fbpx

 

 

 

 

 

 

Aktuelnosti

 

 

Pratite aktuelnosti iz domena standarda
 

Novosti u Global Standards Consortium

 

 

 

 

 

 

 

 

 

    GDPR i Cloud Computing

    Preuzeto od: GDPR Solutions Preuzeto od: GDPR Solutions

    Cloud computing

    Cloud computing je zbirni naziv za usluge koje se sastoje od skupa tehnologija i različitih poslovnih modela koji se fokusiraju na upotrebu interneta, kako za uslužno korišćenje IT aplikacija, online obradu podataka, tako i dobrim delom za skladištenje podataka na Internetu.

    Postoji veliki broj usluga “u oblaku” koji podrazumevaju sve od virtuelnih procesnih sistema (fizički udaljene IT infrastrukture) pa sve do web-baziranih softverskih rešenja, kao što su kalendari, e-mail ili softver za obradu teksta.

    Cloud computing nudi kompanijama, kako tehničke, tako i ekonomske prednosti jer im omogućava korišćenje visokokvalitetnih IT komponenti srazmerno njihovim stvarnim potrebama, a koje komponente bi inače bile van okvira njihovih budžeta, ili bi bili nerentabilne za nabavku.

    Cloud usluge po svojoj funkciji se često koriste za obradu ličnih podataka, kao što su npr. podaci o ljudskim resursima, pa zbog toga potpadaju u područje primene GDPR-a.

    Podela odgovornosti

    Obradom ličnih podataka kroz sisteme kojima upravljaju cloud provajderi, kompanije određuju svrhu i sredstva obrade, ali operacije obrade podataka obavljaju pružaoci cloud usluga. Stoga, kao opšte pravilo, klijenti cloud usluga se kvalifikuju kao kontrolori a provajderi cloud usluga kao procesori u okviru GDPR-a.

    Međutim, mora se izbeći generalizovana klasifikacija uloga, a raspodela odgovornosti između različitih subjekata mora biti utvrđena za svaki slučaj ponaosob. Što više uticaja cloud provajder ima na način i svrhu obrade, to je verovatnije da će se kvalifikovati kao kontrolor u smislu odredbi GDPR-a.

    Na primer, kada cloud provajder obrađuje lične podatke u svoje svrhe, on će se kvalifikovati kao kontrolor. Na osnovu koncepta zajedničkog upravljanja u čl. 26 GDPR, ako se i cloud provajder i cloud klijent kvalifikuju kao kontrolori i zajednički utvrđuju ciljeve i sredstva obrade ličnih podataka, u tom slučaju će se morati jasno utvrditi pojedinačna odgovornost za obradu podataka svakoga od njih.

    U tom smislu, treba imati u vidu da, iako klijenti cloud computing usluga uglavnom moraju da prihvate standardne ugovorne uslove cloud provajdera, te nemaju mnogo prostora za pregovaranje o sadržaju ugovora, imaju mogućnost da biraju između različitih cloud provajdera, i da se na taj način odluče o raspodeli odgovornosti kod obrade podataka za određene cloud usluge.

    Izbor odgovarajućeg cloud provajdera

    U slučaju da se klijent cloud usluga kvalifikuje kao kontrolor, biće u obavezi da odabere odgovarajućeg procesora u smislu GDPR-a.

    U slučajevima kada sam kontrolor ne vrši obradu podataka, već istu poverava cloud provajderu u funkciji procesora, on više ne može biti u isključivoj kontroli obrade ličnih podataka i ne može primeniti tehničke i organizacione mere neophodne kako bi se osigurala dostupnost, integritet, poverljivost, transparentnost, izolacija i prenosivost podataka.

    Prema tome, odabrani cloud provajder mora primeniti odgovarajuće zaštitne mere za obradu podataka. Iako sam procesor ima obavezu da sprovede određene mere prema GDPR-u, najvećim delom je kontrolor taj koji odgovara za zakonitost obrade podataka.

    Iz tog razloga, prilikom odlučivanja između različitih cloud provajdera, treba voditi računa o tome da se  uporede njihove reference i standardi zaštite podataka koji se mogu dokumentovati određenim sertifikatima kao i pravilima postupanja. Obaveza zaštite podataka najčešće se uređuje ugovorom između klijenta i cloud provajdera.

    Cloud computing usluge često uključuju sub-procesore. U tom slučaju, sve relevantne obaveze za zaštitu podataka koje koristi cloud provajder, moraju primjenjivati i sub-procesori kroz zaključivanje ugovora između cloud provajdera i “podizvođača” koji se odnose na odredbe ugovora između cloud klijenta i cloud provajdera.

    Cloud provajderi iz trećih zemalja

    Cloud computing će neminovno u određenim slučajevima dovesti do prenosa ličnih podataka do cloud provajdera koji se nalazi u trećim zemljama, koje su bliže označene u odredbama GDPR-a.

    Prema GDPR-u, učešće procesora koji nisu iz EU, u obradi ličnih podataka ne zahteva posebnu zakonsku osnovu od one koja omogućava kontroloru da obrađuje podatke.

    Međutim, prenošenje podataka ka trećim državama podložno dodatnim zaštitnim merama.

    Ove zaštitne mere sastoje se, između ostalog, od upotrebe Standardnih ugovornih klauzula ili obavezujućih korporativnih pravila, pridržavanja EU-U.S. Privacy Shield-a i slično.

    Takve mere će osigurati da procesor iz treće zemlje obezbedi nivo zaštite podataka identičan onom u EU.

    Preuzeto od: GDPR Solutions

    Najnovije od Global Standards Consortium

    Srodni članci

    Više iz ove kategorije « GLOBALG.A.P. objavio instrukcijske plakate o dobroj poljoprivrednoj praksi GDPR i internet stvari (IoT) »
    nazad na vrh
     
    sreda, 31 oktobar 2018 18:30
    1647
    Aktuelnosti
    Ocenite ovaj članak
    (2 glasova)

    Newsletter

    U skladu sa članom 15. Zakona o zaštiti podataka o ličnosti Republike Srbije i članom 7. Opšte uredbe o zaštiti podataka o ličnosti (EU) 2016/679, dajem saglasnost da se podaci koji se nalaze u kolačićima koriste u svrhu boljeg korisničkog iskustva i analitike posetilaca veb sajta.
    Pristajem Ne pristajem
    Politika kolačića