Euroopa Kohus otsustas kuu alguses, et Euroopa Liidu ja USA vaheline nn Safe Harbouri andmevahetuse leping on kehtetu, kuna see võimaldab USA-l Euroopa inimesi jälgida.
- Facebooki andmekeskus Rootsis. Euroopa Kohtu otsuseni viis üliõpilase kaebus Facebooki peale, kes avaldas tema andmed USA valitsusasutusele. Foto: EPA
Mida tähendab see Eesti ettevõtetele? Paljud kasutavad siin USA pilveteenuseid. Kas tuleks kriitiliselt oma andmed ja nende säilimine üle vaadata?
Eesti Telekomi ärikliendiüksuse direktori Tarmo Kärsna sõnul Euroopa Kohtu otsus eestlasi siiski väga palju ilmselt ei puuduta.
“Ent siiski on ka meil ettevõtteid, kes kasutavad USA andmekeskusi nagu Amazon, DigitalOcean, Rackspace jt. Võimalik, et nimetatud teenusepakkujad peavad andmed USAst Euroopa serveritesse üle tooma,” tõi ta välja. See võib kaasa tuua kulud ja hinnatõusu.
Klient võiks huvi tunda, kus ta andmeid hoitakse
“Siinkohal annan nõu, et kliendid, kes kasutavad erinevaid pilveteenuseid, võiksid teenusepakkujalt alati küsida, kus riikides andmeid hoiustatakse,” soovitas ta. Näiteks Eesti Telekom hoiustab oma teenuste pakkumisega seotud klientide andmeid vaid Eestis ja Euroopa Liidu riikides.
Mis puudutab Gmaili ja Facebooki-laadseid teenuseid, siis nende puhul ei saa kasutaja teada, kuhu serveritesse ta andmed paigutatakse. “On üsna tõenäoline, et praegu hoitakse andmeid ka USA serverites, sest sealsed serveriteenused on odavamad kui Euroopas. Euroopa Kohtu otsuse valguses peavad ka need ettevõtted kolima Euroopa Liidu kasutajate andmed Euroopasse ja viima oma teenuse vastavusse ELi nõuetega, nagu on teinud Microsoft,” lisas Kärsna.
Microsoft: meie teenus vastab Euroopa nõuetele
Microsofti Balti regiooni juht Rain Laane selgitas, et Microsofti pilveteenuseid kasutavaid ettevõtteid Euroopa Liidu Kohtu otsus ei mõjuta.
“Safe Harbor raamistikust sõltumata on Euroopa Liit välja töötanud tüüptingimused nn “model clauses” turvaliseks andmevahetuseks riikidega väljaspool Euroopa Liitu ja Microsoft pakub neid tüüptingimusi oma pilvelepingutes,” kinnitas ta.
Poolteist aastat tagasi tunnistas Euroopa Liidu 28 liikmesriigi andmekaitseinspektsioone ühendav töögrupp Microsofti pilveteenuste Azure’i, Office 365, Dynamics CRM Online’i ja Microsoft Intune’i andmekaitseprotseduurid ja lepingud vastavaks neile tüüptingimustele ja Euroopa Liidu nõuetele. “Seega on Euroopa andmekaitseregulaatorid öelnud, et ärikliendi andmed Microsofti pilves on kaitstud, olenemata sellest, kas andmed paiknevad Microsofti USA, Euroopa või muu maailma andmekeskustest,” lisas Laane.
Microsoft on järjepidevalt investeerinud andmekeskuste arendamisse üle maailma. “Meie põhimõte on ladustada andmed kliendile võimalikult lähedal. Meil on kokku üle 100 andmekeskuse 40 riigis. Neist neli asuvad Euroopa Liidus. Euroopa Office 365 klientide andmeid hoiame Iirimaa, Hollandi, Austria ja Soome andmekeskustes, Azure’i klientide andmeid aga Hollandi ja Iirimaa andmekeskustes,” selgitas Laane.
Pilves hoidmine sageli turvalisem
“Kui klient loob näiteks oma ettevõttele Office 365 konto Euroopa IP-aadressilt, siis ladestuvad andmed automaatselt Euroopas. Azure’i kontot luues saab klient ise määratleda, millises andmekeskuses andmed ladustatakse. Kui äriklient soovib teatud põhjustel oma andmeid hoiustada USAs või mujal maailmas – näiteks seetõttu, et olla lähemal oma klientidele – siis kaitsevad teda Euroopa Liidu tüüptingimused, mida Microsoft oma lepingutes pakub,” lisas ta.
Andmete hoidmine pilves on praktikas sageli turvalisem, kui ettevõttesiseses serveris. “Ma soovitan kliendil enne teenusepakkuja valimist välja selgitada, kas ja millistele standarditele teenus vastab. Kliendile annab standard garantii, et pakutav pilveteenus on kooskõlas Euroopa Liidu andmekaitsenõuetega, et andmed on kaitstud pahatahtlike rünnete eest, ning klient omab kontrolli oma andmete üle,” soovitas Laane.
