A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT

Átírás

1 A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT 01037/12/HU WP /2012. számú vélemény a számítási felhőről Elfogadás időpontja: július 1. Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg. A titkársági feladatokat ellátja: Európai Bizottság, A Jogérvényesülés Főigazgatósága, C Igazgatóság (Alapvető jogok és Uniós polgárság), B-1049 Brüsszel, Belgium, MO-59 02/013. sz. iroda. Honlap: 1

2 Összefoglaló A 29. cikk szerinti adatvédelmi munkacsoport ebben a véleményében az Európai Gazdasági Térségben (a továbbiakban: EGT) működő számítási felhő szolgáltatók és igénybevevők számára fontos kérdéseket elemzi, és a megfelelő esetekben megállapítja az EU adatvédelmi irányelvéből (95/46/EK) és (a 2009/136/EK irányelv által módosított) 2002/58/EK e-magánélet irányelvből származó, alkalmazandó elveket. Jóllehet a számítási felhő gazdasági és társadalmi értelemben egyaránt elismerten előnyöket biztosít, e vélemény rávilágít, hogy a számításifelhő-szolgáltatások széles körű elterjedése miként idézhet elő adatvédelmi kockázatokat, főként amiatt, hogy hiányzik a személyes adatok feletti ellenőrzés, valamint nem állnak rendelkezésre információk azzal kapcsolatosan, hogy kik, hol és hogyan dolgozzák fel/dolgozzák fel másodlagosan az adatokat. Az állami szerveknek és a magánvállalkozásoknak gondosan meg kell vizsgálniuk ezeket a kockázatokat, amikor azt mérlegelik, hogy igénybe veszik-e egy számításifelhő-szolgáltató szolgáltatásait. E vélemény megvizsgálja az alábbiakkal összefüggő kérdéseket: az adatforrások más felekkel történő megosztása, a sok adatfeldolgozóból és alvállalkozóból álló kiszervezési láncolatok átláthatóságának hiánya, a közös globális adathordozhatósági keret hiánya, valamint a személyes adatok EGT-n kívül letelepedett számításifelhő-szolgáltatók részére történő továbbításának megengedhetőségével kapcsolatos bizonytalanság. E véleményben hasonlóképpen súlyos aggodalomra okot adó kérdésként mutatunk rá az átláthatóság hiányára abban a tekintetben, hogy az adatkezelő tájékoztatni tudja-e az érintettet személyes adatai feldolgozásának módjáról. Az érintetteket kötelező 1 tájékoztatni arról, hogy ki és milyen célokból dolgozza fel az adataikat annak érdekében, hogy képesek legyenek az őket e tekintetben megillető jogok gyakorlására. E véleménynek az az egyik legfontosabb következtetése, hogy azoknak a vállalkozásoknak és közigazgatási szerveknek, amelyek igénybe kívánják venni a számítási felhőt, első lépésként átfogó és alapos kockázatelemzést kell végezniük. Az EGT területén szolgáltatásokat kínáló számításifelhő-szolgáltatóknak el kell látniuk ügyfeleiket valamennyi olyan információval, amely szükséges ahhoz, hogy helyesen ítéljék meg az ilyen szolgáltatás igénybevétele mellett és ellen szóló érveket. A biztonságnak, az átláthatóságnak és az ügyfelek jogbiztonságának kell a legfontosabb hajtóerőt képeznie a számításifelhő-szolgáltatások nyújtása esetében. Ami az e véleménybe foglalt ajánlásokat illeti, rámutatunk a számításifelhő-szolgáltatások igénybevevőinek adatfeldolgozóként viselt felelősségére, és ennélfogva azt ajánljuk, hogy az igénybevevő olyan szolgáltatót válasszon, aki garantálja az uniós adatvédelmi jogszabályok betartását. A vélemény a megfelelő szerződéses biztosítékokat is tárgyalja, leszögezve, hogy az igénybevevő és a számításifelhő-szolgáltató közötti szerződéseknek megfelelő garanciákat kell nyújtaniuk a technikai és szervezési intézkedések tekintetében. Szintén fontos az az ajánlás, miszerint a számításifelhő-szolgáltatás igénybevevőjének 1 Az e dokumentumban szereplő KÖTELEZŐ, TILOS, SZÜKSÉGES, KELL, TILTOTT, JAVASOLT, NEM JAVASOLT, AJÁNLOTT, LEHET és NEM KÖTELEZŐ kulcsszavakat számú Request for Comments -ben [Megjegyzéskérés] meghatározottaknak megfelelően kell értelmezni. A dokumentum megtalálható az alábbi internetcímen: Mindazonáltal a könnyebb olvashatóság érdekében az említett szavak nem mind nagybetűkkel jelennek meg ebben a formátumban. 2

3 ellenőriznie kell, hogy a szolgáltató képes-e garantálni a nemzetközi adattovábbítások jogszerűségét. Bármely más fejlődési folyamathoz hasonlóan a számítási felhő globális technológiai paradigmaként történő megjelenése is kihívást jelent. E vélemény jelenlegi formájában fontos lépésnek tekinthető annak meghatározása során, hogy mely feladatokat kell ellátnia az adatvédelemmel foglalkozók közösségének az elkövetkező években. 3

4 Tartalomjegyzék Összefoglaló Bevezetés A számítási felhő adatvédelmi kockázatai Jogi keret Adatvédelmi keret Alkalmazandó jog A különböző szereplők feladat- és felelősségi köre A számításifelhő-szolgáltatás igénybevevője és szolgáltatója Alvállalkozók Adatvédelmi követelmények az igénybevevő és a szolgáltató közötti kapcsolatban Az alapelvek betartása Átláthatóság Célmeghatározás és -korlátozás Az adatok törlése Az adatkezelő és az adatfeldolgozó kapcsolatára/kapcsolataira vonatkozó szerződéses biztosítékok Az adatvédelem és adatbiztonság technikai és szervezési intézkedései Rendelkezésre állás Sértetlenség Bizalmas természet Átláthatóság Elkülönítés (a cél korlátozása) Beavatkozási lehetőség Hordozhatóság Elszámoltathatóság Nemzetközi adattovábbítások A védett adatkikötő (Safe Harbor) és a megfelelő országok Eltérések Általános szerződési feltételek Kötelező erejű vállalati szabályok: a globális megközelítés felé Következtetések és ajánlások Iránymutatások a számításifelhő-szolgáltatások igénybevevői és szolgáltatói számára Külső adatvédelmi tanúsítások Ajánlások: Jövőbeni fejlemények MELLÉKLET a) Kiépítési modellek...28 b) Szolgáltatásnyújtási modellek

5 1. Bevezetés Egyesek szerint a számítási felhő az utóbbi időben elért egyik legjelentősebb technológiai forradalmi vívmány. Mások úgy gondolják, hogy csupán az informatikai infrastruktúra hosszú ideje dédelgetett álmának megvalósítására szolgáló technológiák természetes fejlődéséről van szó. Mindenestre nagyon sok érdekelt biztosít kiemelt helyet a számítási felhőnek technológiai stratégiájának kidolgozása során. A számítási felhő olyan technológiákból és szolgáltatási modellekből áll, amelyek az ITalkalmazások, feldolgozási kapacitások, memória- és tárhelyek internetalapú igénybevételére és nyújtására helyezik a hangsúlyt. A számítási felhő komoly gazdasági hasznot hajthat, mivel az igény szerinti erőforrások nagyon könnyen konfigurálhatók, bővíthetők és hozzáférhetők az interneten. A gazdasági haszon mellett a számítási felhő biztonsági előnyökkel is járhat; a vállalkozások különösen a kis- és középvállalkozások elhanyagolható költséggel juthatnak hozzá olyan első osztályú technológiákhoz, amelyek különben megfizethetetlenek volnának számukra. A számításifelhő-szolgáltatók különféle szolgáltatások széles skáláját kínálják, a virtuális adatfeldolgozó rendszerektől (amelyek helyettesítik a hagyományos szervereket és/vagy azokkal párhuzamosan működnek az adatkezelő közvetlen ellenőrzése alatt) az alkalmazásfejlesztést és a kiterjesztett tárhelyszolgáltatást támogató szolgáltatásokig, és olyan webalapú szoftvermegoldásokig, amelyek felválthatják a végfelhasználók személyi számítógépein hagyományosan telepített alkalmazásokat. Ezek felölelik a szövegfeldolgozó alkalmazásokat, a napirendeket és naptárakat, az online dokumentum-tárolási és a kiszervezett elektronikus levelezési megoldások tárolási rendszereit. Az ilyen típusú szolgáltatások legelterjedtebb meghatározásainak egy része megtalálható e vélemény mellékletében. A 29. cikk szerinti adatvédelmi munkacsoport e véleményében elemzi az Európai Gazdasági Térségen (a továbbiakban: EGT) belüli adatkezelőkre, valamint az EGT-n belüli igénybevevőkkel rendelkező számításifelhő-szolgáltatókra alkalmazandó jogot és kötelezettségeket. E vélemény arra a feltételezett helyzetre összpontosít, amikor olyan adatkezelő és feldolgozó közötti kapcsolat jön létre, amelyben a fogyasztó minősül adatkezelőnek, a számításifelhő-szolgáltató pedig adatfeldolgozónak. Azokban az esetekben, amikor a számításifelhő-szolgáltató is adatkezelőként jár el, további követelményeknek kell eleget tennie. Következtetésképpen az adatkezelő azzal az előfeltétellel vehet igénybe számításifelhő-megállapodást, hogy megfelelő kockázatelemzést végez, amely kiterjed az adatfeldolgozást végző szerverek földrajzi helyére, valamint az adatvédelmi kockázatok és előnyök mérlegelésére az alábbi bekezdésekben körvonalazott kritériumok alapján. E vélemény meghatározza az általános adatvédelmi irányelvből (95/46/EK) kifolyólag az adatkezelőkre és feldolgozókra egyaránt alkalmazandó elveket, így a célok meghatározását és korlátozását, az adatok törlését, valamint a technikai és szervezési intézkedéseket. A vélemény iránymutatást nyújt a szervezeti és eljárási biztosítékul is szolgáló biztonsági követelményekről. Különös hangsúlyt helyezünk az adatkezelő és adatfeldolgozó közötti viszonyt e kapcsolat során szabályozni hivatott szerződési szabályokra. Az adatbiztonság hagyományos céljai az adatok rendelkezésre állása, sértetlensége és bizalmas természete. Mindazonáltal az adatvédelem nem korlátozódik az adatbiztonságra, és ennélfogva az említett célokat az átláthatóságra, az elkülönítésre, a beavatkozási lehetőségre és a hordozhatóságra vonatkozó konkrét adatvédelmi célok egészítik ki, amelyek az EU Alapjogi Chartájának 8. cikkébe foglalt egyéni adatvédelemhez való jogot töltik meg tartalommal. 5

