EDPB - Europski odbor za zaštitu podataka usvojio je izvješće o nalazima svoje prve koordinirane provedbene mjere, koje je bilo usmjereno na upotrebu usluga u oblaku u javnom sektoru. Europski odbor za zaštitu podataka naglašava potrebu da javna tijela djeluju potpuno u skladu s Općom uredbom o zaštiti podataka i uključuje preporuke za javni sektor pri upotrebi proizvoda ili usluga u oblaku.
Osim toga, dostupan je popis mjera koje su tijela za zaštitu podataka već poduzela u području računalstva u oblaku.
Andrea Jelinek, predsjednica Europskog odbora za zaštitu podataka, izjavila je:
„Koordinirani provedbeni okvir (CEF) propituje dublje metode suradnje među tijelima za zaštitu podataka kako bi se postigla bolja učinkovitost i dosljednost.
Diljem Europe organizacije javnog sektora okreću se uslugama računalstva u oblaku i suočavaju se s poteškoćama pri dobivanju usluga i proizvoda usklađenih s Općom uredbom o zaštiti podataka.
S osobnim podacima koje obrađuju javne službe mora se postupati s najvećom pažnjom, posebno kada ih obrađuje treća strana."
A sam EDPB dokument zorno prikazuje stanje uporabe Cloud usluga u javnom sektoru u zemljama članicama EU i što tijela javne vlasti moraju učiniti da to rade u skladu s GDPR-om.
Vjerujemo da i brojna tijela javne vlasti u RH imaju što za naučiti i tog dokumenta, iz kojeg izdvajamo:
Uzimajući u obzir moguću osjetljivu prirodu i velike količine podataka koje obrađuju javna tijela, bitno je da sve javne uprave zajamče temeljno pravo na zaštitu osobnih podataka.
EDPB stoga naglašava nužnost da javna tijela djeluju u potpunosti u skladu s GDPR-om kada koriste proizvode ili usluge temeljene na oblaku.
U tom smislu, izvješće također nudi popis točaka pozornosti koje bi dionici trebali uzeti u obzir prilikom sklapanja ugovora s pružateljima Cloud usluga:
• Provesti DPIA, odnosno, Procjenu učinka na zaštitu podataka (pojam DPIA je po našem iskustvu velika nepoznanica u javnom sektoru);
• Osigurati da su uloge uključenih strana jasno i nedvosmisleno određene;
• Osigurati da pružatelj Cloud usluga djeluje samo u ime i u skladu s dokumentiranim uputama javnog tijela i identificirati svaku moguću obradu od strane pružatelja Cloud usluga;
• Osigurati da je moguć provediv način prigovora na nove podizvršitelje obrada koje pružatelj Cloud usluga podangažira (najgora situacija je kad ne znamo tko su podizvršitelji);
• Osigurati da su osobni podaci ograničenii u odnosu na svrhe za koje se obrađuju;
• Osigurati uključenost Službenika za zaštitu podataka (ipak je on pojedinac koji najviše zna o GDPR-u);
• Surađivati s drugim javnim tijelima u pregovorima s pružateljima Cloud usluga;
• Provesti audit kako bi se procijenilo provodi li se obrada u skladu s DPIA i procjenom rizika (preduvjet za ovu točku je provođenje DPIA);
• Osigurati da postupak nabave već predviđa sve potrebne zahtjeve za postizanje usklađenosti s GDPR-om (jesmo li ikad susreli GDPR zahtjeve u javnoj nabavi?);
• Utvrditi koji se prijenosi osobnih podataka u oblak smiju odvijati s obzirom na prijenos osobnih podataka izvan EU/EEA, čak i kad osobni podaci jesu pohranjeni unutar EU/EEA;
• Analizirati bi li se zakonodavstvo treće zemlje primjenjivalo na pružatelje Cloud usluga i dovelo do zahtjeva sigurnosnih agencija trećih zemalja za pristupom osobnim podacima u Cloudu;
• Pažljivo ispitati i po potrebi ponovno pregovarati o ugovoru;
• Provjeriti uvjete prema kojima javno tijelo smije koristiti Cloud usluge.
Više o temi:
https://edpb.europa.eu/our-work-tools/our-documents/report/coordinated-enforcement-action-use-cloud-based-services-public_en
https://azop.hr/usvojena-izvjesca-o-upotrebi-usluga-u-oblaku-u-javnom-sektoru-i-izvjesce-o-dizajnu-banenra-za-kolacice/
Photo from FreePik
#gdprcroatia