Impactul GDPR asupra furnizorilor de servicii Data Center

 

De la bun început, noile prevederi ale Regulamentului EU 2016/267 au mărit gradul de expunere al tuturor procesatorilor de date personale, punând însă o presiune ceva mai mare pe câtva categorii speciale de operatori. Furnizorii de soluții și servicii Data Center (DCSP) se numără printre operatorii de date care trebuie să acorde o atenție specială îndeplinirii condițiilor de conformitate.

O categorie specială de operatori și procesatori

Indiferent că e vorba de servicii de găzduire administrate sau de hosting, de Cloud privat sau Hibrid, furnizorii de servicii Data Center au aceleași probleme cu GDPR. Una dintre probleme este securitatea datelor, considerate mult timp un adevărat punct vulnerabil în special pentru furnizorii de infrastructură Cloud. Încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a frânat multă vreme accelerarea ratei de adopție a serviciilor Cloud la nivel enterprise.

Extinzând caracterul special al serviciilor de Cloud, practic orice înseamnă servicii de infrastructură care oferă găzduire în medii fizice și/ sau virtuale ridică aceleași probleme de securitate și confidențialitate pentru procesarea și stocarea datelor cu caracter personal.

Încă din anul 2012, prin Avizul nr. 5 privind  Cloud computing, Grupul de lucru Articolul 29 atrăgea atenția asupra unei serii de implicații negative pentru furnizorii de servicii de tip Cloud asupra protecției datelor cu caracter personal legate de lipsa controlului utilizatorului asupra datelor respective, precum și ambiguitatea informațiilor cu privire la modalitatea, locul și entitatea de prelucrare a datelor.

Care sunt riscurile asociate în mod tradițional cu serviciile de Cloud?

  • Lipsa transparenței asupra lanțului de externalizare/subcontractare a prelucrării de date cu caracter personal de către furnizorul de servicii Cloud
  • Incertitudini legate de transferul de date cu caracter personal către furnizorii de servicii de Cloud computing stabiliți în afara UE.
  • Lipsa unui cadru global comun al portabilității datelor

Domenii cheie pe care furnizorii de servicii Data Center trebuie să le abordeze pentru nevoile GDPR

Orice DCSP este procesator de date personale dar și operator – furnizorii de servicii Data Center trebuie să conștientizeze faptul că și petru fluxurile de date în care joacă rolul de procesator sunt acum expuși răspunderii juridice a GDPR ca procesatori de date. Până acum responsabilitatea revenea numai operatorilor.

Furnizorii trebuie să asigure respectarea propriilor standarde GDPR  – în calitate e operatori de date personale pentru angajați sau clientii individuali care contractează servicii Data Center individuale, precum căsuțe de e-mail sau spații de stocare personale.

Creșterea nivelului de transparență – furnizorii vor trebui să devină mai transparenți – deoarece clienții devin tot mai diligenți în privința suveranității datelor, a securității, a stocării datelor, precum și a controlului și distrugerii datelor pentru care au responsabilitatea.

Soluții as-a-Service  conforme GDPR pentru clienți – furnizorii de servicii Data Center vor trebui să se asigure că ofertarea de servicii în sine, atunci când sunt utilizate de un client, permite clientului să rămână conform. Tot mai multe aplicații de stocare, backup și desaster recovery sunt oferite ca aplicații SaaS găzduite de către DCSP sau chiar dezvoltate de aceștia.

Sfaturi practice pentru furnizorii de servicii Data Cnter

Revizuirea relațiilor contractuale cu opertorii de date – Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele „Acorduri de prelucrare a datelor”. Deși aceste acorduri erau prevăzute și de legislația aflată încă în vigoare, în practică sunt destul de greu de găsit acorduri concrete și corecte.  Articolul 28 din GDPR menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă ca instrucțiuni pentru furnizorii DCSP în calitate de procesatori.

Atenție specială subcontractorilor – furnizorii de servicii Data Center apelează adesea la proprii lor subcontractori, care devin sub-procesatori pentru clienții care au rol de operatori. Orice furnizor de servicii DC trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul de procesare a datelor. Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor DC.

Înregistrarea activităților de prelucrare – în calitate de operator, fiecare DCSP trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației (HR, vânzări directe, service). O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută pentru fluxurile de date în care DCSP acționează ca un procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi. Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR.

Transferurile de date în afara UE – atunci când datele cu caracter personal ale clienților din UE sunt transferate de către un procestor în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul granițelor UE. Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme printre care care se numără:

  • Deciziile de adecvare – atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
  • Regulile corporative obligatorii (Binding Corporate Rules) –  multe companii multinaționale au subsidiare în țări din afara UE, oferind aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate.
  • Clauze contractuale standard (Standard Contratual Clauses) – sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

Securitatea informațiilor – asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR și poate fi aplicat prin menținerea confidențialității, integrității și disponibilității (CIA). Orice încălcare a acestor principii ale CIA poate atrage o notificare către operator, care, la rândul său, va trebui să notifice autoritatea de supraveghere și persoanele vizate, dacă riscurile potențiale ale unei breșe  sunt destul de ridicate.

Tematica acestui articol a cosntituit subiectul prezentarii sustinute de autor in cadrul conferintei ”Data Centers and IT Infrasructure Management”, organizata de Agora Media in 12 decembrie 2017.

Advertisements
%d bloggers like this: