Kas atsakingas už duomenis debesyse? (15)
Debesų kompiuterijos koncepcija yra globalizuota, todėl „debesyse“ nėra sienų. Kompiuteriai, naudojami vartotojų duomenims apdoroti bei saugoti, gali būti bet kuriame pasaulio taške, priklausomai nuo to, kuriame duomenų centre yra vietos. Tad iš tiesų kyla klausimas, kokiu būdu yra nustatoma atsakomybė už čia kaupiamos informacijos saugumą?
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Kai kurie paslaugų teikėjai (pavyzdžiui, „Amazon“) siūlo savo klientams galimybę rinktis prieinamumo zonas, kuriose bus saugomi jų duomenys ir neišeis už šių zonų ribų.
Kalbant apie duomenų apsaugą, debesų kompiuterija iškelia nemažai įdomių problemų. Apie dalį šių problemų jau šnekėjau ankstesnėse publikacijose, todėl, kad nesikartočiau, iš karto pereisiu prie šio straipsnio temos.
Duomenų apsaugos įstatymai yra pagrįsti vieta, kur laikomi asmens duomenys, bei kuri visuomet yra žinoma, taip pat kaip ir kas duomenis tvarko, kas atsakingas už jų apdorojimą. Debesų kompiuterija akivaizdžiai kertasi su šiomis nuostatomis.
Duomenys internetu laisvai juda visame pasaulyje, tad tampa nebeaišku, kurios duomenų apsaugos institucijos ir kokiais atvejais yra atsakingos už duomenų apsaugos principų užtikrinimą. Pavyzdžiui, jeigu paslaugų teikėjas šalyje A talpina didelius kiekius asmeninės informacijos, susijusios su kompanijų klientais ir kurių buveinės vieta yra šalyje B, yra neaišku, kurios institucijos ir kurioje šalyje yra atsakingos ar turėtų būti atsakingos už duomenų apsaugos priežiūrą.
Diskutuotini aspektai
Kalbant apie debesų kompiuteriją, reikia paminėti, jog atsakomybės už prarastą ar pažeistą informaciją aspektas yra diskutuotinas. Kitaip tariant, vartotojas, kuris nusprendžia pereiti iš tradicinės IT infrastruktūros į debesiją, mano, kad atsisakydamas savo fizinių serverių bei talpyklų ir perduodamas jautrią informaciją (asmens duomenys, komercinės paslaptys ir t. t.) „debesų“ paslaugų teikėjui, tuo pačiu perleidžia ir atsakomybę už duomenų praradimą ar sugadinimą.
Iš kitos pusės, „debesų“ paslaugų teikėjas sutelkia pagrindinį dėmesį į paslaugų prieinamumo užtikrinimą, žemesnes kainas ir lengvą naudojimąsi, o ne į apsaugą. Dauguma debesų kompiuterijos paslaugų teikėjų mano, jog duomenų apsauga yra vartotojų reikalas.
Tačiau konkretesnis klausimas – kas atsakingas, jeigu informacija yra prarandama jos perdavimo metu? Pavyzdžiui, „debesų“ paslaugų teikėjas perkelia informaciją iš vieno duomenų centro, kuris yra šalyje A į kitą duomenų centrą šalyje B ir šio perdavimo metu informacija dingsta. Kas tokiu atveju yra atsakingas už informacijos praradimą (jeigu, tai yra to paties paslaugos teikėjo duomenų centrai, tai yra truputį paprasčiau, tačiau vis tiek taikytinos teisės klausimas išlieka)?
Iš esmės, kalbant apie duomenų praradimą ir bendrai apie duomenų apsaugą, atsakomybę yra galimi du variantai:
- Atsakomybė kyla pagal paslaugų teikėjo buvimo vietą.
- Atsakomybė kyla pagal serverio buvimo vietą.
Tai susiję su taikytina teise ir tokiu būdu nustatoma institucija, atsakinga už asmens duomenų apsaugos principų laikymąsi.
Klausimas – kas nutinka, jei duomenys yra prarandami jų perdavimo metu, pavyzdžiui, kai yra keičiamas paslaugos teikėjas (duomenys iš vieno paslaugos teikėjo perduodami kitam) arba kai vartotojas pirmą kartą perduoda duomenis debesijos paslaugų teikėjui?
Kaip ir minėjau, paslaugų teikėjai dažnai kratosi atsakomybės už paslaugų sutrikimų sukeltus padarinius – duomenų praradimą. Tačiau su kiekvienu paslaugų teikėju galima tartis, sudarinėjant sutartį dėl galimo duomenų praradimo konkrečiais atvejais (pavyzdžiui, perduodant duomenis paslaugų teikėjui).
Kita vertus, nors dar ir nėra plačiai aptartas šis aspektas, manau, kad neturėtų kilti klausimų dėl atsakomybės, jei duomenys prarandami paslaugų teikėjui juos keliant iš vieno jo duomenų centro į kitą (juk duomenys nėra saugomi konkrečiai viename duomenų centre), kadangi šiuo atveju nėra antros šalies, kuriai galėtų kilti atsakomybė. Tokiu atveju kyla tik klausimas dėl taikytinos teisės.
Kita situacija, kuomet duomenys prarandami jų pirminio perdavimo paslaugų teikėjui metu ar keičiant paslaugų teikėją. Tokiu atveju, dauguma paslaugų teikėjų apsisaugo įprastinėmis sutarties sąlygomis, tai yra – kratosi atsakomybės ir teigia, jog už duomenis atsakingas vartotojas iki to momento, kol duomenys atsiduria paslaugos teikėjo duomenų centre. Patarimas vartotojui – tartis su paslaugų teikėju dėl konkrečių sąlygų. Sutartyje reikia apsibrėžti atsakomybės ribas ir taip pat galima apibrėžti duomenų saugojimo zonas (tam tikra zona, kurios teritorijoje gali būti saugomi duomenys).
Taigi, iš principo, vertinant situaciją, kai duomenys yra prarandami jų perdavimo metu, reikia kreipti dėmesį į sutarties su „debesų“ paslaugų teikėju sąlygas bei duomenų apsaugos principų laikymąsi. Tik tada galima šnekėti apie atsakomybės kilimą vienai ar kitai šaliai (paslaugų teikėjui ar vartotojui).