Számos vállalkozás eddig megkerülte az adatkezelési rendelkezéseket, amennyiben valamilyen felhő alapú informatikai szolgáltatást vett igénybe. A jövő év elején felálló új hatóság akár milliós bírságot is kiszabhat majd a szabályokat lazán értelmező cégeknek.
Számos jogi kihívással kell szembenéznie annak a vállalatnak, amely valamilyen cloud computing - azaz felhő alapú, igény szerint online használható - szolgáltatást szeretne bevezetni. A Horváth és Társai DLA Piper Ügyvédi Iroda napokban közzétett elemzése szerint különösen az adatvédelem számít érzékeny területnek; különösen, mivel jogi keretek eddig is szigorúak voltak, a nemrégiben elfogadott új adatvédelmi törvény a 2012 januárjában felálló új hatóságnak szankcionálási jogosítványt is ad.
- Magyarországon felemás a helyzet, maguk a szabályok ugyan szigorúak az európai uniós szabályozáshoz képest, ám az adatvédelmi biztosnak jelenleg nincsen szankcionálási jogköre ezek betartatására. Ez pedig a gyakorlatban sokszor a jogszabály céljával ellentétes hatást váltott ki a vállalkozásoknál, sok cég - néha kényszerűségből is - a jogszabály megkerülését választotta adatkezelése során.
Ebben változást hozhat a nemrégiben elfogadott, 2012 elejétől hatályba lépő,
az információs önrendelkezési jogról és az információszabadságról szóló törvény, amely az újonnan létrejövő Nemzeti Adatvédelmi és Információszabadság Hatóságnak erős szankcionálási jogosítványokat biztosít akár milliós bírságolási tételekkel - hívta fel a figyelmet az elemzés kapcsán
Kozma Zoltán, a DLA Piper jogi szakértője. Hozzátette: bár még nem tudni, hogy az újonnan felálló hatóság hogyan fogja értelmezni a jogszabály adattovábbításra vonatkozó új rendelkezéseit, de csak remélni lehet, hogy ez pozitívan fogja előmozdítani a cloud computing terjedését és legalább egy jogi problémát könnyebben kezelhetővé tesz ezen a területen.
A globális cloud szolgáltatási piac várható értéke (milliárd dollár)
Forrás: Gartner
Adatvédelmi aggályok ■ A most érvényes magyarországi adatvédelmi szabályozás uniós összehasonlításban is kifejezetten szigorúnak számít. Kozma Zoltán arra hívta fel a figyelmet, ha egy vállalat az alkalmazottak személyes adatait az internetfelhőben szeretné tárolni, és a cloud szolgáltató külföldön van, ehhez a magyar jogszabályok értelmében az adatalanyok hozzájárulása szükséges, ami adminisztrációs gondot okozhat egy sok száz vagy akár ezer főt foglalkoztató cégnél.
A jogi megfelelőség biztosítása ráadásul nem mindig egyszerű: nem minden estben egyértelmű például, hogy ha a cloud szolgáltató és a felhasználó vállalat nem azonos országban tevékenykedik, illetve ha az adatkezelésben több tagállam érintett, melyik ország adatvédelmi szabályozása az irányadó. Kérdés lehet az is, hogy jogi szempontból minek minősül a cloud szolgáltató, adatkezelőnek, vagy adatfeldolgozónak. Előbbire ugyanis jóval szigorúbb jogszabályi előírások vonatkoznak, hiszen az adatokkal aktívan foglalkozik, így meghatározza az adatkezelés célját, míg utóbbi adott esetben csak tárolja őket.
- Egy adatfeldolgozó részére az adatkezelő, így például egy cloud szolgáltatás igénybe vevője az Európai Gazdaság Térségen belül az adatalany hozzájárulása nélkül is továbbíthatja külföldre az adatokat, míg az Európai Gazdasági Térségen kívülre már csak az adatalany hozzájárulásának birtokában tehet így – hangsúlyozta Kozma Zoltán.
Általános szerződési feltételek ■ Érzékeny kérdés a cloud szerződés is: mivel a felhő szolgáltatók szinte kivétel nélkül szabványosított szerződéseket, általános szerződési feltételeket használnak, a szolgáltatást igénybe vevőknek nagyobb hangsúlyt kell fektetni a kockázatelemzésre a szerződés megkötése előtt. Egy-egy, a felhasználó vállalat számára kedvezőtlenül megfogalmazott passzus a későbbiekben problémás lehet: alapvető kérdés például, hogy ki felel az adatvesztésért, helyreállításért, és milyen kártérítésre számíthat az ügyfél ilyen esetben.
A szakértő szerint fontos tisztázni azt is, hogy a szerződéses jogviszony milyen feltételekkel szüntethető meg, illetve, hogy ebben az esetben mi történik a felhasználó cloud szolgáltató részére rendelkezésre bocsátott adataival.