Peran AWS Berdasarkan GDPR
Berdasarkan GDPR, AWS berperan sebagai pemroses data dan pengontrol data.
Berdasarkan Pasal 32, pengontrol dan pemroses data diwajibkan untuk “…menerapkan langkah-langkah teknis dan organisasional yang tepat” yang mempertimbangkan “kemutakhiran serta biaya dari implementasi dan sifat, cakupan, konteks, dan tujuan pemrosesan serta risiko dari berbagai kemungkinan dan tingkat keparahan untuk hak dan kebebasan perorangan”. GDPR memberikan saran khusus untuk jenis tindakan keamanan apa yang mungkin diperlukan, termasuk:
-
Pseudonimisasi
dan enkripsi data pribadi. -
Kemampuan untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan.
-
Kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi secara tepat waktu jika terjadi insiden fisik atau teknis.
-
Sebuah proses untuk secara teratur menguji, menilai, dan mengevaluasi efektivitas langkah-langkah teknis dan organisasional untuk menjamin keamanan pemrosesan.
AWS sebagai Pemroses Data
Ketika pelanggan dan Partner AWS menggunakan layanan AWS untuk memproses data pribadi dalam konten mereka, AWS bertindak sebagai pemroses data. Pelanggan dan Partner AWS dapat menggunakan kontrol yang tersedia di layanan AWS, termasuk kontrol konfigurasi keamanan, untuk memproses data pribadi. Dalam kondisi ini, pelanggan atau Partner AWS dapat bertindak sebagai pengontrol data atau pemroses data itu sendiri, dan AWS bertindak sebagai pemroses atau sub-pemroses data Adendum Pemrosesan Data (DPA) AWS yang mematuhi GDPR mencakup komitmen AWS sebagai pemroses data.
AWS sebagai Pengontrol Data
Ketika AWS mengumpulkan data pribadi dan menentukan tujuan dan sarana dalam memproses data pribadi tersebut, AWS akan bertindak sebagai pengontrol data. Misalnya, ketika AWS memproses informasi akun untuk pendaftaran akun, administrasi, akses layanan, atau informasi kontak untuk akun AWS guna memberikan bantuan melalui aktivitas dukungan pelanggan, AWS bertindak sebagai pengontrol data.
