Duomenų apsaugos principai
Debesų kompiuterija tapo neatsiejama šiuolaikinių IT infrastruktūrų dalimi. Tačiau lankstumo ir mastelio privalumus lydi ir teisiniai iššūkiai, ypač duomenų apsaugos srityje. Šiame straipsnyje atkreipiamas dėmesys į svarbiausius teisinius debesų kompiuterijos aspektus ir pateikiamos rekomendacijos įmonėms.
Pagal Federalinį duomenų apsaugos įstatymą debesų kompiuterija laikoma užsakytu duomenų tvarkymu. Tai reiškia, kad debesijos paslaugų naudotojai turi patikrinti, ar paslaugų teikėjas laikosi duomenų apsaugos taisyklių pagal BDSG 11 straipsnį. Atsakomybė už duomenų apsaugos taisyklių laikymąsi pirmiausia tenka naudotojui, o ne debesijos paslaugų teikėjui.
Reikalavimai debesijos paslaugų teikėjams
Rinkdamosi debesijos paslaugų teikėją įmonės turėtų atkreipti dėmesį į šiuos aspektus:
Šifravimas ir anonimiškumas
Šifravimas ir anonimiškumas yra esminiai asmens duomenų apsaugos elementai. Organizacijos turėtų užtikrinti, kad jų debesijos paslaugų teikėjai naudotų patikimas šifravimo technologijas, kad apsaugotų duomenis tiek jų perdavimo, tiek ramybės režimu.
Sertifikatai ir standartai
Debesijos paslauga turėtų būti sertifikuota, pageidautina, kad ji turėtų "Trusted Cloud" sertifikatą. Tokiais sertifikatais patvirtinama, kad paslaugų teikėjas atitinka tam tikrus saugumo ir duomenų apsaugos standartus. Kiti atitinkami sertifikatai gali būti ISO/IEC 27001 arba SOC 2.
Atitiktis BDAR reikalavimams
Reikėtų griežtai laikytis Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų. Tai apima duomenų subjektų teisių, pavyzdžiui, teisės į informaciją, duomenų ištaisymą ar ištrynimą, užtikrinimą.
Sutartinis dizainas
Esminė debesijos teisinių santykių dalis yra duomenų tvarkymo sutartis (DTA). Joje pagal BDAR 28 straipsnį turi būti reglamentuoti šie punktai:
Apdorojimo objektas ir trukmė
DAA turi būti aiškiai apibrėžta, kokie duomenys tvarkomi, kokiu tikslu ir kiek laiko jie tvarkomi.
Apdorojimo pobūdis ir tikslas
Siekiant išvengti nesusipratimų ir teisinių problemų, svarbu tiksliai apibrėžti duomenų tvarkymo tikslą.
Asmens duomenų tipas ir duomenų subjektų kategorijos
Siekiant užtikrinti tinkamą apsaugos lygį, turi būti tiksliai apibūdinta tvarkomų duomenų rūšis ir duomenų subjektų kategorijos.
Duomenų valdytojo pareigos ir teisės
Turi būti aiškiai apibrėžta naudotojo ir paslaugų teikėjo atsakomybė, ypač dėl duomenų apsaugos taisyklių laikymosi ir pranešimo apie duomenų apsaugos pažeidimus.
Tarptautinis duomenų perdavimas
Ypač atsargiai reikia elgtis, kai duomenys perduodami į ne ES šalis. Priėmus ETT sprendimą dėl privatumo skydo, reikia imtis alternatyvių priemonių, kad būtų užtikrintas tinkamas duomenų apsaugos lygis. Tai galima padaryti sudarant ES standartines sutarčių sąlygas ir papildomas garantijas.
ES standartinės sutarčių sąlygos
ES standartinės sutarčių sąlygos yra teisinis duomenų perdavimo į trečiąsias šalis pagrindas ir užtikrina, kad duomenys būtų apsaugoti ir už ES ribų.
Papildomos garantijos
Įmonės turėtų apsvarstyti papildomas apsaugos priemones, pavyzdžiui, privalomas vidaus duomenų apsaugos taisykles arba reguliarius auditus, kuriais būtų tikrinama, ar laikomasi duomenų apsaugos standartų.
