Fontos megjegyezni, hogy a platformon tárolt adatok tulajdonosa az ügyfél marad, adatai felett a teljes ellenőrzést ő gyakorolja. Mára már általánosan elfogadott tény, hogy a felhőalapú szolgáltatások bizonyos mértékben magukban foglalják a személyes adatok feldolgozását.
A cloud computing szolgáltatási struktúrákban két szereplő működik: az adatkezelő és az adatfeldolgozó. Az adatkezelő a felhőfelhasználó, ő határozza meg az adatkezelés célját. A felhőszolgáltató adatfeldolgozónak tekinthető, aki a személyes adatokat a felhasználó érdekében dolgozza fel. Az adatkezelő teljes mértékben felelős marad a felhőszolgáltatóra bízott személyes adatok jogszerűségéért. A felhőszolgáltatók kötelesek a rájuk bízott személyes adatokat bizalmasan kezelni, és csak a felhasználó utasítására végezhetnek adatfeldolgozást.
Szerződési egyszeregy
Fontos, hogy készüljön adatfeldolgozási megállapodás a személyes adatok feldolgozásáról, ami a felhőben végzett adatfeldolgozás egyik pillére lesz. Ez lehet írásbeli vagy azzal egyenértékű, más formában megkötött megállapodás. Ezt a megállapodást még az előtt meg kell kötni, mielőtt bármiféle adatfeldolgozási műveletre sor kerülne.
Amit az ilyen megállapodásnak tartalmaznia kell, az a rendelkezés, hogy az adatfeldolgozó az adatkezelő utasításainak megfelelően köteles eljárni, valamint rendelkeznie kell azokról a technikai és szervezési intézkedésekkel kapcsolatos garanciákról, amelyeket az adatfeldolgozó köteles nyújtani a személyes adatoknak véletlen vagy jogellenes megsemmisítése, valamint a véletlenül bekövetkező adatvesztés, illetéktelen adattovábbítás vagy -hozzáférés, és a feldolgozás minden más, jogellenes módja elleni védelme érdekében.
Gyakran fordul elő, hogy az adatfeldolgozásba szerződő félként al-feldolgozóként számos személy kapcsolódik be az adatfeldolgozó oldalán. Ha a feldolgozó tájékoztatja az adatkezelőt, akkor megengedett az al-feldolgozói közreműködés, és garanciát vállal, hogy a bevont személyek aláírták a titoktartási szerződést.
Garanciák és biztosítékok
A felhőszolgáltató köteles
- óvintézkedéseket bevezetni a szolgáltatásmegszakadás kockázatának kezelésére, mint amilyenek például a redundáns tárolás és a hatékony biztonsági mentési mechanizmusok;
- garantálni az adatok hordozhatóságát;
- megfelelő kézben tartani a személyes adatokhoz való hozzáférés jogát;
- biztosítani a személyes adatok épségét megelőző rendszerek alkalmazásával;
- törölni az adatokat az adatok feldolgozási céljának a megszűnése, és különösen a szerződés megszűnése után.
Ezeknek be kell kerülniük a cloud computing-szerződésbe. Különösen javasolt arról szóló kifejezett rendelkezés szerepeltetése a megállapodásban, hogy az adatok tulajdonjoga nem száll át a felhőszolgáltatóra.
Általános szerződési biztosítékok: egy cloud computing-szerződésnek meg kell határoznia a felhőszolgáltató által megvalósítandó biztonsági intézkedéseket, valamint a felhő felhasználója által a szolgáltatónak adható utasítások terjedelmének és módozatainak részleteit, beleértve a szolgáltatási szinteket és a szolgáltatási szintek be nem tartása esetére rendelt szankciókat.
Az adatokhoz való hozzáféréshez kapcsolódó szerződési biztosítékok: kizárólag kifejezett jogosultsággal rendelkező és titkosításra kötelezett személyek részére adható hozzáférés a felhőben tárolt adatokhoz.
Mindamellett a felhőben érzékeny adatok tekintetében történő adatfeldolgozás szükségessé teheti a titkosítás egy további rétegét, amely teljesen kizárja a felhasználói adatokhoz nyílt formában történő hozzáférést addig, amíg azok a felhőbeli infrastruktúrában vannak.
