这篇文章是由 辛西娅·奥’Donoghue.

The Article 29 工作小组 (the “Working Party”) issued an 意见 关于云计算的内容,分析了在欧洲经济区运营的云服务提供商的适用法律,义务和其他相关问题(“EEA”)。该意见概述了云计算服务的大规模部署如何引发许多数据保护问题。

第29条工作组意见讨论了两个主要风险。第一个原因是数据控制器对云系统中处理的个人数据缺乏控制,这可能导致该控制器不再具有对数据的排他控制权。第二个问题是如果数据控制器接收到的有关云提供商的信息不足,则缺乏透明度’的加工操作。没有足够的信息,数据控制者可能不会意识到对个人数据的潜在威胁或风险,尤其是在EEA之外存在一系列子处理或传输的情况下。这会使数据控制器处于无法采取适当措施的情况。

该意见将数据保护指令95/46 / EC确定为云计算的相关法律框架,其中建立数据控制者所在国家(而不是云计算提供商所在的地方)的立法是适用法律。如果控制器位于EEA之外,但云提供商位于EEA中,则提供商会将数据保护法规导出到客户端。工作组还确认云服务的客户通常是数据控制器,而云提供商是数据处理器。

工作组列出了许多数据保护要求,这些要求必须支配云客户(或数据控制器)与云提供商之间的关系。这些分为三个关键领域:

  • 遵守基本原则,例如特定目的,透明度和数据擦除
  • 云计算服务合同中的保障措施到位
  • 数据管理员选择云提供商的责任,该提供商将实施适当的技术和组织安全措施以保护放在云中的个人数据

最后,意见以针对试图将个人数据存储在云中的数据控制者的建议作为结尾,例如进行全面而彻底的风险分析,而云提供商将为数据控制者提供所有必要信息以评估优缺点,以此为基础使用云。

我们将发布详细的 客户警报 关于这个重要的主题。