需要移动访问数据和创新和经济型云计算产品的创新和实惠的云计算产品到全球市场,而且组织正在转向更大使用云。为了应对其日益普及,信息专员办公室(ICO)已公布有关云计算围绕数据保护合规问题的指导方针。实用指南不仅提供了对如何将数据保护规则应用于云合约的高级别分析,还要考虑对云端迁移的各种问题,并为采用云服务的组织提供核对表。

数据控制器和数据处理器之间的区别对数据保护具有至关重要的重要性,并且可以与云计算有关复杂。 ICO通过在各种场景中演示数据控制器和处理器角色来帮助导航此问题。云客户通常被认为是数据控制器,因为它确定了所处理的任何个人数据的目的和方式。 ICO建议在每种情况下应审查拥有和操作云服务(“云提供商”)的组织的确切作用,以便确定它是否正在处理个人数据。

要保持符合英国数据保护法的数据控制器必须考虑以下关键区域:

  • 安全
    • 将个人数据和将该数据放入云中评估个人数据和风险。
    • 从云提供商获得有关安全措施的充分保证。 ICO支持使用行业认可的标准。
    • 通过使用加密保护传输中的个人数据,特别是在处理敏感数据的情况下。
    • 确保措施已到位以防止未经授权的访问,包括每个云用户的单个用户名和密码。
    •  研究云提供商的安全控制的监测,审查和评估的持续循环。
  • 数据保留和删除
    • 由于大多数云提供商可能有多个数据存储在灾难恢复的各个位置的数据副本中,云客户应确保可以安全地和及时删除不再需要的个人数据副本。
  • 审计
    • 如果由于共享云服务无法获得审计权,ICO建议一个独立的第三方,以避免每个客户进行单独审计。
    • 仅允许云提供商应允许在未经云客户协议的情况下处理特定目的的个人数据。
  • 数据Transfer
    • 云服务器可能位于英国外,可以使其难以建立正在处理数据的位置。因此,云客户应从云提供商请求,其中将处理数据的国家列表以及每个位置的保障措施。此外,云提供商应在将数据转移到位置时解释。

ICO认识到云计算的好处,这一新指南包含务实的建议,以协助组织在云供应商上进行尽职调查,并确保数据保护合规性。