A felhő alapú szolgáltatás eddig nem ismert adatvédelmi buktatóira hívja fel a figyelmet Péterfalvi Attila. - Miért került mostanában előtérbe adatvédelmi szempontból a felhő? - A felhő szolgáltatást manapság már egyre többen használják, ugyanis azok a kkv-k, amelyek nem tudnak annyi pénzt infrastruktúrára fordítani, mint a nagy cégek, így számukra a felhő egy ideális szolgáltatás. Ehhez ugyanis elég egy jó internet hozzáférés és az adataikat máshol, más szervereken tárolhatják. Viszont éppen ami az előnye, az egyben a hátránya is. Tehát lehet, hogy olcsóbb, ám adatvédelmi szempontból sok a kockázat, hiszen nem tudjuk, hogy hol tárolják az adatokat, milyen útvonalon jut el a szerverhez, lehet, hogy olyan országokban őrzik, ahol nincs meg a szükséges adatvédelmi szint. Nincs rá nemzetközi szabályozás és azt sem tudni pontosan, hogy kik férnek hozzá az adatokhoz. - Mi a felhő alapú informatikai rendszer kihívása? - Magyarországon az állampolgár adatalany vonatkozásában az Alkotmánybíróság kifejtette, hogy az információs kiszolgáltatottság önmagában sérti a személyes adatok védelméhez fűződő jogot, illetve az állampolgárnak nyomon kell tudnia követni a személyes adatainak a kezelését, vagyis a polgár sohasem lehet tárgya, hanem csak alanya ezeknek a folyamatoknak. Ha alany, akkor van rálátása ezekre a folyamatokra, tehát tudja, hogy ki kezeli az adatait, mit csinál vele, hogyan használják föl és meddig tárolják. A felhő esetében éppen ezeket nem lehet garantálni, hiszen nem tudjuk, hogy hol tárolják az adatait, milyen célra használják. A felhő szolgáltatás gyakran éppen azért olyan olcsó, mert a kezelt adatoknak lehet reklám értéke, mondjuk a Google levelező programjainak a pásztázása és az ennek megfelelő marketingcélú felhasználása. - Ezek után milyen adatvédelmi incidensek fordulhatnak elő és melyek azok a bizonyos nem biztonságos harmadik országok? - Mivel nem tudjuk az adataink tárolási helyét, ezért azok kerülhetnek olyan államokba is, ahol az európai gyakorlatnál jóval lazábban kezelik az adatvédelmet. Néhány éve a 2001 szeptemberi eseményeket követően meghozott amerikai Patriot Act kötelezővé tette az USA-ba repülő légitársaságok számára, hogy előre küldjék át a tengerentúlra az utaslistákat. Nálunk viszont az erre vonatkozó törvényt az akkori államfő, Sólyom László nem írta alá, mert az Egyesült Államokban nincs az a garantált adatvédelem, amely az Európai Unió szabályozása értelmében elvárható lenne. Azt sem lehetett tudni, hogy kik jutottak volna hozzá az utasok adataihoz nemzetbiztonsági, vagy bűnüldözési célból. - Külső szemlélőnek viszont úgy tűnik, mintha az Egyesült Államokban azért eléggé vigyáznának az adatbiztonságra, nem? - Az Egyesült Államokban vannak olyan területek, amelyeken megfelelő, vagy elfogadható az adatvédelem, de sok más országról azt sem tudjuk, hogy milyen az adatkezelési szabályrendszere, vagy van-e egyáltalán. Arra pedig külön felhívnám a figyelmet, hogy különleges adatokat semmiképpen se tároljanak a felhőben. Például az egészségügyi állapotra vonatkozó, vagy az érdekképviseleti tagságra vonatkozó, esetleg nemzetiségi származásra vonatkozó adatokra gondolok. Az incidenseknél meg az a probléma, hogy gyakran nem is tudunk róluk, hiszen olyan szolgáltatást használunk, amelynél nem ismerjük a tárolás helyét és ha egy jogellenes adatkezelés történik, mondjuk nem tisztázott módon használják föl marketing célokra az adatainkat, akkor azt sem tudjuk, hogy hova kellene ezt jelenteni,van-e olyan hatóság, amelynél panasszal élhetünk. Jelenleg elfogadott nemzetközi szerződés nincs a felhő alapú szolgáltatással kapcsolatban. - Ezen a téren Európa is lemaradt, hiszen a hatályos adatvédelmi alapelv éppen 17 éve született, amely hát finoman szólva sem alkalmazható könnyedén a kor változó technológiai kihívásaihoz? Folyik-e ezen a téren összehangolt adatvédelmi törvény előkészítés? - Az adatvédelmi szabályozás felülvizsgálata tart, már el is