U okviru međunarodnog ARC projekta podrške mikro, malim i srednjim pouzetnicima u GDPR usklađivanju, u kojem sudjeluje i AZOP, izrađena je i brošura Smjernica za odabir pružatelja Cloud usluga, dostupna ovdje:
https://arc-rec-project.eu/wp-content/uploads/2022/02/ARC-Guidance-for-Engaging-Cloud-Service-Providers.pdf
Izdvajamo:
- organizacije koje odluče angažirati pružatelje Cloud usluga i sami pružatelji Cloud usluga obostrano su odgovorni za sigurnost osobnih podataka i informiranost pojedinaca o takvim obradama njihovih osobnih podataka
- u pravilu su Cloud provideri u ulozi izvršitelja obrade u ime organizacije kao voditelja obrade koja ih je angažirala
- stoga Cloud provider mora postupati isključivo temeljem uputa organizacije - voditelja obrade, što se mora dokumentirati putem sklopljenog ugovora iz članka 28. GDPR-a
- Cloud provider mora osigurati mjere sprječavanja slučajnog ili neovlaštenog uništenja podataka, gubitka, izmjena, otkrivanja ili davanja neovlaštenog pristupa prilikom prijenosa i pohrane
- prije angažiranja pružatelja Cloud uluga organizacija se mora uvjeriti u sigurnosne organizacijske i tehničke mjere, od enkripcije i pseudonimizacije, osiguranja trajne povjerljivosti, integriteta, dostupnosti i otpornosti sustava iz članka 32. GDPR-a, osiguranja Business Continuity i Data recovery postupaka, redovitog testiranja sigurnosnih mjera, prijava povreda osobnih podataka i vraćanja i trajnog brisanja osobnih podataka po završetku ugovornog odnosa s organizacijom kao voditeljem obrade.
Ako pružatelj Cloud usluga podugovori treću stranu za pružanje usluga kojima se obrađuju osobni podaci, mora o tome informirati organizaciju koja daje pristanak na takav dodatni angažman.