Techninės ir organizacinės priemonės
Debesijos paslaugų teikėjai turi įgyvendinti tinkamas technines ir organizacines priemones, kad užtikrintų tvarkomų duomenų saugumą. Tai apima
Duomenų šifravimas
Duomenų šifravimas yra pagrindinė apsaugos nuo neteisėtos prieigos priemonė. Šiuolaikinės šifravimo technologijos turėtų būti naudojamos ir saugomiems, ir perduodamiems duomenims šifruoti.
Prieigos kontrolė ir autentiškumo patvirtinimas
Griežta prieigos kontrolė ir patikimos autentiškumo patvirtinimo procedūros yra būtinos siekiant užtikrinti, kad prie neskelbtinų duomenų prieigą turėtų tik įgalioti asmenys.
Reguliarūs saugos auditai
Reguliariai atliekami auditai leidžia nustatyti ir ištaisyti pažeidžiamumus, kol jie dar nesukėlė saugumo spragų.
Reagavimo į incidentus planai
Gerai parengtas reagavimo į incidentus planas užtikrina, kad į saugumo incidentus būtų galima reaguoti greitai ir veiksmingai, siekiant sumažinti žalą.
Atsakomybė ir atsakomybė
BDAR numatyta bendra debesijos naudotojo (valdytojo) ir debesijos paslaugų teikėjo (tvarkytojo) atsakomybė. Vis dėlto pagrindinė atsakomybė tenka naudotojui. Už duomenų apsaugos pažeidimus gali būti skiriamos didelės baudos.
Naudotojo atsakomybė
Naudotojas yra atsakingas už tai, kad būtų laikomasi duomenų apsaugos reikalavimų. Tai apima tinkamo paslaugų teikėjo pasirinkimą, saugumo priemonių įgyvendinimą ir reguliarią duomenų apsaugos reikalavimų laikymosi peržiūrą.
Atsakomybė už pažeidimus
Už duomenų apsaugos pažeidimus pirmiausia atsako naudotojas. Todėl labai svarbu sudaryti aiškius sutartinius susitarimus ir tiksliai apibrėžti atsakomybę duomenų apsaugos sutartyje.
Konkretūs pramonės reikalavimai
Tam tikroms pramonės šakoms, pavyzdžiui, sveikatos priežiūrai ar finansų sektoriui, taikomi papildomi reguliavimo reikalavimai. Naudojant debesijos paslaugas į juos reikia atkreipti ypatingą dėmesį.
Sveikatos priežiūra
Ypač griežtų duomenų apsaugos reikalavimų turi būti laikomasi sveikatos priežiūros sektoriuje, nes čia tvarkomi jautrūs sveikatos duomenys. Paslaugų teikėjai turi įrodyti, kad yra įdiegę specialias tokių duomenų apsaugos priemones.
Finansų sektorius
Finansų sektoriuje reikalaujama aukšto lygio duomenų saugumo ir atitikties konkretiems teisiniams reikalavimams, pavyzdžiui, Mokėjimo paslaugų direktyvai (PSD2).
Rekomendacijos įmonėms
1. Prieš naudodamiesi debesijos paslaugomis, atlikite išsamią rizikos analizę. Nustatykite galimą riziką ir įvertinkite paslaugų teikėjo saugumo priemones.
2. pasirinkite patikimą ir sertifikuotą debesijos paslaugų teikėją. Ieškokite sertifikatų ir rekomendacijų, kad įsitikintumėte paslaugų teikėjo patikimumu.
3. sudaryti išsamią duomenų tvarkymo sutartį. Užtikrinkite, kad į ją būtų įtrauktos visos būtinos duomenų apsaugos sąlygos ir aiškiai apibrėžta atsakomybė.
4. įgyvendinti papildomas saugumo priemones, pavyzdžiui, galutinį šifravimą ir daugiafaktorinį autentiškumo patvirtinimą, kad dar labiau padidintumėte duomenų saugumą.
5. reguliariai mokykite savo darbuotojus duomenų apsaugos ir IT saugumo klausimais. Supažindinkite savo komandą su dabartinėmis grėsmėmis ir geriausia duomenų tvarkymo praktika.
