Adatvédelem a felhőben (1. rész): jogok és szabványok egy közös cél érdekében

A felhőalapú szolgáltatások a technológiák demokratizálódását hozzák
Vágólapra másolva!
A CMS Cameron McKenna LLP Ügyvédi Iroda szakértője szerint a nyilvános felhőszolgáltatások csak akkor életképesek, ha az európai piac adatvédelmi szempontból is egységessé tud válni.
Vágólapra másolva!

Dr. Homoki Péter, az Európai Bizottság "Cloud Computing Contracts" szakértői csoportjának tagja kétrészes írásának most olvasható első részében kifejtette: lassan fél éve, hogy a Nemzetközi Szabványügyi Szervezet, az ISO és a Nemzetközi Elektrotechnikai Bizottság közösen elfogadta az ISO/IEC 27018:2014-es számú szabványt.

Ez a szabvány egy útmutató arról, hogy milyen megfelelő gyakorlatok léteznek a személyes adatok kezelésére a nyilvános felhőszolgáltatások körében.

Megállíthatatlan felhőszolgáltatások

Ma már fölösleges is hangsúlyozni a felhőszolgáltatások fontosságát, megállíthatatlan térhódításukat az informatikai szolgáltatások piacán. A nyilvános felhőszolgáltatások a felhasználók számára kétségtelenül olcsóbbak, ugyanakkor megbízhatóak és gyakran magasabb szintű informatikai működést is biztosíthatnak.

Azonban az érzékeny adatokkal rendelkező felhasználók továbbra is vonakodnak attól, hogy a nyilvános felhőszolgáltatások világába fejest ugorjanak: úgy érzik, a távoli tárolással együtt jár az adatok feletti kontroll gyengülése is.

Megbízhatóak-e a marketing üzenetek?

A CMS Cameron McKenna LLP Ügyvédi Iroda szakértője szerint kérdésként merül fel, hogy megbízhatunk-e a felhőszolgáltatók marketing üzeneteiben és az arra épülő szerződéses feltételeikben?

A kérdés kritikus, mert ha egy felhasználó úgy dönt, hogy a saját ügyfeleinek személyes adatait a felhőben tárolja, akkor a felhőszolgáltató lesz az adatfeldolgozó, de a felhasználó marad az adatkezelő, azaz felelős lesz az adatfeldolgozás megfelelőségéért is.

Ha a felhőszolgáltató szerződésszegése miatt az átadott adatok sérülnek, akkor a hatóság bizony az adatokat kiszervező felhasználót is megbírságolhatja, és még az ügyfelek is kártérítésre kötelezhetik az adatkezelőt. Persze szerződésszegés címén ezt a szolgáltató köteles volna megfizetni, de még egy másik tagállambeli uniós szolgáltatóval szemben sem elhanyagolható a behajtási költség és a behajtás sikerességének kockázata.

A hagyományos adatkezelési konstrukciók esetén a felhasználó megvizsgálhatja az adatfeldolgozó működését, kialkudhat egyedi garanciákat, és utasítást adhat az adatfeldolgozás mikéntjével kapcsolatosan. Egy nyilvános (több felhasználó számára nyújtott) felhőszolgáltatás esetén ezek egyike sem életszerű.

Minél több a felhasználó, minél nagyobb a szolgáltatással elérhető megtakarítás, annál kisebb a valószínűsége annak, hogy a szolgáltató - legnagyobb jóindulata mellett is - kellő mélységű hozzáférést adjon az informatikai rendszereihez, azok auditálásához.

Hiszen minden ilyen felülvizsgálat egyúttal biztonsági kockázatot is jelent és megterheli a napi üzemmenetet – húzta alá dr. Homoki Péter. Arról nem is beszélve, hogy a felhasználók nagy többsége nem rendelkezik kellő szakértelemmel ahhoz, hogy megfelelően megfogalmazza az adatfeldolgozással szemben támasztott elvárásait, és nem képes arra sem, hogy összevesse ezeket a szolgáltató által ténylegesen biztosított feltételekkel.

