A személyes adatok védelme az egyik legérzékenyebb terület a cloud computing kapcsán ma Magyarországon – állítja friss elemzésében a Horváth és Társai DLA Piper Ügyvédi Iroda. A hazai adatvédelmi szabályozás ugyanis kifejezetten szigorúnak számít – uniós összehasonlításban is. „Egyszerű példa: ha egy vállalat az alkalmazottak személyes adatait az internetfelhőben szeretné tárolni, és történetesen a cloud szolgáltató külföldön van – márpedig erre nagy az esély –, ehhez a magyar jogszabályok értelmében az adatalanyok hozzájárulása szükséges. Belátható, mekkora adminisztrációs gondot okozhat ez egy sok ezer személyt foglalkoztató cégnél” – hívja fel a figyelmet Kozma Zoltán, a DLA Piper jogi szakértője.
A problémák persze az alapoknál kezdődnek. Nem mindig egyértelmű például, hogy ha a cloud-szolgáltató és a használó vállalat nem ugyanabban az országban tevékenykedik, illetve ha az adatkezelésben több tagállam érintett, melyik ország adatvédelmi szabályozása az irányadó. Kérdés lehet az is, hogy jogi szempontból minek minősül a cloud-szolgáltató, adatkezelőnek, vagy adatfeldolgozónak. Előbbire ugyanis jóval szigorúbb jogszabályi előírások vonatkoznak, hiszen az adatokkal aktívan foglalkozik, így meghatározza az adatkezelés célját, míg utóbbi adott esetben csak tárolja őket.
„Egy adatfeldolgozó részére az adatkezelő, így pl. egy felhőszolgáltatás igénybe vevője az Európai Gazdaság Térségen belül az adatalany hozzájárulása nélkül is továbbíthatja külföldre az adatokat, az Európai Gazdasági Térségen kívülre már csak az adatalany hozzájárulásának birtokában tehet így” – hangsúlyozza Kozma Zoltán.
Érzékeny kérdés a DLA Piper elemzése szerint maga a felhőszerződés is. Tekintettel arra, hogy a cloud-szolgáltatók szinte kivétel nélkül szabványosított szerződéseket, általános szerződési feltételeket használnak, amelyek kevés teret engednek az „egyezkedésre”, a szolgáltatást igénybe vevők részéről ezért nagyobb hangsúlyt kell fektetni a kockázatelemzésre a szerződés megkötése előtt.
Rendkívül fontos ezért az odafigyelés, hiszen a használó vállalat számára kedvezőtlenül megfogalmazott passzusok baj esetén alaposan visszaüthetnek. „Alapvető kérdés például, hogy ki felel az adatvesztésért, helyreállításért, és milyen kártérítésre számíthat az ügyfél ilyen esetben – hívja fel a figyelmet Kozma Zoltán. – Fontos tisztázni azt is, hogy a szerződéses jogviszony milyen feltételekkel szüntethető meg, illetve, hogy ebben az esetben mi történik a használó cloud-szolgáltató részére rendelkezésre bocsátott adataival” – teszi hozzá a DLA Piper szakértője.
A „felhő alapú számítástechnika” jogi kihívásaira a közösségi jogalkotási folyamat is reagált; az Európai Bizottság a múlt év végén kiadott közleményével megkezdte a jelenlegi európai uniós adatvédelmi szabályok felülvizsgálatát, amelynek egyik kiemelt célja az adatvédelmi elvek pontosítása az új technológiák megjelenésére adott válaszként. A folyamat egyik fókuszpontja éppen az egyszerűsítés.
„A Magyar Köztársaságban felemás a helyzet, maguk a szabályok ugyan – mondhatni átgondolatlanul – szigorúak az európai uniós szabályozáshoz képest, ám az adatvédelmi biztosnak nincsen erős szankcionálási jogköre a megtartatásukra. Ez pedig a gyakorlatban sokszor a jogszabály céljával ellentétes hatású a vállalkozásoknál, sok cég – néha kényszerűségből is – a jogszabály megkerülését választotta adatkezelése közben. Ebben egyébként változást hozhat a nemrégiben elfogadott, de még hatályba nem lépett, az információs önrendelkezési jogról és az információszabadságról szóló törvény, amely az újonnan létrejövő Nemzeti Adatvédelmi és Információszabadság Hatóságnak erős szankcionálási jogosítványokat biztosít akár milliós bírságolási tételekkel” – hangsúlyozza Kozma Zoltán.
„Bár még nem tudható, hogy az újonnan felálló hatóság hogyan fogja értelmezni a jogszabály adattovábbításra vonatkozó új rendelkezéseit, csak remélhető, hogy ez kedvező hatással lesz a cloud computing terjedésére, és legalább egy jogi problémát könnyebben kezelhetővé tesz ezen a területen. Ez minden vállalkozás számára előnyös lenne ugyanis, azért, hogy maximalizálni lehessen azon számos lehetőséget, amelyet a cloud computing magában hordoz, így például az idő- és költséghatékonyságot, a rugalmasságot és az IT-szolgáltatásokhoz való szélesebb körű hozzáférést” – teszi hozzá a DLA Piper szakértője.
A cloud computing („felhő alapú számítástechnika”) lényege, hogy a felhasználó olyan állományokkal, programokkal dolgozik, amelyek fizikailag nem a saját számítógépén találhatóak meg. Ezek az állományok, programok bárhonnan könnyen elérhetők, és akkor sem vesznek el, ha a saját számítógép tönkremegy. A felhasználók nem rendelkeznek a szolgáltatások fizikai infrastruktúrájával, ezeket a cloud szolgáltatótól bérlik.
