尽管云存储广受欢迎,但它存在固有风险,尤其是当企业使用的云提供商无法为客户提供与本地数据中心相同的数据控制权时。从逻辑上讲,符合 GDPR 的云存储的最佳选择是积极保护数据隐私以及加密关键文件和其他个人身份信息 ( PII ) 的提供商。
GDPR 确保位于欧盟的组织以及与欧盟成员国有业务往来的任何组织都遵循严格的协议来保护个人数据。该法规旨在防止未经授权访问个人数据,并确保公司和个人知道他们的个人数据在哪里、如何访问以及如何和何时使用这些数据。其他属性包括对数据泄露的罚款和处罚、确保数据隐私和保护的活动记录、在符合 GDPR 的实体内设立数据保护官 (DPO) 以及对 GDPR 活动的定期审查和审计。
确定存储数据的云提供商是否符合 GDPR
如果提供商与欧盟组织有业务关系,则必须遵守 GDPR。向供应商索取 GDPR 合规性证据。大多数主要的云供应商都符合 GDPR,因为他们可能在欧盟成员国拥有客户。如果不是这种情况,个人数据所有者必须征得公司网站和其他可能处理个人数据的资源访问者的同意。如果不这样做,可能会因不遵守 GDPR 而受到经济处罚。访问安全电子邮件是验证供应商是否符合 GDPR 的重要方式。提供商还应加密所有数据。证明他们不知道用户个人数据的供应商很可能符合 GDPR。
适用于云存储的 10 条相关 GDPR 指令
GDPR 要求可能难以理解和应用。在云存储中存储客户数据或 PII 的组织应了解相关的 GDPR 规则和法规,以确保合规。组织还可以查看法规以确保他们的数据符合 GDPR,即使他们将数据存储在云提供商处。
1.数据处理
处理个人数据的组织,例如云供应商,必须“以合法、公平和透明的方式”进行处理。为实现这一目标,组织必须做到以下几点:
- 处理数据应该有正当理由。
- 数据只能用于特定目的。
- 处理用户数据的组织必须告知用户任何涉及个人数据的活动。
2. 数据处理原因的局限性
处理数据的组织必须只收集必要的数据,并且在处理后不会保留它。他们不能出于既定目的以外的任何原因处理数据,也不能要求他们不需要的额外数据。他们必须询问是否可以在个人数据达到其原始目的后将其删除。
3. 数据所有者的权利
数据所有者和数据控制者有权询问云提供商它拥有哪些关于他们的数据以及它对这些数据做了什么。他们可以要求更正他们的数据,发起投诉并要求转移或删除个人数据。
4. 同意权
当数据处理者想要对个人数据执行超出原始要求的操作时,数据所有者必须提供书面许可。
5. 个人数据泄露
处理实体或云供应商必须在三天内将数据泄露通知适用的监管机构和个人数据所有者。供应商还必须维护数据泄露事件的日志。
6. 确保新系统中的数据隐私
计划更换云供应商的组织必须在新系统中设计功能,以确保个人数据的隐私、安全和符合 GDPR 的管理。
7. 进行影响评估以确保数据保护
处理个人数据的组织必须在任何可能影响他们处理个人数据的方式的新项目或对现有系统的修改之前执行数据保护影响评估。
8. 在组织内外传输数据
如果第三方可能处理数据,处理个人数据的组织——控制者——负责保护个人数据。如果控制者在组织内传输数据,也是如此。
9. 建立 DPO 角色
DPO 的职责是确保个人数据得到安全可靠的处理。他们还必须确保遵守 GDPR。数据所有者和数据处理者,例如云供应商,可以建立这个角色。
10. 通过意识和培训确保 GDPR 合规
为确保全公司支持 GDPR,数据所有者和处理实体必须让员工了解法规并提供培训,以便员工了解他们的责任。
符合 GDPR 标准的存储供应商
以下是符合 GDPR 标准的存储供应商的简要列表,其中大部分拥有云存储资源:
- 亚马逊(亚马逊 S3、亚马逊驱动器)
- 谷歌(谷歌云平台、谷歌云端硬盘)
- 微软(微软 Azure、微软 OneDrive)
- Backblaze(B2 云存储)
- 同步
- 云
- 崩溃计划
- 投递箱
- 冰车
- 我开车
- 立方
- 巨型
- 特索里特
- 考夫
- 盒子
- 安全安全
实现并保持对 GDPR 的遵守
保护个人数据是 GDPR 的全部内容,其法规具体规定了如何保护个人数据。希望遵守 GDPR 的组织应制定与个人数据存储和处理相关的运营政策、程序和协议。他们还必须能够记录涉及个人数据的交易,以支持组织的 GDPR 合规性。出于审计目的记录这些活动,并定期审查和更新它们。
