GDPR pro poskytovatele cloudových služeb - přehled

Co je to cloud?

Zjednodušeně řečeno, cloud je síť serverů určená k ukládání velkého množství dat.

Společnosti mohou tento hardware využívat k ukládání vlastních dat, která jsou jim přístupná prostřednictvím internetu.

Mezi oblíbené příklady patří Dropbox, Google Cloud a Amazon Web Services.

Obecně lze cloudový software rozdělit do tří typů:

1. Veřejný - internetová cloudová služba poskytovaná více organizacím, a to buď zdarma, nebo s předplatným za každé použití.
2. Privátní - vnitropodniková cloudová služba určená pro jednu společnost.
3. Hybridní - kombinace veřejného a soukromého cloudu.

Často se dělí také jiným způsobem:

• Infrastruktura jako služba (IaaS) - společnost platí za přístup k výpočetním a úložným zdrojům poskytovatele cloudu.
• Software jako služba (SaaS) - společnost platí za přístup k softwaru na vyžádání prostřednictvím internetu.
• Platforma jako služba (Platform-as-a-Service, PaaS) - služba s vývojovým a nasazovacím prostředím, kterou mohou společnosti používat k vytváření aplikací v prohlížeči.

Výhody cloudu pro firmy

Cloudové úložiště může mít pro podniky obrovské výhody za zvládnutou cenu: snižuje náklady na zabezpečení a správu dat, zlepšuje komunikaci a katalyzuje lepší týmovou práci.

Podniky také mohou těžit z vyššího zabezpečení, méně prostojů způsobených problémy s IT infrastrukturou a vynikající škálovatelnosti při růstu.

Celkově vzato poskytuje cloudový software firmám dodatečnou flexibilitu, která jim může poskytnout zásadní konkurenční výhodu:

• 84 % respondentů hlásí zlepšení provozu během prvních měsíců po zavedení (Multisoft).
• Pro malé a střední podniky je o 40 % nákladově efektivnější využívat cloudové platformy třetích stran než udržovat vlastní alternativu (Multisoft).
• 94 % podniků hlásí podstatné zlepšení online bezpečnosti po migraci dat do cloudu (Salesforce).

Jak GDPR ovlivnilo cloudový software?

Zásadní je, že 91 % firem se domnívá, že jim cloudové platformy pro ukládání dat velmi pomohly při práci na zajištění souladu s vládními požadavky, jako je GDPR (Salesforce).

Již dlouho jsou navrženy s ohledem na bezpečnost, která je v popředí zájmu, a při přenosu dat využívají pokročilé šifrování - to znamená, že žádný neoprávněný uživatel nemá přístup k soukromým informacím.

Nařízení GDPR však trvale změnilo způsob ukládání a zpracování osobních údajů v cloudu a Evropský inspektor ochrany údajů - orgán EU pro ochranu osobních údajů - zkoumá, zda cloudové služby AWS společnosti Amazon a Azure společnosti Microsoft účinně chrání údaje občanů.

Požadavky GDPR na poskytovatele cloudových služeb jsou následující:

• Vypracovat zásady pro zpracování osobních údajů
• Zajistit, aby proces zpracování údajů respektoval 8 práv subjektu údajů podle GDPR.
• Stanovit požadavky na ochranu soukromí již od návrhu pro všechny, kdo se podílejí na zpracování údajů a kontrolních činnostech.
• Zavést kontrolu vlastnictví údajů a práva na přenositelnost údajů
• Zavést bezpečnostní opatření, která zajistí ochranu osobních údajů
• Stanovit zásady pro zpracování údajů mezinárodním stranám
• Vypracovat zásady a postupy pro řízení případů porušení zabezpečení údajů
• Vypracujte zásady týkající se stanovení smluvních ujednání, doby uchovávání údajů a dalších platných požadavků.

Jaká je odpovědnost společnosti za údaje uchovávané v cloudu?

Otázky bezpečnosti třetích stran jsou hlavním problémem nařízení GDPR, a to i v případě, kdy cloudová platforma třetí strany ukládá data jménem klientské firmy.

GDPR rozlišuje mezi "správci" a "zpracovateli" údajů, pokud jde o odpovědnost za bezpečnost osobních údajů.

V tomto kontextu je podnik správcem údajů, zatímco poskytovatel cloudového softwaru je zpracovatelem údajů - to znamená, že podnik je tedy odpovědný za bezpečnost osobních údajů bez ohledu na to, zda jsou uloženy na jeho vlastních serverech, či nikoli.

Na co myslet při výběru cloudové platformy

Před migrací do cloudu je vhodné, aby si společnosti zajistily řádné zmapování toku osobních údajů a provedly posouzení dopadu na ochranu osobních údajů.

Ústřední roli přitom budou hrát následující úvahy:

• Suverenita údajů Nařízení GDPR stanoví, že údaje musí být uloženy v Evropské unii. Naštěstí existuje mnoho poskytovatelů cloudových služeb, kteří umožňují zvolit si místo uložení dat, takže si můžete vybrat takového, který využívá datová centra v Evropě.
• Zabezpečení dat Zkontrolujte, jaké zabezpečení má platforma pro ukládání dat v cloudu, a vyberte si takovou, která nabízí koncové šifrování. V konečném důsledku se musíte přesvědčit, že poskytovatel má zavedeny odpovídající bezpečnostní postupy.
• Respektování subjektů údajů Vyberte si poskytovatele cloudu, který dodržuje osm práv na ochranu osobních údajů subjektů údajů v EU - tyto informace by měly cloudové společnosti snadno poskytnout.
• Ochrana údajů již od návrhu a ve výchozím nastavení Ujistěte se, že cloudová společnost integrovala zabezpečení do svého návrhu a postupů - například používá šifrování typu zero-knowledge, které omezuje přístup k citlivým informacím. To je klíčové vzhledem k tomu, že za případné narušení dat bude v konečném důsledku odpovědná vaše společnost.

Soulad s nařízením GDPR vyžaduje průběžnou práci

Jakmile společnost migruje data do cloudu, je rozumné provádět pravidelné audity, aby bylo zajištěno, že provozní postupy a procesy jsou i nadále v souladu s nařízením GDPR.

Rovněž je vhodné pravidelně kontrolovat, zda cloudová platforma nadále splňuje veškerá poskytnutá bezpečnostní ujištění.

Tuto činnost obvykle provádějí nezávislí hlídači třetích stran nebo recenzní weby, které je třeba ověřit před rozhodnutím, pro kterou možnost se rozhodnout.