Эмиграция данных. Как правильно выбрать сервер за рубежом
Еще совсем недавно, весной этого года, на конференции Риф+Киб в Москве автор услышал от нескольких сотрудников телекоммуникационных компаний любопытную фразу: "Мы думаем у вас в Украине дата-центры строить". Тогда можно было поддержать такую инициативу и похвалить украинское законодательство. Мы только-только подготовили законопроект о запрете силовикам изымать серверы.
Однако, за прошедшие несколько месяцев правоохранительные органы показали, что ни о каком хранении данных в Украине не может быть и речи. Как обычно - топорно и бессмысленно - изъяли технику у WebMoney: постановлением следственного судьи, без глубокого анализа сути дела, на самой начальной стадии расследования. Позже появилась информация о серверах, случайно отобранных у ВКонтакте.
См. также инфографика: Маски-шоу. Десятка самых резонансных IT-проверок и обысков
тест: Насколько ваша компания уязвима для силовиков
Еще несколько лет назад украинские юристы чаще помогали клиентам регистрировать в Украине свои представительства, консультировали по сертификации оборудования, помогали растаможить товар. Сейчас мы отмечаем противоположную тенденцию - все больше заказов на ликвидацию иностранных представительств, помощь в списании оборудования. Вместо того, чтобы реализовывать отличную перспективу стать страной хранения данных, Украина превращается в страну, из которой все стараются эти самые данные вывести.
Украинское законодательство не содержит каких-либо ограничений, или запретов на вынос данных за рубеж. Но все же при "эмиграции" данных за рубеж рекомендую позаботиться о защите своих интересов, а также о защите интересов своих клиентов. Следует учитывать пять основных факторов.
1. Помнить о рисках потери данных. Даже провайдер наивысшего уровня надежности Tier IV (отказоустойчивый центр обработки данных, сохраняющий операции при любых внеплановых действиях. - ред. ) может потерять данные. Совсем недавно компания Evernote, которая предоставляет популярнейший сервис онлайн-записок, в официальном обращении заявила, что хакеры получили доступ к ее компьютерным системам и данным пользователей.
Следовательно, заключение договора о предоставлении услуг хранения данных за рубежом - это не просто формальность, а вполне обоснованная головная боль и время, потраченное на вычитку и согласование договора. Важны, как минимум, два вопроса: какой суд будет рассматривать спор и как идентифицировать информацию, чтобы оценить ущерб на случай форс-мажора?
2. Выбрать правильный суд. Если стороны в договоре не выбрали суд, который будет рассматривать спор, то с иском о компенсации за утраченную информацию украинская компания будет обращаться в суд по месту нахождения своего контрагента или же по месту нахождения данных. Это означает, что если серверы находятся во Франкфурте-на-Майне, то и судиться придется, скорее всего, там.
Однако, возможен другой вариант:информация будет храниться на разных серверах в разных странах. И достоверно установить факт нахождения информации в конкретной стране и, следовательно, определить подсудность, будет невозможно. А если мы говорим о потере данных и, вероятно, о немалом размере ущерба, то, скорее всего, дата-центр в целях защиты будет использовать любые процессуальные уловки чтобы затянуть процесс и вымотать украинскую сторону.
Для того чтобы устранить проблему выбора подсудности стороны могут договориться о том, в какой суд они передают все возможные споры, включая и споры о компенсации за пропавшую информацию. Самый разумный вариант - определить для рассмотрения споров не государственный суд, а конкретный арбитражный форум, в котором будут решаться все споры - Лондонский, Стокгольмский, Венский, Парижский или иной международный арбитражный суд.
3. Заранее оценить возможный ущерб. Данные находятся в непрерывном движении, они могут изменяться каждый день, как по форме, так и по объему. Если информация утрачена, то как определить и, самое главное, как доказать суду ее действительную стоимость?
Для того чтобы не задаваться этим вопросом и максимально упростить процесс доказывания, рекомендуем прямо в договоре зафиксировать размер штрафа за утрату информации. И даже если эта цифра в какой-то момент времени перестанет отражать действительной стоимости информации, следует помнить, что в ином случае стоимость утраченной информации может быть вовсе не установлена и не доказана в судебном порядке.
4. Защитить данные от провайдера. Хранение данных на удаленном сервере почти всегда предусматривает техническую возможность для провайдера получить доступ к данным своих клиентов. Следовательно, если у клиента перед их контрагентами есть обязательства о неразглашении конфиденциальной информации, то использование облачных технологий автоматически является нарушением этих обязательств.
Самым простым способом выхода из такой ситуации могло бы быть установление соответствующей оговорки в договорах о неразглашении конфиденциальной информации, однако, это не всегда возможно.
5. Предупредить своих пользователей. Очень часто услуги, предоставляемые провайдером облачных сервисов, связаны с защитой персональных данных клиента, который пользуется при этом специфическими правами. Речь идет о хранении информации о физическом лице, по которой его можно идентифицировать.
В ст. 8 закона "О защите персональных данных" закреплено право субьекта персональных данных (ПД) знать о местонахождении базы ПД. При этом под определением "местонахождения" законодатель подразумевает фактический адрес хранения носителей информации. Соответственно, если данные переносятся в другую юрисдикцию, клиентам необходимо об этом аккуратно сообщить. Например, путем внесения соответствующих изменений в договор с клиентом.
Однако, за прошедшие несколько месяцев правоохранительные органы показали, что ни о каком хранении данных в Украине не может быть и речи. Как обычно - топорно и бессмысленно - изъяли технику у WebMoney: постановлением следственного судьи, без глубокого анализа сути дела, на самой начальной стадии расследования. Позже появилась информация о серверах, случайно отобранных у ВКонтакте.
