Międzynarodowa Grupa Robocza ds. Ochrony Danych w Telekomunikacji (tzw. Grupa Berlińska) opublikowała pod koniec kwietnia br. Memorandum z Sopotu. Jest to dokument relatywnie mało znany wśród przedstawicieli biznesu i rzadko podchwytywany przez polskie media. A szkoda – ponieważ zawiera szereg cennych zaleceń wypracowanych wspólnie przez rzeczników ochrony danych osobowych z UE, Norwegii, Kanady i Korei Płd.
Po pierwsze, są to wskazówki ważne dla przedsiębiorców, którzy korzystają z Cloud Computing. Po drugie, dla oferujących tego typu usługi. Po trzecie, dla firm zajmujących się profilowaniem użytkowników Internetu. I wreszcie dla samych internautów – w tym tych, którzy chcą realizować swoje prawo do „bycia zapomnianym”.
Poniżej część pierwsza przeglądu zawartych w nim kluczowych zaleceń i wniosków.
Wdrażanie Cloud Computing powinno być dokonywane ostrożnie – od informacji nie podlegających specjalnej ochronie, po te bardziej poufne (przy czym przetwarzanie w chmurze danych szczególnie wrażliwych – na tym etapie rozwoju usługi, praktyk dostawców oraz stanu prawodawstwa – nie jest zalecane przez ekspertów).
Każdorazowo przed skorzystaniem z usługi Cloud Computing należy dokonać kompleksowej oceny ryzyka związanego z przetwarzaniem danych w chmurze, m.in. w oparciu o wgląd do konkretnych ustawień dostawcy, specyficznych uwarunkowań, okoliczności i praktyk, we wszystkich miejscach, gdzie ma się odbywać przetwarzanie danych. Owo prawo wglądu należy sobie również zagwarantować w umowie. Proces oceny ryzyka powinien trwać także po podpisaniu umowy, tak długo, jak tylko dane osobowe będą w zasięgu przetwarzającego i/lub jego podprzetwarzających.