Tudta, hogy az öreg kontinensen a vállalatok átlagosan közel 600 felhőszolgáltatást használtak 2014 júliusában? Egy a hónap közepén megjelent, a Skyhigh Networks megbízásából lefolytatott kutatás szerint azonban az európai, cloud computingban érdekelt vállalatok alig 1 százaléka érezheti valóban biztonságban az adatait.

Meglepő, hogy a cloud szolgáltatásoknak csak töredékét kínálják olyan országból, ahol az adatvédelmi törvények vállalati szintű biztonságot és megfelelő tárolási feltételeket biztosítanak. A felmérés szerint a szolgáltatások 99 százaléka olyan államokból éri el ügyfeleit, melyek törvényi szabályozása nem elég szigorú – legalábbis (nagy)vállalati szemmel.

A csoportmunkát, a tartalom- és fájlmegosztást nyújtó legfontosabb 30 szolgáltatásból 25 Európán kívüli államokból üzemel. Minden eddigi európai – elsősorban német – felbuzdulás ellenére az öreg kontinensen használt felhőszolgáltatások 72 százaléka az Egyesült Államokban tárolja az adatokat. Ez nyilván számos jogi és megfelelőségi kérdést is felvet, hiszen így az információk tárolásának helyén nem az európai, hanem más – ebben az esetben amerikai – szabályozás az irányadó.

Német irányítás a cyber-EU-ban

Edward Snowden nyilvánosság elé állása, és az általa feltárt tények – például Angela Merkel telefonjának lehallgatása – is komoly szerepet játszott abban, hogy Németország idén februárban saját, európai alapokon nyugvó kommunikációs hálózat létrehozását javasolta. Az EU vezető államának elképzelése szerint ezzel mind az e tekintetben fő „ellenségnek” tartott amerikai NSA ( National Security Agency), mind az angolszász összetartás miatt szintén ferde szemmel figyelt brit GCHQ (Government Communications Headquarters) távol tartható a kontinens adataitól.

Az új labdarúgó-világbajnokok hazája ráadásul nincs is egyedül ebben a témában: a franciák szintén támogatják a németek ötletét. Franciaország egyébként a világ egyik legszigorúbb adatvédelmi követelményeit támasztja a cloudszolgáltatást nyújtó cégekkel szemben.

Hasonló kezdeményezést számos ország jelentett be, amint arról korábbi cikkünkben beszámoltunk, az orosz duma szintén korlátozni akarja a helyi érdekű adatok mozgását, mert szeretné azokat az országhatárokon belül tudni. Ennek a folyamatnak az eredményeként az eddig többé-kevésbé egységes online tér könnyen szigetszerűvé válhat, a fizikailag létező állami vagy regionális határok egyre élesebben jelenhetnek meg az interneten is.

Alkalmazkodnak a globális játékosok

Felismerve a szigorodó szabályokban rejlő üzleti potenciált, a felhőszolgáltatások piacának nagy szereplők kénytelenek alkalmazkodni az állami szabályozásokhoz. Ennek a nyomásnak – pontosabban egy májusi bírói ítéletnek – a következménye a „felejtéshez való jog”, amely Európában arra kötelezi a Google-t, hogy felhasználói kérésre adatbázisából törölje a személyes adatokat.

Amazon adatközpontok a világban 2014-ben. Mindegy, honnan szolgáltat?

A Microsoft meg sem várt egy hasonló rendelkezést: még áprilisban bejelentette, hogy Azure szolgáltatása – a világon elsőként és a közzététel pillanatában egyetlenként – eleget tesz az EU-ban jelenleg érvényben levő, úgynevezett Data Protection Directive-nak. Ráadásul ez nem csak a kontinensen elhelyezett adatközpontokra vonatkozik, hanem az Egyesült Államokban létrehozottakra is.

Folyamatos változásban

Az EU adatvédelmi direktíváját egyébként olyan sokszínűen használják, mint amilyen maga az államszervezet: a különböző államok különböző módon tették magukévá a benne foglaltakat.

Hazánkban például a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felel a törvényi rendelkezések betartatásáért és szankcionálásért, ugyanakkor jelenleg továbbra sem egyértelmű, hogy melyik állam jogszabályai érvényesek egy, a nyújtott szolgáltatástól eltérő országban székelő cloud szolgáltatóra.

Ez az egyébként nem csak Magyarországot érintő helyzet fog megváltozni – a tervek szerint – 2016. végére, amikor életbe lép a General Data Protection Regulation (GDPR). Az egész EU-ra kiterjedő egységes törvény(tervezet) számos módosítási javaslat után az idei év végén kaphatja meg végleges formáját, az Európai Tanács pedig két éves átállási időszakot tűzött ki a tagállamok számára.

A jelenlegi helyzethez képest könnyebbséget (az egész EU egységes piacként jelenik meg a vállalatok számára ebben a tekintetben) is hoz a felhőszolgáltatóknak, ugyanakkor komoly szankciókat is magába foglal. Megszegésekor az érintett üzemeltető akár 100 millió eurót vagy a teljes forgalmának 5 százalékát is kénytelen lehet kifizetni, ami komoly visszatartó, pontosabban megfelelést kikényszerítő erő.

Mindez azonban keveset ér, ha a szabályozás nem követi folyamatosan az adatfeldolgozás és –tárolás állandó változásait. A "cloudjog" tehát néhány évig még biztosan képlékeny formáját mutatja majd az érintetteknek.