Blogi
Advokaadibüroo SORAINEN blog
31.05.2011
Kui pilvest saab tuhapilv ehk pilvandmetöötluse ohud
 |
| Advokaadibüroo |
|
|
Kellele ei meeldiks pilvandmetöötluse (ingl.k. cloud computing) suurepärased võimalused? Hulga vähem on meie hulgas aga neid, kes on pilvandmetöötluse kasutuselevõtmisel kaalunud sellega kaasnevaid õiguslikke riske.
Väga paljud meist – nii füüsilised isikud kui ka ettevõtjad – kasutavad pilvandmetöötlust igapäevaselt, näiteks Gmail, veebipõhised kliendiandmebaasi- ja raamatupidamislahendused.
Õnnetus ei hüüa tulles. Piisab ühest ootamatust sündmusest ning teenused, millega oleme harjunud ja mille kättesaadavust peame enesestmõistetavaks, ei ole enam kättesadavad. Kuid ootamatute sündmuste juhtumine ei ole ainuomane pilvandmetöötlusele – neid juhtub ka siis, kui asutuse enda IT-süsteemid vastavad kõige kõrgematele standarditele.
Mis siis muudab pilvandmetöötluse riskid sedavõrd eriliseks?
Miks peaks pilvandmetöötluse puhul täiendavalt hindama õiguslikke riske?
Erinevalt isiklikus arvutis või ettevõtja enda infosüsteemides asuvatest andmetest, ei ole kasutaja poolt pilve sisestatud andmete füüsiline asukoht alati selgesti tuvastatav. Pilvandmetöötlus ei tunne riigipiire ja see on ka üheks suurimaks õiguslike riskide allikaks. Problemaatiline võib olla ka vastutava teenusepakkuja tuvastamine, eriti juhul, kui pilvandmetöötlusel põhinevat teenust pakutakse edasimüüjate võrgustiku kaudu. Hägustunud on nii andmete füüsiline paiknemine kui ka isikute ring, kellel võib olla andmetele ligipääs.
Nii võivad pilve paigutatud andmed sattuda infosüsteemidesse, mis võivad korraga asuda isegi mitmes eri riigis, ning teie lepingupartner ei pruugi olla lõplik teenusepakkuja.
Pilvandmetöötlusele iseloomulikest õiguslikest riskidest mõned märkimisväärsemad on:
• Andmete füüsiline asukoht.
Kas andmete füüsiline asukoht on teada? Näiteks võib asukohariigi õigus kehtestada täiendavaid tingimusi või erisusi teatud liiki andmete töötlemisele. Halvemal juhul võib asukohariigi õigus kehtestada täiendavaid kohustusi andmete omanikule.
• Leping teenusepakkujaga.
Milline õigus kohaldub? Kas pooled on kokku leppinud kohtualluvuses? Näiteks on ettevõtja sõlminud lepingu pilvandmetöötluse kasutamiseks oma kontorist lahkumata, kuid vaidluse korral selgub, et kõik vaidlused tuleb lahendada nt California osariigi kohtutes. Vastutuse piirangud ja välistused?
• Isikuandmete töötlemisega seotud õiguslikud küsimused.
Riigiti on isikuandmete töötlemine väga erinevalt reguleeritud. Näiteks ei või Eestist reeglina edastada ilma Andmekaitse Inspektsiooni eelneva loata isikuandmeid (nt töötajate andmebaasi) riikidesse, kus pole tagatud piisav andmekaitse tase. Isikuandmete töötlemisele on seadusega kehtestatud suurel hulgal nõudmisi, mille täitmise eest vastutab ettevõtja kui andmete vastutav töötleja.
• Autoriõiguste kaitse.
Kas asukohariigi õigus kaitseb pilve paigutatud teoseid, mille loomisega olete palju vaeva näinud? Mida ütleb leping teenusepakkujaga?
• Väljumisstrateegia.
Kuidas on tagatud pilve paigutatud andmete pilvest välja toomine? Kas pilvest välja toodud andmeid on võimalik viia teise teenusepakkuja juurde?
• Andmete terviklikkus ja käideldavus.
Kuidas on tagatud teie ärile elutähtsate andmete turvalisus ja käideldavus? Millised õigused on teenusepakkujal seoses pilve paigutatud andmetega?
Eraldi tasub uurida teenusepakkuja vastutuse ulatust. Näiteks peaks lepingust uurima, kas teenusepakkuja vastutab temale usaldatud ärisaladuse lekkimise või kliendiandmebaasi kaotsimineku eest. Tõsi, tarbijatel ja (väike)ettevõtjatel on reeglina peaaegu võimatu eelnevalt väljatöötatud lepingutingimusi mõjutada, kuid riskidest tuleks teadlik olla ning alles siis teha valikud. Tasub tähele panna, et kasutatava infosüsteemi (sh pilvandmetöötluse teenuse) rike või pooleliolev vaidlus pilvandmetöötluse teenusepakkujaga ei ole reeglina teie enda vastutust välistav asjaolu.
Sõltuvalt andmete olulisusest võib olla otstarbekas osta kõrgema teenusetasemega teenus, mis tagab parema tehnilise ja õigusliku kaitse (mis näiteks kohustab teenusepakkujal oma vastutuse kindlustama).
Pilvandmetöötluse kasutuselevõtmisel tuleks kaardistada õiguslikud riskid ning hinnata võimalike riskide realiseerumise korral enese suutlikkust ja ressursse probleemiga tegeleda. Lähtudes andmete tundlikkusest ja nende turbele ning käideldavusele esitatavatest nõuetest, tuleks õiguslikke riske kaaluda pilvandmetöötlusega kaasnevate positiivsete mõjude valguses.
Artikli autorid on Kaupo Lepasepp, advokaadibüroo SORAINEN partner (pildil paremal) ja Mihkel Miidla, advokaadibüroo SORAINEN vandeadvokaat.