Protezione e sicurezza dei dati con i fornitori di cloud

Nuvola e Protezione dei dati a "Schrems II"; è ancora possibile? Sì, se si rispettano determinate regole, è ancora possibile. Questo post del blog illustra brevemente cosa bisogna considerare esattamente quando si parla di protezione dei dati dei provider cloud.

"Schrems II" e il nuovo Clausole contrattuali standard

Con il programma "Schrems II", la Corte di Giustizia Europea ha stabilito che la GDPR si applica anche nei casi in cui l'accesso da parte delle autorità o dei servizi di intelligence di un Paese può avvenire per motivi di sicurezza nazionale. Questo vale per gli Stati Uniti, paese di origine dei principali fornitori di cloud, ed è diametralmente opposto all'idea di base della protezione dei dati.

Un primo passo verso la soluzione del problema è quello di lavorare con l'importatore di dati Clausole contrattuali standard per concludere. Protezione dei dati, Nuvola e GDPR saranno fusi alla fine. Il 4 giugno 2021, la Commissione europea ha adottato una decisione di attuazione relativa a nuovi Clausole contrattuali standard e ha riscontrato che misure aggiuntive come Anonimizzazione o CifraturaLa chiave sta nell'esportatore di dati per garantire un livello di protezione efficace.

Contenuto del nuovo Clausole contrattuali standard

Nel nuovo Clausole contrattuali standard Le clausole generali sono combinate con un approccio modulare. Interessante per le aziende specializzate in protezione dei dati e Sicurezza dei dati nel Nuvola Il modulo 2: Dal controllore al processore nell'UE in un mercato unico è particolarmente importante. Paese terzo.

Oltre alle 18 clausole complessive, devono essere rispettati anche gli allegati I-III. Qui, tra l'altro, deve essere fornita una descrizione completa e specifica del trasferimento dei dati, devono essere descritte in modo specifico le misure tecniche e organizzative dell'importatore dei dati e devono essere elencati gli eventuali subelaboratori.
Nel modulo 2, l'importatore di dati è impostato sulle specifiche del file GDPR si impegna. In linea con il suo ruolo di incaricato del trattamento, viene sottolineato soprattutto il suo obbligo centrale nei confronti dell'esportatore di dati.

Valutazione dell'impatto del trasferimento

Una delle principali innovazioni del nuovo Clausole contrattuali standard si trova nella clausola 14: "Leggi e consuetudini locali che influiscono sul rispetto delle clausole". Esiste ora l'obbligo di effettuare una "Valutazione dell'impatto del trasferimento", ossia una valutazione completa, caso per caso, del Valutazione dell'impatto sulla protezione dei dati. È necessario rispondere alla seguente domanda di controllo: il fornitore di cloud (importatore di dati) può e vuole adempiere ai propri obblighi contrattuali in conformità con la normativa vigente. GDPR rispettare davvero le regole?

I criteri di valutazione comprendono

• Circostanze del Trasmissionei soggetti coinvolti, le categorie di dati personali trasmessi, i canali di trasmissione utilizzati e il luogo di conservazione.
• Le disposizioni e le prassi giuridiche pertinenti del Paese terzo, in particolare le norme che vietano la divulgazione dei dati alle autorità pubbliche e ai servizi di intelligence o il loro accesso ai dati. Dati personali consentire.
• Secondo la seconda frase del considerando 19 della decisione di esecuzione Clausole contrattuali standard Il fatto che la legislazione del Paese terzo sia contraria alla legge non significa di per sé che il trasferimento non debba avvenire. Attraverso Cifratura o Anonimizzazione questo malus può essere "curato".

E ora?

Entro il 27.12.2022, tutti i trasferimenti di dati dovranno essere trasferiti a un Paese terzoa condizione che nessun Decisione di appropriatezza o è disponibile un'esenzione, al nuovo Clausole contrattuali standard e misure supplementari e aggiuntive. 2B Advice è lieta di sostenervi in questa sfida. Vi aiuteremo a GDPR coerentemente. Noi vi sosteniamo in questo, anche nel Nuvola, protezione dei dati e Sicurezza dei dati in ogni momento.