Usluge u oblaku postale su jednim od najefikasnijih načina za pohranu i obradu veće količine podataka, osobito za manje tvrtke koje si ne mogu priuštiti dedicirana rješenja i stručno osoblje. Danas male i srednje tvrtke s do 250 zaposlenika troše oko četvrtinu svojeg IT budžeta na usluge u oblaku, slično kao i na softver i hardver.
Međutim, GDPR bi mogao usporiti taj rast jer znatno postrožuje uvjete za izvršitelje obrade, koji od sada snose veću odgovornost za podatke koje obrađuju. U tu kategoriju spadaju i cloud usluge.
Kišna godina
Trenutni zakonski okvir izvršitelje obrade uglavnom lišava odgovornosti za posljedice njihovih radnji i krivicu svaljuje na voditelja obrade (ako koristite usluge u oblaku, vi ste voditelj, a izvršitelj je vlasnik usluge). U nekim se čak uvjetima usluge u oblaku mogu smatrati ‘samo prijenosnicima’ (mere conduits) utoliko što ne obrađuju podatke, pa shodno tome nemaju ni obvezu njihova nadzora.
GDPR, s druge strane, uvodi kazne čak i za izvršitelje obrade ako ne slijede upute voditelja obrade, a osobito ako obrađuju podatke na nezakonit način bez znanja voditelja obrade. Naravno, te se kazne odnose samo na osobne podatke; neosobne podatke ne štiti GDPR, ali postoji mogućnost da ostali zakoni zemalja članica propisuju slično postupanje i s takvim podacima.
Obaveze, obaveze…
Po novome, davatelji usluga u oblaku morat će voditi evidenciju o aktivnostima obrade i trebat će znati osnove o podacima koje obrađuju, budući da će morati biti ugovorno obvezani i za zaštitu istih.
Najvažnije će biti ažurirati ugovore između voditelja i izvršitelja obrade. To će biti nužno jer većina ugovora ne zadovoljava osnovne uvjete koje propisuje GDPR. Nadzorna tijela i ostale institucije obećale su da će u javnost izići sa šprancama ugovora koji zadovoljavaju nove propise.
Ako nudite usluge u oblaku, vjerujemo da vam je već jasno da ćete vrlo teško moći izbjeći postupak prilagodbe s GDPR-om. Ako nekim čudom nemate sjedište u državi članici EU-a, onda vas „kače“ propisi o obradi podataka iz EU-a. Naravno, osim ako ne zatvorite vrata svim klijentima iz Europske unije. Ako to uspijete izvesti – i nakon toga ne propadnete – svaka vam čast!
Situacija postaje sve složenija ako uzmete u obzir činjenicu za većina tvrtki nema pojma koliko alata za obradu podataka u oblaku uopće koriste. Naime, prosječna EU tvrtka koristi čak 608 cloud aplikacija. A kakav odgovor dobijete kad provedete anketu? Pa, za oko 90 posto manji. Očigledno je dakle da je većini tvrtki zapravo nepoznanica samo utvrđivanje koje aplikacije uopće rade u oblaku. Nemojte si to dozvoliti!
Dodajmo tome i činjenicu da sami servisi u oblaku trenutno nisu od velike pomoći, jer ih je prema istraživanjima samo 1 % usklađeno s GDPR-om, i dobivamo pravo izvanredno stanje.
Lokacija je bitna
GDPR od voditelja i izvršitelja obrade zahtijeva da u svakom trenutku znaju gdje se podaci nalaze i koliko primjeraka istih postoji. To ograničava fleksibilnost izvršitelja obrade u vidu periodičnog stvaranja sigurnosnih kopija i distribuirane pohrane.
Neke regulatorne agencije, poput njemačkog ULD-a, drže da poslužiteljski centri van EU-a uopće nisu zakoniti prema njemačkom zakonu. Ipak, većina ostalih se s time ne slaže.
Svejedno, najbolja je praksa podatke pohranjivati unutar granica Europske unije. Prijenosi podataka u treće zemlje uglavnom nisu dozvoljeni, osim ako postoje odluke o adekvatnosti Europske komisije. Ako vršite prijenose podataka u treće zemlje (bilo vi kao voditelj obrade ili vaš pružatelj usluga), o tome morate obavijestiti ispitanike.
Ključne promjene
Za početak, može se očekivati poskupljenje usluga u oblaku jer usklađivanje košta i administracija nije besplatna. Kroz neko vrijeme se to možda iznivelira, no znamo da jednom kad cijene narastu, ne padaju tako lako. Vjerujemo ipak da ćemo vidjeti manje povreda podataka, pa bi se trebalo nešto i uštedjeti na odštetama i tužbama.
Odgovornost je sada raspodijeljena (ili, bolje reći: udvostručena) između voditelja obrade i izvršitelja. Prvi korak svakako vam treba biti ažuriranje ugovora u kojem ćete temeljito ugovoriti obaveze, kako nijedna strana ne bi bila zakinuta. Voditelji obrade moraju biti osobito oprezni jer ih tuđe greške i dalje mogu koštati, a veliki cloud provideri učinit će sve što je u njihovoj moći da se maksimalno ograde…
Korisnici, pak, ništa od ovoga neće osjetiti na svojoj koži. Ako sve prođe u redu, rjeđe će im se događati povrede podataka, što zapravo i jest cilj svih ovih mjera.
