→產品訊息

新聞中心

 

GDPR - 一年後

幾個星期前,一位著名的律師在博客中發表了一篇經常討論過的問題:一年後的GDPR

“ 天空沒有下降。互聯網並沒有停止工作。尚未發生數百萬歐元的罰款。它總是會這樣。自“一般數據保護條例”(歐盟)2016/679(“GDPR”)生效以及數字經濟仍在發展和增長以來,已經過去了一年。GDPR的影響是顯而易見的,但是以一種微妙的方式。但是,如果認為GDPR只是一種時尚或失敗的嘗試,幫助隱私和數據保護在21世紀存活下來,那將是非常錯誤的。由於克服其監管挑戰的工作尚未開始,因此尚未感受到GDPR的真正影響。“ 

確實,自該出版物以來,CNIL向谷歌發出了5000萬歐元的罰款,主要是因為缺乏清晰透明的隱私聲明。但即便如此,與之前三個月相比,谷歌也遭受了歐盟新的反壟斷罰款,  總額達15億歐元

那麼,我們是否會說,儘管不安的夜晚確保我們的公司準備好遵守隱私,隱私專業人士對這次旅程有點失望?或者我們的反應是什麼,作為隱私專業人士,當我們周圍的人問:“你的GDPR項目現在結束了嗎?”

好吧,猜猜怎麼著?就像我們說,去年一年,這是一個旅程,我們只是在這次遠航的開始。但是,在雲已成為訪問IT服務和產品的主要方式的世界中,強調GDPR產生的項目可能是有用的,即歐盟雲行為準則。

當然,雲存在於GDPR之前,世界各地的許多監管機構已經在GDPR之前就如何解決雲中外包IT服務的敏感性和風險提出了指導。但在GDPR之前,大多數雲服務提供商(CSP)傾向於試圖強迫他們的客戶(數據控制者)“代表並保證”他們將遵守所有當地數據法律並且他們擁有所有必要的同意來自數據主體根據服務將數據傳遞給CSP處理器。這種情況雖然在歐盟數據保護法下並不合理,但往往是成功的,因為不遵守規定的負擔過去僅僅與客戶作為控制者有關。

GDPR在Recital 81中改變了這一點,使得處理器負責他們在保護個人數據方面的作用。處理器不再超出法律範圍,因為“控制器應僅使用提供充分保證的處理器,特別是在專業知識,可靠性和資源方面,以實施符合本法規要求的技術和組織措施,包括為了處理的安全性。

處理者對經批准的行為準則或經批准的認證機制的遵守可用作證明遵守控制人義務的要素。“ 

使用GDPR,處理者必須實施適當的技術和組織安全措施,以保護個人數據免遭意外或非法破壞或丟失,更改,未經授權的披露或訪問。

遵守經批准的行為準則可能會提供證據證明處理者已履行了這些義務,這使我們回到了“雲行為準則”。在GDPR之後一年,歐盟雲行為準則大會在發布已提交給監管機構的最新代碼版本方面達到了一個重要的里程碑。

該準則描述了一系列要求,使CSP能夠證明其符合GDPR和ISO 27001和27018等國際標準的能力。它還證明了GDPR標誌著合同環境的強烈轉變。

在這個新的合同領域,有幾件事值得強調:

  • 歐盟雲行為準則的目的是使雲客戶(特別是中小型企業和公共實體)更容易確定某些雲服務是否適合其指定用途。它涵蓋了所有云服務(SaaS,PaaS和IaaS),並且具有獨立的治理結構以處理合規性以及獨立的監控機構,這是GDPR的要求。
  • 遵守代碼不會以任何方式取代CSP與客戶之間執行的約束性協議,也不會取代客戶請求審核的權利。它介紹了面向客戶的策略和過程版本,使客戶能夠了解CSP如何遵守GDPR職責和義務,包括有關數據保留,審計,子處理和安全性的策略和流程。

該準則提出了有趣的工具,使CSP能夠遵守GDPR的要求。例如,在審計權利方面,它指出:

“...... CSP可以選擇實施交錯方法或自助服務機製或其組合以提供合規性證據,以確保客戶審計可以向所有客戶擴展,同時不會危及客戶個人數據處理關於安全性,可靠性,可信賴性和可用性。“ 

在協商雲協議時經常出現的另一個問題:根據本規範的要求允許使用子處理器,但它需要 - 類似於GDPR-客戶的事先特定或一般書面授權。雲服務協議中的一般授權可以事先通知客戶。更具體地說,CSP需要建立一種機制,在該子處理器開始處理個人客戶數據之前,向客戶通知有關添加或替換子處理器的任何變化。

上面強調的問題表明了雲服務合同環境的轉變。

如果主要的跨國CSP過去擁有最低限度的合同義務以及最低法定保證,那麼值得注意的是GDPR如何能夠徹底改變這種情況。如今,最重要的雲端玩家很高興能夠展示他們合同參與的能力。您作為雲播放器的影響力越大,您就越能夠滿足GDPR的嚴格要求。

資料來源:https://securingtomorrow.mcafee.com/business/data-security/the-gdpr-one-year-later/