Mi történik, ha külföldi szerveren vannak az ügyféladataid?
Használsz Google Drive-ot, Dropboxot vagy OneDrive-ot a cégedben? Ha igen, van egy rossz hírünk: az ügyféladatok jelentős része valószínűleg amerikai szervereken van, és ez GDPR szempontból komoly kockázatot jelent. A NAIH már büntet érte, és egyre több ügyfél kéri számon, hol tárolod az adatait. Nézzük meg, mi a helyzet valójában, és hogyan maradhatsz biztonságban anélkül, hogy a felhőt kellene nélkülöznöd.
Egy hétfő reggel, ami mindent megváltoztat
Éva egy 30 fős marketingügynökséget vezet. Egy hétfő reggelen email érkezik egy régi ügyfelüktől: „Kérjük, igazolják, hogy a mi személyes adatainkat az EU-n belül tárolják, és adják meg a kezelés jogalapját.” Aztán jön egy másik ügyfél, aki szerződést bont, mert megtudta, hogy a kampányanyagok amerikai szervereken landoltak.
Éva azt hitte, a „felhő” valami éteri dolog, ami „ott van a neten”. Nem tudta, hogy a Google Drive alapértelmezésben USA-beli adatközpontokba menti a fájlokat – és hogy 2020 óta (a Schrems II ítélet óta) ez jogilag problémás.
A Schrems II ítélet – amit minden vállalkozásnak tudnia kellene
2020-ban az Európai Bíróság érvénytelenítette a Privacy Shield megállapodást – azt a jogi keretet, ami eddig „legálissá" tette az EU-s adatok USA-ba való továbbítását. Az ítélet alapja egy egyszerű kérdés volt: ha az amerikai törvények (CLOUD Act) kötelezhetik a Google-t arra, hogy kiadja az adatokat az FBI-nak – akkor hol van az európai állampolgár védelme? A válasz: sehol, ha nincs megfelelő jogi garancia.
Mit jelent ez a gyakorlatban? Ha céges Google Drive-ot, Dropboxot vagy OneDrive-ot használsz ügyféladatok tárolására, és nincs megfelelő adatfeldolgozói szerződésed (DPA) és Standard Contractual Clauses-od (SCC), akkor az adattovábbítás jogilag nem védett.
A legtöbb magyar KKV nem tudja, hogy ezek egyáltalán léteznek – nemhogy rendelkezik-e velük.
Miért probléma a külföldi szerver?
A GDPR (General Data Protection Regulation) szabályozza, hogy az uniós állampolgárok személyes adataihoz hogyan férhetnek hozzá harmadik országok (például az USA). A lényeg:
- Adattárolás helye: Az adatoknak alapvetően az EU-n belül kell maradniuk.
- Átadás harmadik országnak: Ha mégis ki kell vinni (például mert a szerver ott van), speciális garanciák kellenek (Standard Contractual Clauses – SCC-k).
- A valóság: Az amerikai felhőszolgáltatókra (Google, Microsoft, Dropbox, AWS) az amerikai törvények (CLOUD Act) is vonatkoznak, amelyek megkövetelhetik az adatok átadását az amerikai hatóságoknak – a GDPR által megkövetelt védelem nélkül.
Egyszerűen fogalmazva: Ha magyar ügyfél adatai amerikai szerveren vannak, és az FBI (vagy akár csak egy bírósági végzés) kéri az adatokat, a szolgáltató köteles kiadni. Te pedig megsérted a GDPR-t, mert nem tudod garantálni az adatok védelmét.
A NAIH bírságol – de nem ez a legnagyobb kockázat
A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) egyre aktívabb: az elmúlt években 27-60 milliós bírságok születtek adatvédelmi kötelezettségek megszegéséért. A külföldi adattovábbítás az egyik leggyakrabban kifogásolt terület.
De a bírságnál nagyobb üzleti kockázat az ügyfélbizalom elvesztése.
Egy nagyvállalati ügyfél ma már rutinszerűen kéri az adatkezelési tájékoztatót a szerződéskötés előtt. Ha nem tudod megmutatni, hol vannak az adatok és milyen garanciával – elveszíted az üzletet. Nem bírság miatt. Hanem mert a konkurensed, aki EU-szerveren tárol, egyszerűbb partnere lesz.
Melyek a kockázatos szolgáltatások?
Nem az a gond, ha használod ezeket, hanem ha tárolod rajtuk a személyes adatokat biztonsági intézkedések nélkül.
| Szolgáltatás | Alapértelmezett szerverhely | Kockázati szint |
|---|---|---|
| Google Drive/Docs | USA (vagy véletlenszerű) | Magas (ha nincs EU régió beállítva) |
| Dropbox | USA | Magas |
| Microsoft OneDrive | USA (alapbeállítás) | Közepes (van EU opció, de nem alapértelmezett) |
| iCloud | USA | Magas |
| Magyar/EU szerverű Nextcloud | Magyarország/EU | Alacsony |
Fontos: Az ingyenes verziók szinte kivétel nélkül amerikai szerverekre mentenek.
Hogyan maradhatsz GDPR-kompatibilis a felhőben?
Nem kell lemondanod a felhő kényelméről. De néhány dolgot meg kell tenned.
1. Ellenőrizd az adatfeldolgozói szerződéseket
Ha Google Workspace-t vagy Microsoft 365-öt használsz, köss velük DPA-t (Data Processing Agreement) és győződj meg az SCC-k meglétéről.
2. EU szerverek beállítása
Ha Google Workspace-t vagy Microsoft 365-öt használsz, beállíthatod, hogy az adatok EU-ban maradjanak (data residency). De:
- Ez általában fizetős csomagokban érhető el
- Nem alapértelmezett, neked kell bekapcsolni
- Rendszeresen ellenőrizni kell, hogy valóban ott vannak-e az adatok
3. Válassz EU-szerverű alternatívát
Ha nem akarsz konfigurálni és ellenőrizni, válassz olyan szolgáltatót, akinél az adatok eleve EU-s szerveren vannak. A megfelelőség így nem feladat, hanem adottság.
4. Dokumentálj
Legyen mindig kéznél a válasz, milyen adataid vannak, hol tárolódnak, és mi a jogalapjuk. Egy hatósági vizsgálat és egy nagyvállalati ügyfél ugyanezt fogja kérdezni.
Mit tegyél, ha most derül ki, hogy „baj van”?
Ne ess pánikba – de ne is halaszd tovább.
Először is nézz körül a saját rendszereidben. Milyen ügyféladatok vannak nálad, és hol tárolódnak? Ha kiderül, hogy valami nem megfelelő helyen van, hozd át EU-s szerverre, és frissítsd az adatkezelési tájékoztatódat is. Az érintetteket csak akkor kell értesíteni, ha valódi szivárgás történt – puszta tárolás esetén ez nem kötelező.
A jó hír: ha időben foglalkozol vele, a helyzet rendezhető.
Összefoglalva
A felhő nem valami elvont dolog a levegőben – konkrét szervereken van, konkrét országokban, konkrét joghatóságok alatt. Ha magyar ügyfeleid vannak, az adataiknak is magyar vagy EU szerveren van a helyük. Ez nem csak törvényi kötelezettség, hanem üzleti előny is: az ügyfelek bizalma.
Ha most ingyenes amerikai felhőszolgáltatást használsz üzleti célra, érdemes átgondolni a helyzetet. A kollaboráció és a mobilitás megmaradhat – csak biztonságos, GDPR-kompatibilis környezetben.
Nem tudod, hol vannak az adataid, vagy nem vagy biztos benne, hogy minden rendben van? Írj nekünk – megnézzük együtt a helyzetet, és megmutatjuk, mit lehet tenni.