GDPR a cloud computing: ako byť v súlade s nariadením?

Hlavné výzvy cloudu z hľadiska GDPR

• Lokalizácia dát

Kde sú uložené vaše údaje? V Európe? V Spojených štátoch? V Indii? GDPR vyžaduje, aby údaje zostali v rámci príslušného právneho rámca. Toto sa rýchlo stáva problémom, ak váš poskytovateľ cloudu replikuje údaje vo viacerých krajinách.

• Kontrola a vlastníctvo údajov

V cloude už vaše dáta fyzicky nie sú u vás doma. Preto ich musíte mať jasné záruky o tom, čo poskytovateľ môže alebo nemôže s týmito informáciami urobiť.

• Prenosy údajov mimo EÚ

Prenos údajov mimo EÚ nie je zakázaný, ale je prísne regulovaný. Cieľová krajina musí ponúkať primeranú úroveň ochrany alebo musia byť zavedené štandardné zmluvné doložky.

• Bezpečnosť údajov hostovaných v cloude

Hack, únik, chyba… A je to katastrofa. GDPR vyžaduje „vhodné“ bezpečnostné opatrenia, ktoré môžu zahŕňať šifrovanie, redundancia, monitorovanie…

Právne záväzky týkajúce sa cloudových služieb podľa GDPR

• Úloha prevádzkovateľa údajov a spracovateľa

Ak používate cloudovú službu, ste prevádzkovateľom údajov a poskytovateľ je subdodávateľJe to na tebe. zabezpečiť, aby spĺňal povinnosti podľa GDPR.

• Zodpovedná osoba (DPO)

Niektoré spoločnosti musia vymenovať DPOBude kľúčovou kontaktnou osobou pri riadení vzťahov s poskytovateľmi cloudových služieb a v...audit ošetrení.

• Register liečby

Musíte identifikovať všetky spracovania údajov vrátane tých, ktoré boli zverené poskytovateľom cloudových služieb.

• Princíp minimalizácie dát

Uchovávajte iba to, čo je nevyhnutne potrebné. Čím viac údajov, tým väčšie riziko. 

Výber poskytovateľa cloudových služieb v súlade s GDPR

Kritériá pre výber poskytovateľa služieb

• Umiestnenia serverov v Európe

• Zmluvné doložky v súlade s GDPR

• Jasné zásady ochrany osobných údajov

Subdodávateľská zmluva podľa GDPR

Musí špecifikovať:

• Účel a trvanie spracovania

• Typy údajov

• Bezpečnostné povinnosti

• Právo na audit

Najlepšie postupy na zabezpečenie súladu s GDPR

• Implementácia interných postupov

Formalizujte svoje postupy: súhlas, prístup, oprava, postupy vymazania atď. Čím viac ste hranatí, tým lepšie.

• Školenie zamestnancov

Vzdelávajte svoje tímy! Jeden zle informovaný zamestnanec je zaručeným porušením pravidiel.

• Správa únikov údajov

Ak dôjde k úniku, máte 72 hodín na informovanie CNILMajte plán reakcie na incidenty je životne dôležité.

• Analýza vplyvu (PIA/DPIA)

Pri niektorých citlivých ošetreniach je potrebné vykonať analýza vplyvu na súkromieCloud nie je výnimkou.

Nástroje na zabezpečenie súladu

• Šifrovanie údajov

THE šifrovanie je nevyhnutné. Chráni vaše údaje, aj keď sa dostanú do nesprávnych rúk.

• Nástroje na audit a sledovateľnosť

Dávajte si pozor na kto robí čo, kedy a akoToto je kľúč k rýchlej reakcii v prípade problému.

• Silná autentifikácia a správa prístupov

Ukončite s heslom „123456“. Uvoľnite miesto pre dvojité overenie, do používateľské rolya k pravidelná kontrola prístupových práv.

GDPR nie je len dokument typu „podpíš a zabudni“. Je to trvalý záväzok, najmä v takom dynamickom prostredí, akým je cloud computing. Ale s... dobré nástroje, osvedčené postupy a dobrí partneri, môžete toto obmedzenie premeniť na konkurenčnú výhodu.