Nové obecné nařízení EU o ochraně osobních údajů (GDPR) vstoupí v platnost 25. května 2018. V důsledku toho musí společnosti všech velikostí přezkoumat změny vyplývající z GDPR a identifikovat organizační a technické důsledky, které se jich týkají. Méně než měsíc před stanoveným termínem se mnoho společností stále nepovažuje za „připravené na GDPR“. Mnohé z nich se snaží narychlo zavést správné zásady zabezpečení IT a ochrany osobních údajů. Cloud computing a zvýšená úroveň ochrany údajů by měly jít ruku v ruce. Kromě počáteční nervozity by nové regulační výzvy mohly potenciálně otevřít nové příležitosti pro poskytovatele i uživatele cloudových služeb.
TLDR? Přeskočit na šest klíčových kritérií…
Úvod
Ochrana a zabezpečení údajů se v průběhu digitalizace dostávají stále více do popředí zájmu. Jsou považovány za klíčovou kvalifikaci pro úspěšné nastoupení cesty digitální transformace.
Pozadím a cílem GDPR je harmonizace mezi členskými zeměmi EU, aby v zóně EU platil jednotný zákon o ochraně osobních údajů a zároveň se zlepšilo právní postavení dotčených osob. Zde jsou některé z nejdůležitějších změn ve světle GDPR:
- Pokuty za porušení se výrazně zvyšují – až na 2 nebo 4 procenta ročního obratu v závislosti na závažnosti porušení.
- Práva dotčených osob jsou výrazně posílena požadavky na transparentnost a informace.
- Kromě dobře známých povinností týkajících se ochrany údajů se zavádějí nové povinnosti, například pro výchozí nastavení elektronických zařízení šetrné k ochraně soukromí.
- Nové nařízení se vztahuje i na společnosti, které nemají sídlo v EU, ale shromažďují údaje od občanů EU.
Výzvy
Rozhodovací orgány firem a odborníci na bezpečnost se nyní ptají, jak budou nová nařízení GDPR vypadat. A jak by se měli připravit a provést implementaci GDPR. Otázka “připravenosti na GDPR” navíc rezonuje u ředitelů pro informační bezpečnost (CISO).
Velký počet osob s rozhodovací pravomocí v podnicích si bude myslet, že jde o “další nové nařízení z Bruselu, kterého si nikdo nikdy nevšimne”. GDPR má však dobré důvody k tomu, aby bylo bráno v úvahu. Změny nařízení v první řadě posílí práva všech dotčených osob. To může v budoucnu vést k významným finančním sankcím, pokud dojde k porušení zabezpečení údajů týkajících se občanů EU.
Kromě potenciální materiální škody má velký význam také potenciální poškození pověsti společnosti. Média se snaží zveřejňovat problémy s ochranou soukromí. To je varovný výstřel pro všechny společnosti, které ještě neshromáždily dostatek odborných znalostí potřebných ke splnění nových požadavků. S nabytím účinnosti GDPR v květnu 2018 se totiž pokuty drasticky zvýší. S pokutami až do výše 20 milionů € nebo do 4 % ročního obratu se téma GDPR dostalo do popředí zájmu na úrovni vedení společností všech velikostí.
GDPR v kontextu cloud computingu
Nová nařízení týkající se ochrany údajů” jsou výzvou i příležitostí. Klíčovým ukazatelem “připravenosti na GDPR” je přístup k ochraně údajů ve společnostech a úroveň poskytované ochrany údajů, což znamená, jaké kritické firemní procesy, kde a jak fungují na cloudových infrastrukturách.
Pro mnoho společností je GDPR složitým projektem. Právní, technické a organizační výzvy, které GDPR přináší, se dosud podařilo sladit jen částečně. Zejména v případě velkých migračních projektů v prostředí cloud computingu, v prostředí IoT nebo v big data scénářích ponechává každodenní provoz jen málo času na to, abyste se zabývali implementací GDPR. Kromě četných implementačních výzev však GDPR nabízí také příležitost vyniknout díky novému definování a implementaci nových strategií ochrany osobních údajů a bezpečnosti IT, zejména v kontextu cloud computingu.
V důsledku toho vyvolává téma cloud computingu v kontextu GDPR mnoho otázek. Z technického hlediska je cloud computing smlouvou o zpracování údajů. Uživatel cloudu by si proto měl být za všech okolností plně vědom toho, jakým způsobem poskytovatel jeho údaje zpracovává. Poskytovatelé cloudu a poskytovatelé zdrojů pouze podporují své funkce a jsou závislí na právních požadavcích odpovědného orgánu. Jinými slovy, jak poskytovatelé cloudu, tak podniky musí splňovat minimální právní požadavky pro každou cloudovou službu podle GDPR.
Jak využít potenciální výzvy, které se za GDPR skrývají? Nabízejí se dvě hlavní otázky. Na jedné straně firmy potřebují vědět, kterým poskytovatelům cloudu mohou důvěřovat. Na druhé straně musí vědět, jaká technická a organizační opatření musí přijmout, aby byly “v souladu s GDPR”.
Příležitosti a povinnosti pro CISO – ten správný cloudový partner
Správný cloudový partner může být ve světle GDPR cenným sparingpartnerem. Díky svým odborným znalostem v oblasti shody s předpisy a zabezpečení totiž může vaší společnosti pomoci dosáhnout stavu “GDPR-ready”.
Pokud uplatňujete multicloudovou strategii, musíte posoudit zásady ochrany osobních údajů každého poskytovatele cloudu. Hybridní a multicloudové přístupy jsou mnohem složitější na koordinaci, a proto mohou představovat vyšší riziko v oblasti ochrany osobních údajů. Množství různých poskytovatelů cloudu, zejména v prostředí veřejného cloudu, ztěžuje CISO zajištění souladu s GDPR. Soulad s GDPR je jen tak silný, jak silný je nejslabší článek. Například porušení pravidel nebo nesoulad ze strany jediného poskytovatele cloudu v rámci multicloudového nasazení může zmařit veškeré úsilí o úspěšné dosažení souladu s GDPR.
Šest klíčových kritérií
Níže jsme sestavili rychlý přehled kritérií, která můžete použít k vyhodnocení svých potenciálních cloudových partnerů (z hlediska jejich souladu s GDPR):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Bezpečnost a ochrana soukromí
Prvním krokem je posouzení, do jaké míry je poskytovatel schopen splnit vaše požadavky na bezpečnost IT. Jedním ze snadných způsobů, jak mohou poskytovatelé cloudu prokázat soulad s bezpečností a konceptem „Privacy by Design“, je certifikace ISO 27001 nebo ISO 27018. Pokud ji nemají, mohou ji prokázat prostřednictvím provedeného posouzení vlivu na ochranu osobních údajů (DPIA) a/nebo posouzení bezpečnosti.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Soulad CloudSigma s předpisy
CloudSigma je certifikována podle normy ISO 27001, což zajišťuje, že všechny aspekty naší infrastruktury a služeb používaných k poskytování a správě vašeho cloudu splňují nejvyšší standard certifikace ISO v oblasti bezpečnosti a ochrany osobních údajů.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Řízení rizik
Společnosti, které pracují s širokou škálou kritických údajů, musí poskytnout dostatečné záruky (v souladu s článkem 28 nařízení GDPR). Tyto záruky musí prokazovat, že správce údajů využívá:
„Pouze zpracovatelé poskytující dostatečné záruky k zavedení vhodných technických a organizačních opatření. A to takovým způsobem, aby zpracování splňovalo požadavky tohoto nařízení a zajistilo ochranu práv subjektu údajů.“”
Proto se musíte ujistit, že váš poskytovatel cloudových služeb provádí pravidelné audity za účelem přezkumu. Také hodnocení a evaluaci technických a organizačních opatření k zajištění bezpečnosti zpracování. Kromě toho se musíte ujistit, že cloudový partner uděluje svým zákazníkům právo na audit.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Soulad s předpisy CloudSigma
Jako zákazník jakékoli cloudové platformy CloudSigma jste oficiálně oprávněni k provádění auditu bezpečnosti, provozu a procesů ve vztahu ke službám, které vám poskytujeme.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Umístění dat
Vždy byste měli vědět, kde se obecně nacházejí vaše data. Ne všichni cloudoví partneři vám však poskytují potřebnou transparentnost ohledně cloudových lokalit. Upozorňujeme, že sídlo poskytovatele cloudových služeb nemusí být nutně místem hostování vašich dat. Některé společnosti navíc mohou vaše data na pozadí přesouvat mezi různými cloudovými lokalitami, aniž by vám o tom daly vědět. To může být součástí podmínek poskytování služeb cloudového partnera. V neposlední řadě mohou poskytovatelé cloudových služeb ukládat data na více místech. A některá z nich mohou být mimo EHP. Jako správce osobních údajů musíte definovat cloudovou strategii pro více zemí, abyste splnili požadavky na odpovídající úroveň ochrany a zákony o lokalizaci dat.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Soulad s předpisy CloudSigma
V rámci našich Podmínek poskytování služeb, je společnost CloudSigma strukturována tak, aby právně oddělovala cloudové lokality podle zemí. V důsledku toho každá lokalita podléhá pouze místnímu právnímu rámci. To vše při současném nabízení 100% lokálního cloudového řešení pro koncové zákazníky.
