Adatvédelem a felhőben (2. rész): Európa nem kerülhet versenyhátrányba

Dr. Homoki Péter, az Európai Bizottság "Cloud Computing Contracts" szakértői csoportjának tagja kétrészes írásának most olvasható második részében (az első rész itt érhető el) kiemelte: kijelenthető, hogy messze van még a felhőszolgáltatási Kánaán. Egyrészről az ISO 27018-ra nem lehet tanúsítást kérni (ahogyan például az ISO 27002-re sem), mert ez nem ilyen típusú szabvány.

Tanúsításra e körben csak az ISO 27001 alkalmas, az meg azonban túl általános ahhoz, hogy önmagában az ilyen irányítási rendszer léte megnyugvást jelentsen az érzékenyebb adatok kezelőinek.

Ahhoz, hogy valaki meggyőződjön az ISO 27018-ban foglalt követelmények teljesítéséről, nem elég egy plecsni, ehhez hozzáférést kell kérnie a vizsgálati jelentések bizonyos részeihez, megállapításaihoz, azt pedig értelmezni kell – figyelmeztetett a CMS Cameron McKenna LLP Ügyvédi Iroda szakértője.

Felmerülő problémák

Leszögezhetjük azonban, hogy az adatvédelmi követelményeknek az ISO 27018-as szabvány szerinti, egységes megfogalmazása külön tanúsítás nélkül is nagy előrelépés. (Vannak már egyébként alternatív tanúsítási lehetőségek a felhőszolgáltatások körében, mint például a Cloud Security Alliance STAR tanúsítása, amit például a BSI is elvégez, de ez a követelményrendszer nem kifejezetten adatvédelmi szempontú.)

Másrészről az, hogy az adatvédelmi tárgyú szabvány egységes, nem jelenti azt, hogy a nemzeti adatvédelmi szabályozások is egységesek volnának. A tárgybeli szabványok is kimondják, hogy a követelmények egységes szabványbeli megfogalmazásától függetlenül még ugyanúgy teljesíteni kell a nemzeti követelményeket is.

Így attól, hogy az auditor kijelenti, hogy a szabványnak megfelel az adatvédelmi gyakorlat, nem jelenti, hogy az adatkezelőre vonatkozó nemzeti követelményeknek is meg fog felelni. Hiába fog sokasodni rövid időn belül az adatvédelmi tárgyú szabványok köre (lásd az elfogadás alatt álló SO/IEC WD 29134 vagy ISO/IEC PRF 2919-t), a nemzeti követelményeknek való megfelelés tanúsításához ez nem elég.

Sőt, az adatvédelmi reformcsomag részét képező uniós adatvédelmi rendelet sem lesz elegendő ehhez, pedig elfogadása esetén az előírásai minden uniós tagállamban közvetlenül hatályosulnak – hangsúlyozta dr. Homoki Péter.

Hosszú évek munkájára lesz szükség

A valódi egységes uniós adatvédelmi gyakorlathoz hosszú évek munkájára, több évi hatósági és bírósági jogalkalmazási gyakorlatra is szükség lesz. Tegyük hozzá, hogy a technológia valószínűleg még évenként változni fog, ezért a gyakorlatnak is folyamatosan vele együtt kell csiszolódnia.

Azonban ezt a munkát nem lehet megtakarítani: a nyilvános felhőszolgáltatások csak akkor életképesek, ha az európai piac adatvédelmi szempontból is egységessé tud válni. Ha a nyilvános felhőszolgáltatások terén Európa versenyhátrányba kerül a többi nagy piachoz képest, annak nem csak a multinacionális felhőszolgáltatók látják kárát, hanem azok a felhasználók is, akik drágábban vagy szűkebb szolgáltatási körhöz jutnak csak hozzá.

Ugyanakkor az sem kérdéses, hogy az Európában nyújtott felhőszolgáltatásoknak be kell tartaniuk az itteni adatvédelmi szabályokat – mutatott rá végezetül a CMS Cameron McKenna LLP Ügyvédi Iroda szakértője.