Dr. Tényi Géza Dr. Polefkó Patrik: Bizalmas információk kezelése és adatvédelem a felhőszolgáltatásban
Lawrence Lessig Code Számítógépes parancs vs jogszabályi parancs Normarendszerek ütközése és kooperációja Normarendszer hierarchia: jog szerződés kód Alárendelt és mellérendelt kapcsolati megoldások (tiltás vs ösztönzés) Felhő központi kérdése a kód megfelel a jogi parancsnak? A kérdés értelmezése
Ügyvédi iroda információkezelés és menedzsment Átfogó szenzitív adatkezelés szinte minden ügyben Kötelező adatrögzítés és megőrzés a tevékenységből kifolyólag Nagyfokú felelősség és bizalmi pozíció Ügyvédi törvény, kamarai szabályzatok, belső irodai utasítások Digitális nomádok, BYOD, hálózati hozzáférések Döntési kényszer és alternatívák
Állapotrögzítés Jogszabályi és szabályzati rendelkezések hiánya Iránymutatások és best practice példák Kontinentális és angolszász eltérő attitűd Hiányosságok és kényszerek
Jogi megközelítés Adatvédelmi (jogi) kérdések
nemzetközi kitekintés általános adatvédelmi: ARTICLE 29 DATA PROTECTION WORKING PARTY: WP 196, Opinion 05/2012 on Cloud Computing (July 1st 2012) telkom: International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and data protection issues- Sopot Memorandum (24 April 2012) pénzügyi terület: Federal Financial Institution Examination Council (FFIEC Information Technology Subcommittee): Outsourced Cloud Computing (July 10, 2012) IT biztonság: ENISA, EUROCLOUD, CLOUD SECURITY ALLIANCE, stb. BSI (német) - Federal Office for Information Security: White Paper, Security Recommendations for Cloud Computing Providers (Minimum information security requirements)
alapvető konfliktusok 1. EU v USA két különböző adatvédelmi regime data protection v privacy, (personal) data privacy Safe Harbor v nemzetbiztonsági igények törvény kivételt tehet például: bűnüldözési, nemzetbiztonsági érdekből alkotmányos??? 2. gazdasági érdekek v alapvető jogok privacy/magánszféra/személyes adatok védelméhez való jog értelmezése és védelme ennek eszközei?
a lehetséges megoldás a két rezsim közelítése egymáshoz illetve az érdekek egyeztetése
mindeközben Magyarországon pénzügyi: PSZÁF: 4/2012. számú Vezetői körlevél: a pénzügyi szervezeteknél a közösségi és publikus felhőszolgáltatás igénybevételéből eredő kockázatokról általános adatvédelmi: Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlása, állásfoglalása?!
alkalmazandó szabályok 2011. évi CXII. törvény (Infotv.) + a megbízó tevékenységére vonatkozó ágazat-specifikus szabályok adatkezelési, adatvédelmi rendelkezései Közszféra: 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról + a szolgáltatóval kötött szerződés
problémák 1. Infotv v ágazati törvények: személyes adat fogalma adatfeldolgozó és al-adatfeldolgozó 6. új jogalapok kérdése infobiztonsági kritériumok adatok összekapcsolása adattovábbítási kérdések ügyfelek tájékoztatása??? 2. szerződéses kérdések ígéretek v követelmények magánjogi szerződések: felek egyenlősége? felelősség? nemzetközi elem nemzetközi magánjogi szabályok kötelezően alkalmazandó szabályok a kiszerződés tilalma
igények Felhasználóbarát felületek Public cloud tud-e open hozzáférést biztosítani, jogosultságkezelés Kiemelten védett adatkategóriák kérdése, Fizikai adatmentés kérdése, időállapotok visszaállítása Titkosítás, kulcskezelés
további igények Archiválás és adatmegőrzés kérdések, törlési szolgáltatások a migráció esetén is Adatformátum kérdések Felülhitelesítés a felhőben, elektronikusan aláírt dokumentumoknál JÜB
javaslatunk Lessig kód privacy by design termékfejlesztés risk assessment a felhőszolgáltatás alkalmazhatóságáról körültekintő szerződéskötés check list
Köszönjük a figyelmet! Dr. Tényi Géza geza.tenyi@koppanyi-tenyi.hu Dr. Polefkó Patrik patrik.polefko@gmail.com