GDPR

Adatvédelem mindenkinek / Data protection for everyone

Iránymutatás a felhőszolgáltatások igénybevételéhez

2022. március 17. 11:30 - poklaszlo

A dán adatvédelmi hatóság (Datatilsynet) iránymutatást tett közzé, amely a felhőszolgáltatások igénybevételének adatvédelmi kérdéseit tekinti át, beleértve az adattovábbítással kapcsolatos kérdéseket is (külön érintve az Egyesült Államokba irányuló adattovábbításokat). Az iránymutatás egyrészt megszólítja azon adatkezelőket, amelyek felhőszolgáltatást vesznek igénybe, másrészt a felhőszolgáltatást nyújtókat is, a szolgáltatásaik adatvédelmi megfelelőségének biztosítása kapcsán. Az iránymutatás áttekintése ugyanakkor olyanok számára is hasznos lehet, akik felhőszolgáltatást nem vesznek igénybe, mivel - amint ezt maga az iránymutatás rögzíti - számos adatvédelmi követelmény általánosságban az IT szolgáltatások igénybevételére vonatkoztatható, nemcsak a felhőszolgáltatások kapcsán alkalmazandók. 

A felhőszolgáltatások kapcsán három témakört emel ki az iránymutatás, amelyek - bár egyéb IT szolgáltatások kapcsán is jelen vannak - a felhőszolgáltatások alkalmazása esetén kiemelt figyelmet érdemelnek. Ezek az alábbiak: 

  • adatfeldolgozók és al-adatfeldolgozók igénybevétele, 
  • adatbiztonsági kérdések, és
  • nemzetközi adattovábbítások. 

1. Felhőszolgáltatások főbb kategóriái 

Az iránymutatás a bevezetőt követően, rövid áttekintést ad a felhőszolgáltatások főbb jellegzetességeiről, beleértve a felek (megrendelő és felhőszolgáltató) eltérő lehetőségeit a szolgáltatások kapcsán, illetve a főbb szolgáltatáskategóriákat (IaaS, PaaS, SaaS), valamint a szolgáltatások nyújtásának főbb módjait (privát felhő, megosztott felhő, publikus felhő, hibrid felhő).

Annak vizsgálata során, hogy egy adatkezelő által igénybe vett felhőszolgáltatás megfelel-e az adatvédelmi követelményeknek az alábbi szempontokra érdemes kiemelten figyelni: 

  • az adatkezelőnek az adatkezelési tevékenységgel kapcsolatos elszámoltathatósága, beleértve az adatok áramlásának nyomon követhetőségét, 
  • az adatkezelő arra vonatkozó értékelése és annak dokumentálása, hogy a felhőszolgáltató képes biztosítani az adatvédelmi szabályoknak megfelelő adatkezelést,
  • a szerződés szövegezése és átláthatósága, 
  • a felhőszolgáltatóval kötött adatkezelésre vonatkozó megállapodás mennyiben tükrözi vissza az adatkezelő által meghatározott követelményeket az igénybe vett szolgáltatásokhoz kapcsolódó adatkezelési műveletek tekintetében, 
  • adatkezelői auditok és a szerződéstől való esetleges eltérések nyomon követése.    

2. Főbb adatvédelmi elvárások a felhőszolgáltatások igénybevétele során

2.1. A saját szolgáltatások és kapcsolódó adatkezelések feltérképezése ("know your services")

A megfelelés előfeltétele minden esetben, hogy az adatkezelő tisztában legyen az alábbiakkal: 

  • milyen adatokat kezel,
  • milyen célból és
  • milyen módon.  

A saját adatkezelési tevékenység feltérképezése alapján végezhetik el az adatkezelők a saját adatkezelési tevékenységükre vonatkozó kockázatértékelést, figyelemmel a beépített- és alapértelmezett adatvédelem elveire is. Erre építve mérlegelhető, hogy a felhőszolgáltatás igénybevétele miként befolyásolja az adatkezeléshez kapcsolódó kockázatokat. Vizsgálni szükséges - többek között -, hogy a felhőszolgáltatás igénybevétele jelentheti-e a szükségesnél több adat kezelését, illetve a felhőszolgáltató a saját céljaira is használni kívánja-e az adatokat (pl. a szolgáltatásai fejlesztése érdekében).  

Az adatkezelések során a megfelelő szintű adatbiztonság megteremtése is alapvető követelmény, beleértve az adatfeldolgozók által végzett műveletek biztonságának a megfelelő szintjét is. A megfelelő adatbiztonsági intézkedések meghatározásához is szükséges, hogy előzetesen kockázatértékelés készüljön az adatkezelés kapcsán esetlegesen felmerülő biztonsági kockázatokról. Ennek keretében értékelni szükséges a szolgáltató által kínált biztonsági intézkedéseket és vizsgálni szükséges, hogy az adatkezelő által végzett adatkezelési tevékenységhez - figyelemmel a kockázatértékelésre - a kínált biztonsági intézkedések megfelelő védelmi szintet jelentenek-e. Az adatkezelőnek figyelemmel kell lennie a saját tevékenységének egyes - akár szokásostól eltérő - elemeire (pl. különleges adatok kezelése). 

2.2. A szolgáltató feltérképezése ("know your supplier") 

A szolgáltató kiválasztása az adatkezelő döntésén alapul és így az adatkezelő tartozik felelősséggel azért, hogy az adatkezelési tevékenységéhez megfelelő szolgáltatót (adatfeldolgozó) választ. A szolgáltató átvilágítása kapcsán az alábbiakat érdemes kiemelni: 

  • A szolgáltató kizárólag az adatkezelő utasításai alapján végzi-e a tevékenységét vagy saját célra is kezelni kívánja az adatokat?* [Az ezen kérdés kapcsán a dán hatóság által meghatározott szempontokat érdemes lehet összevetni a francia adatvédelmi hatóság nemrégiben megjelent iránymutatásával, amely kifejezetten ezt a témát, azaz az adatok adatfeldolgozó általi saját célra történő felhasználását járta körül. Erről itt írtam részletesebben.]
  • A titoktartási kötelezettség biztosított-e a szolgáltatónál és ezt igazolni is tudja?
  • A megfelelő szintű adatbiztonsági intézkedések - a konkrét adatkezelési tevékenységre tekintettel - biztosítottak-e?
  • A szolgáltató megfelelő eljárásokkal rendelkezik-e az al-adatfeldolgozók átvilágítására és arra, hogy az adatkezeléssel kapcsolatban az adatkezelő felé vállalt követelményeket az al-adatfeldolgozók felé is érvényesítse?*
  • A további adatfeldolgozók (al-adatfeldolgozók) igénybevétele során megfelelő időben és tartalommal az adatkezelő rendelkezésére bocsátja-e - a kialakított eljárási rend szerint - az adatfeldolgozó a szükséges információkat az al-adatfeldolgozó tekintetében meghozandó döntéshez? 
  • Az al-adatfeldolgozói szerződésekben az adatfeldolgozó megfelelően továbbhárítja-e a rá vonatkozó kötelezettségeket?*
  • A szolgáltató teljes képpel rendelkezik-e az igénybe vett al-adatfeldolgozókról, beleértve az esetleges nemzetközi adattovábbításokat is? Megfelelő adattovábbítási mechanizmusok kerülnek-e alkalmazásra az EU-n kívülre történő adattovábbítások esetében (beleértve az EU-n kívülről történő hozzáférések esetét is)?*
  • Az érintetti megkeresések megválaszolásának adatfeldolgozó általi támogatásához megfelelő eljárásokat alakított-e ki a szolgálató?
  • Az adatvédelmi incidensek kezelésére megfelelő eljárások működnek-e a szolgáltatónál, beleértve az adatkezelő hatóság felé történő bejelentési kötelezettségének támogatását is?
  • A szerződéses viszony megszűnését követően az adatfeldolgozó eleget tud-e tenni az adatok visszaadására vagy törlésére vonatkozó kötelezettségnek?
  • Az adatkezelő vagy az erre megbízott harmadik fél által végzett auditok elősegítésére megfelelő folyamatok állnak-e rendelkezésre?

(A *-al jelölt fenti szempontok részletesebb elemzését lásd az iránymutatásban.) 

A fentiek alapján köthető meg - a GDPR 28. cikke szerinti tartalommal - az adatfeldolgozói megállapodás a felek között.  

