USD:  25.90  26.13   EUR:  28.79  29.32  

Эмиграция данных. Как правильно выбрать сервер за рубежом

15.07.2013 16:15
Эмиграция данных.  Как правильно выбрать сервер за рубежом
Дмитрий Гадомский, адвокат, партнер практики IT и медиа-права АО Юскутум
Что нужно знать, выводя хранилище корпоративных данных из Украины в более безопасную юрисдикцию: рекомендации юриста Дмитрия Гадомского
Еще совсем недавно, весной этого года, на конференции Риф+Киб в Москве автор услышал от нескольких сотрудников телекоммуникационных компаний любопытную фразу: "Мы думаем у вас в Украине дата-центры строить". Тогда  можно было поддержать такую инициативу и похвалить украинское  законодательство. Мы только-только подготовили законопроект о запрете силовикам изымать серверы.

  Однако, за прошедшие несколько месяцев правоохранительные органы показали, что ни о каком хранении данных в Украине не может быть и речи. Как обычно - топорно и бессмысленно -  изъяли технику у WebMoney: постановлением следственного судьи, без глубокого анализа сути дела, на самой начальной стадии расследования. Позже появилась информация о серверах, случайно отобранных у ВКонтакте.

См. также инфографика: Маски-шоу. Десятка самых резонансных IT-проверок и обысков
                                  тест: Насколько ваша компания уязвима для силовиков

Еще несколько лет назад украинские юристы чаще помогали клиентам регистрировать в Украине свои представительства, консультировали по сертификации оборудования, помогали растаможить товар. Сейчас мы отмечаем противоположную тенденцию - все больше заказов на ликвидацию иностранных представительств, помощь в списании оборудования. Вместо того, чтобы реализовывать отличную перспективу стать страной хранения данных, Украина превращается в страну, из которой все стараются эти самые данные вывести.
Еще несколько лет назад украинские юристы чаще помогали клиентам регистрировать в Украине свои представительства, консультировали по сертификации оборудования, помогали его растаможить. Сейчас мы отмечаем противоположную тенденцию - все больше заказов на ликвидацию иностранных представительств, помощь в списании оборудования 
К  огромному сожалению, предупредить изъятие серверов и оборудования правовыми методами невозможно. Остается только надеяться, что законопроекты и другие подобные инициативы попадут в правильные руки и бессмысленные действия правоохранительных органов в отношении серверов и данных будут, наконец, прекращены. Ну а пока этого не случилось, есть смысл готовиться к переносу серверов  корпоративных данных в другую, более безопасную страну.

Украинское законодательство не содержит каких-либо ограничений, или запретов на вынос данных за рубеж. Но все же при "эмиграции" данных за рубеж рекомендую позаботиться о защите своих интересов, а также о защите интересов своих клиентов. Следует учитывать пять основных факторов.

1. Помнить о рисках потери данных. Даже провайдер наивысшего уровня надежности Tier IV (отказоустойчивый центр обработки данных, сохраняющий операции при любых внеплановых действиях. - ред. ) может потерять данные. Совсем недавно компания Evernote, которая предоставляет популярнейший сервис онлайн-записок, в официальном обращении заявила, что хакеры получили доступ к ее компьютерным системам и данным пользователей.

Следовательно, заключение договора о предоставлении услуг хранения данных за рубежом - это не просто формальность, а вполне обоснованная головная боль и время, потраченное на вычитку и согласование договора. Важны, как минимум, два вопроса: какой суд будет рассматривать спор и как идентифицировать информацию, чтобы оценить ущерб на случай форс-мажора?

2. Выбрать правильный суд. Если стороны в договоре не выбрали суд, который будет рассматривать спор, то с иском о компенсации за утраченную информацию украинская компания будет обращаться в суд по месту нахождения своего контрагента или же по месту нахождения данных. Это означает, что если серверы находятся во Франкфурте-на-Майне, то и судиться придется, скорее всего, там.

Однако, возможен другой вариант:информация будет храниться на разных серверах в разных странах. И достоверно установить факт нахождения информации в конкретной стране и, следовательно, определить подсудность, будет невозможно. А если мы говорим о потере данных и, вероятно, о немалом размере ущерба, то, скорее всего, дата-центр в целях защиты будет использовать любые процессуальные уловки чтобы затянуть процесс и вымотать украинскую сторону.

Для того чтобы устранить проблему выбора подсудности стороны могут договориться о том, в какой суд они передают все возможные споры, включая и споры о компенсации за пропавшую информацию. Самый разумный вариант - определить для рассмотрения споров не государственный суд, а конкретный арбитражный форум, в котором будут решаться все споры - Лондонский, Стокгольмский, Венский, Парижский или иной международный арбитражный суд.

3. Заранее оценить возможный ущерб.
Данные находятся в непрерывном движении, они могут изменяться каждый день, как по форме, так и по объему. Если информация утрачена, то как определить и, самое главное, как доказать суду ее действительную стоимость?

Для того чтобы не задаваться этим вопросом и максимально упростить процесс доказывания, рекомендуем прямо в договоре зафиксировать размер штрафа за утрату информации. И даже если эта цифра в какой-то момент времени перестанет отражать действительной стоимости информации, следует помнить, что в ином случае стоимость утраченной информации может быть вовсе не установлена и не доказана в судебном порядке.

4. Защитить данные от провайдера. Хранение данных на удаленном сервере почти всегда предусматривает техническую возможность для провайдера получить доступ к данным своих клиентов. Следовательно, если у клиента перед их контрагентами есть обязательства о неразглашении конфиденциальной информации, то использование облачных технологий автоматически является нарушением этих обязательств.

Самым простым способом выхода из такой ситуации могло бы быть установление соответствующей оговорки в договорах о неразглашении конфиденциальной информации, однако, это не всегда возможно.

5. Предупредить своих пользователей.
Очень часто услуги, предоставляемые провайдером облачных сервисов, связаны с защитой персональных данных клиента, который пользуется при этом специфическими правами. Речь идет о хранении информации о физическом лице, по которой его можно идентифицировать.  

В ст. 8 закона "О защите персональных данных" закреплено право субьекта персональных данных (ПД) знать о местонахождении базы ПД. При этом под определением "местонахождения" законодатель подразумевает фактический адрес хранения носителей информации. Соответственно, если данные переносятся в другую юрисдикцию, клиентам необходимо об этом аккуратно сообщить. Например, путем внесения соответствующих изменений в договор с клиентом.

Дмитрий Гадомский,
адвокат, партнер практики IT и медиа-права АО Юскутум


Печать
Материалы, публикуемые в разделе Мнения, отражают исключительно точку зрения их авторов и могут не совпадать с позицией редакции портала ЛІГА.net и Информационное агентство "ЛІГАБізнесІнформ"