékenységek összességének vagy egy részének külső szervezetre történő átruházásáról. A számításifelhő-szolgáltatás igénybevevője tehát adatkezelőként jár el. Az irányelv az alábbiak szerint határozza meg az adatkezelőt: „az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját”. A számításifelhő-szolgáltatás igénybevevője, mint adatkezelő köteles elfogadni az adatvédelmi jogszabályok betartásáért viselt felelősséget, továbbá felelős a 95/46/EK irányelvben tárgyalt valamennyi jogi kötelezettségért, amelyek őt is kötelezik. A számításifelhő-szolgáltatás igénybevevője megbízhatja a számításifelhő-szolgáltatót az adatkezelő céljainak eléréséhez használt módszerek, valamint technikai és szervezési intézkedések megválasztásával. A számításifelhő-szolgáltató a fentiekben tárgyalt különféle formákban számításifelhőszolgáltatásokat nyújtó szervezet. Amennyiben – a szolgáltatás igénylőjének nevében eljárva – a számításifelhő-szolgáltató biztosítja az adatfeldolgozás módját és a platformját, úgy kell tekinteni, hogy a szolgáltató az adatfeldolgozó, vagyis a 95/46/EK irányelv szerint „az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében”910. Amint az 1/2010. számú véleményben11 megállapítottuk, egyes kritériumok felhasználhatók az adatkezelői minőség értékelésére. Ugyanis előfordulhatnak olyan helyzetek, amikor a számításifelhő-szolgáltató a konkrét körülményektől függően közös adatkezelőnek vagy saját jogú adatkezelőnek is tekinthető. Ez lehet a helyzet például, amennyiben a szolgáltató a saját céljaira dolgozza fel az adatokat. Hangsúlyozni kell, hogy még egy olyan összetett adatfeldolgozási környezetben is, ahol különböző adatkezelők játszanak szerepet a személyes adatok feldolgozása során, világosan el kell különíteni az adatvédelmi szabályok betartásával, és az említett szabályok esetleges 9 10

11

Ez a vélemény kizárólag a szabályos adatkezelő – adatfeldolgozó kapcsolatra összpontosít. Természetes személyek (felhasználók) is használhatják a számítási felhő környezetet kizárólag személyes vagy háztartási tevékenységek végzése céljából. Ilyen esetekben alaposan meg kell vizsgálni, hogy alkalmazandó-e az úgynevezett háztartási kivétel, amely mentesíti a felhasználókat az adatkezelői minőségtől. E kérdés azonban túlmutat az e vélemény által vizsgáltak körén. Pl.: A számításifelhő-szolgáltatás igénybevevője általi utasítások és felügyelet foka, a felek szakértelme.

9

megsértésével kapcsolatos felelősségi köröket annak érdekében, hogy elkerüljék a személyes adatok védelmének csökkenését vagy „negatív hatásköri összeütközés” és olyan szabályozási hézagok megjelenését, amelyek következtében a felek egyike sem biztosítja az irányelvből származó egyes kötelezettségeket és jogokat. A számítási felhő jelenlegi viszonyai között előfordulhat, hogy a számításifelhőszolgáltatások igénybevevője nem rendelkezik mozgástérrel az ilyen szolgáltatás szerződéses felhasználási feltételeinek megtárgyalása során, mivel szabványosított ajánlatok jellemzőek sok számításifelhő-szolgáltatásra. Mindazonáltal, végső soron az igénybevevő dönt az adatfeldolgozási műveletek egy részének vagy egészének konkrét célok érdekében számításifelhő-szolgáltatásokhoz rendeléséről; a számításifelhő-szolgáltató szerepe a vállalkozó és az ügyfél kapcsolatának felel meg, és ebben az esetben ez a döntő kérdés. Amint a 29. cikk szerinti adatvédelmi munkacsoport az „adatkezelő” és az „adatfeldolgozó” fogalmáról szóló 1/2010. számú véleményében12 leszögezte: „egy kis adatkezelő és a nagy szolgáltatók alkupozíciójának egyenlőtlensége nem indokolhatja, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak”. Ezért az adatkezelőnek olyan számításifelhő-szolgáltatót kell választania, aki garantálja az adatvédelmi jogszabályok betartását. Különös hangsúlyt kell helyezni az alkalmazandó szerződések jellemzőire. Ezeknek ki kell terjedniük szabványos adatvédelmi biztosítékokra, így a munkacsoport által a 3.4.3. szakaszban (technikai és szervezési intézkedések) és a 3.5. szakaszban (határon átnyúló adatáramlás) körvonalazottakra is, valamint bármely olyan további mechanizmusra, amely alkalmasnak bizonyulhat a kellő gondosság és az elszámoltathatóság elősegítésére (például egy adott szolgáltató szolgáltatásainak független külső ellenőrzése és tanúsítása – lásd a 4.2. szakaszt). A számításifelhő-szolgáltatók (mint adatfeldolgozók) feladata a bizalmas kezelés biztosítása. A 95/46/EK megállapítja, hogy: „Bármely, az adatkezelő vagy az adatfeldolgozó meghatalmazásával eljáró személy, beleértve magát az adatfeldolgozót is, aki a személyes adatokhoz hozzáféréssel rendelkezik, kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat, kivéve, ha erre őt jogszabály kötelezi.” Az irányelv 17. cikke előírásainak betartására vonatkozó követelmény alapvetően meghatározza a számításifelhőszolgáltató adatokhoz való hozzáférését is a szolgáltatásnyújtás folyamán (lásd a 3.4.2. szakaszt). A feldolgozóknak figyelembe kell venniük a kérdéses számítási felhő típusát (nyilvános, magán, közösségi vagy vegyes / infrastruktúra-, szoftver- vagy platform-szolgáltatás (IaaS, SaaS vagy PaaS) [lásd a mellékletet a) Kiépítési modellek – b) Szolgáltatásnyújtási modellek] valamint az ügyfél által megrendelt szolgáltatás típusát. Az adatfeldolgozók felelnek az adatkezelő és az adatfeldolgozó országában alkalmazott uniós jogszabályoknak megfelelő biztonsági intézkedések elfogadásáért. Az adatfeldolgozónak emellett támogatnia és segítenie kell az adatkezelőt az érintettek (által gyakorolt) jogok tiszteletben tartása során. 3.3.2. Alvállalkozók A számításifelhő-szolgáltatások számos, adatfeldolgozóként eljáró szerződő fél bevonásával járhatnak. Az is általános, hogy az adatfeldolgozók további alvállalkozókkal kötnek szerződést, akik ezután hozzáférést kapnak a személyes adatokhoz. Ha az adatfeldolgozók alvállalkozásba adják a szolgáltatásokat, kötelesek ezt az információt az igénybevevő rendelkezésére bocsátani, részletesen megjelölve az alvállalkozásba adott szolgáltatás típusát, 12

1/2010. számú vélemény az „adatkezelő” és az „adatfeldolgozó” http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_hu.pdf

fogalmáról

-

10

a meglévő vagy potenciális alvállalkozók jellemzőit, továbbá a 95/46/EK irányelv betartására vonatkozó azon garanciákat, amelyeket ezek a szervezetek nyújtanak a számításifelhőszolgáltatónak. Ennélfogva az alvállalkozókra is alkalmazni kell valamennyi vonatkozó kötelezettséget a számításifelhő-szolgáltató és az alvállalkozó közötti olyan szerződések révén, amelyek a számításifelhő-szolgáltatás igénybevevője és a szolgáltató közötti szerződés rendelkezéseit tükrözik. Az „adatkezelő” és az „adatfeldolgozó” fogalmáról szóló 1/2010. számú véleményében a 29. cikk szerinti adatvédelmi munkacsoport több adatfeldolgozóról tesz említést azokban az esetekben, amikor az adatfeldolgozók közvetlen kapcsolatban állhatnak az adatkezelővel, vagy alvállalkozóként működhetnek, amennyiben az adatfeldolgozók átruházták a rájuk bízott feldolgozási tevékenységek egy részét. „Az irányelvben semmi sem akadályozza meg, hogy szervezeti követelmények miatt számos adatfeldolgozót vagy további (al-)adatfeldolgozókat jelöljenek ki a releváns feladatok további felosztásával. Azonban a feldolgozás végrehajtásában mindegyiküknek be kell tartaniuk az adatkezelőtől kapott utasításokat.”13 Ilyen helyzetekben – a feldolgozási tevékenységek hatékony ellenőrzése és az azokért viselt egyértelmű felelősség megállapítása érdekében – világosan meg kell határozni az adatvédelmi jogszabályokból származó kötelezettségeket és felelősségeket, amelyek nem forgácsolódhatnak szét a kiszervezési vagy alvállalkozási lánc mentén. A személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010. február 5-i bizottsági határozat 14 vezetett be elsőként egy olyan lehetséges biztosítási modellt, amely alkalmazható az adatfeldolgozók feladatainak és kötelezettségeinek tisztázásra az adatfeldolgozás alvállalkozásba adása esetén. Ebben a modellben az alvállalkozásba adás kizárólag az adatkezelő előzetes írásbeli hozzájárulása esetén engedélyezett, amennyiben az írásbeli megállapodás az adatfeldolgozó tekintetében meghatározottakkal azonos kötelezettségeket állapít meg az alvállalkozó számára. Amennyiben a további feldolgozó nem tesz eleget az ilyen írásos megállapodásból fakadó adatvédelmi kötelezettségeinek, az adatfeldolgozó továbbra is teljes felelősséggel tartozik az adatkezelő felé a további feldolgozó e megállapodásból fakadó kötelezettségeinek teljesítéséért. A további feldolgozáshoz szükséges garanciák biztosítása céljából ilyen rendelkezést alkalmazhatnának az adatkezelő és a számításifelhő-szolgáltató közötti szerződési feltételek között, amennyiben az utóbbi alvállalkozás révén kívánja nyújtani a szolgáltatásokat. A Bizottság az általános adatvédelmi rendeletre irányuló javaslat15 keretében nemrég hasonló megoldást javasolt a további feldolgozás folyamán nyújtandó biztosítékok tekintetében. Az adatfeldolgozó tevékenységét olyan szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti, és amely az adatfeldolgozó vonatkozásában egyéb előírások mellett különösen megköveteli, hogy az adatfeldolgozó másik adatfeldolgozót kizárólag az adatkezelő előzetes engedélyével vegyen igénybe (a javaslat 26. cikkének (2) bekezdése).

13 14 15

Vö.: 169. sz. munkadokumentum, 29. o., 1/2010. számú vélemény az „adatkezelő” és az „adatfeldolgozó” fogalmáról, (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_hu.pdf) Lásd: 176. számú munkadokumentum, Gyakran feltett kérdések, II. 5. Javaslat az Európai Parlament és a Tanács rendeletére a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról – 2012.1.25.

