Dr. Tényi Géza – Dr. Polefkó Patrik:
Bizalmas információk kezelése és adatvédelem a felhőszolgáltatásban
Lawrence Lessig – Code • Számítógépes parancs vs jogszabályi parancs • Normarendszerek ütközése és kooperációja • Normarendszer hierarchia: jog – szerződés – kód • Alárendelt és mellérendelt kapcsolati megoldások (tiltás vs ösztönzés) • Felhő központi kérdése – a kód megfelel a jogi parancsnak? • A kérdés értelmezése
Ügyvédi iroda – információkezelés és menedzsment
• Átfogó szenzitív adatkezelés szinte minden ügyben • Kötelező adatrögzítés és megőrzés a tevékenységből kifolyólag
• Nagyfokú felelősség és bizalmi pozíció • Ügyvédi törvény, kamarai szabályzatok, belső irodai utasítások • Digitális nomádok, BYOD, hálózati hozzáférések • Döntési kényszer és alternatívák
Állapotrögzítés
• Jogszabályi és szabályzati rendelkezések hiánya • Iránymutatások és best practice példák
• Kontinentális és angolszász eltérő attitűd • Hiányosságok és kényszerek
Jogi megközelítés Adatvédelmi (jogi) kérdések
nemzetközi kitekintés általános adatvédelmi: ARTICLE 29 DATA PROTECTION WORKING PARTY: WP 196, Opinion 05/2012 on Cloud Computing (July 1st 2012) telkom: International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and data protection issues- “Sopot Memorandum” (24 April 2012) pénzügyi terület: Federal Financial Institution Examination Council (FFIEC Information Technology Subcommittee): Outsourced Cloud Computing (July 10, 2012) IT biztonság: ENISA, EUROCLOUD, CLOUD SECURITY ALLIANCE, stb. BSI (német) - Federal Office for Information Security: White Paper, Security Recommendations for Cloud Computing Providers (Minimum information security requirements)
alapvető konfliktusok 1. EU v USA • két különböző adatvédelmi regime • data protection v privacy, (personal) data privacy
• Safe Harbor v nemzetbiztonsági igények „törvény kivételt tehet”… például: bűnüldözési, nemzetbiztonsági érdekből alkotmányos??? • 2. gazdasági érdekek v alapvető jogok privacy/magánszféra/személyes adatok védelméhez való jog értelmezése és védelme ennek eszközei?
a lehetséges megoldás
a két rezsim közelítése egymáshoz
illetve az érdekek egyeztetése
mindeközben Magyarországon…
• pénzügyi: PSZÁF: 4/2012. számú Vezetői körlevél: a pénzügyi szervezeteknél a közösségi és publikus felhőszolgáltatás igénybevételéből eredő kockázatokról • általános adatvédelmi: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlása, állásfoglalása ?!
alkalmazandó szabályok
2011. évi CXII. törvény (Infotv.) + a megbízó tevékenységére vonatkozó ágazat-specifikus szabályok adatkezelési, adatvédelmi rendelkezései Közszféra: 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról • + a szolgáltatóval kötött szerződés
problémák • 1. Infotv v ágazati törvények: személyes adat fogalma adatfeldolgozó és al-adatfeldolgozó 6. § új jogalapok kérdése infobiztonsági kritériumok adatok összekapcsolása adattovábbítási kérdések – ügyfelek tájékoztatása??? • 2. szerződéses kérdések • ígéretek v követelmények • magánjogi szerződések: felek egyenlősége? felelősség? • nemzetközi elem – nemzetközi magánjogi szabályok kötelezően alkalmazandó szabályok – a kiszerződés tilalma
igények
Felhasználóbarát felületek Public cloud tud-e open hozzáférést biztosítani, jogosultságkezelés Kiemelten védett adatkategóriák kérdése, Fizikai adatmentés kérdése, időállapotok visszaállítása Titkosítás, kulcskezelés
további igények
Archiválás és adatmegőrzés kérdések, törlési szolgáltatások a migráció esetén is Adatformátum kérdések Felülhitelesítés a felhőben, elektronikusan aláírt dokumentumoknál JÜB
javaslatunk
Lessig kód – privacy by design termékfejlesztés risk assessment a felhőszolgáltatás alkalmazhatóságáról körültekintő szerződéskötés
check list
Köszönjük a figyelmet! Dr. Tényi Géza –
[email protected] Dr. Polefkó Patrik –
[email protected]
