На что обратить внимание, если вы решили вывести данные в "облака"

Сегодня в мире облачные технологии приобретают все большую популярность. Если раньше к этой экзотической для нашей страны услуге относились с опаской, то сейчас подозрения все чаще уходят в сторону и уступают место рациональной и трезвой оценке самой услуги. Поэтому в Украине наблюдается тенденция перенесения компаниями своих данных в облако.

Для этого есть разные причины. Во-первых, это возможность удешевить обслуживание IT процессов в компании, что, учитывая глобальную тенденцию к оптимизации затрат, является немаловажным аргументом. Также появляется возможность доступа к данным практически из любой точки мира (где присутствует Интернет). Кроме того, как правило, риск полной утраты данных намного меньше, если данные хранятся у профессионального провайдера облачных технологий, поскольку уровень защиты данных более высок. К тому же доступ третьих лиц (в том числе государственных органов) к данным, которые хранятся в облаке, значительно усложняется вследствие наличия дополнительного звена в виде провайдера облачных услуг.

Для украинского бизнеса последний аргумент становится сегодня одним из ключевых при принятии решения о перемещении части данных на хранение и обслуживание в облако. И дело не в том, что компании хотят что-то скрыть. Просто, к сожалению, в наших реалиях и в нашей стране вероятность того, что к вам "заглянут" правоохранительные органы с обыском и заберут данные, в том числе с серверов, намного выше, чем в других странах. Поэтому все больше компаний задумываются о том, чтобы передать часть важных данных на хранение провайдеру облачных сервисов, предпочтительнее чьи сервера находятся за рубежом (хотя и в Украине существует ряд надежных партнеров).

Сам факт наличия такой глобальной услуги и доступа к ней украинских компаний, конечно же, вносит некоторую долю оптимизма в нашу жизнь. Однако, как это часто бывает, наше законодательство не поспевает за стремительным развитием мировых технологий и их молниеносной имплементацией в наши бизнес процессы. Поэтому вопросы передачи данных в облако регулируются в основном в договорном порядке и зависят, прежде всего, от опыта и осведомленности сторон.

В связи с отсутствием специального правового регулирования в сфере передачи и хранения данных в облаке (которое, к слову, существует в большинстве стран Европы), хотелось бы обратить внимание на несколько моментов, которые могут быть полезны для тех, кто рассматривает вариант передачи данных в облако.

Выбор провайдера

Если говорить об основных юридических моментах, то потенциальному контрагенту желательно задать несколько важных вопросов. А именно:

1. В какой стране находится сервер, на котором будут храниться переданные данные? Это нужно знать, во-первых, для того, чтобы понять, имеет ли компания право вообще в данную юрисдикцию что-то передавать. Во-вторых, можно будет понять, на каких основаниях провайдер обязан будет предоставить доступ третьим лицам к информации, которую он хранит на своих серверах на территории соответствующего государства (регулируется соответствующими двухсторонними международными договорами).

2. Как защищаются данные? Кто привлекается к защите? Кто оценивает уровень защиты? Такая информация понадобится в последующем при заключении договора и определении ответственности сторон.

3. Будет ли провайдер пользоваться переданными данными для собственных нужд? Если да, то, возможно, компании нужно будет делать дополнительные шаги к подготовке соответствующих данных к передаче (например, собрать согласия соответствующих субъектов персональных данных).

Что нужно проверить перед передачей данных:

1. Какие данные, в каком виде и в каком составе будут передаваться (персональные данные, данные о клиентах; в виде списков, электронной почты, копий документов и т.п.).

2. В случае персональных данных нужно проверить условия согласия физических лиц (если оно предоставлялось) относительно передачи их данных третьим лицам.

3. Существуют ли какие-либо договорные препятствия для передачи определенных данных в облако (например, условия о конфиденциальности в договорах с клиентами).

4. Есть ли в составе данных, которые будут передаваться, особые категории, такие как, информация о состоянии здоровья, биометрические или генетические данные. Для них установлен отдельный режим защиты и обработки.

Договор с провайдером

Моменты, которые важно учесть и прописать в договоре:

1. Уровень защиты данных, которые передаются.

2. Наличие/отсутствие резервных копий с данными на случай непредвиденного удаления.

3. Размер ответственности провайдера в случае утраты данных.

4. Исключительный список оснований, при которых провайдер может иметь доступ к данным, которые он хранит.

5. Обязанность уведомления клиента о попытках незаконного доступа к данным (если есть техническая возможность).

6. Перечень всех стран, где будут храниться данные и соответствующие резервные копии.

7. Срок хранения данных провайдером после окончания действия договора.

8. Исключительный перечень оснований, на которых стороны могут изменять условия в одностороннем порядке.