Ahogy az általában lenni szokott, a jogi szabályozás jócskán lemaradva követi csak a technológiai fejlődést, és jelen esetben sincs ez másként. Felhőjogról mint önálló jogágról még nem beszélhetünk, ugyanis a felhő által felvetett jogi problémák számos területet érintenek, így például az adatvédelem, a szerződések, az elektronikus kereskedelem jogterületét, a büntetőjogot, a kiberbiztonság, a szellemi alkotások jogát. Az adatvédelmi szabályozás talán a legjelentősebb terület, amely a felhő elterjedésének a gátja lehet.
Mi a felhő?
Leegyszerűsített kifejezésekkel megfogalmazva a „számítási felhő” adatok interneten keresztül elért, távoli számítógépeken történő tárolását, feldolgozását és felhasználását jelenti. A magyar jogban a következő definíciót találjuk a felhőalapú számítástechnikai szolgáltatásra: olyan, információs társadalommal összefüggő szolgáltatás, amely lehetővé teszi konfigurálható számítási erőforrások – különösen hálózatok, kiszolgálók, tárolók, alkalmazások, szolgáltatások – osztott készletének igény szerinti, hálózaton keresztül történő elérését. Jellemzője a szolgáltatások igény szerinti használata, a hálózati elérés, az erőforráskészlet kialakítása, a rugalmasság, valamint a szolgáltatás mérése.
A felhőszolgáltatásokat a tartalmuk alapján jellemzően az alábbi három csoportba szokás osztani:
- Szoftver mint szolgáltatás: a felhőszolgáltató a szoftvert nyújtja interneten (http protokollon) keresztül („SaaS”);
- Platform mint szolgáltatás: a felhőszolgáltató az alkalmazás üzemeltetéséhez szükséges környezetet biztosítja („PaaS”);
- Infrastruktúra mint szolgáltatás: a felhőszolgáltató az infrastruktúrát (virtuális gépet és más erőforrásokat) biztosítja, az operációs rendszert és az alkalmazásokat a felhasználó működteti („IaaS”).
Az egyik legfontosabb kérdés, hogy az adatok milyen feltételek mentén tárolhatók a felhőben. Az adatvédelmi szabályozás kapcsán célszerű a 2018. május 25-től minden európai uniós tagállamban kötelezően alkalmazandó általános adatvédelmi rendelet (GDPR – General Data Protection Regulation vagy Általános Adatvédelmi Rendelet) rendelkezéseit vizsgálni. Az adatok köréből az adatvédelem területe a személyes adatok kezelését szabályozza, a személyes adatok köre azonban meglehetősen tág: személyes adat az azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. A természetes személy közvetlen vagy közvetett módon azonosítható, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján. Személyes adat tehát például a cégek által az érintettekre vonatkozóan kezelt bármely adat, például az ügyfél neve, e-mail címe, telefonszáma. Az adatkezelés pedig a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így például a tárolás.
Ki az adatkezelő?
Az adatvédelmi szabályozás következő logikai lépcsője, hogy ki minősül adatkezelőnek.
- Adatkezelő – aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.
- Adatfeldolgozó – aki az adatkezelő nevében személyes adatokat kezel.
A felhőszolgáltató alapesetben adatfeldolgozónak minősül, aki a felhőfelhasználóval kötött szerződés alapján végzi a tevékenységét. Arra is van ugyanakkor lehetőség, hogy a felhőszolgáltató adatkezelőnek minősüljön, ha például az adatokat a saját céljaira is kezeli, de ez nem változtat a felhőfelhasználó (vagy a vele szerződéses láncolatban álló más személy) adatkezelői minősítésén. Az adatkezelő (adott esetben a felhőfelhasználó) tehát a rá vonatkozó adatvédelmi kötelezettségek betartása alól nem mentesül pusztán azáltal, hogy felhőszolgáltatót vesz igénybe. Így például az adatkezelés jogszerűségéhez szükséges, hogy az adatkezelő megfelelő jogalappal rendelkezzen az adatkezelésre, azaz például rendelkezésre álljon az érintett hozzájárulása.
