Cloud Computing – adatfeldolgozás a felhőben

A cloud computing, a „felhő” keretében történő adatfeldolgozás technikai és jogi jellegű kérdéseiről számos cikk jelent meg különböző fórumokon (sg.hu; index.hu), ám ezen téma hazai (adatvédelmi) jog szempontjából is releváns szisztematikus feldolgozására eddigiekben még nem került sor.

A felhőben történő adatfeldolgozás, az ún. számítási felhő az Interneten keresztül – felhő formájában – összekapcsolt olyan számítógépes hálózatokra utal, melyek bizonyos alkalmazások, illetve adatkezelési műveletek kiszervezésére szolgálnak. Ennek célja az erőforrásokkal való hatékony gazdálkodás, illetve IT szolgáltatások egyéni igényeknek megfelelő dinamikus nyújtása. A cloud computing ugyanis lehetővé teszi, hogy a hardware és szoftver elemek az erőforrások és pénzeszközök kímélésével kerüljenek felhasználásra. A cloud szolgáltatás komolyabb beruházás nélkül lehetővé teszi annak ügyfele részére, hogy az időszakosan leterhelt saját erőforrásaihoz kapacitást nyerjen vagy éppen bizonyos szolgáltatásokat – akár teljes egészében – a „felhőbe” szervezze ki , melyért a felhő üzemeltetője a kiszervezett teljesítmény vagy idő függvényében kap díjazást.

A cloud computing tekinthető puszta kiszervezésnek, adatfeldogozásnak, melynek számos formáját jelenleg is szabályozza a jog. A cloud computing technikai oldala annyiban jelent újdonságot, hogy a kiszervezés nem kötődik egyetlen helyhez illetve fix platformhoz, hanem ezt dinamikusan kerül rendelkezésre bocsátásra.

A felhő szolgáltatások keretén belül megkülönböztetésre kerül a

  • SaaS – Software-as-a-Service esetében a szoftvert nem a számítógépre telepítik, hanem ahhoz a hálózaton keresztül nyújtanak hozzáférést

  • IaaS – Infrastructure-as-a-Service esetében kiszervezés keretében számítógépes infrastruktúrát bocsátanak az ügyfél rendelkezésére.

  • Storage as Service – az adattárolást és archiválást szolgálja

  • PaaS – Platform-as a-Service – teljes platformokat, alkalmazásokat bocsát az ügyfél rendelkezésére anélkül, hogy hardveres és szoftveres alkalmazásokat lenne szükséges ehhez megvásárolni és fenntartani
  • DaaS – Desktop-as-a-Service a felhasználók virtuális asztala elválasztásra kerül a hardvertől és az bárhonnan hozzáférhető

A felhőkön belül is megkülönböztethető a magán felhő (private cloud) és a közös felhő (public cloud). A magán felhő egyetlen adatkezelő kezelésében levő számítógépes hálózat, míg a közös felhő esetében harmadik személyek számítógépes kapacitása kerül szolgáltatásra az ügyfél részére. A magán és a közös felhők a gyakorlatban vegyes formában jelennek meg.

A felhőben történő adatfeldolgozás – az általa nyújtott előnyök miatt – egyre nagyobb népszerűségre tesz szert és egyre több IT-cég kínál hasonló szolgáltatásokat, mint az IBM, a Google, a Microsoft, a HP etc. (A felhő szolgáltatását az Ariba cég külön animációs klippel reklámozza)

A felhő szolgáltatásokkal kapcsolatos alapvető problémát adatvédelmi, adatbiztonsági, illetve ezzel összefüggésben a nemzetközi adattovábbításra vonatkozó kérdések vetik fel, amennyiben a felhő szolgáltatás alapját személyes adatok kezelése képezi. Erőforrások kiszervezése esetén ugyanis elkerülhetetlenül a felhő-szolgáltatóhoz kerülhetnek a felhő-szolgáltatást használó ügyfél munkavállalóinak, ügyfeleinek illetve beszállítóinak személyes adatai, melyekre anonimizálási technika hiányában alkalmazandóak az adatvédelmi irányelv, illetve itthon az adatvédelmi törvény rendelkezései.

