盡管云存儲(chǔ)廣受歡迎，但它存在固有風(fēng)險(xiǎn)，尤其是當(dāng)企業(yè)使用的云提供商無法為客戶提供與本地?cái)?shù)據(jù)中心相同的數(shù)據(jù)控制權(quán)時(shí)。從邏輯上講，符合 GDPR 的云存儲(chǔ)的最佳選擇是積極保護(hù)數(shù)據(jù)隱私以及加密關(guān)鍵文件和其他個(gè)人身份信息 ( PII ) 的提供商。

GDPR 確保位于歐盟的組織以及與歐盟成員國有業(yè)務(wù)往來的任何組織都遵循嚴(yán)格的協(xié)議來保護(hù)個(gè)人數(shù)據(jù)。該法規(guī)旨在防止未經(jīng)授權(quán)訪問個(gè)人數(shù)據(jù)，并確保公司和個(gè)人知道他們的個(gè)人數(shù)據(jù)在哪里、如何訪問以及如何和何時(shí)使用這些數(shù)據(jù)。其他屬性包括對(duì)數(shù)據(jù)泄露的罰款和處罰、確保數(shù)據(jù)隱私和保護(hù)的活動(dòng)記錄、在符合 GDPR 的實(shí)體內(nèi)設(shè)立數(shù)據(jù)保護(hù)官 (DPO) 以及對(duì) GDPR 活動(dòng)的定期審查和審計(jì)。

確定存儲(chǔ)數(shù)據(jù)的云提供商是否符合 GDPR

如果提供商與歐盟組織有業(yè)務(wù)關(guān)系，則必須遵守 GDPR。向供應(yīng)商索取 GDPR 合規(guī)性證據(jù)。大多數(shù)主要的云供應(yīng)商都符合 GDPR，因?yàn)樗麄兛赡茉跉W盟成員國擁有客戶。如果不是這種情況，個(gè)人數(shù)據(jù)所有者必須征得公司網(wǎng)站和其他可能處理個(gè)人數(shù)據(jù)的資源訪問者的同意。如果不這樣做，可能會(huì)因不遵守 GDPR 而受到經(jīng)濟(jì)處罰。訪問安全電子郵件是驗(yàn)證供應(yīng)商是否符合 GDPR 的重要方式。提供商還應(yīng)加密所有數(shù)據(jù)。證明他們不知道用戶個(gè)人數(shù)據(jù)的供應(yīng)商很可能符合 GDPR。

適用于云存儲(chǔ)的 10 條相關(guān) GDPR 指令

GDPR 要求可能難以理解和應(yīng)用。在云存儲(chǔ)中存儲(chǔ)客戶數(shù)據(jù)或 PII 的組織應(yīng)了解相關(guān)的 GDPR 規(guī)則和法規(guī)，以確保合規(guī)。組織還可以查看法規(guī)以確保他們的數(shù)據(jù)符合 GDPR，即使他們將數(shù)據(jù)存儲(chǔ)在云提供商處。

1.數(shù)據(jù)處理

處理個(gè)人數(shù)據(jù)的組織，例如云供應(yīng)商，必須“以合法、公平和透明的方式”進(jìn)行處理。為實(shí)現(xiàn)這一目標(biāo)，組織必須做到以下幾點(diǎn)：

• 處理數(shù)據(jù)應(yīng)該有正當(dāng)理由。
• 數(shù)據(jù)只能用于特定目的。
• 處理用戶數(shù)據(jù)的組織必須告知用戶任何涉及個(gè)人數(shù)據(jù)的活動(dòng)。

2. 數(shù)據(jù)處理原因的局限性

處理數(shù)據(jù)的組織必須只收集必要的數(shù)據(jù)，并且在處理后不會(huì)保留它。他們不能出于既定目的以外的任何原因處理數(shù)據(jù)，也不能要求他們不需要的額外數(shù)據(jù)。他們必須詢問是否可以在個(gè)人數(shù)據(jù)達(dá)到其原始目的后將其刪除。

