12 Aprilie 2012

Serviciile de cloud computing si protectia datelor cu caracter personal

Unul dintre cele mai dinamice sectoare IT ale momentului, serviciile de cloud computing presupun respectarea unor reguli pe cat de simple pe atat de importante privind protectia datelor cu caracter personal, impactul cel mai mare al acestor reguli simtindu-se in cazul transferurilor internationale de date pe care aceste servicii le presupun.

Fara a incerca o ierarhizare, principalele cerinte aplicabile sunt urmatoarele:

1. Informarea persoanelor vizate in legatura cu modul in care sunt prelucrate datele lor cu caracter personal. Trebuie acoperite informatiile minime prevazute de legislatia aplicabila si se poate face sub orice forma accesibila in mod real persoanelor vizate (de ex., nota de informare publicata pe o pagina de Internet sau Intranet accesibila acestora).

2. Includerea unor clauze minime in contractele cu prestatorii de servicii de cloud computing. Clauzele minime cerute de lege sunt menite sa asigure prelucrarea datelor gestionate de prestatorii de servicii de cloud computing numai in limitele stabilite de beneficiar si cu respectarea unor cerinte de securitate menite sa previna accesul si prelucrarea neautorizata a acestor date.

3. Incheierea unui contract de transfer de date. Acest contract reglementeaza conditiile minime de prelucrare a datelor in cazul transferurilor catre state nerecunoscute formal ca asigurand un nivel adecvat de protectie a acestora si a fost standardizat la nivelul Uniunii Europene in vederea asigurarii unui nivel adecvat de protectie. S-a admis totusi posibilitatea introducerii de clauze comerciale, atat timp cat acestea nu contravin standardului de protectie acceptat. Alternativele la incheierea acestui contract cu clauze standard sunt limitate si cu aplicabilitate redusa pentru cloud computing.

4. Notificarea prelucrarii de date si obtinerea unei autorizatii de transfer de date. Notificarea se face on-line, folosind aplicatia electronica furnizata de catre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal iar in prezent procesul de notificare si autorizare dureaza in medie aprox. 2 luni.

Nerespectarea acestor reguli simple poate avea consecinte majore, inclusiv suspendarea transferului de date cu caracter personal, ceea ce echivaleaza de cele mai multe ori cu imposibilitatea utilizarii serviciilor de cloud computing.

Autor: Ovidiu Balaceanu, asociat in practica de protectia datelor a NNDKP

Citeste si