Všeobecné nariadenie o ochrane osobných údajov (GDPR) prinútilo podniky, aby si plnili svoje povinnosti, inak im hrozí, že dostanú jednu z ochromujúcich pokút za to, že tak neurobia.
Všadeprítomné zavádzanie cloudu predstavuje problémy s dodržiavaním právnych predpisov, pričom poskytovateľ cloudových služieb musí tiež spĺňať isté požiadavky na ukladanie podnikových údajov.
Cloud sa stal neoddeliteľnou súčasťou fungovania digitálne transformovaného podniku, čo znamená, že podniky si musia byť isté, že ich poskytovateľ cloudových služieb je v súlade s GDPR. Prísne požiadavky sa vzťahujú na to, ako podniky uchovávajú informácie dotknutej osoby. Tie sa líšia v závislosti od krajiny, v ktorej sa nachádzajú. Dokonca aj najmenšia chyba môže stáť spoločnosť milióny.
Pri výbere poskytovateľov cloudových služieb by sa mala vykonať náležitá starostlivosť, pretože dobrý vzťah medzi podnikom a neobmedzeným rozsahom cloudu môže viesť k optimálnemu usporiadaniu ukladania a ochrany údajov.
Aký vplyv má GDPR na cloud?
Podniky musia, samozrejme, urobiť isté kroky, aby sa ubezpečili, že externé služby a tretie strany, s ktorými spolupracujú, sú v súlade s normami GDPR, najmä ak by vystavili vašu organizáciu regulačnému riziku.
Napríklad údaje vašej organizácie by sa mohli spravovať na serveroch za hranicami EÚ. V tejto situácii je dôležité, aby ste si boli stále vedomí toho, či táto „tretia krajina“ má uzavretú dohodu o primeranosti údajov, čo znamená, že jej právne predpisy o ochrane údajov sa oficiálne považujú za zlučiteľné so zákonmi EÚ (jeden z dôvodov, pre ktoré sa Spojené kráľovstvo rozhodlo implementovať normy GDPR vo forme nového zákona o ochrane údajov, a to napriek blížiacemu sa odklonu krajiny od bloku).
Podniky musia prevziať zodpovednosť v rámci GDPR nielen sami za seba, ale aj za svojich partnerov a dodávateľov.
Spravovanie súhlasov a zavádzanie povolení v súlade s GDPR je rozhodujúce pre legitímne spracovanie údajov obyvateľov EÚ. Zákony jasne uvádzajú, že údaje nemôžu byť použité na iné účely ako tie, ktoré boli uvedené pri získaní súhlasu, a nemôžu sa uchovávať dlhšie, ako je potrebné na splnenie týchto cieľov.
Spravovanie údajov je tiež dôležité, keďže podniky môžu legitímne zhromažďovať a ukladať údaje obyvateľov EÚ za predpokladu, že na to majú povolenie. V usmerneniach GDPR sa uvádza, že nemôžu zhromažďovať viac, ako potrebujú na splnenie vopred stanoveného účelu. Ak je to možné, je dobré mať prehľad o tom, kde sa citlivé údaje ukladajú, na čo sa používajú a na ako dlho sa uchovávajú.
Predchádzajúce informácie možno riešiť dohodami o istej úrovni služieb, ktoré môžu zabezpečiť, že poskytovateľ cloudových služieb ponúka služby, ktoré podnikom umožnia zostať v súlade s usmerneniami GDPR.
Úroveň bezpečnosti
Ďalšou dôležitou oblasťou, na ktorú sa treba skutočne zamerať, je úroveň bezpečnosti a kontroly dát, ktorú rôzni poskytovatelia cloudu ponúkajú a môžu zaručiť. Podľa GDPR je spoločnosť považovaná za správcu údajov, a je preto zodpovedná za uchovávanie týchto údajov v bezpečí bez ohľadu na to, či sú uchovávané na svojich vlastných serveroch alebo na serveroch poskytovateľa cloudu.
Aj keď sa zistí, že cloudová služba porušuje GDPR, klientska spoločnosť je stále zodpovedná za správu údajov, takže podniky musia starostlivo zvážiť záruky, ktoré poskytovatelia cloudových služieb poskytujú, pokiaľ ide o súlad s GDPR.
Keď dôjde k úniku údajov a spoločnosť je zodpovedná za zabezpečenie ochrany akýchkoľvek osobných údajov, ktoré vlastní, je dôležité, aby urobila všetko pre zabezpečenie uvedených údajov ešte predtým, ako sa umiestnia do cloudových aplikácií a úložísk.
V zmiešanom prostredí IT, v ktorom je možné použiť veľké množstvo aplikácií a služieb založených na cloude, je dôležité zablokovať aplikácie, ktoré nie sú v súlade s GDPR, ako aj zabezpečiť, že tieto údaje sa vymazali.
Jedna rada na záver: ak pracujete v cloudovom prostredí, je mimoriadne dôležité správne nastaviť parametre ochrany údajov v úložisku.