készült egy rendelet tervezet. Ez azért fontos, mert míg az 1995-ös egy irányelv volt, amelyet harmonizálni kell a nemzeti jogalkotásokhoz, addig ez a mostani már egy rendelet lesz, amelyet egy az egyben át kell ültetni a tagállamok jogrendjébe. Jelenleg az adatvédelmi hatóság átalakítása miatt folyik Magyarország ellen egy kötelezettségszegési eljárás, amely már bírósági szakaszban van. De ugyanilyen eljárást indítottak Ausztria, korábban Németország ellen is, ahol az adatvédelmi hatóság függetlenségét kifogásolta az Európai Bizottság. Németország és Ausztria esetében megállapította a bíróság, hogy nem megfelelő az irányelv átültetése és sérült az adatvédelmi hatóság függetlensége. Ezt csak azért mondtam el, mert ha irányelvről beszélünk, akkor az a nemzeti jogalkotás és a harmonizáció szintjén megenged bizonyos mozgásteret. A rendeletet viszont kötelezően kell alkalmazni. Ez az új rendelet legfeljebb 2014, esetleg 2015-ben lépne hatályba. - Nemzetközi viszonylatban a magyar adatvédelem milyennek minősül? - Az adatvédelmi törvény nemzetközi szinten erős. Úgy gondolom egyébként, hogy az adatvédelmi ombudsmani intézmény hatósággá változtatása jó irány, hiszen a hatóságnak erősebb jogosítványai vannak. A hatósági eljárási rend és a bírságolási jog olyan új szabály, amely erősíti ezt az intézményt. Az ombudsman feladata, hogy ajánlásokat, állásfoglalásokat fogalmaz meg, ezek azonban nem kötelező érvényű döntések, hiszen az ombudsmannak, min szószólónak a legfőbb fegyvere a nyilvánosság. Bár az adatvédelmi törvénnyel kapcsolat én is megfogalmaztam néhány észrevételt és javasoltam módosításokat, mégis legutóbb még a Velencei Bizottság is megállapította, hogy a törvény nem ütközik az európai adatvédelmi szabályozással. - A Nemzeti Adatvédelmi és Információszabadság Hivatala (NAIH) hatósággá vált és olyan jogosítványokat kapott, amilyenekkel korábban nem rendelkezett, hasonlóan például az Állami Számvevőszékhez. Tehát a szabálysértéseket már Önök is szankcionálhatják. Milyen ügyekben jártak el és kiket, milyen összegre büntettek? - A törvény meghagyta a korábbi ombudsmani jellegű irányt, vagyis a vizsgálati eljárásokat, vagyis a hivatalnak lehetősége van arra is, hogy nem hatósági eljárást folytat le, hanem úgynevezett vizsgálati eljárást, amelynél ugyanúgy, mint korábban az ombudsman állásfoglalást hoz, vagy ajánlást tesz. Hatósági eljárást indíthat, de az nagyon szigorúan szabályozott eljárás és itt jelenik meg a pénzbírság is, mint szankció, amelynek a legmagasabb összege 10 millió forint. A hatóság 2012-ben mintegy 50 hatósági eljárást indított és ezek közül jónéhány esetben szabtunk ki pénzbírságot. - Mondana példákat arra, hogy kiket büntettek meg és miért? - Egy pénzintézet például úgy küldött szét e-maileket, hogy abból az ügyfelek százai láthatták egymás adatait és e-mail címeit. Aztán volt egy másik eset, ahol egy felszámolásra ítélt cég adatait a felszámoló egy olyan épületben tárolta, ahol se ablak, se ajtó nem volt, vagyis a minimális adatbiztonsági követelményeknek sem felelt meg az eljárás. De megbüntettünk ingatlanforgalmazással kapcsolatos honlapot is, mert az emberek egyszerűen nem tudtak leiratkozni a honlapról, így folyamatos fizetési kötelezettségük keletkezett. De kiszabtunk olyan esetben is bírságot, ahol az adatkezelő éppen egy önkormányzat volt. A dolgot az is súlyosbította ebben az esetben, hogy a törvényesség egyik őre, maga az önkormányzat szegte meg az adatkezelés szabályait. Hogy ki volt a szabályszegő, azt nem minden esetben nevesítjük. Azért nem, mert a büntetés lehet, hogy magában foglalja még azt a további szankciót is, hogy a pénzbüntetés mellett nevesíteni kell a „tettest”, de ezt nem mindig alkalmazzuk és ilyenkor viszont név nélkül közöljük a büntetést a hatóság honlapján. Eljárást, vizsgálatot egyébként csak panasz alapján folytatunk. forrás: http://privatbankar.hu/kkv/adatvedelmi-szempontbol-a-felho-nagyon-gaz-interju-252539
