A dán adatvédelmi hatóság (Datatilsynet) iránymutatást tett közzé, amely a felhőszolgáltatások igénybevételének adatvédelmi kérdéseit tekinti át, beleértve az adattovábbítással kapcsolatos kérdéseket is (külön érintve az Egyesült Államokba irányuló adattovábbításokat). Az iránymutatás egyrészt megszólítja azon adatkezelőket, amelyek felhőszolgáltatást vesznek igénybe, másrészt a felhőszolgáltatást nyújtókat is, a szolgáltatásaik adatvédelmi megfelelőségének biztosítása kapcsán. Az iránymutatás áttekintése ugyanakkor olyanok számára is hasznos lehet, akik felhőszolgáltatást nem vesznek igénybe, mivel - amint ezt maga az iránymutatás rögzíti - számos adatvédelmi követelmény általánosságban az IT szolgáltatások igénybevételére vonatkoztatható, nemcsak a felhőszolgáltatások kapcsán alkalmazandók.
A felhőszolgáltatások kapcsán három témakört emel ki az iránymutatás, amelyek - bár egyéb IT szolgáltatások kapcsán is jelen vannak - a felhőszolgáltatások alkalmazása esetén kiemelt figyelmet érdemelnek. Ezek az alábbiak:
- adatfeldolgozók és al-adatfeldolgozók igénybevétele,
- adatbiztonsági kérdések, és
- nemzetközi adattovábbítások.
1. Felhőszolgáltatások főbb kategóriái
Az iránymutatás a bevezetőt követően, rövid áttekintést ad a felhőszolgáltatások főbb jellegzetességeiről, beleértve a felek (megrendelő és felhőszolgáltató) eltérő lehetőségeit a szolgáltatások kapcsán, illetve a főbb szolgáltatáskategóriákat (IaaS, PaaS, SaaS), valamint a szolgáltatások nyújtásának főbb módjait (privát felhő, megosztott felhő, publikus felhő, hibrid felhő).
Annak vizsgálata során, hogy egy adatkezelő által igénybe vett felhőszolgáltatás megfelel-e az adatvédelmi követelményeknek az alábbi szempontokra érdemes kiemelten figyelni:
- az adatkezelőnek az adatkezelési tevékenységgel kapcsolatos elszámoltathatósága, beleértve az adatok áramlásának nyomon követhetőségét,
- az adatkezelő arra vonatkozó értékelése és annak dokumentálása, hogy a felhőszolgáltató képes biztosítani az adatvédelmi szabályoknak megfelelő adatkezelést,
- a szerződés szövegezése és átláthatósága,
- a felhőszolgáltatóval kötött adatkezelésre vonatkozó megállapodás mennyiben tükrözi vissza az adatkezelő által meghatározott követelményeket az igénybe vett szolgáltatásokhoz kapcsolódó adatkezelési műveletek tekintetében,
- adatkezelői auditok és a szerződéstől való esetleges eltérések nyomon követése.
2. Főbb adatvédelmi elvárások a felhőszolgáltatások igénybevétele során
2.1. A saját szolgáltatások és kapcsolódó adatkezelések feltérképezése ("know your services")
A megfelelés előfeltétele minden esetben, hogy az adatkezelő tisztában legyen az alábbiakkal:
- milyen adatokat kezel,
- milyen célból és
- milyen módon.
A saját adatkezelési tevékenység feltérképezése alapján végezhetik el az adatkezelők a saját adatkezelési tevékenységükre vonatkozó kockázatértékelést, figyelemmel a beépített- és alapértelmezett adatvédelem elveire is. Erre építve mérlegelhető, hogy a felhőszolgáltatás igénybevétele miként befolyásolja az adatkezeléshez kapcsolódó kockázatokat. Vizsgálni szükséges - többek között -, hogy a felhőszolgáltatás igénybevétele jelentheti-e a szükségesnél több adat kezelését, illetve a felhőszolgáltató a saját céljaira is használni kívánja-e az adatokat (pl. a szolgáltatásai fejlesztése érdekében).
Az adatkezelések során a megfelelő szintű adatbiztonság megteremtése is alapvető követelmény, beleértve az adatfeldolgozók által végzett műveletek biztonságának a megfelelő szintjét is. A megfelelő adatbiztonsági intézkedések meghatározásához is szükséges, hogy előzetesen kockázatértékelés készüljön az adatkezelés kapcsán esetlegesen felmerülő biztonsági kockázatokról. Ennek keretében értékelni szükséges a szolgáltató által kínált biztonsági intézkedéseket és vizsgálni szükséges, hogy az adatkezelő által végzett adatkezelési tevékenységhez - figyelemmel a kockázatértékelésre - a kínált biztonsági intézkedések megfelelő védelmi szintet jelentenek-e. Az adatkezelőnek figyelemmel kell lennie a saját tevékenységének egyes - akár szokásostól eltérő - elemeire (pl. különleges adatok kezelése).
2.2. A szolgáltató feltérképezése ("know your supplier")
A szolgáltató kiválasztása az adatkezelő döntésén alapul és így az adatkezelő tartozik felelősséggel azért, hogy az adatkezelési tevékenységéhez megfelelő szolgáltatót (adatfeldolgozó) választ. A szolgáltató átvilágítása kapcsán az alábbiakat érdemes kiemelni:
- A szolgáltató kizárólag az adatkezelő utasításai alapján végzi-e a tevékenységét vagy saját célra is kezelni kívánja az adatokat?* [Az ezen kérdés kapcsán a dán hatóság által meghatározott szempontokat érdemes lehet összevetni a francia adatvédelmi hatóság nemrégiben megjelent iránymutatásával, amely kifejezetten ezt a témát, azaz az adatok adatfeldolgozó általi saját célra történő felhasználását járta körül. Erről itt írtam részletesebben.]
- A titoktartási kötelezettség biztosított-e a szolgáltatónál és ezt igazolni is tudja?
- A megfelelő szintű adatbiztonsági intézkedések - a konkrét adatkezelési tevékenységre tekintettel - biztosítottak-e?
- A szolgáltató megfelelő eljárásokkal rendelkezik-e az al-adatfeldolgozók átvilágítására és arra, hogy az adatkezeléssel kapcsolatban az adatkezelő felé vállalt követelményeket az al-adatfeldolgozók felé is érvényesítse?*
- A további adatfeldolgozók (al-adatfeldolgozók) igénybevétele során megfelelő időben és tartalommal az adatkezelő rendelkezésére bocsátja-e - a kialakított eljárási rend szerint - az adatfeldolgozó a szükséges információkat az al-adatfeldolgozó tekintetében meghozandó döntéshez?
- Az al-adatfeldolgozói szerződésekben az adatfeldolgozó megfelelően továbbhárítja-e a rá vonatkozó kötelezettségeket?*
- A szolgáltató teljes képpel rendelkezik-e az igénybe vett al-adatfeldolgozókról, beleértve az esetleges nemzetközi adattovábbításokat is? Megfelelő adattovábbítási mechanizmusok kerülnek-e alkalmazásra az EU-n kívülre történő adattovábbítások esetében (beleértve az EU-n kívülről történő hozzáférések esetét is)?*
- Az érintetti megkeresések megválaszolásának adatfeldolgozó általi támogatásához megfelelő eljárásokat alakított-e ki a szolgálató?
- Az adatvédelmi incidensek kezelésére megfelelő eljárások működnek-e a szolgáltatónál, beleértve az adatkezelő hatóság felé történő bejelentési kötelezettségének támogatását is?
- A szerződéses viszony megszűnését követően az adatfeldolgozó eleget tud-e tenni az adatok visszaadására vagy törlésére vonatkozó kötelezettségnek?
- Az adatkezelő vagy az erre megbízott harmadik fél által végzett auditok elősegítésére megfelelő folyamatok állnak-e rendelkezésre?
(A *-al jelölt fenti szempontok részletesebb elemzését lásd az iránymutatásban.)
A fentiek alapján köthető meg - a GDPR 28. cikke szerinti tartalommal - az adatfeldolgozói megállapodás a felek között.
2.3. A felhőszolgáltató és az al-adatfeldolgozók auditja
Az auditok intenzitásának (mélységének), illetve gyakoriságának a végzett adatkezelési tevékenységek kockázataihoz kell igazodnia. Az intenzitás befolyásoló szempontok lehetnek:
- az adatfeldolgozó által kezelt adatok mennyisége,
- a kezelt adatok érzékenysége (esetleg a különleges adatok kezelése),
- az adatkezelési tevékenység invazív jellege.
