Egyre több adatot tárolunk a számítási felhőben. Képeink,
zenéink, videóink, e-mailjeink, személyes és céges adataink tárolódnak valahol
a világon egy kiszolgálón. A felhasználó különféle kis kapacitású eszközökkel
–
akár mobiltelefonnal is – kapcsolódhat a szolgáltatóhoz, amelynek szerverei
viszont nagy számítási és háttértároló-kapacitással rendelkeznek. Nyilvános
felhő esetén a személyes felhasználású szolgáltatás lehet webmail, távoli
szöveg- vagy táblázatszerkesztő, videó- és fényképmegosztó, közösségi oldal.
Egyre több cég is használ számítási felhőt erőforrásai
hatékony kihasználására, de a vállalatok inkább a zárt felhőben (private
cloudban) látnak fantáziát.
Érzékeny szerződések
Elvileg mindenfajta szolgáltatást szerződés támaszt alá, s
ez alól nem kivétel a felhőszolgáltatás sem. Nagy különbség van azonban a
nyilvános és a zárt felhő használatát szabályozó kontraktusok között. Míg az
előbbi kevésbé nyilvánvaló (az egyoldalú ászf valahol a web legmélyebb bugyrába
van eldugva, s „különben is, kit érdekel?” alapon senki nem keresi, s ha mégis,
akkor olyan bikkfanyelven írták, hogy eleven ember el nem olvassa) s lényegében
semmiféle garanciát nem ad semmire, addig az utóbbi részletesebben
szabályozhatja a szolgáltatás igénybevételét.
Érzékeny kérdés tehát a cloudszerződés, amelyben az ár nem
is a legfontosabb tényező. Tekintettel arra, hogy a felhőszolgáltatók tipikusan
szabványosított szerződéseket, általános szerződési feltételeket használnak,
amelyek kevés teret engednek alkudozásra, a szolgáltatást igénybe vevőknek
igyekezniük kell a szerződés megkötése előtt nagy hangsúlyt fektetni a
kockázatelemzésre. Alapvető kérdés például, hogy ki felel az adatvesztésért,
helyreállításért, és milyen kártérítésre számíthat az ügyfél ilyen esetben.
Kiemelt kérdés még az is, hogy a kellően differenciált
szolgáltatási szinteket megfelelően paraméterezzék és hogy megfelelő
díjleszállítást vagy egyéb előnyt kapjon a megrendelő, ha a szolgáltató nem
hozza ezeket a szinteket – hívja fel a figyelmet Ormós Zoltán
internetjogász. A rendszerleírás és a biztonsági követelmények részletezése is
fontos eleme a felhőszerződésnek és az is, hogy a megrendelőnek legyen joga
auditálni a rendszert ebből a szempontból. Fontos tisztázni azt is, hogy a
szerződéses jogviszony milyen feltételekkel szüntethető meg, illetve hogy ebben
az esetben mi történik a felhasználó a szolgáltató részére rendelkezésre
bocsátott adataival.
Mindezek alapján, s tekintetbe véve, hogy gyakorlatilag csak
internetkapcsolatra van szükségünk, egy felhőszolgáltatási szerződés két fő
kérdés köré épül: a szolgáltatási szintek számonkérhetőségére, valamint az
adatfeldolgozásra és -védelemre. Tehát egy cloudszolgáltatásban lényegében csak
adatokról van szó; így a megbízónak ügyelnie kell arra, hogy a szolgáltató a
szerződésben adjon garanciát: a megbízó minden körülmények között hozzáfér vagy
visszakapja adatait. Ez akkor lehet fontos, amikor a felhasználó valamilyen
oknál fogva nem fizet, s a szolgáltató zárolni akarja az elérést. Ez az egyik
fő csapda, amit mindenképpen el kell kerülni, s ezért kell megbízható
szolgáltatóval szerződni. A nemfizetésnek ugyanis számos oka lehet; nem
feltétlenül az, hogy valakinek úgy tartja a kedve, hanem az is, hogy nem kapta
meg az elvárt szolgáltatási szinteket.
|
Betartatni!
|
|
Egy törvény akkor ér valamit, ha azt
betartatják. Hazánkban eddig az volt a vonatkozó jogszabályok érvényesülésének
a legfőbb akadálya, hogy nem volt érvényesítő hatóság a háttérben. Az
adatvédelmi biztos, bármennyire is a törvény szellemében járt el, ajánlásait
vagy megfogadták, vagy nem.
Tavaly év végén azonban létrehoztak egy hatósági jogkörökkel
rendelkező közigazgatási szervezetet, a Nemzeti Adatvédelmi és
Információszabadság Hatóságot, amely már komoly bírságot is kiróhat a
törvényszegőkre.
|
|
Bizonytalanságok
Kulcsár Zoltán adatvédelmi szakértő szerint, mivel a
hatályos magyar adatvédelmi törvény nem határozza meg az adatfeldolgozói
szerződés kötelező formáját, a gyakorlat szerint az adatfeldolgozói szerződés
tartalmazza az adatkezelő és adatfeldolgozó nevét, feladatát, a feldolgozásra
átadott adatbázist, az adatok körét, rendelkezést a szerződés teljesítése,
megszűnése esetére; a felelősségi kérdéseket, illetve a helytállást harmadik
személy (ügyfél) felé. A cégek egy része a főszolgáltatással kapcsolatos
szerződésbe építi be ezeket a rendelkezéseket, míg más részük az üzleti titkok
jobb érvényesülésére hivatkozva a fő szerződés kiegészítéseként külön
adatfeldolgozói szerződést is köt. Írásos (adatvédelmi) szerződést viszont csak
akkor kell kötni, ha a szolgáltató valamilyen technikai műveletet is végez a
nála elhelyezett adatbázisunkkal kapcsolatban.
Ugyanakkor az érintett nem tudja ellenőrizni, hogy a
szolgáltató mit kezd az adataival, belenéz-e a levelezésbe, elolvassa-e a
privát vagy üzleti titkokat? Az is homályban maradhat, hogy ki a felelős, ha
például külső támadás miatt sérülnek a titkok. A felhasználó az esetek nagy
részében azt sem tudja, hogy hol tárolják az adatait, illetve ott milyen
biztonsági intézkedéseket vezettek be, ezért az adatvédelmi szabályozás fontos
eleme az erre vonatkozó irányelvek lefektetése. Például a felhasználó
kifejezett beleegyezése szükséges a
személyes adatok kezeléséhez, ha az adatok Magyarországénál alacsonyabb
adatvédelmi szinttel rendelkező, az Unión kívüli országokban tárolódnak.
Csakhogy ezzel gyakran a tárhelyszolgáltató sincs tisztában, így akár gondban
is lehet, amikor válaszolnia kell az adatkezelést bejelentő űrlapon az
adatkezelés helyére vonatkozó kérdésre. Az EU adatvédelmi direktívájának a
hatálya az EU-ban letelepedett szolgáltatóra vonatkozik, illetve ha az EU-ban
történik az adatfeldolgozás. De ha például az Egyesült Államokból nyújtják a
szolgáltatást, akkor nem.
Tovább bonyolítja a problémát, hogy a szabályozás finoman
szólva nem minden esetben követi a technológiai fejlődést. Mert mi van akkor,
ha egy nemzetközi tárolórendszerben, a terheléselosztás folytán, adataink
hirtelen átkerülnek egy megbízhatatlannak minősített országba? Akkor melyik
ország jogát kell alkalmazni?
