Adatok a felhőben - Mitől kell tartanunk?

A cloud computing elnevezés olyan rendszerekre vonatkozó gyűjtőszó, amelyekkel a fejlesztők és a felhasználók az interneten keresztül érhetnek el távoli számítógépközpontokban tárolt programokat és adatokat. (Az angol elnevezésnek számos magyar fordítása ismert, az eredeti koncepcióhoz talán legközelebb álló változat a „felhőalapú számítástechnika”, de van, aki leegyszerűsítve internetfelhőnek hívja.) A szolgáltatás nagy üzletet ígér a piaci szereplőknek, amelyek 2015-ben globálisan már legalább 160 milliárd dolláros bevételen osztozhatnak. Ugyanakkor, ha a jogalkotók, valamint a piac szereplői, beleértve a felhasználókat is, nem fordítanak kellő figyelmet a jogi aspektusokra is, kudarcok, csalódások jellemezhetik ezt a nagy reményű informatikai megoldást - vélik a jogban jártas szakértők.

A szolgáltatás egyik legkritikusabb pontja az adatvédelem, amely még messze nincs megoldva, főleg ha az adott üzleti kapcsolat országhatárokon átnyúló - mondja Kozma Zoltán, ügyvéd, a Horváth és Társai DLA Piper Ügyvédi Iroda jogi szakértője. Hozzáteszi, a napokban, az Európai Uniós elnökségünk keretén belül, éppen Budapest adott helyszínt egy nagy nemzetközi adatvédelmi konferenciának, amelyen külön szekciója volt a cloud computingnak. Az ott felszólalók is elismerték, hogy vannak problémák.

Emlékeztet arra, hogy az Európai Bizottság 2010 novemberében kiadott egy közleményt, amiben a jelenlegi adatvédelmi szabályok felülvizsgálatát határozta el, különösen az olyan újabb technikai kihívásokat figyelembe véve, mint az internetfelhő. A közleményből az egyszerűsítésre vonatkozó igény is kitűnik, amiért főként a nagyvállalatok lobbiztak. Ők azok, akik szeretnék elérni az adminisztratív terhek csökkentését és az adatvédelmi jogszabályok összehangolását a tagországokon belül, mert ezek vetik fel számukra a legfontosabb aggályokat.

A cloud szolgáltatás igénybe vételénél az első kötelező kérdés, van-e személyes adat a felhőben, ha igen akkor az ügymenetnek meg kell felelnie a személyes adatok védelméről szóló jogszabályoknak. Ilyen akkor fordulhat elő, ha például a felhasználó cégek az alkalmazottak adatait is feltöltik a felhőbe. Fontos azt is tudni, hogy az adatkezelés során hol tárolják azokat, milyen más adatokkal vonják össze, ki vannak-e téve hackertámadásnak?

Az adatvédelmi jogszabályokkal kapcsolatban egyelőre még az is tisztázásra szorul, hogy ha a szolgáltató és a felhasználó nem azonos országban tevékenykedik, illetve ha az adatkezeléssel több tagállam érintett, a cloudos szerződésnél melyik ország adatvédelmi szabályozása számít irányadónak - húzza alá Kozma Zoltán.

Egy biztos - teszi hozzá -, ha Magyarországon valaki ki akarja szervezni az emberierőforrás-tevékenységet, vagy a bérszámfejtést, illetve az ott tárolt adatokat fel akarja tölteni a felhőbe, akkor az egyébként éppen változás alatt álló magyar előírásoknak mindenképpen meg kell felelnie. Az érvényes magyar jogszabály rendkívül egyszerű, de meglehetősen szigorú. Csak abban az esetben lehet adatokat harmadik országokba továbbítani, ha az adat alanya ahhoz a hozzájárulását adta. Na most képzeljük el mit jelenthet ez egy több ezer főt foglalkoztató cégnél? - emeli ki. Ma még a multik magyar leánycégeinek is komoly akadályt jelent az itteniek adatait az anyacéghez továbbítani. Nagy kérdés, hogy az e téren készülő új magyar jogszabály, és a jogszabály alapján kialakuló gyakorlat képes lesz-e változtatni ezen a helyzeten?

forrás: Gartner

2008 46,41

2009 56,30

2013* 150,1

*előrejelzés

A szabályok ugyan szigorúak, de a hazai adatvédelmi biztosnak egyelőre nincs erős szankcionálási jogköre a jogsértések esetén, legfeljebb azt állapíthatja meg, hogy egy adott helyzet az adatkezelés szempontjából jogsértőnek számít-e vagy sem, illetve megtilthatja a jogellenes adatkezelést. Ismeretei szerint az új jogszabálytervezet változtatni kíván ezen a helyzeten, az újonnan létrejövő adatvédelmi hatóság a jövőben már bírságolhat is.

