Υπηρεσίες υπολογιστικού νέφους και επεξεργασία προσωπικών δεδομένων, με έμφαση στη διενέργεια εκτίμησης αντικτύπου για την ιδιωτικότητα

Abstract

Μείζον ζήτημα και ουσιαστική πρόκληση, αποτελεί η πλήρης προστασία των δεδομένων των χρηστών, και δη των ευαίσθητων, που αποθηκεύονται σε cloud και η αποτελεσματικότητα της ακολουθούμενης από τους παρόχους της υπηρεσίας cloud πολιτικής, καθώς έχουν διττή ιδιότητα κατά περίπτωση (εκτελούντες την επεξεργασία και υπεύθυνοι επεξεργασίας) ειδικά εν όψει της εφαρμογής του Κανονισμού (ΕΕ) 2016/6791, των νέων δικαιωμάτων των υποκειμένων και των υποχρεώσεων που αυτός επιβάλλει. Όμως και ο καταναλωτής - χρήστης ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων, παρόλο που δεν έχει διαπραγματευτική δύναμη να αλλάξει τους προδιατυπωμένους όρους που προτείνει ένας ισχυρός πάροχος cloud υπηρεσιών, γιατί εναπόκειται στη διακριτική του ευχέρεια και στην τελική κρίση του ίδιου ποιον πιστοποιημένο πάροχο θα επιλέξει να εμπιστευτεί.Γίνεται επομένως φανερό ότι οι “ρόλοι” εναλλάσσονται και πως αμφότεροι πρέπει να διασφαλίζουν, λαμβάνοντας τα κατάλληλα τεχνικά μέτρα για τηνπροστασία από την απώλεια, καταστροφή, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση, την ασφάλεια των δεδομένων και της επεξεργασίας τους. Ο Γενικός Κανονισμός Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (EU GDPR) επηρεάζει σημαντικά τη συμμόρφωση των δεδομένων Cloud τόσο για τους Παρόχους Υπηρεσιών Cloud (Cloud Providers) όσο και για τους Καταναλωτές (Cloud Consumers). Ο GDPR υποχρεώνει τους οργανισμούς που αποθηκεύουν, συλλέγουν και εν γένει επεξεργάζονται πληροφορίες σχετικά με τους πολίτες της ΕΕ να τηρούν τα άρθρα του, ανεξαρτήτως του τόπου όπου βρίσκονται ή όπου αποθηκεύονται τα δεδομένα.Ένα καινοτόμο μέτρο που εισάγει ο νέος Κανονισμός, πλήρως εναρμονισμένο με την ανάγκη προστασίας των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (Privacy by design / Privacy by default) είναι η υποχρέωση διενέργειας εκτίμησης αντικτύπου (Data Protection Impact Assessment - DPIA). Αποτελεί μία διαρκή διαδικασία εμπέδωσης και απόδειξης συμμόρφωσης με τον Κανονισμό καθώς αποσκοπεί στον εντοπισμό των κύριων κινδύνων που ελλοχεύουν για τα δικαιώματα των υποκειμένων των προσωπικών δεδομένων και στην προκαταβολική λήψη όλων των ενδεδειγμένων μέτρων – μηχανισμών ασφαλείας, για τη διασφάλιση της ιδιωτικότητας, της ακεραιότητας και του απορρήτου, αναγκάζοντας τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία να επανεξετάζουν συστηματικά την προβλεπόμενη και προσήκουσα με τον Κανονισμό επεξεργασία, τους σχετικούς κινδύνους και τα μέτρα για τον μετριασμό αυτών. Πόσο εφικτή είναι όμως η διενέργεια εκτίμησης αντικτύπου στο περιβάλλον του cloud computing , τι πρέπει να ληφθεί υπόψη για τη διενέργειά της και από ποιόν;