Kako tvrtke mogu osigurati povjerljivost podataka tijekom rada od kuće?
Prelazak na Cloud uslugu ima brojne prednosti primjerice sigurnost podataka, smanjenje troškova, fleksibilnost, poslovni kontinuitet i veći izbor u razvoju IT strategije.
Cloud usluge osiguravaju mobilnost u radu i pristup resursima kompanije s udaljenih lokacija, putem primjerice mobilnog pristupa IT servisima, što je u situaciji u kojoj se svi trenutno nalazimo izuzetno važno.
Cloud usluge omogućuju kontinuitet poslovanja jer kopije podataka svojih korisnika koriste na fizički i logički odvojenim lokacijama koje se nalaze u drugim regijama, državama ili kontinentima.
Situacije u kojima dođe do kvara na serverima gdje su pohranjeni podaci može dovesti do ozbiljnog zastoja u poslovanju tvrtke te značajno naškoditi ne samo trenutnim prihodovnim rezultatima tvrtke već i reputacijskim posljedicama što može imati negativne posljedice i na dugoročne poslovne rezultate tvrtke.
Što morate učiniti ukoliko ste poslovanje prebacili na Cloud tijekom pandemije?
- Osiguravati jednaku razine zaštite osobnih podataka kao i za bilo koji drugi tip računalnog modela.
Prebacivanje poslovanja u Oblak ne bi trebalo spustiti razinu zaštite osobnih podataka u usporedbi s obradom podataka putem bilo koje druge vrste IT infrastrukture.
Na primjer, obrada osobnih podataka putem oblaka ne bi trebala produžiti razdoblje zadržavanja podataka.
- Provesti test procjene učinka na zaštitu podataka ispitanika (DPIA)
- Potrebno je odrediti uloge voditelja i izvršitelja obrade
Ponekad pružatelji usluga oblaka i održavaju razinu kontrole nad obradom koja može nadilaziti ulogu izvršitelja obrade te je stoga nužno dobro iz analizirati odnos radi sklapanja ugovora ili sporazuma o obradi i dijeljenju osobnih podataka.
- Nužno je utvrditi gdje se pohranjuju podaci te dolazi li do prijenosa podataka u zemlje izvan EU
- Voditi računa o sigurnosnim kopijama, primjerice gdje su sve pohranjene
- Uspostaviti jasne protokole prijavljivanja incidenata te uspostaviti koordinaciju u postupanju
- Donijeti odluke o ovlaštenjima pristupa
- Voditi evidencije aktivnosti obrade
- Kontinuirano preispitivati tehničke, sigurnosne i organizacijske mjere zaštite
Specifični izazovi GDPR-a
- Učinkovito provođenje rokova čuvanja podataka te s tim u vezi brisanja
Osobni se podaci ne mogu čuvati duže nego što je potrebno za unaprijed definiranu svrhu. Stoga bez obzira što podatke čuvate u oblaku morate biti u stanju stvarno izbrisati podatke nakon isteka razdoblja čuvanja čak i za podatke lokalno pohranjene u oblaku.
S obzirom da pružatelji usluga u oblaku mogu pohraniti podatke na više lokacija, primjenjujući propise više država, veliki je izazov prepoznati i upravljati zahtjevima za brisanjem podataka
Da biste u potpunosti izbrisali podatke, moraju se uzeti u obzir i sigurnosne kopije. Stoga je važno imati jasan pregled kako su sigurnosne kopije osigurane i tko ih je sve zadržao odnosno tko ima njima pristup.
- Kršenje odredbi GDPR-a i koordinacija u postupcima
Obaveze prijavljivanja kršenja i protokoli moraju biti uključeni u ugovore odnosno sporazume o obradi podataka s pružateljima usluga oblaka. Ugovor mora, između ostaloga, definirati slučaj kršenja i opisati postupak kako bi pružatelj bez nepotrebnog odgađanja obavijestio vaše poduzeće o bilo kakvim kršenjima. Čak i ako se pružatelju usluga oblaka dogodi incident kršenja podataka koji utječe na više ispitanika, vi kao voditelj obrade trebate uspostaviti vanjsku komunikaciju i upravljati incidentom uz podršku pružatelja usluge oblaka.
- Obrada osobnih podataka izvan Europskog gospodarskog prostora (EEA)
Budući da se informacije odnosno osobni podaci u oblaku mogu pohraniti na više lokacija unutar više lokacija, morate utvrditi gdje se nalaze podaci i je li došlo do prijenosa podataka izvan EEA. U slučaju da je došlo do prijenosa podataka u zemlje izvan EEA moraju se poduzeti odgovarajuće zaštitne mjere.
Voditelj obrade mora voditi računa da ispitaniku mora biti u mogućnosti ostvariti njegova prava. Dakle, ukoliko su podaci ispitanika u oblaku, voditelj obrade mora biti u mogućnosti dati ispitaniku da preuzme podatke u strukturiranom, često korištenom i strojno čitljivom formatu.
- Vlasništvo nad podacima
Kao voditelj obrade morate održavati kontrolu i vlasništvo nad vlastitim podacima. Stoga to mora biti navedeno u ugovoru odnosno u sporazumu. Pored toga, morate utvrditi da vaša tvrtka zadržava vlasništvo nad prenesenim podacima, a to ovisi o primjenjivom zakonodavstvu koje, također, morate utvrditi.
- Upravljanje rizicima
Pružatelji usluga u oblaku moraju biti podložni upravljanju rizikom treće strane. Da bi se utvrdili rizici koji mogu nastati pri korištenju usluga pružatelja oblaka, mora se provesti procjena utjecaja zaštite podataka (DPIA) i sigurnosna procjena. Pored toga, morate propisati u ugovorima odnosno sporazuma kada ćete provesti reviziju.
- Cloud ˝arhitektura˝ i privatnost dizajna
Kao voditelj obrade prilikom angažiranja pružatelja usluga oblaka trebali biste razumjeti osnovne tehnologije koje pružatelj oblaka koristi i implikacije koje bi te tehnologije mogle imati na sigurnosne zaštitne mjere i zaštitu osobnih podataka pohranjenih u oblaku. ˝Arhitektura˝ sustava pružatelja usluga oblaka trebala bi se pratiti radi rješavanja bilo kakvih promjena u tehnologiji i preporučenih ažuriranja sustava.
- Vidljivost metapodataka i minimiziranje podataka
Ako ste kao voditelj obrade zainteresirani za sklapanje ugovora za pružanje usluga u oblaku, trebali biste dobiti informacije o vrstama metapodataka koje je prikupio pružatelj usluga oblaka. Razmotrite koja se razina zaštite pruža metapodacima.
- Sigurnost i privatnosti
Ukoliko kao voditelj obrade ne upravljate okruženjem davatelja oblaka (IT) morate se osloniti na (IT) kontrole koje ima pružatelj usluga. Uvijek je potrebno procijeniti u kojoj je mjeri pružatelj usluga u skladu s vašim zahtjevima za IT sigurnost. To bi se moglo učiniti putem postupka upravljanja rizikom treće strane. Pored toga, morate procijeniti i kakve mjere IT sigurnosti i privatnosti ili certifikate posjeduje pružatelj usluga oblaka.