Az adatvédelem és adatbiztonság technikai és szervezési intézkedései

Az Irányelv 17. cikk. (2) bekezdése szerint tehát az adatkezelőként eljáró, a felhőjogviszony-ban igénybe vevőként, felhasználóként pozícionált fél teljes felelősséggel tartozik a felhőszol-gáltató megválasztásáért. Ebből fakadóan, a felelősségük fennáll a személyes adatok védelme érdekében szükséges technikai és szervezési megoldások betartatásáért is.

A 29-es Bizottság véleményében kifejtett álláspontjában adatbiztonsági szempontból, ki-váltképpen az alábbi követelmények biztosítása érdemel kiemelt fi gyelmet:

5) Rendelkezésre állás követelménye: a személyes adatokhoz való gyors és megbízható hoz-záférés biztosítását jelenti. Tekintettel arra, hogy a felhőalapú adattárolás és - elérés há-lózati infrastruktúrán (internet, intranet, egyéb hálózat) keresztül történik, előfordulhat a hírközlési hálózaton olyan zavar (hálózati kapcsolat megszakadása, szerverteljesítmény radikális csökkenése, vagy megszűnése), amely az adatokhoz való hozzáférést gátol-ja. Hasonlóan a hozzáférést akadályozhatják meg a felhő informatikai rendszerében a feldolgozási, vagy az adattárolási infrastruktúrában bekövetkező hibák (pl. hardver meghibásodás). Előbbi sok esetben rosszindulatú (hacker) támadás következménye, de mind a két, a rendelkezésre állást átmenetileg, vagy tartósan ellehetetlenítő hiba vélet-len, műszaki okból is bekövetkezhet.

Az igénybe vevőnek, mint adatkezelőnek a felelőssége, hogy ellenőrizze, a szolgáltató megtett-e minden olyan ésszerű intézkedést, amely a szolgáltatás megszakadásának kockázatát képes kiküszöbölni. Ilyen intézkedés lehet például a tartalék hálózati

45 A Bizottság (EU) 2016/1250 végrehatási határozata a 95/46/EK európai parlamenti és tanácsi irányelv alap-ján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről (a továbbiakban: Adatvédelmi pajzs határozat), www.eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:32016D1250&from=EN.

46 Uo., 14. bek.

47 Uo., 2.1. pont.

kapcsolatok kiépítése, másodlagos adattárolási kapacitások fenntartása, személyes adatok biztonsági másolatának biztosítása.⁴⁸

6) Sértetlenség: a személyes adatok azon tulajdonsága, amely biztosítja, hogy az adatkezelés, adatfeldolgozás során épségük nem kerül veszélybe, az adatok (illetéktelen) módosítása nem valósulhat meg, vagyis az adatfeldolgozás során a személyes adatok változatlanok maradjanak. A sértetlenség, de még inkább az illetéktelen adatmódosítás kiderítésének biztosítására leginkább kriptografi kai hitelesítési eljárásokat lehet alkalmazni, amelyek kódokkal, vagy elektronikus aláírással történnek. De ugyanilyen fontos követelmény a behatolási szándékot érzékelő, és a tényleges behatolás következtében megvalósuló adatmódosítást, adattörlést megelőző műszaki megoldások alkalmazása.⁴⁹

7) A személyes adatok bizalmas természetének fi gyelembe vétele: Egy felhőalapú szolgálta-tás használata esetén a titkosíszolgálta-tás – ha helyesen alkalmazzák – jelentős mértékben hozzá-járulhat a személyes adatok bizalmas kezeléséhez, noha nem teszi visszafordíthatatlanul anonimmá a személyes adatokat. A személyes adatok titkosítását minden olyan esetben alkalmazni kell ’továbbítás közben’, amikor ’nyugalomban lévő’ adatok is rendelkezésre állnak. Egyes esetekben (pl.: IaaS tárolási szolgáltatás) előfordulhat, hogy a felhőszolgál-tatás igénybe vevője nem él a szolgáltató által kínált titkosítási megoldással, hanem úgy dönt, hogy a felhőbe történő megküldés előtt, maga titkosítja a személyes adatokat. A nyugalomban lévő adatok titkosítása során különös fi gyelmet kell fordítani a kriptográ-fi ai kulcs kezelésére, mivel az adatbiztonság végső soron a titkosítási kulcsok bizalmas kezelésétől függ majd. Titkosítani kell továbbá a felhőszolgáltató és az igénybe vevő, valamint az adatközpontok közötti kommunikációt is. A felhő platformjának távolról történő igénybevétele kizárólag biztonságos kommunikációs csatornán keresztül valósul-hat meg. Ha az igénybe vevő azt tervezi, hogy nem pusztán tárolja, hanem fel is dolgozza a felhőben tárolt személyes adatokat (pl.: adatok keresése az adatbázisokban), szem előtt kell tartania, hogy az adatok feldolgozása folyamán nem tartható fenn a titkosítás.⁵⁰ 8) Transzparencia biztosítása: A technikai és szervezési intézkedéseknek az adatkezelés

jogszerűsége felülvizsgálatának biztosítása érdekében, támogatniuk kell az eljárások át-láthatóságát.⁵¹

9) Elkülönítés követelménye (a cél korlátozása): A számítási felhő infrastruktúráján és erő-forrásain – így a tárhely, a memória és a hálózatok – tipikusan sok igénybe vevő (felhasz-náló) osztozik. Ez újabb kockázatokat generál az adatok nyilvánosságra hozatala és jog-ellenes célokra történő feldolgozása tekintetében. Az ’elkülönítés’, mint adatvédelmi cél a jogellenes nyilvánosságra hozatal és adatfelhasználás kiküszöbölésére szolgál, és hoz-zájárul annak garantálásához, hogy az adatokat ne használják fel az eredeti célkitűzésen túl (célhoz kötött adatkezelés)⁵², továbbá megőrizzék azok titkosságát és sértetlenségét.⁵³

48 29-es munkacsoport véleménye i.m. (14. lj.) 16.

49 Uo., 17.

50 Uo.

51 Uo., 18.

52 Vö. 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontja: a személyes adatok gyűjtése csak meghatáro-zott, egyértelmű és törvényes célból történhet, és további feldolgozása nem végezhető e célokkal összeférhetetlen módon. A személyes adatok további feldolgozása történelmi, statisztikai vagy tudományos célokra nem tekin-tendő összeférhetetlennek, amennyiben a tagállamok biztosítják a megfelelő garanciákat.

53 29-es munkacsoport véleménye i.m. (14. lj.).

A felhőszolgáltatások egyes jogi kérdései – különös tekintettel az Európai Unió szabályozására* 113

10) Beavatkozás lehetősége: Az Irányelv biztosítja az érintett számára a hozzáférés, a helyes-bítés, a törlés, a zárolás és a tiltakozás jogát.⁵⁴ Az igénybe vevőnek ellenőriznie kell, hogy a felhőszolgáltató nem állít-e technikai és szervezési akadályokat az érintett e jogosult-ságaiból származó igények teljesítése elé.⁵⁵

11) Hordozhatóság biztosítása: Amint arra már fentebb utaltunk, a legtöbb felhőszolgáltató nem alkalmaz olyan szabványos adatformátumokat és olyan szolgáltatási interfészeket, amelyek elősegítik a különböző felhőszolgáltatók közötti átjárhatóságot és hordozha-tóságot. Ha a felhőszolgáltatás igénybe vevője úgy dönt, hogy az egyik számítási felhő szolgáltatótól egy másikra tér át, az átjárhatóság hiánya meghiúsíthatja, vagy legalábbis megnehezítheti az igénybe vevő birtokában lévő (személyes) adatok átvitelét az új szol-gáltatóhoz (a szolgáltatótól való függőség, az úgynevezett ’vendor lock-in’) Ugyanez igaz azokra a szolgáltatásokra is, amelyet az igénybe vevő az eredeti szolgáltató által biztosí-tott platformon (PaaS) alakíbiztosí-tott ki. A felhőszolgáltatás igénybe vevőjének a szolgáltatás megrendelése előtt ellenőrizni kell, hogy a szolgáltató garantálja-e az adatok és a szolgál-tatások hordozhatóságát, és ha igen, akkor milyen módon teszi ezt.⁵⁶

12) Elszámoltathatóság: Az elszámoltathatóság informatikai értelemben úgy határozható meg, mint annak a megállapítására való képesség, hogy egy entitás mit, és miként tett egy adott múltbeli időpontban. Az adatvédelem terén ezt a fogalmat gyakran tágabb értelemben, annak a leírására használják, hogy a felek igazolni tudják, hogy megfelelő lépéseket tettek az adatvédelmi elvek érvényesítésének biztosítására.

Az IT-elszámoltathatóság különösen fontos a személyes adatok megsértéseinek kivizs-gálása terén, hiszen a felhőjogviszonyokban az igénybe vevők, a szolgáltatók (és az al-vállalkozó) egyaránt bizonyos mértékben operatív felelősséget viselhetnek. Kiemelkedő jelentőségű ebben a tekintetben, hogy a számítási felhő platformja képes legyen megbíz-ható monitorozási és átfogó naplózási mechanizmusokat biztosítani.

Ezenfelül a felhőszolgáltatóknak igazoló dokumentumokat kell szolgáltatniuk azokról a megfelelő és hatékony intézkedésekről, amelyek biztosítják az előbbi szakaszokban kör-vonalazott adatvédelmi elvek érvényesülését. Példát jelentenek az ilyen intézkedésekre az adatfeldolgozási műveletek azonosítására szolgáló eljárások, a hozzáférés iránti kérelmek megválaszolására szolgáló eljárások, az erőforrások elosztása ‒ ideértve az adatvédelmi előírásoknak való megfelelés megszervezéséért felelős adatvédelmi tisztviselő kijelölését

‒, vagy a független tanúsítási eljárások. Emellett az adatkezelőknek gondoskodniuk kell arról, hogy az illetékes felügyeleti hatóság kérése esetén, készen álljanak a szükséges intézkedések meghozatalának igazolására.⁵⁷

A fentiekből egyértelműen kitűnik, hogy a felhőalapú szolgáltatás több specifi kus adatbiz-tonsági kockázatot vet fel, így többek között az irányítás/ellenőrzés elvesztését, a nem bizton-ságos, vagy nem teljeskörű adattörlést, a nem elegendő ellenőrzési nyomvonalat, vagy az elszi-getelés meghiúsulását. A korábban részletesen bemutatott – az EU-ban a felhőszolgáltatások

54 Irányelv i.m. (27. lj.) 12. és 14. cikk.

55 29-es munkacsoport véleménye i.m. (14. lj.).

56 Uo., 19.

57 Uo.

A 29-es munkacsoport részletes észrevételeket tett az elszámoltathatóság kérdéséről az elszámoltathatóság el-véről szóló 3/2010. sz. véleményében, ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/ wp173_hu.pdf.

szabályozására elsőként kidolgozott, harmadik országokba történő adattovábbítás szabályait meghatározó – biztonságos adatkikötő (Safe Harbor) mechanizmusban érvényesülő előírások nem kezelik megfelelően ezeket a kockázatokat.

Ezért szükségesnek látszik további adatbiztonsági biztosítékok kiépítése, például olyan harmadik felek szakértelmének és erőforrásainak felhasználásával, akik különféle ellenőr-zési, szabványosítási és tanúsítási rendszerek révén meg tudják vizsgálni a felhőszolgáltató megfelelőségét. Az Irányelv 26. cikkében előírt eltérések lehetővé teszik az adatexportőrök számára, hogy további garanciák nyújtása nélkül továbbítsanak adatokat az EU-n kívülre.

Ezek az eltérések azonban kizárólag akkor alkalmazhatók, amennyiben az adattovábbítások nem ismétlődőek, tömegesek vagy strukturáltak. Ennek az értelmezésnek az alapján a felhő-szolgáltatással kapcsolatosan szinte lehetetlen eltéréseket alkalmazni.

Az Európai Bizottság által elfogadott azon általános szerződési feltételek, amelyek célja két adatkezelő, illetve egy adatkezelő és egy adatfeldolgozó közötti nemzetközi adattovábbítások szabályozása, kétoldalú megközelítésen alapulnak. Amennyiben a számítási felhő-szolgálta-tót adatfeldolgozónak tekintjük, a 2010/87/EU bizottsági határozat szerinti mintafeltételek olyan eszközöket jelentenek, amelyeket az adatfeldolgozó és az adatkezelő felhasználhat a felhőalapú számítástechnikai környezet megalapozására, hogy megfelelő biztosítékokat nyújtson a nemzetközi adattovábbítások összefüggésében. A számítási felhő-szolgáltató az általános szerződési feltétek mellett, a gyakorlati tapasztalataira épülő fogyasztói előírásokat is kínálhat, amennyiben azok közvetve vagy közvetlenül nem ellentétesek a Bizottság által jóváhagyott általános szerződési feltételekkel, vagy nem sértik az érintettek alapvető jogait és szabadságait. A vállalatok nem módosíthatják vagy változtathatják meg az általános szerző-dési feltételeket anélkül, hogy megszűnne a feltételek általános jellege. Ha az adatfeldolgo-zóként eljáró szolgáltató letelepedett az EU területén, még bonyolultabb helyzet állhat elő, mivel a mintafeltételek általában véve kizárólag az uniós adatkezelőtől a harmadik országbeli adatfeldolgozóhoz történő adattovábbításra vonatkoznak. Ami a harmadik országbeli adat-feldolgozó és az alvállalkozók közötti szerződéses viszonyt illeti, olyan írásbeli megállapodást kell kötni, amely azonos kötelezettségeket határoz meg az alvállalkozó számára a mintafelté-tekben szereplő, az adatfeldolgozót terhelő kötelezettségekkel.

A kötelező erejű vállalati szabályok a vállalatcsoporton belüli adattovábbítást végző vállala-tok magatartási kódexei. A számítási felhő vonatkozásában is létre fog jönni hasonló kódex azokra az esetekre, amikor a szolgáltató adatfeldolgozó, ugyanis a 29. cikk szerinti adat-védelmi munkacsoport jelenleg is az adatfeldolgozókra vonatkozó, kötelező erejű vállalati szabályokon dolgozik, amelyek lehetővé teszik majd az adatkezelők javára történő vállalat-csoporton belüli adattovábbítást anélkül, hogy minden igénybe vevő esetében kötelezővé ten-nék az adatfeldolgozó és az alvállalkozók közötti szerződések aláírását. Az adatfeldolgozókra vonatkozó ilyen kötelező erejű vállalati szabályok lehetővé teszik, hogy a szolgáltatás igénybe vevője az adatkezelőre bízza a személyes adatait, miközben biztosítékot kap arra nézve, hogy a szolgáltató érdekkörén belül továbbított adatok megfelelő szintű védelemben részesülnek.