EDPB: Uporaba storitev v oblaku v javnem sektorju
Evropski odbor za varstvo podatkov je sprejel poročilo o ugotovitvah svojega prvega usklajenega ukrepa, ki se je osredotočil na uporabo storitev v oblaku v javnem sektorju. Poročilo vključuje priporočila in seznam ukrepov na področju računalništva v oblaku.
Oktobra 2020 se je Evropski odbor za varstvo podatkov (EDPB) odločil vzpostaviti usklajeni okvir izvrševanja (CEF) z namenom racionalizacije izvrševanja in sodelovanja med nadzornimi organi v skladu s strategijo EDPB 2021–2023.
Oktobra 2021 je EDPB izbral "uporabo oblaka v javnem sektorju" za svoj usklajeni ukrep izvrševanja leta 2022. V okviru ukrepa je 22 nadzornih organov v EGP začelo usklajene preiskave o uporabi storitev v oblaku v javnem sektorju.
To skupno poročilo združuje ugotovitve vseh nadzornih organov, ki sodelujejo v CEF. Posebna pozornost je namenjena 8 izzivom, ki so jih nadzorni organi identificirali med akcijo CEF. To vključuje vprašanja v predpogodbeni fazi v zvezi z izvedbo DPIA in vlogo strank, pomanjkanje sklenjenih pogodb s ponudniki, težave pri pogajanjih za prilagojeno pogodbo, poznavanje ali nadzor javnih organov nad podobdelovalci, izzivi v zvezi mednarodnimi prenosi podatkov in dostopa tujih javnih organov, obdelava telemetričnih podatkov in revizija.
Ob upoštevanju morebitne občutljive narave in velike količine podatkov, ki jih obdelujejo javni organi, pa je nujno, da temeljno pravico do varstva osebnih podatkov zagotovi vsi javni organi. EDPB zato poudarja, da morajo organi javnega sektorja pri uporabi storitev v oblaku delovati v celoti v skladu z GDPR. V zvezi s tem poročilo vsebuje tudi seznam elementov, ki bi jih morali deležniki upoštevati pri sklepanju pogodb s ponudniki oblačnih storitev:
izvedite DPIA,
zagotovite, da so vloge vpletenih strani jasne in nedvoumno določene,
zagotovite, da CSP deluje samo v imenu in v skladu z dokumentiranimi navodili javnega organa ter opredeliti morebitno obdelavo s strani CSP kot upravljavca,
zagotovite, da je možen smiseln način nasprotovanja novim podobdelovalcem,
zagotovite, da so osebni podatki določeni glede na namene, za katere se obdelujejo,
spodbujajte sodelovanje DPO,
sodelujte z drugimi javnimi organi pri pogajanjih s CSP,
izvedite pregled, da ocenite, ali se obdelava izvaja v skladu z DPIA,
zagotovite, da postopek javnega naročanja že predvideva vse potrebne zahteve za doseganje skladnosti z GDPR,
ugotovite, kateri prenosi lahko potekajo v okviru rutinskega zagotavljanja storitev in v primeru obdelave osebnih podatkov za lastne poslovne namene CSP in zagotovite, da so izpolnjene določbe poglavja V GDPR, tudi z identifikacijo in implementacijo dodatnih ukrepov, kadar so potrebni,
analizirajte, ali bi zakonodaja tretje države veljala za CSP in bi privedla do možnosti obravnavanja zahtevkov za dostop do podatkov, ki jih hrani CSP v EU,
natančno preučite in po potrebi izvedite ponovna pogajanja glede pogodbe,
preverite pogoje, pod katerimi je javnemu organu dovoljeno in lahko prispeva k revizijam ter zagotovite, da so izvedene.
Ukrepi, ki so jih sprejeli nadzorni organi v CEF, še vedno potekajo na nacionalni ravni, zlasti kjer so bile sprožene uradne preiskave. Skladno s tem ta dokument ne predstavlja dokončne izjave o ukrepih, izvedenih v okviru IPE, saj namen tega poročila ni sklepanje o ukrepih, ki jih je treba sprejeti, temveč razmislek o ukrepih, ki so jih sprejeli pristojni nadzorni organi, in opredelitev možnih točk, kjer je potrebna posebna pozornost. Morda bo potrebno poročilo posodobiti tekom leta 2023, da se upošteva napredek postopkov, ki do danes še niso bili zaključeni, in glede na ugotovljena vprašanja dodatno dopolniti poročilo glede splošnih priporočil javnim organom v zvezi z uporabo ponudnikov storitev v oblaku.
Vir: EDPB
Naslovna slika: RawPixel
