23 / 10 / 2017

Google se pečlivě připravuje na GDPR

I takoví velikáni jako je Google se pečlivě připravují na nové evropské nařízení, které vstoupí v platnost 25. 5. 2018. Jak to ovlivní uživatele G Suite a Google Cloud platform? Jak vám Google pomůže a co budete muset zařídit vy?

Společnost Google se zavázala v rámci služeb G Suite a Google Cloud platform dodržet požadavky v rámci evropského nařízeno GDPR (General Data Protection Reguation) a pomáhat svým  zákazníkům při cestě k dodržování předpisů GDPR tím, že poskytne rozsáhlé systémy a procesy pro ochranu soukromí a bezpečnosti, zabudované do svých služeb a smluv.

Povinnosti zákazníka Google
Zákazníci G Suite a Google Cloud Platform jsou typickými správci údajů, které poskytují společnosti Google, jakožto zpracovateli, v souvislosti s používáním jejích služeb. Správce údajů určuje účel a důvod zpracování osobních údajů.

Google v rámci splnění požadavků GDPR zaslal zákazníkům G Suite nové smlouvy, které je nutné potvrdit. Přesný postup zveřejníme v následujícím článku. 

Správci dat jsou odpovědní za provedení vhodných technických a organizačních opatření vedoucích k zajištění maximální bezpečnosti údajů v souladu s GDPR. Podrobnosti a pokyny k dodržení nařízení GDPR naleznete mimo jiné na našem blogu www.gdprnarizeni.cz.

Co garantuje Google? 
Google nabízí uživatelům svých služeb širokou škálu ochranných funkcí. Je dobré si tedy projít služby, které G Suite a Google Cloud Platform v souvislosti s problematikou GDPR nabízejí a zjistit, zda vám mohou být prospěšné.

Mezi aspekty hovořící pro využití služeb G Suite nebo Google Cloud Platform patří především odbornost. Google zaměstnává odborníky na bezpečnost a ochranu osobních údajů. Tento tým má za úkol tvořit bezpečnostní systémy, vyvíjet procesy kontroly bezpečnosti, budovat bezpečnostní infrastrukturu a provádět bezpečnostní zásady společnosti Google. Tým právníků  dbá na dodržování bezpečnostních zásad Google. Všichni pracují v kooperaci s jediným cílem - úprava G Suite a službu Google Cloud Platform, aby splňovaly požadavky zákazníků a dodržování předpisů.

Všechny údaje, které zákazník a jeho uživatelé vloží do systémů Google, budou zpracovány pouze v souladu s jeho pokyny a v souladu s GDPR nařízením.

Všichni subdodavatelé Google, kteří přicházejí do styku s daty zákazníků jsou pečlivě vybíráni a neustále prověřováni.

Společnost Google provozuje globální infrastrukturu navrženou tak, aby poskytovala nejmodernější zabezpečení v celém životním cyklu zpracování informací. Tato infrastruktura je navržena tak, aby zajišťovala bezpečné nasazení služeb, zabezpečené ukládání dat pomocí ochrany soukromí koncového uživatele, zabezpečenou komunikaci mezi službami, zabezpečenou komunikaci se zákazníky přes internet a bezpečnou obsluhu správců. Aplikace G Suite a Google Cloud Platform jsou na této infrastruktuře.

BEZPEČNOST G SUITE
Uživatelé G Suite mohou využívat funkce a konfigurace produktu, aby maximálně chránili osobní údaje před neoprávněným nebo nezákonným zpracováním:

- Dvoufázové ověření výrazně snižuje riziko neoprávněného přístupu.
- Monitorování podezřelého přihlášení pomocí schopností strojového učení
- Vyšší zabezpečení e-mailu, možnost podepisování a šifrování zpráv pomocí Secure / Multipurpose Internet Mail Extensions (S / MIME).
- Ochrana proti ztrátě dat chrání citlivé informace v Gmailu a Disku před neoprávněným sdílením.
- Správa informačních práv na Disku umožňuje zakázat stahování, tisk a kopírování souborů z rozšířeného sdílení a nastavit data vypršení platnosti pro přístup k souborům.
- Správa mobilních zařízení umožňuje nepřetržité sledování systému a upozornění v případě podezřelé činnosti zařízení.

 

BEZPEČNOST GOOGLE CLOUD PLATFORM
Uživatelé GCP mohou využívat funkce a konfigurace produktu, aby maximálně chránili osobní údaje před neoprávněným nebo nezákonným zpracováním:

- Dvufázové ověření výrazně snižuje riziko neoprávněného přístupu.
Správa identit a přístupu Google Cloud (cloud IAM) umožňuje vytvářet a spravovat oprávnění pro přístup a modifikovat ho pro platformu Google Cloud Platform.
API prevence ztráty dat pomáhá identifikovat a sledovat zpracování zvláštních kategorií osobních údajů za účelem zavedení odpovídajících kontrol.
Stackdriver Logging a Stackdriver Monitoring integrují systémy pro zjišťování, monitorování, varování a detekci anomálií do platformy Google Cloud Platform.
Cloud Identity-Aware Proxy (cloud IAP) řídí přístup ke cloudovým aplikacím spuštěným na platformě Google Cloud Platform.
Cloud Security Scanner prohledává a detekuje běžné chyby zabezpečení v aplikacích Google App Engine.

Další informace naleznete na adrese https://gsuite.google.com/security

Google ošetřil v rámci služeb G SUITE i Google cloud platform také export dat a kompletní smazání dat, přesně dle požadavků GDPR.

Správci údajů mohou používat funkce administrativních konzolí, které jim umožňují přístup, opravu, omezení zpracování nebo odstranění jakýchkoli údajů, které uživatelé vložili do systémů.

Google je gigantická společnost, která řeší GDPR na globální úrovni. Bude s tím spojeno mnoho opatření a požadavků na uživatele. Těm se budeme věnovat v dalších článcích. GDPR se však týká nás všech. Buďte připraveni. S námi!

GDPR je obecné nařízení o ochraně osobních údajů (z angličtiny General Data Protection Regulation). Patří k novým revolučním legislativám EU, která výrazně zvýší ochranu osobních dat. Výrazně ovlivní nakládání s osobními daty vašich zaměstnanců i klientů.

Ochrana osobních údajů, s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Nařízení přináší revoluci v ochraně osobních údajů. GDPR se týká všech firem, institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

Dát evropským občanům šanci mít větší kontrolu nad tím, co se s jejich daty děje. GDPR zavádí enormní pokuty za porušování nových, přísnějších pravidel v ochraně osobních údajů.

EU nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer), tzv. pověřence pro ochranu osobních údajů. Jeho úkolem bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona.