GDPR

Adatvédelem mindenkinek / Data protection for everyone

Szempontok adatkezelőknek a felhőszolgáltatások igénybevételéhez

2023. január 24. 10:30 - poklaszlo

Az Európai Adatvédelmi Testület első összehangolt végrehajtási projektje (Coordinated Enforcement Action) volt 2022-ben a felhőszolgáltatások közszférában történő alkalmazását illetően útjára indított vizsgálat. A projektben 22 felügyeleti hatóság vett rész, köztük az európai adatvédelmi biztos. (Az összehangolt végrehajtási keretről további részletek elérhetők a Testület 2020. októberi dokumentumában.)

A vizsgálatban több, mint 80 közszférába tartozó intézményt kerestek meg és a vizsgálatok eredményeként elkészült anyagot most tette közzé a Testület. Bár a vizsgálat és így a közzétett jelentésben megfogalmazott tanulságok, javaslatok a közszféra általi felhőhasználatra vonatkoznak, ugyanakkor a dokumentumban számos olyan szempontot találhatunk, amelyet a közszférán kívül működő adatkezelőknek is érdemes figyelembe venniük, mivel alapvetően nem a közszférában történő adatkezeléshez, hanem sokkal inkább a felhőszolgáltatások jellemzőihez kapcsolódnak. (A jelentést lásd itt, az egyes nemzeti hatóságok által végzett vizsgálatokról és intézkedésekről készül riportot lásd itt.) 

A jelentés az alábbi főbb, mérlegelendő szempontokat állapítja meg azokra az esetekre, amikor az adatkezelő felhőszolgáltató igénybevételét tervezi, illetve felhőszolgáltatás igénybevételére kötne szerződést: 

  • adatvédelmi hatásvizsgálat elvégzése (illetve ha ez nem szükséges az adatkezelés jellegére tekintettel, kockázatelemzés elvégzése mindenképpen indokolt lehet),
  • a résztvevők szerepének egyértelmű meghatározása,
  • annak biztosítása, hogy a felhőszolgáltató a megbízó (adatkezelő) dokumentált utasításai alapján járjon el és a szolgáltató adatkezelőként végzett esetleges adatkezelési műveletei is meghatározásra és rögzítésre kerüljenek, 
  • annak rögzítése, hogy az adatkezelő érdemben tiltakozhasson az új adatfeldolgozók igénybevételével szemben, 
  • annak biztosítása, hogy a kezelt személyes adatok az adatkezelési célnak megfelelően kerüljenek meghatározásra, 
  • az adatvédelmi tisztviselő bevonása a projektbe, 
  • együttműködés egyéb közszférabeli szereplőkkel a szolgáltatókkal való tárgyalások során, 
  • felülvizsgálat elvégzése atekintetben, hogy az adatkezelés az adatvédelmi hatásvizsgálatnak megfelelően történik-e, 
  • annak biztosítása, hogy már a beszerzési eljárásban figyelembe vegyék azokat a követelményeket, amelyek a GDPR-nak történő megfelelés eléréséhez szükségesek, 
  • annak meghatározása, hogy mely esetekben kerül sor adattovábbításra az alapszolgáltatásokkal összefüggésben és mely esetekben a felhőszolgáltatók saját üzleti céljai érdekében, továbbá biztosítani szükséges a GDPR V. fejezetének ("A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása") történő megfelelést és a szükséges további szervezési- és technikai intézkedések elfogadását,  
  • vizsgálni kell, hogy egy harmadik ország jogszabályai alkalmazandóak-e a felhőszolgáltatóra, amely a szolgáltató által az EU-ban tárolt adatokhoz történő - hatósági - hozzáférési megkeresésekhez vezethet, 
  • ellenőrizni azokat a feltételeket, amelyek alapján a szükséges auditok elvégezhetők és biztosítani, hogy ezek a feltételek fennállnak. 

Látható, hogy a fenti szempontok (egy-két kivételtől eltekintve) a közszférán kívül is alkalmazhatók és az adatkezelők segítségére lehetnek a felhőszolgáltatások igénybevétele során abban, hogy az adatkezelésre a GDPR-nak megfelelően kerüljön sor. 