11

A 29. cikk szerinti adatvédelmi munkacsoport szerint az adatfeldolgozó kizárólag az adatkezelő hozzájárulása alapján adhatja alvállalkozásba a tevékenységeit. A hozzájárulás általában a szolgáltatás kezdetén adható meg16, és az adatfeldolgozó egyértelműen köteles tájékoztatni az adatkezelőt az alvállalkozók kiegészítésével vagy eltávolítással kapcsolatos bármely tervezett változtatásról, az adatkezelő pedig fenntartja annak lehetőségét, hogy bármikor kifogásolja ezeket a változtatásokat vagy felmondja a szerződést. A számításifelhőszolgáltatót világosan kötelezni kell valamennyi megbízott alvállalkozó megnevezésére. Emellett a számításifelhő-szolgáltató és az alvállalkozó által aláírt szerződésnek tükröznie kell a számításifelhő-szolgáltatás igénybevevője és a szolgáltató közötti szerződés rendelkezéseit. Az adatkezelőnek képesnek kell lennie arra, hogy az alvállalkozók által okozott szerződésszegések esetén igénybe vegye a szerződéses jogorvoslati lehetőségeket. Ez biztosítható oly módon, hogy az adatfeldolgozó közvetlenül felel az adatkezelő felé az általa igénybe vett alvállalkozók által okozott bármely szerződésszegésért, vagy pedig az adatkezelőt megillető perlési jog létesítésével az adatfeldolgozó és az alvállalkozók által aláírt szerződésekben, illetve azáltal, hogy az említett szerződéseket az adatkezelő nevében írják alá, így az utóbbi a szerződés részes felévé válik.

3.4. Adatvédelmi követelmények az igénybevevő és a szolgáltató közötti kapcsolatban 3.4.1. Az alapelvek betartása A számítási felhőben kezelt személyes adatok feldolgozásának jogszerűsége az uniós adatvédelmi jog következő alapelveinek betartásától függ: Nevezetesen garantálni kell az érintett számára az átláthatóságot, be kell tartani a cél meghatározásának és korlátozásának elvét, továbbá törölni kell a személyes adatokat, ha a tárolásukra már nincsen szükség. Ezenfelül megfelelő technikai és szervezési intézkedéseket kell foganatosítani a megfelelő szintű adatvédelem és adatbiztonság biztosítása érdekében. 3.4.1.1. Átláthatóság Az átláthatóság alapvető fontosságú a személyes adatok tisztességes és jogszerű feldolgozása szempontjából. A 95/46/EK irányelv arra kötelezi a számításifelhő-szolgáltatás igénybevevőjét, hogy nyújtson tájékoztatást az adatkezelő személye és az adatfeldolgozás célja tekintetében annak az érintettnek, akitől őrá vonatkozó adatokat gyűjt. A számításifelhőszolgáltatás igénybevevőjének minden további adatot is meg kell adnia, így például az adatok átvevőit, illetve az adatátvevők kategóriáit, beleértve esetleg az adatfeldolgozókat és a további feldolgozókat is, amennyiben e további információk, az érintett vonatkozásában a tisztességes adatfeldolgozás biztosításához szükségesek (lásd az irányelv 10. cikkét)17. Az átláthatóságot biztosítani kell a számításifelhő-szolgáltatás igénybevevője, a szolgáltató és az (esetleges) alvállalkozók kapcsolatában/kapcsolataiban is. A számításifelhő-szolgáltatás igénybevevője csak akkor tudja értékelni a számítási felhőben zajló személyesadatfeldolgozás jogszerűségét, ha a szolgáltató minden releváns kérdésről tájékoztatja az igénybevevőt. Annak az adatkezelőnek, aki számításifelhő-szolgáltató alkalmazását fontolgatja, gondosan ellenőriznie kell a számításifelhő-szolgáltató szerződési feltételeit, és adatvédelmi szempontból értékelnie kell azokat.

16 17

Lásd: a 2010. július 12-én elfogadott 176. számú munkadokumentum, Gyakran ismételt kérdések II. 1. Az érintett tájékoztatására vonatkozó, hasonló kötelezettség áll fenn, amennyiben a nem az érintettől, hanem más forrásokból beszerzett adatokat rögzítik vagy harmadik fél tudomására hozzák (vö.: 11. cikk).

12

A számítási felhő átláthatósága azt jelenti, hogy a számításifelhő-szolgáltatás igénybevevőjének ismernie kell a megfelelő számításifelhő-szolgáltatáshoz hozzájáruló minden alvállalkozót, valamint az összes olyan adatközpont helyét, ahol a személyes adatokat feldolgozhatják18. Ha a szolgáltatásnyújtás szoftver telepítését teszi szükségessé a számításifelhő-szolgáltatás igénybevevőjének rendszereibe (pl.. böngészőbővítmények), a számításifelhő-szolgáltatónak helyes módszerként tájékoztatnia kell az igénybevevőt erről a körülményről, és különösen annak az adatvédelmi és az adatbiztonsági szempontot érintő következményeiről. Ellenkező esetben pedig a számításifelhő-szolgáltatás igénybevevőjének utólag kell felvetnie ezt a kérdést, ha a szolgáltató nem foglalkozott azzal megfelelően. 3.4.1.2. Célmeghatározás és -korlátozás A cél meghatározásának és korlátozásának elve előírja, hogy személyes adatok gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal összeegyeztethetetlen módon (lásd a 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontját). A számításifelhő-szolgáltatás igénybevevőjének meg kell határoznia a feldolgozás célját/céljait mielőtt a személyes adatokat gyűjtene az érintettől, és az érintettet tájékoztatnia kell arról/azokról. A számításifelhő-szolgáltatás igénybevevője nem dolgozhat fel személyes adatokat olyan egyéb célokból, amelyek nem egyeztethetők össze az eredeti célokkal. Ezenfelül biztosítania kell, hogy a számításifelhő-szolgáltató vagy annak egyik alvállalkozója ne dolgozhassa fel (illegálisan) a személyes adatokat további célok érdekében. Mivel egy tipikus számítási felhő esetében könnyen előfordulhat, hogy nagyszámú alvállalkozó bevonására kerül sor, ezért igen magasnak kell tekinteni annak a kockázatát, hogy további összeegyeztethetetlen célok érdekében dolgoznak fel személyes adatokat. E kockázat minimálisra csökkentése érdekében a számításifelhő-szolgáltató és az igénybevevő közötti szerződésnek olyan technikai és szervezési intézkedéseket kell tartalmaznia, amelyek e kockázat enyhítésére irányulnak, és biztosítékot nyújtanak a számításifelhő-szolgáltató vagy az alvállalkozó alkalmazottai által végzett, releváns személyesadat-feldolgozási műveletek naplózására és ellenőrzésére.19 A szerződésben szankciókat kell meghatározni a szolgáltatóval vagy az alvállalkozóval szemben, ha megsértik az adatvédelmi jogszabályokat. 3.4.1.3. Az adatok törlése A 95/46/EK irányelv 6. cikke (1) bekezdésének e) pontja értelmében a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A már nem szükséges személyes adatokat törölni kell, vagy valóban anonimmá kell tenni. Ha ezeket az adatokat a törvényes megőrzési szabályok miatt nem lehet törölni (pl.: adózási szabályozások), akkor zárolni kell az említett személyes adatokat. A számításifelhőszolgáltatás igénybevevője felel annak biztosításáért, hogy töröljék a személyes adatokat, amint a fenti értelemben már nincs rájuk szükség20.

18

19 20

Kizárólag ekkor tudja majd értékelni, hogy a személyes adatok továbbíthatók-e az Európai Gazdasági Térségen (EGT) kívüli úgynevezett harmadik országba, amely nem biztosít megfelelő szintű adatvédelmet a 95/46/EK irányelv értelmében. Lásd továbbá az alábbi 3.4.6. szakaszt. Lásd az alábbi 3.4.3. szakaszt. Az adatok törlésének kérdése a számítási felhőre vonatkozó szerződés teljes időtartama alatt, és annak megszűnésekor is felmerül. A kérdés egy adott alvállalkozó helyettesítése vagy eltávolítása esetén is releváns.

13

Az adatok törlésének elvét attól függetlenül kell alkalmazni a személyes adatokra, hogy merevlemezes meghajtón vagy egyéb adathordozón (pl.: biztonsági másolatok) tárolják azokat. Mivel előfordulhat, hogy a személyes adatokat különböző helyeken lévő eltérő szervereken többszörözve tárolják, biztosítani kell, hogy minden példányt visszavonhatatlanul töröljenek (azaz a korábbi verziókat, az ideiglenes fájlokat, sőt a fájltöredékeket is törölni kell). A számításifelhő-szolgáltatás igénybevevőinek tudniuk kell, hogy a pl. az adatok tárolásának, módosításának vagy törlésének ellenőrzését megkönnyítő naplóadatok 21 szintén személyes adatnak minősülhetnek az adott feldolgozási műveletet kezdeményező személy vonatkozásában22. A személyes adatok biztonságos törlése szükségessé teszi az adathordozó megsemmisítését vagy demagnetizálását, illetve a tárolt személyes adatok tényleges törlését azok felülírásával. A személyes adatok felülírására olyan speciális szoftvereszközöket kell alkalmazni, amelyek egy elismert specifikációnak megfelelően többször felülírják az adatokat. A számításifelhő-szolgáltatás igénybevevőjének meg kell bizponyosodnia arról, hogy a szolgáltató biztosítja a fenti értelemben vett törlést, továbbá hogy a szolgáltató és az igénybevevő szerződése világosan rendelkezést tartalmaz a személyes adatok törlésére vonatkozóan23. Ugyanez vonatkozik a számításifelhő-szolgáltató és az alvállalkozók közötti szerződésekre is. 3.4.2. Az „adatkezelő” és az „adatfeldolgozó” kapcsolatára/kapcsolataira vonatkozó szerződéses biztosítékok Amennyiben az adatkezelő úgy dönt, hogy számításifelhő-szolgáltatásra vonatkozó szerződést köt, köteles olyan adatfeldolgozót választani, aki a technikai biztonsági intézkedések és az elvégzendő adatfeldolgozásra vonatkozó szervezési intézkedések tekintetében megfelelő garanciákat nyújt, továbbá köteles biztosítani az említett intézkedések teljesítését (a 95/46/EK irányelv 17. cikkének (2) bekezdése). Ezenfelül jogilag köteles hivatalos szerződést aláírni a számításifelhő-szolgáltatóval, amint azt a 95/46/EK irányelv 17. cikkének (3) bekezdése megállapítja. Ez a cikk vezeti be azt a követelményt, hogy az adatkezelő és az adatfeldolgozó közötti kapcsolatra történő adatfeldolgozásra szerződésnek vagy kötelező jogi aktusnak kell vonatkoznia. A bizonyítékok megőrzése céljából, a szerződés vagy a jogi aktus adatvédelemre vonatkozó részeit, és a technikai és szervezési intézkedésekre vonatkozó követelményeket írásba vagy más, ezzel egyenértékű formába kell foglalni. A szerződésben legalább azt meg kell határozni, hogy az adatfeldolgozónak követnie kell az adatkezelő utasításait, továbbá hogy az adatfeldolgozónak a személyes adatok megfelelő védelme érdekében végre kell hajtania a technikai és szervezési intézkedéseket. A jogbiztonság érdekében a szerződésnek szabályoznia kell az alábbi kérdéseket: 1. Az igénybevevőnek a szolgáltató számára kiadandó utasításaival kapcsolatos részletek (azok terjedelme és módozatai), különös tekintettel a szolgáltatási szintre vonatkozó, alkalmazandó megállapodásokra (amelyeknek objektívnek és mérhetőnek kell lenniük), valamint a releváns szankciókra (pénzügyi vagy egyéb szankciók, beleértve a szolgáltató beperelésének lehetőségét a megfelelés elmulasztása esetén).

21 22 23

A naplózási követelményekre vonatkozó észrevételek az alábbi 4.3.4.2. szakaszban találhatók. Tehát meg kell határozni a naplófájlok ésszerű megőrzési időszakait, és be kell vezetni az ezen adatok időben történő törlésére és anonimmá tételére vonatkozó eljárásokat. Lásd az alábbi 3.4.3. szakaszt.

14

2. Azoknak a biztonsági előírásoknak a meghatározása, amelyeket a számításifelhőszolgáltatónak a feldolgozás kockázataitól és a védendő adatok jellegétől függően be kell tartania. Rendkívül fontos, hogy olyan konkrét technikai és szervezési intézkedéseket határozzanak meg, mint amelyeket az alábbi 3.4.3. szakaszban körvonalazunk. Ez nem érinti az igénybevevő nemzeti joga alapján esetleg előirányozható szigorúbb intézkedések alkalmazását. 3. A számításifelhő-szolgáltató által nyújtandó számításifelhő-szolgáltatás tárgya és időkerete, a számításifelhő-szolgáltató általi személyesadat-feldolgozás terjedelme, módja és célja, valamint a feldolgozott személyes adatok típusai. 4. A (személyes) adatok szolgáltatására vagy az adatoknak a szolgáltatás befejezése utáni megsemmisítésére vonatkozó feltételek meghatározása. Továbbá biztosítani kell, hogy a számításifelhő-szolgáltatás igénybevevőjének kérésére biztonságosan töröljék a személyes adatokat. 5. A számításifelhő-szolgáltatóra és annak az adatokhoz esetlegesen hozzáférő alkalmazottaira egyaránt kötelező titoktartási záradék szerződésbe foglalása. Kizárólag az arra felhatalmazott személyek férhetnek hozzá az adatokhoz. 6. A szolgáltató azon kötelezettsége, hogy támogatnia kell az igénybevevőt annak elősegítésében, hogy az érintett gyakorolhassa az adataihoz való hozzáféréshez, azok helyesbítéséhez vagy törléséhez fűződő jogait. 7. A szerződésben kifejezetten meg kell állapítani, hogy a számításifelhő-szolgáltató még megőrzési célokból sem közölheti az adatokat harmadik felekkel, kivéve, ha a szerződés rendelkezik alvállalkozók alkalmazásáról. A szerződésnek ki kell mondania, hogy alvállalkozók csak az adatkezelő által adható általános hozzájárulás alapján bízhatók meg, az adatfeldolgozó azon egyértelmű kötelezettségének megfelelően, hogy tájékoztatnia kell az adatkezelőt bármely e tekintetben tervezett változtatásról, az adatkezelő pedig fenntartja magának azt a lehetőséget, hogy bármikor kifogásolja ezeket a változtatásokat vagy felmondja a szerződést. A számításifelhő-szolgáltatót világosan kötelezni kell valamennyi megbízott alvállalkozó megnevezésére (pl.: nyilvános digitális nyilvántartásban). Biztosítani kell, hogy a számításifelhőszolgáltató és az alvállalkozó közötti szerződések tükrözzék a számításifelhőszolgáltatás igénybevevője és a szolgáltató szerződésének rendelkezéseit (vagyis az alvállalkozókat ugyanazon szerződéses kötelezettségek terheljék, mint a számításifelhő-szolgáltatót). Garantálni kell, hogy a számításifelhő-szolgáltató és az alvállalkozók kizárólag az igénybevevő utasításai alapján járjanak el. Amint az alvállalkozásról szóló fejezetben kifejtettük, a szerződésben világosan meg kell határozni a felelősségi láncot. Kötelezővé kell tenni az adatfeldolgozó számára, hogy az általános szerződési feltételekről szóló 2010/87/EU határozat alapján szervezze meg a nemzetközi adattovábbításokat, például az alvállalkozókkal aláírt szerződések révén. 8. A számításifelhő-szolgáltató azon feladatkörének tisztázása, hogy az számításifelhőszolgáltatás igénybevevőjének adatait érintő bármely adatsértés esetén értesítenie kell az igénybevevőt. 9. A számításfelhő-szolgáltató kötelezettsége azon helyszínek listájának megadására, ahol adatfeldolgozásra kerülhet sor. 10. Az adatkezelő felügyeleti joga, valamint a számításifelhő-szolgáltató ehhez kapcsolódó együttműködési kötelezettsége.

15

11. A szerződésben rögzíteni kell, hogy a számításifelhő-szolgáltató köteles tájékoztatni az igénybevevőt az érintett számításifelhő- szolgáltatással kapcsolatos, lényeges változtatásokról, így például további funkciók kialakításáról. 12. A szerződésben elő kell írni a számításifelhő-szolgáltató vagy az alvállalkozók által végzett, releváns személyesadat-feldolgozási műveletek naplózását és ellenőrzését. 13. A számításifelhő-szolgáltató igénybevevőjének értesítése a bűnüldöző szerveknek a személyes adatok közlésére irányuló felhívásáról, amely ellenkező értelmű tilalom – például egy bűnügyi nyomozás titkosságának megőrzése érdekében fennálló büntetőjogi tilalom – hiányában jogilag kötelező erejű. 14. A szolgáltató általános kötelezettsége annak biztosítására, hogy belső szervezete és adatfeldolgozási szabályai (és adott esetben az alvállalkozóié) megfelelnek az alkalmazandó nemzeti és nemzetközi jogi kötelezettségeknek és normáknak. Az adatkezelő jogsértése esetén, a jogellenes adatfeldolgozás következtében károsodó személyek jogosultak az okozott károknak az adatkezelő általi megtérítésére. Amennyiben az adatfeldolgozók bármely egyéb célra használják az adatokat, illetve a szerződést megszegve közlik vagy használják fel azokat, adatkezelőnek kell őket tekinteni, és felelősséget kell viselniük a személyes részvételükkel elkövetett jogsértésekért. Említést érdemel, hogy a számításifelhő-szolgáltatók sok esetben szabványos szolgáltatásokat kínálnak, és olyan szerződések aláírását ajánlják az adatkezelőknek, amelyek a személyes adatok feldolgozásának szabványos formátumát határozzák meg. A kis adatkezelők és nagyméretű szolgáltatók alkupozíciójának egyenlőtlensége nem tekinthető megfelelő indoknak ahhoz, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak. 3.4.3. Az adatvédelem és adatbiztonság technikai és szervezési intézkedései A 95/46/EK irányelv 17. cikkének (2) bekezdése az (adatkezelőként eljáró) számításifelhőszolgáltatás igénybevevőkre helyezi a teljes felelősséget az olyan számításifelhő-szolgáltatók megválasztásáért, amelyek a személyes adatok védelme érdekében megfelelő technikai és szervezési intézkedéseket hajtanak végre, és képesek az elszámoltathatóság igazolására. A rendelkezésre állásra, a sértetlenségre és bizalmas természetre vonatkozó alapvető adatbiztonsági célkitűzések mellett az átláthatóságra (lásd a fenti 3.4.1.1. szakaszt), az elkülönítésre 24 , a beavatkozási lehetőségre és a hordozhatóságra vonatkozó kiegészítő adatvédelmi célokra is figyelmet kell fordítani. E szakasz kiemeli az említett központi adatvédelmi célokat, anélkül, hogy érintené az azt kiegészítő, egyéb biztonság-orientált kockázatelemzést25. 3.4.3.1. Rendelkezésre állás A rendelkezésre állás biztosítása azt jelenti, hogy gyors és megbízható hozzáférést biztosítanak a személyes adatokhoz. A számítási felhőn belül a rendelkezésre állást fenyegető egyik legnagyobb veszély az igénybevevő és szolgáltató közötti hálózati kapcsolat véletlenszerű megszakadása, illetve a szerverteljesítmény hirtelen megszűnése, amelyet rosszindulatú tevékenységek, így a 24 25

Németországban az „összekapcsolhatatlanság” tágabb fogalmát iktatták bele a jogszabályokba, és az adatvédelmi biztosok konferenciája is ezt szorgalmazta. Lásd pl. az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) elemzését: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment

16

megosztott szolgáltatás-megtagadással (DoS) 26 járó támadások okoznak. A rendelkezésre állás egyéb kockázatai közé tartoznak a hálózatban és számítási felhő feldolgozási és adattárolási rendszereiben fellépő, véletlenszerű hardverhibák, feszültség-kimaradások és egyéb infrastrukturális problémák. Az adatkezelőknek ellenőrizniük kell, hogy a számításifelhő-szolgáltató ésszerű intézkedéseket fogadott-e el a szolgáltatás megszakadásval kapcsolatos kockázat kiküszöbölésére (így pl.: tartalék internetes hálózati kapcsolatok, redundáns adattárolás és az adatok biztonsági másolatára vonatkozó hatékony mechanizmusok). 3.4.3.2. Sértetlenség A sértetlenség az adatok azon tulajdonságaként határozható meg, hogy hitelesek, és a feldolgozás, a tárolás vagy a továbbítás folyamán nem került sor azok rosszindulatú vagy véletlen módosítására. A sértetlenség fogalma kiterjeszthető az IT-rendszerekre, és azt követeli meg, hogy az e rendszerekben történő feldolgozás során változatlanok maradjanak a személyes adatok. A személyes adatok módosításainak felderítése kriptografikai hitelesítési mechanizmusok (így üzenet hitelesítési kódok vagy aláírások) segítségével valósítható meg. Behatolásérzékelő/megelőző rendszerek (IPS/IDS) alkalmazásával megelőzhető vagy felderíthető a számítási felhőn belüli IT-rendszerek megsértése. Ez különösen fontos olyan nyitott hálózati környezetben, amelyben a számítási felhők általában üzemelnek. 3.4.3.3. Bizalmas természet Egy számítási felhő környezetében a titkosítás – ha helyesen alkalmazzák – jelentős mértékben hozzájárulhat a személyes adatok bizalmas kezeléséhez, noha nem teszi visszafordíthatatlanul anonimmá a személyes adatokat 27 . A személyes adatok titkosítását minden olyan esetben alkalmazni kell „továbbítás közben”, amikor „nyugalomban lévő” adatok is rendelkezésre állnak28. Egyes esetekben (pl.: IaaS tárolási szolgáltatás) előfordulhat, hogy a számításifelhő-szolgáltatás igénybevevője nem él a szolgáltató által kínált titkosítási megoldással, hanem úgy dönt, hogy a számítási felhőbe történő megküldés előtt titkosítja a személyes adatokat. A nyugalomban lévő adatok titkosítása során különös figyelmet kell fordítani a kriptográfiai kulcs kezelésére, mivel az adatbiztonság végső soron a titkosítási kulcsok bizalmas kezelésétől függ majd. Titkosítani kell a számításifelhő-szolgáltató és az igénybevevő, valamint az adatközpontok közötti kommunikációt. A számítási felhő platformjának távolról történő igénybevétele kizárólag biztonságos kommunikációs csatornán keresztül történhet. Ha az igénybevevő azt tervezi, hogy nem pusztán tárolja, hanem fel is dolgozza a számítási felhőben tárolt személyes adatokat (pl.: adatok keresése az adatbázisokban), szem előtt kell tartania, hogy az adatok

26

27

28

A DoS támadás koordinált kísérlet arra, hogy a számítógépet vagy a hálózati erőforrást ideiglenesen vagy véglegesen hozzáférhetetlenné tegyék az engedélyezett felhasználók számára (pl.: nagyszámú támadó rendszer felhasználásával, amelyek sok külső kommunikációs kérelem révén bénítják meg a célpontjukat). A 95/46/EK irányelv (26) preambulumbekezdése: „(...) mivel a védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, ahol az érintett a továbbiakban nem azonosítható; (...)”. Hasonlóképpen, a számításifelhő-szolgáltatások nyújtása keretében alkalmazható technikai adat töredezési eljárások sem vezetnek visszavonhatatlan anonimmá váláshoz, és így nem vonják maguk után az adatvédelmi kötelezettségek megszűnését. Ez kiváltképpen igaz azokra az adatkezelőkre, akik azt tervezik, hogy a 95/46/EK irányelv 8. cikke szerinti különleges adatokat (pl.: egészségügyi adatokat) továbbítanak a számítási felhőbe, vagy a szakmai titoktartásra vonatkozó sajátos jogi kötelezettségek hatálya alá tartoznak.

17

feldolgozása folyamán nem tartható fenn a titkosítás (rendkívül különleges számítások kivételével) A bizalmas kezelés biztosítására irányuló további technikai intézkedések közé tartoznak a hitelesítési mechanizmusok és az erős hitelesítés (vagyis a két tényezőn alapuló hitelesítés). A szerződéses rendelkezéseknek titoktartási kötelezettséget kell előírniuk a számításifelhőszolgáltatás igénybevevőjének, szolgáltatójának és az alvállalkozóknak az alkalmazottai számára is. 3.4.3.4. Átláthatóság A technikai és szervezési intézkedéseknek a felülvizsgálat lehetővé tétele érdekében támogatniuk kell az átláthatóságot (lásd a 3.4.1.1. szakaszt). 3.4.3.5. Elkülönítés (a cél korlátozása) A számítási felhő infrastruktúráján és erőforrásain – így a tárhely, a memória és a hálózatok – sok igénybevevő osztozik. Ez új kockázatokat támaszt az adatok nyilvánosságra hozatala és jogszerűtlen célokra történő feldolgozása tekintetében. Az „elkülönítés”, mint adatvédelmi cél e kérdés kezelésére szolgál, és hozzájárul annak garantálásához, hogy az adatokat ne használják fel az eredeti célkitűzésen túl (a 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontja), továbbá megőrizzék azok titkosságát és sértetlenségét29. Az elkülönítés megvalósítása először is szükségessé teszi a személyes adatokhoz való hozzáférésre vonatkozó jogok és szerepkörök megfelelő szabályozását, és azok rendszeres felülvizsgálatát. El kell kerülni túlzottan széles körű jogosultságokkal rendelkező szerepkörök kialakítását (vagyis egyetlen felhasználó vagy rendszergazda számára sem engedélyezhető hozzáférés az egész számítási felhőhöz). Általánosabb megfogalmazásban; a rendszergazdák és a felhasználók kizárólag a jogos célokhoz szükséges információkhoz férhetnek hozzá (a minimális jogosultság elve). Másodsorban az elkülönítés technikai intézkedésektől is függ, így a hipervizorok korlátozásától és a megosztott erőforrások megfelelő kezelésétől, ha virtuális gépeket használnak a fizikai erőforrásoknak a számításifelhő-szolgáltatás igénybevevői közötti megosztására. 3.4.3.5. Beavatkozási lehetőség A 95/46/EK irányelv biztosítja az érintett számára a hozzáférés, a helyesbítés, a törlés, a zárolás és a tiltakozás jogát (lásd a 12 és 14. cikket). Az igénybevevőnek ellenőriznie kell, hogy a szolgáltató nem állít-e technikai és szervezési akadályokat e kötelezettségek teljesítése elé. Erre azokban az esetekben is szükség van, amikor alvállalkozók dolgozzák fel az adatokat. Az igénybevevő és a szolgáltató közötti szerződésnek elő kell írnia, hogy a szolgáltató köteles támogatni az igénybevevőt az érintettek jogai gyakorlásának elősegítése során, továbbá gondoskodni arról, hogy ez az alvállalkozók viszonylatában is megvalósuljon30.

29 30

Lásd a 3.4.1.2. szakaszt. Lásd a fenti 3.4.2. szakasz 6. pontját. A szolgáltató még arra is utasítható, hogy az igénybevevő nevében válaszoljon meg kéréseket.

18

3.4.3.6. Hordozhatóság Jelenleg a legtöbb számításifelhő-szolgáltató nem alkalmaz szabványos adatformátumokat és olyan szolgáltatási interfészeket, amely elősegítik a különböző számításifelhő-szolgáltatók közötti átjárhatóságot és hordozhatóságot. Ha a számításifelhő-szolgáltatás igénybevevője úgy dönt, hogy az egyik számításifelhő-szolgáltatótól egy másikra tér át, az átjárhatóság hiánya meghiúsíthatja vagy legalábbis megnehezítheti az igénybevevő birtokában lévő (személyes) adatok átvitelét az új szolgáltatóhoz (a szolgáltatótól való függőség, az úgynevezett „vendor lock-in”) Ugyanez igaz azokra a szolgáltatásokra is, amelyet az igénybevevő az eredeti szolgáltató által biztosított platformon (PaaS) alakított ki. A számításifelhő-szolgáltatás igénybevevőjének a szolgáltatás megrendelése előtt ellenőrizni kell, hogy a szolgáltató garantálja-e az adatok és a szolgáltatások hordozhatóságát, és ha igen, akkor milyen módon teszi ezt31. 3.4.3.7. Elszámoltathatóság Az informatikai elszámoltathatóság úgy határozható meg, mint annak a megállapítására való képesség, hogy egy entitás mit, és miként tett egy adott múltbeli időpontban. Az adatvédelem terén ezt a fogalmat gyakran tágabb értelemben, annak a leírására használják, hogy a felek igazolni tudják, hogy megfelelő lépéseket tettek az adatvédelmi elvek érvényesítésének biztosítására. Az IT-elszámoltathatóság különösen fontos a személyes adatok megsértéseinek kivizsgálása terén, amikor az igénybevevők, a szolgáltatók és az alvállalkozó egyaránt bizonyos mértékben operatív felelősséget viselhet. Kiemelkedő jelentőségű ebben a tekintetben, hogy a számítási felhő platformja képes legyen megbízható monitorozási és átfogó naplózási mechanizmusokat biztosítani. Ezenfelül a számításifelhő-szolgáltatóknak igazoló dokumentumokat kell szolgáltatniuk azokról a megfelelő és hatékony intézkedésekről, amelyek biztosítják az előbbi szakaszokban körvonalazott adatvédelmi elvek érvényesülését. Példát jelentenek az ilyen intézkedésekre az adatfeldolgozási műveletek azonosítására szolgáló eljárások, a hozzáférés iránti kérelmek megválaszolására szolgáló eljárások, az erőforrások elosztása, ideértve az adatvédelmi előírásoknak való megfelelés megszervezéséért felelős adatvédelmi tisztviselő kijelölését, vagy a független tanúsítási eljárások. Emellett az adatkezelőknek gondoskodniuk kell arról, hogy az illetékes felügyeleti hatóság kérése esetén készen álljanak a szükséges intézkedések meghozatalának igazolására32.

3.5. Nemzetközi adattovábbítások A 95/46/EK irányelv 25. és 26. cikke csak abban az esetben írja elő a személyes adatok szabad áramlását az EGT területén kívüli országokba, ha az adott ország vagy átvevő megfelelő adatvédelmi szintet biztosít. Egyéb esetben az adatkezelőnek, társ-adatkezelőinek és/vagy adatfeldolgozóinak különleges biztosítékokat kell nyújtaniuk. A számítási felhőben azonban az adatoknak gyakran egyáltalán nincs állandó helyük a számításifelhő-szolgáltató hálózatán belül. Előfordulhat, hogy az adatok délután 2 órakor az egyik adatközpontban 31

32

A szolgáltatónak lehetőleg szabványos vagy nyílt adatformátumokat és interfészeket kell alkalmaznia. Mindenesetre meg kell állapodni a biztosított formátumokat, a logikai kapcsolatok megőrzését és a másik számításifelhő-szolgáltatóra való áttérés esetén felszámított költségeket meghatározó szerződéses rendelkezésekről. Az adatvédelmi munkacsoport részletes észrevételeket tett az elszámoltathatóság kérdéséről az elszámoltathatóság elvéről szóló 3/2010. sz. véleményében: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_hu.pdf.

19

vannak, délután 4-kor pedig a világ másik részén lévő másikban. Ennélfogva a számításifélőszolgáltató ritkán kerül olyan helyzetbe, hogy meg tudja állapítani az adatok aktuális elhelyezkedését, tárolásuk vagy továbbításuk helyét. Ilyen körülmények között csak korlátozottan alkalmazhatók azok a hagyományos jogi eszközök, amelyek meghatározzák a megfelelő adatvédelmet nem biztosító, Unión kívüli harmadik országokba történő rendszeres adattovábbítás feltételeit. 3.5.1. A védett adatkikötő (Safe Harbor) és a megfelelő országok A megfelelőségi vizsgálat – a védett adatkikötőt (Safe Harbor) is beleértve – földrajzi értelemben korlátozott, és ezért nem fedi le a számítási felhőn belüli valamennyi adattovábbítást. Az uniós jog alapján jogszerűen végrehajthatók az elveket elfogadó Egyesült Államokbeli szervezetek számára történő adattovábbítások, mivel úgy tekinthető, hogy az adatátvevő szervezetek megfelelő szintű védelmet biztosítanak a továbbított adatoknak. Az adatvédelmi munkacsoport álláspontja szerint ugyanakkor a védett adatkikötőre vonatkozó megfelelőségi nyilatkozat önmagában nem tekinthető elegendőnek, amennyiben nem jár együtt az adatvédelmi elvek határozott érvényesítésével a felhőalapú számítástechnikai környezetben. Emellett az uniós irányelv 17. cikke előírja, hogy az adatkezelő a feldolgozás céljából kössön szerződést az adatfeldolgozóval. Ezt az EU-USA védett adatkikötő keretrendszerének dokumentációjában szereplő 10. gyakran ismételt kérdésre adott válasz is megerősíti. E szerződés nem függ az európai adatvédelmi hatóságok megfelelő előzetes engedélyétől. Az ilyen szerződés pontosan meghatározza az elvégzendő feldolgozást és az adatok biztonságos tárolásának biztosításához szükséges intézkedéseket. A különböző nemzeti jogszabályok és adatvédelmi hatóságok további követelményeket támaszthatnak. Az adatvéldemi munkacsoport véleménye szerint az adatokat exportáló vállalatok nem hagyatkozhatnak pusztán az adatimportőr azon állítására, hogy védett adatkikötőre vonatkozó tanúsítvánnyal rendelkezik. Éppen ellenkezőleg, az adatokat exportáló vállalatnak bizonyítékot kell szerezni arra vonatkozóan, hogy a védett adatkikötőre vonatkozó megfelelőségi nyilatkozatok léteznek, és olyan bizonyítékot kell igényelnie, amely tanúsítja az abban foglalt elvek betartását. Ez kiváltképpen fontos az adatfeldolgozás révén érintett adatalanyok által szolgáltatott információk vonatkozásában3334. A munkacsoport úgy véli továbbá, hogy a számításifelhő-szolgáltatás igénybevevőjének ellenőriznie kell, hogy a szolgáltató által összeállított általános szerződései feltételek összhangban állnak-e a szerződéses adatfeldolgozással kapcsolatos nemzeti követelményekkel. A nemzeti jogszabályok előírhatják, hogy a szerződésben kell meghatározni a további feldolgozást, amely felöleli a helyszíneket és az alvállalkozókra vonatkozó egyéb adatokat, valamint az adatok nyomonkövethetőségét. A számításifelhőszolgáltatók általában nem nyújtanak ilyen információkat az igénybevevőnek – a védett adatkikötőre vonatkozó kötelezettségvállalásuk nem helyettesítheti a fenti garanciákat, amennyiben azokat a nemzeti jogszabályok írják elő. Ilyen esetekben arra ösztönözzük az adatexportőrt, hogy alkalmazza az egyéb rendelkezésre álló jogi eszközöket, így az általános szerződési feltételeket vagy a kötelező erejű vállalati szabályokat.

33

Lásd a német adatvédelmi hatóságot: http://www.datenschutzberlin.de/attachments/710/Resolution_DuesseldorfCircle_28_04_2010EN.pdf. 34 Az alvállalkozókkal való szerződéskötésre vonatkozó követelmények tekintetében lásd a 3.3.2. szakaszt.

20

Az adatvédelmi munkacsoport végezetül úgy ítéli meg, hogy a védett adatkikötő elvei önmagukban szintén nem garantálhatják az adatexportőr számára az annak biztosításához szükséges eszközöket, hogy az egyesült államokbeli szolgáltatók megfelelő biztonsági intézkedéseket alkalmazzanak, amint azt a 95/46/EK irányelven alapuló nemzeti jogszabályok előírhatják számukra 35 . Ami az adatbiztonságot illeti, a számítási felhő több specifikus biztonsági kockázatot vet fel, így az irányítás elvesztését, a nem biztonságos vagy nem teljeskörű adattörlést, a nem elegendő ellenőrzési nyomvonalat vagy az elszigetelés meghiúsulását36. A védett adatkikötő adatbiztonságra vonatkozó meglévő elvek nem kezelik megfelelően ezeket a kockázatokat 37 . Tehát további adatbiztonsági biztosítékokat lehet kiépíteni; így például olyan harmadik felek szakértelmének és erőforrásainak felhasználásával, akik különféle ellenőrzési, szabványosítási és tanúsítási rendszerek révén meg tudják vizsgálni a számításifelhő-szolgáltató megfelelőségét38. A fenti okokból tanácsos lehet, hogy a számítási felhő sajátos jellegét szem előtt tartva további biztosítékokkal egészítsék ki az adatimportőr védett adatkikötőre vonatkozó kötelezettségvállalását. 3.5.2. Eltérések A 95/46/EK uniós irányelv 26. cikkében előírt eltérések lehetővé teszik az adatexportőrök számára, hogy további garanciák nyújtása nélkül továbbítsanak adatokat az EU-n kívülre. Ugyanakkor a munkacsoport elfogadott egy véleményt, amely szerint ezek az eltérések kizárólag akkor alkalmazhatók, amennyiben az adattovábbítások nem ismétlődőek, tömegesek vagy strukturálisak39. Ennek az értelmezésnek az alapján a számítási felhővel kapcsolatosan szinte lehetetlen eltéréseket alkalmazni. 3.5.3. Általános szerződési feltételek Az Európai Bizottság által elfogadott azon általános szerződési feltételek, amelyek célja két adatkezelő, illetve egy adatkezelő és egy adatfeldolgozó közötti nemzetközi adattovábbítások szabályozása, kétoldalú megközelítésen alapulnak. Amennyiben a számításifelhő-szolgáltatót adatfeldolgozónak tekintjük, a 2010/87/EU bizottsági határozat szerinti mintafeltételek olyan eszközt jelentenek, amelyet az adatfeldolgozó és az adatkezelő felhasználhat a felhőalapú számítástechnikai környezet megalapozására, hogy megfelelő biztosítékokat nyújtson a nemzetközi adattovábbítások összefüggésében. A munkacsoport szerint a számításifelhő-szolgáltató az általános szerződési feltétek mellett a gyakorlati tapasztalataira épülő fogyasztói előírásokat is kínálhat, amennyiben azok közvetve vagy közvetlenül nem ellentétesek a Bizottság által jóváhagyott általános szerződési feltételekkel, vagy nem sértik az érintettek alapvető jogait és szabadságait40. Mindazonáltal a 35 36

37

38 39

40

Lásd a dán adatvédelmi hatóság véleményét: http://www.datatilsynet.dk/english/processing-of-sensitivepersonal-data-in-a-cloud-solution. Az ENISA „Felhőalapú számítástechnika: előnyök, kockázatok és adatbiztonsági ajánlások” című dokumentuma ismerteti részletesen: https://www.enisa.europa.eu/activities/riskmanagement/files/deliverables/cloud-computing-risk-assessment. „A szervezeteknek megfelelő intézkedéseket kell tenniük, hogy megóvják a személyes adatokat az elvesztéstől, a hibás felhasználástól és a jogtalan hozzáféréstől, a nyilvánosságra hozataltól, a megváltoztatástól és a megsemmisítéstől.” Lásd a 4.2. szakaszt. 12/1998. munkadokumentum: A személyes adatok továbbítása harmadik országokba: Az európai uniós adatvédelmi irányelv 25. és 26. cikkének alkalmazása. A munkacsoport 1998. július 24-én fogadta el (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_en.pdf). Lásd: Gyakran ismételt kérdések IV B1.9., Beépíthetik-e a vállalatok az általános szerződési feltételeket egy átfogóbb jellegű szerződésbe, és kiegészíthetik-e azokat különös rendelkezésekkel? – az Európai Bizottság

21

vállalatok nem módosíthatják vagy változtathatják meg az általános szerződési feltételeket anélkül, hogy megszűnne a feltételek általános jellege41. Amennyiben az adatfeldolgozóként eljáró szolgáltató letelepedett az EU területén, még bonyolultabb helyzet állhat elő, mivel a mintafeltételek általában véve kizárólag az uniós adatkezelőtől a harmadik országbeli adatfeldolgozóhoz történő adattovábbításra vonatkoznak (lásd a mintafeltételekről szóló 2010/87/EU bizottsági határozat (23) preambulumbekezdését és 176. számú munkadokumentumot). Ami a harmadik országbeli adatfeldolgozó és az alvállalkozók közötti szerződéses viszonyt illeti, olyan írásbeli megállapodást kell kötni, amely azonos kötelezettségeket határoz meg az alvállalkozó számára a mintafeltétekben szereplő, az adatfeldolgozót terhelő kötelezettségekkel. 3.5.4. Kötelező erejű vállalati szabályok: a globális megközelítés felé A kötelező erejű vállalati szabályok a vállalatcsoporton belüli adattovábbítást végző vállalatok magatartási kódexei. A számítási felhő vonatkozásában is létre fog jönni hasonló kódex azokra az esetekre, amikor a szolgáltató adatfeldolgozó. Ugyanis a 29. cikk szerinti adatvédelmi munkacsoport jelenleg is az adatfeldolgozókra vonatkozó kötelező erejű vállalati szabályokon dolgozik, amelyek lehetővé teszik majd az adatkezelők javára történő vállalatcsoporton belüli adattovábbítást anélkül, hogy minden igénybevevő esetében kötelezővé tennék az adatfeldolgozó és az alvállalkozók közötti szerződések aláírását42. Az adatfeldolgozókra vonatkozó ilyen kötelező erejű vállalati szabályok lehetővé teszik, hogy a szolgáltatás igénybevevője az adatkezelőre bízza a személyes adatait, miközben biztosítékot kap arra nézve, hogy a szolgáltató érdekkörén belül továbbított adatok megfelelő szintű védelemben részesülnek.

4. Következtetések és ajánlások A számítási felhőt alkalmazni kívánó vállalkozásoknak és közigazgatási szerveknek első lépésként átfogó és alapos kockázatelemzést kell végezniük. Az említett elemzés során meg kell vizsgálni a számítási felhőben zajló adatfeldolgozással kapcsolatos kockázatokat (az ellenőrzés hiánya és a nem elegendő információ – lásd a fenti 2. szakaszt), figyelembe véve a számítási felhőben feldolgozott adatok típusát43. Szintén különös figyelmet kell fordítani az adatvédelemmel kapcsolatos jogi kockázatok vizsgálatára, amelyek főként az adatbiztonsági követelményeket és a nemzetközi adattovábbításokat érintik. A különleges adatok számítási felhő útján történő feldolgozása további aggályokat támaszt. Ezért – a nemzeti jogrendszerek sérelme nélkül – az ilyen feldolgozás esetén további biztosítékokra van szükség44. Az alábbi következtetések arra irányulnak, hogy a jelenlegi jogi keret alapján olyan ellenőrzési listát állítsanak össze, amely segítségével a számításifelhő-szolgáltatások igénybevevői és

41 42

43 44

tette közzé az alábbi internetcímen: http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf Lásd: Gyakran ismételt kérdések IV B1.10., Módosíthatják és megváltoztathatják-e a vállalatok a Bizottság által jóváhagyott általános szerződési feltételeket? Lásd a 2012. június 6-án elfogadott 2/2012. sz. munkadokumentumot, amely táblázatba foglalja az adatfeldolgozók kötelező erejű vállalati szabályaiba belefoglalandó elemeket és elveket: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp195_en.pdf Az ENISA listát nyújt azokról a kockázatokról, amelyeket kötelezően figyelembe kell venni:http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment. Lásd a Sopoti Nyilatkozatot a fenti 2. lábjegyzetben.

22

szolgáltatói ellenőrizhetik az adatvédelmi rendelkezések betartását; emellett egyes ajánlások az uniós és tágabb szintű szabályozási keret jövőbeni fejlődésére vonatkozó kitekintést is tartalmaznak.

4.1. Iránymutatások a számításifelhő-szolgáltatások igénybevevői és szolgáltatói számára -

Adatkezelő-adatfeldolgozó viszony: ez a vélemény az igénybevevő és a szolgáltató közötti viszonyra összpontosít, ami az adatkezelő és az adatfeldolgozó kapcsolataként jelenik meg; (lásd a 3.3.1. szakaszt); mindazonáltal konkrét körülmények között előfordulhatnak olyan helyzetek, amikor a számításifelhő-szolgáltató egyben adatkezelőnek is minősül, például amikor a szolgáltató a saját céljaira ismételten feldolgoz egyes személyes adatokat. Ilyen esetben a számításifelhő-szolgáltató teljeskörű (közös) felelősséget visel az adatfeldolgozásért, és meg kell felelnie a 95/46/EK és (adott esetben) a 2002/85/EK irányelvben meghatározott valamennyi jogi kötelezettségnek.

-

A számításifelhő-szolgáltatások igénybevevőjének adatkezelőként viselt felelőssége: az igénybevevőnek el kell ismernie az adatvédelmi jogszabályok betartásáért viselt felelősségét, és vonatkozik rá a 95/46/EK és – adott esetben – a 2002/58/EK irányelvben említett valamennyi jogi kötelezettség, amelyek különösen az érintettekkel szemben terhelik (lásd a 3.3.1. szakaszt). Az igénybevevőnek olyan számításifelhő-szolgáltatót kell választania, aki garantálja az uniós adatvédelmi jogszabályok betartását, az alábbiakban összefoglalt, megfelelő szerződéses biztosítékok megjelenítése révén;

-

Alvállalkozói biztosítékok: a számításifelhő-szolgáltató és az igénybevevők közötti szerződésekben rendelkezni kell az alvállalkozókról. A szerződésnek ki kell mondania, hogy alvállalkozók csak az általában az adatkezelő által adható hozzájárulás alapján bízhatók meg, az adatfeldolgozó azon egyértelmű kötelezettségének megfelelően, hogy tájékoztatnia kell az adatkezelőt bármely e tekintetben tervezett változtatásról, az adatkezelő pedig fenntartja magának azt a lehetőséget, hogy bármikor kifogásolja ezeket a változtatásokat vagy felmondja a szerződést. A számításifelhő-szolgáltatót világosan kötelezni kell valamennyi megbízott alvállalkozó megnevezésére. A számításifelhő-szolgáltatónak minden alvállalkozóval kötnie kell egy olyan szerződést, amelyben megjelennek az igénybevevővel kötött szerződésének a rendelkezései; az igénybevevőnek gondoskodnia kell arról, hogy szerződéses jogorvoslati lehetőségekkel rendelkezzen arra az esetre, ha a szolgáltató alvállalkozói szerződésszegést követnek el (lásd a 3.3.2. szakaszt);

-

Az alapvető adatvédelmi elvek betartása: o Átláthatóság (lásd a 3.4.1.1. szakaszt): a számításifelhő-szolgáltatóknak a szerződés megtárgyalása során tájékoztatniuk kell az igénybevevőket szolgáltatásuk valamennyi (adatvédelmi szempontból) releváns tényezőjéről; az igénybevevőknek különösen az alábbiakról kell tájékoztatást kapniuk: a megfelelő számításifelhő-szolgáltatás nyújtásához hozzájáruló összes alvállalkozó, valamint az összes olyan helyszín, ahol a szolgáltató és/vagy az alvállalkozói adatokat tárolhatnak vagy dolgozhatnak fel (különösen akkor, ha valamennyi helyszín, illetve azok egy része az Európai Gazdasági Térségen (EGT) kívül található); érdemi tájékoztatást kell nyújtani az igénybevevő számára a szolgáltató által foganatosított technikai és szervezési 23

intézkedésekről; az igénybevevőnek helyes módszerként tájékoztatnia kell az érintetteket a számításifelhő-szolgáltatóról és (adott esetben) az összes alvállalkozóról, valamint az olyan helyszínekről, ahol a szolgáltató és/vagy az alvállalkozói adatokat tárolhatnak vagy dolgozhatnak fel; o Célmeghatározás és -korlátozás (3.4.1.2. szakasz): az igénybevevőnek gondoskodnia kell a célmeghatározás és -korlátozás elveinek betartásáról, valamint arról, hogy a szolgáltató és az alvállalkozók további célokból ne dolgozzanak fel adatokat. Az erre vonatkozó kötelezettségvállalásokat bele kell foglalni a megfelelő szerződéses intézkedésekbe (a technikai és szervezési biztosítékokat is beleértve); o Adatmegőrzés (3.4.1.3. szakasz): az igénybevevő felel azért, hogy (a vállalkozó és az alvállalkozók) töröljék a bárhol tárolt személyes adatokat, amikor a konkrét célok érdekében már nincs azokra szükség; a szerződésben biztonságos törlési mechanizmusokat (megsemmisítés, demagnetizáció, felülírás) kell előírni; -

Szerződéses biztosítékok (lásd a 3.4.2., a 3.4.3. és a 3.5. szakaszt) o Általánosságban: a szolgáltatóval kötött (valamint a szolgáltató és az alvállalkozók között kötendő) szerződésnek megfelelő garanciákat kell nyújtania a technikai biztonsági és szervezési intézkedések tekintetében (az irányelv 17. cikkének (2) bekezdése szerint), valamint kötelező az írott vagy azzal egyenértékű alakiság. A szerződésnek részletesen ki kell fejtenie az igénybevevőnek a szolgáltató számára adott utasításait, ideértve a szolgáltatás tárgyát és időkeretét, az objektív és mérhető szolgáltatási szinteket és a vonatkozó (pénzügyi vagy egyéb) szankciókat; a feldolgozás kockázatainak és az adatok jellegének függvényében meg kell határozni a betartandó biztonsági intézkedéseket, összhangban az alább megfogalmazott követelményekkel, és figyelemmel az igénybevevő nemzeti joga alapján előirányzott szigorúbb intézkedésekre; ha a számításifelhő-szolgáltatók általános szerződési feltételeket kívánnak alkalmazni, gondoskodniuk kell arról, hogy azok megfeleljenek az adatvédelmi követelményeknek (lásd a 3.4.2. szakaszt); különösen a szolgáltató által foganatosított technikai és szervezési intézkedéseket kell meghatározni a megfelelő feltételekben; o Adatokhoz való hozzáférés kizárólag az arra felhatalmazott személyek férhetnek hozzá az adatokhoz; a szerződésbe bele kell foglalni egy, a szolgáltatóra és alkalmazottaira vonatkozó titoktartási záradékot; o Az adatok felfedése harmadik felek számára: ez kizárólag a szerződés útján szabályozható. A szerződésben kötelezni kell a szolgáltatót az alvállalkozói – például egy nyilvános digitális nyilvántartás útján történő – megnevezésére, továbbá az igénybevevő számára hozzáférést kell biztosítani a változtatásokkal kapcsolatos információkhoz, hogy kifogásolni tudja az említett változtatásokat, illetve felmondhassa a szerződést; a szerződésnek azt is elő kell írnia a szolgáltató számára, hogy küldjön értesítést a személyes adatok közlésére vonatkozó, bűnüldöző hatóságoktól érkező, jogilag kötelező megkeresésekről, kivéve, amennyiben az ilyen közlés egyéb okból tilos; az igénybevevőnek jogi biztosítékot kell kapnia arra, hogy a szolgáltató el fogja utasítani a jogilag nem kötelező, közlés iránti kérelmeket; o Együttműködési kötelezettség: az igénybevevőnek gondoskodnia kell arról, hogy a szolgáltató köteles legyen együttműködni az igénybevevő alábbiakhoz 24

való jogának érvényesülése tekintetében: a feldolgozási műveletek nyomon követése, az érintett adat-hozzáférési/kiigazítási/törlési jogának gyakorlása, valamint (adott esetben) a számításifelhő-igénybevevőjének értesítése az igénybevevő adatait érintő adatsértésekről; o Határon átnyúló adattovábbítások: a számításifelhő-szolgáltatás igénybevevőjének ellenőriznie kell, hogy a szolgáltató garantálni tudja-e a határon átnyúló adattovábbítások jogszerűségét, és lehetőség szerint korlátozhatja-e az igénybevevő által kiválasztott országokba irányuló adattovábbításokat. A megfelelőséget nem biztosító országokba irányuló adattovábbítások adott esetben különleges biztosítékokat tesznek szükségessé az alábbiak megfelelő alkalmazása révén: védett adatkikötőre vonatkozó szabályok, általános szerződési feltételek vagy kötelező erejű vállalati szabályok; az adatfeldolgozókra vonatkozó általános szerződési feltételek alkalmazása (a 2010/87/EU bizottsági határozat alapján) bizonyos kiigazításokat tesz szükségessé a felhőalapú számítástechnikai környezetben (annak elkerülése érdekében, hogy a szolgáltatónak és alvállalkozóinak igénybevevőnként külön szerződéseket kelljen kötnie), és előfordulhat, hogy ezekhez az illetékes adatvédelmi hatóság előzetes engedélyére van szükség; a szerződésbe bele kell foglalni azon helyszínek listáját, ahol szolgáltatásnyújtásra kerülhet sor; o Az adatfeldolgozás naplózása és ellenőrzése: az igénybevevőnek elő kell írnia, hogy a vállalkozó és alvállalkozói végezzék el az adatfeldolgozási műveletek naplózását; az igénybevevőt fel kell jogosítani az ilyen adatfeldolgozási műveletek ellenőrzésére, azonban az adatkezelő által választott külső ellenőrzés és tanúsítás is elfogadható lehet, amennyiben garantálják a teljes átláthatóságot (pl.: lehetővé téve a külső ellenőrzésre vonatkozó tanúsítvány vagy a tanúsítást igazoló ellenőrzési jelentés másolatának megszerzését); o Technikai és szervezési intézkedések: ezeknek arra kell irányulniuk, hogy orvosolják a felhőalapú számítástechnikai környezet legszembetűnőbb jellegzetessége, az ellenőrzés és az információk hiánya miatt fellépő kockázatokat. Az előbbiek közé olyan intézkedések tartoznak, amelyek célja (az e dokumentum meghatározása szerinti) rendelkezésre állás, sértetlenség, bizalmas jelleg, elkülönítés, beavatkozási lehetőség és hordozhatóság biztosítása, az utóbbiak pedig az átláthatóságra összpontosítanak (az összes részletet lásd a 3.4.3. szakaszban).

