盡管云存儲廣受歡迎，但它存在固有風險，尤其是當企業使用的云提供商無法為客戶提供與本地數據中心相同的數據控制權時。從邏輯上講，符合 GDPR 的云存儲的最佳選擇是積極保護數據隱私以及加密關鍵文件和其他個人身份信息 ( PII ) 的提供商。

GDPR 確保位于歐盟的組織以及與歐盟成員國有業務往來的任何組織都遵循嚴格的協議來保護個人數據。該法規旨在防止未經授權訪問個人數據，并確保公司和個人知道他們的個人數據在哪里、如何訪問以及如何和何時使用這些數據。其他屬性包括對數據泄露的罰款和處罰、確保數據隱私和保護的活動記錄、在符合 GDPR 的實體內設立數據保護官 (DPO) 以及對 GDPR 活動的定期審查和審計。

確定存儲數據的云提供商是否符合 GDPR

如果提供商與歐盟組織有業務關系，則必須遵守 GDPR。向供應商索取 GDPR 合規性證據。大多數主要的云供應商都符合 GDPR，因為他們可能在歐盟成員國擁有客戶。如果不是這種情況，個人數據所有者必須征得公司網站和其他可能處理個人數據的資源訪問者的同意。如果不這樣做，可能會因不遵守 GDPR 而受到經濟處罰。訪問安全電子郵件是驗證供應商是否符合 GDPR 的重要方式。提供商還應加密所有數據。證明他們不知道用戶個人數據的供應商很可能符合 GDPR。

適用于云存儲的 10 條相關 GDPR 指令

GDPR 要求可能難以理解和應用。在云存儲中存儲客戶數據或 PII 的組織應了解相關的 GDPR 規則和法規，以確保合規。組織還可以查看法規以確保他們的數據符合 GDPR，即使他們將數據存儲在云提供商處。

1.數據處理

處理個人數據的組織，例如云供應商，必須“以合法、公平和透明的方式”進行處理。為實現這一目標，組織必須做到以下幾點：

• 處理數據應該有正當理由。
• 數據只能用于特定目的。
• 處理用戶數據的組織必須告知用戶任何涉及個人數據的活動。

2. 數據處理原因的局限性

處理數據的組織必須只收集必要的數據，并且在處理后不會保留它。他們不能出于既定目的以外的任何原因處理數據，也不能要求他們不需要的額外數據。他們必須詢問是否可以在個人數據達到其原始目的后將其刪除。

3. 數據所有者的權利

數據所有者和數據控制者有權詢問云提供商它擁有哪些關于他們的數據以及它對這些數據做了什么。他們可以要求更正他們的數據，發起投訴并要求轉移或刪除個人數據。

4. 同意權

當數據處理者想要對個人數據執行超出原始要求的操作時，數據所有者必須提供書面許可。

5. 個人數據泄露

處理實體或云供應商必須在三天內將數據泄露通知適用的監管機構和個人數據所有者。供應商還必須維護數據泄露事件的日志。

6. 確保新系統中的數據隱私

計劃更換云供應商的組織必須在新系統中設計功能，以確保個人數據的隱私、安全和符合 GDPR 的管理。

7. 進行影響評估以確保數據保護

處理個人數據的組織必須在任何可能影響他們處理個人數據的方式的新項目或對現有系統的修改之前執行數據保護影響評估。

8. 在組織內外傳輸數據

如果第三方可能處理數據，處理個人數據的組織——控制者——負責保護個人數據。如果控制者在組織內傳輸數據，也是如此。

9. 建立 DPO 角色

DPO 的職責是確保個人數據得到安全可靠的處理。他們還必須確保遵守 GDPR。數據所有者和數據處理者，例如云供應商，可以建立這個角色。

10. 通過意識和培訓確保 GDPR 合規

為確保全公司支持 GDPR，數據所有者和處理實體必須讓員工了解法規并提供培訓，以便員工了解他們的責任。

符合 GDPR 標準的存儲供應商

以下是符合 GDPR 標準的存儲供應商的簡要列表，其中大部分擁有云存儲資源：

• 亞馬遜（亞馬遜 S3、亞馬遜驅動器）
• 谷歌（谷歌云平臺、谷歌云端硬盤）
• 微軟（微軟 Azure、微軟 OneDrive）
• Backblaze（B2 云存儲）
• 同步
• 云
• 崩潰計劃
• 投遞箱
• 冰車
• 我開車
• 立方
• 巨型
• 特索里特
• 考夫
• 盒子
• 安全安全

實現并保持對 GDPR 的遵守

保護個人數據是 GDPR 的全部內容，其法規具體規定了如何保護個人數據。希望遵守 GDPR 的組織應制定與個人數據存儲和處理相關的運營政策、程序和協議。他們還必須能夠記錄涉及個人數據的交易，以支持組織的 GDPR 合規性。出于審計目的記錄這些活動，并定期審查和更新它們。