A jelentés az alábbi 8 kihívást vizsgálja részletesebben is.

1. Adatvédelmi hatásvizsgálat

Az adatvédelmi hatásvizsgálat elvégzésének szükségessége a GDPR 35. cikk, illetve az egyes tagállami hatóságok által kiadott "fekete listák" alapján mérlegelendő. Ugyanakkor a felhőszolgáltatások igénybevétele gyakran együtt járhat olyan adatkezelési tevékenységgel, amely hatásvizsgálat elvégzését teheti szükségessé (különösen így van ez a közszféra esetében, ahol a GDPR 35. cikk (2) bekezdés esetkörei is gyakran megvalósulhatnak). 

Az adatvédelmi hatásvizsgálatok végzése során szükséges a felhőszolgáltatások jellemzőit is figyelembe venni és a hatásvizsgálatot erre tekintettel elvégezni (ezt a vizsgált esetekben nem feltétlenül valósult meg). Ezzel összefüggésben fontos, hogy a megfelelő biztonsági intézkedések kerüljenek érvényesítésre, igazodva az adatkezelés jellegéhez. Hiányosságként merült fel a vizsgálatok jelentős részében, hogy az adatkezelők kizárólag a szolgáltatók által biztosított intézkedésekre hagyatkoztak, anélkül, hogy az adott adatkezelés specifikumaira figyelmet fordítottak volna. 

A hatásvizsgálatok elvégzése ráadásul nem csak egy egyszeri feladat, hanem a kockázatok változása, illetve adott esetben szolgáltató változása esetén a felülvizsgálat is indokolt. Szintén fontos, hogy az adatvédelmi tisztviselő megfelelően bevonásra kerüljön a hatásvizsgálati folyamat során.     

2. A felek szerepe

A szerepek megfelelő tisztázása (valamennyi adatkezelési tevékenység vonatkozásában) azért is lényeges, mert a jogszabályi követelményeknek való megfelelés elsődleges kötelezettjét ez határozza meg egyes részelemek kapcsán, így ennek egyértelmű rendezése szükséges. 

Felmerülhetnek olyan tevékenységek, esetleg olyan, a szolgáltató által meghatározott adatkezelési célok, ahol a felhőszolgáltató nem csupán adatfeldolgozó lesz, hanem adatkezelői szerepbe kerül. Ehhez kapcsolódóan érdemes figyelembe venni a francia adatvédelmi hatóság iránymutatását az adatfeldolgozó általi további adatkezelés kapcsán, amelynek tipikus példája lehet az adatfeldolgozók által történő, tipikusan a felhőszolgáltatás- vagy valamely mesterséges intelligencia alkalmazás fejlesztését szolgáló adatkezelés.

Az adatvédelmi megfelelés kapcsán a szereplőknek hasznos segítséget jelenthet a dán adatvédelmi hatóság tavalyi iránymutatása is, amely a felhőszolgáltatások igénybevételének néhány, adatvédelmi szempontból kiemelt kérdését vizsgálja. 

3. Ügyfélre szabott szerződések kitárgyalása 

A "személyre szabott" szerződés kialakítása a felhőszolgáltatások kapcsán tipikusan nem egyszerű feladat, mivel a piacot néhány nagyobb szolgáltató uralja, amelyek a saját szerződési feltételeik alkalmazásához ragaszkodnak és az ezektől való eltérés nem vagy csak kivételes esetekben, korlátozottan lehetséges. A "one size fits all" (azaz mindenkire ugyanazon feltételek alkalmazása) ugyanakkor ellentétes lehet a GDPR 28. cikkének elvárásaival. A felhőszolgáltatók részéről is hordoz azonban kockázatot, ha "makacsul" ragaszkodnak az általános szerződési feltételeikhez, mivel ebben az esetben könnyen önálló adatkezelőnek minősülhetnek, hiszen a szolgáltatást igénybe vevő fél valójában nem tud eleget tenni az adatkezelői minőségből fakadó alapvető követelményeknek, azaz a személyes adatok kezelésének céljait és eszközeit nem tudja meghatározni, hanem ezt ténylegesen a felhőszolgáltató teszi meg.     

4. Al-adatfeldolgozók 

Az al-adatfeldolgozók igénybevétele kapcsán kérdéses, hogy a szolgáltatást igénybe vevő félnek valójában milyen kontrollja van etekintetben. Az adatkezelők a gyakorlatban sokszor elég korlátozottan tudnak hatást gyakorolni az al-adatfeldolgozók igénybevételére vagy cseréjére. Ez pedig szintén oda vezethet, hogy a felhőszolgáltatás igénybevétele során nem teljesülnek a GDPR 28. cikkének a követelményei (különösen a 28. cikk (2) bek., 28. cikk (3) bek. d) pont, 28. cikk (4) bek.).   

5. Nemzetközi adattovábbítások 

A nemzetközi adattovábbítások kérdése jó ideje az adatvédelmi megfelelés egyik kiemelt témája (vö. a Schrems II. ítéletet követő adatkezelői, adatfeldolgozói feladatokkal). Természetesen kiemelten jelentkezik ez a témakör a felhőszolgáltatások kapcsán, nem véletlen, hogy a - fent már hivatkozott - dán hatósági iránymutatás is  foglalkozik ezzel. A nemzetközi adattovábbítások során a megfelelő garanciákról gondoskodni kell, amelynek a konkrét adatkezeléshez kell igazodnia, így a túl általános megoldások (lásd a 3. pontban foglaltakat is) nem feltétlenül működnek.

6. Külföldi kormányzati szervek részéről történő hozzáférés az adatokhoz 

A külföldi kormányzati szervek általi hozzáférés kérdésköre kapcsán több GDPR szerinti kötelezettségnek való megfelelés érintett, így különösen az adatfeldolgozói igénybevételére vonatkozó egyes rendelkezések (GDPR 28. cikk), az adatok bizalmasságával kapcsolatos kérdések (5. cikk (1) bek. f) pont, 24. cikk), adatbiztonsági intézkedések (32. cikk), illetve nemzetközi adattovábbítással kapcsolatos rendelkezések. E körben is nehéz helyzetben vannak a felhőszolgáltatást igénybe vevő felek, mert gyakran harmadik országok jogrendjének mélyreható vizsgálata lehet szükséges, hogy a kormányzati hozzáférés lehetősége kapcsán megfelelő intézkedések születhessenek. Ez az elemzést ráadásul azelőtt érdemes (szükséges) elvégezni, hogy a felhőszolgáltatás igénybevételére megkötné az adatkezelő a szerződést, mert utána már nehezen korrigálható helyzetben találhatják magukat.  

7. Telemetriai, diagnosztikai adatok kezelése

A telemetriai/diagnosztikai adatok felhőszolgáltató általi gyűjtése és kezelése kapcsán elsődleges probléma volt a vizsgálat megállapítása szerint, hogy a szolgáltatást igénybe vevők nem rendelkeztek erről megfelelő ismeretekkel, azaz nem volt erre vonatkozóan kielégítő tájékoztatás. Ezen adatok kezelése tipikusan személyes adatok kezelésével jár, így a GDPR-nak történő megfelelés, beleértve akár a nemzetközi adattovábbításra vonatkozó követelményeket, e körben is felmerül.   

8. Audit

Bár az adatkezelő általi audit lehetőségének a biztosítása a GDPR szerinti kötelezettség ("[...] az adatfeldolgozó [....] az adatkezelő rendelkezésére bocsát minden olyan információt, amely az e cikkben meghatározott kötelezettségek teljesítésének igazolásához szükséges, továbbá amely lehetővé teszi és elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is", lásd GDPR 28. cikk (2) bek. h) pont), de a felek közötti aszimmetrikus pozíció miatt, ez a gyakorlatban valójában nem feltétlenül érvényesül. Az adatkezelők tehát nem tudnak érdemben eleget tenni a GDPR szerinti kötelezettségüknek.    

A Testület által közzétett jelentés - a korábbi kapcsolódó testületi anyagokkal és hatósági iránymutatásokkal (pl. dán hatóság iránymutatása) együtt - hasznos segédlet az adatkezelők széles körének (a közszférán túl is) abban, hogy a gyors ütemben terjedő felhőszolgáltatások igénybevétele a GDPR-ban meghatározott követelményeknek megfelelően történhessen.    

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr7218031152

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása