A személyes adatok védelme az egyik legérzékenyebb terület a cloud computing kapcsán ma itthon, ahol az adatvédelmi szabályozás kifejezetten szigorúnak számít uniós összehasonlításban is - áll a DLA Piper elemzésében.

Egyszerű példa: ha egy vállalat az alkalmazottak személyes adatait az internetfelhőben szeretné tárolni, és történetesen a cloud szolgáltató külföldön van – márpedig erre nagy az esély –, ehhez a magyar jogszabályok értelmében az adatalanyok hozzájárulása szükséges. Beláthatjuk, mekkora adminisztrációs gondot okozhat ez egy sok ezer főt foglalkoztató cégnél.

Adatkezelő vagy adatfeldolgozó a cloud szolgáltató?

A problémák persze az alapoknál kezdődnek. Nem mindig egyértelmű például, hogy ha a cloud szolgáltató és a felhasználó vállalat nem azonos országban tevékenykedik, illetve ha az adatkezelésben több tagállam érintett, melyik ország adatvédelmi szabályozása az irányadó. Kérdés lehet az is, hogy jogi szempontból minek minősül a cloud szolgáltató, adatkezelőnek vagy adatfeldolgozónak. Előbbire ugyanis jóval szigorúbb jogszabályi előírások vonatkoznak, hiszen az adatokkal aktívan foglalkozik, így meghatározza az adatkezelés célját, míg utóbbi adott esetben csak tárolja őket.

HVG

Egy adatfeldolgozó részére az adatkezelő, így például egy cloud szolgáltatás igénybe vevője az Európai Gazdasági Térségen belül az adatalany hozzájárulása nélkül is továbbíthatja külföldre az adatokat, míg az Európai Gazdasági Térségen kívülre már csak az adatalany hozzájárulásának birtokában tehet így.

Érzékeny kérdés az elemzés szerint maga a cloud szerződés is. Tekintettel arra, hogy a cloud szolgáltatók szinte kivétel nélkül szabványosított szerződéseket, általános szerződési feltételeket használnak, amelyek kevés teret engednek az „egyezkedésre”, a szolgáltatást igénybe vevők részéről ezért nagyobb hangsúlyt kell fektetni a kockázatelemzésre a szerződés megkötése előtt. Rendkívül fontos ezért az odafigyelés, hiszen egy-egy, a felhasználó vállalat számára kedvezőtlenül megfogalmazott passzus baj esetén alaposan visszaüthet. Alapvető kérdés például, hogy ki felel az adatvesztésért, helyreállításért, és milyen kártérítésre számíthat az ügyfél ilyen esetben. Fontos tisztázni azt is, hogy a szerződéses jogviszony milyen feltételekkel szüntethető meg, illetve hogy ebben az esetben mi történik a felhasználó cloud szolgáltató részére rendelkezésre bocsátott adataival.

A felhőalapú számítástechnika jelentette jogi kihívásokra a közösségi jogalkotási folyamat is reagált. Az Európai Bizottság a múlt év végén kiadott közleményével megkezdte a jelenlegi európai uniós adatvédelmi szabályok felülvizsgálatát, amelynek egyik kiemelt célja az adatvédelmi elvek pontosítása az új technológiák megjelenésére adott válaszként. A folyamat egyik fókuszpontja éppen az egyszerűsítés.

Szigorú szabályok, kevés szankció

„Magyarországon felemás a helyzet, maguk a szabályok ugyan - mondhatni átgondolatlanul - szigorúak az európai uniós szabályozáshoz képest, ám az adatvédelmi biztosnak nincsen erős szankcionálási jogköre ezek betartatására. Ez pedig a gyakorlatban sokszor a jogszabály céljával ellentétes hatást váltott ki a vállalkozásoknál, sok cég - néha kényszerűségből is - a jogszabály megkerülését választotta adatkezelése során. Ebben egyébként változást hozhat a nemrégiben elfogadott, de még hatályba nem lépett, az információs önrendelkezési jogról és az információszabadságról szóló törvény, amely az újonnan létrejövő Nemzeti Adatvédelmi és Információszabadság Hatóságnak erős szankcionálási jogosítványokat biztosít akár milliós bírságolási tételekkel” – hangsúlyozza Kozma Zoltán, a DLA Piper szakértője.