Kaip apsaugoti duomenis sudarant sutartis dėl duomenų perkėlimo į „debesis“

Paulius Galubickas

person using MacBook Pro
person using MacBook Pro

Augant „debesų“ kompiuterijos paslaugų pasiūlai, jomis besinaudojančios verslo kompanijos turėtų gerai pasverti rizikas. „Debesų“ specifika, kai duomenys gali būti laikomi ne toje pačioje šalyje, kurioje įsikūręs jų valdytojas, ir net ne vienoje šalyje – kelia tam tikrų iššūkių dėl jų teisinės apsaugos, kuri įvairiose šalyse gali būti reglamentuojama skirtingai.

Kaip apsaugoti duomenis sudarant sutartis dėl duomenų perkėlimo į „debesis“? Tuo tikslu tarptautinė darbo grupė dėl duomenų apsaugos, naudojant telekomunikacijas, neseniai patvirtino praktines rekomendacijas duomenų valdytojams, t.y. įmonėms sudarančioms sutartis dėl jų valdomų duomenų perkėlimo į „debesis“.

Jose rekomenduojama, kad duomenų valdytojas sutartyje su „debesų“ paslaugų teikėju reikalautų pateikti išsamų sąrašą valstybių, kuriose duomenų tvarkytojas ir/ar jo subrangovai planuoja saugoti ar tvarkyti valdytojo duomenis, įskaitant ir atsargines jų kopijas. Duomenų tvarkytojas turėtų įsipareigoti, kad nei jis, nei jo subrangovai (vadinamieji duomenų subtvarkytojai) neteiks duomenų į valstybes, nenurodytas sutartyje, nepaisant to, ar duomenys būtų šifruojami, ar ne, ir neatsižvelgiant į galimus duomenų teikimo tikslus.

Taip pat sutartyje su „debesų“ paslaugos teikėju turėtų būti aiškiai nurodyta, kad jis asmens duomenis tvarkys tik pagal duomenų valdytojo instrukcijas. Be to, jam turėtų būti draudžiama naudoti iš duomenų valdytojo gautus duomenis savo verslo tikslais.

Jei „debesų“ paslaugų teikėjui būtų leidžiama vienašališkai keisti paslaugų sutarties sąlygas, tada duomenų valdytojui turėtų būti garantuojama teisė vienašališkai nutraukti sutartį ir perkelti savo duomenis pas kitą „debesų“ paslaugų teikėją.

Duomenų valdytojas gali reikalauti sudaryti sąlygas patikrinti visas vietas, kur buvo, yra ar bus tvarkomi asmens duomenys.

Pagal sutartį duomenų valdytojui turėtų būti užtikrinta teisė gauti visą informaciją apie debesų kompiuterijos paslaugų teikėją ir jo subrangovus, kai tai reikalinga užtikrinti tinkamą sutarties ir taikomų duomenų apsaugos taisyklių laikymąsi.

Duomenų valdytojas turėtų galėti pasamdyti patikimą trečiąją šalį (pavyzdžiui – audito įmonę), kuri galėtų patikrinti, kaip „debesų“ kompiuterijos paslaugų teikėjas ir jo subrangovai, jeigu tokių yra, tvarko duomenų valdytojo duomenis „debesyse“.

Prieš pradėdamas naudotis debesų kompiuterijos paslaugomis, duomenų valdytojas turėtų atlikti rizikos vertinimą, atsižvelgdamas į specialias sąlygas ir aplinkybes, kuriomis „debesų“ teikėjas ir jo subrangovai tvarkys iš valdytojo gautus duomenis. Toks rizikos vertinimas turėtų būti periodiškai atnaujinamas.

Taip pat duomenų valdytojas turėtų užsitikrinti lanksčias sutarties nutraukimo galimybes ir aktyvią „debesų“ teikėjo pagalbą perkeliant duomenis į kitą vietą tam, kad netaptų priklausomas nuo vieno „debesų“ teikėjo.

Duomenų valdytojas taip pat turėtų nuspręsti, ar jam būtina turėti saugų priėjimą prie bent vienos tinkamos naudoti duomenų kopijos, priėjimas prie kurios nepriklausytų nuo „debesų“ teikėjo ar jo subrangovų.

Duomenų saugumo pažeidimo atveju duomenų valdytojas turėtų prisiimti visą atsakomybę už savo įsipareigojimus prieš asmens duomenų apsaugą kontroliuojančias institucijas ir prieš duomenų subjektus bei imtis atitinkamų veiksmų. Pagal sutartį debesų kompiuterijos paslaugų teikėjas turėtų nedelsdamas išsamiai informuoti duomenų valdytoją ir/arba asmens duomenų apsaugą kontroliuojančią instituciją apie duomenų saugumo pažeidimą.

Duomenų valdytojas turėtų įpareigoti „debesų“ teikėją užtikrinti, kad duomenų subjektai turėtų realią galimybę pasinaudoti savo įstatyminėmis teisėmis, susijusiomis su teise susipažinti, ištaisyti, sunaikinti duomenis ar sustabdyti savo duomenų tvarkymą.