A modern vállalatok számára az adat vált a legértékesebb stratégiai erőforrássá. Dokumentumok, levelezés, ügyféladatbázisok, pénzügyi adatok, üzleti alkalmazások és még sok egyéb digitális tartalom alkotja azt az adatvagyont, amelynek elvesztése vagy sérülése súlyos üzleti, jogi és pénzügyi következményekkel járhat. Az adatvagyon védelem tehát kulcsfontosságú kérdéssé vált. A digitális átalakulás során az adatvagyon egyre nagyobb része kerül ki a helyi szerverekről a globális felhőszolgáltatók, például a Microsoft és az Amazon rendszereibe. Ebben a környezetben a felhőben tárolt adatok védelme már teljesen új kihívásokat és lehetőségeket jelent.
Miközben élvezzük a skálázhatóság, a globális elérhetőség és a gyors innováció előnyeit, új típusú függőség és kiszolgáltatottság is kialakul. De mit is jelent a gyakorlatban az, ha az adatainkat a Microsoft vagy az Amazon felhőjére bízzuk? Ebben a cikkben körbejárjuk, hogy valójában ki felel az adatokért, milyen eszközök állnak rendelkezésre az adatvagyon védelem érdekében, és milyen gondolkodás kell ahhoz, hogy egy tudatos, biztonságos felhőstratégiát alakíthassunk ki.
Jelen cikk a Bajcsay Ügyvédi Iroda cégjogi szakértőivel közösen íródott, így jogi szempontból is alaposan feltárásra kerültek a felhőszolgáltatásokkal kapcsolatos szabályozási és szerződéses kérdések. Részletesen átvilágításra kerültek általuk a felhasználói jogok és kötelezettségek, hogy egyfajta iránytűvel szolgáljunk a téma megértésében.
Miért stratégiai kérdés az adatvagyon védelme?
A felhőpiacot mára két óriásszereplő határozza meg a Microsoft (M365, Azure) és az Amazon (AWS). Dominanciájuk olyan erős, hogy sok vállalat számára úgy tűnik, alig létezik más, érdemi választási lehetőség mellettük. Az M365 a vállalati kommunikáció és kollaboráció de facto szabványává vált, míg az Azure és az AWS biztosítja a modern alkalmazások és üzleti folyamatok gerincét.
Ez a technológiai összefonódás azt jelenti, hogy az infrastruktúrájukat használó cégek működése elválaszthatatlanul kötődik a két szolgáltató által diktált technológiai és jogi keretekhez. Minél több üzleti információ kerül ezekbe a rendszerekbe, annál égetőbb a kérdés:
- Valójában ki férhet hozzá az adatainkhoz?
- Ki vállalja a felelősséget egy esetleges adatvesztés vagy szolgáltatáskiesés esetén?
- Milyen garanciák léteznek arra, hogy a szolgáltató nem használja fel a vállalati adatokat például mesterséges intelligencia modellek tanítására?
Az adatvagyon védelme tehát nem csupán egy informatikai feladat, hanem alapvető üzleti és stratégiai kérdés. A vállalatoknak pontosan meg kell érteniük, milyen kontrollmechanizmusokat alkalmazhatnak a saját adataik felett és hogyan biztosítható az adatvagyon védelem minden szinten.
A felhő használatánál nem elég csak a technológiai előnyökre támaszkodni. A vállalatnak pontosan értenie kell, milyen jogi szabályok vonatkoznak az adatok kezelésére. Fontos, hogy tisztában legyenek azzal, meddig tart a szolgáltató felelőssége, valamint hol kezdődik a sajátja. A cégeknek mindig tisztában kell lennie azzal, hogy a felhőszolgáltató a szerződés keretein belül hogyan kezeli az adatokat. A jogi felelősség, az adatvédelem és az incidenskezelés pontos körét a DPA és az SLA dokumentumok határozzák meg.
Ezzel a tudatossággal a cégek nemcsak a működés biztonságát növelhetik, hanem az üzleti kockázatokat és a jogi bizonytalanságokat is minimalizálhatják.
Kié az adat? Tulajdonjog, felhasználás és adatvagyon védelem
Az adatok tulajdonjoga és felhasználása a felhőszolgáltatás legfontosabb jogi kérdése. Alapvetően az ügyfél birtokolja az adatait. A szolgáltató pedig csak a szerződés keretein belül kezeli azokat, például tárolás vagy feldolgozás céljából. A szolgáltató nem használhatja fel az adatokat saját AI-modellek tanítására, kivéve, ha erre a szerződés kifejezetten lehetőséget ad.
