IT-süsteemide haldajate andmekao risk ja õiguslik vastutus
Ettevõtetel võib süsteemiosakonna töökohas juhtuda, et oluline ettevõtte teave, mida hoitakse andmebaasis, kaob ootamatute asjaolude tõttu. Kas sellisel juhul on võimalik seaduslikult nõuda vastutust välisettevõttelt, kellele on süsteemi haldustööd allhanke korras delegeeritud?
Selles artiklis selgitame, kellele kuulub seaduslik vastutus ettevõtte teabe kadumise juhtumite eest.
Mida tähendab “käitamine” IT-süsteemides
IT-süsteemides “käitamine” tähendab lihtsustatult öeldes tööd, mis hõlmab “olemasoleva süsteemi jätkuvat kasutamist nagu seni”. IT-inseneride ja programmeerijate poolt uuesti loodud (ehk arendatud) süsteem ei ole selline, mis lõpeb kohe, kui see on loodud. Näiteks, kui soovite teostada operatsiooni, mida ei saa ekraanilt käivitada, võite vajada arvuti ühendamist andmebaasiga ja otse arvutikeele (näiteks SQL) sisestamist (näiteks andmete väljavõtmine või muutmine, mida ei saa ekraanilt käivitada).
Sellised käitamistööd on sageli lihtsam standardiseerida, näiteks juhendite koostamise kaudu, võrreldes uute programmide rakendamisega, ja neid on sageli lihtsam välja anda välisettevõtetele.
Kuid isegi kui tegemist on lihtsasti standardiseeritava tööga, tuleb meeles pidada, et kuna see on töö, mis hõlmab otsest sekkumist ettevõtte poolt hallatavasse andmebaasi, on see sageli suurte intsidentidega seotud. Riskid, nagu ettevõtte teabe lekkimine või kadumine, võivad tekkida, kui ettevõte jätkab hooletult allhanget, ilma et oleks teadlik tööga kaasnevast suurest vastutusest.
Informatsiooni kadumise risk on ootamatult lähedal
Ettevõtted kasutavad erinevaid andmebaase, kuid nende olemus on tarkvara. Ja andmete väljavõtmine, muutmine, lisamine ja kustutamine, mida seal hallatakse, kasutavad põhimõtteliselt arvutikeelt nimega SQL.
Juriidilise töö tähtsus
IT-süsteemidega seotud inseneride töö hõlmab arendamist, haldamist, hooldust jne, kuid ühine joon on see, et keskmes on abstraktsete asjade, nagu “andmed” ja “arvutikeel”, käsitlemine. Seetõttu võib isegi väike viga, nagu ühe nupu valesti vajutamine või väike sisestusviga, mõjutada laiemat ala, kui võiks ette näha. See eeldus peaks olema teada kõigile, kes tegelevad süsteemiga, olenemata sellest, kas nad on IT-spetsialistid. Süsteemiga seotud töö on oma olemuselt selline, et kui tekib probleem, levib mõju kiiresti üle osakonna ja ettevõtte piiride. Süsteemis on juriidiline töö oluline nii tellija kui ka töövõtja vaatepunktist ning seda saab ühtselt selgitada.
Ettevõtte andmete kadumise risk
Vaatame lihtsat näidet. SQL-i päring (käsk), mis kustutab kõik andmed, mida tabel omab, on vaid üks rida “TRUNCATE”. Ettevõtte andmete kadumise riski arvestades ei pruugi SQL-i süntaksi või andmebaasi tarkvara kasutamise tundmine olla eriti oluline. Kuid peaksite mõistma, et ka ettevõtte poolt säilitatavate andmete kustutamine on nii lihtne. See reaalsuse tunnistamine peaks olema lähtepunkt, kui mõtleme ettevõtte andmete kadumise riskile.
Tõepoolest, operatsioonitööd on lihtne standardiseerida ja sageli ei teki probleeme, kui järgitakse protseduure. Kuid samal ajal, kui protseduure ei järgita ja tekib erakorraline olukord, on juriidilise töö tähtsus ilmne.
Kelle seaduslik vastutus on info kadumine?
Äritegevuse korraldaja töö juriidiline olemus
Kuidas on aga lood juhul, kui andmed kaotatakse ootamatu intsidenti tõttu ja taastamise võimalus puudub? Kellele lasub sellisel juhul juriidiline vastutus? Allpool analüüsime selliseid intsidente juriidilisest vaatepunktist.
