IT sprendimų specialistų prognozuojamai itin sparčiai debesų kompiuterijos plėtrai ir Lietuvoje, ir apskritai Europos Sąjungoje, koją gali pakišti skirtingas ES duomenų apsaugos direktyvos interpretavimas ir specifiniai šalyse narėse galiojantys teisės aktai.
Pasak advokatų kontoros SORAINEN teisininko Pauliaus Galubicko, pagrindinis debesų kompiuterijos sprendimų prieštaravimas duomenų apsaugos taisyklėms slypi tame, kad debesų modeliu besinaudojantis vartotojas dažniausiai nė nežino, kurioje šalyje jo duomenys saugomi ir iš kur ir kieno tvarkomi. To gali nežinoti net tik galutinis paslaugų vartotojas, bet ir pats paslaugų teikėjas, savo versle naudojantis trečiųjų asmenų debesų kompiuterijos paslaugas.
„Taigi dažniausiai nėra net aišku, kurios šalies įstatymai tokį duomenų rinkimą ir tvarkymą reguliuoja. Tuo tarpu daugelyje ES šalių, taip pat ir Lietuvoje, galioja griežtos duomenų teikimo už Europos Sąjungos ribų taisyklės“, – sako P. Galubickas.
Pavyzdžiui, Lietuvoje, su tam tikromis išimtimis, teikiant duomenis į taip vadinamas trečiąsias šalis (pvz. JAV, Japoniją, Kiniją, Indiją ir t.t.) be duomenų teikimo sutarties papildomai reikalingas išankstinis Valstybinės duomenų apsaugos inspekcijos leidimas. Be to, tokio inspekcijos leidimo reikia net ir tada, kai duomenų teikimo sutartis yra identiška Europos Komisijos patvirtintoms standartinėms tokių sutarčių formoms, ir net tada, kai duomenis iš Lietuvos gaunanti JAV bendrovė turi „Safe Harbour“ leidimą, garantuojantį duomenų apsaugos taisyklių, analogiškų europietiškoms, laikymąsi.
P. Galubicko teigimu, pagal galiojantį reglamentavimą duomenų teikimu gali būti laikomas ir JAV ar Indijoje dirbančio programuotojo prisijungimas prie Lietuvoje esančios duomenų bazės, siekiant pataisyti technines jos problemas, tačiau sudarantis galimybę prieiti prie duomenų bazėje esančių asmens duomenų. Jei duomenų teikimo mąstai nėra dideli, pavyzdžiui, susiję tik su darbuotojų asmens duomenimis, sprendimas gali būti gauti asmens sutikimą dėl jo duomenų teikimo į trečiąsias šalis - tuomet inspekcijos leidimas nebereikalingas.
„Tačiau debesų kompiuterijos atveju tokius sutikimus susirinkti yra praktiškai neįmanoma, todėl reikalavimas gauti išankstinį inspekcijos leidimą bereikalingai apsunkina debesų kompiuterijos paslaugų verslą, todėl juo užsiimančios įmonės tiesiog neturi galimybės laikytis šių taisyklių ir yra greičiau linkusios susimokėti administracines baudas, kurios Lietuvoje yra sąlyginai mažos“, – sako teisininkas.
Dabar Lietuvoje galiojanti duomenų teikimo į trečiąsias šalis tvarka apsunkina kelią JAV ir kitų šalių kompanijų investicijoms į duomenų centrus Lietuvoje. „Jei mūsų tautiečiai, spiriami situacijos, yra linkę pažeisti taisykles, tai užsieniečiai duomenų apsaugos įstatymų laikosi itin pavyzdingai ir savo investicijoms rinktųsi šalį su liberalesniu duomenų apsaugos reguliavimu, – aiškina P. Galubickas.
Pasak jo, greičiausias susidariusios situacijos sprendimas būtų atsisakyti Duomenų apsaugos inspekcijos leidimų į trečiąsias šalis išdavimo tvarkos šiais atvejais: kai Lietuvoje registruotas duomenų teikėjas su duomenų gavėju trečiojoje šalyje yra sudarę duomenų teikimo sutartį pagal Europos Komisijos patvirtintus sutarčių šablonus; kai JAV esantis duomenų gavėjas turi „Safe Harbour“sertifikatą; arba kai įmonė yra pasitvirtinusi duomenų apsikeitimo savo grupės viduje taisykles (angl. Binding Corporate Rules).
Europos Sąjunga taip pat planuoja keisti 1995 m. priimtą ES duomenų apsaugos direktyvą, kurios principai nebeatitinka šiandienos verslo ir vartotojų poreikių. Dabartinį, dažnai labai skirtingai įgyvendintą ir interpretuojamą duomenų apsaugos reguliavimą šalyse narėse ES komisarė Viviane Reding laikraščiui „Die Zeit“ pavadino netvarka ir pabrėžė, kad Europai reikalingos naujos, modernios ir vienodos asmens duomenų apsaugos taisyklės.