A munkacsoport állásfoglalása a felhő alapú adatfeldolgozásról (WP 196)

A 29. cikk szerinti adatvédelmi munkacsoport 2012. július 1. napján fogadta el a régóta várt Cloud Computingról szóló állásfoglalását, melyben az adatvédelmi hatóságok képviselőiből álló testület a felhő alapú szolgáltatások adatvédelmi szempontból releváns kérdéseivel foglalkozik.


A Cloud Computing, azaz a számítástechnikai felhő alapú adatfeldolgozással már mi is többször foglalkoztunk.

1.
A cloud computing az Internet alapú technikai fejlődés vívmánya. A felhő szolgáltatás lehetővé teszi, hogy a hardware és szoftver elemek az erőforrások és pénzeszközök kímélésével kerüljenek felhasználásra. A cloud szolgáltatás komolyabb beruházás igénye nélkül nyújtja ügyfelei részére, hogy időszakosan leterhelt saját erőforrásaihoz kapacitást nyerjen vagy éppen bizonyos szolgáltatásokat – akár teljes egészében – a „felhőbe” szervezze ki, melyért a felhő üzemeltetője (a felhő szolgáltatója) a kiszervezett teljesítmény vagy idő függvényében kap díjazást.

A cloud computing széles körű felhasználása miatt az ennek keretében nyújtott szolgáltatások bemutatása meghaladja a jelen írás kereteit, ezért ebben a vonatkozásban a Wikipedia releváns oldalára utalunk. (https://en.wikipedia.org/wiki/Cloud_computing)

2.
A munkacsoport szerint a felhő alapú szolgáltatások igénybevétele számos adatvédelmi kockázatot hordoz, így különösen a személyes adatok feletti ellenőrzés elveszítésének lehetőségét. Másrészről kockázatot jelent, hogy az ilyen szolgáltatásokat gyakran a transzparencia hiánya jellemzi, tehát nem átlátható, hogy a személyes adatokat ki, milyen adatfeldolgozói láncolatban, hol és milyen módon kezeli, illetőleg az adatalanyt sem tájékoztatják erről.

A munkacsoport az állásfoglalásában azt veszi alapul, hogy a felhő szolgáltatás igénybe vevője az adatkezelő, míg a cloud szolgáltató adatfeldolgozónak minősül. A munkacsoport állásfoglalása arra az esetre fókuszál, mikor egy EGT-n belüli adatkezelő egy EGT-n kívüli cloud szolgáltató szolgáltatásait veszi igénybe, melyre – bár a személyes adatok feldolgozását EU-n kívül végzik – a 95/46/EK adatvédelmi irányelv rendelkezései irányadóak.

A munkacsoport szerint az irányadó jogszabályi hátteret a 95/46/EK irányelv jelenti és a 2002/58/EK számú irányelv csak abban az esetben releváns, amennyiben elektronikus hírközlési szolgáltatást nyújtanak felhő alapú megoldással.

3.
Az alkalmazandó adatvédelmi jog vonatkozásában a munkacsoport a 8/2010. szám alatt korábban közzétett állásfoglalására utalt. A munkacsoport kiemeli, hogy az alkalmazandó adatvédelmi jogot az irányelv alapján nem a felhő-szolgáltató szolgáltatásának helye (vagy székhelye, letelepedési helye), hanem a felhő-szolgáltatást igénybe vevő adatkezelő letelepedésének a helye határozza meg. Amennyiben az adatkezelő több helyen is letelepedett, úgy meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy letelepedési helyeinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek. Az irányelv 4. cikk (1) bekezdés c) pontja akkor irányadó, amennyiben a felhő szolgáltatást igénybe vevő adatkezelő nem telepedett le az EU területén és EU-ban található cloud-szolgáltató szolgáltatásait veszi igénybe. Ebben az esetben az adatkezelésre / adatfeldolgozásra az EU adatvédelmi joga szintén alkalmazandó.