Kinek a felelőssége
A felelősségi szabályok egyértelműek: aki az Általános Adatvédelmi Rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult. Az adatkezelésben érintett valamennyi adatkezelő felelősséggel tartozik minden olyan kárért, amelyet az Általános Adatvédelmi Rendelet sértő adatkezelés okozott.
Az adatkezelő, illetve az adatfeldolgozó mentesül a felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség. Ha például adatvesztés eredményeképpen szenved kárt az ügyfél, az adatkezelőt terheli a bizonyítási kötelezettség, hogy őt semmilyen módon nem terheli felelősség az adatvesztésért.
Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak arra, hogy megfelelnek az adatkezelés Általános Adatvédelmi Rendelete követelményeinek, és végrehajtják az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedéseket. Az adatkezelő terhére esik tehát a megfelelő felhőszolgáltató kiválasztása. A jelenleg is érvényben lévő gyakorlat az, hogy egy kis adatkezelő és a nagy felhőszolgáltatók szerződéskötési alkupozíciójának egyenlőtlensége nem indokolhatja, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak. Az Európai Unió eközben persze évek óta azon munkálkodik, hogy olyan környezetet alakítson ki, amely elősegíti az európai adatvédelmi rendelkezéseknek megfelelni tudó felhőszolgáltatók működését.
Hazai szabályozás
Az infotörvény jelenleg is rögzíti az adatkezelő kártérítési felelősségét: ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni, továbbá személyiségi jogi jogsértés esetén sérelemdíj követelhető tőle. A törvény kimondottan szigorú rendelkezése továbbá, hogy az érintettel szemben az adatkezelő felel az adatfeldolgozó, tehát a felhőszolgáltató által okozott kárért is, továbbá az adatfeldolgozó személyiségi jogsértése esetén is ő köteles az adatfeldolgozó helyett sérelemdíjat fizetni az érintett részére. A mentesülés akkor lehetséges, ha az adatkezelő bizonyítja, hogy a kárt vagy a személyiségi jogsérelmet az adatkezelés körén kívül eső, elháríthatatlan ok idézte elő.
E szigor vélhetően a GDPR kötelező alkalmazását követően is érvényesülni fog a hazai gyakorlatban.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján közzétett, az Általános Adatvédelmi Rendelet alkalmazására vonatkozó felkészüléssel kapcsolatos tájékoztatás szövegéből arra lehet következtetni, hogy a NAIH – eddigi gyakorlatával egyezően – továbbra is szigorúan, az uniós szabályozáshoz képest szűkítő értelmezés mentén fogja kezelni az adatvédelmi kérdéskört.
Az Általános Adatvédelmi Rendelet célja, hogy uniós szintű egységes piac valósuljon meg a felhőszolgáltatásokat tekintve is. A GDPR az általános rendelkezései között rögzíti, hogy a személyes adatok unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból, a harmadik országokba történő adattovábbítás tekintetében pedig szigorú követelményeket támaszt, amelyeknek a célja az, hogy az adattovábbítás eredményeként az ilyen országokban történő adatkezelés az európai uniós adatvédelem szintjével megegyező szintű védelmet élvezzen.
Az Európai Bizottság további intézkedéseket tervez annak érdekében, hogy az úgynevezett Felhő Kezdeményezés lefedje az üzleti felhasználók felhőre vonatkozó szerződéseit, valamint hogy megkönnyítse az üzleti felhasználók felhőszolgáltatók közötti váltását, továbbá jogalkotás várható az unión belüli szabad adatáramlás biztosítása érdekében, illetve a célok között szerepel egy uniós szintű IKT biztonsági keret létrehozása is.
Dr. Virág Tamás ügyvéd KCG Partners Ügyvédi Társulás