7. díl: Cloudové služby vám usnadní implementaci GDPR
Nařízení GDPR klade velké nároky na způsob, jakým jsou uchovávány a zabezpečeny osobní údaje zákazníků. Nemusíte ale budovat vlastní bezpečná úložiště, data totiž mohou být uložena v cloudových službách třetích stran. Podívejte se, na co je při jejich výběru potřeba myslet.
TIP: Přečtěte si další články z našeho seriálu o GDPR.
Nařízení GDPR vstoupilo v celé Evropské unii v platnost 25. května 2018 a nastavilo komplexní rámec pravidel v oblasti shromažďování osobních údajů a jejich ochrany. Mezi hlavní oblasti patří způsoby, jakými jsou data uchovávána a jak jsou zabezpečena. Narušení bezpečnosti údajů nařízení považuje za jeden z největších prohřešků, které trestá pokutou ve výši až čtyř procent ročního obratu firmy nebo 20 milionů eur.
GDPR v otázce zabezpečení přihlíží k velikosti firmy. Po kavárně, která posílá zákazníkům e-maily o konání kulturních akcí, nevyžaduje taková opatření jako po e-shopu s tisícovkami objednávek za hodinu. V případě narušení bezpečnosti dat se nicméně zjišťuje, jestli daná firma v rámci svých možností udělala maximum. Pokud tedy k úniku dojde kvůli špatně zabezpečené databázi, mohlo by proti ní hovořit, že nevyužila některou z dobře zabezpečených cloudových služeb. Zejména pro malé firmy se přitom jedná o řešení neporovnatelně levnější oproti vytváření vlastního, jež splní náročné bezpečnostní požadavky.
Využití cloudových služeb má dvě zásadní výhody – jedná se o hotová řešení většinou s přívětivým uživatelským prostředím, snadnou archivací a jednoduchým vyhledáváním v souborech, navíc za nimi stojí firmy, jež jsou odpovědné za obrovské množství dat různých zákazníků. Na bezpečnost tudíž kladou velký důraz a pravděpodobnost úspěšného útoku na některou z takových platforem je mizivá.
Odpovědnosti se jen tak nezbavíte
Pokud osobní údaje svěříte do péče nějaké třetí strany, například poskytovatele cloudových služeb, neznamená to, že tím přejímá i odpovědnost za případná narušení bezpečnosti. Vy jako firma, která sbírá osobní údaje svých zákazníků, zůstáváte jejich správcem, pro případnou další službu GDPR používá označení zpracovatel. Nezapomeňte také na to, že předáváte-li data dalším službám, měli byste o tom svým zákazníkům dát vědět, ideálně rovnou při získávání souhlasu se zpracováním osobních údajů.
Jestliže k úniku dat či jinému porušení nařízení dojde, není jednoznačně stanoveno, na koho padá vina. Záleží vždy na konkrétním případu, způsobu úniku, charakteru dat a míře pochybení na jednotlivých stranách. Vyhráno jako správce ale nemáte ani tehdy, je-li chyba plně na straně zpracovatele. Podle GDPR totiž při jeho výběru musíte dbát na to, aby se jednalo o spolehlivého partnera, který je po bezpečnostní a technické stránce na uchovávání osobních údajů připraven.
Zavedené cloudové služby za spolehlivé považovat lze. Přesto je nutné zaměřit se na smlouvu o poskytování cloudových služeb, kterou správce podle nařízení musí se zpracovatelem uzavřít. Platí to i tehdy, když o sobě poskytovatel služby prohlašuje, že je na GDPR připraven. Ve smlouvě by měla být uvedena konkrétní bezpečnostní opatření, umístění dat, podmínky pro přístup k údajům a jasně definovaný rámec toho, kdy která ze stran ponese odpovědnost za případný únik či jiné porušení nařízení.
Ukládejte v rámci Evropské unie
Mnoho poskytovatelů cloudových služeb má fyzická úložiště mimo Evropskou unii. Pokud na nich ovšem mají osobní údaje občanů EU, GDPR se na ně vztahuje v plné výši. Správce údajů navíc o takové skutečnosti musí vědět a znát konkrétní procesy nakládání s údaji. Preferujte raději takové poskytovatele, u nichž data zůstanou na serverech v EU. Takové servery přitom mnohdy mají i společnosti, jejichž ústředí se nacházejí mimo Evropu, vždy se proto zaměřte na konkrétní smluvní podmínky. Platí to i pro řešení od Microsoftu a Googlu, jež jsou pro mnoho lidí nejdostupnější.
Nejlepší volbou jsou cloudové služby posvěcené CISPE
CISPE je sdružení evropských poskytovatelů cloudových služeb, které společně vytvořilo kodex pro cloudové služby. Podle něj se lze orientovat v tom, jestli je daná služba vhodná pro ukládání osobních údajů zákazníků. Kromě výchozích firem se do sdružení může zapojit každý další poskytovatel, pokud splňuje nastavená pravidla. V takovém případě získá od CISPE tzv. „trust mark“ neboli značku důvěry.
Kromě plného souladu s GDPR takové cloudové služby garantují, že osobní údaje samy nezpracovávají pro vlastní účely ani je neposkytují dalším stranám, například pro výzkumné činnosti či cílení reklamy. Poskytovatelé musí také zákazníkům dát možnost veškerá data ukládat výlučně na území Evropské unie a poskytnout jim kompletní přehled, kde konkrétně jsou data ukládána. Pokud tedy sáhnete po jedné z těchto služeb, můžete mít co do bezpečnosti ukládaných dat klidné spaní.