A felhő adatvédelmi jogi környezete – Ember a Holdon – Adatkezelő a felhőben
A technológiai fejlődés forradalmi jelentőségű jelensége a felhő-számítástechnika megjelenése. A felhőszolgáltatásokat napjainkban magánszemélyek és vállalkozások, akár közigazgatási szervek is használják, az elektronikus hírközlési szolgáltatások jelentős része is felhőalapú technológiára épül, gondoljunk akár a különböző e-mail szolgáltatók portfólióira, akár a közösségi hálók működésére, amelyek használata a társadalomban rendkívül magas arányú.
A felhőalapú számítástechnikai megoldások univerzális definícióval nem rendelkeznek, ugyanakkor a legáltalánosabban elfogadott és hivatkozott, az Egyesület Államok Technológiai és Szabványügyi Nemzeti Intézete (NIST) meghatározása szerint „a felhő-számítástechnika a felhőszolgáltató által kínalt olyan modell, amelynek révén a felhasználók kényelmesen és igény szerint férhetnek hozzá a megosztott, beállítható informatikai erőforrásokhoz, amelyeket gyorsan és minimális adminisztrációs megterhelés vagy szolgáltatói beavatkozás mellett rendelkezésre lehet bocsátani és fel lehet szabadítani”.
Az Európai Bizottság 2012. szeptember 27-i, „A számítási felhőben rejlő potenciál felszabadítása Európában” című közleménye („Felhőközlemény”) szerint „Leegyszerűsített kifejezésekkel megfogalmazva a „számítási felhő” adatok interneten keresztül elért, távoli számítógépeken történő tárolását, feldolgozását és felhasználását jelenti”.
Az egységes definíció hiánya ellenére elmondható, hogy a felhő egy sajátos infrastruktúra, melyben a felhőszolgáltatók különböző szolgáltatásokat kínálnak a világ bármely pontján internet-hozzáféréssel rendelkező felhasználói számára. A szolgáltatásaik adatokkal végezhető műveletek végrehajtására irányulnak, és az adatok a felhasználó számítógépén kívüli, sokszor több ezer kilométer távolságra lévő szervereken tárolódnak, az igénybe vehető programok és alkalmazások is innen érhetőek el. Ezen távoli szerverek megjelölésére általában a felhő kifejezést használják.A felhőszolgáltatások csoportosítása többféleképpen történhet. Egyrészt a felhő-számítástechnikai erőforrások üzembe helyezésének módja szerint:
1. Magán felhő (private cloud): magánfelhő a nagyközönség helyett csak meghatározott felhasználóknak kínált, az interneten vagy belső magánhálózaton keresztül elérhető számítástechnikai szolgáltatások halmaza.
2. Nyilvános felhő (public cloud): a külső szolgáltatók által a nyilvános interneten kínált, bárki által használható vagy megvásárolható számítástechnikai szolgáltatások halmazaként definiálható. A felhő infrastruktúra tehát a nagyközönség vagy egy jelentős ipari csoport számára elérhető, és egy felhő alapú szolgáltatásokat értékesítő szervezet tulajdonában van.
3. Hibrid felhő (hybrid cloud): olyan számítástechnikai környezet, amely úgy kombinálja a nyilvános felhőt és a magánfelhőt, hogy az adatok és az alkalmazások megoszthatók a kettő között. A számítási és feldolgozási igény ingadozása esetén a hibrid felhőalapú számítástechnika lehetővé teszi a helyszíni infrastruktúra nyilvános felhőbe való zökkenőmentes kiterjesztését a többletterhelés kezelése érdekében anélkül, hogy a vállalat teljes adatállományához hozzáférne egy harmadik féltől származó adatközpont.A felhő típusok csoportosíthatóak továbbá a felhőszolgáltató által biztosított szolgáltatások tartalma szerint, azaz hogy a teljes infrastruktúra üzemeltetése miképpen oszlik meg a szolgáltató és a felhasználó között, melyik részéért felelős a szolgáltató, és mely – maradék – részéért a felhasználó:
1. Szoftver mint szolgáltatás (SaaS – software as a service): a felhőszolgáltató az interneten keresztül szoftvert bocsájt a felhasználó rendelkezésére, a felhasználó pedig többnyire a használat mértéke alapján fizet ellenértéket. Ebben a megoldásban a szolgáltató felelőssége a teljes rendszer üzemeltetése, a szolgáltatás rendelkezésre állásának biztosításával. Ez vált a leggyakrabban, átlagfelhasználók – végfelhasználók – milliárdjai által használt felhőtípussá.
2. Platform mint szolgáltatás (PaaS – platform as a service): a felhőszolgáltató az alkalmazás üzemeltetéséhez szükséges informatikai környezetet, a platformot (operációs rendszert) biztosítja, a szoftvermegoldás (a szoftver lefejlesztése) a felhasználó felelőssége. A PaaS kiválóan alkalmas új alkalmazások tesztelésére és bevezetésére anélkül, hogy szükség lenne helyi virtuális gépekre és a megfelelő szoftverekre.
3. Infrastruktúra mint szolgáltatás (IaaS – infrastructure as a service): a felhőszolgáltató az infrastruktúrát (virtuális gépet és más erőforrásokat) biztosítja, az operációs rendszert és az alkalmazásokat a felhasználó működteti. A felhasználók a teljes szoftverek úgynevezett ‘image’-eit telepítik fel az ilyen virtuális szerverkörnyezetre. A virtuális gépek fizikai értelemben tehát nem léteznek, pusztán a felhőben érhetőek el. A szerződési feltételek rendszerint megengedik, hogy a végfelhasználó szükséglete szerint bővítse a rendelkezésére álló infrastruktúra használatát, általában önkiszolgáló portálokon keresztül.A felhő által biztosított legjellemzőbb szolgáltatások lehetővé teszik többek között adatok nagy mennyiségű tárolását, biztonsági mentését és helyreállítását, hang- és videótartalom streamelését, webhelyek és blogok üzemeltetését, szoftverszolgáltatás igénybe vételét, átfogó profilelemzést, általános értelemben bármilyen adatelemzést, speciális hardverek, célrendszerek igénybe vételét.
A felhő alapú szolgáltatások – legyen szó akár a Saas, a PaaS vagy a IaaS modellről – valamilyen módon és mértékben magukban foglalják személyes adatok feldolgozását.
Ha jogi szempontból is elemezni szeretnénk a felhőszolgáltatások jellemző vonásait, a szolgáltatás jogi relevanciával bíró tulajdonságai a következőképpen foglalhatóak össze:
- A felhőszolgáltatóknak jellemzően sok a felhasználója, akik a felhőben található szolgáltatásokat közösen használják.
- A hardver a felhőszolgáltató tulajdona, az adatokat pedig ezen távoli hardverek tárolják.
- A felhőarchitektúra rétegekből áll: hardverből, köztes rétegből (middleware) vagy platformból, valamint alkalmazásszoftverekből. Azon rétegekben, amelyek az átlagfelhasználók igényeit hivatottak kielégíteni, fontos a szabványosítás: vagyis azért, hogy a ezen felhasználók különösebb informatikai ismeretek hiányában is képesek legyenek a különböző funkciókat elérni, a céljaik érdekében használni, így a szabványosítás különösen a köztes rétegnél jelentős.
- A rendszer alapvetően önkiszolgáló jellegű, a szolgáltatóval nem szükséges a felhasználó rendszergazdájának személyes kapcsolatot tartania ahhoz, hogy a számítástechnikai erőforrást igénybe vehesse. Elvben és szigorúan technikai értelemben a felhasználónak az adatok és adatkezelés, adatfelhasználás pontos (földrajzi) helyével, a felhasználót adott pillanatban ténylegesen kiszolgáló hardvert beazonosító információkkal sem kell foglalkoznia. Ez az adatvédelmi jogi garanciák érvényesülése szempontjából fog ugyanakkor kiemelt jelentőséggel bírni.
- A felhasználók igényük szerint, tértől és időtől függetlenül, nagyon egyszerűen (akár néhány kattintással), másodpercek alatt hozzáférhetnek tárolt adataikhoz, további tárolókapacitást vehetnek igénybe, módosíthatják az általuk használt hardvereszközök mennyiségét.
- A szolgáltatók erőforrásaik optimalizálása érdekében gyakran helyezik át a felhasználói terheléseket (a felhasználói adatállományt vagy annak egy részét egyik számítógépről a másikra vagy egyik adatközpontból egy másikba).
- A felhőszolgáltatások alapvető tulajdonsága még, hogy a szolgáltatások használata meghatározott paraméterek mentén pontosan mérhető, a szolgáltató és a felhasználó számára átlátható, és amely mérés a köztük felmerülő elszámolás alapját képezi. A felhasználók általában a használat arányában fizetnek a szolgáltatásért, adott esetben megspórolva ezzel a saját rendszer fejlesztésének és fenntartásának költségét.
