“Európai adathatár”: a Microsoft terve a felhő megreformálására (EU Data Boundary)
Brad Smith, a Microsoft elnöke a múlt héten blogposztban tette közzé az “Európai Adathatár” néven meghírdetett tervet, miszerint a Microsoft a jövő év végéig a felhőalapú szolgáltatások tekintetében az uniós kereskedelmi és közszféra felhasználói részére biztosítja majd, hogy az adataik az Unió területén kerüljenek tárolásra.
A Smith által „EU Data Boundary” tervnek, azaz „Európai adathatár” tervnek nevezett folyamat az Azure, a Microsoft 365, és a Dynamics 365 elnevezésű felhőszolgáltatásokat érinti, az Uniós felhős adattárolás lehetőségével egyelőre a közlemény szerint csak a kereskedelmi és a közszféra felhasználói élhetnek majd. „Ha Ön kereskedelmi vagy a közszféra ügyfele az EU-ban, túllépjük a jelenlegi adattárolási kötelezettségvállalásainkat és lehetővé tesszük Önnek, hogy valamennyi adatát az EU-ban kezelje és tárolja. Más szóval a jövőben nem lesz szükség arra, hogy az adatait az Unió területén kívülre helyezzük át.” – áll a blogposztban.
A tavaly nyáron Schrems II néven elhíresült ítélet a Microsoftot is érintette, hiszen a Schrems által kifogásolt amerikai megfigyelési programok, azaz a FISA 702, illetve az EO 12333 hatályai kiterjednek az amerikai elektronikus hírközlési szolgáltatókra, így – többek között – az összes IT, illetve felhő szolgáltatóra is, tehát a Microsoftra is. A Schrems II ítéletről, illetve annak következményeiről korábbi cikkeinkben részletesen beszámoltunk.
Smith a mostani közleményében ismét kihangsúlyozta, hogy a Microsoft szolgáltatási eddig is teljes mértékben megfeleltek, sőt meghaladták az Uniós elvárásokat, kiemelve – többek között – a világszínvonalú titkosítási és „robust lockbox” megoldásaikat. Azt is többször hangsúlyozta az elnök, hogy a Microsoft elkötelezett a felhasználói adatok jogosulatlan hatósági hozzáférésektől való védelme iránt.
A Microsoft az első adatközpontját egyébként 2009-ben hozta létre az Unió területén, a mostani bejelentés szerint pedig összesen 13 országban lesznek adatközpontok és a norvég, illetve a svájci felhasználók számára is elérhető lesz az „Európai adathatár” program.
Az új tervet illetően „Gyakran ismételt kérdések” elnevezéssel külön útmutató is készült, melyben részletesebb információkat is ad a Microsoft a terv gyakorlati megvalósítását illetően.
Ebből kiderül, hogy például egyes Azure szolgáltatások felhasználói részére a Microsoft már most is lehetővé teszi az adatok felhasználó által meghatározott földrajzi területen történő tárolását, az új „Európai adathatár” tervvel azonban 2022 év végéig további lépéseket tesznek majd annak érdekében, hogy mind a felhasználói, mind a személyes adatok tekintetében a lehető legminimálisabbra csökkentsék az Unión kívülre történő adattovábbításokat. A terv végrehajtását illetően mind a felhasználókkal, mind pedig a hatóságokkal is kezdeményeznek majd egyeztetéseket.
Arról, hogy az új adathatár által a felhasználók megfelelnek-e majd a GDPR-ban és a Schrems II ítéletben foglalt követelményeknek, a Microsoft a GYIK-ben biztosítja a felhasználókat, bár álláspontjuk szerint eddig is teljes mértékben megfeleltek az Uniós követelményeknek, sőt a Schrems II után bevezetett intézkedéseik még meg is haladják az Európai Adatvédelmi Testület elvárásait. Arra a kérdésre, hogy a jövőben is alkalmazandóak lesznek-e az Európai Bizottság által elfogadott modellszerződések, a Microsoft csak annyit mond, hogy a jövőben megfelelően átveszik a Bizottság által felülvizsgált modellszerződések használatát és továbbra is egyedi garanciákat fognak biztosítani a felhasználók számára, amennyiben a személyes adatok a Microsoft szervezetén belül kerülnek továbbításra.
A Schrems II ítéletet illető legfontosabb kérdésben pedig, hogy hogyan fogja kezelni az „Európai adathatár” esetében az amerikai és egyéb hatóságoktól érkező megkereséseket, a Microsoft komoly ígéreteket tesz a felhasználók felé. Az ígérik, hogy
- nem adnak közvetlen és korlátlan hozzáférést a hatóságoknak a felhasználói adatokhoz,
- amennyiben felhasználói adatra vonatkozó adatszolgáltatásra irányuló megkeresés érkezik, az igénylőt közvetlenül a felhasználóhoz irányítják,
- amennyiben kötelesek a felhasználói adatok szolgáltatására, úgy haladéktalanul értesítik erről a felhasználókat és az adatigénylést másolatban is a felhasználók rendelkezésére bocsátják, kivéve, ha ez jogilag nem lehetséges,
- visszautasítanak minden hatósági megkeresést, ami Uniós kereskedelmi vagy közszféra felhasználói adatra vonatkozik, amennyiben az jogilag lehetséges,
- végül pénzbeli kártérítést ígérnek a felhasználóknak abban az esetben, ha az adatszolgáltatásra a GDPR előírásainak megszegésével kerül sor.
A tervet illetően Smith úgy fogalmazott, hogy az „Európai adathatár” program is része annak az elköteleződésnek, melyet a Microsoft „digitális kornak megfelelő Európa” létrehozásaként említ.
Felmerül azonban a kérdés, hogy az amerikai cégek által az Unióban történő adattárolás valóban megoldja-e a Schrems II ítéletben vizsgált problémát.
Álláspontunk szerint jogi szempontból nem, hiszen a FISA 702 és az amerikai Cloud Act korlátlan hozzáférést biztosít az amerikai hatóságok részére az amerikai elektronikus hírközlési szolgáltatók által kezelt adatokhoz, függetlenül attól, hogy azok az Egyesült Államokban vagy azon kívül kerülnek tárolásra. Azaz hiába történik az adattárolás az Unió területén, ameddig az adatkezelő az amerikai szolgáltató, az köteles lesz adatszolgáltatásra.
Azt egyébként a Microsoft sem titkolja, hogy utóbbi ígéreteik egy részét csak akkor teljesítik, amennyiben az jogilag lehetséges. A problémás jogszabályok szerint pedig pont nem lehetséges, hiszen az amerikai hatóságok részére korlátlan jogosultságot biztosítanak valamennyi, a hatálya alá tartozó amerikai cég által bárhol kezelt adathoz anélkül, hogy arról előzetesen egyeztetnétek akár a harmadik országbeli hatósággal, akár az érintettel, sőt a Cloud Act kifejezetten megtiltja azt, hogy a szolgáltató értesítsen az adatigénylésről.