4.
A munkacsoport lényegesnek tekinti a felhő szolgáltatással kapcsolatos kompetenciák (kötelezettségek, illetve felelősség) telepítését, melyet az adatkezelő és adatfeldolgozó azonosítása jelent:

A cloud szolgáltatás igénybe vevője határozza meg az adatkezelés célját és dönt a kiszervezés, illetőleg a kiszervezett adatfeldolgozási tevékenységek kérdésében, ezáltal pedig adatkezelőnek minősül és meg kell felelnie az adatkezelőkre vonatkozó adatvédelmi kötelezettségeknek is.

A felhő-szolgáltató az eszközöket és a platformot nyújtja és az igénybe vevő oldaláról jár el, tehát ő adatfeldolgozónak minősül az adatvédelmi irányelv értelmében.

Figyelembe véve az 1/2010. számú munkacsoporti véleményt az adatkezelő és adatfeldolgozó meghatározásáról, előfordulhatnak olyan esetek, mikor a felhő-szolgáltató és az szolgáltatás igénybe vevője közös adatkezelői pozícióban vannak. Ez különösen abban az esetben fordul elő, mikor a felhő-szolgáltató saját célból is végez adatkezelést.

A munkacsoport arra utal, hogy az adatkezelő és adatfeldolgozó meghatározásának kellően pontosnak kell lennie, tehát az nem csökkentheti a védelem szintjét és nem okozhatja azt, hogy a felek egyike sem felel az adatvédelmi kötelezettségek betartásáért.

A munkacsoport megerősíti, hogy az irányelv értelmében a cloud szolgáltató kötelezettsége a feldolgozott adatok biztonságának / bizalmasságának fenntartása, mely esetben mind az adatkezelő és az adatfeldolgozó joghatósága szerinti adatbiztonsági szabályoknak meg kell felelni.

5.
További adatfeldolgozók (kiszervezés) igénybevétele cloud szolgáltatások esetében gyakori jelenség. Amennyiben erre sor kerül, ezt közölni kell az adatkezelővel, egyben a kiszervezett tevékenység részletes leírását kell adni. A kiszervezés, illetve további adatfeldolgozók kijelölése tehát az irányelv értelmében nem kizárt, azonban valamennyi ilyen al-adatfeldolgozónak meg kell felelnie az adatkezelő utasításainak. A szerződéses láncolat léte nem csökkentheti az adatvédelmi jogi kötelezettségeknek való megfelelést. Egy lehetséges szerződési modellt 2010. február 5-i bizottsági általános szerződési feltétel csomagban (és az általános adatvédelmi rendelet tervezetében is) alkalmazott megoldás jelentheti, mikor (i) az al-adatfeldolgozó igénybevétele az adatkezelő írásos hozzájárulásához kötött, feltéve, hogy (ii) az al-adatfeldolgozó az adatfeldolgozóra irányadó szerződéses kötelezettségeket írásos szerződésben vállalja, illetőleg (iii) az adatfeldolgozó felelős az al-adatfeldolgozó magatartásáért.

A munkacsoport a fentiek alapján azt javasolja, hogy
– al-adatfeldolgozást kössék az adatkezelő hozzájárulásához;
– al-adatfeldolgozásról (és az al-adatkezelők személyéről) tájékoztassák az adatkezelőt;
– a szolgáltató és az al-adatfeldolgozó közötti szerződés tükrözze a szolgáltató és a cloud szolgáltatás igénybe vevője közötti szerződés rendelkezéseit.

6.
A szolgáltató és az igénybe vevő viszonyának a munkacsoport szerint tükröznie kell az adatvédelmi alapelveket. Ilyenek az átláthatóság, célhoz kötöttség és a szükségesség-arányosság, az adatok törlése, technikai-szervezési védelmi intézkedések alkalmazása, a rendelkezésre állás; a kezelt adatok integritása; biztonság és bizalmasság; (cél szerinti) izoláció; adatalanyi jogok biztosítása; interoperabilitás az egyes cloud platformok között; illetőleg a felelősség elvének az érvényesítése.

7.
A cloud-szolgáltatási szerződések tartalmi elemei vonatkozásában a munkacsoport kiemelte, hogy ezek lényeges elemét képezik a cloud szolgáltató és a cloud igénybe vevőjének kapcsolatában, mivel az irányelv 17 (3) szakasza formális (írásbeli) szerződés megkötését (vagy más jog aktus létét) követeli meg. A szerződés tartalmának minimuma a munkacsoport szerint, hogy
– a cloud szolgáltató az adatkezelő instrukcióit követi;
– megfelelő technikai és szervezési intézkedések kerülnek bevezetésre a személyes adatok védelme érdekében.

A munkacsoport az állásfoglalásában 14 pontban foglalta össze a felhő szolgáltatási szerződések lényeges elemeit, mint a szerződéses szankciók léte, biztonság, adatalanyi jogok biztosítása, adattovábbítás tilalma, a kiszervezés kérdései, adatsértés esetén értesítési kötelezettség; audit kötelezettségek, etc.

A személyes adatok kezeléséért az adatkezelő felel. Amennyiben az adatfeldolgozó eltérő célból használja fel az adatot vagy jogosulatlanul továbbítja, a munkacsoport szerint ebben az esetben az adatfeldolgozó is adatkezelő módjára felel a jogsértésért.

8.
Az adatok külföldre történő továbbítás a cloud computing egyik legfontosabb problematikája, ugyanis a felhő igénybe vevője általában nem tudja, hogy fizikailag hol (milyen adat centerben) tárolják az adatot. Külföldre történő adattovábbítás esetében pedig az irányelv értelmében az adatok megfelelő szintű védelmét biztosítani szükséges.

A munkacsoport szerint a Safe Harbor-nak való megfelelés kijelentése önmagában nem elegendő, hanem erről meg kell győződni, illetve igazolást kell szerezni, hogy ennek valóban eleget tesznek. Másrészről a Safe Harbor földrajzilag korlátozott (mivel az csak az USÁ-ra korlátozódik), emiatt (szerződéses) végrehajtási mechanizmusok léte nélkül ez a globális adattovábbítások megfelelőségének igazolására nem elegendő. Ennek megfelelően szükség lehet más adattovábbítási mechanizmusok, mint például adattovábbítási szerződéscsomagok vagy BCR-ok igénybevételére.

A munkacsoport hangsúlyozza azt, hogy a cloud igénybe vevőjének a felelőssége az, hogy meggyőződjön a cloud szolgáltató adatvédelmi megfelelőségéről, mivel a cloud igénybe vevője szerinti nemzeti jogok számos többletkövetelményt támaszthatnak, ideértve különösen a biztonságra és al-adatfeldolgozók igénybevételére vonatkozó rendelkezéseket.

A munkacsoport szerint az adattovábbítási kivételekre történő támaszkodás (lásd 26. cikk (1) bekezdését, mint a hozzájárulás, a szerződés teljesítése; jogos érdek érvényesítése etc.) nem alkalmazható cloud computing környezetben, mivel ezen kivételek csak egyedi esetre jelentenek felmentést, nem pedig tömeges / strukturált adattovábbításokra.

A fentiek alapján a munkacsoport a Bizottság által jóváhagyott adattovábbítási általános szerződési feltételek és az adatfeldolgozói kötelező erejű vállalati szabályok igénybe vételét ajánlja a cloud computing környezetben.

9.
Álláspontja összefoglalásaként a munkacsoport kifejti, hogy a cloud környezet igénybe vétele gondos kockázat elemzést igényel az adatkezelő részéről, melybe bele tartozik az adatvédelmi kockázatok felmérése is. Különleges személyes adatok kezelése cloud környezetben további garanciákat igényelhet. A véleménye utolsó részében a munkacsoport egy listát ad azon követelményekről, amely teljesítése az adatvédelmi megfelelőséghez szükségesek. A munkacsoport szerint a megfelelőség önkéntes és hatékony elérését jelenthetik a tanúsítási rendszerekhez való csatlakozás.

Végül a munkacsoport üdvözli az általános adatvédelmi rendelet rendelkezéseit és utal azon problémák kezelésének szükségességére, mint a hatóságok részére történő adattovábbítás és a közszektorba tartozó adatkezelők felhő igénybevételével kapcsolatos speciális kérdéseire.

A munkacsoport véleménye teljes terjedelmében itt elérhető: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf