Cloud: Πως θα μειώσω το νομικό μου ρίσκο;

0

Πριν εφαρμόσει μια εταιρεία μια νέα επιχειρηματική πρακτική οφείλει να διενεργήσει ένα cost benefit analysis αναφορικά με τα οφέλη που θα αποκομίσει από τις καινούργιες συνθήκες. Μέσα σε αυτό όμως θα πρέπει οπωσδήποτε να εντάξει και το κομμάτι του risk assessment προκειμένου να εξακριβώσει ποια είναι τα πιθανά της ρίσκα έναντι του οφέλους που προσδοκά να αποκομίσει.

cloud-computingΕιδικά για το θέμα του cloud είναι πολύ σημαντικό να διαμορφωθεί η κατάλληλη στρατηγική προς αποφυγή λανθασμένων χειρισμών. Εξάλλου, εξαιτίας της έλλειψης τέτοιας στρατηγικής, πολλές φορές οι εταιρείες αποκομίζουν την εσφαλμένη, πιθανώς, αντίληψη ότι είναι πολύ επικίνδυνο να υιοθετήσουν λύσεις cloud ή στον αντίποδα ότι είναι εντελώς ακίνδυνο. Πρέπει όμως κανείς να είναι σε θέση να κάνει τα σωστά ερωτήματα στον cloud provider και να απαιτήσει τα κατάλληλα μέτρα που ταιριάζουν στην εταιρεία του και στα δεδομένα που θέλει να αποθηκεύσει. Αυτή η διαδικασία μπορεί να δώσει την λύση για μείωση του κινδύνου και της έκθεσης της εταιρείας. Άρα με τον τρόπο αυτό μπορεί η εταιρεία να είναι σε θέση να «απολαύσει» τα οικονομικά οφέλη που μια λύση cloud ενδέχεται να παρουσιάζει μειώνοντας το ρίσκο της σε κρίσιμα ζητήματα.

Ποια είναι, λοιπόν, ορισμένα από τα βασικά σημεία και τα καίρια ερωτήματα μιας τέτοιας στρατηγικής:

  • Ποια είναι τα συγκεκριμένα μέσα ασφάλειας που χρησιμοποιεί για τα δεδομένα κατά την φύλαξή τους?
  • Ποια είναι τα συγκεκριμένα μέτρα που λαμβάνει και οι πολιτικές που διαθέτει σε περίπτωση που υπάρξει οποιοδήποτε incident ή breach?
  • Φυλάσσονται τα προσωπικά δεδομένα εκτός ΕΕ? Αν ναι σε ποιες χώρες? (η φύλαξη των προσωπικών δεδομένων εκτός ΕΕ απαιτεί ειδική άδεια από την Αρχή Προστασίας Προσωπικών Δεδομένων! Στις ΗΠΑ η άδεια αυτή δίδεται μόνον για εταιρείες που έχουν υπαχθεί στο Safe Harbor)
  • Υπάρχει πρόβλεψη για SLA με συγκεκριμένες ρήτρες αναφορικά με τους χρόνους που σχετίζονται με accessibility, availability, portability & accountability? (κάθε εταιρεία πρέπει να είναι σε θέση να έχει άμεση πρόσβαση στα δεδομένα της, εκτός των άλλων, και για λόγους που σχετίζονται με τις φορολογικές της υποχρεώσεις καθώς και με την προστασίας των προσωπικών δεδομένων με αυστηρές κυρώσεις σε περίπτωση μη έγκαιρης συμμόρφωσης)
  • Παρέχονται εγγυήσεις ότι τα προσωπικά δεδομένα θα τυγχάνουν επεξεργασία μόνον στο πλαίσιο του σκοπού φύλαξής τους που έχει καθορίσει η εταιρεία (ως Υπεύθυνη Επεξεργασίας αυτών)?
  • Υπάρχουν εγγυήσεις για την εμπιστευτικότητα και την ακεραιότητα όλων των δεδομένων (συγκεκριμένες προβλέψεις για όλες τις επιχειρηματικές πληροφορίες που φυλάσσονται και σύνδεσή τους με όρους/ρήτρες για την διασφάλισή τους – με επιβολή συγκεκριμένων επιπτώσεων σε περίπτωση αθέτησης των όρων αυτών)?
  • Γίνεται ρητή πρόβλεψη για το τι γίνεται με τα data που φυλάσσονται μόλις λήξει ή λυθεί η συνεργασία για οποιονδήποτε λόγο?