2.3. A felhőszolgáltató és az al-adatfeldolgozók auditja 

Az auditok intenzitásának (mélységének), illetve gyakoriságának a végzett adatkezelési tevékenységek kockázataihoz kell igazodnia. Az intenzitás befolyásoló szempontok lehetnek: 

  • az adatfeldolgozó által kezelt adatok mennyisége
  • a kezelt adatok érzékenysége (esetleg a különleges adatok kezelése), 
  • az adatkezelési tevékenység invazív jellege

Szempontok, amelyek az auditok nagyobb gyakoriságát (azaz rövidebb időközönként történő elvégzését) indokolhatják: 

  • a szolgáltató estleges korábbi szerződésszegései (nem csak adatkezelési szerződés), 
  • korábbi súlyosabb incidensek, beleértve az adatvédelmi incidenseket is, előfordulása,  
  • az al-adatfeldolgozók gyakori cseréje, 
  • az adatfeldolgozó tulajdonosi körének, üzleti stratégiájának jelentős és gyakori változása.

Rendkívüli auditot tehetnek szükségessé például az alábbiak: 

  • tulajdonosi kör megváltozása, egyesülés, vagy az adatfeldolgozó üzleti stratégiájának radikális megváltozása, 
  • jelentős változás a munkavégzés módjában, így például a járvány kapcsán történt változások (home office-ból végzett munka arányának jelentő növekedése).

Az auditok gyakoriságát csökkentheti, ha hosszú távú megbízható partnerkapcsolat működik az adatfeldolgozóval (és al-adatfeldolgozókkal), különösebb hátrányos esemény (pl. jelentősebb adatvédelmi incidens) nélkül.  

A felhőszolgáltatások esetében is alkalmazhatók a fenti szempontok, de az audit egyik eszköze lehet a független, harmadik felek által elvégzett és elérhetővé tett auditriportok áttanulmányozása is, ha az lefedi az adatkezelő által igénybe vett szolgáltatást és a kapcsolódó adatkezelési tevékenységet. 

2.4. Nemzetközi adattovábbítások

Az EU-n (EGT-n) kívülre irányuló adattovábbítások kapcsán az iránymutatás alapvetően a Testület vonatkozó ajánlását (2020/1. sz. ajánlás az alkalmazható további garanciákról) veszi alapul és annak egyes követelményeit vizsgálja a felhőszolgáltatásokra figyelemmel. (A Testület 2020/1. sz. ajánlásáról itt írtam korábban.)

A nemzetközi adattovábbítások kapcsán az Egyesült Államokra külön is kitér az iránymutatás, figyelemmel arra, hogy a felhőszolgáltatók tipikusan az USA ún. FISA jogszabályának hatálya alá esnek és így alkalmazandó rájuk a FISA 702. szakasza, amely alapján a nem USA-beli illetőségű személyekről is adatokat kérhetnek az USA hatóságai a szolgáltatóktól. Erre tekintettel, ha az adatkezelő olyan felhőszolgáltatót venne igénybe, amely ezen szabály hatálya alá eshet, vizsgálni szükséges a kiegészítő intézkedések (supplementary measures) alkalmazását, illetve adott esetben azt, hogy az adatkezelő által kezelt adatok tekintetében a fenti rendelkezések miként alkalmazandók (alkalmazásra kerülnek-e). 

Az USA-ba történő adattovábbítás kapcsán alkalmazható kiegészítő intézkedések esetében elsősorban technikai intézkedések alkalmazása jöhet szóba (a szerződéses és adminisztratív intézkedések alkalmazása tipikusan nem elegendő). A megfelelő intézkedések kiválasztásában segítséget jelenthet a Testület - fenti hivatkozott - 2020/1. sz. ajánlása. Az intézkedéseket minden esetben a konkrét adatkezeléshez kell igazítani. A szóba jöhető intézkedések között lehet például az álnevesítés, a titkosítás vagy az ún. megosztott adatkezelés. (Érdemes elolvasni a kapcsolódó példa eseteket is: Example 6, Example 7 és Example 8.)   

A FISA 702. szakasz konkrét adattovábbítás kapcsán történő alkalmazhatóságának vizsgálatához is ad szempontokat az iránymutatás, kitérve a szükséges főbb lépésekre és azok dokumentálására vonatkozó kötelezettségekre. 

Végezetül, az iránymutatás kitér azon esetek kezelésére, amikor az adatfeldolgozó (felhőszolgáltató) az EU/EGT területén működik, ugyanakkor - például tulajdonosi struktúra miatt - harmadik ország hatóságaitól érkezhet hozzá adatkérés (lásd pl. az USA Cloud Act alapján történő megkereséseket).  

(Az iránymutatás dán verziója elérhető itt.) 

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr5917780078

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása