Sötét fellegek – A Facebook-felhő jogi háttere

Mi történik a felhasználói fiókommal és személyes adataimmal egy felhőszolgáltatáshoz való csatlakozás után? Hogyan véd meg a jog egy kontinenseket átszelő adathalmazban? Hol szerződtem minderre a Facebook-kal és mi történik a képeimmel? – Cikkünkben ezekre a kérdésekre keressük a választ.

14603478711_78a3ec2624_k

Mit nevezünk felhőnek?

A felhő alapú számítástechnikai eszközökön alapuló üzletág, éves szinten 80 milliárd dolláros piaci részesedéssel, évi 36%-s növekedéssel jelenleg az egyik legdinamikusabban fejlődő IT szektor. A köré létrehozott szolgáltatások emberek milliárdjait kötik össze, tárolják életeik teljes történetét, ismerik a múltjukat és jövőjüket is. Maga a technológia, röviden összefoglalva hálózaton (főszabály szerint interneten) keresztül számítástechnikai erőforrás biztosítása, a felhasználó által használni kívánt erőforrás „nagyságának”, típusának függvényében. Cikkemben a technológia három alaptípusából a jog védelmére leginkább szoruló, átlagfelhasználók milliárdjai által használt „Software as a Service (’SaaS’)” – azaz a felhőt egy szoftveren keresztül tipikus végfelhasználói feladatokra alkalmazó (pl.: Google Docs, Microsoft Office 365) – szolgáltatások jogi szabályozására fókuszálok. A felhő szolgáltatások azonban jóval túlmutatnak a leginkább multinacionális környezetben használt, azonban a privát szférában is elterjedni látszó tárhely „bérlésen” alapuló rendszereken, mint a Dropbox, vagy a Microsoft OneDrive. Ezeken, a köznapi értelemben, „felhőben tárolt” adatokon kívül gondolnunk kell a közösségi oldalak által termelt felfoghatatlan mennyiségű tartalomra, azon adatokra melyet például az Instagram 400 milliós, vagy a Facebook 1500 milliós felhasználó tábora nap mint nap generál, megoszt és tárol.

Elfogadom a felhasználási feltételeket

Bár a felhasználók jelentős része számára egy közösségi oldalra való csatlakozás, de akár egy PayPal fiók nyitása esetén sem magától értetődő, a felhő végfelhasználói felületére (pl.: honlap vagy mobiltelefonos applikáció) való regisztrációval egy szerződést kötnek, egy olyan szerződést, mely tartalmáról legjobb esetben is csak minimális szinten vannak tájékoztatva. Kétségtelen, a tájékozódási lehetőség adott, ugyanakkor jogos lehet a kérdés, mennyire várható el, hogy például a Facebook 15,000 szavas felhasználási feltételeit és adatvédelmi policyját az egyedi felhasználók órákon keresztül tanulmányozzák és utána döntsenek arról, vállalják-e adott esetben akár az általuk feltöltött és birtokolni vélt képek tulajdonjogáról való lemondást is. Itt fontos megemlíteni, a hagyományos értelemben vett, manuális telepítésű szoftverek esetében a telepítés előtt hagyományos, elfogadást igénylő „EULA” (end-user license agreement) száraz, jogi szövegezése helyett ugyanakkor a „Net 2.0” stílusához illeszkedően az új szolgáltatások elfogadó nyilatkozata könnyedebben értelmezhető, közvetlenebb hangnemben áll a felhasználó rendelkezésére. A tájékoztatás formai vagy tartami követelményeiről nem találunk taxatív felsorolásokat, az a szolgáltatók egyéni döntésére van bízva, néhány külföldi példa azonban segíthet megtalálni a bíróságok által helyesnek vélt utat. Az Egyesült Államok bírósági gyakorlata (lásd: Specht v. Netscape Inc.; 2002 és Nguyen v. Barnes & Noble Inc.;2014.) alapján kijelenthető, nem minden esetben elegendő az, ha a szolgáltatók a felhasználóval való szerződés megkötését csupán a felhasználási vagy adatkezelési feltételek saját felületükön történő elérhetővé tételére („browsewrap”) alapozzák. A gyakorlatban ésszerűtlen elvárás, hogy a felhasználók a szolgáltatás megkezdése előtt az akár logikus felépítést is mellőző honlap-menürendszereken keresztül „Terms and Conditions” vagy „Privacy Policy” megnevezésű alpontokat kutassanak. Ugyanakkor, amennyiben a szolgáltatók külön felhívják a felhasználók figyelmét a felhasználási feltételek hollétére, a bírósági gyakorlat az adott honlap, illetve szolgáltatás jellegére vonatkozóan engedékenyebbnek mutatkozik (ld.: Register.com Inc v. Verio Inc.; 2004). A „browsewrap” módszerével szemben a szolgáltatók számára biztonságosabb kötelem keletkeztető mód a szolgáltatás megkezdése előtt a felhasználási feltételekre mutató forrás mellé egy elfogadásra utaló, felhasználói interakciót igénylő eljárás bevezetése, ami jellemzően az elfogadom – elutasítom gombpáron, vagy csupán egy négyzetre való klikkelésen alapul („clickwrap”).