A jogi dokumentumok pontosítják azonban, hogy a bizalmas információk (ideértve az ügyféladatokat is) felhasználása a másik fél termékeinek vagy szolgáltatásainak fejlesztésében nem kötelező. Ugyanakkor a szerződés nem zárja ki teljesen ezt a lehetőséget.
A gyakorlatban ez azt jelenti, hogy a szolgáltató formálisan nem szerzi meg az adatok tulajdonjogát, ám speciális esetekben mégis széles felhasználási jogot kap, az általa meghatározott szükséges mértékben.
Jogi szakértőnk az M365 esetében kiemeli:
„A Microsoft deklarálja, hogy nem szerzi meg ezen tartalmak, adatok, információk tulajdonjogát. Ellenben igen érdekes jogi szempontból az, hogy az ügyfél a szolgáltatások igénybevételével a Microsoft termékek és szolgáltatások fejlesztéséhez szükséges mértékben a Microsoftnak világszerte érvényes, jogdíjmentes szellemi tulajdonjogot biztosít az adott ügyfél tartalom (pl. egy-egy adatállomány, fájl stb.) felhasználására, másolására, megőrzésére, továbbítására, átformázására, megjelenítésére és terjesztésére.”
Ez papíron az ügyfél tulajdonjogát erősíti, miközben a gyakorlatban a szolgáltató mozgástere továbbra is jelentős marad.
Ha a szolgáltató ilyen tág felhatalmazást kap, vajon mennyiben érvényesül ténylegesen az ügyfél adatainak védelme?
A megosztott felelősség modellje: Hol húzódik a határ?
Sokan abban a tévhitben élnek, hogy a felhőbe való költözéssel a biztonság kérdése automatikusan megoldódik. A valóság ennél árnyaltabb. A felhőszolgáltatók az úgynevezett megosztott felelősség (Shared Responsibility Model) elve alapján működnek. Ez a modell világosan elhatárolja a szolgáltató és az ügyfél felelősségi köreit.
A szolgáltató (Microsoft/Amazon) felelőssége:
- A felhő biztonsága: Ide tartozik a fizikai infrastruktúra védelme (adatközpontok, szerverek, hálózati eszközök), a hardver karbantartása és a globális hálózat működtetése. Lényegében ők garantálják, hogy a „vas” biztonságos és működőképes legyen.
Az ügyfél (a vállalat) felelőssége:
- Biztonság a felhőben: Az ügyfél felel mindenért, ami az adatokkal és az alkalmazásokkal kapcsolatos. Ez magában foglalja a hozzáférések kezelését, az adatok titkosítását, a hálózati beállításokat, az operációs rendszerek és alkalmazások biztonsági konfigurációját, valamint a felhasználói jogosultságok megfelelő kiosztását.
Az Azure kapcsán, ha egy ügyfelük még a MOSA (Microsoft Online Subscription Agreement) szerződéses keretrendszerben működik, akkor az alábbi meglátást teszi az Ügyvédi Iroda:
„A Microsoft nem vállal semmilyen kötelezettséget a Customer Data (ügyféladatok) vonatkozásában, kivéve azokat, amelyek az adott megállapodásban vagy a jogvitára alkalmazandó jog kifejezetten előír. Ez tulajdonképpen azt jelenti, hogy a Microsoft nem felelős az ügyféladatok elvesztéséért vagy annak következményeiért, kivéve, ha ezt az Online Services Terms vagy a vonatkozó alkalmazandó jog jogszabályai előírják.”
Ezzel szemben az MCA (Microsoft Customer Agreement) sem ígér sokat, mivel a Microsoft csak korlátozott felelősséget vállal, és adatvesztésnél kizárólag az SLA-ban rögzített jogorvoslati lehetőségek érvényesíthetők.
Az Amazon feltételeit elemezve pedig az alábbi következtetésre jutott a jogi szakértő:
Az AWS Customer Agreement 1.3-as pontja rögzíti, hogy az Amazon „ésszerű és megfelelő intézkedéseket” alkalmaz az adatvesztések elkerülése érdekében, de hangsúlyozzák, hogy a szolgáltatásokat „as is” biztosítják, így az adatvesztésért, adat értékéért vagy az adat elérhetetlenségéért az Amazon nem vállal felelősséget (kivéve, ha jogszabály másként rendelkezik).
Ez tulajdonképpen azt jelenti, hogy ha az Amazon elveszíti az adatokat (véletlenül vagy jogellenes módon), a következmények nagy részét a felhasználónak kell viselnie (és az Amazon egyebekben csak a szolgáltatási díjak maximumáig vállal anyagi felelősséget).
Emellett a Bajcsay Ügyvédi iroda szakértője arra is rámutat, hogy „A Microsoft ösztönzi a felhasználókat, hogy biztonsági mentéseiket harmadik fél szolgáltatóknál helyezzék el. A redundancia beépítése elengedhetetlen, bármilyen rendszerről beszélünk. Jellemzően szolgáltatón belül szokták megoldani, ha van rá lehetőség, akkor georedundáns kivitelezéssel. Ezért is érdekes a Microsoft hozzáállása ehhez a kérdéshez, hiszen globálisan kiterjedt adatközponti jelenléttel bír, mégis harmadik fél használatára ösztönöz, ezzel is növelve az adatvagyon védelem kihívásait.
Ezek a modellek rávilágítanak, hogy ezeknél a szolgáltatóknak a technológia csupán egy „polcos termék”. Az adatvagyon valódi védelme az ügyfél által bevezetett kontrollokon, megfelelő szerződéses alapokon, a helyes konfigurációkon és a tudatos működési folyamatokon múlik.
Incidensek kezelése és az adatvagyon védelem jogi következményei
Az adatlopás, adatvesztés vagy szolgáltatás-kiesés komoly jogi és üzleti következményekkel járhat. Adatvesztés esetén az SLA (Service Level Agreement) és a szerződés rögzíti a kártérítés feltételeit. Például ha a szolgáltató 99,9%-os rendelkezésre állást garantál, és a tényleges rendelkezésre állás ezt nem éri el, a szolgáltató kártérítést nyújthat. Azonban a maximális összeg a szerződésben meghatározott keretre korlátozott.
Jogosulatlan hozzáférés esetén az incidenseket a jogszabályoknak megfelelően, például GDPR szerint, 72 órán belül be kell jelenteni. A szolgáltató felelőssége ilyenkor a saját rendszere hibájából eredő adatvesztésre korlátozódik. Ha a szerződésszegés például az SLA megszegése vagy biztonsági hiányosság miatt következik be, az ügyfél jogosult kártérítésre. De a szerződés általában maximalizálja a szolgáltató által fizetendő kártérítés összegét.
A Bajcsay Ügyvédi iroda tanulmánya alapján erősen javasolt, hogy egy vállalat mindig előre definiált folyamatokkal és SLA-ban rögzített jogi keretekkel rendelkezzen az incidensek kezelésére.
Érdemes megemlíteni a felhasználói tapasztalatokat is, amelyek a valós életből mutatják a gyakorlatot. Egy Reddit‑bejegyzésben egy Azure‑felhasználó arról számolt be, hogy SLA jóváírást próbált kérni az Azure kiesés miatt, de a folyamat renkívül nehézkes volt.
SLA credit process is a nightmare…
(Fordítás: Az SLA visszatérítési folyamat egy rémálom…)
Bár ez nem közvetlen adatvesztés miatti kártérítés, jól szemlélteti, hogy a szolgáltatói kompenzáció elérése a gyakorlatban sokszor körülményes és időigényes.
Hasonló felhasználói eset nem is olyan régen 2025 augusztusában az AWS-nél is előfordult, amely a szolgáltatásokkal kapcsolatos egyensúlyhiányt (power imbalance) világítja meg. Egy mérnök, „Seuros” (valós nevén Abdelkader Boudih) saját blogján számolt be arról, hogy AWS fiókjának letiltása és fizetési/verifikációs probléma miatt 10 évnyi fejlesztői adatát törölték. A támogatási folyamat 20 napig tartott, de érdemi, érthető választ nem kapott, és az adatok helyreállítása sem történt zökkenőmentesen.
Forrás: AWS deleted my 10-year account without warning – Seuros blog
A történet jól rámutat arra a helyzetre, amelyben egy több, mint tíz éve lojális ügyféllel is gyakorlatilag úgy bánnak, mint egy „senkivel”. Nincs személyes támogatás, nincs sürgősség, és a szolgáltató–ügyfél viszonyban meglévő egyensúlyhiány miatt az ügyfél szinte teljes kiszolgáltatottságba kerül. Bár később a Redditen arról számoltak be, hogy az adatok egy részét sikerült visszaállítani. Az eset rávilágít arra, hogy a kritikus szolgáltatók adat-helyreállítási és ügyfélkezelési folyamatai gyakran hosszadalmasak, bizonytalanok és rendkívül átláthatatlanok.
Adatvesztés, kártérítés és az adatvagyon védelmének szabályai
Adatvesztés vagy szolgáltatás-kiesés esetén az SLA rögzíti a szolgáltató felelősségét és a kártérítés mértékét. Fontos azonban, hogy a nagy felhőszolgáltatók, például a Microsoft, a kártérítést szigorúan és egyoldalúan a javukra korlátozzák.