3. 數(shù)據(jù)所有者的權(quán)利

數(shù)據(jù)所有者和數(shù)據(jù)控制者有權(quán)詢問云提供商它擁有哪些關(guān)于他們的數(shù)據(jù)以及它對(duì)這些數(shù)據(jù)做了什么。他們可以要求更正他們的數(shù)據(jù)，發(fā)起投訴并要求轉(zhuǎn)移或刪除個(gè)人數(shù)據(jù)。

4. 同意權(quán)

當(dāng)數(shù)據(jù)處理者想要對(duì)個(gè)人數(shù)據(jù)執(zhí)行超出原始要求的操作時(shí)，數(shù)據(jù)所有者必須提供書面許可。

5. 個(gè)人數(shù)據(jù)泄露

處理實(shí)體或云供應(yīng)商必須在三天內(nèi)將數(shù)據(jù)泄露通知適用的監(jiān)管機(jī)構(gòu)和個(gè)人數(shù)據(jù)所有者。供應(yīng)商還必須維護(hù)數(shù)據(jù)泄露事件的日志。

6. 確保新系統(tǒng)中的數(shù)據(jù)隱私

計(jì)劃更換云供應(yīng)商的組織必須在新系統(tǒng)中設(shè)計(jì)功能，以確保個(gè)人數(shù)據(jù)的隱私、安全和符合 GDPR 的管理。

7. 進(jìn)行影響評(píng)估以確保數(shù)據(jù)保護(hù)

處理個(gè)人數(shù)據(jù)的組織必須在任何可能影響他們處理個(gè)人數(shù)據(jù)的方式的新項(xiàng)目或?qū)ΜF(xiàn)有系統(tǒng)的修改之前執(zhí)行數(shù)據(jù)保護(hù)影響評(píng)估。

8. 在組織內(nèi)外傳輸數(shù)據(jù)

如果第三方可能處理數(shù)據(jù)，處理個(gè)人數(shù)據(jù)的組織——控制者——負(fù)責(zé)保護(hù)個(gè)人數(shù)據(jù)。如果控制者在組織內(nèi)傳輸數(shù)據(jù)，也是如此。

9. 建立 DPO 角色

DPO 的職責(zé)是確保個(gè)人數(shù)據(jù)得到安全可靠的處理。他們還必須確保遵守 GDPR。數(shù)據(jù)所有者和數(shù)據(jù)處理者，例如云供應(yīng)商，可以建立這個(gè)角色。

10. 通過意識(shí)和培訓(xùn)確保 GDPR 合規(guī)

為確保全公司支持 GDPR，數(shù)據(jù)所有者和處理實(shí)體必須讓員工了解法規(guī)并提供培訓(xùn)，以便員工了解他們的責(zé)任。

符合 GDPR 標(biāo)準(zhǔn)的存儲(chǔ)供應(yīng)商

以下是符合 GDPR 標(biāo)準(zhǔn)的存儲(chǔ)供應(yīng)商的簡(jiǎn)要列表，其中大部分擁有云存儲(chǔ)資源：

• 亞馬遜（亞馬遜 S3、亞馬遜驅(qū)動(dòng)器）
• 谷歌（谷歌云平臺(tái)、谷歌云端硬盤）
• 微軟（微軟 Azure、微軟 OneDrive）
• Backblaze（B2 云存儲(chǔ)）
• 同步
• 云
• 崩潰計(jì)劃
• 投遞箱
• 冰車
• 我開車
• 立方
• 巨型
• 特索里特
• 考夫
• 盒子
• 安全安全

實(shí)現(xiàn)并保持對(duì) GDPR 的遵守

保護(hù)個(gè)人數(shù)據(jù)是 GDPR 的全部?jī)?nèi)容，其法規(guī)具體規(guī)定了如何保護(hù)個(gè)人數(shù)據(jù)。希望遵守 GDPR 的組織應(yīng)制定與個(gè)人數(shù)據(jù)存儲(chǔ)和處理相關(guān)的運(yùn)營(yíng)政策、程序和協(xié)議。他們還必須能夠記錄涉及個(gè)人數(shù)據(jù)的交易，以支持組織的 GDPR 合規(guī)性。出于審計(jì)目的記錄這些活動(dòng)，并定期審查和更新它們。