Ką reikėtų žinoti apie duomenų apsaugą „debesyse“?

2013 02 19 Šaltinis: Balsas.lt

Informacijos šaltinis: Balsas.lt

Norime to ar ne, šiuo metu visi esame „debesyse“. Daugelis kasdienių paslaugų yra „debesų“ dalis – nuo žiniatinkliu pagrįsto el. pašto iki mobiliosios bankininkystės ar nuotraukų saugojimo. Šiai informacijai esant „debesyse“, ją galima pasiekti iš bet kurios pasaulio vietos, naudojant asmeninį arba planšetinį kompiuterį, mobilųjį telefoną ar kitą įrenginį, iš kurio galima jungtis prie interneto.

Vienas iš pagrindinių nerimą keliančių aspektų yra duomenų apsauga „debesyse“, ypač dėl to, kad tarp duomenų dažniausiai yra įmonių bei organizacijų komercinės paslaptys, informacija apie klientus, asmens duomenys ir kt. Taigi kyla klausimas – kokiu būdu nustatoma atsakomybė už „debesyse“ kaupiamos informacijos saugumą?

„Debesyse“ teisinių problemų yra tikrai nemažai. Duomenys gali būti laikomi ne vienoje, o keliose šalyse, taip pat ne toje pačioje šalyje, kurioje yra įsikūręs šių duomenų valdytojas. Į „debesų“ technologijų paslaugas siūlančių įmonių rankas atiduota informacija yra išskaidoma per informacijos centrus, kurie ją išskirsto po įvairius serverius skirtingose vietose. Pavyzdžiui, viena dalis duomenų gali būti saugoma Rytų Europos, kita – Vakarų Europos serveriuose.

Taigi kyla dar vienas klausimas – kokios šalies teisės aktai bus taikomi, jei kils ginčas dėl „debesyse“ esančių duomenų – ar vietovės, kurioje yra saugomi duomenys, ar vietovės, kurioje įsikūrusi įmonė ir asmuo. Visa tai reiktų numatyti sutartyje tarp duomenų valdytojo ir „debesų“ paslaugų teikėjo. Tarptautinė darbo grupė dėl duomenų apsaugos, naudojant telekomunikacijas, yra patvirtinusi praktines rekomendacijas duomenų valdytojams bei įmonėms, kurios sudaro sutartis dėl jų valdomų duomenų perkėlimo į „debesis“.

Rekomenduojama, kad duomenų valdytojas sutartyje su „debesų“ paslaugų teikėju reikalautų pateikti išsamų sąrašą valstybių, kuriose duomenų tvarkytojas ar jo subrangovai planuoja saugoti ir tvarkyti valdytojo duomenis. Sutartyje duomenų tvarkytojas turėtų įsipareigoti neteikti duomenų valstybėms, kurios nėra nurodytos sutartyje. Nors „debesų“ technologijų teikėjai dažnai kratosi atsakomybės ar stengiasi kilusia atsakomybę pasidalinti su vartotoju, klientui patyrus žalą dėl šios paslaugos teikėjų veiksmų, atsakomybės IT bendrovėms išvengti nepavyksta.

Prieš užsisakant „debesų“ paslaugą, taip pat rekomenduojama patikrinti šios paslaugos teikėją, atlikti trečiosios šalies saugumo auditą, kuris leistų įvertinti, ar laikomasi įsipareigojimų dėl asmens duomenų apsaugos. Europos Komisija yra pažymėjusi, kad duomenų saugojimo „debesyse“ paslaugos teikėjai, dirbantys tarptautinėje aplinkoje, turėtų klientui įrodyti, jog užtikrina pakankamas apsaugos priemones ir vienų klientų asmens duomenys nėra pasiekiami kitiems. „Debesų“ paslaugos pirkėjai turėtų įsitikinti, kad paslaugos teikėjai gali ištrinti visas asmens duomenų kopijas, taip pat klientai turi būti informuoti, kas atsitinka su asmens duomenimis, nusprendus juos atsiimti iš „debesų“. Įsigyjant šią paslaugą, turėtų būti suteikiamas ir Sunaikinimo pažymėjimas (angl. Certificate of Destruction).

Atgal į sąrašą
Į viršų