Plečiantis rinkai, keičiantis technologijoms, bendrovėms augant ir tampant tarptautinėmis, organizacijos vis dažniau atsisako savo infrastruktūros, pakeisdamos ją pažangiomis ir įmonės poreikius atitinkančiomis debesų kompiuterijos paslaugomis. Nors niekas nesiginčija dėl tokio sprendimo patrauklumo ir jo naudos šiuolaikiniam verslui, sprendimus priimantiems asmenims vis dar trūksta žinių apie teisinę praktiką, perkeliant įmonės ūkį ir paslaugas į „debesis“.
Kompanijų vadovams, nusprendusiems pasinaudoti pažangiais debesų kompiuterijos sprendimais, rekomenduojama įvertinti ne tik patogumo, bet ir duomenų saugumo bei privatumo principus. Taip pat reikėtų įvertinti papildomas įmonei kylančias atsakomybes ir įsitikinti, kad pasirinktas debesų kompiuterijos paslaugų teikėjas yra numatęs garantijas informacijos saugumui ir konfidencialumui užtikrinti.
Erikas Saukalas, advokatės Redos Žabolienės kontoros „Metida“ advokatas, tarptautinių ryšių grupės vadovas
Duomenų saugojimo „debesyse“ privalumai
Pagrindiniai kriterijai, nulemiantys vis populiarėjančias debesų kompiuterijos paslaugas, yra žemesnė kaina ir didesnis prieinamumas. Debesų kompiuterijos paslaugų teikėjai neretai gali pasiūlyti gerokai pigesnes duomenų saugojimo paslaugas nei tai kainuotų pačiai įmonei. Atsisakydamos savo infrastruktūros, įmonės gali ne tik sutaupyti, bet ir lanksčiau reaguoti į besikeičiančius poreikius – IT išteklius galima operatyviai padidinti arba sumažinti. Kitas vartotojams patrauklus debesų kompiuterijos bruožas yra prieinamumas – duomenis galima pasiekti bet kuriuo metu, bet kurioje vietoje ir be jokių didesnių sunkumų.
Nepaisant to, duomenų pateikimas trečiosioms šalims yra kiekvienai įmonei jautrus klausimas, todėl, siekiant eliminuoti visas iš to kylančias rizikas, reikėtų įvertinti tris pagrindinius aspektus: asmens duomenų saugumo užtikrinimą, atsakomybių tarp šalių pasiskirstymą ir skirtingą šalių, kuriose galimai bus saugomi įmonės duomenys, teisinę praktiką.
Asmens duomenų saugumo užtikrinimas
Neretai be įmonei svarbios vidinės informacijos, tokios kaip komercinės paslaptys ar klientų informacija, „debesyse“ yra talpinami ir įmonei, kaip duomenų valdytojui, perduoti asmens duomenys, kuriems yra taikomas ypatingas reglamentavimas bei aukščiausi saugumo reikalavimai. Iš to atsakomybė kyla tiek įmonei, tiek paslaugų teikėjui.
Siekiant, kad prisiimti asmens duomenų saugojimo įsipareigojimai nebūtų pažeisti, reikėtų būti užtikrintam, kad debesų kompiuterijos paslaugų teikėjas laikosi atitinkamų asmens duomenų tvarkymo reikalavimų. Pavyzdžiui, Europos Sąjungoje asmens duomenys turi būti tvarkomi teisingai ir teisėtai, surinkti įvardintais, aiškiai apibrėžtais ir teisėtais tikslais, adekvatūs, tikslūs, nuolat atnaujinami, laikomi tokio pavidalo, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tais tikslais, dėl kurių duomenys buvo surinkti arba po to tvarkomi.
Be asmens duomenų tvarkymo reikalavimų, taip pat vertėtų atsižvelgti ir į tai, ar paslaugų teikėjas periodiškai atnaujina programinę įrangą, nuolatos tikrina sistemą nuo kenkėjiškų programų ar kitų galimų grėsmės atvejų, taip pat ar yra limituojama paslaugos teikėjo darbuotojų prieiga prie atitinkamų duomenų. Nesilaikant sutartyje numatytų įsipareigojimų, yra atsakoma atitinkamos jurisdikcijos ir įstatymų nustatyta tvarka.
Atsakomybių pasiskirstymas
Debesų kompiuterijoje svarbus ne vien tik duomenų saugumo užtikrinimas, bet ir aiškių atsakomybių pasiskirstymas. Sudarant paslaugų teikimo sutartį, rekomenduojama iš anksto išsiaiškinti, kaip tiksliai atsakomybėmis bus pasidalinta.
Dažniausiai paslaugų teikėjas prisiima atsakomybę už nepertraukiamą paslaugų teikimą, kuo skubesnį techninių gedimų pašalinimą bei apsaugą nuo kenkėjiškų programų, o kitai šaliai tenka visa rizika dėl pačių duomenų saugumo. Asmenims, siekiantiems maksimalaus saugumo užtikrinimo, patartina reikalauti, kad paslaugų teikėjas sudarytų galimybę atlikti reguliarų auditą, kaip laikomasi sutartyje numatytų sąlygų, taip užkertant kelią galimam žalos atsiradimui.
Skirtinga šalių jurisdikcija
Debesų kompiuterijos paslaugų teikėjai savo paslaugas dažniausiai teikia iš įvairių valstybių, jose įsirengdami savo pastotes. Tai daroma siekiant užtikrinti nuolatinį duomenų prieinamumą bei sumažinti siūlomų paslaugų kaštus. Renkantis užsienio paslaugų teikėją, reikia turėti omenyje, kad kai duomenys yra patalpinami kitoje valstybėje, jiems galioja ir kita jurisdikcija, kurios nustatymas vis dar nėra vienareikšmis. Todėl tikėtina, kad teismai pasirinkdami jurisdikciją atsižvelgs ne tik į tai, kokioje valstybėje duomenys yra talpinami, bet ir į tai, ar yra realus esminis santykis tarp jurisdikcijos ir su debesų kompiuterija susijusio ginčo dalyko ar šalių, ir ypač kur pažeidimas buvo padarytas bei kur atsirado žala.
Pabrėžtina, jog, sudarinėjant paslaugų teikimo sutartį, vertėtų išsiaiškinti, kuriose jurisdikcijose debesų kompiuterijos paslaugų teikėjas turi savo pastotes bei kuriose iš jų konkrečiai bus saugomi įmonės duomenys. Taip pat rekomenduotina pasitarti su teisininku dėl konkrečių sutarties sąlygų ir tikėtinų scenarijų, kilus ginčui jurisdikcijos atžvilgiu.
Niekas neabejoja, kad daugybė šiuolaikinių ir ateities technologijų yra paremtos inovatyviais debesų kompiuterijos sprendimais, kurie yra nepaprastai naudingi tiek pavieniams vartotojams, tiek verslo įmonėms. Tačiau, perkeldamos savo duomenis į „debesis“ ir dalindamosis informacija su trečiosiomis šalimis, įmonės turėtų suvokti debesų kompiuterijos reguliavimo daugialypiškumą. Tam, kad nekiltų nesklandumų, rekomenduojama atsižvelgti į visus aukščiau išvardytus duomenų saugumo aspektus ir galimai pasikonsultuoti su teisininku.
Komentarą parengė Erikas Saukalas, advokatės Redos Žabolienės kontoros „Metida“ advokatas, tarptautinių ryšių grupės vadovas