GDPR和云计算:人们需要知道什么

来自欧洲的新数据规定将对使用云计算的企业带来一些问题。这是人们所需要知道的,以避免麻烦。

截至2018年5月25日,欧盟的一般数据保护条例(GDPR),即欧盟法规2016/679,对所有欧盟居民(EU)的数据保护进行了统一规定。此外,GDPR还涉及到欧盟境外个人数据的输出和处理,而这是云计算用户越来越关注合规性的地方。

那么,企业将如何遵守?其监管的精神是保护欧盟居民的隐私。虽然很多人认为这意味着他们的数据必须保存其在欧盟所居住的国家,但事实是这些数据可以存储在世界任何地方,只要其收集和使用符合GDPR法规。

如果企业打算与欧盟居民开展业务,那么有几条基本规则可以遵循。为了支持这些规则,GDPR定义了几个角色,其中包括数据控制者,数据处理者和数据保护员(DPO):

数据控制者定义了个人身份信息(PII)的处理方式和用途。再次,这可以发生在欧盟内部或外部,只要遵守法规。

数据处理者维护和处理个人数据记录。GDPR让处理者对违规行为负责。考虑使用基于云的平台时,这一点很重要,因为企业和云计算提供商都有可能对违规行为承担责任。即使外包的处理者实际违反了规定,企业和云计算提供商都可能遇到麻烦。基本上,企业可能对其聘用的供应商的行为或不作为承担责任。

DPO是任何存储和处理欧盟居民数据的公司的强制角色。这是指定人员对企业进行教育,以确保GDPR合规性,并在监管机构出现问题或违规时成为联系人。

如果企业与大多数全球2000强公司开展的是与欧盟居民有关的业务,那么现在必须了解这些新规定。事实上,如果企业还没有开始对GDPR进行重组和整顿,那可能就太迟了。

作为这一努力的一部分,务必更新服务等级协议(SLA)以包括符合GDPR的术语。同样,企业和云计算提供商都会在这里承担一些风险,如果不遵循基本的GDPR规则和流程,都可能会伤害另一方的利益。

因此建议企业每年至少进行两次内部合规审计,以更好地了解遵守GDPR的能力。如果违反这些规定,无论企业是否在欧盟,都会面临严厉的经济处罚。

合规成本可能使一些小企业无法为欧盟居民服务,他们应该确信他们不这样做。其他公司需要确保他们自己也要遵循GDPR规则,不仅仅是提供商遵循。