A felhőszolgáltatások a jogi felelősség tükrében
Az adatszivárgások, biztonsági fiaskók manapság sajnos nem ritkák a különböző online szolgáltatások háza táján - érdemes tehát tisztában lenni vele, milyen esetekben kit terhel a felelősség, hol kopogtathat a felhasználó.
Az elmúlt hetekben a Canon, illetve korábban az Adobe kapcsán is megdöbbentő tények kerültek napvilágra a felhasználók adatai elvesztésének ügyében. Az egymástól független történetekben az a közös pont, hogy mindkét esetben nagy mennyiségű adatvesztés történt, valamint, hogy az említett szolgáltatók a felhőben tárolták az eltűnt adatokat. A témában született cikkek eddig csupán a szóban forgó adatok sorsával és a lehetséges megelőzési technikákkal, mint biztonsági mentés foglalkoznak, arról azonban kevés szó esik, hogy vajon ezekben az esetekben a felhőszolgáltatónak van-e felelőssége a szolgáltatóval szemben, illetve a szolgáltatónak a felhasználóval szemben? Cikkünkben a felelősség kérdését igyekeztünk körbejárni.
ADATVÉDELMI JOGSÉRTÉS VAGY HIBÁS TELJESÍTÉS?
A felhőszolgáltatások mögötti szerződési struktúra egy gyakran több szereplős, vállalkozók és alvállalkozók láncolatából álló hálózat, amelyben nehéz az egyes szereplők felelősségét megállapítani és jogilag értelmezni. Mégis, ha ebben a bonyolult halmazban arra a kérdésre keressük a választ, hogy a végfelhasználó – jellemzően a fogyasztó – felé ki felel a szolgáltatás hibájából eredő kárért, végső soron azt a választ kapjuk, hogy az a szolgáltató, akinek a termékét vagy szolgáltatását az adott felhasználó igénybe veszi. Az átláthatóság érdekében célszerű különbséget tenni az adatvédelmi jellegű jogsértésekből eredő, valamint a hibás – nem szerződésszerű – teljesítésből fakadó károkért fennálló felelősség között.
Adatvédelmi szempontból az adatkezelő, – tehát aki az adatalanyok felé felelősséggel tartozik – az a szolgáltató, akinek a termékét vagy szolgáltatását az adatalanyok igénybe veszik. A téma megértése érdekében jelentős megemlíteni, hogy a felhőszolgáltató a felhőalapú szolgáltatás biztosítása esetében adatfeldolgozónak minősül. Nagyon fontos kiemelni, hogy olyan felhőszolgáltatót célszerű választani, aki már az üzleti kapcsolat létesítésekor garantálja az adatvédelmi szabályoknak való megfelelést, így különösen a szükséges és jogszerű technikai és szervezési intézkedések meglétét, valamint az érintetti jogok érvényesítésében való aktív közreműködést.
A felhőszolgáltatók azonban nem minden esetben rejtőzhetnek az adatfeldolgozói státusz nyújtotta előnyök mögé. Abban az esetben ugyanis, amikor az adatkezelő által meghatározott adatkezelési céltól eltérően vagy oly módon kezel adatot, hogy azzal az adatkezelővel létrejött szerződést megszegi, a felhőszolgáltató is adatkezelőnek fog minősülni, és az adatkezelőre vonatkozó szabályok szerint köteles helytállni az érintetteknek, azaz a felhasználóknak okozott károkért.
A digitális szolgáltatások esetében a hibás teljesítéséért elsősorban a szolgáltató tartozik felelősséggel a felhasználókkal szemben. Hibás teljesítésnek minősülhet egy frissítés elmaradása is, amennyiben a szerződésben a felek megállapodtak arról, hogy a rendszeres frissítés is a szolgáltatás tárgyát képezi, vagy akár a frissítés következtében a szolgáltatás használhatatlanná válása. A Canon esetét nézve egyértelműen megállapítható a hibás teljesítés, ugyanis az állítólagos szoftverfrissítés következtében nemhogy a szolgáltatás minősége nem javult, de a felhasználók a szolgáltatást egyáltalán nem tudták igénybe venni, így az nem volt alkalmas a szerződésszerű használatra.
A JAVÍTÁS KÖLTSÉGEIT NEM LEHET A FELHASZNÁLÓKON BEHAJTANI
Az Európai Unió viszonylag új, 2019-es irányelve szerint, hibás teljesítés esetén a felhasználók a következő jogorvoslati lehetőségekkel élhetnek: a digitális tartalom vagy szolgáltatás szerződésszerűvé tételének a követelése, az ár arányos csökkentése vagy a szerződés megszüntetése. Fontos kiemelni, hogy a szolgáltatóra nézve legkedvezőbb jogorvoslati lehetőséget ingyenesen kell biztosítani a felhasználó részére, tehát a ’hiba kijavítása’ nem járhat többletköltséggel. Amennyiben a digitális tartalom vagy szolgáltatás szerződésszerűvé tételére nincsen lehetőség észszerű időn belül – lehetetlen vagy a szolgáltató megtagadja, illetve aránytalan költséget okozna – a felhasználó számára biztosítani kell az árcsökkentés vagy a szerződés megszüntetésének lehetőségét.
A témában eddig megjelent források szerint a Canon és az Adobe egyelőre nem adtak ki információt azzal kapcsolatban, hogy kártalanítják-e azokat, akiknek a hiba miatt munkája vagy szellemi terméke elvesztett, éppen ezért érdemes megvizsgálni annak hátterét, hogy milyen kártérítési igénnyel léphetnek fel a felhasználók ilyen esetben, ha egyáltalán van erre lehetőségük. Amennyiben a szolgáltatást használók elfogadták a cégek Általános Szerződési Feltételeit (továbbiakban: ÁSZF), úgy abban az esetben az így létrejött szerződés lesz köztük meghatározó. Mind a Canon, mind az Adobe használati feltételei között megjelenik a felelősség kizárása többek között olyan esetekben, melyek véletlen adatvesztés miatt kárt okoznak, és tekintve, hogy az ÁSZF elfogadása a felek közötti megállapodásként értelmezhető, így a kártérítési felelősség tekintetében ez lesz az irányadó.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A felelősség kérdésében tehát megállapítható, hogy a felhasználók felé elsősorban a szolgáltatók kötelesek helytállni és az okozott kárt kompenzálni. Kivételes esetben merülhet fel, hogy a felhőszolgáltatónak mint mögöttes szereplőnek közvetlen helytállási kötelezettsége van. A szolgáltatók szempontjából ezért kiemelten fontos, hogy a szolgáltatásaikban közreműködő alvállalkozók – tárhelyet biztosító felhőszolgáltatók – esetében megfelelő garanciákat beépítő szerződésekkel rendelkezzenek.
Ugyanakkor a hibás teljesítés kapcsán a felhőszolgáltató maga is szolgáltatónak, illetve az irányelv szóhasználatával élve ’kereskedőnek’ minősülhet, amennyiben közvetlenül a fogyasztók számára értékesíti a szolgáltatását, így nem árt tisztában lenni azzal, hogy milyen jogosultságok illetik meg a fogyasztókat hibás teljesítés esetén. Az Európai Unió területén belül működő felhőszolgáltatók ugyanis a jövőben nem zárhatják ki az Általános Szerződési Feltételeikben a felelősségüket a felhasználó kárára, hiszen az irányelv rendelkezései közvetlenül alkalmazandók és a fogyasztók az irányelv rendelkezéseire alapítva felléphetnek az ezen előírásokat megszegő vagy megkerülő szolgáltatókkal. Cikkünk következő részében ezekkel a jogorvoslati lehetőségekkel foglalkozunk részletesebben.