Mustad pilved andmetöötluses?

Pilvandmetöötlus muutub üha populaarsemaks lahenduseks andmete hoidmisel, sest loob mugava alternatiivi kohapealsetele andmekandjatele. Andmete hoidmisel pilves ei ole need aga enam andemete eest vastutust kandva isiku käeulatuses. See omakorda toob kaasa mitmeid riske, kuna andmete töötlemine peab siiski andmekaitse reeglitega kooskõlas olema.

Tänapäeva internetiärid toituvad juba ammu suuremas osas andmetest - big data, data mining ja profiling – on sõltuvad andmete kogumisest ja nende töötlemisest – järelikult on andmed väärtus, mis äri kontekstis ootab vaid õiget ostjat. Teenuste kohta, mida internetis pakutakse tasuta, kehtib ütlus, et nende teenuse pakkujate ainus viis teenimiseks on andmete müük, mida nad teenuse kasutajate kohta koguvad.   

Selles kontekstis peaks äriettevõtteid tegema eriti ettevaatlikuks 2018. aasta mais jõustuv andmekaitsemäärus, mis muudab andmekaitse reeglid rangemaks ja sätestab ka märkimisväärsed rahalised sanktsioonid, rääkimata rikkumistega seonduvast mainekahjust, mis väärtuslike andmete lekkimisel võib tekkida.

Kuigi pilved ei ole midagi müstilist võrreldes andmete tavapärase serveris hoidmisega, suurendab andmetega seotud riske pilve olemus – andmed on nüüd kellegi teise serveris ja server asukoht, turvalisus, ligipääsetavus, jätkusuutlikkus jms on tihti ebaselge ning muutuv  ja ei pruugi olla vastutavale töötlejale (sellele, kelle kohustus on andmeid turvaliselt hoida) teada ega kontrollida. Seda ennekõike pilvede puhul, mille kasutamisel ei räägita teenusetingimusi poolte vahel läbi vaid kohalduvad standardsed tingimused.

Tihtipeale neid tingimusi teenuse kasutaja isegi ei loe ning eeldab teatud turvalisust, kontrolli andmete ja nende kustutamise üle, teenuse osutaja käitumist. Isikuandmete töötlemisel võib selline teguviis saada aga äritegevusele saatuslikuks. Näiteks ühe levinud pilveteenuse osutaja, Dropboxi, tingimused näevad ette, et Dropbox hoiab andmeid serverites, mis asuvad üle maailma, sh Ameerika Ühendriikides. Uus andmekaitsemäärus on aga range ning nõuab, et isikud teaks kes ja kus nende andmeid hoiab ning kohustab andmete vastutavat töötlejat tagama andmete turvalisuse. Juhul kui andmeid hoitakse riigis, mis ei vasta uue andmekaitsemääruse kohaselt andmekaitse nõuetele või mille nõuetele mittevastavus on vaidluse all (nagu nt Ameerika Ühendriigid), võib selle ilmsiks tulekul kaasneda karm trahv ning lekke korral ka mainekahju. Selliseid riske on võimalik maandada ja negatiivseid juhtumeid ära hoida tutvudes tingimustega enne pilveteenuse pakkuja valimist ning võimaluse korral tingimused enda vajaduste järgi kohandada. Seda teeb hetkel ka Eesti riik otsides võimalus andmesaatkondade majutamiseks erinevates maailma paikades. Selleks, et teada, mis on teie kohustus ettevõtjana, võiks korraks mõelda end kodanikuna riigiteenuste tarbija rolli (mis enamusele lugejatele pruugib olla reaalsus) ning mõelda, mis tunne oleks kui riik meie kõik andmed homme lihtsalt Dropbox´i või Google Drive´i paneb ilma vestluse või läbirääkimisteta teenuse pakkujaga. Kui Teile selline olukord ei meeldiks, siis saate te hästi aru, mida tunneb teie klient kuuldes sarnasest käitumisest. 

Iga vastutava andmetöötleja, olgu ta suur või väike, seisukohast on oluline põhjalikult analüüsida pilvede kasutamise võimalusi ning sellega kaasnevaid riske. Andmete pilvedesse laadimisse ei tohi suhtuda kergekäeliselt ning mugavus ei tohi üles kaaluda andmete turvalisust.

Mõeldes enne andmete pilve panemist läbi riskid ja nende võimalikud lahendused, aitab vältida ja ennetada pilvede mustaks ja suureks riskiallikaks muutumust.

Siiri Kuusik viib läbi 25. jaanuaril toimuva veebiseminari"

teemal "Pilvelahendused ja uus andmekaitsemäärus

Autor: Siiri Kuusik, NJORD Advokaadibüroo advokaat