Lokality také nejsou technicky propojeny a CloudSigma zajišťuje nejvyšší transparentnost ohledně přesného umístění dat, která nikdy nebudou přenášena mezi cloudovými lokalitami.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Bezpečnostní funkce
GDPR vyžaduje celou řadu záruk na ochranu údajů, od šifrování uložených i přenášených dat přes řízení přístupu až po pseudonymizaci a anonymizaci dat. Chcete-li toho dosáhnout, vyberte si cloudového partnera, který nabízí dostatek bezpečnostních funkcí, ze kterých si můžete vybrat. Například – zálohování, šifrování, zásady řízení přístupu a další. Pokud váš cloudový partner takové zásady nemá, musíte se o bezpečnostní funkce postarat sami.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Soulad s předpisy CloudSigma
CloudSigma se snaží zákazníkům poskytovat vysokou úroveň bezpečnosti a soukromí s výběrem funkcí a nástrojů, které jim umožňují zabezpečit různé aspekty jejich výpočetního prostředí. Na našem blogu mohou zákazníci najít řadu článků popisujících různé bezpečnostní funkce jako například šifrování na úrovni spouštění systému, zásady řízení přístupu, dvoukrokové ověření, SSH klíče a další.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
Vlastnictví dat
Jako zákazník poskytovatele cloudu jste správcem údajů (Data Controller). To znamená, že si musíte zachovat kontrolu a vlastnictví svých vlastních dat. Toho můžete dosáhnout podpisem Smlouvy o zpracování osobních údajů (Data Processing Agreement) se svým cloudovým partnerem, abyste zaručili, že partner dodržuje požadavky na ochranu osobních údajů podle GDPR. Můžete si buď navrhnout vlastní, nebo zkontrolovat, zda váš cloudový partner vytvořil DPA jako standardní součást Podmínek poskytování služeb (Terms of Service). Výhodou použití vlastní smlouvy je, že můžete specifikovat typ shromažďovaných osobních údajů a „zvláštních“ údajů. Bez ohledu na to, zda použijete DPA svého partnera nebo svou vlastní, ujistěte se, že podmínky jasně stanovují, že správce údajů (tj. vy) data vlastní a že zpracovatel údajů (tj. cloudový partner) nebude data sdílet s třetími stranami.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Soulad s předpisy CloudSigma
Společnost CloudSigma vytvořila Smlouvu o zpracování osobních údajů (DPA), která zákazníkům umožňuje plnit jejich povinnosti vyplývající z GDPR. Aktualizovali jsme příslušné části našich Podmínek poskytování služeb a Zásad ochrany osobních údajů tak, aby odkazovaly na DPA a byly v souladu s GDPR.
Kromě toho naše standardní Zásady ochrany osobních údajů jsou velmi transparentním dokumentem popisujícím veškeré shromažďování, ukládání a používání zákaznických dat v cloudu.
Zákazníci si ponechávají plný a výhradní přístup ke svým datům na úrovni souborového systému. Systém CloudSigma nemá přístup ani viditelnost do virtuálních strojů (VM) nebo disků. Systém správy cloudu CloudSigma implementuje rámec řízení přístupu, který omezuje práva a přístup zaměstnanců a zároveň protokoluje akce prováděné v systému.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mazání dat
Musíte se ujistit, že po skončení smlouvy s cloudovým partnerem můžete data stáhnout/vymazat. A také, že cloudový partner data smaže, jakmile službu ukončíte. Někteří poskytovatelé cloudu (zejména pokud mají certifikaci ISO) používají standardizované zásady pro mazání dat po vypršení platnosti smlouvy. Pokuste se zjistit, jak dlouho poskytovateli cloudu trvá, než vaše data smaže.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Soulad s předpisy CloudSigma
V CloudSigma systém automaticky zpracovává veškerá zákaznická data. To zahrnuje mazání disků, plánované mazání zrušených účtů atd.
CloudSigma nepořizuje žádné kopie dat z disků klientů. Jediná kopie se nachází v našem cloudu, pokud se zákazník nerozhodne naklonovat disk do jiného úložného systému.
Kromě toho v rámci naší Smlouvy o zpracování osobních údajů, můžete požadovat opravu, vymazání, zablokování a/nebo zpřístupnění svých dat během nebo po ukončení používání služby.
[/vc_column]
[/vc_row]
Jak moc je tedy vaše vlastní společnost dnes “připravená na GDPR”?
Pro další informace o CloudSigma a GDPR nás neváhejte kontaktovat na adrese dpo (at) cloudsigma.com.
Zdroje:
Komentáře
Zatím žádné komentáře. Buďte první.