Na naszym blogu często poruszamy wątki odnoszące się do RODO i chmury obliczeniowej. Dziś postanowiliśmy połączyć te dwa tematy, zwłaszcza że oba wydają się bardzo na czasie. Popularność cloud computingu nieustannie rośnie, a RODO to temat, który nadal jest bardzo aktualny i dotyczy większość przedsiębiorców. Co więcej ochrona danych osobowych w chmurze nie jest tak prosta i oczywista jak mogłoby się wydawać…
W dzisiejszym wpisie dowiecie się jak jedno ma się do drugiego. Mamy dla Was szereg praktycznych informacji, w tym m.in. jak chronić dane w chmurze i jakie ryzyko jest z tym związane.
Cloud computing, a ochrona i przetwarzanie danych
Zakładamy, że wiecie czym jest cloud computing. Jeśli nie, to zapraszamy do jednego z naszych poprzednich wpisów, w którym znajdziecie najważniejsze informacje na ten temat.
Usługi w chmurze polegają na przetwarzaniu danych. A jeśli mamy do czynienia z przetwarzaniem danych, to może się okazać, że wśród nich znajdą się również dane osobowe. Takie jak dane klientów, pracowników, dokumentacja kadrowa, finansowa itd. Wniosek? Tak samo jak w przypadku innych rozwiązań i środowisk, należy odpowiednio zadbać o prawidłowe wdrożenie i przestrzeganie przepisów RODO. Może to nie wydawać się oczywiste, bo nie pojawiły się odrębne regulacje prawne w odniesieniu bezpośrednio do chmury, ogólne zasady pozostają jednak niezmienne.
Zawsze, gdy dochodzi do przetwarzania danych osobowych pojawia się ryzyko, a jednocześnie pojawia się konieczność jego zniwelowania. Technologia chmury jest o tyle charakterystycznym rozwiązaniem, że z zasady dane są przetwarzane często przez kilka podmiotów. Firmy, które proponują usługi w chmurze, same korzystają często z infrastruktury zewnętrznej, posiłkują się podwykonawcami, korzystają z dodatkowego wsparcia. A wiadomo – im więcej podmiotów ma dostęp do danych, jest zaangażowanych w ich przetwarzanie, tym większe zamieszanie. Niestety też tym mniejsza możliwość kontroli przedsiębiorcy nad konkretnymi procesami. Trudno jest bowiem stwierdzić administratorowi kto i jak dokładnie przetwarza dane firmowe lub dane klientów. Może się też okazać, że przedsiębiorcę nie będzie obowiązywało polskie prawo – jest to bowiem uzależnione od lokalizacji infrastruktury chmurowej – ale o tym za chwilę.
Nawet jeśli w Waszej firmie RODO zostało skutecznie i dobrze wdrożone, dbacie o wysoki poziom bezpieczeństwa, to nie macie pewności, że dane w chmurze są chronione na tym samym poziomie. A przecież tego wymagają od Was przepisy. GIODO ma prawo do przeprowadzenia kontroli, czy przedsiębiorca przetwarzając dane osobowe w chmurze zapewnia im odpowiednią ochronę. Jeśli nie – rośnie ryzyko i widmo kar (o których też już wspominaliśmy). Co zrobić w takiej sytuacji? Jak zapewnić odpowiednią ochronę danych w chmurze? Jak korzystać z dobrodziejstw cloud computingu zgodnie z RODO?
Przygotowaliśmy dla Was kilka praktycznych porad. Zapewne nie wyczerpują tematu i nie uwzględniają wszystkich indywidualnych czynników. Jeśli potrzebujecie szerszego wsparcia, macie bardziej złożone problemy – zachęcamy do kontaktu z nami i skorzystanie z naszych usług consultingowych.
Jak chronić dane w chmurze?
Podstawą jest wybór odpowiedniego dostawcy chmury, który może wykazać wystarczające gwarancje spełnienia wymogów RODO. Może tego dokonać w różny sposób, np. poprzez stosowanie zatwierdzonego branżowego kodeksu postępowania (art. 40 RODO) lub zatwierdzonego mechanizmu certyfikacji (art. 42. RODO).
Najbezpieczniejsze i niestety najdroższe są chmury prywatne, które są tworzone w ramach danej firmy. Wtedy możemy kontrolować procesy z łatwością, bo ograniczony jest dostęp z zewnątrz.
Aby korzystać z publicznej chmury, konieczna będzie umowa powierzenia danych z dostawcą. Niedawno udostępniliśmy Wam gotowy wzór do pobrania i opisaliśmy temat dokładniej.
W umowie powierzenia danych muszą znaleźć się zapiski dotyczące zakresu i miejsca przetwarzania, sposobu zarządzania danymi i poziomie zabezpieczeń. Ważne będzie określić kto dokładnie będzie miał dostęp do tych danych. Umowa chroni nie tylko dane osobowe, ale też administratora. Zgodnie z RODO, to właśnie na nim spoczywa odpowiedzialność za dane osobowe.
Dekalog chmuroluba – czyli 10 zasad, które jakiś czas temu opublikował GIODO, podpowiadające na co zwracać uwagę przy stosowaniu cloud computingu i zawieraniu umów z dostawcami. Mimo, że nie jest to oficjalny zbiór zasad, to stanowi praktyczny zestaw porad i wskazówek dla przedsiębiorców. Aby zapoznać się z treścią wskazówek od GIODO, wystarczy kliknąć w TEN link, albo w grafikę poniżej.
Lokalizacja – RODO ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii. Lokalizacja fizyczna takiej jednostki ( np. siedziba, oddział, przedstawicielstwo) w UE, stanowi jeden z czynników decydujących o stosowaniu RODO niezależnie od faktycznego miejsca przetwarzania przez nią danych. Dopuszczalny jest transfer danych z terytorium państwa członkowskiego, mimo że państwo trzecie nie gwarantuje na swym terytorium odpowiedniej ochrony. Warunkiem jednak jest zaistnienie okoliczności przewidzianych w RODO. Podstawowe znaczenie ma zapewnienie przez administratora danych odpowiednich zabezpieczeń podstawowych praw i wolności oraz prywatności jednostki wraz z mechanizmami umożliwiającymi ich realizację (art.46 RODO).
Szyfrowanie danych – podstawowym wyzwaniem jest zabezpieczenie danych przed odczytaniem, modyfikacją i skasowaniem. Można chronić dane w ruchu lub spoczynku i stosować różne mechanizmy szyfrowania – programowe lub sprzętowe. Istotne jest też miejsce przechowywania kluczy. Najbezpieczniejszym rozwiązaniem jest szyfrowanie danych w źródłowej lokalizacji i samodzielne zarządzanie kluczami.
Deduplikacja – zarządzanie danymi w chmurze jest często niewystarczające – dane są rozproszone w różnych miejscach. Ich przechowywanie rodzi problemy z wersjonowaniem plików oraz stwarza dodatkowe zagrożenia. Dobrym zabezpieczeniem jest deduplikacja, której celem zasadniczo jest ograniczenie przestrzeni dyskowej zajmowanej przez dane. Oczywiście deduplikacja nie rozwiąże wszystkich problemów, ale będzie działaniem które zdecydowanie poprawi bezpieczeństwo w chmurze.
Aktualizacje – jeśli w chmurze systemy i aplikacje nie są aktualizowane lub z jakiś innych względów ich wersje różnią się od tego, działającego lokalnie, mogą występować problemy powodujące błędy w danych i luki w zabezpieczeniach. Dlatego niezbędne są regularne i aktualne aktualizacje. Dobrym pomysłem jest wdrożenie systemu automatycznie aktualizującego oprogramowanie.
Wspomnieliśmy tylko o kilku podstawowych kwestiach. Bezpieczeństwo w chmurze jest dużym hasłem, które prawdopodobnie doczeka się szerszego omówienia na naszym blogu. Obserwujcie naszą aktywność, albo zapiszcie się do naszego newslettera, żeby nie przegapić tego wpisu. A dzisiejszy tekst potraktujcie jako zachętę do tego, aby poważnie przeanalizować korzystanie z usług chmurowych w kontekście RODO.
Każde rozwiązanie, które pozwoli Wam lepiej zarządzać danymi i zyskać większa kontrolę nad procesem przetwarzania będzie dobrym rozwiązaniem. Trzeba też pamiętać, że dostawcy chmury mają różne warunki, oferty, możliwości. Z uwagi na fakt, że cloud computing się rozwija dynamicznie, na rynku pojawiają się nowe propozycje i oferty. Zanim podejmiecie decyzję o skorzystaniu z technologii chmury, warto będzie zrobić uczciwy research, najlepiej połączony z konsultacjami specjalistów, która oferta pomoże Wam zabezpieczyć dane osobowe w największym stopniu. Jeśli potrzebujecie wsparcia w wyborze konkretnej usługi do firmy – zapraszamy do kontaktu!
Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.ZgodaPolityka prywatności
