GDPR и облачные сервисы: ключевые советы по комплаенсу

Современный мир с каждым днем становится все более цифровым и совершенным. Изменения происходят настолько быстро, что мы их просто перестали замечать и уже воспринимаем как обычное дело. Уже сейчас люди отходят от привычных гаджетов: все это связано с засильем облачных услуг. Забыли, когда скачивали фотографии на флешку? Конечно, зачем это делать, если все фото уже сохранены на облаке в Apple или Google. Облачные системы не так давно зашли в жизнь обычных людей, но IT-компании уже долгое время пользуются преимуществами таких услуг, экономя огромное количество денег на приобретении техники. В этой статье мы расскажем, что такое облачные сервисы и GDPR, как это взаимосвязано и что со всем этим делать?

Что такое облачные сервисы?

Не вдаваясь в труднопонимаемые технические термины, попробуем объяснить, что такое облачный сервис. Допустим, вы — владелец IT-стартапа. Ваша идея — создать приложение для любителей собирать грибы, которое анализирует данные об осадках в различных регионах и показывает, в какой лес лучше всего поехать для того, чтобы вернуться домой с полной корзиной. Однако вам нужно иметь большое количество сотрудников, которые будут анализировать данные и поддерживать работу приложения.

Закупать все оборудование и арендовать офис актуально в том случае, если у вас есть очень хороший инвестор, настроенный на долгосрочное сотрудничество, потому что все это обойдется в копеечку. Не забывайте, что для разработки нужны не только компьютеры, но и другая мощная вспомогательная инфраструктура. Отличное решение в этой ситуации — обратиться к облачным сервисам. Зачем делать все самому, если можно пользоваться мощностями ребят из США или даже обратиться к украинскими облачными сервисами? Это намного дешевле, да и если ваш проект не зайдет, отказаться от подписки намного проще, чем думать, что же делать с тоннами оборудования.

Какие бывают облачные сервисы?

Условно все облачные сервисы можно разделить на три вида:

• Infrastructure as a Service (IaaS) (инфраструктура как услуга);
• Platform as a Service (PaaS) (платформа как услуга);
• Software as a Service (SaaS) (программное обеспечение как услуга).

В каждом понятии есть слово «Service» — это означает, что каждая услуга предоставляется по модели подписки. Первый тип подписки IaaS в основном нужен системным администраторам, так как предоставляемая инфраструктура состоит из облачных процессоров, памяти, дисков. Все это используется для создания виртуальных сетей.

Второй вид услуг близок разработчикам, так как PaaS — это различные сервисы баз данных, репозитории и другие полезные штуки для тестирования и выпуска сайтов, программ и приложений. Одними из самых популярных PaaS-сервисов являются Amazon EC2 и Google AppEngine.

А ближе всего к пользователю находятся SaaS — готовые сервисы, которые требуют минимальное количество времени для настройки, а чаще всего — просто регистрацию. К этому типу облачных сервисов относятся различные полезные сервисы от Google и Adobe, Slack, Zoom и многие другие приложения.

Нужен ли GDPR для облачных сервисов?

Любая компания, которая обрабатывает персональные данные жителей ЕС, должна соответствовать GDPR. Что вообще такое GDPR? General Data Protection Regulation — акт, строго регулирующий обработку персональных данных жителей ЕС, который вступил в силу в 2018 году. Поэтому и бизнесу, который пользуется облачными сервисами, и самому облачному сервису, нужно обратить должное внимание на этот акт. GDPR выделяет два вида лиц, ответственных за обработку персональных данных. Ими могут быть:

• Контролер — это любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. (Компания, которая определяет, кто и как будет обрабатывать персональные данные людей)
• Процессор — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени по поручению контролера. (Та компания, которая хранит персональные данные и делает все, чтобы уберечь их от потери, уничтожения или раскрытия).

Чаще всего клиент облачного сервиса является контролером, так как именно он первично собирает персональные данные, а облачный сервис является процессором, так как на его серверах по поручению клиента хранятся персональные данные.

Как выбрать правильный сервис?

Предположим, что вы создали сайт, на котором пользователи могут обмениваться своими старыми CD-дисками, и чем старее диск, тем выше его цена. При этом вы требуете обязательную регистрацию на сайте, где просите указать личные данные пользователей, чтобы пресечь возможность мошенничества. Вы обрабатываете массу персональных данных, но денег на закупку мощного оборудования нет, поэтому вы приняли волевое решение перейти на облачное хранение данных. Теперь главный вопрос: как же выбрать хороший сервис?

Существует большой выбор сервисов для хранения данных, но следует тщательно подходить к их выбору. Сейчас создано множество сервисов с хорошими ценами, но обращайте большее внимание на специфику продукта. Возможно, в конкретно вашем случае это будет небезопасно. Если у вас не слишком сложный проект, ищите сервисы, которые не нацелены на нишевые компании. Обязательно изучите Terms of Use и другие важные документы компании, с которой вы хотите поделиться данными. Согласно GDPR, вы должны сами убедиться в том, ведет ли ваш процессор свою деятельность в соответствии с актом. Не поленитесь обратиться к техническому специалисту, чтобы убедиться в безопасности такого сервиса.

Подпишите DPA

Основное требование GDPR — наличие письменного соглашения DPA (Data Processing Agreement) между контролером и процессором. То есть если вы загружаете персональные данные на облачный сервис, это все равно будет считаться международной передачей персональных данных. Подписанное DPA помогает удостовериться в том, что облачный сервис не сможет изменить оговоренные правила безопасности в тот момент, пока между вами действует соглашение. В большинстве случаев персональные данные передаются в другую страну при помощи принятых Еврокомиссией Standard Contractual Clauses (стандартных условий договора). То есть для того, чтобы заключить договор, вы должны использовать стандартизированные шаблоны. При этом вам не всегда нужно самому составлять договор. Многие провайдеры услуг предоставляют готовый договор на своих сайтах, который нужно просто подписать. Например, заключить DPA с Google можно прямо в консоли администратора Google.

Защищайте свои данные самостоятельно

Ни в коем случае не нужно полагаться только на своих партнеров. Вы можете самостоятельно предпринять достаточные меры, чтобы обезопасить потерю персональных данных. Допустим, вы создали приложение, которое помогает хозяевам находить студентов, которые будут выгуливать их собак за деньги. У вас есть большие объемы данных студентов и владельцев собак, и вы их храните на облаке. Как обезопасить себя? Зашифруйте данные. Существует тысячи различных видов шифрования: вы можете выбрать наиболее безопасный и удобный для вас. При этом перед шифрованием вам стоит подумать о том, где вы будете хранить ключи к расшифровке. Это должно быть действительно безопасное место, желательно частная сеть. Также стоит понимать, что доступ к такому ключу должны иметь только определенные специалисты, которые подписали с компанией NDA.

***

Хранить данные на облачных сервисах — всегда риск, но вы можете сделать все для того, чтобы снизить вероятность потери важной информации. Не пренебрегайте правилами безопасности и не брезгуйте облачными технологии — XXI век на дворе, как ни крути.

GDPR compliance

Клименко Анастасия

Junior IT lawyer