Kas atsakingas už duomenis debesyse?

Debesų kompiuterijos koncepcija yra globalizuota, todėl „debesyse“ nėra sienų. Kompiuteriai, kurie naudojami vartotojų duomenims apdoroti bei saugoti, gali būti bet kuriame pasaulio taške, priklausomai nuo to, kuriame duomenų centre yra vietos. Tad kyla klausimas, kokiu būdu yra nustatoma atsakomybė už čia kaupiamos informacijos saugumą?

Kai kurie paslaugų teikėjai (pavyzdžiui, „Amazon“) siūlo savo klientams galimybę rinktis zonas, kuriose bus saugomi jų duomenys ir neišeis už šių zonų ribų.

Kalbant apie duomenų apsaugą, debesų kompiuterija iškelia nemažai problemų.

Duomenų apsaugos įstatymai yra pagrįsti vieta, kur laikomi asmens duomenys, bei kuri visuomet yra žinoma, taip pat kas duomenis tvarko, kas atsakingas už jų apdorojimą. Debesų kompiuterija akivaizdžiai kertasi su šiomis nuostatomis.

Duomenys internetu laisvai juda visame pasaulyje, tad tampa nebeaišku, kurios duomenų apsaugos institucijos ir kokiais atvejais yra atsakingos už duomenų apsaugos principų užtikrinimą. Pavyzdžiui, jeigu paslaugų teikėjas šalyje „A“ talpina didelius kiekius asmeninės informacijos, susijusios su kompanijų klientais ir kurių buveinės vieta yra šalyje „B“, tampa neaišku, kurios institucijos ir kurioje šalyje yra atsakingos ar turėtų būti atsakingos už duomenų apsaugos priežiūrą.

Diskutuotini aspektai

Kalbant apie debesų kompiuteriją, reikia paminėti, kad atsakomybės už prarastą ar pažeistą informaciją aspektas yra diskutuotinas. Kitaip tariant, vartotojas, kuris nusprendžia pereiti iš tradicinės IT infrastruktūros į debesiją mano, kad atsisakydamas savo fizinių serverių bei talpyklų ir perduodamas jautrią informaciją (asmens duomenys, komercinės paslaptys ir t.t.) „debesų“ paslaugų teikėjui, tuo pačiu perleidžia ir atsakomybę už duomenų praradimą ar sugadinimą.

Iš kitos pusės, „debesų“ paslaugų teikėjas sutelkia pagrindinį dėmesį į paslaugų pasiekiamumo užtikrinimą, žemesnes kainas ir lengvą naudojimąsi, o ne į apsaugą. Dauguma debesų kompiuterijos paslaugų teikėjų mano, kad duomenų apsauga yra vartotojų reikalas.

Tačiau konkretesnis klausimas – kas atsakingas, jeigu informacija yra prarandama jos perdavimo metu? Pavyzdžiui, „debesų“ paslaugų teikėjas perkelia informaciją iš vieno duomenų centro, kuris yra šalyje „A“ į kitą duomenų centrą šalyje „B“ ir šio perdavimo metu informacija dingsta. Kas tokiu atveju yra atsakingas už informacijos praradimą (jeigu tai yra to paties paslaugos teikėjo duomenų centrai, tai yra truputį paprasčiau, tačiau vis tiek taikytinos teisės klausimas išlieka)?

Iš esmės, kalbant apie duomenų praradimą ir bendrai apie duomenų apsaugą, galimi du variantai:

Atsakomybė taikoma pagal paslaugų teikėjo buvimo vietą.
Atsakomybė taikoma pagal serverio buvimo vietą.

Tai susiję su taikytina teise ir tokiu būdu nustatoma institucija, atsakinga už asmens duomenų apsaugos principų laikymąsi.

Kas nutinka, jei duomenys yra prarandami jų perdavimo metu, pavyzdžiui, kai yra keičiamas paslaugos teikėjas (duomenys iš vieno paslaugos teikėjo perduodami kitam) arba kai vartotojas pirmą kartą perduoda duomenis debesijos paslaugų teikėjui?

Kaip ir minėjau, paslaugų teikėjai dažnai kratosi atsakomybės už paslaugų sutrikimų sukeltus padarinius – duomenų praradimą. Tačiau sudarant sutartį su kiekvienu paslaugų teikėju galima tartis dėl galimo duomenų praradimo konkrečiais atvejais (pavyzdžiui, perduodant duomenis paslaugų teikėjui).

Kita vertus, nors dar nėra plačiai aptartas šis aspektas, manau, kad neturėtų kilti klausimų dėl atsakomybės, jei duomenys prarandami paslaugų teikėjui juos keliant iš vieno jo duomenų centro į kitą (juk duomenys nėra saugomi konkrečiai viename duomenų centre), kadangi šiuo atveju nėra antros šalies, kuriai galėtų kilti atsakomybė. Tokiu atveju kyla tik klausimas dėl taikytinos teisės.

Kita situacija, kuomet duomenys prarandami jų pirminio perdavimo paslaugų teikėjui metu ar keičiant paslaugų teikėją. Tokiu atveju dauguma paslaugų teikėjų apsisaugo įprastinėmis sutarties sąlygomis, tai yra – kratosi atsakomybės ir teigia, jog už duomenis atsakingas vartotojas iki to momento, kol duomenys atsiduria paslaugos teikėjo duomenų centre. Patarimas vartotojui – tartis su paslaugų teikėju dėl konkrečių sąlygų. Sutartyje reikia apsibrėžti atsakomybės ribas ir taip pat galima apibrėžti duomenų saugojimo zonas (tam tikra zona, kurios teritorijoje gali būti saugomi duomenys).

Taigi iš principo, vertinant situaciją, kai duomenys yra prarandami jų perdavimo metu, reikia atkreipti dėmesį į sutarties su „debesų“ paslaugų teikėju sąlygas bei duomenų apsaugos principų laikymąsi. Tik tada galima šnekėti apie atsakomybę vienai ar kitai šaliai (paslaugų teikėjui ar vartotojui).