Широке використання Microsoft у німецьких компаніях створює виклик для спеціалістів із захисту даних. За словами Детлефа Шмука: «Захист даних у багатьох німецьких компаніях стоїть у вогні.» Особливо після того, як EU-US Privacy Shield було визнано недійсним два роки тому.
«У новому році роль спеціалістів із захисту даних у компаніях ускладниться», — каже експерт із безпеки даних Детлеф Шмук, керуючий директор німецької служби обробки даних TeamDrive GmbH. Перш за все, широке використання програмного забезпечення від американського постачальника Microsoft в економіці Німеччини стає дедалі більшою проблемою, оскільки існує ризик потрапляння персональних даних до США. Відтоді, як два роки тому Європейський суд визнав трансатлантичну угоду про захист даних EU-US Privacy Shield недійсною, захист даних став хитким у багатьох частинах німецької економіки, каже керівник TeamDrive.
Microsoft і проблема: де дані?
Детлеф Шмук: «Звичайні програми Microsoft, такі як Windows, Teams, Office і 365, можна використовувати лише відповідно до законодавства в цій країні, якщо керування даними постійно здійснюється за межами США. Але це саме те, що складно, тому що це вимагає детальних налаштувань, зокрема, щоб власна американська служба даних Microsoft OneCloud була подалі від установок. Крім того, важко підтримувати постійну установку, яка відповідає вимогам законодавства, оскільки Microsoft має можливість повторно вставити OneCloud або змінити інші параметри з кожним оновленням для кожної програми. Наприклад, є конкретні ознаки того, що Microsoft завжди автоматично імпортує свою хмарну службу США під час оновлення Windows. Тому спеціалісти із захисту даних повинні постійно перевіряти, чи їхні компанії все ще працюють відповідно до Загального регламенту захисту даних, чи вони ненавмисно стали незаконними через оновлення чи інші зміни. Це непроста робота для 2022 року».
Відповідальність за посадових осіб із захисту даних, раду директорів і керівництво
На додаток до постійного технічного огляду, юридичні суперечки щодо захисту оперативних даних також можуть бути на порядку денному 2022 року, припускає Детлеф Шмук. Він каже: «Слід очікувати, що американські провайдери намагатимуться довести, що їхні пропозиції відповідають GDPR за допомогою постійно нових положень про захист даних, експертних висновків, атестацій та перенесення хмарних потужностей до Німеччини. Але американські компанії, такі як Microsoft, зрештою підпадають під дію законодавства США, і Європейський суд однозначно постановив, що низький рівень захисту даних у США несумісний із високими європейськими вимогами щодо захисту персональних даних. Ні корпорація Майкрософт, ні будь-який інший американський провайдер наразі не можуть подолати цю фундаментальну прогалину, навіть із такою кількістю юридичної софістики. Зрештою, відповідальність за порушення захисту даних покладається на раду директорів або керівництво місцевої компанії – і, звичайно, на уповноваженого із захисту даних».
Більше на Teamdrive.com