… η εταιρεία έχει πάντοτε η ίδια ευθύνη απέναντι στα πρόσωπα αυτά για τα δεδομένα τους και τρόπο φύλαξής τους…
Σε κάθε περίπτωση, θα πρέπει, βάση το νόμου, να φροντίσει η εταιρεία ώστε η συνεργασία της με τον Cloud Provider να είναι έγγραφη. Ανεξάρτητα του ποιος φυλάει τα δεδομένα των προσώπων, η εταιρεία έχει πάντοτε η ίδια ευθύνη απέναντι στα πρόσωπα αυτά για τα δεδομένα τους και τρόπο φύλαξής τους. Αν λοιπόν προκύψει οποιοδήποτε πρόβλημα, οι πελάτες θα στραφούν εναντίον της εταιρείας για όποια ζημία τους. Στη συνέχεια η εταιρεία και εφόσον αποκαταστήσει πρώτα τους πελάτες θα μπορεί να εγείρει αξιώσεις κατά εκείνου που τα επεξεργάζεται. Το μέγεθος της ευθύνης όμως του τελευταίου θα εξαρτάται από τι έχουν συμφωνήσει τα μέρη στην έγγραφη συμφωνία τους για το θέμα της διαχείρισης και της ασφάλειας των προσωπικών δεδομένων. Ελλείψει τέτοιας ειδικής συμφωνίας, υπάρχει κίνδυνος η εταιρεία να φέρει εξ ολοκλήρου μόνη της την ευθύνη και το κόστος της όποιας ζημιάς.

Είναι αντιληπτό ότι όλα τα ανωτέρω ενδεχομένως δεν είναι δυνατόν να υλοποιηθούν από μικρές εταιρείες ή από startups, αλλά κυρίως από μεσαίες ή μεγάλες εταιρείες που έχουν και την ισχύ να επιβάλλουν τις επιθυμίες τους. Ένα startup τότε θα πρέπει καταρχήν να συνεκτιμήσει ένα και μόνον σημαντικό ζήτημα: κατά πόσο το οικονομικό όφελος που θα έχει από μια λύση cloud αντισταθμίζεται από τον νομικό κίνδυνο που έχει με βάση τα δεδομένα που επεξεργάζεται. Αν λ.χ. τα δεδομένα που φυλάει είναι ευαίσθητα (π.χ. είναι δεδομένα για την υγεία του πελάτη) τότε το νομικό ρίσκο είναι πολύ υψηλό σε σχέση με το οικονομικό όφελος και άρα ενδεχομένως να προτιμήσει μια άλλη λύση ενός localized server. Στις περιπτώσεις αυτές καλό είναι να εξετάζει κάποιος σε ποια (νομική) κατηγορία ανήκουν τα δεδομένα των πελατών του και αναλόγως να λαμβάνει τις αποφάσεις του.

Επιπλέον για να μεγιστοποιήσει τα θετικά αποτελέσματα θα πρέπει να γνωρίζει εξαρχής σε ποια σημεία θα πρέπει να επικεντρωθεί για να διαμορφώσει την σωστή στρατηγική με το μικρότερο δυνατό κόστος και κίνδυνο. Η διαδικασία αυτή είναι tailor made για κάθε εταιρεία με βάση το αντικείμενό της καθώς και την εμπορική της πολιτική αλλά και τα εσωτερικά «ήθη» που επικρατούν.

Info Box
Cost Benefit Analysis
Είναι η μέθοδος της σύγκρισης του κόστους και του οφέλους διαφόρων εναλλακτικών δράσεων, κατά την οποία τα πάντα μετρούνται με χρηματικούς όρους. Τα αποτελέσματα τέτοιων αναλύσεων προτείνουν την υιοθέτηση του σχήματος ή του συνδυασμού σχημάτων που προσφέρουν την πιο επιθυμητή αναλογία οφέλους-κόστους.
Η Μίνα Ζούλοβιτς είναι δικηγόρος, συνεταίρος στο δικηγορικό γραφείο Φιλοθεϊδης & Συνεταίροι. Εξειδικεύεται στο εταιρικό δίκαιο και στον χώρο του δικαίου της Τεχνολογίας, των on line & mobile συναλλαγών & της Καινοτομίας. Παρέχει τις νομικές της υπηρεσίες σε αρκετές από τις μεγαλύτερες ελληνικές και πολυεθνικές εταιρείες (με παρουσία και σε αρκετές χώρες του εξωτερικού), καθώς και σε πολλά δυναμικά και φιλόδοξα start ups με καινοτόμες ιδέες. Έχει συμμετάσχει σε νομοπαρασκευαστικές επιτροπές, διδάσκει ως επισκέπτρια σε ακαδημαϊκά προγράμματα και είναι εισηγήτρια σε εγχώρια και διεθνή συνέδρια και ημερίδες. Επίσης είναι εκλεγμένο μέλος της Συμβουλευτικής Επιτροπής του Ελληνικού Συνδέσμου Ηλεκτρονικού Εμπορίου (GRECA). Το δικηγορικό γραφείο Φιλοθεϊδης & Συνεταίροι αναδείχθηκε πρόσφατα ως το «e-Commerce Law Firm of the Year 2014 in Greece» στα διεθνή βραβεία Corporate INTERNATIONAL Global Awards.

Leave A Reply