Az is kérdés ma még, hogy jogi szempontból minek minősülnek a cloud szolgáltatók - adatkezelőnek, vagy adatfeldolgozónak. Az adatkezelő mondja meg ugyanis mit csináljanak az adatokkal, ilyen például a munkáltató, amely meghatározza az adatkezelés célját is. Az adatfeldolgozó viszont csak az adatkezelő utasításai alapján dolgozhat, semmilyen döntést nem hozhat az adatok sorsával kapcsolatban, utóbbira tipikus példa az adattárhely szolgáltató, ahová a felhős szolgáltatók többsége is sorolható.

Az sem mindegy, hogy az adatkezelők és -feldolgozók földrajzilag hol tevékenykednek. Ha mindketten az EU-n belül, akkor az érvényes magyar szabályok szerint, a személyes adatokat hozzájárulás nélkül lehet az adatfeldolgozóhoz továbbítani. Az adatkezelőnek történő továbbításhoz viszont ez esetben is ki kell kérnie az adat alanyától a hozzájárulást. Az EU-n kívül ugyanakkor mindkét esetben szükség van az adatok tulajdonosának a hozzájárulására. A jövőben Magyarországon ezeknek a szabályoknak a megsértése akár 10 millió forint bírságot vonhat maga után - nyomatékosítja Kozma Zoltán.

A cloud-szolgáltatók szerződéses ajánlatait sem árt alaposan megvizsgálni - mondja a szakértő. ( Amerikában ezek szabványosítottak, nem nagyon lehet tőlük eltérni.)  Mivel azonban egyre több lesz az ilyen szolgáltató, mégiscsak van választási lehetőség. Az ajánlatokban egyebek mellett olyan pontokra érdemes odafigyelni, amelyek azt szabályozzák, hogy ki felel például az adatvesztésért, mi történik, ha lefagy a rendszer, és milyen kártérítésre számíthat az ügyfél - sorolja a szakértő. 

Annak sem árt utána járni, hogyan lehet kilépni a szerződésekből, ilyen esetekben hogyan kapja vissza a felhasználó az adatait, törlik-e azt a szolgáltató tárolószervereiről vagy sem. Vitatott továbbá még az is, hogy a felhő szolgáltatókra alkalmazható-e a korlátozott közvetítő szolgáltatói felelősség, amely  az unión belül általában kiterjed az elektronikus kereskedelem szereplőire. Ami biztos, a tisztán tárhely szolgáltatás e-kereskedelmi szolgáltatásnak minősül, a közvetítő cloud-szolgáltató nem felel a tartalomért, így a kártérítési felelőssége is korlátozott. 

Egyes vélemények szerint Európában az idén még nem várható jelentősebb elmozdulás a felhőalapú számítástechnika piacán. Egy közelmúltbeli felmérés alapján a válaszadóknak csak az egyharmada jelezte, hogy az idén többet költene cloud computing megoldásokra, és még mindig 30 százalék azok aránya, akik egyáltalán nem tervezik az internetalapú szoftver- és szolgáltatás-hozzáférésbe invesztálást. A válaszadók közel fele jelenleg semmilyen cloudalkalmazást nem használ, egyharmaduk nyilatkozott úgy, hogy náluk ezen funkcióik 1–25 százaléka működik felhőalapon. Legtöbben a pénzügyi-számviteli funkciókat szeretnék cloudalapokra helyezni.

Felhős kiskáté

Felhő (cloud) – az internet szinonimája. Az elnevezés onnan ered, hogy már a 60-as évektől kezdve a számítógépes rendszereket illusztráló rajzokon az internetet felhő alakú ábrával jelölték.

Számítási felhő (cloud computing) – az a számítástechnikai környezet, amely lehetővé teszi bármely termék/szolgáltatás/megoldás interneten keresztüli igénybevételét.
Fajtái:
        szoftveralapú (Software as a Service – SaaS)
        infrastrukturális (Infrastructure as a Service – IaaS)
        platformalapú (Platform as a Service – PaaS)

Felhőszolgáltatások (cloud services) – szolgáltatások, termékek az interneten keresztül. Az ügyfelek nem rendelkeznek a szolgáltatások fizikai infrastruktúrájával, ezeket a felhőszolgáltatótól bérlik. Adataikat nem a saját gépükön tárolják, hanem internetes szervereken. Szolgáltatásalapon vagy havidíjas rendszerben fizetnek.

forrás: Gartner

2008 46,41

2009 56,30

2013* 150,1

*előrejelzés

-->