4.2. Külső adatvédelmi tanúsítások •

45

Az elismert harmadik fél általi független ellenőrzés vagy tanúsítás hiteles eszközül szolgálhat a számításifelhő-szolgáltatók számára annak igazolásához, hogy eleget tesznek az e véleményben meghatározott kötelezettségeiknek. Az ilyen tanúsítás legalább azt jelezné, hogy az adatvédelmi ellenőrzések keretében egy jó hírnévvel rendelkező külső szervezet ellenőrizte, illetve felülvizsgálta az e véleményben szereplő követelményeknek megfelelő elismert norma teljesülését 45 . A számítási

E szabványok felölelnék többek között a Nemzetközi Szabványügyi Szervezet (ISO), a Nemzetközi Számviteli és Könyvvizsgálati Standard Testület (International Auditing and Assurance Standards Board), valamint a Mérlegképes Könyvelők Amerikai Intézetének Könyvvizsgálati Standard Testülete (Auditing Standard Board of the American Institute of Certified Public Accountants) által kiadott szabványokat, amennyiben az említett szervezetek az e véleményben megállapított követelményeknek megfelelő szabványokat biztosítanak.

25

felhővel összefüggésben a potenciális fogyasztóknak meg kell vizsgálniuk, hogy a számításifelhő-szolgáltatók rendelkezésre tudják-e bocsátani e külső ellenőrzés tanúsítványának másolatát, vagy az e véleményben szereplő követelmények tiszteletben tartására is kiterjedő tanúsítást igazoló ellenőrzési jelentés másolatát. •

A többrésztvevős, virtualizált kiszolgáló-környezetben tárolt adatok egyedi ellenőrzései műszaki szempontból nem praktikusak, és egyes esetekben növelhetik a meglévő fizikai és logikai hálózatbiztonsági kontrollok kockázatait. Ilyen esetekben úgy tekinthető, hogy az adatkezelők által választott releváns külső ellenőrzés megfelelően helyettesíti az egyedi adatkezelők ellenőrzési jogát.

•

Az adatvédelemre irányuló normák és tanúsítási eljárások elfogadása központi szerepet játszik a számításifelhő-szolgáltatók, az adatkezelők és az érintettek közötti bizalom kialakításához.

•

Az említett normáknak és tanúsítási eljárásoknak ki kell térniük a technikai intézkedéseket (így például az adatok lokalizálását vagy titkosítását), valamint a számításifelhő-szolgáltató szervezetén belül az adatvédelmet garantáló eljárásokat (így az adathozzáférés-ellenőrzési politikát, a hozzáférés-ellenőrzést és a biztonsági másolatokat).

4.3. Ajánlások: Jövőbeni fejlemények A munkacsoport teljes mértékben tisztában van azzal, hogy a számítási felhő bonyolult problematikája nem oldható meg teljes mértékben az e véleményben körvonalazott biztosítékok és megoldások révén. E vélemény azonban szilárd alapot nyújt ahhoz, hogy biztonságossá tegyék az EGT területén letelepedett igénybevevők által a számításifelhőszolgáltatókhoz eljuttatott személyes adatok feldolgozását. E szakasz célja, hogy rávilágítson néhány olyan problémára, amelyet rövid- és középtávon meg kell oldani a meglévő biztosítékok erősítése érdekében, és hogy segítséget nyújtson a felhő alapú számítástechnikai iparágnak e kiemelt problémák tekintetében, és eközben biztosítsa a magánélethez és az adatvédelmez fűződő alapvető jogok tiszteletben tartását. -

Az adatkezelő és az adatfeldolgozó felelősségi körének kiegyensúlyozottabbá tétele: a munkacsoport üdvözli a bizottsági javaslat (az EU általános adatvédelmi rendeletének tervezete) 26. cikkébe foglalt rendelkezéseket, amelyek arra irányulnak, hogy az adatfeldolgozókat elszámoltathatóbbá tegyék az adatkezelők felé azáltal, hogy támogatják az utóbbiakat a biztonsági és kapcsolódó kötelezettségek teljesítése terén. A javaslat 30. cikke a megfelelő technikai és szervezeti intézkedések megtételére vonatkozó jogi kötelezettséget vezet be az adatfeldolgozók számára. A javasolt tervezet tisztázza, hogy az adatkezelő utasításait megszegő adatfeldolgozó adatkezelőnek minősül, és a közös adatkezelésre vonatkozó különös szabályok hatálya alá tartozik. A 29. cikk szerinti adatvédelmi munkacsoport szerint ez a javaslat a helyes irányba tett lépés, amely arra irányul, hogy orvosolja a felhőalapú számítástechnikai környezetben gyakran jellemző egyensúlytalanságot, amikor az igénybevevő (különösen, ha kkv) nehézséget jelent, hogy az adatvédelmi jogszabályokban előírt teljes körű ellenőrzést gyakoroljon afelett, hogy a szolgáltató hogyan valósítja meg az igényelt szolgáltatást. Ezenfelül az érintetteknek és a kisméretű üzleti felhasználóknak a nagy számításfelhő-szolgáltatókkal szembeni aszimmetrikus jogi helyzetét szem előtt tartva ajánlatos, hogy a fogyasztói és üzleti érdekvédelmi szervezetek kezdeményezőbb szerepet vállaljanak annak érdekében, hogy e vállalatok kiegyensúlyozottabb általános szerződési feltételekről állapodhassanak meg.

-

A személyes adatokhoz nemzetbiztonsági és bűnüldözési célokból történő hozzáférés: rendkívül fontos belefoglalni a jövőbeni rendeletbe, hogy az EU területén működő 26

adatkezelők számára tilos harmadik országokkal közölni a személyes adatokat az adott ország igazságügyi vagy közigazgatási hatóságának megkeresése esetén, kivéve, ha ezt nemzetközi megállapodás kifejezetten engedélyezi, vagy kölcsönös jogi segítségnyújtási szerződések írják elő, illetve a felügyeleti hatóság jóváhagyta. A 2271/96/EK tanácsi rendelet megfelelő példa az ilyen jogalapra46. A munkacsoportot nyugtalanítja a bizottsági javaslat e hiányossága, mivel ennek következtében komoly mértékben sérül azon adatalanyok jogbiztonsága, akiknek az adatait adatközpontokban tárolják világszerte. Ezért a munkacsoport hangsúlyozni kívánja 47 , hogy a rendeletbe bele kell foglalni a kölcsönös jogsegélyről szóló szerződések kötelező alkalmazását az uniós vagy a tagállami jog által nem engedélyezett nyilvánosságra hozatal esetén. -

Az állami szektor által tett különleges óvintézkedések: sajátos kifogásolási jogot kell beiktatni, amely értelmében egy állami szervnek először ellenőriznie kell, hogy az adatok nemzeti területen kívülre közlése, kivüli feldolgozása és tárolása jelenthet-e elfogadhatatlan kockázatokat a polgárok biztonságára és magánéletére, valamint a nemzetbiztonságra és a gazdaságra – különösen, ha érzékeny adatokról (pl.: népszámlálási adatok) és szolgáltatásokról (pl.: egészségügyi ellátás) is szó van. 48 Ezt a sajátos mérlegelést mindenképpen el kell végezni minden olyan esetben, amikor különleges adatokat dolgoznak fel a felhőalapú számítástechnikai környezetben. Ebből kiindulva a nemzeti kormányok és az Európai Unió intézményei megfontolás tárgyává tehetik az európai kormányzati számítási felhő, vagyis egy olyan szupranacionális virtuális tér elképezésének további kimunkálását, amelyben következetes és összehangolt szabályokat alkalmazhatnának.

-

Európai Számítási Felhő Partnerség: az adatvédelmi munkacsoport támogatja az Európai Számítási Felhő Partnerség stratégiáját, amelyet Neelie Kroes, az Európai Bizottság alelnöke 2012 januárjában, Davosban terjesztett elő 49 . Ez a stratégiája informatikai közbeszerzéseket irányoz elő a felhőalapú szolgáltatások európai piacának ösztönzése céljából. Komoly adatvédelmi előnyöket biztosíthat a fogyasztók számára – különösen a közös normák elfogadásának (kiváltképpen az átjárhatóság és az adathordozhatóság tekintetében), valamint a jogbiztonságnak az előmozdítása révén –, ha a személyes adatok továbbítása az európai adatvédelmi jog kizárólagos szabályozása alatt álló európai szolgáltatók részére történik.

46

A Tanács 2271/96/EK rendelete (1996. november 22.) harmadik ország által elfogadott jogszabályoknak az ország területén kívüli alkalmazásának hatása és az ilyen jogszabályon alapuló vagy abból eredő intézkedések elleni védelemről, Hivatalos Lap L 309., 1996.11.29., 1–6., internetcím: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31996R2271:HU:HTML Lásd a 191. számú munkadokumentumot – 1/2012. vélemény az adatvédelmi reformjavaslatokról, 23. oldal. Ezzel kapcsolatban az ENISA az alábbi ajánlást teszi a „Security & resilience in governmental clouds” [Kormányzati számítási felhők biztonsága és ellenálló képessége] című jelentésében: (http://www.enisa.europa.eu/activities/risk-management/emerging-and-future-risk/deliverables/security-andresilience-in-governmental-clouds/at_download/fullReport): „Ami a szerkezeti felépítést illeti, úgy tűnik, hogy az érzékeny alkalmazások esetében jelenleg a magán és a közösségi számítási felhők jelentik a közigazgatási rendszerek igényeinek leginkább megfelelő megoldást, mivel ezek kínálják a legmagasabb szintű irányítást, ellenőrzést és nyilvánosságot, noha a magán vagy közösségi számítási felhő megtervezése során különös figyelmet kell fordítani az infrastruktúra méretére.” Neelie Kroes, az Európai Bizottság digitális menetrendért felelős alelnöke, az Európai Számítási Felhő Partnerség létrehozása, davosi világgazdasági fórum, Svájc, 2012. január 26., internetcím: http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/1 23.

