Jogilag készen állunk a cloudra? - teszik fel a kérdést egy szeptemberben megrendezésre kerülő konferencia beharangozójában. Vajon az adatvédelem és a szerződések terén vannak olyan jogszabályok, paragrafusok, amelyek teljes mértékben kielégítik a felhő alapú működés igényeit jogi szempontból? Kétlem. És kételkednek a szervezők is, akik egy szektor orientált aspektusból kívánják megvitatni a ma rendelkezésre álló lehetőségeket.
A Namur Egyetem jog és IT kutatási projektközpontjának munkatársai úgy gondolták, nem elég csupán saját hatókörükön belül megvizsgálni a témát, hanem érdemes egy konferenciát is szentelni annak érdekében, hogy a hiányos jogi háttér minél szélesebb körben váljon ismertté. Ezzel párhuzamosan nyilván az EU jogalkotóinak is szeretnék a figyelmét felhívni a jelenségre.Érdemes kicsit jobban megnézni, hogy itthon vagy az Európai Unióban milyen környezet várja azokat a vállalkozásokat, amelyek a felhőbe vezető útra szeretnének térni, ugyanis az egyébként sem egyszerű jogi útvesztőkben lévő lyukak könnyen kellemetlen helyzetbe is sodorhatnak bárkit.
Magyarországi cloud szabályozás
A hazai gyakorlat szabályozására már elkezdődött a felkészülés a nyári szünet előtt elfogadott és 2012 elejétől hatályba lépő információs önrendelkezési jogról és az információszabadságról szóló törvénnyel. E rendelkezések alapján jövő évtől egy új hatóság, Nemzeti Adatvédelmi és Információszabadság Hatóság veszi át a jelenlegi biztos helyét, amely igen kiterjedt szankcionálási jogkört is kap. A jelenleg érvényben lévő szabályok szigorúak ugyan, de mivel megszegésükért nehéz a megfelelő szankciókat érvényre juttatni, gyakorlatilag jóval gyengébbek a rendelkezések, mint az EU hasonló törvényei.
Ezen a kissé faramuci helyzeten változtat az új csomag, és a felállításra kerülő hatóság kezébe erős jogkört helyez, adott esetben akár milliókra rúgó bírságokkal is. Az adatvédelem tehát kiemelt téma lesz jövőre Magyarországon, és az EU-hoz képest is egy igen erős szabályozás lép majd életbe. Ezzel szemben azonban több kérdést is nyitva hagy a magyar és a nemzetközi törvény is.
Nehéz lesz például eldönteni, mely állam vagy közösség jogszabályai érvényesek olyan vállalatok felhő alapú működésére, amelyek esetében a cloud szolgáltatója más országban tevékenykedik, illetve ha az adatkezelésben több tagállam is érintett. Szintén nem tisztázott az sem, hogy a szolgáltató vajon adatkezelőnek vagy csupán adatfeldolgozónak minősül-e, mert merőben eltérő a két eset szabályozása. Az adatkezelőre sokkal szigorúbb feltételek vonatkoznak, aktív adatkezelési gyakorlata miatt.
Európai és nemzetközi gyakorlat
Az adatvédelem terén abban az esetben, ha egy cég más országból szolgáltatott a felhőben tárolja alkalmazottainak adatait, köteles hozzájárulásukat kérnie. Az EU ennél valamivel enyhébben fogalmaz, csupán az EU-n kívüli szolgáltatók és EU-s vállalatok együttműködése esetén kötelezné a cégeket hasonlóra.
A tavaly év végén elkezdett felülvizsgálat során az unió bizottságai a felhőt érintő jogszabályokat is érintik, és a mára elavulttá vált paragrafusokat, rendelkezéseket modernebbekkel helyettesítik. Többek között az adatok EU-n kívülre szállítását, az adatvédelmet és a nemzetközi felek között alkalmazható jogszabályok kérdését kívánják rendezni első sorban.
Mivel maga a felhő a vállalkozások számára az adatkezelés leegyszerűsítését is jelenti, a jogalkotóknak kell biztosítani, hogy a külső adatkezelőknél is biztonságban lehessen minden adat. Ez pedig a szolgáltatók számára is plusz terhet jelent. A mai gyakorlat például a tárhelyen történő és nem a feldolgozás egészét végigkísérő titkosítás. Az EU-n kívülre történő adattovábbítás nehézségei és az adatvédelmi direktíva ellen a legnagyobb szolgáltatók (például Microsoft, Google, HP, Oracle) minden lobbi eszközt bevetnek, és a szabályok enyhítését próbálják elérni.
