Egyre több adatot tárolunk a számítási felhőben. Képeink, zenéink, videóink, e-mailjeink, személyes és céges adataink tárolódnak valahol a világon egy kiszolgálón. A felhasználó különféle kis kapacitású eszközökkel – akár mobiltelefonnal is – kapcsolódhat a szolgáltatóhoz, amelynek szerverei viszont nagy számítási és háttértároló-kapacitással rendelkeznek. Nyilvános felhő esetén a személyes felhasználású szolgáltatás lehet webmail, távoli szöveg- vagy táblázatszerkesztő, videó- és fényképmegosztó, közösségi oldal.

Egyre több cég is használ számítási felhőt erőforrásai hatékony kihasználására, de a vállalatok inkább a zárt felhőben (private cloudban) látnak fantáziát.

 

 

 

Érzékeny szerződések

Elvileg mindenfajta szolgáltatást szerződés támaszt alá, s ez alól nem kivétel a felhőszolgáltatás sem. Nagy különbség van azonban a nyilvános és a zárt felhő használatát szabályozó kontraktusok között. Míg az előbbi kevésbé nyilvánvaló (az egyoldalú ászf valahol a web legmélyebb bugyrába van eldugva, s „különben is, kit érdekel?” alapon senki nem keresi, s ha mégis, akkor olyan bikkfanyelven írták, hogy eleven ember el nem olvassa) s lényegében semmiféle garanciát nem ad semmire, addig az utóbbi részletesebben szabályozhatja a szolgáltatás igénybevételét.

Érzékeny kérdés tehát a cloudszerződés, amelyben az ár nem is a legfontosabb tényező. Tekintettel arra, hogy a felhőszolgáltatók tipikusan szabványosított szerződéseket, általános szerződési feltételeket használnak, amelyek kevés teret engednek alkudozásra, a szolgáltatást igénybe vevőknek igyekezniük kell a szerződés megkötése előtt nagy hangsúlyt fektetni a kockázatelemzésre. Alapvető kérdés például, hogy ki felel az adatvesztésért, helyreállításért, és milyen kártérítésre számíthat az ügyfél ilyen esetben.

Kiemelt kérdés még az is, hogy a kellően differenciált szolgáltatási szinteket megfelelően paraméterezzék és hogy megfelelő díjleszállítást vagy egyéb előnyt kapjon a megrendelő, ha a szolgáltató nem hozza ezeket a szinteket – hívja fel a figyelmet Ormós Zoltán internetjogász. A rendszerleírás és a biztonsági követelmények részletezése is fontos eleme a felhőszerződésnek és az is, hogy a megrendelőnek legyen joga auditálni a rendszert ebből a szempontból. Fontos tisztázni azt is, hogy a szerződéses jogviszony milyen feltételekkel szüntethető meg, illetve hogy ebben az esetben mi történik a felhasználó a szolgáltató részére rendelkezésre bocsátott adataival.

Mindezek alapján, s tekintetbe véve, hogy gyakorlatilag csak internetkapcsolatra van szükségünk, egy felhőszolgáltatási szerződés két fő kérdés köré épül: a szolgáltatási szintek számonkérhetőségére, valamint az adatfeldolgozásra és -védelemre. Tehát egy cloudszolgáltatásban lényegében csak adatokról van szó; így a megbízónak ügyelnie kell arra, hogy a szolgáltató a szerződésben adjon garanciát: a megbízó minden körülmények között hozzáfér vagy visszakapja adatait. Ez akkor lehet fontos, amikor a felhasználó valamilyen oknál fogva nem fizet, s a szolgáltató zárolni akarja az elérést. Ez az egyik fő csapda, amit mindenképpen el kell kerülni, s ezért kell megbízható szolgáltatóval szerződni. A nemfizetésnek ugyanis számos oka lehet; nem feltétlenül az, hogy valakinek úgy tartja a kedve, hanem az is, hogy nem kapta meg az elvárt szolgáltatási szinteket.

 

Bizonytalanságok

Kulcsár Zoltán adatvédelmi szakértő szerint, mivel a hatályos magyar adatvédelmi törvény nem határozza meg az adatfeldolgozói szerződés kötelező formáját, a gyakorlat szerint az adatfeldolgozói szerződés tartalmazza az adatkezelő és adatfeldolgozó nevét, feladatát, a feldolgozásra átadott adatbázist, az adatok körét, rendelkezést a szerződés teljesítése, megszűnése esetére; a felelősségi kérdéseket, illetve a helytállást harmadik személy (ügyfél) felé. A cégek egy része a főszolgáltatással kapcsolatos szerződésbe építi be ezeket a rendelkezéseket, míg más részük az üzleti titkok jobb érvényesülésére hivatkozva a fő szerződés kiegészítéseként külön adatfeldolgozói szerződést is köt. Írásos (adatvédelmi) szerződést viszont csak akkor kell kötni, ha a szolgáltató valamilyen technikai műveletet is végez a nála elhelyezett adatbázisunkkal kapcsolatban.

Ugyanakkor az érintett nem tudja ellenőrizni, hogy a szolgáltató mit kezd az adataival, belenéz-e a levelezésbe, elolvassa-e a privát vagy üzleti titkokat? Az is homályban maradhat, hogy ki a felelős, ha például külső támadás miatt sérülnek a titkok. A felhasználó az esetek nagy részében azt sem tudja, hogy hol tárolják az adatait, illetve ott milyen biztonsági intézkedéseket vezettek be, ezért az adatvédelmi szabályozás fontos eleme az erre vonatkozó irányelvek lefektetése. Például a felhasználó kifejezett beleegyezése szükséges a személyes adatok kezeléséhez, ha az adatok Magyarországénál alacsonyabb adatvédelmi szinttel rendelkező, az Unión kívüli országokban tárolódnak. Csakhogy ezzel gyakran a tárhelyszolgáltató sincs tisztában, így akár gondban is lehet, amikor válaszolnia kell az adatkezelést bejelentő űrlapon az adatkezelés helyére vonatkozó kérdésre. Az EU adatvédelmi direktívájának a hatálya az EU-ban letelepedett szolgáltatóra vonatkozik, illetve ha az EU-ban történik az adatfeldolgozás. De ha például az Egyesült Államokból nyújtják a szolgáltatást, akkor nem.

Tovább bonyolítja a problémát, hogy a szabályozás finoman szólva nem minden esetben követi a technológiai fejlődést. Mert mi van akkor, ha egy nemzetközi tárolórendszerben, a terheléselosztás folytán, adataink hirtelen átkerülnek egy megbízhatatlannak minősített országba? Akkor melyik ország jogát kell alkalmazni?