A felhő-alkalmazások problematikájának első szintjét ugyanis a megfelelő szolgáltatási szerződés megkötése jelenti, melyben az adattovábbításra irányadó adatvédelmi jog kikötése mellett különös hangsúlyt kell nyerjenek a megfelelő adatbiztonsági feltételek illetve ezek ellenőrzése, rendszeres auditja, mivel a felhő-szolgáltató hibájából bekövetkező adatszivárgás és adatvesztés esetén ezért szintén a felhő-szolgáltatás igénybevevője, mint adatkezelő felelős.

A felhő-alkalmazások jellemzően nemzetközi, illetve határokon átnyúló természetűek, mivel ezeket nem hazai, illetve nem európai (hanem például amerikai) cégek szolgáltatják, ami miatt a magyar adatvédelmi törvény nemzetközi adattovábbításra vonatkozó rendelkezései irányadóak ezekre a szolgáltatásokra. Így kiszervezés esetében a felhő-szolgáltatás igénybevevőjének tekintettel kell lennie arra, hogy a felhő egyes számítógépeinek hardware elemei (pl. a szerver-farmok) milyen országokban találhatóak, mert adott esetben szükségessé válhat a személyes adatok megfelelő szintű védelmének biztosítása, továbbá az adatalanyok kifejezett és tájékozott hozzájárulásának megszerzése.

Az adatvédelmi törvény értelmében személyes adat (beleértve a különleges adatot is) az országból – az adathordozótól vagy az adatátvitel módjától függetlenül – harmadik országban lévő adatkezelő vagy adatfeldolgozó részére akkor továbbítható, ha ahhoz az érintett kifejezetten hozzájárult, vagy ha azt törvény lehetővé teszi, és a harmadik országban az átadott adatok kezelése, illetőleg feldolgozása során biztosított a személyes adatok megfelelő szintű védelme. Az Európai Gazdasági Térségen belüli (határokat átlépő) adattovábbításra a belföldi adattovábbításra vonatkozó szabályok irányadóak, ezért probléma egészen addig nem keletkezik, amennyiben a felhő egyes hardware elemei belföldön, illetve az EGT területén találhatóak. Megjegyzendő, hogy a külföldi (harmadik országban található) adatfeldolgozó (pl. külföldi felhő-szolgáltató) megbízását az adatvédelmi biztos gyakorlata az adatalanyok tájékozott, kifejezett hozzájárulásához köti. Ezzel kapcsolatosan bizonyos esetekben kivételt a bank és a biztosítási szektor alanyai jelentik, akik részére a törvény lehetővé teszi a kiszervezést (lásd azonban Bit. 158. §-át is), amennyiben biztosítják a személyes adatok megfelelő szintű védelmét például a felhő szolgáltató Safe Harbor regisztrációja útján, adattovábbítási szerződésekkel vagy éppen vállalat-csoporton belüli adattovábbítás esetén kötelező erejű vállalati szabályok implementálásával.

Másrészről a külföldre történő adattovábbítást a felhő szolgáltatás igénybevevője részéről be kell jelenteni az adatvédelmi nyilvántartásba, mely kötelezettségen az a körülmény sem változtat, ha a valamely módszerrel biztosítják a személyes adatok megfelelő szintű védelmét. Megjegyzendő, hogy az adatvédelmi biztos hivatalának bejelentéssel kapcsolatos eljárása notifikációs eljárás, tehát az sg.hu fent hivatkozott cikkében kifejtettekkel ellentétben sem szükséges az adattovábbításhoz adatvédelmi hatósági engedélyt beszerezni.

A cloud computing az utóbbi időben különösen Németországban vált felkapott témává vált, melyet a Schleswig-Holstein-i adatvédelmi hatóság nyáron közzétett hosszabb állásfoglalása is mutat, ami felhívta arra a figyelmet, hogy a felhő szolgáltatások több ponton adatvédelmi jogot sérthetnek. Megemlítendő továbbá a Német Szövetségi Információstechnikai Biztonsági Hivatal (Bundesamt für Sicherheit in der Informationstechnik) cloud computing minimális adatbiztonsági feltételeivel foglalkozó 2010. szeptember 27-én közzétett tervezete is. Várható tehát, hogy a közeljövőben a 29. számú adatvédelmi munkacsoport, az EU adatvédelmi hatóságainak konzultatív szerve is foglalkozik ezzel a kérdéssel.