Amerikában ugyanis az európainál jóval lazább a jogi környezet. A lobbi mellett azért megoldásra is törekszenek, amit például a HP új titkosító eljárása is jól példáz. Minden olyan adattovábbítás, amely az EU határain kívülre tart, egy utolsó titkosításon esik át, így lehetetlenítve el a lehallgatást. Siani Pearson, a HP egyik vezető kutatója szerint a cloud hatása túlságosan nagy ahhoz, hogy ilyen jogi vagy technikai akadályok állják útját.
A szabályok enyhülését mutatja, hogy néhány ország, mint például Amerika, Kanada, Svájc vagy Argentína az úgynevezett elfogadott országok közé tartozik, vagyis nem kell külön a jogi környezetüket az EU-hoz igazítani, ha felhő alapú szolgáltatást szeretnének bevezeti Európában. Ezeken kívül minden más országnak úgynevezett szolgáltatás szintű megállapodásokkal kell garantálniuk, hogy megfelelnek a szabályoknak. Többek véleménye szerint az EU éppen a lassú reagálás miatt van lemaradva Amerika mögött, ahol a felhő szabályozása lazább ugyan, viszont hamarabb megalkotásra is került.
Fontos kérdés, hogy mit kezdjen az EU azokkal az általános szerződési feltételekkel, amelyek nem eléggé mélyrehatóak az adatvédelem és a felelősség tekintetében. Sok esetben nincs külön meghatározva, hogy a szolgáltató milyen szinten garantálja az adatok védelmét és az sem egyértelmű, hogy szerződésbontáskor pontosan mi történik a kezelt adatokkal.
Csupán egy példa: van olyan szolgáltató, amely nem vállal felelősséget az adatokért abban az esetben, ha a szolgáltatás megszakadna (áramszünet, katasztrófa, egyéb esetekben), illetve azért sem, ha olyan váratlan esemény következik be, amely adatvesztéshez vezet. Vagy mi történik az adatokkal, ha a szolgáltató esetleg csődbe megy?
Az is kérdéses, mit kezd a jog azzal a jelenséggel, hogy gyakorlatilag elveszíti a kontroll lehetőségét a felhasználó, amint átadja az adatkezelőnek az adatait. A tulajdonlás nem kérdéses, ám a jelenlegi technikai megoldások nehézkes monitorozási lehetőségeket kínálnak csupán. Az auditálás is nehézséget okoz a földrajzilag decentralizált felhő alapú szolgáltatásoknál.
Legjobb gyakorlat?
A nagy ívű jogi viták, lobbi és konferenciák árnyékában azonban érdemes észrevenni egy nem túl rég lezajlott és nagy port kavart esetet, mint amolyan legjobb gyakorlatot. A Dropbox nevű internetes „tárhely” tulajdonképpen egy felhő alapú szolgáltatás. Nyár elején a vállalat megváltoztatta felhasználási feltételeinek megszövegezését, és a kusza jogi szövegben néhányan azt vélték felfedezni, hogy a Dropbox igényt tart minden feltöltött adatra. Amint az ügy nagyobb nyilvánosságot kapott, felháborodott tömegek kezdték támadni a céget, és perek is indultak. A nyomás hatására a jogi megfogalmazást egyszerű, közérthető formába öntötték, és világosan tisztázták, hogy kinek a tulajdonát képezik az adatok, és hogy semmilyen – akár hivatalos - szervnek sem adják azokat tovább a felhasználó belegyezése nélkül.
A kedélyek persze rögtön megnyugodtak, és a vállalat jogi képviselője Ramsey Homsany, aki előzőleg a Google jogi részlegét erősítette, elmondta, hogy szerinte az esetből tanulva minden hasonló szolgáltatónak így kellene eljárnia, és a jogi megfogalmazás mellett vagy helyett egy közérthető verziót is rendelkezésre kellene bocsátania, világosan elhatárolva minden jogot és kötelezettséget.
Végszó
A jogi helyzet tehát nem egyszerű, és távolról sem egységes még az EU tagországaiban sem. A felhő nem újdonság már, viszont az elavult szabályokat jó törvényekre kell cserélni, hogy az adatvédelmet a megfelelő szinten lehessen tartani. A nemzetközi működés sokrétűsége miatt egyelőre több a nyitott, mint a rendezett kérdés jogi téren, ám a változások eddig pozitív irányba mutatnak, és a szolgáltatói lobbi ellenére is szigorú szabályokat állapítanak meg az adatkezelők, illetve adatfeldolgozók számára.
Hajdu István