Otsus võib hoopis meile häda tuua
Kui keegi arvab, et Safe Harbour leppe kehtetuks tunnistamine annab USA tehnoloogiahiiglastele löögi, siis päris nii see ei ole, kirjutab Primend OÜ tegevjuht Toomas Mõttus.
Muidugi peavad nad üle vaatama oma lepingute tingimused ja astuma samme, et Euroopa klientide andmed ei oleks USA andmekeskustes. Pretsedendipõhine USA kohtusüsteem on sundinud neid firmasid ülal pidama juristide armeesid ning ühe lepingu kohandamine ja täpsustamine on pigem nagu pealelõunane virgutusvõimlemine. Leppe kehtetuks tunnistamisest võib olla hoopis rohkem häda meile endale.
Kõigil suurtel pilveteenuseid pakkuvatel ettevõtetel on Euroopas üks või mitu andmekeskust, kus hoitakse Euroopa klientide andmeid. Amazonil on kaks suuremat ja hulga väiksemaid keskusi andmete puhverdamiseks. Google’il on Euroopas neli andmekeskust. Microsoftil on samuti Euroopa klientide andmed neljas suuremas andmekeskuses ning lisaks lepingud telekomi operaatoritega üle Euroopa andmete puhverdamiseks või ülikiire ühenduse tagamiseks.
Euroopa Liidu Kohtu otsuses ära nimetatud Facebookil on samuti juba mitu aastat Euroopa klientide teenindamiseks andmekeskus Rootsis. Microsoftil on isegi ette näidata kinnitused kõigilt 28 Euroopa Liidu andmekaitse eest vastutavalt ametilt, et Microsoft järgib nende riikide andmekaitsenõudeid.
Kitsendab valikuid
Euroopa Liidu Kohtu otsus pigem vähendab Euroopa tarbijate valikuid ning takistab Euroopa ettevõtjate tegevust.
Näiteks võivad suured teenusepakkujad hakata takistama Euroopa ettevõtete poolt USA andmekeskuste kasutamist, kuna nad ei oma kontrolli, mis andmeid nende kliendid serverites hoiavad. Näiteks hoiavad Eestis meditsiinitehnoloogiat arendavad ettevõtted, kes müüvad teenuseid USA turule oma andmeid USA andmekeskustes, mis on sertifitseeritud järgides meditsiinivaldkonna standardit HIPAA. Euroopa Liidus ühtset võrdväärselt tunnustatud standardit ei ole. Kus peavad need ettevõtted nüüd oma andmeid hoidma?
Idufirmadel raske laieneda
Paljud Eesti iduettevõtted testivad oma ideed Eestis ning seejärel lähevad kohe USA ehk kõige suuremale IT-turule. Selleks, et pakkuda USA tarbijale kiiret teenust, on mõistlik servereid jooksutada USA andmekeskustes.
Vaevalt, et nad hakkavad tegema mitut kaubamärki ja servereid asukohtade vahel sünkroniseerima – see on alustavale ettevõttele liiga suur kulu. USA turu ahvatlus võib neid sundida lõpetama teenuse lepingud Eesti klientidega, sest nad ei tohi hoida nende andmeid USA servereis.
Paar aastat tagasi andsin oma geeniproovi Silicon Valleys asuvale ettevõttele 23andMe. Geenivigu ei avastatud. Siiski on tegu tundlike terviseandmetega, mida 23andMe minu jaoks hoiab ja teavitab mind, kui tehakse mõni minu jaoks oluline avastus. Kas kohtuotsuse valguses on 23andMe sunnitud mulle teenuse osutamise lõpetama? Kas Euroopa Liidus on mõistlikke tarbijale suunatud alternatiive?
Või milline on edaspidi suhe Ühendkuningriigis registreeritud TransferWise’i ning tema USA klientide vahel? Kuidas peab TransferWise edaspidi USA klientide andmeid hoidma?
Taoliste küsimustega hakkavad juristid nüüd pead murdma ning selget ja ühest vastust ei tule nii pea. Euroopa Liidu tarbijate huve peab kaitsma ning sellest seisukohast oli Euroopa Kohtu otsus õige ja ainuvõimalik. Pigem peaks küsima, miks tuli selline otsus Euroopa Komisjonile üllatusena ning kus on Euroopa Komisjoni tegevuskava tekkinud segaduse lahendamiseks!
Artikkel ilmus Äripäeva juhtimise erilehes.
Seotud lood
Euroopa Liidu kõrgeima kohtu otsus kuulutada õigustühiseks ELi ja USA vahel 2000. aastal sõlmitud andmevahetusleping paneb keerulisse seisu firmad, mille ärimudel just sellele leppele tugineb.
Arvutipargi renditeenus on mugav, säästlik ja (tuleviku)kindel. Green IT tegevjuht Asko Pukk usub, et ettevõtete äriline fookus peab alati olema enda põhitegevusel, sektoril, mida teatakse peensusteni, et olla konkurentidest paremad – just selleks vajaliku aja ja raha renditeenus vabastab.