FELHŐ VIHAR NÉLKÜL – 5 ADATVÉDELMI TIPP FELHŐHASZNÁLATHOZ

2017 November 13

Manapság szinte már nincs is olyan cég, amely ne használna felhő szolgáltatásokat, de kevesen gondolnak arra, hogy az adatok „házon kívüli” tárolása milyen további kihívásokkal jár. Annak érdekében, hogy céged a megfelelő felhőszolgáltatót válassza és elkerülje a 2018. májusától életbe lépő Általános Adatvédelmi Rendelet (GDPR) által kiszabható rendkívül magas bírságokat, a jelen cikkben foglaltuk össze a legfontosabb tudnivalókat.

Ki kicsoda a felhőben?

A GDPR szerint az adatvédelem fő címzettje az adatkezelő, aki általánosságban felelős az adatvédelem átalános elveinek betartásáért, hiszen ő határozza meg az adatkezelés célját és eszközét.

Ezen túlmenően az adatkezeléssel érintett természetes személyek a GDPR-ben meghatározott igen széleskörű jogosítványaikat is az adatkezelővel szemben gyakorolhatják, így az adatkezelő felelős az érintett jogainak tiszteletben tartásáért és e jogok hatékony érvényesítéséért.

Az egyértelmű, hogy céged, mint adatkezelő felelős a dolgozóidról, ügyfeleidről házon belül nyilvántartott személyes adatokért, így meg kell hoznod a személyes adatok védelme érdekében az alapvető intézkedéseket (pl. dokumentumok jelszavas védelme stb.).

Felmerülhet azonban a kérdés, hogy ha felhőszolgáltatást veszel igénybe, és a dolgozóid, ügyfeleid adatait „házon kívül” a felhőben tárolod, ez változtat-e bármit a helyzeteden? Ki tudod szervezni az adatkezelői kötelezettségeidet is?

A válasz egyértelmű: nem.

Attól, hogy esetleg kiszervezel bizonyos tevékenységet (pl. adattárolás) és adatkezelőként igénybe veszel egy felhőszolgáltatót, utóbbi – néhány kivételtől eltekintve – adatfeldolgozóként jár el, a céged viszont megőrzi az adatkezelői mivoltát.

Az érintettek továbbra is az adatkezelővel, azaz a cégeddel szemben érvényesíthetik a GDPR szerinti jogaikat.

A felhőszolgáltó helyzete

Ami a felhőszolgáltató céged felé fennálló kötelezettségeit és felelősségét illeti, erre a közöttetek létrejött szerződés rendelkezései az irányadók.

Ez az esetek nagy többségében egy általad valamikor egy könnyelmű egérkattintással elfogadott és a felhőszolgáltató honlapjának egy eldugott zugában, apró betűvel közzétett ÁSZF-et jelenti, mivel a gyakorlatban a kis- és középvállalti szektorban igen ritkák a ténylegesen megtárgyalt felhő szerződések.

Tehát a jogszabály (GDPR) alapján adatkezelőként teljeskörűen felelős vagy az adatkezelésért a dolgozó, ügyfél stb. felé, melynek záloga ezen jogszabályi rendelkezések „letükrözése” lenne az adatfeldolgozó felé a felhőszolgáltatási szerződésbe.

Azonban ez utóbbi szerződés tartalmára gyakorlatilag nincs ráhatásod, hiszen a felhőszolgáltató jellemzően egy multinacionális mamut cég, amely sztenderd szerződési feltételekkel dolgozik, a szerződés létrejöttekor pedig hiányzik az ún. alkufolyamat.

Jellemző felelősség korlátozások

A felhőszolgáltató ÁSZF-je pedig nem meglepő módon igen jelentősen korlátozza a szolgáltató mindenkori felelősségét.

Ha vennéd a fáradtságot és alaposan elolvasnád a felhő ÁSZF-et, nagy valószínűséggel azzal szembesülnél, hogy a felhőszolgáltató kizárja a felelősséget gyakorlatilag mindenért, amiért tulajdonképpen igénybe veszed: a szolgáltatás időleges kieséséért, az adatok részleges vagy teljes elveszéséért, megsemmisüléséért, az adatok sérüléséért, elérhetetlenségéért, stb.

Ezen túlmenően a felhőszolgáltatók gyakran kizárják a felelősséget az adatvesztésből fakadó következményi károkért (pl. elmaradt haszon stb.) és ha felelősségük még ezek után véletlenül mégis fennállna, a vagyoni, nem vagyoni kárért való anyagi helytállásukat valamilyen alacsony összegre korlátozzák.

Átláthatóság hiánya, adattovábbítás

Amennyiben felhőszolgáltatást veszel igénybe, további kockázatot okoz, hogy nem átlátható, hogy ki és hol kezeli a felhőben lévő adatokat.

Amennyiben céged nem informatikai területen működő vállalkozás, úgy valószínűleg ún. SaaS (Software as a Service) szolgáltatást fogsz igénybe venni (pl. Dropbox).

Egy SaaS szolgáltató azonban gyakran maga is további felhőszolgáltatást vesz igénybe, pl. a Dropbox az Amazon-t mint IaaS-t (IaaS – Infrastructure as a Service).

Ilyen esetben nem tudhatod, hogy a felhőbe feltöltött adat valójában milyen szerveren és hol található. Amennyiben például EU-n kívüli szerveren tárolják az adatokat, úgy az nem biztonságos harmadik országba való adattovábbításnak minősülhet, mely nem felel meg a GDPR szabályainak.

Megoldások

A fenti kockázatok csökkentésére több megoldás is létezik, melyek együttes alkalmazása nagyban csökkentheti a kitettségedet:

1. Érdemes olyan felhőszolgáltatót választani, aki legalább azt garantálja, hogy adatfeldolgozóként támogatja cégedet abban, hogy eleget tudjon tenni az érintettekkel szemben fennálló adatkezelői kötelezettségekért;
2. Sok esetben kedvezőbb szerződési feltételeket lehet elérni a felhőszolgáltatónál, ha nem közvetlenül szerződsz velük, hanem egy ún. integrátoron keresztül, aki több hasonló ügyfelet összegyűjtve kedvezőbb feltételeket tud elérni;
3. Érdemes olyan felhőszolgáltatót választani, aki vállalja, hogy a felhőben tárolt adatokat az EU-n belüli szervereken tárolja, illetve nem továbbítja megfelelő garanciák nélkül;
4. Az adatkezeléssel érintett személyekkel kötött szerződésben (pl. ügyfélszerződés, stb.) a jogszabályi kereteken belül lehet korlátozni céged mint adatkezelő anyagi felelősségét;
5. Azokra a kockázatokra, melyet a fentiekkel nem lehet orvosolni, célszerű biztosítást kötni, vagy a meglévő biztosítási szerződést módosítva kiterjeszteni rájuk a biztosítási fedezetet