Лични данни - какво се променя за доставчиците на облачни услуги
Всички лица са длъжни съществено да подобрят системите си за предпазване и отбрана на персонални данни, в това число и да актуализират вътрешните си правила и процедури за работа.През последната година в онлайн пространството, освен в Европейски Съюз, само че и отвън границите му, се дискутира необятно новият правилник за отбрана на персоналните данни (GDPR), който ще стартира да се ползва през май 2018 година Една от аргументите GDPR да заема централно място в листата със дилемите на извънредно доста компании е, че всяко сдружение, което обработва персонални данни от Европейски Съюз (независимо дали то самото е открито в ЕС), попада в обсега на регламента.
Всички лица, обработващи персонални данни, са длъжни съществено да подобрят системите си за предпазване и отбрана на персонални данни, в това число и да актуализират вътрешните си правила и процедури за работа. Един от значимите причини да се отдели уместно внимание на подготовка за регламента са и глобите, които той планува - до 20 млн. евро или до 4% от международния оборот на нарушителя.
GDPR е законодателство, създаващо провокации от нов вид за съвсем всеки бизнес бранш, а включително и за доставчиците на облачни услуги. По-надолу ще изложим главните промени, които настъпват за облачните снабдители, защото последните ще би трябвало да положат може би най-големи старания, с цел да се приспособяват. Това е по този начин, защото актуалният механизъм на работа на облаците допуска те постоянно да нямат информация какви данни биха могли да се съхраняват в системите им. Занапред те ще би трябвало да имат подготвеност за всевъзможни обстановки – в това число клиентите им да употребяват услугите им за предпазване на високорискови данни, защитавани най-строго от законодателството в региона.
Обработване на персонални данни от доставчиците на облачни услуги след 2018 година
Съгласно GDPR администраторите1 на персонални данни и обработващите2 персонални данни, каквито са доставчиците на облачни услуги, би трябвало да вкарат подобаващи механически и организационни ограничения във връзка с рисковете, свързани с персонални данни, с тяхното запазване или следваща обработка.
По разпоредбите на в този момент настоящата инструкция за отбрана на персоналните данни3 главно админите носят тежестта и рисковете от вероятно противоречие с условията. Този законодателен метод беше добре пристигнал за обработващите персонални данни, които оставаха настрана от фокуса и отговорностите. Специфичното за GDPR е, че за пръв път вкарва някои директни отговорности за обработващите персонални данни, с които ще би трябвало да се преценяват и доставчиците на облачни услуги. Такива отговорности да вземем за пример са:
- да се поддържа указател на всички категории действия по обработването, осъществявани от името на администратора;
- когато е необходимо4, да се уточни длъжностно лице по отбрана на данните;
- да назначи собствен представител за избрани условия (в случаите, когато обработващият персонални данни не е открит в ЕС);
- когато това се изисква, в точния момент да уведомява за нарушавания в режима на култивиране на персоналните данни.
Задълженията на обработващия персонални данни включват още:
- слагане на потребителското единодушие в центъра на системата за отбрана на данни (получаване на характерно, категорично, авансово, свободно, осведомено, оттегляемо съгласие);
- отнасяне на данните за IP адреси, идентификатори на устройства и геолокация като персонални данни с всички последствия от това;
- култивиране на персонални данни единствено по метода, по който е инструктиран от администратора;
- потребление на подобаващи механически и организационни ограничения за култивиране на персонални данни, като такива ограничения могат да бъдат криптиране, псевдонимизация и др.;
- заличаване или поправяне на персонални данни;
- приемане на разрешение да включи и други лица, обработващи данните.
Разпоредбите по отношение на прехвърляния на персонални данни (включително запазване и потребление на услуги отвън ЕС) се ползват също и за обработващите персонални данни.
Новите отговорности на доставчиците на облачни услуги сигурно ще трансформират комерсиалните им условия, което ще даде отражение и върху динамичността на договарянията. Без подозрение фирмите, които са се насочили към използването на облачни услуги, ще отделят повече време за избор на снабдител, имайки поради разпределението на отговорността за персоналните данни с него. Не е изключено фирмите да стартират да мигрират данните си към други облачни снабдители, предоставящи по-добра отбрана.
Друг фактор, който изисква навреме привеждане на активността на доставчиците на облачни услуги с новите условия, е обвързван с това, че разпоредбите на GDPR, относими за облаците, са основани на връзките админ – обработващ персонални данни (облачен доставчик). В реалност тези връзки се усложняват от обстоятелството, че доста облачни екосистеми употребяват така наречен resellers. Това може да докара до опасности, които би трябвало да бъдат разпознати и овладени, без да се чака до последния миг.
Какво е належащо да подхващат облачните снабдители до използването на GDPR
На първо място доставчиците на облачни услуги би трябвало да подхващат осъществяването на разбор на това до каква степен към този момент въведените механически и организационни ограничения, политики и процеси, употребяваните контракти и условия дават отговор на условията на GDPR и пазят ползите им.
След като са разпознати рисковете и несъответствията, да се изготви проект за дейно въвеждане на условията на новия правилник, след което да се премине към осъществяване на този проект. Това може да включва изготвяне/изменение на нужните документи, предприемане на в действителност ограничения за отбрана на персоналните данни посредством криптиране и псевдонимизация, осъществяване на вътрешни образования, подписване на застрахователни контракти, които биха могли да покрият част от рисковете, свързани с GDPR, и други според от съответния случай.
Една крачка пред останалите
Имайки поради всичко гореизложено, не би било пресилено да се предвижда, че когато регламентът стартира да се ползва, най-подготвените облачни снабдители, които оферират отбрана на персоналните данни, съответна на условията на GDPR, ще имат преимущество пред съперниците си. От облаците зависи дали ще се възползват от опцията, която GDPR им дава.
Тази публикация не съставлява правно мнение или юридически съвет, обвързван с съответна обстановка или индивид. Поради ограничавания й обсег същата не претендира за пълнота по тематиката. За повече информация по засегнатите нагоре въпроси можете да се обърнете към създателя й на E-mail: [email protected] Администраторът е лицето, което дефинира задачите и средствата за обработка на персоналните данни2 Обработващият данните е лицето, което ги обработва от името на админа – да вземем за пример облак3 Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за отбрана на физическите лица при обработването на персонални данни и за свободното придвижване на тези данни4 Преценката за нуждата се прави за всеки обособен случай, на база на напътствията от април 2017 година на работната група по чл.29 (Article 29 Working Party). На процедура това е въпрос на пояснение и решението дали следва да се назначи такова лице във връзка с частноправните субекти следва да се взема настрана за всеки съответен случай.
Всички лица, обработващи персонални данни, са длъжни съществено да подобрят системите си за предпазване и отбрана на персонални данни, в това число и да актуализират вътрешните си правила и процедури за работа. Един от значимите причини да се отдели уместно внимание на подготовка за регламента са и глобите, които той планува - до 20 млн. евро или до 4% от международния оборот на нарушителя.
GDPR е законодателство, създаващо провокации от нов вид за съвсем всеки бизнес бранш, а включително и за доставчиците на облачни услуги. По-надолу ще изложим главните промени, които настъпват за облачните снабдители, защото последните ще би трябвало да положат може би най-големи старания, с цел да се приспособяват. Това е по този начин, защото актуалният механизъм на работа на облаците допуска те постоянно да нямат информация какви данни биха могли да се съхраняват в системите им. Занапред те ще би трябвало да имат подготвеност за всевъзможни обстановки – в това число клиентите им да употребяват услугите им за предпазване на високорискови данни, защитавани най-строго от законодателството в региона.
Обработване на персонални данни от доставчиците на облачни услуги след 2018 година
Съгласно GDPR администраторите1 на персонални данни и обработващите2 персонални данни, каквито са доставчиците на облачни услуги, би трябвало да вкарат подобаващи механически и организационни ограничения във връзка с рисковете, свързани с персонални данни, с тяхното запазване или следваща обработка.
По разпоредбите на в този момент настоящата инструкция за отбрана на персоналните данни3 главно админите носят тежестта и рисковете от вероятно противоречие с условията. Този законодателен метод беше добре пристигнал за обработващите персонални данни, които оставаха настрана от фокуса и отговорностите. Специфичното за GDPR е, че за пръв път вкарва някои директни отговорности за обработващите персонални данни, с които ще би трябвало да се преценяват и доставчиците на облачни услуги. Такива отговорности да вземем за пример са:
- да се поддържа указател на всички категории действия по обработването, осъществявани от името на администратора;
- когато е необходимо4, да се уточни длъжностно лице по отбрана на данните;
- да назначи собствен представител за избрани условия (в случаите, когато обработващият персонални данни не е открит в ЕС);
- когато това се изисква, в точния момент да уведомява за нарушавания в режима на култивиране на персоналните данни.
Задълженията на обработващия персонални данни включват още:
- слагане на потребителското единодушие в центъра на системата за отбрана на данни (получаване на характерно, категорично, авансово, свободно, осведомено, оттегляемо съгласие);
- отнасяне на данните за IP адреси, идентификатори на устройства и геолокация като персонални данни с всички последствия от това;
- култивиране на персонални данни единствено по метода, по който е инструктиран от администратора;
- потребление на подобаващи механически и организационни ограничения за култивиране на персонални данни, като такива ограничения могат да бъдат криптиране, псевдонимизация и др.;
- заличаване или поправяне на персонални данни;
- приемане на разрешение да включи и други лица, обработващи данните.
Разпоредбите по отношение на прехвърляния на персонални данни (включително запазване и потребление на услуги отвън ЕС) се ползват също и за обработващите персонални данни.
Новите отговорности на доставчиците на облачни услуги сигурно ще трансформират комерсиалните им условия, което ще даде отражение и върху динамичността на договарянията. Без подозрение фирмите, които са се насочили към използването на облачни услуги, ще отделят повече време за избор на снабдител, имайки поради разпределението на отговорността за персоналните данни с него. Не е изключено фирмите да стартират да мигрират данните си към други облачни снабдители, предоставящи по-добра отбрана.
Друг фактор, който изисква навреме привеждане на активността на доставчиците на облачни услуги с новите условия, е обвързван с това, че разпоредбите на GDPR, относими за облаците, са основани на връзките админ – обработващ персонални данни (облачен доставчик). В реалност тези връзки се усложняват от обстоятелството, че доста облачни екосистеми употребяват така наречен resellers. Това може да докара до опасности, които би трябвало да бъдат разпознати и овладени, без да се чака до последния миг.
Какво е належащо да подхващат облачните снабдители до използването на GDPR
На първо място доставчиците на облачни услуги би трябвало да подхващат осъществяването на разбор на това до каква степен към този момент въведените механически и организационни ограничения, политики и процеси, употребяваните контракти и условия дават отговор на условията на GDPR и пазят ползите им.
След като са разпознати рисковете и несъответствията, да се изготви проект за дейно въвеждане на условията на новия правилник, след което да се премине към осъществяване на този проект. Това може да включва изготвяне/изменение на нужните документи, предприемане на в действителност ограничения за отбрана на персоналните данни посредством криптиране и псевдонимизация, осъществяване на вътрешни образования, подписване на застрахователни контракти, които биха могли да покрият част от рисковете, свързани с GDPR, и други според от съответния случай.
Една крачка пред останалите
Имайки поради всичко гореизложено, не би било пресилено да се предвижда, че когато регламентът стартира да се ползва, най-подготвените облачни снабдители, които оферират отбрана на персоналните данни, съответна на условията на GDPR, ще имат преимущество пред съперниците си. От облаците зависи дали ще се възползват от опцията, която GDPR им дава.
Тази публикация не съставлява правно мнение или юридически съвет, обвързван с съответна обстановка или индивид. Поради ограничавания й обсег същата не претендира за пълнота по тематиката. За повече информация по засегнатите нагоре въпроси можете да се обърнете към създателя й на E-mail: [email protected] Администраторът е лицето, което дефинира задачите и средствата за обработка на персоналните данни2 Обработващият данните е лицето, което ги обработва от името на админа – да вземем за пример облак3 Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за отбрана на физическите лица при обработването на персонални данни и за свободното придвижване на тези данни4 Преценката за нуждата се прави за всеки обособен случай, на база на напътствията от април 2017 година на работната група по чл.29 (Article 29 Working Party). На процедура това е въпрос на пояснение и решението дали следва да се назначи такова лице във връзка с частноправните субекти следва да се взема настрана за всеки съответен случай.
Източник: capital.bg
КОМЕНТАРИ