47 48

49

27

MELLÉKLET a) Kiépítési modellek Magán számítási felhő50: olyan IT-infrastruktúra, amely valamely egyedi szervezet céljára szolgál; a szervezet telephelyén található, vagy pedig az igazgatását kiszervezik az adatkezelő szigorú felügyelete alatt álló harmadik fél számára (általában a kiszolgáló révén). A magán számítási felhő a hagyományos adatközpontokhoz hasonlítható – azzal különbséggel, hogy a technológiai eljárásokat úgy hajtják végre, hogy optimálisan kihasználják a rendelkezése álló erőforrásokat, és az idővel lépésenként eszközölt kis beruházások révén megerősítsék azokat. A nyilvános számítási felhő ellenben a szolgáltatásnyújtásra szakosodott szolgáltató tulajdonában álló infrastruktúra. A szolgáltató a felhasználók, a vállalkozások és/vagy a közigazgatási szervek rendelkezésére bocsátja a rendszereit, és ezáltal megosztja azokat az utóbbiak között. A szolgáltatások hozzáférhetők az interneten keresztül, aminek következtében az adatfeldolgozási műveletek és/vagy az adatok átkerülnek a szolgáltató rendszereibe. Ezért a szolgáltató kulcsszerepet játszik a rendszereire bízott adatok hatékony védelme tekintetében. A felhasználó az adatok mellett az azok feletti ellenőrzés legnagyobb részét is köteles átadni. A „nyilvános” és a „magán” számítási felhők mellett léteznek úgynevezett köztes vagy vegyes számítási felhők is, amelyekben a magán infrastruktúrák által nyújtott szolgáltatások megférnek a nyilvános számítási felhőktől vásárolt szolgáltatások mellett. Említést kell tenni a „közösségi számítási felhőkről” is, ahol a több szervezet osztozik az IT-infrastruktúrán egy konkrét felhasználói közösség érdekében. A számításifelhő-rendszerek rugalmas és egyszerű konfigurálása lehetővé teszi a méretek rugalmas megválasztását, vagyis e rendszerek – a felhasználó-központú megközelítésnek megfelelően – hozzáigazíthatók a sajátos igényekhez. A felhasználóknak egyetlen olyan ITrendszert sem kell kezelniük, amelyek kiszervezési megállapodásokon alapulnak, és ennélfogva teljes mértékben az a harmadik fél irányítja azokat, amelynek számítási felhőjében az adatokat tárolják. Ez gyakran előfordul bonyolult infrastruktúrával rendelkező, nagyméretű szolgáltatók esetében; ezért a számítási felhő több helyszínre is kiterjedhet, és előfordulhat, hogy a felhasználók nem tudják, hogy pontosan hol tárolják az adataikat.

50

Az Amerikai Nemzeti Szabványügyi és Technológiai Hivatal (NIST,) amely évek óta dolgozik a felhőalapú technológiák szabványosításán, és amelynek fogalommeghatározásaira az ENISA-jelentés is hivatkozott: Magán számítási felhő: A számítási felhő infrastruktúráját kizárólag egy szervezet érdekében üzemeltetik. Az üzemeltetést végezheti a szervezet vagy harmadik fél, és ez történhet a telephelyen vagy azon kívül. Hangsúlyozni kell, hogy a „magán számítási felhő” legalább egyes olyan technológiákat is igénybe vesz, amelyek a „nyilvános számítási felhőre” is jellemzőek – ideértve különösen az adatfeldolgozó struktúra átszervezését (vagy karbantartását) elősegítő virtualizálási technológiákat, amint ezt a fentiekben kifejtettük. Nyilvános számítási felhő: A számítási felhő infrastruktúráját a nagyközönség vagy egy nagyméretű ipari csoport rendelkezésére bocsátják, és az említett infrastruktúra egy számításifelhő-szolgáltatásokat értékesítő szervezet tulajdonában áll.

28

b) Szolgáltatásnyújtási modellek A felhasználói igényektől függően több felhő alapú számítástechnikai megoldás is rendelkezésre áll a piacon; amelyek három fő kategóriába, vagy „szolgáltatási modellbe” csoportosíthatók. E modelleket általában a magán- és a nyilvános felhő alapú számítástechnikai megoldások esetében is alkalmazzák:

29

-

IaaS (A számítási felhő infrastruktúra, mint szolgáltatás): a szolgáltató haszonbérbe adja a technológiai infrastruktúrát, vagyis a virtuális távoli kiszolgálóegységeket, amelyeket a végfelhasználó bizonyos mechanizmusoknak és szabályoknak megfelelően úgy vehet igénybe, hogy egyszerűen, hatékonyan és hasznosan helyettesítheti a vállalat telephelyein meglévő vállalati IT-rendszereket, és/vagy a bérelt infrastruktúrának a vállalati rendszerek melletti használatát. Az ilyen felhasználók általában olyan szakosodott piaci szereplők, amelyek egy, gyakran több földrajzi térségre is kiterjedő bonyolult fizikai infrastruktúrára támaszkodhatnak.

-

SaaS (A számítási felhő szoftver, mint szolgáltatás): a szolgáltató az interneten keresztül különféle alkalmazási szolgáltatásokat nyújt, és a végfelhasználók rendelkezésére bocsátja azokat. E szolgáltatások gyakran a felhasználók helyi rendszerire telepítendő hagyományos alkalmazások helyettesítésére szolgálnak; ennek megfelelően a felhasználók feltehetően végső soron kiszervezik az adataikat az egyedi szolgáltató számára. Ez a helyzet például a tipikus webalapú irodai alkalmazásoknál, így a táblázatkezelő, szövegszerkesztő eszközöknél, a számítógépes nyilvántartásoknál és napirendeknél, a megosztott naptáraknál, stb.; azonban a kérdéses szolgáltatások a felhőalapú elektronikus levelezési alkalmazásokat is felölelik.

-

PaaS (A számítási felhő platform, mint szolgáltatás): a szolgáltató az alkalmazások továbbfejlesztésére és üzemeltetésére vonatkozó megoldásokat kínál. E szolgáltatásokat általában olyan piaci szereplők számára nyújtják, amelyek olyan saját alkalmazáson alapuló megoldások fejlesztésére és üzemeltetésére használják azokat, amelyek célja a vállalaton belüli igények kielégítése és/vagy harmadik felek számára történő szolgáltatásnyújtás. A PaaS szolgáltató által biztosított szolgáltatások szintén szükségtelenné teszik, hogy a felhasználó a további és/vagy különleges vállalaton belüli hardvert vagy szoftvert vegyen igénybe.

A teljeskörűen nyilvános számításifelhő-rendszerre való átfogó áttérés rövid távon több okból nem tűnik megvalósíthatónak, különösen azoknak a nagyméretű szervezeteknek – pl. nagyvállalatoknak vagy szerveknek – az esetében, amelyeknek különleges kötelezettségeknek kell megfelelniük (pl. nagybankok, kormányzati szervek, nagyméretű önkormányzatok stb.). Mindez főként az alábbi két oknak tudható be: először is az ilyen áttéréshez szükséges beruházásokkal kapcsolatos lendülettel összefüggő tényező; másodsorban pedig szem előtt kell tartani a konkrét esetekben feldolgozandó, kiváltképpen értékes és/vagy érzékeny információkat. A magán számítási felhők igénybevételét alátámasztó másik tényező azzal a körülménnyel függ össze, hogy a nyilvános számítási felhő szolgáltatója gyakorta nem képes olyan minőségű – így például a szolgáltatás létfontosságú jellegének megfelelő – szolgáltatást biztosítani (a szolgáltatási szintre vonatkozó megállapodások alapján), amelyet az adatkezelőnek nyújtania kell. Ez amiatt fordulhat elő, hogy egy adott területen nem elegendő vagy megfelelő az internet sávszélessége és megbízhatósága, vagy pedig a felhasználók és a szolgáltató közötti konkrét kapcsolattal függ össze. Másrészt ésszerűen feltételezhető, hogy a fenti esetek némelyikében magán számítási felhők bérelhetők vagy vehetők haszonbérbe (mivel ez költséghatékonyabbnak bizonyulhat), vagy vegyes számítási felhő modellek (amelyek nyilvános és magán elemeket is tartalmaznak) alkalmazhatók. A releváns hatásokat minden esetben gondosan meg kell vizsgálni. Nemzetközileg elfogadott normák hiányában fennáll a házilagos, vagy társult felhőalapú megoldások kockázata, ami pedig megnöveli a függőség (valamint az úgynevezett

30

„monokultúrás magánélet-védelem”) 51 veszélyét, és megakadályozza az adatok teljes körű ellenőrzését az átjárhatóság biztosítása nélkül. Az átjárhatóság és az adathordozhatóság ugyanis egyaránt alapvető tényezők a felhő alapú technológia fejlesztése, valamint annak lehetővé tétele szempontjából, hogy teljes körűen gyakorolhassák az érintettekre ruházott adatvédelmi jogosultságokat (így a hozzáférést és a helyesbítést).

51

Lásd az Európai Parlament „Does it Help or Hinder? Promotion of Innovation on the Internet and Citizens’ Right to Privacy” [Elősegít vagy akadályoz? Az internetes innováció elősegítése és a polgárok magánélethez fűződő joga] című, 2011 decemberében közzétett tanulmányát.

31

Ebből a szempontból a felhőalapú technológiákról jelenleg zajló vita fontos példát szolgáltat a költség- és a jog-orientált megközelítés közötti meglévő feszültségre, amelyet a fenti 2. szakaszban röviden ismertettünk. Jóllehet adatvédelmi szempontból – a feldolgozás sajátos körülményeire figyelemmel megvalósítható, sőt tanácsos lehet a magán számítási felhők igénybevétele, ez hosszú távon – főként költségszempontból – nem járható út az érintett szervezetek számára. Gondosan mérlegelni kell az érintett érdekeket, mivel jelenleg ezen a területen nem található mindenki által egységesen alkalmazható megoldás.

32