Impactul GDPR asupra furnizorilor de servicii Data Center

Opinii, Tendinte (de , January 8, 2018)

De la bun început, noile prevederi ale Regulamentului EU 2016/267 au mărit gradul de expunere al tuturor procesatorilor de date personale, punând însă o presiune mai mare pe câtva categorii mai speciale de operatori. Furnizorii de soluții și servicii Data Center (DCSP) se numără printre operatorii de date care trebuie să acorde o atenție specială îndeplinirii condițiilor de conformitate.

Indiferent ca e vorba de servicii de găzduire, hosting, Cloud privat sau Hibrid, furnizorii de servicii Data Center au aceleași probleme cu GDPR. Una dintre probleme este securitatea datelor, considerate mult timp un adevărat punct vulnerabil în special pentru furnizorii de infrastructură Cloud. Încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a controlat multă vreme accelerarea ratei de adopție a serviciilor Cloud la nivel enterprise.

Aspecte specifice ale furnizorilor de servicii Data Center pentru nevoile GDPR

Orice DCSP are atât răspunderi de procesator cât și de operator – pentru fluxurile de date în care joacă rolul de procesator fiind acum expus răspunderii juridice a GDPR la fel ca operatorii de date.

Furnizorii trebuie să asigure respectarea propriilor standarde GDPR – în calitate e operatori de date personale pentru angajați sau clientii individuali care contractează servicii Data Center individuale, precum căsuțe de e-mail, domenii Web sau spații de stocare personale.

Creșterea nivelului de transparență – deoarece atât operatorii de date, cât și procesatorii trebuie să devină tot mai diligenți în privința suveranității, securității, minimizării sau stocării datelor, precum și a limitării controlului și distrugerii datelor pentru care au responsabilitatea.

Soluții as-a-Service conforme GDPR pentru clienți – serviciile furnizate către un client, îi pot asigura acestuia conformitatea GDPR. Tot mai multe aplicații de stocare, backup și desaster recovery sunt oferite ca aplicații SaaS găzduite de către DCSP sau chiar dezvoltate de aceștia.

Sfaturi practice pentru furnizorii de servicii Data Cnter

Maparea atentă a fluxurilor de date – identificarea corectă a rolului de opertor sau procesator pe care un DCSP îl joacă în diferitele relații de business cu furnizorii, partenerii și clienții.

Revizuirea relațiilor contractuale cu opertorii de date – Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, documentate în așa-numitele „Acorduri de prelucrare a datelor”. Articolul 28 din GDPR menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă ca instrucțiuni pentru furnizorii DCSP în calitate de procesatori.

Atenție specială subcontractorilor – furnizorii de servicii Data Center apelează adesea la proprii lor subcontractori, care devin sub-procesatori pentru operatori. Orice furnizor de servicii DC trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul de procesare a datelor. Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator.

Înregistrarea activităților de prelucrare – în calitate de operator, fiecare DCSP trebuie să mențină o evidență a activităților de procesare: un instrument de evidență care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației (HR, vânzări directe, service). O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută pentru fluxurile de date în care DCSP acționează ca procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi.

Transferurile de date în afara UE – atunci când datele cu caracter personal ale clienților din UE sunt transferate de către un procestor în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul UE. Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme printre care care se numără:

  • Deciziile de adecvare – atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată;
  • Regulile corporative obligatorii (Binding Corporate Rules) – garanții de protecție oferite de companii multinaționale au subsidiare în țări din afara UE, validate de autoritățile de protecție a datelor;
  • Clauze contractuale standard (Standard Contratual Clauses) – contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

Securitatea informațiilor – asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este o cerință esențală a GDPR, care poate fi asigurtată prin menținerea confidențialității, integrității și disponibilității (CIA). Orice încălcare a principiilor CIA poate atrage o notificare către operator, care, la rândul său, va trebui să notifice autoritatea de supraveghere și persoanele vizate, dacă riscurile potențiale ale unei breșe sunt destul de ridicate.


Tags: , ,

Trackbacks

Leave a Trackback