Nagrinėjant debesų kompiuterijos reglamentavimą bei pritaikomumą, vienas svarbesnių aspektų yra šių paslaugų įforminimas. Į ką reikėtų atkreipti dėmesį debesijos paslaugų sutartyse ir ką vartotojas būtinai turi aptarti su paslaugų teikėju – tai yra pagrindiniai klausimai, kuriuos ketinu aptarti šiame įraše.
Nagrinėjant debesų kompiuterijos reglamentavimą bei pritaikomumą, vienas svarbesnių aspektų yra šių paslaugų įforminimas. Į ką reikėtų atkreipti dėmesį debesijos paslaugų sutartyse ir ką vartotojas būtinai turi aptarti su paslaugų teikėju – tai yra pagrindiniai klausimai, kuriuos ketinu aptarti šiame įraše.
Nori sutarties ir ilgesnio termino, ir lengvai ją nutraukti
Debesijos paslaugos yra parduodamos kaip paslauga tam tikram laikui. Tuo metu, kai, pavyzdžiui, įsigyjant tradicinę programinę įrangą, vartotojas iš karto sumoka visą kainą už programinės įrangos licencijas.
Jeigu vartotojas moka už laiką, kurio metu jis naudojasi debesijos paslaugomis, pastebėtina tai, kad paslaugų teikėjo interesai turėtų būti gretinami su vartotojo pageidavimais. Vartotojo tikslas, įsigyjant debesų kompiuterijos paslaugas, dažniausiai yra susijęs su efektyvumu ir darbo našumu, todėl vartotojai gali spausti paslaugų teikėją pasirašyti sutartį ilgesniam terminui.
Tačiau tuo pačiu metu dažnai nori, kad į debesijos paslaugų sutartį būtų įtrauktos nuostatos, leidžiančios vartotojui lengvai išeiti iš sutartinių santykių anksčiau laiko (nesibaigus sutarties terminui), jeigu nėra pasiekiamas norimas efektyvumas bei nepasitvirtina veiklos našumas. Debesijos paslaugų teikėjai tokioms tendencijoms priešinasi norėdami išvengti netikėto pajamų praradimo.
Visiškai nesikrato atsakomybės
Pastebėtina, kad tradiciškai, kai vartotojas įsigyja ir palaiko programinę įrangą pats, nėra jokių garantijų, kad trečioji šalis galimai nepateks į vartotojo vidinę sistemą ir nepakenks duomenims bei jų saugumui. Perkeliant duomenis į „debesis“, paslaugų teikėjai iš esmės nenori prisiimti „duomenų apsaugos garanto“ vaidmens vien už paslaugų kainą. Šiuo atveju kyla mintis, jeigu paslaugų teikėjas automatiškai prisiimtų tokį vaidmenį, tai žymiai išaugtų debesijos paslaugų kaina. Be to, tokiu atveju neaišku, kas iš esmės būtų pigiau, vidinė IT infrastruktūra ar debesijos paslaugos.
Tačiau debesų kompiuterijos paslaugų teikėjai visiškai nesikrato atsakomybės. Jie gali pagrįstai užtikrinti vartotoją tiek praktiškai, tiek ir sutartyje, kad paslaugų teikėjas imsis visų turimų priemonių, apsaugant vartotojo duomenų privatumą. Tiksliau, paslaugų teikėjas į sutartį gali įtraukti tam tikros formos pareiškimą apie tai, kad paslaugų teikėjas imsis visų, neperžengiančių protingumo kriterijų, pastangų, siekdamas užtikrinti duomenų saugumą. Be to, reikia pastebėti, jog dažnai paslaugos teikėjo taikomos duomenų apsaugos priemonės savo saugumo lygiu ir efektyvumu gerokai lenkia galutinio vartotojo naudojamas apsaugos priemones.
Būtina užtikrinti skaidrumą
Taip pat debesijos paslaugų sutartyse turėtų būti numatomos aiškios sutartinės ribos, nustatančios kaip paslaugų teikėjas gali naudoti vartotojo duomenis. Europos Parlamento ir Tarybos direktyvos 95/46/EB „Dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo“ 29 straipsnio darbo grupė 2012 metais yra pateikusi savo nuomonę ir rekomendacijas dėl debesų kompiuterijos paslaugų ir duomenų apsaugos bei privatumo elektroninėje erdvėje. Darbo grupė akcentuoja, kad teikiant debesų kompiuterijos paslaugas būtina vadovautis ES duomenų apsaugą reglamentuojančiais teisės aktais.
Skaidrumas yra vienas iš pagrindinių dalykų kalbant apie duomenų apsaugą. Skaidrumas „debesyse“ reiškia, kad vartotojui yra būtina pranešti apie duomenų saugojimo procesą, visas vietas, kur yra paslaugų teikėjo duomenų centrai, kuriuose gali būti saugomi ar per kuriuos gali būti perduodami vartotojo duomenys.
Jeigu dėl paslaugos teikimo yra būtina vartotojo sistemose (galiniuose įrenginiuose) įdiegti papildomą programinę įrangą, paslaugų teikėjas apie tai turėtų informuoti vartotoją. Kitaip tariant, pranešti apie tokio diegimo reikšmę iš duomenų apsaugos perspektyvos. Tokį klausimą iš anksto turėtų kelti ir pats vartotojas, jeigu paslaugų teikėjas nepraneša apie minėtus veiksmus.
Nustatykite tikslą ir naudojimo ribas
Kitas kriterijus, į kurį reikėtų atsižvelgti debesų kompiuterijos paslaugų sutartyse, yra tikslo ir naudojimo ribų nustatymas. Tikslo ir ribų nustatymas yra reglamentuotas minėtoje direktyvoje (95/46/EB, 6 straipsnis, b dalis), kurioje nustatyta: „Valstybės narės numato, kad asmens duomenys turi būti: b) surinkti įvardytais, aiškiai apibrėžtais ir teisėtais tikslais, o po to tvarkomi su šiais tikslais suderintais būdais“. Debesijos paslaugų sutartyje turėtų būti numatoma kokiais tikslais yra tvarkomi vartotojo duomenys, o nesuderintas nukrypimas nuo nustatytų tikslų laikomas sutarties pažeidimu.
Atsižvelgiant į debesijos paslaugų apimtis ir neapčiuopiamumą, pakankamai didelė rizika, kad duomenys jų saugojimo ir apdorojimo procese gali būti panaudoti nenumatytais tikslais. Siekiant kaip įmanoma labiau sumažinti tokią riziką, sutartyse tarp debesų kompiuterijos paslaugų teikėjų ir vartotojų turėtų būti aptariamos techninės ir organizacinės priemonės tokios rizikos mažinimui. Taip pat turėtų būti suteiktos tam tikros garantijos dėl apdorojimo ir kitų su duomenų apsauga susijusių veiksmų, atliekamų paslaugų teikėjo darbuotojų, fiksavimo bei tokių procedūrų (veiksmų) audito. Sutartyje turėtų būti numatyta ir bauda už duomenų apsaugą reglamentuojančių normų pažeidimus.
Taip pat vienas iš svarbesnių aspektų, kuriuos reikėtų numatyti debesijos paslaugų sutartyse yra duomenų ištrynimas. Duomenų apsaugos direktyvoje numatyta, kad asmens duomenys turi būti ištrinami, kai tampa nereikalingi numatytiems tikslams įgyvendinti. Pastebėtina, jeigu duomenys negali būti ištrinami, turi būti užblokuota prieiga prie šių duomenų. Debesų paslaugų vartotojas turėtų įsitikinti, kad paslaugų teikėjas užtikrina saugų duomenų ištrynimą, todėl paslaugų sutartyje turi būti aiškiai numatyta duomenų ištrynimo nuostata.
Apibendrintai galima pasakyti, jog sudarant sutartis dėl debesijos paslaugų reikėtų atkreipti dėmesį į tokius aspektus:
- Ar paslaugų teikėjas numato sutartyje pakankamas duomenų apsaugos technines ir organizacines priemones.
- Sutartyje turėtų būti nurodyta paslaugų apimtis ir terminai, paslaugų kokybės standartai bei numatomos nuobaudos dėl sutarties sąlygų nevykdymo.
- Jeigu debesijos paslaugų teikėjas naudoja standartines sutartines nuostatas turi būti užtikrinta, kad šios sutartys atitinka duomenų apsaugai keliamus reikalavimus.
- Labai svarbu yra įtraukti ir konfidencialumo nuostatą, kad prieigą prie duomenų turėtų tik įgalioti asmenys.
- Sutartyse turėtų būti numatytos duomenų naudojimo sąlygos ir tikslai bei jų pašalinimo aspektai.
- Sutartyse galima numatyti tam tikrą procesų „audito“ teisę vartotojui, kad šis būtų informuotas apie tai, kas yra daroma su jo duomenimis.
