menu
Blog

Usluge cloud servisa i zaštita podataka

Usluge cloud servisa i zaštita podataka

Kako tvrtke mogu osigurati povjerljivost podataka tijekom rada od kuće?

Prelazak na Cloud uslugu ima brojne prednosti primjerice sigurnost podataka, smanjenje troškova, fleksibilnost, poslovni kontinuitet i veći izbor u razvoju IT strategije.

Cloud usluge osiguravaju mobilnost u radu i pristup resursima kompanije s udaljenih lokacija, putem primjerice mobilnog pristupa IT servisima, što je u situaciji u kojoj se svi trenutno nalazimo izuzetno važno.

Cloud usluge omogućuju kontinuitet poslovanja jer kopije podataka svojih korisnika koriste na fizički i logički odvojenim lokacijama koje se nalaze u drugim regijama, državama ili kontinentima.

Situacije u kojima dođe do kvara na serverima gdje su pohranjeni podaci može dovesti do ozbiljnog zastoja u poslovanju tvrtke te značajno naškoditi ne samo trenutnim prihodovnim rezultatima tvrtke već i reputacijskim posljedicama što može imati negativne posljedice i na dugoročne poslovne rezultate tvrtke.

Što morate učiniti ukoliko ste poslovanje prebacili na Cloud tijekom pandemije?

  • Osiguravati jednaku razine zaštite osobnih podataka kao i za bilo koji drugi tip računalnog modela.

Prebacivanje poslovanja u Oblak ne bi trebalo spustiti razinu zaštite osobnih podataka u usporedbi s obradom podataka putem bilo koje druge vrste IT infrastrukture.

Na primjer, obrada osobnih podataka putem oblaka ne bi trebala produžiti razdoblje zadržavanja podataka.

  • Provesti test procjene učinka na zaštitu podataka ispitanika (DPIA)
  • Potrebno je odrediti uloge voditelja i izvršitelja obrade

Ponekad pružatelji usluga oblaka i održavaju razinu kontrole nad obradom koja može  nadilaziti ulogu izvršitelja obrade te je stoga nužno dobro iz analizirati odnos radi sklapanja ugovora ili sporazuma o obradi i dijeljenju osobnih podataka.

  • Nužno je utvrditi gdje se pohranjuju podaci te dolazi li do prijenosa podataka u zemlje izvan EU
  • Voditi računa o sigurnosnim kopijama, primjerice gdje su sve pohranjene
  • Uspostaviti jasne protokole prijavljivanja incidenata te uspostaviti koordinaciju u postupanju
  • Donijeti odluke o ovlaštenjima pristupa
  • Voditi evidencije aktivnosti obrade
  • Kontinuirano preispitivati tehničke, sigurnosne i organizacijske mjere zaštite

Specifični izazovi GDPR-a

  • Učinkovito provođenje rokova čuvanja podataka te s tim u vezi brisanja

Osobni se podaci ne mogu čuvati duže nego što je potrebno za unaprijed definiranu svrhu. Stoga bez obzira što podatke čuvate u oblaku morate biti u stanju stvarno izbrisati podatke nakon isteka razdoblja čuvanja čak i za podatke lokalno pohranjene u oblaku.

S obzirom da pružatelji usluga u oblaku mogu pohraniti podatke na više lokacija, primjenjujući propise više država, veliki je izazov prepoznati i upravljati zahtjevima za brisanjem podataka

Da biste u potpunosti izbrisali podatke, moraju se uzeti u obzir i sigurnosne kopije. Stoga je važno imati jasan pregled kako su sigurnosne kopije osigurane i tko ih je sve zadržao odnosno tko ima njima pristup.

