Vienas iš pagrindinių nerimą keliančių aspektų yra duomenų apsauga „debesyse“, ypač dėl to, kad tarp duomenų dažniausiai yra įmonių bei organizacijų komercinės paslaptys, informacija apie klientus, asmens duomenys ir kt. Taigi kyla klausimas – kokiu būdu nustatoma atsakomybė už „debesyse“ kaupiamos informacijos saugumą?
„Debesyse“ teisinių problemų yra tikrai nemažai. Duomenys gali būti laikomi ne vienoje, o keliose šalyse, taip pat ne toje pačioje šalyje, kurioje yra įsikūręs šių duomenų valdytojas. Į „debesų“ technologijų paslaugas siūlančių įmonių rankas atiduota informacija yra išskaidoma per informacijos centrus, kurie ją išskirsto po įvairius serverius skirtingose vietose. Pavyzdžiui, viena dalis duomenų gali būti saugoma Rytų Europos, kita – Vakarų Europos serveriuose.
Taigi kyla dar vienas klausimas – kokios šalies teisės aktai bus taikomi, jei kils ginčas dėl „debesyse“ esančių duomenų – ar vietovės, kurioje yra saugomi duomenys, ar vietovės, kurioje įsikūrusi įmonė ir asmuo. Visa tai reiktų numatyti sutartyje tarp duomenų valdytojo ir „debesų“ paslaugų teikėjo. Tarptautinė darbo grupė dėl duomenų apsaugos, naudojant telekomunikacijas, yra patvirtinusi praktines rekomendacijas duomenų valdytojams bei įmonėms, kurios sudaro sutartis dėl jų valdomų duomenų perkėlimo į „debesis“.
Rekomenduojama, kad duomenų valdytojas sutartyje su „debesų“ paslaugų teikėju reikalautų pateikti išsamų sąrašą valstybių, kuriose duomenų tvarkytojas ar jo subrangovai planuoja saugoti ir tvarkyti valdytojo duomenis. Sutartyje duomenų tvarkytojas turėtų įsipareigoti neteikti duomenų valstybėms, kurios nėra nurodytos sutartyje. Nors „debesų“ technologijų teikėjai dažnai kratosi atsakomybės ar stengiasi kilusia atsakomybę pasidalinti su vartotoju, klientui patyrus žalą dėl šios paslaugos teikėjų veiksmų, atsakomybės IT bendrovėms išvengti nepavyksta.
Prieš užsisakant „debesų“ paslaugą, taip pat rekomenduojama patikrinti šios paslaugos teikėją, atlikti trečiosios šalies saugumo auditą, kuris leistų įvertinti, ar laikomasi įsipareigojimų dėl asmens duomenų apsaugos. Europos Komisija yra pažymėjusi, kad duomenų saugojimo „debesyse“ paslaugos teikėjai, dirbantys tarptautinėje aplinkoje, turėtų klientui įrodyti, jog užtikrina pakankamas apsaugos priemones ir vienų klientų asmens duomenys nėra pasiekiami kitiems. „Debesų“ paslaugos pirkėjai turėtų įsitikinti, kad paslaugos teikėjai gali ištrinti visas asmens duomenų kopijas, taip pat klientai turi būti informuoti, kas atsitinka su asmens duomenimis, nusprendus juos atsiimti iš „debesų“. Įsigyjant šią paslaugą, turėtų būti suteikiamas ir Sunaikinimo pažymėjimas (angl. Certificate of Destruction).
Šių metų sausio 28-ąją, minėdami Europos duomenų apsaugos dieną, Europos Parlamento nariai svarstė 1995 m. priimtų Europos Sąjungos asmens duomenų taisyklių reformą, kad sustiprintų teises į privatumą internete. Įgyvendinus šią reformą, visoje Europos Sąjungoje bus taikomos vienodos duomenų apsaugos taisyklės. Tarp jų – ir „teisė būti pamirštam“, kuri padės žmonėms geriau valdyti interneto keliamas grėsmes duomenų apsaugai. Tai reiškia, kad vartotojai galės ištrinti savo duomenis, jeigu nebus teisinio pagrindo jų saugoti. Taip pat numatyta didesnė asmens duomenis tvarkančiųjų atsakomybė ir atskaitomybė. Kitaip tariant, siūlomi pakeitimai leis geriau kontroliuoti savo asmens duomenis, lengviau juos pasiekti, žinoti kur jie yra.
Autoriai: Mykolas Jakutis, „Metida“ advokato padėjėjas, Erikas Saukalas, „Metida“ advokatas.