См. также инфографика: Маски-шоу. Десятка самых резонансных IT-проверок и обысков
тест: Насколько ваша компания уязвима для силовиков
Еще несколько лет назад украинские юристы чаще помогали клиентам регистрировать в Украине свои представительства, консультировали по сертификации оборудования, помогали растаможить товар. Сейчас мы отмечаем противоположную тенденцию - все больше заказов на ликвидацию иностранных представительств, помощь в списании оборудования. Вместо того, чтобы реализовывать отличную перспективу стать страной хранения данных, Украина превращается в страну, из которой все стараются эти самые данные вывести.
Еще несколько лет назад украинские юристы чаще помогали клиентам регистрировать в Украине свои представительства, консультировали по сертификации оборудования, помогали его растаможить. Сейчас мы отмечаем противоположную тенденцию - все больше заказов на ликвидацию иностранных представительств, помощь в списании оборудования
К огромному сожалению, предупредить изъятие серверов и оборудования правовыми методами невозможно. Остается только надеяться, что законопроекты и другие подобные инициативы попадут в правильные руки и бессмысленные действия правоохранительных органов в отношении серверов и данных будут, наконец, прекращены. Ну а пока этого не случилось, есть смысл готовиться к переносу серверов корпоративных данных в другую, более безопасную страну. Украинское законодательство не содержит каких-либо ограничений, или запретов на вынос данных за рубеж. Но все же при "эмиграции" данных за рубеж рекомендую позаботиться о защите своих интересов, а также о защите интересов своих клиентов. Следует учитывать пять основных факторов.
1. Помнить о рисках потери данных. Даже провайдер наивысшего уровня надежности Tier IV (отказоустойчивый центр обработки данных, сохраняющий операции при любых внеплановых действиях. - ред. ) может потерять данные. Совсем недавно компания Evernote, которая предоставляет популярнейший сервис онлайн-записок, в официальном обращении заявила, что хакеры получили доступ к ее компьютерным системам и данным пользователей.
Следовательно, заключение договора о предоставлении услуг хранения данных за рубежом - это не просто формальность, а вполне обоснованная головная боль и время, потраченное на вычитку и согласование договора. Важны, как минимум, два вопроса: какой суд будет рассматривать спор и как идентифицировать информацию, чтобы оценить ущерб на случай форс-мажора?
2. Выбрать правильный суд. Если стороны в договоре не выбрали суд, который будет рассматривать спор, то с иском о компенсации за утраченную информацию украинская компания будет обращаться в суд по месту нахождения своего контрагента или же по месту нахождения данных. Это означает, что если серверы находятся во Франкфурте-на-Майне, то и судиться придется, скорее всего, там.
Однако, возможен другой вариант:информация будет храниться на разных серверах в разных странах. И достоверно установить факт нахождения информации в конкретной стране и, следовательно, определить подсудность, будет невозможно. А если мы говорим о потере данных и, вероятно, о немалом размере ущерба, то, скорее всего, дата-центр в целях защиты будет использовать любые процессуальные уловки чтобы затянуть процесс и вымотать украинскую сторону.
Для того чтобы устранить проблему выбора подсудности стороны могут договориться о том, в какой суд они передают все возможные споры, включая и споры о компенсации за пропавшую информацию. Самый разумный вариант - определить для рассмотрения споров не государственный суд, а конкретный арбитражный форум, в котором будут решаться все споры - Лондонский, Стокгольмский, Венский, Парижский или иной международный арбитражный суд.
3. Заранее оценить возможный ущерб. Данные находятся в непрерывном движении, они могут изменяться каждый день, как по форме, так и по объему. Если информация утрачена, то как определить и, самое главное, как доказать суду ее действительную стоимость?
Для того чтобы не задаваться этим вопросом и максимально упростить процесс доказывания, рекомендуем прямо в договоре зафиксировать размер штрафа за утрату информации. И даже если эта цифра в какой-то момент времени перестанет отражать действительной стоимости информации, следует помнить, что в ином случае стоимость утраченной информации может быть вовсе не установлена и не доказана в судебном порядке.
4. Защитить данные от провайдера. Хранение данных на удаленном сервере почти всегда предусматривает техническую возможность для провайдера получить доступ к данным своих клиентов. Следовательно, если у клиента перед их контрагентами есть обязательства о неразглашении конфиденциальной информации, то использование облачных технологий автоматически является нарушением этих обязательств.
Самым простым способом выхода из такой ситуации могло бы быть установление соответствующей оговорки в договорах о неразглашении конфиденциальной информации, однако, это не всегда возможно.
5. Предупредить своих пользователей. Очень часто услуги, предоставляемые провайдером облачных сервисов, связаны с защитой персональных данных клиента, который пользуется при этом специфическими правами. Речь идет о хранении информации о физическом лице, по которой его можно идентифицировать.
В ст. 8 закона "О защите персональных данных" закреплено право субьекта персональных данных (ПД) знать о местонахождении базы ПД. При этом под определением "местонахождения" законодатель подразумевает фактический адрес хранения носителей информации. Соответственно, если данные переносятся в другую юрисдикцию, клиентам необходимо об этом аккуратно сообщить. Например, путем внесения соответствующих изменений в договор с клиентом.
Дмитрий Гадомский,
адвокат, партнер практики IT и медиа-права АО Юскутум
адвокат, партнер практики IT и медиа-права АО Юскутум
Хотите стать колумнистом LIGA.net - пишите нам на почту. Но сначала, пожалуйста, ознакомьтесь с нашими требованиями к колонкам.
Статьи, публикуемые в разделе "Мнения", отражают точку зрения автора и могут не совпадать с позицией редакции LIGA.net