Publikuota portaluose infolex.lt, įdebesis.lt, delfi.lt.

Vienas iš pagrindinių nerimą keliančių aspektų, kuriuos išskyriau paskutiniame savo strapsnyje bei kuriuos išskiria ir kiti autoriai, yra duomenų apsauga „debesyse“. Kur gi iš tiesų yra mūsų duomenys? Ar jie saugūs? Šiuos klausimus bei atsakymus į juos pateikia tiek debesų paslaugų teikėjai, tiek ir teisininkai, aptarinėjantys šią technologiją.
 Tačiau šį kartą aš noriu koncentruotis ne į bendrą duomenų saugojimo vietos bei jų apsaugos problemą ir jos sprendimą, o noriu aptarti konkretesnį klausimą: asmens duomenų apsauga „debesyse“ dabar ir po ES asmens duomenų apsaugos reformos.
 Visų pirma reikėtų paaiškinti, kas yra asmens duomenys. Asmens duomenys – tai bet kokia informacija, susijusi su tam tikru asmeniu – jo privačiu, profesiniu ar viešu gyvenimu. Tai - vardas ir pavardė, nuotrauka, e. pašto adresas, jūsų banko duomenys, jūsų pastabos socialinių tinklų svetainėse, informacija apie jūsų sveikatą arba jūsų kompiuterio internet protokolo (IP) adresas ir t.t.
 Taigi informacija, kurią talpinate į „debesį” gali būti asmens duomenys (kai kalbame apie individualius vartotojus) – nuotraukos, informacija apie savo asmeninį gyvenimą, užrašai, dienoraščiai bei bet kokia informacija, iš kurios galima nustatyti jūsų tapatybę. Ar teikėjai yra pasiruošę saugoti tokius duomenis?
 Taip pat svarbu atsižvelgti ir į naująją asmens duomenų apsaugos reformą. ES duomenų apsaugos taisyklės taikomos tais atvejais, kai iš tokių duomenų galima tiesiogiai arba netiesiogiai nustatyti asmens tapatybę. ES pagrindinių teisių chartijoje nustatyta, kad kiekvienas turi teisę į asmens duomenų apsaugą visose gyvenimo srityse: namuose, darbe, apsipirkdamas, gydydamasis, policijos nuovadoje arba internete. Iš esmės tai, kas buvo įtvirtinta 1995 m. duomenų apsaugos direktyvoje dabar bus sukonkretinta ir priderinta prie mūsų laikmečio sąlygų. ES komisija siekia stiprinti asmenų teises; stiprinti ES vidaus rinką; užtikrinti aukšto lygio duomenų apsaugą visose srityse, įskaitant policijos veiklą ir bendradarbiavimą nagrinėjant baudžiamąsias bylas; užtikrinti, kad būtų laikomasi taisyklių, ir nustatyti visuotinius duomenų apsaugos standartus.
 Iš esmės siūlomi pakeitimai leis geriau kontroliuoti savo asmens duomenis bei lengviau su jais susipažinti ir žinoti kur jie yra.
 Pagrindiniai ES duomenų apsaugos taisyklių pakeitimai:
 1) „teisė būti pamirštam“ (t. y. reikalauti ištrinti asmens duomenis) padės žmonėms geriau valdyti internete keliamą grėsmę duomenų apsaugai. Supaprastinta galimybė ištrinti savo duomenis iš tinklo.
 2) Bus galima lengviau susipažinti su savo asmens duomenimis ir bus užtikrinta teisė perkelti duomenis, t. y. bus lengviau perduoti asmens duomenis iš vieno paslaugų teikėjo kitam.
 3) Įmonės ir organizacijos apie rimtus pažeidimus turės pranešti kuo greičiau (jei įmanoma, per 24 valandas).
 4) Visoje ES taikomos vienodos duomenų apsaugos taisyklės. Bendrovės turės bendrauti tik su viena nacionaline duomenų apsaugos institucija – toje ES šalyje, kurioje yra organizacijos pagrindinė buveinė.
5) Asmenys visais atvejais turės teisę kreiptis į savo šalies nacionalinę duomenų apsaugos instituciją, net ir tuomet kai jų asmens duomenys tvarkomi ne jų šalyje.
 6) ES taisyklės bus taikomos ES nepriklausančiose šalyse įsteigtoms bendrovėms, jei jos ES siūlo prekes ar paslaugas arba stebi piliečių elgseną internete.
 7) Didesnė duomenis tvarkančių subjektų atsakomybė ir atskaitomybė.
8) Bus pašalinta nereikalinga administracinė našta, pvz., pranešimų teikimo reikalavimai asmens duomenis apdorojančioms įmonėms.
 9) Nacionalinės duomenų apsaugos institucijos bus sustiprintos, kad savo šalyje galėtų geriau užtikrinti ES taisyklių laikymąsi.
 
Taigi „debesyse” asmuo taip pat gali pagrįstai tikėtis įvairiapusės asmens duomenų apsaugos.
