Рачунарство у облаку и заштита личних података – шта каже ГДПР?

Служба

Да ли размишљате о увођењу рачунарства у облаку у своју компанију? Да ли се плашите да обрада података на овај начин није у складу са ГДПР законом? У овом чланку ћете сазнати како закон сматра заштиту личних података и рачунарство у облаку и како ова услуга функционише.

Како функционише рачунарство у облаку?

Рачунарство у облаку вам омогућава да даљински корисницима пружите услуге и ресурсе за обраду информација, укључујући личне податке. Цлоуд цомпутинг пружа рачунарске услуге путем Интернета, као што су: сервери, складишта, базе података, мреже, софтвер и многи други. Најважније предности рачунарства у облаку су ниске цене, брзина рада, глобална скала рада, продуктивност (нпр. није потребна конфигурација хардвера), перформансе и поузданост и богат скуп безбедносних функција, тако да постоји заштита личних података у рачунарству у облаку. .

Врсте облака:

  • Јавно – опште доступан облак, нпр. Гоогле диск.
  • Приватно – У власништву је екстерних добављача услуга у облаку. Они њима управљају и обезбеђују ресурсе. Они су, у извесном смислу, власништво субјеката који опслужују. Ово је најскупља верзија облака.
  • Хибрид - комбинује јавне и приватне облаке. У оквиру јавног сервера одвојен је приватни део коме приступ имају само одређени корисници.

Постоје услуге у облаку као што су:

  1. ИааС – Инфраструктура као услуга. Изнајмљивање ИТ инфраструктуре (сервери, мреже, оперативни системи, виртуелне машине) од цлоуд провајдера.
  2. Паас - платформа као услуга. Обезбеђивање окружења за тестирање, развој, испоруку и управљање апликацијама.
  3. Саас - софтвер као услуга. То је испорука апликације преко Интернета – корисник се на апликацију повезује најчешће користећи претраживач на свом уређају.

Заштита личних података и рачунарство у облаку – шта каже ГДПР закон?

Заштита личних података и рачунарство у облаку је тешко питање у светлу одредби ГДПР закона, јер облак може да садржи информације о извођачима, клијентима, запосленима и рачуноводственим операцијама. Сви ови подаци представљају личне податке у складу са Уредбом Европског парламента и Савета ЕУ 2016/679 од 27. априла 2016. о заштити појединаца у погледу обраде личних података и о слободном кретању таквих података:

Обрада личних података треба да буде организована на начин да служи човечанству. Право на заштиту личних података није апсолутно право; морају се посматрати у контексту њене друштвене функције и балансирати са другим основним правима у складу са принципом пропорционалности”.

Према ГДПР закону, лични подаци су подаци који омогућавају идентификацију датог физичког лица, а сходно 4 ст. 2 ГДПР, обрада је операција која се врши на личним подацима. Дакле, прикупљање података у облаку је врста обраде личних података. У случају рачунарства у облаку, заштита личних података је одговорност контролора података који користи ову услугу. Нажалост, чак и ако администратор води рачуна о високом нивоу безбедности података који се деле у облаку, не може бити сигуран да је све урађено у складу са ГДПР-ом.

Да би обрађени подаци били обезбеђени у складу са правом ЕУ (ГДПР), требало би да изаберете облаке чији се сервер налази у Европском економском простору, а оператер има седиште у Европској унији – то је гаранција да се оператер придржава са правом ЕУ. На основу чл. 40 ГДПР, облак треба да примењује одобрени индустријски кодекс понашања иу складу са чл. 42 ГДПР, користите одобрени механизам сертификације.

Заштита личних података и рачунарство у облаку сумирани су на следећи начин – уколико оператер облака поседује одговарајуће сертификате: ИСО/ИЕЦ 27001 и ИСО/ИЕЦ 27018, то значи да користи тзв. кодекс добре праксе. Међутим, вреди знати да ГДПР не захтева посебно ове сертификате, тако да их нема сваки облак. Треба имати на уму да оператер облака само пружа услугу, а администратор је одговоран за сигурност података.