GDPR και cloud computing: πώς να συμμορφωθείτε;

Οι κύριες προκλήσεις του cloud όσον αφορά τον GDPR

• Εντοπισμός δεδομένων

Πού αποθηκεύονται τα δεδομένα σας; Στην Ευρώπη; Στις Ηνωμένες Πολιτείες; Στην Ινδία; ΓΚΠΔ απαιτεί τα δεδομένα να παραμένουν εντός ενός κατάλληλου νομικού πλαισίου. Αυτό γρήγορα μετατρέπεται σε πονοκέφαλο εάν ο πάροχος cloud σας αναπαράγει δεδομένα σε πολλές χώρες.

• Έλεγχος και ιδιοκτησία δεδομένων

Στο cloud, τα δεδομένα σας δεν βρίσκονται πλέον φυσικά στο σπίτι σας. Επομένως, πρέπει να έχετε σαφείς εγγυήσεις σχετικά με το τι μπορεί ή δεν μπορεί να κάνει ο πάροχος με αυτές τις πληροφορίες.

• Μεταφορές δεδομένων εκτός ΕΕ

Η μεταφορά δεδομένων εκτός ΕΕ δεν απαγορεύεται, αλλά υπόκειται σε αυστηρούς κανονισμούς. Η χώρα προορισμού πρέπει να προσφέρει επαρκές επίπεδο προστασίας ή να ισχύουν τυποποιημένες συμβατικές ρήτρες.

• Ασφάλεια δεδομένων που φιλοξενούνται στο cloud

Ένα hack, μια διαρροή, ένα bug… Και είναι μια καταστροφή. Ο GDPR απαιτεί «κατάλληλα» μέτρα ασφαλείας, η οποία μπορεί να περιλαμβάνει το κρυπτογράφηση, πλεονασμός, παρακολούθηση…

Νομικές Υποχρεώσεις GDPR για Υπηρεσίες Cloud

• Ο ρόλος του υπεύθυνου επεξεργασίας και του εκτελούντος την επεξεργασία

Εάν χρησιμοποιείτε μια υπηρεσία cloud, εσείς είστε ο υπεύθυνος επεξεργασίας δεδομένων και ο πάροχος είναι ένας υποεργολάβος. Εξαρτάται από εσάς διασφαλίζει ότι συμμορφώνεται με τις υποχρεώσεις του GDPR.

• Ο Υπεύθυνος Προστασίας Δεδομένων (DPO)

Ορισμένες εταιρείες πρέπει να διορίσουν έναν ΥΠΔΘα είναι βασικός υπεύθυνος επικοινωνίας στη διαχείριση των σχέσεων με τους παρόχους cloud και στηέλεγχος των θεραπειών.

• Το μητρώο θεραπείας

Πρέπει να προσδιορίσετε κάθε επεξεργασία δεδομένων, συμπεριλαμβανομένης αυτής που έχει ανατεθεί σε παρόχους cloud.

• Η αρχή της ελαχιστοποίησης δεδομένων

Αποθηκεύστε μόνο τα απολύτως απαραίτητα. Όσο περισσότερα δεδομένα, τόσο μεγαλύτερος είναι ο κίνδυνος. 

Επιλογή παρόχου cloud που συμμορφώνεται με τον GDPR

Τα κριτήρια για την επιλογή ενός παρόχου υπηρεσιών

• Τοποθεσίες διακομιστών στην Ευρώπη

• Συμβατικές ρήτρες που συμμορφώνονται με τον GDPR

• Σαφής πολιτική απορρήτου

Η σύμβαση υπεργολαβίας του GDPR

Πρέπει να διευκρινίζει:

• Ο σκοπός και η διάρκεια της επεξεργασίας

• Τύποι δεδομένων

• Υποχρεώσεις ασφαλείας

• Το δικαίωμα ελέγχου

Βέλτιστες πρακτικές για τη διασφάλιση της συμμόρφωσης με τον ΓΚΠΔ

• Η εφαρμογή εσωτερικών διαδικασιών

Επισημοποιήστε τις πρακτικές σας: συγκατάθεση, πρόσβαση, διόρθωση, διαδικασίες διαγραφής κ.λπ. Όσο πιο τετράγωνο είσαι, τόσο το καλύτερο.

• Εκπαίδευση εργαζομένων

Εκπαιδεύστε τις ομάδες σας! Ένας υπάλληλος με κακή ενημέρωση αποτελεί εγγυημένη παραβίαση.

• Διαχείριση παραβίασης δεδομένων

Εάν παρουσιαστεί διαρροή, έχετε 72 ώρες για να ειδοποιήσετε την CNIL. Έχετε ένα σχέδιο αντιμετώπισης περιστατικών είναι ζωτικής σημασίας.

• Ανάλυση επιπτώσεων (PIA/DPIA)

Για ορισμένες ευαίσθητες θεραπείες, είναι απαραίτητο να διεξαχθεί ανάλυση επιπτώσεων στην ιδιωτικότηταΤο cloud δεν αποτελεί εξαίρεση.

Εργαλεία για τη διασφάλιση της συμμόρφωσης

• Κρυπτογράφηση δεδομένων

Ο κρυπτογράφηση είναι απαραίτητο. Προστατεύει τα δεδομένα σας ακόμα κι αν πέσουν σε λάθος χέρια.

• Εργαλεία ελέγχου και ιχνηλασιμότητας

Παρακολουθήστε ποιος κάνει τι, πότε και πώςΑυτό είναι το κλειδί για γρήγορη αντίδραση σε περίπτωση προβλήματος.

• Ισχυρή διαχείριση ελέγχου ταυτότητας και πρόσβασης

Έξοδος από τον κωδικό πρόσβασης "123456". Δώστε χώρο για το διπλή επαλήθευση ταυτότητας, προς ρόλοι χρηστών, και προς το τακτική αναθεώρηση των δικαιωμάτων πρόσβασης.

Ο ΓΚΠΔ δεν είναι απλώς ένα έγγραφο που υπογράφεται και ξεχνιέται. Είναι μια διαρκής δέσμευση, ειδικά σε ένα περιβάλλον τόσο δυναμικό όσο το cloud computing. Αλλά με το καλά εργαλεία, καλές πρακτικές και καλοί συνεργάτες, μπορείτε να μετατρέψετε αυτόν τον περιορισμό σε ανταγωνιστικό πλεονέκτημα.