Előbb tanuljuk meg a felhő használatát, mint a papírmappákét...
Előbb tanuljuk meg a felhő használatát, mint a papírmappákét…

A Feldman v. Google Inc.(2007) per alapján azonban fontos megjegyezni, nem maga a gomb megnyomásán alapul a kötelem, a kattintás kizárólag eszköz, hogy a felhasználó visszajelzést küldhessen a szolgáltató felé, hogy a szolgáltató a megfelelő tájékoztatási kötelezettségét teljesítette, és könnyen, ésszerű helyen elérhetővé tette a használati feltételeket, illetve adatvédelmi szabályzatot. A jog nem teszi kötelezővé a szerződés gyakorlati értelemben vett elolvasását és értelmezését a felhasználó számára, a szolgáltató által biztosított figyelemfelhívásra és a könnyű elérésre helyeződik a hangsúly. A clickwrap funkcióját tekintve bővíthető, ha az elfogadásra utaló hely a dokumentum alján található, mely a szövegen való „átgörgetés” után érhető el, így biztosítva a szolgáltatói álláspontot, miszerint ezzel a felhasználó felé a feltételek prezentálása megtörtént, a szolgáltatás igénybevétele esetén az igénybe vevő vállalja a dokumentum tartalmának ignorálásával járó esetleges következményeket. Bár a felhasználási feltételek a felhőszolgáltatók esetében szinte kivétel nélkül online és publikusan elérhetőek, a hagyományos értelemben vett szoftverlincenszek esetén ez korán sincs így. A magyar bírói gyakorlatra az általános szerződési feltételekből adódó problémákhoz óvatos közeledés jellemző. A jogszabályi háttér, rugalmatlan mivolta okán képtelen követni a vele szemben rendkívül rugalmas online világ változásait, amely az általános szerződések törvényi szabályozásán is jól látszik. A 17/1999. (II.5.) Kormányrendelet, a távollévők között kötött szerződésekről, illetve a 2013. évi V. törvény (továbbiakban Ptk.) 6:77.§-6:81.§ illetve az elektronikus úton történő szerződéskötés különös szabályairól szóló fejezet, azaz Ptk.6:82.§-6:85.§ bekezdésein kívül más, a kifejezetten témához illeszkedő specifikus joganyag nem áll rendelkezésre.

Biztosan megosztja?

A felhőhöz való csatlakozás után a felhasználó megkezdi azt a tevékenységet, mely az összes hasonló szolgáltatás alapja, megoszt. A felhőben hozza létre és tárolja privát dokumentumait, családi fényképeit, naptárbejegyzéseit és levelezését, itt dolgozik és innen nézi sorozatait illetve hallgat zenét. De az egyszeri felhasználó tisztában van azzal, valójában kié a felhőben tárolt privát képei? A kérdés megválaszolásához ki kell térnünk a személyes adat fogalmára. A jelenleg hatályos, 1995. évi Európai Parlament és a Tanács 95/46/EK irányelve alapján, bármilyen információ, amely valamely azonosított vagy nem azonosított természetes személyhez kapcsolható. Itt fontos megemlíteni, az Európai Bizottság tervei szerint 2015 végére egyesíti az Európai Unión belüli adatvédelmi szabályokat egyetlen jogforrásba, mely „General Data Protect Regulation” címet viselve, a korábbi, 1995-s irányelvvel szemben kitér olyan technológiai változásokra, mint a közösségi oldalak és a felhő alapú szolgáltatások megjelenése. A felhasználó személyes adatainak védelmére információtechnológiai értelemben véve nincs a jog által felállított szabályrendszer, az adatok megóvása azonban a jelentős piaci verseny miatt a szolgáltatók elsőszámú érdeke. A felhőben tárolt privát tartalom védelmének leghatékonyabb módja, ha a szolgáltatók megfosztják azt privát jellegétől, és különböző titkosítási vagy pszeudonimizálási eljárásokkal elérik, hogy a felhasználói adat (ideális esetben) senki más, jellemzően még a szolgáltató számára se lehessen megtekinthető dekriptált formában. Így az az információ, ami önmagában valaki „kezében” nem tekinthető személyes adatnak (mivel kriptált), a jogos tulajdonos beazonosítása után már azzá válik, számára az értelmezhetetlen adattömeg helyett a saját dokumentumai, családi képei válnak elérhetővé. Bár a szolgáltatók általában nem említik, az úgynevezett „hátsó ajtók”, melyek hozzáférést biztosítanak harmadik fél (pl.: bűnüldöző szervek) számára a felhasználók privát adatához, legtöbb esetben be vannak építve a rendszerbe, erre a közelmúltban az Eduard Snowden-ügy kapcsán számtalan példát láthattunk.

5474851038_b1437e9853_o

Az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv 29. cikk alapján létrehozott adatvédelmi munkacsoport 4/2007 véleménye a személyes adat fogalmáról (továbbiakban 4/2007 vélemény) azon felül, hogy foglakozik az azonosítás és az adatkorlátozás különböző eseteivel, és törekszik iránymutatást adni, kiegészíti az 1995-s irányelv rendkívül leáltalánosított személyes adat meghatározását is. A 4/2007 vélemény alapján a „személyes adat” megnevezésbe beleértjük az egyén „szoros értelemben vett” magán- és családi életét érintő információkat is, de az olyan információt is, amely az egyén által végzett bármiféle, például a munkakörülményeivel vagy gazdasági, illetve társas viselkedésével kapcsolatos tevékenységekre vonatkozik. Ide tartoznak tehát az egyénekre vonatkozó információk, tekintet nélkül e személyek helyzetére vagy képességeire (mint fogyasztó, beteg, alkalmazott, ügyfél stb.). A szakaszra vonatkozó hatályos magyar joganyagból a 2011. évi CXII. törvény az információs önrendelkezési jogról és információszabadságról szóló törvény rendelkezései az irányadóak.

Tulajdonjog védelme a felhőben

A felhőalapú számítástechnikai rendszerek esetében a tulajdonos meghatározásakor meg kell vizsgálnunk az adat létrehozásának körülményeit, pontosabban, hogy az adatot a felhőn kívül, vagy a felhőben hozták létre. A már említett, az átlagfelhasználó által leginkább használt „SaaS” rendszerek esetén a személyes adat generálására legtöbbször – bár nem kizárólag – a felhőn kívül kerül sor (pl.: egy offline írt dolgozat feltöltése a felhőbe), így én is erre összpontosítok. A legtöbb esetben az adat a felhőben nem valamilyen fizikai, megfogható dologként, pusztán digitális formában van tárolva, így hagyományos értelemben vett személyes tulajdonról kevésbé beszélhetünk, ehelyett a tulajdonjog eredetét a jog négy különböző területén keresztül vizsgálhatjuk meg. A tárolt adat, mint digitális formában megvalósuló munka eredménye szellemi tulajdon, amely ezáltal kétség kívül élvezi a szerzői jog védelmét, azonban az, hogy mit ismer a jog ekként, jogrendszerenként más lehet. Az angolszász jogrendszerben azok a „művek” tartoznak ide, melyek előállítása valamilyen szintű erőfeszítést, ügyességet, vagy döntéshozatalt igényelt. Önmagában kreativitás nem szükséges, azonban a jog nem védi azokat a munkákat, melyek létrehozása minimális erőfeszítést igényel (ld.: GA Cramp & Sons Ltd ν. Frank Smythson Ltd; 1944), vagy amennyiben a létrehozott végeredmény elenyésző ahhoz, hogy önálló műként azonosítsuk (ld.: Exxon Corporation ν. Exxon Insurance Consultants International Ltd; 1982). A kontinentális jogrendszerekben azonban a létrehozás folyamatában minimális kreativitás elvárt, amely például a német jogban a létrehozás során egy szükséges kreatív mozzanat (Gestaltungshohe) feltételével is megjelenik. Másodikként, amennyiben a felhasználó adata valamilyen adatbázisban van tárolva (mint a felhőalapú rendszereknél mindig), úgy sui generis jogvédelem illeti meg az Európai Unió tagállamaiban az adatbázisok védelméről szóló Európai Parlament és Tanács 96/9/EK irányelve alapján, amennyiben az adatbázist működtető szolgáltató a benne foglalt feltételeket teljesíti. Megemlíthető továbbá, mint harmadik terület az üzleti titok, illetve know-how védelme, melynek a tárgyalt témában releváns nemzetközi minimuma a Szellemi Tulajdonjogok Kereskedelmi Vonatkozásairól szóló Egyezményben (TRIPS) lett megállapítva. A felhőben tárolt legtöbb személyes adat, -ha vonatkozik rá a szerzői jog, ha nem- természeténél fogva bizalmasan információként kezelendő, így amennyiben a szolgáltatók vállalták a felhasználók ezen adatának védelmére vonatkozó felelősséget, egy felmerülő tényleges, vagy várható jogosulatlan hozzáférés esetén jogorvoslattal élhetnek. Itt vissza is utalnék a korábban már említett felhasználási feltételek tanulmányozásának fontosságára. Végezetül, kiemelt jelentőséggel bír a felhőn kívül létrehozott adat tulajdonosi háttérnek megállapításánál a felek közötti jogállás kötelmi jogi vetülete, azaz milyen szerződés van a felhőszolgáltatásban szereplő felek között, mik a felhasználási feltételek, és adatvédelmi irányelvek (ld. továbbá: Trumpet Software Pty Ltd. v. OzEmailPty Ltd).

Összegzés

Napjainkra kétségtelenné vált, hogy a felhő alapú informatikai megoldások egy következő lépcsőnek tekinthetők a technológiai fejlődés útján, olyannak mely létezése az ember számára már a közeljövőben alapszükségletté fog válni. Fontos, hogy a szolgáltatások mögött álló olyan óriásvállalatokat, mint a Google, a Tesla Motors, vagy a Facebook a felhasználói adatkezelés terén ne legfőképpen a piaci elvárások, hanem a jog által felállított normarendszer befolyásolja. Bár a felhő alapú adatbázisok jogi védelme nehéz és összetett feladat, megfelelő szabályozással ugyanúgy biztosítható a technológia fejlődésének külső korlátozástól mentes mivolta, mint a szolgáltatások felhasználói számára a személyes adataikhoz fűződő védelmük joga.

Érdekel a "Facebook-állam" születése? Gyere el Lawtech Meetup-unkra!

Mára egyértelmű, hogy a közösségi média alapvetően változtatta meg szokásainkat. Vajon megvalósulhat megannyi cyberpunk disztópia rémképe, a technológiai nagyvállalkozások által uralt világ? Július 30-án, 19:00 órától a HubHub-ban dr. Dornfeld László erre a kérdésre is választ fog adni. Csatlakozz Te is!

Jegyzetek

1. Christopher Millard: Cloud Computing Law (Oxford University Press, 2013) 2. Roundup Of Cloud Computing Forecasts And Market Estimates Q3 Update, 2015 – http://www.forbes.com/sites/louiscolumbus/2015/09/27/roundup-of-cloud-computing-forecasts-and-market-estimates-q3-update-2015/ (letöltés: 2015.10.28.) 3. Specht v. Nescape – http://cyber.law.harvard.edu/stjohns/Specht_v_Netscape.pdf (letöltés: 2015.10.27.) 4. Social Cloud. Cloud Computing in Social Networks – http://www.im.uni-karlsruhe.de/Upload/Publications/aface0bb-d437-49dc-bf6d-a943034c9870.pdf (letöltés: 2015.10.27) 5. The Clicks That Bind: Ways Users “Agree” to Online Terms of Service – http://www.eff.org/wp/clicks-bind-ways-users-agree-online-terms-service (letöltés: 2015.10.28) 6. dr. Dósa Imre: Adatbázisok (szerzõi) jogi védelme – http://www.niif.hu/rendezvenyek/networkshop/97/tartalom/NWS/3/13/index.htm (letöltés: 2015.10.28) 7. Joanna Kulesza: International Internet Law (Routledge, 2012)

A képek forrása itt és itt.

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.