6 A személyes adatoknak az EGT-n kívülre történő továbbítása tekintetében olyan eszközöket elemeztünk, mint az Európai Bizottság által elfogadott általános szerződési feltételek, a megfelelőségi vizsgálatok, és az adatfeldolgozókra vonatkozó esetleges jövőbeni kötelező erejű vállalati szabályok, továbbá megvizsgáltuk a nemzetközi bűnüldözési megkeresésekből eredő adatvédelmi kockázatokat. E vélemény olyan ajánlásokkal zárul, amelyek címzettjei a számításifelhő-szolgáltatások adatkezelői szerepben lévő igénybevevői, az adatfeldolgozó szerepét betöltő számításifelhőszolgáltatók, valamint az európai adatvédelmi keret jövőbeni változásai tekintetében az Európai Bizottság. A berlini Nemzetközi Távközlési Adatvédelmi Munkacsoport 2012 áprilisában elfogadta Sopoti Nyilatkozatot 2. E nyilatkozat megvizsgálja a számítási felhővel kapcsolatos magánéletés adatvédelmi kérdéseket, és azt hangsúlyozza, hogy a számítási felhő nem eredményezheti az adatvédelmi normák csökkenését a hagyományos adatfeldolgozáshoz képest. 2. A számítási felhő adatvédelmi kockázatai Mivel ez a vélemény a számításifelhő-szolgáltatások alkalmazásával járó személyesadatfeldolgozási műveletekre összpontosít, kizárólag az ezzel kapcsolatos konkrét kockázatokat mérlegeli 3. Az említett kockázatok többsége két tág kategóriába nevezetesen az adatok feletti ellenőrzés hiánya, valamint a magával a feldolgozási művelettel kapcsolatos elégtelen információk (az átláthatóság hiánya) tartozik. E véleményben az alábbi konkrét kockázatokat mérlegeltük a számítási felhővel kapcsolatosan: Az ellenőrzés hiánya A számításifelhő-szolgáltatás igénybevevője, aki személyes adatokat bocsát a szolgáltató által kezelt rendszerek rendelkezésre, többé nem gyakorol kizárólagos ellenőrzést az említett adatok felett, és nem tudja megtenni az adatok rendelkezésre állása, sértetlensége és bizalmas természete, átláthatósága, elkülönítése 4, az azokba történő beavatkozási lehetősége és az adatok hordozhatósága érdekében szükséges technikai és szervezési intézkedéseket. Az említett ellenőrzéshiány az alábbi módon nyilvánulhat meg: o A rendelkezésre állás hiánya az átjárhatóság hiánya ( vendor lock-in ) miatt: Ha a számításifelhő-szolgáltató saját technológiát alkalmaz, előfordulhat, hogy az ügyfél számára nehézséget okoz az adatok vagy dokumentumok átvitele a számításifelhőalapú rendszerek között (adathordozhatóság), vagy az információcsere az eltérő szolgáltatók által kezelt számításifelhő-szolgáltatásokat alkalmazó szervezetekkel (átjárhatóság). o A sértetlenség hiánya az erőforrások megosztása miatt: A számítási felhőt megosztott rendszerek és infrastruktúrák alkotják. A számításifelhő-szolgáltatók az érintetteket és a szervezeteket illetően a források széles köréből származó személyes adatokat dolgoznak fel, és lehetséges, hogy ellentétes érdekek és/vagy eltérő célok jelenhetnek meg Az e véleményben kifejezetten megemlített, a számítási felhőben történő adatfeldolgozással kapcsolatos kockázatok mellett figyelembe kell venni a személyes adatok feldolgozásával járó kockázatokat is. Németországban az összekapcsolhatatlanság tágabb fogalmát vezették be. Lásd az alábbi 24. lábjegyzetet. 6

7 o Az adatok bizalmas természetének hiánya a közvetlenül a számításifelhőszolgáltatóhoz intézett bűnüldözési megkeresések tekintetében: az uniós tagállamok és harmadik országok bűnüldöző szervei részéről bűnüldözési megkeresések érkezhetnek a számítási felhőben feldolgozásra kerülő személyes adatokra vonatkozóan. Fennáll a kockázata, hogy a személyes adatokat érvényes uniós jogalap nélkül hozhatják a (külföldi) bűnüldöző szervek tudomására, és így az uniós adatvédelmi jog megsértésére kerül sor. o A beavatkozási lehetőség hiánya a kihelyezési lánc bonyolultságának és dinamizmusának köszönhetően: Előfordulhat, hogy az egyik szolgáltató által kínált számításifelhő-szolgáltatást egy sor egyéb szolgáltatótól származó szolgáltatás vegyítésével hozzák létre. Az említett szolgáltatások folyamatosan kiegészülhetnek vagy eltávolításra kerülhetnek az ügyfél szerződésének fennállása alatt. o A beavatkozási lehetőség (az érintett jogainak) hiánya: A számításifelhő-szolgáltató esetleg nem bocsátja az adatkezelő rendelkezésére az ahhoz szükséges intézkedéseket és eszközöket, hogy pl. az adathozzáférés, az adatok törlése vagy helyesbítése tekintetében kezelhesse az adatokat. o Az elkülönítés hiánya: A számításifelhő-szolgáltató a személyes adatok összekapcsolása érdekében fizikai ellenőrzést gyakorolhat a különböző ügyfelektől származó adatok felett. Ha kellően kiemelt hozzáférési jogot biztosítanának a rendszergazdák számára (magas kockázatot jelentő szerepkör), akkor azok össze tudnák kapcsolni a különböző ügyfelektől származó információkat. Az adatfeldolgozásra vonatkozó információk hiánya (átláthatóság) A számításifelhő-szolgáltatások adatfeldolgozási műveleteivel kapcsolatos kellő tájékozottság hiánya kockázatot jelent az adatkezelők, valamint az érintettek számára, mivel előfordulhat, hogy nincsenek tudatában az esetleges veszélyeknek és kockázatoknak, és ennélfogva nem tudják meghozni az általuk megfelelőnek tekintett intézkedéseket. Egyes potenciális veszélyek abból eredhetnek, hogy az adatkezelők nincsenek tisztában azzal, hogy o több adatfeldolgozó és alvállalkozó bevonásával kialakított adatfeldolgozási lánc jön létre. o a személyes adatokat az EGT-n belül különböző földrajzi helyeken dolgozzák fel. Ez közvetlenül befolyásolja a felhasználó és a szolgáltató között esetlegesen kialakuló adatvédelmi jogvitákra alkalmazandó jogot. o a személyes adatokat az EGT-n kívüli harmadik országokba továbbítják. A harmadik országok esetleg nem biztosítanak megfelelő szintű adatvédelmet, valamint előfordulhat, hogy a továbbításokat nem biztosítják megfelelő intézkedésekkel (pl.: általános szerződési feltételek vagy kötelező vállalati szabályok), így azok jogellenesek lehetnek. Egy előírás szerint azokat az érintetteket, akiknek a személyes adatait számítási felhőben dolgozzák fel, tájékoztatni kell az adatkezelő személyéről és az adatfeldolgozás céljáról (a 95/46/EK adatvédelmi irányelv alapján valamennyi adatkezelőre vonatkozó, hatályos követelmény). Figyelemmel a felhő alapú számítástechnikai környezetében létrejövő adatfeldolgozási lánc esetleges bonyolultságára, az érintett vonatkozásában a tisztességes adatfeldolgozás biztosítása érdekében (a 95/46/EK irányelv 10. cikke) helyes módszert jelent, ha további tájékoztatást biztosítanak az adatkezelőnek a számításifelhőszolgáltatásokat nyújtó feldolgozókkal és alvállalkozókkal kapcsolatosan. 7

8 3. Jogi keret 3.1. Adatvédelmi keret A vonatkozó jogi keret a 95/46/EK adatvédelmi irányelv. Ez az irányelv alkalmazandó valamennyi olyan esetben, amikor számításifelhő-szolgáltatások igénybevétele következtében személyes adatokat dolgoznak fel. A (2009/136/EK irányelvvel felülvizsgált) 2002/58/EK e- magánélet irányelv a nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyilvános hírközlési hálózatokon (távközlési szolgáltatók) történő nyújtásával kapcsolatos személyesadat-feldolgozásra vonatkozik, így akkor is alkalmazni kell, ha felhőalapú számítástechnikai megoldás segítségével nyújtanak ilyen szolgáltatásokat Alkalmazandó jog A jog alkalmazhatóságának megállapítására szolgáló kritériumokat a 95/46/EK rendelet 4. cikke tartalmazza, amely hivatkozik az EGT-n belül egy vagy több telephellyel rendelkező adatkezelőkre alkalmazandó jogra 6, továbbá az EGT-n kívüli, azonban a személyes adatok feldolgozására az EGT területén belül található eszközt használó adatkezelőkre alkalmazandó jogra. A 29. cikk szerinti adatvédelmi munkacsoport az alkalmazandó jogról szóló 8/2010. sz. véleményében elemezte ezt a kérdést 7. Az első esetben az uniós jognak az adatkezelőre való alkalmazását kiváltó tényező az irányelv 4. cikke (1) bekezdésének a) pontja szerint a letelepedése és az általa végzett tevékenység. E tekintetben a számítási felhő típusú szolgáltatási modell nem releváns. Az alkalmazandó jog annak az országnak a joga, ahol a számításifelhő-szolgáltatásokra szerződő adatkezelő letelepedett, nem pedig az a hely, ahol a számításifelhő-szolgáltatók találhatók. Amennyiben az adatkezelő különböző tagállamokban telepedett le, és az ezekben az országokban folytatott tevékenysége részeként adatokat dolgoz fel, az alkalmazandó jog mindegyik olyan tagállam joga, amelyben e feldolgozás megvalósul. A 4. cikk (1) bekezdésének c) pontja 8 arról tesz említést, hogy milyen módon kell alkalmazni az adatvédelmi jogszabályokat azokra az adatkezelőkre, akik nem telepedtek le az EGT területén, és gépi vagy más olyan eszközt alkalmaznak, amely a tagállam területén található, kivéve, ha ezt az eszközt kizárólag átmenő adatforgalom céljára használják. Tehát amennyiben egy számításifelhő-szolgáltatás igénybevevője az EGT területén kívül telepedett le, azonban az EGT területén található számításifelhő-szolgáltatót bíz meg, a szolgáltató az igénybevevőre is kiterjeszti az adatvédelmi jogszabályok hatályát Az e-magánéletről szóló (a 2009/136/EK irányelvvel módosított) 2002/58/EK irányelv: A hírközlési adatvédelemről szóló 2002/58/EK irányelv a nyilvánosan elérhető hírközlési szolgáltatások szolgáltatóira alkalmazandó, és kötelezővé teszi számukra a közlések titkosságára és a személyes adatok védelmére vonatkozó kötelezettségek, valamint a hírközlési hálózatokkal és szolgáltatásokkal kapcsolatos jogok és kötelezettségek betartását. Azokban az esetekben, amikor a számításifelhő-szolgáltatók nyilvánosan elérhető hírközlési szolgáltatások szolgáltatóiként járnak el, ezen irányelv hatálya alá tartoznak. Az adatkezelő fogalma az irányelv 2. cikkének h) pontjában található, és a 29. cikk szerinti munkacsoport az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. sz. véleményében elemezte azt. A 4. cikk (1) bekezdésének c) pontja kimondja, hogy egy tagállam jogát kell alkalmazni, amennyiben az adatkezelő nem telepedett le a Közösség területén, és a személyes adatok feldolgozása céljából gépi vagy más olyan eszközt alkalmaz, amely a fenti tagállam területén található, kivéve, ha ezt az eszközt kizárólag a Közösség területén átmenő adatforgalom céljára használják. 8

9 3.3. A különböző szereplők feladat- és felelősségi köre Amint korábban jeleztük, a számítási felhőben számos különböző szereplő vesz részt. Fontos megvizsgálni és tisztázni az egyes szereplők szerepét annak megállapítása érdekében, hogy milyen konkrét kötelezettségek vonatkoznak rájuk a jelenlegi adatvédelmi jogszabályok tekintetében. Érdemes felidézni, hogy a 29. cikk szerinti adatvédelmi munkacsoport az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. számú véleményében rámutatott, hogy az adatkezelő fogalmának első és legfontosabb szerepe annak meghatározása, hogy ki felelős az adatvédelmi szabályok betartásáért, és hogy az érintettek a gyakorlatban hogyan tudják érvényesíteni a jogaikat. Más szóval: a felelősség elosztása. A részt vevő feleknek a szóban forgó elemzés során mindvégig szem előtt kell tartaniuk ezt a két általános kritériumot a szabályok betartásáért viselt felelősség és a felelősség elosztása vonatkozásában A számításifelhő-szolgáltatás igénybevevője és szolgáltatója A számításifelhő-szolgáltatás igénybevevője határozza meg az adatfeldolgozás végső célját, és dönt e feldolgozás kihelyezéséről, valamint a feldolgozási tevékenységek összességének vagy egy részének külső szervezetre történő átruházásáról. A számításifelhő-szolgáltatás igénybevevője tehát adatkezelőként jár el. Az irányelv az alábbiak szerint határozza meg az adatkezelőt: az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját. A számításifelhő-szolgáltatás igénybevevője, mint adatkezelő köteles elfogadni az adatvédelmi jogszabályok betartásáért viselt felelősséget, továbbá felelős a 95/46/EK irányelvben tárgyalt valamennyi jogi kötelezettségért, amelyek őt is kötelezik. A számításifelhő-szolgáltatás igénybevevője megbízhatja a számításifelhő-szolgáltatót az adatkezelő céljainak eléréséhez használt módszerek, valamint technikai és szervezési intézkedések megválasztásával. A számításifelhő-szolgáltató a fentiekben tárgyalt különféle formákban számításifelhőszolgáltatásokat nyújtó szervezet. Amennyiben a szolgáltatás igénylőjének nevében eljárva a számításifelhő-szolgáltató biztosítja az adatfeldolgozás módját és a platformját, úgy kell tekinteni, hogy a szolgáltató az adatfeldolgozó, vagyis a 95/46/EK irányelv szerint az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében 910. Amint az 1/2010. számú véleményben 11 megállapítottuk, egyes kritériumok felhasználhatók az adatkezelői minőség értékelésére. Ugyanis előfordulhatnak olyan helyzetek, amikor a számításifelhő-szolgáltató a konkrét körülményektől függően közös adatkezelőnek vagy saját jogú adatkezelőnek is tekinthető. Ez lehet a helyzet például, amennyiben a szolgáltató a saját céljaira dolgozza fel az adatokat. Hangsúlyozni kell, hogy még egy olyan összetett adatfeldolgozási környezetben is, ahol különböző adatkezelők játszanak szerepet a személyes adatok feldolgozása során, világosan el kell különíteni az adatvédelmi szabályok betartásával, és az említett szabályok esetleges Ez a vélemény kizárólag a szabályos adatkezelő adatfeldolgozó kapcsolatra összpontosít. Természetes személyek (felhasználók) is használhatják a számítási felhő környezetet kizárólag személyes vagy háztartási tevékenységek végzése céljából. Ilyen esetekben alaposan meg kell vizsgálni, hogy alkalmazandó-e az úgynevezett háztartási kivétel, amely mentesíti a felhasználókat az adatkezelői minőségtől. E kérdés azonban túlmutat az e vélemény által vizsgáltak körén. Pl.: A számításifelhő-szolgáltatás igénybevevője általi utasítások és felügyelet foka, a felek szakértelme. 9

10 megsértésével kapcsolatos felelősségi köröket annak érdekében, hogy elkerüljék a személyes adatok védelmének csökkenését vagy negatív hatásköri összeütközés és olyan szabályozási hézagok megjelenését, amelyek következtében a felek egyike sem biztosítja az irányelvből származó egyes kötelezettségeket és jogokat. A számítási felhő jelenlegi viszonyai között előfordulhat, hogy a számításifelhőszolgáltatások igénybevevője nem rendelkezik mozgástérrel az ilyen szolgáltatás szerződéses felhasználási feltételeinek megtárgyalása során, mivel szabványosított ajánlatok jellemzőek sok számításifelhő-szolgáltatásra. Mindazonáltal, végső soron az igénybevevő dönt az adatfeldolgozási műveletek egy részének vagy egészének konkrét célok érdekében számításifelhő-szolgáltatásokhoz rendeléséről; a számításifelhő-szolgáltató szerepe a vállalkozó és az ügyfél kapcsolatának felel meg, és ebben az esetben ez a döntő kérdés. Amint a 29. cikk szerinti adatvédelmi munkacsoport az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. számú véleményében 12 leszögezte: egy kis adatkezelő és a nagy szolgáltatók alkupozíciójának egyenlőtlensége nem indokolhatja, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak. Ezért az adatkezelőnek olyan számításifelhő-szolgáltatót kell választania, aki garantálja az adatvédelmi jogszabályok betartását. Különös hangsúlyt kell helyezni az alkalmazandó szerződések jellemzőire. Ezeknek ki kell terjedniük szabványos adatvédelmi biztosítékokra, így a munkacsoport által a szakaszban (technikai és szervezési intézkedések) és a 3.5. szakaszban (határon átnyúló adatáramlás) körvonalazottakra is, valamint bármely olyan további mechanizmusra, amely alkalmasnak bizonyulhat a kellő gondosság és az elszámoltathatóság elősegítésére (például egy adott szolgáltató szolgáltatásainak független külső ellenőrzése és tanúsítása lásd a 4.2. szakaszt). A számításifelhő-szolgáltatók (mint adatfeldolgozók) feladata a bizalmas kezelés biztosítása. A 95/46/EK megállapítja, hogy: Bármely, az adatkezelő vagy az adatfeldolgozó meghatalmazásával eljáró személy, beleértve magát az adatfeldolgozót is, aki a személyes adatokhoz hozzáféréssel rendelkezik, kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat, kivéve, ha erre őt jogszabály kötelezi. Az irányelv 17. cikke előírásainak betartására vonatkozó követelmény alapvetően meghatározza a számításifelhőszolgáltató adatokhoz való hozzáférését is a szolgáltatásnyújtás folyamán (lásd a szakaszt). A feldolgozóknak figyelembe kell venniük a kérdéses számítási felhő típusát (nyilvános, magán, közösségi vagy vegyes / infrastruktúra-, szoftver- vagy platform-szolgáltatás (IaaS, SaaS vagy PaaS) [lásd a mellékletet a) Kiépítési modellek b) Szolgáltatásnyújtási modellek] valamint az ügyfél által megrendelt szolgáltatás típusát. Az adatfeldolgozók felelnek az adatkezelő és az adatfeldolgozó országában alkalmazott uniós jogszabályoknak megfelelő biztonsági intézkedések elfogadásáért. Az adatfeldolgozónak emellett támogatnia és segítenie kell az adatkezelőt az érintettek (által gyakorolt) jogok tiszteletben tartása során Alvállalkozók A számításifelhő-szolgáltatások számos, adatfeldolgozóként eljáró szerződő fél bevonásával járhatnak. Az is általános, hogy az adatfeldolgozók további alvállalkozókkal kötnek szerződést, akik ezután hozzáférést kapnak a személyes adatokhoz. Ha az adatfeldolgozók alvállalkozásba adják a szolgáltatásokat, kötelesek ezt az információt az igénybevevő rendelkezésére bocsátani, részletesen megjelölve az alvállalkozásba adott szolgáltatás típusát, 12 1/2010. számú vélemény az adatkezelő és az adatfeldolgozó fogalmáról

11 a meglévő vagy potenciális alvállalkozók jellemzőit, továbbá a 95/46/EK irányelv betartására vonatkozó azon garanciákat, amelyeket ezek a szervezetek nyújtanak a számításifelhőszolgáltatónak. Ennélfogva az alvállalkozókra is alkalmazni kell valamennyi vonatkozó kötelezettséget a számításifelhő-szolgáltató és az alvállalkozó közötti olyan szerződések révén, amelyek a számításifelhő-szolgáltatás igénybevevője és a szolgáltató közötti szerződés rendelkezéseit tükrözik. Az adatkezelő és az adatfeldolgozó fogalmáról szóló 1/2010. számú véleményében a 29. cikk szerinti adatvédelmi munkacsoport több adatfeldolgozóról tesz említést azokban az esetekben, amikor az adatfeldolgozók közvetlen kapcsolatban állhatnak az adatkezelővel, vagy alvállalkozóként működhetnek, amennyiben az adatfeldolgozók átruházták a rájuk bízott feldolgozási tevékenységek egy részét. Az irányelvben semmi sem akadályozza meg, hogy szervezeti követelmények miatt számos adatfeldolgozót vagy további (al-)adatfeldolgozókat jelöljenek ki a releváns feladatok további felosztásával. Azonban a feldolgozás végrehajtásában mindegyiküknek be kell tartaniuk az adatkezelőtől kapott utasításokat. 13 Ilyen helyzetekben a feldolgozási tevékenységek hatékony ellenőrzése és az azokért viselt egyértelmű felelősség megállapítása érdekében világosan meg kell határozni az adatvédelmi jogszabályokból származó kötelezettségeket és felelősségeket, amelyek nem forgácsolódhatnak szét a kiszervezési vagy alvállalkozási lánc mentén. A személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló február 5-i bizottsági határozat 14 vezetett be elsőként egy olyan lehetséges biztosítási modellt, amely alkalmazható az adatfeldolgozók feladatainak és kötelezettségeinek tisztázásra az adatfeldolgozás alvállalkozásba adása esetén. Ebben a modellben az alvállalkozásba adás kizárólag az adatkezelő előzetes írásbeli hozzájárulása esetén engedélyezett, amennyiben az írásbeli megállapodás az adatfeldolgozó tekintetében meghatározottakkal azonos kötelezettségeket állapít meg az alvállalkozó számára. Amennyiben a további feldolgozó nem tesz eleget az ilyen írásos megállapodásból fakadó adatvédelmi kötelezettségeinek, az adatfeldolgozó továbbra is teljes felelősséggel tartozik az adatkezelő felé a további feldolgozó e megállapodásból fakadó kötelezettségeinek teljesítéséért. A további feldolgozáshoz szükséges garanciák biztosítása céljából ilyen rendelkezést alkalmazhatnának az adatkezelő és a számításifelhő-szolgáltató közötti szerződési feltételek között, amennyiben az utóbbi alvállalkozás révén kívánja nyújtani a szolgáltatásokat. A Bizottság az általános adatvédelmi rendeletre irányuló javaslat 15 keretében nemrég hasonló megoldást javasolt a további feldolgozás folyamán nyújtandó biztosítékok tekintetében. Az adatfeldolgozó tevékenységét olyan szerződésnek vagy más jogi aktusnak kell szabályoznia, amely az adatfeldolgozót az adatkezelővel szemben köti, és amely az adatfeldolgozó vonatkozásában egyéb előírások mellett különösen megköveteli, hogy az adatfeldolgozó másik adatfeldolgozót kizárólag az adatkezelő előzetes engedélyével vegyen igénybe (a javaslat 26. cikkének (2) bekezdése) Vö.: 169. sz. munkadokumentum, 29. o., 1/2010. számú vélemény az adatkezelő és az adatfeldolgozó fogalmáról, ( Lásd: 176. számú munkadokumentum, Gyakran feltett kérdések, II. 5. Javaslat az Európai Parlament és a Tanács rendeletére a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról

12 A 29. cikk szerinti adatvédelmi munkacsoport szerint az adatfeldolgozó kizárólag az adatkezelő hozzájárulása alapján adhatja alvállalkozásba a tevékenységeit. A hozzájárulás általában a szolgáltatás kezdetén adható meg 16, és az adatfeldolgozó egyértelműen köteles tájékoztatni az adatkezelőt az alvállalkozók kiegészítésével vagy eltávolítással kapcsolatos bármely tervezett változtatásról, az adatkezelő pedig fenntartja annak lehetőségét, hogy bármikor kifogásolja ezeket a változtatásokat vagy felmondja a szerződést. A számításifelhőszolgáltatót világosan kötelezni kell valamennyi megbízott alvállalkozó megnevezésére. Emellett a számításifelhő-szolgáltató és az alvállalkozó által aláírt szerződésnek tükröznie kell a számításifelhő-szolgáltatás igénybevevője és a szolgáltató közötti szerződés rendelkezéseit. Az adatkezelőnek képesnek kell lennie arra, hogy az alvállalkozók által okozott szerződésszegések esetén igénybe vegye a szerződéses jogorvoslati lehetőségeket. Ez biztosítható oly módon, hogy az adatfeldolgozó közvetlenül felel az adatkezelő felé az általa igénybe vett alvállalkozók által okozott bármely szerződésszegésért, vagy pedig az adatkezelőt megillető perlési jog létesítésével az adatfeldolgozó és az alvállalkozók által aláírt szerződésekben, illetve azáltal, hogy az említett szerződéseket az adatkezelő nevében írják alá, így az utóbbi a szerződés részes felévé válik Adatvédelmi követelmények az igénybevevő és a szolgáltató közötti kapcsolatban Az alapelvek betartása A számítási felhőben kezelt személyes adatok feldolgozásának jogszerűsége az uniós adatvédelmi jog következő alapelveinek betartásától függ: Nevezetesen garantálni kell az érintett számára az átláthatóságot, be kell tartani a cél meghatározásának és korlátozásának elvét, továbbá törölni kell a személyes adatokat, ha a tárolásukra már nincsen szükség. Ezenfelül megfelelő technikai és szervezési intézkedéseket kell foganatosítani a megfelelő szintű adatvédelem és adatbiztonság biztosítása érdekében Átláthatóság Az átláthatóság alapvető fontosságú a személyes adatok tisztességes és jogszerű feldolgozása szempontjából. A 95/46/EK irányelv arra kötelezi a számításifelhő-szolgáltatás igénybevevőjét, hogy nyújtson tájékoztatást az adatkezelő személye és az adatfeldolgozás célja tekintetében annak az érintettnek, akitől őrá vonatkozó adatokat gyűjt. A számításifelhőszolgáltatás igénybevevőjének minden további adatot is meg kell adnia, így például az adatok átvevőit, illetve az adatátvevők kategóriáit, beleértve esetleg az adatfeldolgozókat és a további feldolgozókat is, amennyiben e további információk, az érintett vonatkozásában a tisztességes adatfeldolgozás biztosításához szükségesek (lásd az irányelv 10. cikkét) 17. Az átláthatóságot biztosítani kell a számításifelhő-szolgáltatás igénybevevője, a szolgáltató és az (esetleges) alvállalkozók kapcsolatában/kapcsolataiban is. A számításifelhő-szolgáltatás igénybevevője csak akkor tudja értékelni a számítási felhőben zajló személyesadatfeldolgozás jogszerűségét, ha a szolgáltató minden releváns kérdésről tájékoztatja az igénybevevőt. Annak az adatkezelőnek, aki számításifelhő-szolgáltató alkalmazását fontolgatja, gondosan ellenőriznie kell a számításifelhő-szolgáltató szerződési feltételeit, és adatvédelmi szempontból értékelnie kell azokat Lásd: a július 12-én elfogadott 176. számú munkadokumentum, Gyakran ismételt kérdések II. 1. Az érintett tájékoztatására vonatkozó, hasonló kötelezettség áll fenn, amennyiben a nem az érintettől, hanem más forrásokból beszerzett adatokat rögzítik vagy harmadik fél tudomására hozzák (vö.: 11. cikk). 12

13 A számítási felhő átláthatósága azt jelenti, hogy a számításifelhő-szolgáltatás igénybevevőjének ismernie kell a megfelelő számításifelhő-szolgáltatáshoz hozzájáruló minden alvállalkozót, valamint az összes olyan adatközpont helyét, ahol a személyes adatokat feldolgozhatják 18. Ha a szolgáltatásnyújtás szoftver telepítését teszi szükségessé a számításifelhő-szolgáltatás igénybevevőjének rendszereibe (pl.. böngészőbővítmények), a számításifelhő-szolgáltatónak helyes módszerként tájékoztatnia kell az igénybevevőt erről a körülményről, és különösen annak az adatvédelmi és az adatbiztonsági szempontot érintő következményeiről. Ellenkező esetben pedig a számításifelhő-szolgáltatás igénybevevőjének utólag kell felvetnie ezt a kérdést, ha a szolgáltató nem foglalkozott azzal megfelelően Célmeghatározás és -korlátozás A cél meghatározásának és korlátozásának elve előírja, hogy személyes adatok gyűjtése csak meghatározott, egyértelmű és törvényes célból történhet, és további feldolgozásuk nem végezhető e célokkal összeegyeztethetetlen módon (lásd a 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontját). A számításifelhő-szolgáltatás igénybevevőjének meg kell határoznia a feldolgozás célját/céljait mielőtt a személyes adatokat gyűjtene az érintettől, és az érintettet tájékoztatnia kell arról/azokról. A számításifelhő-szolgáltatás igénybevevője nem dolgozhat fel személyes adatokat olyan egyéb célokból, amelyek nem egyeztethetők össze az eredeti célokkal. Ezenfelül biztosítania kell, hogy a számításifelhő-szolgáltató vagy annak egyik alvállalkozója ne dolgozhassa fel (illegálisan) a személyes adatokat további célok érdekében. Mivel egy tipikus számítási felhő esetében könnyen előfordulhat, hogy nagyszámú alvállalkozó bevonására kerül sor, ezért igen magasnak kell tekinteni annak a kockázatát, hogy további összeegyeztethetetlen célok érdekében dolgoznak fel személyes adatokat. E kockázat minimálisra csökkentése érdekében a számításifelhő-szolgáltató és az igénybevevő közötti szerződésnek olyan technikai és szervezési intézkedéseket kell tartalmaznia, amelyek e kockázat enyhítésére irányulnak, és biztosítékot nyújtanak a számításifelhő-szolgáltató vagy az alvállalkozó alkalmazottai által végzett, releváns személyesadat-feldolgozási műveletek naplózására és ellenőrzésére. 19 A szerződésben szankciókat kell meghatározni a szolgáltatóval vagy az alvállalkozóval szemben, ha megsértik az adatvédelmi jogszabályokat Az adatok törlése A 95/46/EK irányelv 6. cikke (1) bekezdésének e) pontja értelmében a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatok gyűjtése vagy további feldolgozása céljainak eléréséhez szükséges ideig teszi lehetővé. A már nem szükséges személyes adatokat törölni kell, vagy valóban anonimmá kell tenni. Ha ezeket az adatokat a törvényes megőrzési szabályok miatt nem lehet törölni (pl.: adózási szabályozások), akkor zárolni kell az említett személyes adatokat. A számításifelhőszolgáltatás igénybevevője felel annak biztosításáért, hogy töröljék a személyes adatokat, amint a fenti értelemben már nincs rájuk szükség Kizárólag ekkor tudja majd értékelni, hogy a személyes adatok továbbíthatók-e az Európai Gazdasági Térségen (EGT) kívüli úgynevezett harmadik országba, amely nem biztosít megfelelő szintű adatvédelmet a 95/46/EK irányelv értelmében. Lásd továbbá az alábbi szakaszt. Lásd az alábbi szakaszt. Az adatok törlésének kérdése a számítási felhőre vonatkozó szerződés teljes időtartama alatt, és annak megszűnésekor is felmerül. A kérdés egy adott alvállalkozó helyettesítése vagy eltávolítása esetén is releváns. 13

14 Az adatok törlésének elvét attól függetlenül kell alkalmazni a személyes adatokra, hogy merevlemezes meghajtón vagy egyéb adathordozón (pl.: biztonsági másolatok) tárolják azokat. Mivel előfordulhat, hogy a személyes adatokat különböző helyeken lévő eltérő szervereken többszörözve tárolják, biztosítani kell, hogy minden példányt visszavonhatatlanul töröljenek (azaz a korábbi verziókat, az ideiglenes fájlokat, sőt a fájltöredékeket is törölni kell). A számításifelhő-szolgáltatás igénybevevőinek tudniuk kell, hogy a pl. az adatok tárolásának, módosításának vagy törlésének ellenőrzését megkönnyítő naplóadatok 21 szintén személyes adatnak minősülhetnek az adott feldolgozási műveletet kezdeményező személy vonatkozásában 22. A személyes adatok biztonságos törlése szükségessé teszi az adathordozó megsemmisítését vagy demagnetizálását, illetve a tárolt személyes adatok tényleges törlését azok felülírásával. A személyes adatok felülírására olyan speciális szoftvereszközöket kell alkalmazni, amelyek egy elismert specifikációnak megfelelően többször felülírják az adatokat. A számításifelhő-szolgáltatás igénybevevőjének meg kell bizponyosodnia arról, hogy a szolgáltató biztosítja a fenti értelemben vett törlést, továbbá hogy a szolgáltató és az igénybevevő szerződése világosan rendelkezést tartalmaz a személyes adatok törlésére vonatkozóan 23. Ugyanez vonatkozik a számításifelhő-szolgáltató és az alvállalkozók közötti szerződésekre is Az adatkezelő és az adatfeldolgozó kapcsolatára/kapcsolataira vonatkozó szerződéses biztosítékok Amennyiben az adatkezelő úgy dönt, hogy számításifelhő-szolgáltatásra vonatkozó szerződést köt, köteles olyan adatfeldolgozót választani, aki a technikai biztonsági intézkedések és az elvégzendő adatfeldolgozásra vonatkozó szervezési intézkedések tekintetében megfelelő garanciákat nyújt, továbbá köteles biztosítani az említett intézkedések teljesítését (a 95/46/EK irányelv 17. cikkének (2) bekezdése). Ezenfelül jogilag köteles hivatalos szerződést aláírni a számításifelhő-szolgáltatóval, amint azt a 95/46/EK irányelv 17. cikkének (3) bekezdése megállapítja. Ez a cikk vezeti be azt a követelményt, hogy az adatkezelő és az adatfeldolgozó közötti kapcsolatra történő adatfeldolgozásra szerződésnek vagy kötelező jogi aktusnak kell vonatkoznia. A bizonyítékok megőrzése céljából, a szerződés vagy a jogi aktus adatvédelemre vonatkozó részeit, és a technikai és szervezési intézkedésekre vonatkozó követelményeket írásba vagy más, ezzel egyenértékű formába kell foglalni. A szerződésben legalább azt meg kell határozni, hogy az adatfeldolgozónak követnie kell az adatkezelő utasításait, továbbá hogy az adatfeldolgozónak a személyes adatok megfelelő védelme érdekében végre kell hajtania a technikai és szervezési intézkedéseket. A jogbiztonság érdekében a szerződésnek szabályoznia kell az alábbi kérdéseket: 1. Az igénybevevőnek a szolgáltató számára kiadandó utasításaival kapcsolatos részletek (azok terjedelme és módozatai), különös tekintettel a szolgáltatási szintre vonatkozó, alkalmazandó megállapodásokra (amelyeknek objektívnek és mérhetőnek kell lenniük), valamint a releváns szankciókra (pénzügyi vagy egyéb szankciók, beleértve a szolgáltató beperelésének lehetőségét a megfelelés elmulasztása esetén) A naplózási követelményekre vonatkozó észrevételek az alábbi szakaszban találhatók. Tehát meg kell határozni a naplófájlok ésszerű megőrzési időszakait, és be kell vezetni az ezen adatok időben történő törlésére és anonimmá tételére vonatkozó eljárásokat. Lásd az alábbi szakaszt. 14

15 2. Azoknak a biztonsági előírásoknak a meghatározása, amelyeket a számításifelhőszolgáltatónak a feldolgozás kockázataitól és a védendő adatok jellegétől függően be kell tartania. Rendkívül fontos, hogy olyan konkrét technikai és szervezési intézkedéseket határozzanak meg, mint amelyeket az alábbi szakaszban körvonalazunk. Ez nem érinti az igénybevevő nemzeti joga alapján esetleg előirányozható szigorúbb intézkedések alkalmazását. 3. A számításifelhő-szolgáltató által nyújtandó számításifelhő-szolgáltatás tárgya és időkerete, a számításifelhő-szolgáltató általi személyesadat-feldolgozás terjedelme, módja és célja, valamint a feldolgozott személyes adatok típusai. 4. A (személyes) adatok szolgáltatására vagy az adatoknak a szolgáltatás befejezése utáni megsemmisítésére vonatkozó feltételek meghatározása. Továbbá biztosítani kell, hogy a számításifelhő-szolgáltatás igénybevevőjének kérésére biztonságosan töröljék a személyes adatokat. 5. A számításifelhő-szolgáltatóra és annak az adatokhoz esetlegesen hozzáférő alkalmazottaira egyaránt kötelező titoktartási záradék szerződésbe foglalása. Kizárólag az arra felhatalmazott személyek férhetnek hozzá az adatokhoz. 6. A szolgáltató azon kötelezettsége, hogy támogatnia kell az igénybevevőt annak elősegítésében, hogy az érintett gyakorolhassa az adataihoz való hozzáféréshez, azok helyesbítéséhez vagy törléséhez fűződő jogait. 7. A szerződésben kifejezetten meg kell állapítani, hogy a számításifelhő-szolgáltató még megőrzési célokból sem közölheti az adatokat harmadik felekkel, kivéve, ha a szerződés rendelkezik alvállalkozók alkalmazásáról. A szerződésnek ki kell mondania, hogy alvállalkozók csak az adatkezelő által adható általános hozzájárulás alapján bízhatók meg, az adatfeldolgozó azon egyértelmű kötelezettségének megfelelően, hogy tájékoztatnia kell az adatkezelőt bármely e tekintetben tervezett változtatásról, az adatkezelő pedig fenntartja magának azt a lehetőséget, hogy bármikor kifogásolja ezeket a változtatásokat vagy felmondja a szerződést. A számításifelhő-szolgáltatót világosan kötelezni kell valamennyi megbízott alvállalkozó megnevezésére (pl.: nyilvános digitális nyilvántartásban). Biztosítani kell, hogy a számításifelhőszolgáltató és az alvállalkozó közötti szerződések tükrözzék a számításifelhőszolgáltatás igénybevevője és a szolgáltató szerződésének rendelkezéseit (vagyis az alvállalkozókat ugyanazon szerződéses kötelezettségek terheljék, mint a számításifelhő-szolgáltatót). Garantálni kell, hogy a számításifelhő-szolgáltató és az alvállalkozók kizárólag az igénybevevő utasításai alapján járjanak el. Amint az alvállalkozásról szóló fejezetben kifejtettük, a szerződésben világosan meg kell határozni a felelősségi láncot. Kötelezővé kell tenni az adatfeldolgozó számára, hogy az általános szerződési feltételekről szóló 2010/87/EU határozat alapján szervezze meg a nemzetközi adattovábbításokat, például az alvállalkozókkal aláírt szerződések révén. 8. A számításifelhő-szolgáltató azon feladatkörének tisztázása, hogy az számításifelhőszolgáltatás igénybevevőjének adatait érintő bármely adatsértés esetén értesítenie kell az igénybevevőt. 9. A számításfelhő-szolgáltató kötelezettsége azon helyszínek listájának megadására, ahol adatfeldolgozásra kerülhet sor. 10. Az adatkezelő felügyeleti joga, valamint a számításifelhő-szolgáltató ehhez kapcsolódó együttműködési kötelezettsége. 15

