Kako tvrtke mogu osigurati povjerljivost podataka tijekom rada od kuće?
Prelazak na Cloud uslugu ima brojne prednosti primjerice sigurnost podataka, smanjenje troškova, fleksibilnost, poslovni kontinuitet i veći izbor u razvoju IT strategije.
Cloud usluge osiguravaju mobilnost u radu i pristup resursima kompanije s udaljenih lokacija, putem primjerice mobilnog pristupa IT servisima, što je u situaciji u kojoj se svi trenutno nalazimo izuzetno važno.
Cloud usluge omogućuju kontinuitet poslovanja jer kopije podataka svojih korisnika koriste na fizički i logički odvojenim lokacijama koje se nalaze u drugim regijama, državama ili kontinentima.
Situacije u kojima dođe do kvara na serverima gdje su pohranjeni podaci može dovesti do ozbiljnog zastoja u poslovanju tvrtke te značajno naškoditi ne samo trenutnim prihodovnim rezultatima tvrtke već i reputacijskim posljedicama što može imati negativne posljedice i na dugoročne poslovne rezultate tvrtke.
Što morate učiniti ukoliko ste poslovanje prebacili na Cloud tijekom pandemije?
- Osiguravati jednaku razine zaštite osobnih podataka kao i za bilo koji drugi tip računalnog modela.
Prebacivanje poslovanja u Oblak ne bi trebalo spustiti razinu zaštite osobnih podataka u usporedbi s obradom podataka putem bilo koje druge vrste IT infrastrukture.
Na primjer, obrada osobnih podataka putem oblaka ne bi trebala produžiti razdoblje zadržavanja podataka.
- Provesti test procjene učinka na zaštitu podataka ispitanika (DPIA)
- Potrebno je odrediti uloge voditelja i izvršitelja obrade
Ponekad pružatelji usluga oblaka i održavaju razinu kontrole nad obradom koja može nadilaziti ulogu izvršitelja obrade te je stoga nužno dobro iz analizirati odnos radi sklapanja ugovora ili sporazuma o obradi i dijeljenju osobnih podataka.
- Nužno je utvrditi gdje se pohranjuju podaci te dolazi li do prijenosa podataka u zemlje izvan EU
- Voditi računa o sigurnosnim kopijama, primjerice gdje su sve pohranjene
- Uspostaviti jasne protokole prijavljivanja incidenata te uspostaviti koordinaciju u postupanju
- Donijeti odluke o ovlaštenjima pristupa
- Voditi evidencije aktivnosti obrade
- Kontinuirano preispitivati tehničke, sigurnosne i organizacijske mjere zaštite
Specifični izazovi GDPR-a
- Učinkovito provođenje rokova čuvanja podataka te s tim u vezi brisanja
Osobni se podaci ne mogu čuvati duže nego što je potrebno za unaprijed definiranu svrhu. Stoga bez obzira što podatke čuvate u oblaku morate biti u stanju stvarno izbrisati podatke nakon isteka razdoblja čuvanja čak i za podatke lokalno pohranjene u oblaku.
S obzirom da pružatelji usluga u oblaku mogu pohraniti podatke na više lokacija, primjenjujući propise više država, veliki je izazov prepoznati i upravljati zahtjevima za brisanjem podataka
Da biste u potpunosti izbrisali podatke, moraju se uzeti u obzir i sigurnosne kopije. Stoga je važno imati jasan pregled kako su sigurnosne kopije osigurane i tko ih je sve zadržao odnosno tko ima njima pristup.
- Kršenje odredbi GDPR-a i koordinacija u postupcima
Obaveze prijavljivanja kršenja i protokoli moraju biti uključeni u ugovore odnosno sporazume o obradi podataka s pružateljima usluga oblaka. Ugovor mora, između ostaloga, definirati slučaj kršenja i opisati postupak kako bi pružatelj bez nepotrebnog odgađanja obavijestio vaše poduzeće o bilo kakvim kršenjima. Čak i ako se pružatelju usluga oblaka dogodi incident kršenja podataka koji utječe na više ispitanika, vi kao voditelj obrade trebate uspostaviti vanjsku komunikaciju i upravljati incidentom uz podršku pružatelja usluge oblaka.
- Obrada osobnih podataka izvan Europskog gospodarskog prostora (EEA)
Budući da se informacije odnosno osobni podaci u oblaku mogu pohraniti na više lokacija unutar više lokacija, morate utvrditi gdje se nalaze podaci i je li došlo do prijenosa podataka izvan EEA. U slučaju da je došlo do prijenosa podataka u zemlje izvan EEA moraju se poduzeti odgovarajuće zaštitne mjere.
Voditelj obrade mora voditi računa da ispitaniku mora biti u mogućnosti ostvariti njegova prava. Dakle, ukoliko su podaci ispitanika u oblaku, voditelj obrade mora biti u mogućnosti dati ispitaniku da preuzme podatke u strukturiranom, često korištenom i strojno čitljivom formatu.
- Vlasništvo nad podacima
Kao voditelj obrade morate održavati kontrolu i vlasništvo nad vlastitim podacima. Stoga to mora biti navedeno u ugovoru odnosno u sporazumu. Pored toga, morate utvrditi da vaša tvrtka zadržava vlasništvo nad prenesenim podacima, a to ovisi o primjenjivom zakonodavstvu koje, također, morate utvrditi.
- Upravljanje rizicima
Pružatelji usluga u oblaku moraju biti podložni upravljanju rizikom treće strane. Da bi se utvrdili rizici koji mogu nastati pri korištenju usluga pružatelja oblaka, mora se provesti procjena utjecaja zaštite podataka (DPIA) i sigurnosna procjena. Pored toga, morate propisati u ugovorima odnosno sporazuma kada ćete provesti reviziju.
- Cloud ˝arhitektura˝ i privatnost dizajna
Kao voditelj obrade prilikom angažiranja pružatelja usluga oblaka trebali biste razumjeti osnovne tehnologije koje pružatelj oblaka koristi i implikacije koje bi te tehnologije mogle imati na sigurnosne zaštitne mjere i zaštitu osobnih podataka pohranjenih u oblaku. ˝Arhitektura˝ sustava pružatelja usluga oblaka trebala bi se pratiti radi rješavanja bilo kakvih promjena u tehnologiji i preporučenih ažuriranja sustava.
- Vidljivost metapodataka i minimiziranje podataka
Ako ste kao voditelj obrade zainteresirani za sklapanje ugovora za pružanje usluga u oblaku, trebali biste dobiti informacije o vrstama metapodataka koje je prikupio pružatelj usluga oblaka. Razmotrite koja se razina zaštite pruža metapodacima.
- Sigurnost i privatnosti
Ukoliko kao voditelj obrade ne upravljate okruženjem davatelja oblaka (IT) morate se osloniti na (IT) kontrole koje ima pružatelj usluga. Uvijek je potrebno procijeniti u kojoj je mjeri pružatelj usluga u skladu s vašim zahtjevima za IT sigurnost. To bi se moglo učiniti putem postupka upravljanja rizikom treće strane. Pored toga, morate procijeniti i kakve mjere IT sigurnosti i privatnosti ili certifikate posjeduje pružatelj usluga oblaka.
Ukoliko imate pitanja kontaktirajte nas putem ured@presido.hr .
Ukoliko se želite prijaviti na našu online edukaciju marketing@kolačići.GDPR/ePrivacy javite nam se! Edukacija se održava 6.5.2020. godine od 11 do 14 sati.
Cijena edukacije je 1.000,00 kuna plus PDV.
Nakon edukacije ćemo Vam napraviti analizu web mjesta, dati primjerak procjene učinka zaštite podataka i omogućiti Vam besplatno savjetovanje do rujna ove godine,