6. reguliariai tikrinti, kaip laikomasi duomenų apsaugos taisyklių. 7. Atlikite vidaus auditą ir nuolat pritaikykite savo saugumo priemones prie naujų reikalavimų.
7 Pasinaudokite teisinėmis konsultacijomis, kad užtikrintumėte, jog visos sutartys ir duomenų apsaugos priemonės atitiktų galiojančius teisinius reikalavimus.
8 Įtraukite duomenų apsaugą ir IT saugumą į savo įmonės strategiją. Tai skatina holistinį požiūrį ir padeda tvariai įgyvendinti saugumo priemones.
Išvada
Debesų kompiuterija suteikia įmonėms didžiulių privalumų, tačiau kartu kelia ir teisinių iššūkių. Norint pasinaudoti debesijos teikiamais privalumais ir kartu sumažinti teisinę riziką, labai svarbu kruopščiai planuoti, pasirinkti tinkamą paslaugų teikėją ir įgyvendinti tinkamas saugumo priemones. Atkreipdamos dėmesį į šiame straipsnyje paminėtus aspektus, įmonės gali sukurti [teisiškai suderintą ir saugią debesų kompiuterijos strategiją](https://webhosting.de/cloud-spezialist-salesforce-kauft-messenger-dienst-slack/).
Debesų kompiuterijos ateičiai didelę įtaką turės teisiniai pokyčiai. Tokiomis iniciatyvomis, kaip GAIA-X, kuriomis siekiama sukurti Europos debesijos infrastruktūrą, gali būti nustatyti nauji duomenų apsaugos ir duomenų suverenumo standartai. Įmonės turėtų atidžiai sekti šiuos pokyčius ir atitinkamai pritaikyti savo debesijos strategijas.
Galiausiai, kad debesijos paslaugų naudojimas atitiktų teisės aktų reikalavimus, reikia nuolat prisitaikyti prie besikeičiančių teisinių sistemų ir technologijų plėtros. Tai vienintelis būdas įmonėms visapusiškai išnaudoti debesų kompiuterijos teikiamas galimybes ir kartu vykdyti teisinius įsipareigojimus. Debesijos technologijų [integravimas į esamas IT infrastruktūras](https://webhosting.de/cloud-computing-hpe-bringt-supercomputer-zum-kunden/) ir toliau išliks pagrindiniu iššūkiu, kuriam spręsti reikia ir techninių žinių, ir teisinio supratimo.
Didėjant kibernetinėms grėsmėms, vis svarbesnis tampa ir [IT saugumo debesų kompiuterijoje](https://webhosting.de/aws-cloud-erhaelt-chaos-engineering-als-service/) aspektas. Įmonės turi užtikrinti, kad jų debesijos sprendimai atitiktų ne tik teisinius reikalavimus, bet ir būtų techniškai saugūs. Tam reikia glaudaus IT skyrių, teisės ekspertų ir debesijos paslaugų teikėjų bendradarbiavimo, kad būtų sukurtos ir įgyvendintos holistinės saugumo koncepcijos.
Įmonės taip pat turėtų stebėti dirbtinio intelekto ir automatizavimo debesijos aplinkoje raidą. Šios technologijos suteikia naujų galimybių, tačiau taip pat kelia papildomų teisinių ir etinių klausimų. Aktyvus požiūris į šiuos klausimus gali padėti sukurti konkurencinį pranašumą ir užtikrinti atitiktį ilgalaikėje perspektyvoje.
Duomenų apsaugos taisyklių laikymasis yra ne vienkartinis procesas, o nuolatinis įsipareigojimas, kurį reikia reguliariai peržiūrėti ir koreguoti. Todėl įmonės turėtų aiškiai paskirstyti išteklius ir atsakomybę, kad skatintų tvarią duomenų apsaugos kultūrą.
Tinkamai derindamos techninius sprendimus, teisines apsaugos priemones ir organizacines priemones, įmonės gali visapusiškai išnaudoti debesų kompiuterijos galimybes ir kartu veiksmingai apsaugoti savo duomenis. Visapusiškas požiūris, kuriuo atsižvelgiama ir į debesų kompiuterijos naudą, ir į iššūkius, yra raktas į ilgalaikę skaitmeninės transformacijos sėkmę.