Hoiulepingu alusel säilitamiskohustuse nõudmine on keeruline
Andmete haldamise teenuseid pakkuvate ettevõtete vastutuse küsimuses võib üheks teoreetiliseks lähenemiseks olla tasulise hoiulepingu alusel hea haldamise kohustuse nõudmine. Lihtsustatult öeldes on see sarnane olukorraga, kus tasulise mündilukuga kappide pakkujat, kes on vastu võtnud esemeid hoiule, nõutakse kahju hüvitamise eest, kui esemed on kaduma läinud, küsides, kas on võimalik nõuda “andmete” kadumise eest vastutust. Kuid nagu “asjade” säilitamise kohustuse puhul, ei ole “andmete säilitamise kohustuse” automaatne tekkimine praeguse seaduse alusel realistlik.
Sõltub konkreetsest lepingu sisust
Lõppkokkuvõttes, küsimus “kes peab andmeid säilitama” on keeruline lahendada ühtse lahendusega, tuginedes tsiviilõiguse sätetele. Seega, vastus sõltub sellest, “kuidas on see konkreetse lepingu sisus määratletud”.
Ja “mis oli lepingu sisu” ei määrata ainult lepingu alusel, vaid ka koosolekute protokollidega. Koosolekute protokollide olulisust selgitatakse üksikasjalikult allpool toodud artiklis.
https://monolith.law/corporate/the-minutes-in-system-development[ja]
Kolmanda osapoole ebaseadusliku tegevuse eest vastutuse nõudmine on keeruline
On selge, et kohtupraktikas on võimatu nõuda ebaseadusliku tegevuse eest vastutust kolmandatelt isikutelt, kellega pole sõlmitud lepingut. Kohtupraktikas tõstatati küsimus, kas kasutaja võib nõuda kahjutasu andmekao õnnetuse korral rendiserveri teenuse pakkumisel, mis põhineb ebaseaduslikul tegevusel.
Ebaseadusliku tegevuse tüüpiliseks näiteks on liiklusõnnetused. Näiteks kui autojuht põhjustab hooletuse tõttu inimese vigastamise, vastutab ta (mitte ainult kriminaal-, vaid ka) tsiviilõiguslikult. Kuigi me ei sõlmi võõrastega lepingut “mitte kedagi autoga lööma”, võib eraisikute vahel tekkida kahju hüvitamise kohustus. Selle ebaseadusliku tegevuse eest vastutuse raamistiku alusel vaidlustati, kas on võimalik nõuda vastutust andmete kaotamise eest, isegi kui vastaspool ei ole otseselt lepinguline suhe.
Kuid kohus osutas digitaalse info eripärale ja märkis, et sellise kohustuse olemasolu on raske loomulikult järeldada.
Serverid pole täiuslikud ja võivad esineda tõrkeid, mis võivad põhjustada salvestatud programmide kadumist, kuid programmid on digitaalne info, mida saab hõlpsasti kopeerida, ja kui kasutajad on programmi salvestanud, saavad nad selle uuesti käivitada isegi kui see kaob, mis on laialdaselt teada (kogu argumentatsiooni põhjal), seega hagejad oleksid saanud hõlpsasti rakendada meetmeid programmi ja andmete kadumise vältimiseks. Arvestades hagejate ja kostja kasuolukorda, pole põhjust ega vajadust nõuda, et kostja, kes paigaldab ja haldab serverit, peaks hagejate ülaltoodud salvestusi kaitsma, võttes endale kohustuse vältida nende kadumist. (…) Hagejad väidavad, et rendiserveri lepingul on kolmanda osapoole programmi või andmete hoiuleandmise lepingu olemus ja selle alusel on kostjal kui rendiserveri teenuse pakkujal kõigi nende kohustus, kes salvestavad serverisse andmeid, hoida neid heas korras ja konkreetselt vältida serveris olevate andmete kadumist ning eeldades seda, väidavad nad, et kostja rikkus kohustust vältida andmete kadumist, kui ta lasi hagejate serveris salvestatud andmetel kaduda.
Tokyo District Court, May 20, 2009 (Heisei 21)
Kuid kostja on sõlminud ainult kasutaja A-ga ühiskasutatava serveri majutusteenuse lepingu ja tal pole hagejatega lepingulist suhet ning serverisse salvestatud programmi või andmete hoidmisel pole hoiuleandmise lepingu olemust, seega on raske leida alust, mille alusel kostja peaks võtma ebaseadusliku tegevuse seaduse alusel hagejatele, kellega tal pole lepingulist suhet, hea haldamise kohustuse serverisse salvestatud andmete suhtes. Seega, ainuüksi asjaolu, et kostja on rendiserveri teenuse pakkuja, ei tähenda, et ta peaks võtma endale hea haldamise kohustuse või kohustuse vältida andmete kadumist seoses kolmandate isikutega, kellega tal pole lepingulist suhet.