Szempontok, amelyek az auditok nagyobb gyakoriságát (azaz rövidebb időközönként történő elvégzését) indokolhatják:
- a szolgáltató estleges korábbi szerződésszegései (nem csak adatkezelési szerződés),
- korábbi súlyosabb incidensek, beleértve az adatvédelmi incidenseket is, előfordulása,
- az al-adatfeldolgozók gyakori cseréje,
- az adatfeldolgozó tulajdonosi körének, üzleti stratégiájának jelentős és gyakori változása.
Rendkívüli auditot tehetnek szükségessé például az alábbiak:
- tulajdonosi kör megváltozása, egyesülés, vagy az adatfeldolgozó üzleti stratégiájának radikális megváltozása,
- jelentős változás a munkavégzés módjában, így például a járvány kapcsán történt változások (home office-ból végzett munka arányának jelentő növekedése).
Az auditok gyakoriságát csökkentheti, ha hosszú távú megbízható partnerkapcsolat működik az adatfeldolgozóval (és al-adatfeldolgozókkal), különösebb hátrányos esemény (pl. jelentősebb adatvédelmi incidens) nélkül.
A felhőszolgáltatások esetében is alkalmazhatók a fenti szempontok, de az audit egyik eszköze lehet a független, harmadik felek által elvégzett és elérhetővé tett auditriportok áttanulmányozása is, ha az lefedi az adatkezelő által igénybe vett szolgáltatást és a kapcsolódó adatkezelési tevékenységet.
2.4. Nemzetközi adattovábbítások
Az EU-n (EGT-n) kívülre irányuló adattovábbítások kapcsán az iránymutatás alapvetően a Testület vonatkozó ajánlását (2020/1. sz. ajánlás az alkalmazható további garanciákról) veszi alapul és annak egyes követelményeit vizsgálja a felhőszolgáltatásokra figyelemmel. (A Testület 2020/1. sz. ajánlásáról itt írtam korábban.)
A nemzetközi adattovábbítások kapcsán az Egyesült Államokra külön is kitér az iránymutatás, figyelemmel arra, hogy a felhőszolgáltatók tipikusan az USA ún. FISA jogszabályának hatálya alá esnek és így alkalmazandó rájuk a FISA 702. szakasza, amely alapján a nem USA-beli illetőségű személyekről is adatokat kérhetnek az USA hatóságai a szolgáltatóktól. Erre tekintettel, ha az adatkezelő olyan felhőszolgáltatót venne igénybe, amely ezen szabály hatálya alá eshet, vizsgálni szükséges a kiegészítő intézkedések (supplementary measures) alkalmazását, illetve adott esetben azt, hogy az adatkezelő által kezelt adatok tekintetében a fenti rendelkezések miként alkalmazandók (alkalmazásra kerülnek-e).
Az USA-ba történő adattovábbítás kapcsán alkalmazható kiegészítő intézkedések esetében elsősorban technikai intézkedések alkalmazása jöhet szóba (a szerződéses és adminisztratív intézkedések alkalmazása tipikusan nem elegendő). A megfelelő intézkedések kiválasztásában segítséget jelenthet a Testület - fenti hivatkozott - 2020/1. sz. ajánlása. Az intézkedéseket minden esetben a konkrét adatkezeléshez kell igazítani. A szóba jöhető intézkedések között lehet például az álnevesítés, a titkosítás vagy az ún. megosztott adatkezelés. (Érdemes elolvasni a kapcsolódó példa eseteket is: Example 6, Example 7 és Example 8.)
A FISA 702. szakasz konkrét adattovábbítás kapcsán történő alkalmazhatóságának vizsgálatához is ad szempontokat az iránymutatás, kitérve a szükséges főbb lépésekre és azok dokumentálására vonatkozó kötelezettségekre.
Végezetül, az iránymutatás kitér azon esetek kezelésére, amikor az adatfeldolgozó (felhőszolgáltató) az EU/EGT területén működik, ugyanakkor - például tulajdonosi struktúra miatt - harmadik ország hatóságaitól érkezhet hozzá adatkérés (lásd pl. az USA Cloud Act alapján történő megkereséseket).
(Az iránymutatás dán verziója elérhető itt.)