Az ördögi kör kialakulása

Ördögi kör ez: a bizalom akkor alakulhatna ki, ha a felhasználók a részletekbe is betekintést nyerhetnének, de a részletekbe való kellő mélységű, nagyszámú betekintés éppen a szolgáltatás biztonságával és megbízhatóságával ellentétes hatással járna.

Ezt a kört törhetné meg, ha az adatvédelmi téren is láthatnánk megbízható harmadik felek által kiállított tanúsításokat. Ilyen tanúsításokkal találkozhatunk a termékbiztonság és különféle irányítási rendszerek (minőségirányítási, környezetirányítási, információbiztonsági stb.) körében is.

Az európai uniós adatvédelmi biztosokat magába tömörítő ún. 29-es munkacsoport is közzétett egy állásfoglalást a felhőszámítás tárgyában [ún. WP196-os és 05/2012. számú, 2012. július 1-jén elfogadott állásfoglalás, lásd http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf, 4.2. pont], amely kifejezetten ösztönzi az ilyen megbízható, harmadik felek által elvégzett, adatvédelmi tárgyú ellenőrzéseket vagy tanúsításokat.

Eddig azonban nem volt olyan általánosan elfogadott szabvány, ami alapján a tanúsító szervek dolgozhattak volna. Létezik már szabvány információbiztonságra, de a tanúsított információbiztonsági irányítási rendszer létéből nem következik az is, hogy az általános jellegű adatvédelmi követelmények teljesülnének. Készült már korábban is két szabvány, amely kezdő lépéseket tett abba az irányba, hogy megpróbálja lefordítani az uniós adatvédelmi követelményeket a szabványok nyelvére (lásd az ISO/IEC 29100 és az ISO/IEC 29101-et.)

Forrás: SLATE Bad Astronomy/Phil Plait

De ezek inkább csak kezdő lépések maradtak, és nem nyújtottak gyakorlati segítséget az alapelvi szintű jogi rendelkezések "forintra váltásában".

Űrt próbál pótolni az új szabvány

Ez az új szabvány ezt az űrt próbálja meg pótolni, legalábbis ebbe az irányba próbál meg egy újabb lépést megtenni. Az ISO 27018 a szakmai körökben már ismert ISO 27001-es, információbiztonság-irányítási rendszerekhez ad útmutatást.

Az ISO 27001-es szabvány rendszerekre vonatkozó, általános követelményeit az olyan kézikönyvnek nevezett szabványok töltik ki tartalommal, mint amilyen az ISO 27002-es szabvány. Az ISO 27018 pedig egy "szektor specifikusnak" nevezett kézikönyv, ami a felhőszolgáltatásokkal kapcsolatos adatvédelmi követelmények körének értelmezésében próbál segítséget nyújtani.

Az ISO 27018 megfogalmazza, hogy az általános adatvédelmi követelményeket miként kell teljesíteni egy információbiztonsági irányítási rendszerben: fellistázza, hogy az ISO 27002-es kézikönyvből melyek az adatvédelmi szempontból irányadó követelmények, valamint egy mellékletben megfogalmaz huszonöt sajátos, újabb kontrollt. Számokban kifejezve tehát az ISO 27018 nem tesz mást, mint hogy az ISO 29101 által is megfogalmazott általános adatvédelmi követelményeket az ISO 27002-es szabványra építve meghatározza egy ISO 27001-es irányítási rendszer számára.

A szabvány tehát egyszerre több szereplőnek is segítséget nyújt. A felhasználóknak abban, hogy egyszerűbben meggyőződhessenek az adatfeldolgozás jogi követelményeinek való megfelelőségéről. A szolgáltatóknak pedig abban, hogy egy egységes módon ellenőrizhessék és igazolhassák az uniós adatvédelmi követelményeknek való megfelelést.

(A CMS Cameron McKenna LLP Ügyvédi Iroda szakértőjével készült kétrészes írás második részét hamarosan közöljük – a szerk.)

Google News
A legfrissebb hírekért kövess minket az Origo Google News oldalán is!