Selles otsuses märgitakse, et kolmandate isikute (hagejate) suhtes, kellega pole otseselt lepingulist suhet, ei ole mõistlik eeldada “andmete mittekustutamise kohustust”. See otsus on saanud teatud tähelepanu, kuna see võib olla juhtumiks, kui sarnased juhtumid ilmnevad tulevikus.
Järeldusena võib öelda, et vastutuse kindlakstegemine on sageli “raske”
Praktikas sageli kasutatava lepingu puhul ei ole andmete hoidmise ja varundamise eest vastutava teenusepakkuja lepinguid nii palju, pigem on lepingud, mis määravad, et see on kasutaja (st kliendi poole ettevõtte) vastutus, ülekaalukalt rohkem.
Seega, välja arvatud juhul, kui on sõlmitud eriline kokkulepe, on äärmiselt raske eeldada, et süsteemioperaatoril on seaduse järgi kohustus võtta meetmeid andmete kadumise vältimiseks.
Ettevalmistused info kadumise riski vastu
Lõppkokkuvõttes on ettevõtte info kadumise risk seotud eelkõige info hoidmisega ettevõtte enda poolt. Seega, kuidas seda kadumise riski arvesse võtta ja millist hoidmissüsteemi luua, on asjad, mida ettevõte ise peaks otsustama.
Samuti võib juhtuda, et isegi kui ettevõtja vastutus on tunnustatud, ei pruugi kahju hüvitamine olla täielik, kuna võib tekkida hooletuse kompenseerimine. On olnud kohtuasju, kus kohtuotsusega tunnistati hooletuseks see, et hageja, kelle andmeid kostja serveris hoidis, ei teinud varukoopiat, kui kostja andmed kustutas.
Hageja oleks saanud lihtsalt teha varukoopiaid ja seeläbi (—) kahju tekkimist ära hoida või kahju tekkimist äärmiselt väikeseks jätta, kuid me peame tunnistama, et hageja ei jätnud andmeid alles ajal, mil kadumise õnnetus juhtus.
Seega, selles asjas, kui otsustame kostja kahju hüvitamise kohustuse summa, peaksime kaaluma seda punkti ja rakendama hooletuse kompenseerimise sätteid, mis on kooskõlas kahju hüvitamise seaduse põhimõttega.
Seevastu hageja väidab, et ta ei saanud ette näha, et kostja, kes on teenusepakkuja, kustutab faili serverist, ja seega ei saa teda kohustada tegema varukoopiat, ja et tema tegevusetust ei saa pidada õiguslikus mõttes hooletuseks, ning seega tuleks hooletuse kompenseerimise rakendamine eitada.
Kuid hooletuse kompenseerimise rakendamisel on piisav, kui hageja tunnistab, et faili kadumise tulemus oli ette nähtav, ja ei ole vaja, et ta oleks ette näinud, et fail kadus kostja hooletuse tõttu.
Selles asjas, (—), on selge, et hageja oli teadlik ohtudest, et häkkerid võivad veebilehele sisse murda, ja lisaks tunnistab hageja, et internetiühendusega kaasnevad info muutmise ja hävitamise ohud, mis olid ette nähtavad, seega peame otsustama, et hageja oli ette näinud, et fail võib internetiühenduse tõttu kaduda, ja et faili kadumise tulemuse ettenägemise võimalus on täielikult kinnitatud, ja hooletuse kompenseerimise rakendamise takistusi ei saa kindlasti tunnistada.
Tokyo District Court, September 28, Heisei 13 (2001)
Selles asjas otsustati, et “kuna varukoopiat ei tehtud, oli faili kadumise oht, näiteks häkkerite sissetungi tõttu, ette nähtav, ja seega on hooletuse kompenseerimine kohaldatav”, ning kahju hüvitamise summa vähendati poole võrra.
Kokkuvõte
Kuigi see ei piirdu ainult andmekao riskiga, on sageli nii, et kui süsteemide arendus delegeeritakse allhankijatele, keskenduvad kasutajad enamasti ainult kasutajaliidese kasutusmugavusele, jättes organisatsiooni juhtimise ulatusest välja andmebaasi, kus andmeid hoitakse.
Kuid nagu varasemad kohtupraktikad on näidanud, ei tohiks me neid küsimusi käsitleda kui “kellegi teise probleeme”. Teisisõnu, peaksime mõistma, et selliste meetmete nagu varundamine ja muude andmekao riskidega arvestavate juhtimissüsteemide loomine on lõppkokkuvõttes kasutaja (organisatsiooni sisemise) vastutus.
Varasemad kohtupraktikad peaksime mõistma hoiatusena vajadusest ennetada selliseid riske, mis võivad põhjustada pöördumatuid tagajärgi, kui neid ei maandata.
Category: IT
Tag: ITSystem Development