 Kaip minėjau savo ankstesniame straipsnyje („Verslo žinios”, 2012.02.08), pasauliniai debesų kompiuterijos paslaugų teikėjai (pvz., Google, Facebook ir t.t.) į tam tikrus klausimus, susijusius su bendrųjų duomenų bei asmens duomenų saugumu „debesyse” atsako labai miglotai. Duomenų saugumo aspektas tampa dar svarbesnis žiūrint iš duomenų apsaugos reformos perspektyvos. Šiuo atveju yra svarbūs tokie aukščiau minėti aspektai, kaip teisė būti pamirštam, galimybė lengvai pakeisti paslaugų tiekėją bei asmens teisė susižinoti apie savo duomenis (kas galiojo ir iki šiol).
 Žiūrint iš „debesų” kompiuterijos paslaugų pusės, teisė būti pamirštam reiškia, jog „debesų" paslaugų teikėjas vartotojo pageidavimu privalės panaikinti (ištrinti) visus su vartotoju susijusius duomenis, kai šis nutraukia bet kokius santykius su konkrečiu paslaugų teikėju. Šiuo metu pasauliniai paslaugų teikėjai pakankamai ilgą laiką saugo asmens duomenis jam apie tai nepranešdami arba tiesiog nevykdydami vartotojo pageidavimo ištrinti minėtus duomenis. Taip pat įstatymine baze nustatyti tokius terminus yra sunku, kadangi pasaulinių teikėjų atveju nėra aišku kurios valstybės teise vadovautis. Duomenų apsaugos reforma šią problemą sprendžia suvienodindama reikalavimus Europos Sąjungos šalims (tačiau JAV ir ES santykis „debesų” srityje vis tiek lieka miglotas).
 Taip pat svarbi naujosiose taisyklėse, kurios turėtų įsigalioti po poros metų, yra galimybė laisvai pakeisti debesų kompiuterijos paslaugų teikėją. Šis klausimas vėl gi nėra aiškiai aptartas ar reglamentuotas bei taip pat siejasi su prieš tai minėta teise būti pamirštam. Iki šiol pasauliniai paslaugų teikėjai nėra aiškiai reglamentavę ir apibrėžę savo sutartiniuose įsipareigojimuose galimybės pakeisti teikėją bei tuo labiau perkelti savo duomenis iš vieno teikėjo duomenų centrų į kito. Būtent tai kelia tam tikrą nepasitikėjimą pačia debesų kompiuterijos paslauga kaip visuma. Tačiau su naujosiomis ES duomenų apsaugos taisyklėmis tokia galimybė lengvai pakeisti paslaugų teikėją yra sudaroma ir galioja taip pat ir debesų paslaugų teikėjams.
 Šios ir kitos minėtos naujovės verčia pačius debesų paslaugų teikėjus keisti savo politiką.
 Tačiau pažiūrėkime iš kitos pusės. Mano minėti neramumai bei problemos iš dalies yra siejamos su pasauliniais debesų paslaugų teikėjais, o kaip yra su vietiniais šių paslaugų teikėjais?
 Kai šnekame apie vietinius debesų paslaugų teikėjus galimybė tartis ir derėtis yra vienas pagrindinių aspektų.
 Mažieji paslaugų teikėjai dėl savo nedidelės apimties bei būstinės vietos gali būti patrauklūs vartotojams. Žiūrint iš šios pusės reiktų paminėti, kad realiai vietiniai paslaugų teikėjai dėl finansinių ar kitų priežasčių dažniausiai vartotojų duomenis talpina viename ar keliuose toje pat šalyje esančiuose duomenų centruse. Dėl šios priežasties sumažėja neaiškumas dėl duomenų buvimo vietos. Taip pat konkrečią duomenų saugojimo vietą dažniausiai galima suderinti su vietiniu teikėju iš anksto.
 Kalbant apie asmens duomenų apsaugą, vietiniai paslaugų teikėjai turi vadovautis galiojančiais asmens duomenų teisinės apsaugos teisės aktais (pvz., LR asmens duomenų teisinės apsaugos įstatymas). Reiškia, jog kaip ir kiti asmens duomenų tvarkytojai ar valdydojai šie turi nepažeisti konkrečių šiuose įstatymuose įvardintų normų. Be to, kai šnekame apie vietinius debesų paslaugų teikėjus galimybė tartis ir derėtis yra vienas pagrindinių aspektų. Taip yra dėl to, kad visų pirma jiems yra paprasčiau prisitaikyti prie duomenų apsaugos normų pakeitimų (pvz., ES duomenų apsaugos reforma) bei tai, kad jie yra arti kliento ir turi galimybę daryti kompromisus. Jeigu šie nedarytų tam tikrų išlygų ar neprisitaikytų prie klientų poreikių, prarastų savo klientus, nes tokiu atveju jie nesiskirtų nuo didžiųjų, pasaulinių paslaugų teikėjų.
Taigi, įvertinus pagrindinius duomenų apsaugos aspektus galima daryti išvadą, jog norint prisitaikyti prie duomenų apsaugos reformos teikiamų naujovių, debesų kompiuterijos (bent jau Europoje) laukia tam tikri pokyčiai.