A német adatvédelmi hivatalok felhívásai a cloud computing, az új IP-címek és a szociális hálók témaköreiben

2011. szeptember 28-29 én tartották Münchenben a német tagállami és szövetségi adatvédelmi hivatalok 82. konferenciáját. A konferencia során határozatban hívták fel a cloud szolgáltatókat (a „cloud computingot” ismertető korábbi cikkünk itt található), hogy csak akkor nyújtsanak ilyen szolgáltatást, ha teljes mértékben biztosítani tudják az adatvédelmi követelményeknek való megfelelést.

Az adatvédelmi hivatalok határozatukban a következő elvárásokat nevesítették (összefoglaló):


– a cloud szolgáltatók a technikai, szervezési és jogi keretekről adjanak nyílt, átlátható, részletes tájékoztatást

– a vonatkozó szerződések tegyék egyértelművé, hogy hol történik az adatfeldolgozás, és hogy ez hogyan változhat

– biztosítsák a biztonsági és adatvédelmi előírások teljesülését, és lehetőleg szerezzék be független tanúsító intézmények erre vonatkozó igazolásait

Egyebekben az adatvédelmi hivatalok elvi támogatásukról biztosították a cloud szolgáltatókat, és felhívták a figyelmet a weben elérhető német nyelvű, cloud computingra vonatkozó adatvédelmi segédletre.

A konferencia foglalkozott az internetes címek új generációjára való áttérés adatvédelmi aspektusaival is (IPv4 helyett IPv6). Az új rendszerre való áttérés lényegi problémája, hogy sokkal több fix IP cím lesz, ami az internetezők azonnali azonosítását, felhasználói profilok létrehozását teszi lehetővé akár egyes holnapok üzemeltetői által, ellenben az IPv4 rendszerrel, amelyben az IP címek nagy része dinamikus volt, azaz napjában többször változott, ezáltal adva egy korlátozott mértékű anonimitást a felhasználóknak. Az IPv6 rendszerre való áttéréssel kapcsolatban több konkrét javaslatot is megfogalmaztak. Ezek közül kiemeljük, hogy

– az internetszolgáltatók a felhasználók kérésére adjanak statikus vagy dinamikus IP-címet, és a felhasználó kérésére felár nélkül váltsanak dinamikus IP-címre

– a hardver- és szoftverfejlesztők támogassák az adatvédelmi kiegészítőket (privacy extensions), a szigorúbb adatvédelmi beállításokat (privacy by default), hogy a felhasználók beazonosítása ne lehessen bárki számára elérhető

– a decentralizált, peer to peer megoldások fejlesztését támogatják

– a tartalomszolgáltatók az IPv6 címeknek csak az első 4 byte-ját tárolják el, mivel ez elegendő a helymeghatározáshoz (geolokalizációhoz), de a felhasználó további adatait fölöslegesen ne tárolják

– a whois adatbázisba csak kérésre lehessen bekerülni. A cél, hogy az ICANN adatbázisa megosztott formában működjön, azaz helyi IP címek jogosultjainak adatait csak helyi szolgáltatóktól lehessen a helyi jogszabályok feltételeinek betartása mellett megszerezni.

A szociális hálókkal, mint a Facebookkal kapcsolatban a konferencia hangsúlyozta, hogy az európai adatvédelmi előírásoknak is meg kell felelniük, mivel európai felhasználókat céloznak.

A szociális hálók pluginjainak (pl. Facebook like, Google +1, Twitter) honlapokon való elhelyezését nem tartják német és európai jogi szempontból jogszerűnek, ha a honlap üzemeltetője nem hívja fel erre megfelelőképp a felhasználó lehetőségét, és ha nem biztosít számára választási lehetőséget. Különösen jogszerűtlennek tartják azt az esetet, ha a „tetszik” gomb megnyomásával az Egyesült Államokba kerülnek felhasználói adatok. Ugyanakkor a plugineket csak egy példának tekintik a szociális hálókkal kapcsolatos adatvédelmi anomáliák közül, hiszen pl. a Facebook arcfelismerő technikája is problémás, valamint az is, hogy a Facebook és a Google+ szolgáltatásokat nem lehet anonim módon használni, ahogy azt a német jogszabályok előirányozzák.

A német adatvédelmi hivatalok ezért felhívták a közintézményeket, hogy a szociális hálók fenti követelményeknek meg nem felelő pluginjait teljes mértékben mellőzzék, és ne tartsanak fenn rajongói oldalakat ilyen oldalakon.

Ezzel gyakorlatilag megerősítették Schleswig-Holstein adatvédelmi biztosának korábbi (2011. augusztus 19.) álláspontjának jogi alapját, amelyben a „tetszik” gomb honlapokon történő elhelyezését és a közintézmények Facebook rajongói oldalait betiltotta és 50.000,- euró pénzbüntetést helyezett kilátásba. Ugyanakkor Schleswig-Holstein tagállam ezzel nem ért egyet, és Facebook honlapja a felhívás ellenére is, azóta is üzemel.

forrás: http://www.datenschutz.hessen.de/k82.htm https://www.datenschutzzentrum.de/presse/20110819-facebook.htm http://www.facebook.com/SchleswigHolstein