  • Kršenje odredbi GDPR-a i koordinacija u postupcima

Obaveze prijavljivanja kršenja i protokoli moraju biti uključeni u ugovore odnosno sporazume o obradi podataka s pružateljima usluga oblaka. Ugovor mora, između ostaloga, definirati slučaj kršenja i opisati postupak kako bi pružatelj bez nepotrebnog odgađanja obavijestio vaše poduzeće o bilo kakvim kršenjima. Čak i ako se pružatelju usluga oblaka dogodi incident kršenja podataka koji utječe na više ispitanika, vi kao voditelj obrade trebate uspostaviti vanjsku komunikaciju i upravljati incidentom uz podršku pružatelja usluge oblaka.

  • Obrada osobnih podataka izvan Europskog gospodarskog prostora (EEA)

Budući da se informacije odnosno osobni podaci u oblaku mogu pohraniti na više lokacija unutar više lokacija, morate utvrditi gdje se nalaze podaci i je li došlo do prijenosa podataka izvan EEA. U slučaju da je došlo do prijenosa podataka u zemlje izvan EEA moraju se poduzeti odgovarajuće zaštitne mjere.

Voditelj obrade mora voditi računa da ispitaniku mora biti u mogućnosti ostvariti njegova prava. Dakle, ukoliko su podaci ispitanika u oblaku, voditelj obrade mora biti u mogućnosti dati ispitaniku da preuzme podatke u strukturiranom, često korištenom i strojno čitljivom formatu.

  • Vlasništvo nad podacima

Kao voditelj obrade morate održavati kontrolu i vlasništvo nad vlastitim podacima. Stoga to mora biti navedeno u ugovoru odnosno u sporazumu. Pored toga, morate utvrditi da vaša tvrtka zadržava vlasništvo nad prenesenim podacima, a to ovisi o primjenjivom zakonodavstvu koje, također, morate utvrditi.

  • Upravljanje rizicima

Pružatelji usluga u oblaku moraju biti podložni upravljanju rizikom treće strane. Da bi se utvrdili rizici koji mogu nastati pri korištenju usluga pružatelja oblaka, mora se provesti procjena utjecaja zaštite podataka (DPIA) i sigurnosna procjena. Pored toga, morate propisati u ugovorima odnosno sporazuma kada ćete provesti reviziju.

  • Cloud ˝arhitektura˝ i privatnost dizajna

Kao voditelj obrade prilikom angažiranja pružatelja usluga oblaka trebali biste razumjeti osnovne tehnologije koje pružatelj oblaka koristi i implikacije koje bi te tehnologije mogle imati na sigurnosne zaštitne mjere i zaštitu osobnih podataka pohranjenih u oblaku. ˝Arhitektura˝ sustava pružatelja usluga oblaka trebala bi se pratiti radi rješavanja bilo kakvih promjena u tehnologiji i preporučenih ažuriranja sustava.

  • Vidljivost metapodataka i minimiziranje podataka

Ako ste kao voditelj obrade zainteresirani za sklapanje ugovora za pružanje usluga u oblaku, trebali biste dobiti informacije o vrstama metapodataka koje je prikupio pružatelj usluga oblaka. Razmotrite koja se razina zaštite pruža metapodacima.

  • Sigurnost i privatnosti

Ukoliko kao voditelj obrade ne upravljate okruženjem davatelja oblaka (IT) morate se osloniti na (IT) kontrole koje ima pružatelj usluga. Uvijek je potrebno procijeniti u kojoj je mjeri pružatelj usluga u skladu s vašim zahtjevima za IT sigurnost. To bi se moglo učiniti putem postupka upravljanja rizikom treće strane. Pored toga, morate procijeniti i kakve mjere IT sigurnosti i privatnosti ili certifikate posjeduje pružatelj usluga oblaka.

 

Ostale

Novosti

Pridružite se našoj email listi

Prvi saznajte za promjene i nova mišljenja nadzornih tijela i inspekcije, čitajte o presudama Suda EU i nacionalnih sudova, drugim novostima i primjerima iz prakse te uživajte u specijalnim ponudama namijenjenim samo našim pretplatnicima.