13.02.2020

VDAR ietekme uz mākoņdatošanu

Arvien vairāk uzņēmumi izvēlas lietot mākoņpakalpojumus, jo ir zināms, ka tie uzņēmumam var sniegt lielas priekšrocības, labāk optimizējot savus IT resursus un izmaksas. Neraugoties uz priekšrocībām, ko sniedz mākoņdatošanas izmantošana, vienlaikus līdz ar VDAR spēkā stāšanos, rodas arī zināmi izaicinājumi, ar kuriem var saskarties ikviens uzņēmums.

 

Mākoņdatošanas vispārīgās problēmas

Viens no izaicinājumiem mākoņdatošanā ir uzticētās informācijas sensitivitāte. Uzņēmums var glabāt gandrīz jebkura veida informāciju mākonī, ieskaitot sensitīvu informāciju, kas palielina informācijas nekontrolētas izplatīšanas risku trešajām personām (t.i., konkurentiem). Ja tiek izvēlēts mākoņdatošanas risinājums, kurā datu apstrādes un/vai glabāšanas telpas tiek koplietotas, pastāv informācijas noplūdes risks.

Vēl viens izaicinājums ir piemērojamo tiesību aktu noteikšana. Izmantojot mākoņdatošanu, datu saistība ar ģeogrāfisko atrašanās vietu var būt neskaidra. ES teritorijā fiziskā atrašanās vieta ir noteicošais faktors, lai noteiktu piemērojamos privātuma noteikumus. Dati regulāri tiek pārsūtīti no vienas vietas uz otru un dati vienlaikus var atrasties vairākās vietās.

Vai zinājāt, ka Microsoft apkopotie personas dati var tikt uzglabāti un apstrādāti Jūsu reģionā, Amerikas Savienotajās Valstīs un jebkurā citā valstī, kurā korporācijai Microsoft vai tās saistītajiem uzņēmumiem, meitasuzņēmumiem vai pakalpojumu sniedzējiem darbojas datu apstrādes centri? Parasti primārā glabāšanas vieta ir klienta reģions vai Amerikas Savienotās Valstis, bieži vien ar datu centra dublējumu citā reģionā.

 

VDAR izaicinājumi:

Datu glabāšanas ilgums

Saskaņā ar VDAR personas datus nedrīkst uzglabāt ilgāk, nekā nepieciešams noteiktam datu apstrādes mērķim. Izvērtējot veiktos datu apstrādes procesus, uzņēmumam ir jāievieš datu glabāšanas termiņi, un jāspēj efektīvi izdzēst datus, ja ir beidzies to glabāšanas laiks: gan lokāli glabātiem datiem, gan mākonī glabātiem datiem.

Grūtības rodas tad, ja mākoņpakalpojumu sniedzēji datus var uzglabāt vairākās vietās un dažādās jurisdikcijās, līdz ar ko ir grūti noteikt un pārvaldīt datu glabāšanas prasības.

Piemērs: uzņēmums saviem darbiniekiem ļauj lietot ne tikai uzņēmuma lietoto mākoni (piem. MS Azure), bet arī privātos mākoņpakalpojumus (piem. Dropbox, Google Drive u.c.). Vienu mākoņpakalpojumu uzņēmums ir izvērtējis un novērsis risku rašanos, taču citus mākoņpakalpojumus uzņēmums nepārvalda un pat nezin, kādus tieši mākoņpakalpojumus darbinieki izmanto, kā rezultātā risku novēršana un glabāšanas termiņu izpildīšana nav pilnvērtīga.

Lai pilnībā izdzēstu datus, jāņem vērā arī datu kopijas. Ir svarīgi iegūt skaidru pārskatu, kā un kur mākoņa pakalpojumu sniedzēji pārvalda kopiju glabāšanu.

 

Pārkāpumu paziņošana

Pārkāpumu paziņošanas pienākumi jāiekļauj datu apstrādes līgumos ar mākoņpakalpojumu sniedzējiem. Līgumā jādefinē pārkāpuma gadījums un jāapraksta procedūra, kādā pakalpojuma sniedzējs bez liekas kavēšanās paziņo uzņēmumam par notikušajiem pārkāpumiem. Ja mākoņpakalpojumu sniedzējs piedzīvo datu pārkāpumus, kas ietekmē vairākus klientus, pārzinim ar pakalpojuma sniedzēja atbalstu joprojām būtu jāspēj pārvaldīt pārkāpumu, kas attiecas uz konkrētā pārziņa datiem.

 

Risku pārvaldība un privātuma drošība

Lai noteiktu riskus, kas var rasties, izmantojot mākoņpakalpojumu sniedzēju, ieteicams veikt datu aizsardzības ietekmes novērtējumu (NIDA: piem. https://www.dvi.gov.lv/lv/wp-content/uploads/Nov%C4%93rt%C4%93jums-par-ietekmi-uz-datu-aizsardz%C4%ABbu11.pdf). Papildus jāapsver uzņēmuma tiesības auditēt mākoņa pakalpojumu sniedzējus, iekļaujot noteikumus datu apstrādes līgumos.

Pārzinim vienmēr ir jānovērtē, cik lielā mērā pakalpojumu sniedzējs spēj izpildīt IT drošības prasības. Mākoņu pakalpojumu sniedzēji var pierādīt atbilstību privātuma principiem vairākos veidos:

  • NIDA;
  • ISO 27001 sertifikāts (informācijas drošības pārvaldības sistēma);
  • ISO 27018 sertifikāts (prakses kodekss personiski identificējamas informācijas (PII) aizsardzībai publiskos mākoņos, kas darbojas kā PII apstrādātāji).

Nākamie soļi

Ja Jūsu uzņēmums izmanto mākoņa pakalpojumu sniedzējus, Jums būtu nepieciešams vispārīgs juridiskais un IT vides pārskats par Jūsu datu pārvaldību, IT vides infrastruktūru un datu atrašanās vietām.

Šajā solī Squalio var Jums palīdzēt, veicot līgumu ar mākoņpakalpojumu sniedzējiem pārskatīšanu, izstrādāt NIDA, kā arī noskenēt IT/licenču vidi, un ar noteiktas programmas palīdzību atrast, kur atrodas dati. Tas uzņēmumam ļaus pārliecināties par VDAR atbilstību. Mūsu pieredzējusī komanda var Jums piedāvāt arī atbalstu VDAR procesu sakārtošanā, lai procesi un uzlabojumi tiktu ieviesti kvalitatīvi un Jūsu uzņēmējdarbībai visatbilstošākajā veidā.