A jogi szakértő az M365 esetében mutat rá először a kártérítések felső határ-limitjének alkalmazására:
„Ha az ügyfélnek jogos alapja van a kártérítésre (a Microsoft jogszabálysértése, vagy ÁSZF-sértése alapján), akkor a vonatkozó jogszabályok által megengedett mértékben elfogadja, hogy kizárólagos jogorvoslati lehetősége az, hogy a Microsofttól a veszteség vagy a jogsértés bekövetkezésének hónapjában fizetett szolgáltatásdíj összegével megegyező összegű közvetlen kártérítést kapjon, mint a kártérítés plafonja (vagy legfeljebb 10 USD-t, ha ingyenes szolgáltatásokat vett igénybe).”
A Bajcsay Ügyvédi iroda összefoglalója alapján tehát az alábbi rövid következtetéseket vohatjuk le a szolgáltatási feltételek összevetésekor:
- Microsoft M365 esetében a maximális közvetlen kártérítés összege a szolgáltatási díjak egy havi összege vagy ingyenes szolgáltatások esetén 10 USD.
- Microsoft Azure MOSA szerződések esetén a felek összesített felelőssége az összes igény tekintetében csak a közvetlen károkra korlátozódik.
- Microsoft Azure MCA típusú előfizetésnél az előfizetéses termékek esetén mindegyik fél legnagyobb, összesített kártérítési felelőssége az ügyfél által a megelőző 12 hónap alatt kifizetett előfizetési díj teljes összege.
- Amazon AWS igénybevételekor pedig a felelősség nem haladhatja meg az előző 12 hónapban fizetett díjak összegét.
Az egyes szolgáltatók feltételei tehát egy irányba mutatnak: a kártérítés felső határa mindenhol alacsony. A közvetett veszteségek pedig szinte teljesen kizártak, így az adatvagyon védelem tudatos szabályozása elengedhetetlen. A fizetett díjakhoz képest csekély összegű felelősségvállalás komoly ellentmondásban áll azzal, hogy a vállalatok kulcsfontosságú folyamataikat ezekre a rendszerekre építik. A jogi keretekből jól látható, hogy a legnagyobb üzleti kockázatot végső soron nem a szolgáltató, hanem az ügyfél viseli.
Felelősségi asszimetria a felhőszolgáltatóknál: az adatvagyon védelem kihívásai
Valójában erre a három pontra tudjuk desztillálni az egész problémakört:
- Pénzügyi aszimmetria – A szolgáltató bevételi szintű korlátot vállal (pl 12 havi díj), a céged viszont értékvesztés-szintű kockázatot vállal (ügyféllemorzsolódás, kötbérek, reputáció).
- Kontroll aszimmetria – A működés jelentős része a te konfigurációdon múlik. A hibák irdatlan része emberi vagy folyamatbeli – nálad.
- Idő aszimmetria – SLA-kreditek utólag érkeznek, az üzlet viszont azonnal elveszíti a futó ügyeket, bevételt, fókuszt, klienseket.
Más szemmel nézve: a felhő valójában nem kockázatos. A kockázat a félreértett megosztott felelősség és a tárgyalás nélküli feltétel-elfogadás.
A hiányzó láncszem: felelősséget vállaló partner az adatvagyon védelemben
Szeretjük azt hinni, hogy a nagy felhőknél a Microsoftnál, az Amazonnál, a Google-nél, az Atlassiannál vagy az SAP-nál minden a legnagyobb rendben lesz. Ott az általános szerződési feltétel, ott a rendelkezésre állási ígéret, ott a sok tanúsítvány és megfelelés.
Csakhogy ez a biztonságérzet sokszor inkább pszichológia, mint valóság. Ahogy a fenti összefoglalóból kiderül, a szerződéses vállalások és a céged tényleges kitettsége nincsenek egyensúlyban. Miközben a működésed és az adatvagyonod a felhőben fut, a jogi és pénzügyi jogorvoslat többnyire szűk korlátok között marad. A kritikus működési felelősség pedig jelentős részben nálad marad.
Ez nem a felhő ellen szól. A felhő rugalmas, gyors, korszerű. De érdemes tisztán látni, hol ér véget a szolgáltató ígérete, és hol kezdődik a te kockázatod.
A célunk itt nem az ijesztgetés, hanem a józanság: megmutatni, miért kevés önmagában az ÁSZF, és miért döntő, hogy van-e olyan partnered, aki valóban felelősséget vállal érted. Nem csak a hétköznapi üzemeltetésben, hanem akkor is, ha baj van.
Ha szeretnél valódi felelősségvállalással járó támogatást, illetve kifejezetten erre a területre specializálódott jogi képviseletet, akkor az alábbi űrlap kitöltésével vedd fel velünk a kapcsolatot.