16 11. A szerződésben rögzíteni kell, hogy a számításifelhő-szolgáltató köteles tájékoztatni az igénybevevőt az érintett számításifelhő- szolgáltatással kapcsolatos, lényeges változtatásokról, így például további funkciók kialakításáról. 12. A szerződésben elő kell írni a számításifelhő-szolgáltató vagy az alvállalkozók által végzett, releváns személyesadat-feldolgozási műveletek naplózását és ellenőrzését. 13. A számításifelhő-szolgáltató igénybevevőjének értesítése a bűnüldöző szerveknek a személyes adatok közlésére irányuló felhívásáról, amely ellenkező értelmű tilalom például egy bűnügyi nyomozás titkosságának megőrzése érdekében fennálló büntetőjogi tilalom hiányában jogilag kötelező erejű. 14. A szolgáltató általános kötelezettsége annak biztosítására, hogy belső szervezete és adatfeldolgozási szabályai (és adott esetben az alvállalkozóié) megfelelnek az alkalmazandó nemzeti és nemzetközi jogi kötelezettségeknek és normáknak. Az adatkezelő jogsértése esetén, a jogellenes adatfeldolgozás következtében károsodó személyek jogosultak az okozott károknak az adatkezelő általi megtérítésére. Amennyiben az adatfeldolgozók bármely egyéb célra használják az adatokat, illetve a szerződést megszegve közlik vagy használják fel azokat, adatkezelőnek kell őket tekinteni, és felelősséget kell viselniük a személyes részvételükkel elkövetett jogsértésekért. Említést érdemel, hogy a számításifelhő-szolgáltatók sok esetben szabványos szolgáltatásokat kínálnak, és olyan szerződések aláírását ajánlják az adatkezelőknek, amelyek a személyes adatok feldolgozásának szabványos formátumát határozzák meg. A kis adatkezelők és nagyméretű szolgáltatók alkupozíciójának egyenlőtlensége nem tekinthető megfelelő indoknak ahhoz, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak Az adatvédelem és adatbiztonság technikai és szervezési intézkedései A 95/46/EK irányelv 17. cikkének (2) bekezdése az (adatkezelőként eljáró) számításifelhőszolgáltatás igénybevevőkre helyezi a teljes felelősséget az olyan számításifelhő-szolgáltatók megválasztásáért, amelyek a személyes adatok védelme érdekében megfelelő technikai és szervezési intézkedéseket hajtanak végre, és képesek az elszámoltathatóság igazolására. A rendelkezésre állásra, a sértetlenségre és bizalmas természetre vonatkozó alapvető adatbiztonsági célkitűzések mellett az átláthatóságra (lásd a fenti szakaszt), az elkülönítésre 24, a beavatkozási lehetőségre és a hordozhatóságra vonatkozó kiegészítő adatvédelmi célokra is figyelmet kell fordítani. E szakasz kiemeli az említett központi adatvédelmi célokat, anélkül, hogy érintené az azt kiegészítő, egyéb biztonság-orientált kockázatelemzést Rendelkezésre állás A rendelkezésre állás biztosítása azt jelenti, hogy gyors és megbízható hozzáférést biztosítanak a személyes adatokhoz. A számítási felhőn belül a rendelkezésre állást fenyegető egyik legnagyobb veszély az igénybevevő és szolgáltató közötti hálózati kapcsolat véletlenszerű megszakadása, illetve a szerverteljesítmény hirtelen megszűnése, amelyet rosszindulatú tevékenységek, így a Németországban az összekapcsolhatatlanság tágabb fogalmát iktatták bele a jogszabályokba, és az adatvédelmi biztosok konferenciája is ezt szorgalmazta. Lásd pl. az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) elemzését: 16

17 megosztott szolgáltatás-megtagadással (DoS) 26 járó támadások okoznak. A rendelkezésre állás egyéb kockázatai közé tartoznak a hálózatban és számítási felhő feldolgozási és adattárolási rendszereiben fellépő, véletlenszerű hardverhibák, feszültség-kimaradások és egyéb infrastrukturális problémák. Az adatkezelőknek ellenőrizniük kell, hogy a számításifelhő-szolgáltató ésszerű intézkedéseket fogadott-e el a szolgáltatás megszakadásval kapcsolatos kockázat kiküszöbölésére (így pl.: tartalék internetes hálózati kapcsolatok, redundáns adattárolás és az adatok biztonsági másolatára vonatkozó hatékony mechanizmusok) Sértetlenség A sértetlenség az adatok azon tulajdonságaként határozható meg, hogy hitelesek, és a feldolgozás, a tárolás vagy a továbbítás folyamán nem került sor azok rosszindulatú vagy véletlen módosítására. A sértetlenség fogalma kiterjeszthető az IT-rendszerekre, és azt követeli meg, hogy az e rendszerekben történő feldolgozás során változatlanok maradjanak a személyes adatok. A személyes adatok módosításainak felderítése kriptografikai hitelesítési mechanizmusok (így üzenet hitelesítési kódok vagy aláírások) segítségével valósítható meg. Behatolásérzékelő/megelőző rendszerek (IPS/IDS) alkalmazásával megelőzhető vagy felderíthető a számítási felhőn belüli IT-rendszerek megsértése. Ez különösen fontos olyan nyitott hálózati környezetben, amelyben a számítási felhők általában üzemelnek Bizalmas természet Egy számítási felhő környezetében a titkosítás ha helyesen alkalmazzák jelentős mértékben hozzájárulhat a személyes adatok bizalmas kezeléséhez, noha nem teszi visszafordíthatatlanul anonimmá a személyes adatokat 27. A személyes adatok titkosítását minden olyan esetben alkalmazni kell továbbítás közben, amikor nyugalomban lévő adatok is rendelkezésre állnak 28. Egyes esetekben (pl.: IaaS tárolási szolgáltatás) előfordulhat, hogy a számításifelhő-szolgáltatás igénybevevője nem él a szolgáltató által kínált titkosítási megoldással, hanem úgy dönt, hogy a számítási felhőbe történő megküldés előtt titkosítja a személyes adatokat. A nyugalomban lévő adatok titkosítása során különös figyelmet kell fordítani a kriptográfiai kulcs kezelésére, mivel az adatbiztonság végső soron a titkosítási kulcsok bizalmas kezelésétől függ majd. Titkosítani kell a számításifelhő-szolgáltató és az igénybevevő, valamint az adatközpontok közötti kommunikációt. A számítási felhő platformjának távolról történő igénybevétele kizárólag biztonságos kommunikációs csatornán keresztül történhet. Ha az igénybevevő azt tervezi, hogy nem pusztán tárolja, hanem fel is dolgozza a számítási felhőben tárolt személyes adatokat (pl.: adatok keresése az adatbázisokban), szem előtt kell tartania, hogy az adatok A DoS támadás koordinált kísérlet arra, hogy a számítógépet vagy a hálózati erőforrást ideiglenesen vagy véglegesen hozzáférhetetlenné tegyék az engedélyezett felhasználók számára (pl.: nagyszámú támadó rendszer felhasználásával, amelyek sok külső kommunikációs kérelem révén bénítják meg a célpontjukat). A 95/46/EK irányelv (26) preambulumbekezdése: (...) mivel a védelem elvei nem alkalmazhatók az olyan módon anonimmá tett adatokra, ahol az érintett a továbbiakban nem azonosítható; (...). Hasonlóképpen, a számításifelhő-szolgáltatások nyújtása keretében alkalmazható technikai adat töredezési eljárások sem vezetnek visszavonhatatlan anonimmá váláshoz, és így nem vonják maguk után az adatvédelmi kötelezettségek megszűnését. Ez kiváltképpen igaz azokra az adatkezelőkre, akik azt tervezik, hogy a 95/46/EK irányelv 8. cikke szerinti különleges adatokat (pl.: egészségügyi adatokat) továbbítanak a számítási felhőbe, vagy a szakmai titoktartásra vonatkozó sajátos jogi kötelezettségek hatálya alá tartoznak. 17

18 feldolgozása folyamán nem tartható fenn a titkosítás (rendkívül különleges számítások kivételével) A bizalmas kezelés biztosítására irányuló további technikai intézkedések közé tartoznak a hitelesítési mechanizmusok és az erős hitelesítés (vagyis a két tényezőn alapuló hitelesítés). A szerződéses rendelkezéseknek titoktartási kötelezettséget kell előírniuk a számításifelhőszolgáltatás igénybevevőjének, szolgáltatójának és az alvállalkozóknak az alkalmazottai számára is Átláthatóság A technikai és szervezési intézkedéseknek a felülvizsgálat lehetővé tétele érdekében támogatniuk kell az átláthatóságot (lásd a szakaszt) Elkülönítés (a cél korlátozása) A számítási felhő infrastruktúráján és erőforrásain így a tárhely, a memória és a hálózatok sok igénybevevő osztozik. Ez új kockázatokat támaszt az adatok nyilvánosságra hozatala és jogszerűtlen célokra történő feldolgozása tekintetében. Az elkülönítés, mint adatvédelmi cél e kérdés kezelésére szolgál, és hozzájárul annak garantálásához, hogy az adatokat ne használják fel az eredeti célkitűzésen túl (a 95/46/EK irányelv 6. cikke (1) bekezdésének b) pontja), továbbá megőrizzék azok titkosságát és sértetlenségét 29. Az elkülönítés megvalósítása először is szükségessé teszi a személyes adatokhoz való hozzáférésre vonatkozó jogok és szerepkörök megfelelő szabályozását, és azok rendszeres felülvizsgálatát. El kell kerülni túlzottan széles körű jogosultságokkal rendelkező szerepkörök kialakítását (vagyis egyetlen felhasználó vagy rendszergazda számára sem engedélyezhető hozzáférés az egész számítási felhőhöz). Általánosabb megfogalmazásban; a rendszergazdák és a felhasználók kizárólag a jogos célokhoz szükséges információkhoz férhetnek hozzá (a minimális jogosultság elve). Másodsorban az elkülönítés technikai intézkedésektől is függ, így a hipervizorok korlátozásától és a megosztott erőforrások megfelelő kezelésétől, ha virtuális gépeket használnak a fizikai erőforrásoknak a számításifelhő-szolgáltatás igénybevevői közötti megosztására Beavatkozási lehetőség A 95/46/EK irányelv biztosítja az érintett számára a hozzáférés, a helyesbítés, a törlés, a zárolás és a tiltakozás jogát (lásd a 12 és 14. cikket). Az igénybevevőnek ellenőriznie kell, hogy a szolgáltató nem állít-e technikai és szervezési akadályokat e kötelezettségek teljesítése elé. Erre azokban az esetekben is szükség van, amikor alvállalkozók dolgozzák fel az adatokat. Az igénybevevő és a szolgáltató közötti szerződésnek elő kell írnia, hogy a szolgáltató köteles támogatni az igénybevevőt az érintettek jogai gyakorlásának elősegítése során, továbbá gondoskodni arról, hogy ez az alvállalkozók viszonylatában is megvalósuljon Lásd a szakaszt. Lásd a fenti szakasz 6. pontját. A szolgáltató még arra is utasítható, hogy az igénybevevő nevében válaszoljon meg kéréseket. 18

19 Hordozhatóság Jelenleg a legtöbb számításifelhő-szolgáltató nem alkalmaz szabványos adatformátumokat és olyan szolgáltatási interfészeket, amely elősegítik a különböző számításifelhő-szolgáltatók közötti átjárhatóságot és hordozhatóságot. Ha a számításifelhő-szolgáltatás igénybevevője úgy dönt, hogy az egyik számításifelhő-szolgáltatótól egy másikra tér át, az átjárhatóság hiánya meghiúsíthatja vagy legalábbis megnehezítheti az igénybevevő birtokában lévő (személyes) adatok átvitelét az új szolgáltatóhoz (a szolgáltatótól való függőség, az úgynevezett vendor lock-in ) Ugyanez igaz azokra a szolgáltatásokra is, amelyet az igénybevevő az eredeti szolgáltató által biztosított platformon (PaaS) alakított ki. A számításifelhő-szolgáltatás igénybevevőjének a szolgáltatás megrendelése előtt ellenőrizni kell, hogy a szolgáltató garantálja-e az adatok és a szolgáltatások hordozhatóságát, és ha igen, akkor milyen módon teszi ezt Elszámoltathatóság Az informatikai elszámoltathatóság úgy határozható meg, mint annak a megállapítására való képesség, hogy egy entitás mit, és miként tett egy adott múltbeli időpontban. Az adatvédelem terén ezt a fogalmat gyakran tágabb értelemben, annak a leírására használják, hogy a felek igazolni tudják, hogy megfelelő lépéseket tettek az adatvédelmi elvek érvényesítésének biztosítására. Az IT-elszámoltathatóság különösen fontos a személyes adatok megsértéseinek kivizsgálása terén, amikor az igénybevevők, a szolgáltatók és az alvállalkozó egyaránt bizonyos mértékben operatív felelősséget viselhet. Kiemelkedő jelentőségű ebben a tekintetben, hogy a számítási felhő platformja képes legyen megbízható monitorozási és átfogó naplózási mechanizmusokat biztosítani. Ezenfelül a számításifelhő-szolgáltatóknak igazoló dokumentumokat kell szolgáltatniuk azokról a megfelelő és hatékony intézkedésekről, amelyek biztosítják az előbbi szakaszokban körvonalazott adatvédelmi elvek érvényesülését. Példát jelentenek az ilyen intézkedésekre az adatfeldolgozási műveletek azonosítására szolgáló eljárások, a hozzáférés iránti kérelmek megválaszolására szolgáló eljárások, az erőforrások elosztása, ideértve az adatvédelmi előírásoknak való megfelelés megszervezéséért felelős adatvédelmi tisztviselő kijelölését, vagy a független tanúsítási eljárások. Emellett az adatkezelőknek gondoskodniuk kell arról, hogy az illetékes felügyeleti hatóság kérése esetén készen álljanak a szükséges intézkedések meghozatalának igazolására Nemzetközi adattovábbítások A 95/46/EK irányelv 25. és 26. cikke csak abban az esetben írja elő a személyes adatok szabad áramlását az EGT területén kívüli országokba, ha az adott ország vagy átvevő megfelelő adatvédelmi szintet biztosít. Egyéb esetben az adatkezelőnek, társ-adatkezelőinek és/vagy adatfeldolgozóinak különleges biztosítékokat kell nyújtaniuk. A számítási felhőben azonban az adatoknak gyakran egyáltalán nincs állandó helyük a számításifelhő-szolgáltató hálózatán belül. Előfordulhat, hogy az adatok délután 2 órakor az egyik adatközpontban A szolgáltatónak lehetőleg szabványos vagy nyílt adatformátumokat és interfészeket kell alkalmaznia. Mindenesetre meg kell állapodni a biztosított formátumokat, a logikai kapcsolatok megőrzését és a másik számításifelhő-szolgáltatóra való áttérés esetén felszámított költségeket meghatározó szerződéses rendelkezésekről. Az adatvédelmi munkacsoport részletes észrevételeket tett az elszámoltathatóság kérdéséről az elszámoltathatóság elvéről szóló 3/2010. sz. véleményében: 19

20 vannak, délután 4-kor pedig a világ másik részén lévő másikban. Ennélfogva a számításifélőszolgáltató ritkán kerül olyan helyzetbe, hogy meg tudja állapítani az adatok aktuális elhelyezkedését, tárolásuk vagy továbbításuk helyét. Ilyen körülmények között csak korlátozottan alkalmazhatók azok a hagyományos jogi eszközök, amelyek meghatározzák a megfelelő adatvédelmet nem biztosító, Unión kívüli harmadik országokba történő rendszeres adattovábbítás feltételeit A védett adatkikötő (Safe Harbor) és a megfelelő országok A megfelelőségi vizsgálat a védett adatkikötőt (Safe Harbor) is beleértve földrajzi értelemben korlátozott, és ezért nem fedi le a számítási felhőn belüli valamennyi adattovábbítást. Az uniós jog alapján jogszerűen végrehajthatók az elveket elfogadó Egyesült Államokbeli szervezetek számára történő adattovábbítások, mivel úgy tekinthető, hogy az adatátvevő szervezetek megfelelő szintű védelmet biztosítanak a továbbított adatoknak. Az adatvédelmi munkacsoport álláspontja szerint ugyanakkor a védett adatkikötőre vonatkozó megfelelőségi nyilatkozat önmagában nem tekinthető elegendőnek, amennyiben nem jár együtt az adatvédelmi elvek határozott érvényesítésével a felhőalapú számítástechnikai környezetben. Emellett az uniós irányelv 17. cikke előírja, hogy az adatkezelő a feldolgozás céljából kössön szerződést az adatfeldolgozóval. Ezt az EU-USA védett adatkikötő keretrendszerének dokumentációjában szereplő 10. gyakran ismételt kérdésre adott válasz is megerősíti. E szerződés nem függ az európai adatvédelmi hatóságok megfelelő előzetes engedélyétől. Az ilyen szerződés pontosan meghatározza az elvégzendő feldolgozást és az adatok biztonságos tárolásának biztosításához szükséges intézkedéseket. A különböző nemzeti jogszabályok és adatvédelmi hatóságok további követelményeket támaszthatnak. Az adatvéldemi munkacsoport véleménye szerint az adatokat exportáló vállalatok nem hagyatkozhatnak pusztán az adatimportőr azon állítására, hogy védett adatkikötőre vonatkozó tanúsítvánnyal rendelkezik. Éppen ellenkezőleg, az adatokat exportáló vállalatnak bizonyítékot kell szerezni arra vonatkozóan, hogy a védett adatkikötőre vonatkozó megfelelőségi nyilatkozatok léteznek, és olyan bizonyítékot kell igényelnie, amely tanúsítja az abban foglalt elvek betartását. Ez kiváltképpen fontos az adatfeldolgozás révén érintett adatalanyok által szolgáltatott információk vonatkozásában A munkacsoport úgy véli továbbá, hogy a számításifelhő-szolgáltatás igénybevevőjének ellenőriznie kell, hogy a szolgáltató által összeállított általános szerződései feltételek összhangban állnak-e a szerződéses adatfeldolgozással kapcsolatos nemzeti követelményekkel. A nemzeti jogszabályok előírhatják, hogy a szerződésben kell meghatározni a további feldolgozást, amely felöleli a helyszíneket és az alvállalkozókra vonatkozó egyéb adatokat, valamint az adatok nyomonkövethetőségét. A számításifelhőszolgáltatók általában nem nyújtanak ilyen információkat az igénybevevőnek a védett adatkikötőre vonatkozó kötelezettségvállalásuk nem helyettesítheti a fenti garanciákat, amennyiben azokat a nemzeti jogszabályok írják elő. Ilyen esetekben arra ösztönözzük az adatexportőrt, hogy alkalmazza az egyéb rendelkezésre álló jogi eszközöket, így az általános szerződési feltételeket vagy a kötelező erejű vállalati szabályokat. 33 Lásd a német adatvédelmi hatóságot: 34 Az alvállalkozókkal való szerződéskötésre vonatkozó követelmények tekintetében lásd a szakaszt. 20