informatikajog

Felhőszolgáltatás és adatvédelem: egyelőre bizonytalan jövőkép

Szerző: 2012. augusztus 20.No Comments

„Hódít a felhőalapú számítástechnika, immár Magyarországon is. Az előnyök világosak: személyre szabhatóság, könnyű elérhetőség, az éppen szükséges méretű tárhely bérlésének lehetősége. Fontos azonban tisztában lenni az új megoldást övező esetleges kihívásokkal, kérdésekkel is.

A felhőszolgáltatás kapcsán talán az adatvédelmi nehézségek merülnek fel leggyakrabban, ezen belül a legalapvetőbb kérdés jelenleg a következő: található-e személyes adat a felhőben? Amennyiben a válasz igen, akkor a felek kötelesek betartani a személyes adatok védelméről szóló jogszabályokat. Ez akkor fordulhat elő, ha például a felhasználó cégek az alkalmazottak adatait is a felhőben tárolják. Márpedig abban a pillanatban, amikor egy vállalat egy felhőszolgáltatón található programot vesz igénybe mondjuk a bérszámfejtéséhez, elő is áll ez a helyzet.

A dilemma tehát korántsem csak az „egzotikus” tevékenységeket érinti, hanem a cégek mindennapjait. Ehhez képest egyelőre nem tudni biztosat arról, hogy a cloud szolgáltatók jogilag adatkezelőnek vagy adatfeldolgozónak minősülnek-e. Előbbire jóval szigorúbb jogszabályi előírások vonatkoznak, hiszen az adatokkal aktívan foglalkozik, míg utóbbi adott esetben csak tárolja őket. A gyakorlat jelenleg amellett szól, hogy e szolgáltatók adatfeldolgozónak minősülnek, azonban egyelőre sem a bíróságok, sem a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) nem foglalkoztak még a kérdéssel.
Egyelőre az sem világos (mondhatni felhőbe burkolózik), hogy ha a cloud szolgáltató és a felhasználó vállalat nem azonos országban tevékenykedik, illetve ha az adatkezelésben több tagállam érintett, melyik ország adatvédelmi szabályozása az irányadó. Erre egyelőre az ún. 29-es Munkacsoport (amely az uniós adatvédelmi irányelv rendelkezései végrehajtását elősegítő testület) iránymutatása ad csak választ. Nehezíti az adatvédelmi szabályok betartását az a körülmény, hogy az adatok kezeléséhez szükség van az adatalanyok hozzájárulására is, és csak bizonyos, egyelőre szűk körű törvényi kivételek esetén lehet eltekinteni ettől. Nyilvánvaló, hogy egy több ezer fős cégnél ez tetemes adminisztrációs terhet jelent.

Könnyelműek pedig semmiképpen sem lehetünk e területen, már csak azért sem, mert az év elején felállt NAIH erős szankcionálási jogosítványokkal rendelkezik, amelyekkel a gyakorlatban is magabiztosan él. Bár az első három bírság nem kapcsolódik szorosan a felhőszolgáltatáshoz, ezek közül kettőben azért kaptak több milliós, illetve 800 ezer forintos büntetést az érintettek, mert az általuk kiküldött körleveleken látni lehetett a többi címzett e-mail címét is.

Ez azt jelenti, hogy a vállalatoknak sokkal komolyabban kell venni az adatvédelmi szabályok betartását, mint az adatvédelmi biztos ideje alatt – a NAIH ugyanis szigorúbb eszközökkel képes fellépni az esetleges jogsértések ellen.”

Forrás:
Felhőszolgáltatás és adatvédelem: egyelőre bizonytalan jövőkép; Kozma Zoltán; Advocatus (DLA Piper); 2012. augusztus 7.