Az adatok azonban nem alkotnak homogén halmazt, az adatok tipizálása szempontjából jelen írásban kizárólag az Európai Unió jogszabályrendszerében (az általános adatvédelmi rendelet vagy másképp: GDPR rendelkezései szerint) definiált személyes adatok vizsgálatára térünk ki, górcső alá véve a személyes adatok gazdáinak, az érintetteknek, az adatkezelőknek és az adatfeldolgozóknak a speciális viszonyrendszerét.
A GDPR a személyes adatok körét meglehetősen tágan értelmezi:
„Személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. A természetes személy azonosítható, ha közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”Az adatkezelésnek minősül a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Adatkezelő az, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, adatfeldolgozó pedig az, aki az adatkezelő nevében személyes adatokat kezel.A felhő alapú szolgáltatások – legyen szó akár a Saas, a PaaS vagy a IaaS modellről – valamilyen módon és mértékben magukban foglalják személyes adatok feldolgozását. A különböző felhő szolgáltatási struktúrákban különféle szereplők működnek közre, a lehetséges szereposztással pedig az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv 29. cikk alapján létrehozott adatvédelmi munkacsoport (a továbbiakban: 29-es Munkacsoport) 2012. július 1-jén közzétett 5/2012-es számú, ún. „Felhővéleményében” is foglakozott:
1. A 29-es Munkacsoport idealizált modelljében a felhőjogviszonyban szerepel egyrészt maga az érintett, az adatkezelő (aki valamely jogalapra tekintettel a személyes adatot kezeli) és a felhőszolgáltató, mint adatfeldolgozó, aki a felhő felhasználójával kötött szerződés alapján végzi a tevékenységét.
2. A szerepek pontos azonosítása érdekében azonban minden esetben vizsgálandó, mely fél gyakorlata feleltethető meg az adatkezelő fogalmának és mely szereplő fog kizárólag adatfeldolgozói minőségben eljárni.
Ennek megfelelően előfordulhat az az eset is, amikor a felhőszolgáltatóval szerződést kötő fél is adatfeldolgozó, mert más nevében kezeli az adatokat, ebben az esetben az adatkezelő hátrébb áll a szerződéses láncolatban.3. Arra is van ugyanakkor lehetőség, hogy a felhőszolgáltató adatkezelőnek minősüljön, ha például az adatokat a saját céljaira is kezeli, ekkor a saját jogán önálló adatkezelőnek is minősülhet, ha pedig az adatkezelés célját a felhasználóval együtt határozzák meg, közös adatkezelők lesznek.
4. A felhőszolgáltató az adatfeldolgozást vagy annak egy részét ki is szervezheti, sőt a szolgáltatásra jellemző rugalmasság biztosítása és a szolgáltatás rentábilitása érdekében ezt a felhőszolgáltató jellemzően meg is teszi azzal a megkötéssel, hogy a GDPR rendelkezései értelmében alvállalkozót, mint al-adatfeldolgozót kizárólag az adatkezelő eseti vagy általános írásos felhatalmazása alapján bízhat meg. A felhőszolgáltató által igénybe vett további adatfeldolgozók működésük során kötelesek betartani az adatvédelmi előírásokat és követni az adatkezelő (a felhőszolgáltatás igénybe vevője) utasításait.A felhőjogviszony előzőekben bemutatott komplexitása okán, illetve arra tekintettel, hogy a felhőszolgáltatók globális szinten felbecsülhetetlen adatvagyon „őrzői”, következő cikkünkben a felek felelősségi viszonyának szabályaiba fogunk betekinteni.
Kérdése van? Keressen minket bizalommal!
Rugalmasság
Ügyfeleink teljes körű kiszolgálása érdekében akár cégénél kihelyezve is segítünk sürgős jogi problémáinak megoldásában. Munkatársaink telefonon és e-mailen is elérhetőek.
Gyorsaság
Irodánk a cégjogi és a szerződések elkészítésével kapcsolatos feladatokat 5 munkanapos határidővel vállalja. Egyéb munkatípusokkal kapcsolatban egyedi határidők megadásával igyekszünk a leghatékonyabb és leggyorsabb megoldást kínálni Önnek és cégének.
Hatékonyság
Ügyfeleink hatékony, lényegre törő, gyors és precíz kiszolgálása alapelveink egyike. Nem végzünk felesleges, időhúzó munkát, így Önnek sem kell a jó megoldásra napokat várnia!
Szakértelem
Jogász munkatársaink kiemelkedő szakértelemmel látják el a megjelölt szakterületeken cége ügyeit a magyar mellett angol nyelven is. Így a mi szaktudásunk az Ön vállalatának építőköve.