Новый режим ЕС в области защиты данных: каковы перспективы для операторов дата-центров и облачных провайдеров?

Процесс изменения европейского закона о защите персональных данных затягивается, если не сказать хуже. Однако наконец установлен срок доработки окончательного текста Единого Закона ЕС о защите персональных данных – до конца 2015 года, а его введение в действие планируется в 2017. Для дата-центров и провайдеров облачных услуг это означает большие регуляторные изменения, которые вступят в силу чуть более чем через год, и настало время начать работу по приведению своих практик в соответствие с грядущими изменениями. Действующий закон проводит четкое разграничение между лицом, «контролирующим» и лицом, «обрабатывающим» данные: контролирующее лицо несет всю полноту юридической ответственности, при этом в контексте рынка дата-центров и облака контролирующим лицом всегда является заказчик. Это значит, что вне рамок контракта с заказчиком ответственность оператора дата-центра или облачного провайдера в отношении персональных данных существенно ограничена, и вопрос соответствия этих контрактов закону – проблема исключительно заказчика. Но эта ситуация изменится с вступлением с силу новой редакции закона. Впервые лицо, осуществляющее обработку данных, будет нести юридическую ответственность в отношении обрабатываемых данных, а субъекты данных получат право требовать компенсации за несанкционированную обработку напрямую от обрабатывающего лица, то есть, от оператора дата-центра или облака.