Η επιλογή ενός παρόχου δεν είναι πάντα εύκολη υπόθεση. Εκτός από το τεχνικό εύρος των λειτουργιών, σημαντικό ρόλο παίζουν επίσης η προσβασιμότητα και η ευκολία χρήσης. Γι' αυτό συνήθως χρησιμοποιούμε δοκιμασμένες υπηρεσίες ή υπηρεσίες που μας έχουν συστήσει άλλοι. Ωστόσο, ρόλο παίζουν και άλλοι παράγοντες όσον αφορά την προστασία των δεδομένων.
Ιδανικά, ο πάροχος θα πρέπει να επεξεργάζεται τα προσωπικά δεδομένα σε διακομιστές που βρίσκονται στην ίδια χώρα με τον οργανισμό σας. Ασφαλής είναι επίσης η επεξεργασία δεδομένων σε διακομιστές εντός της Ευρωπαϊκής Ένωσης. Για όλες τις άλλες χώρες, θα πρέπει να ελέγξετε αν πρόκειται για μία από τις χώρες που η Ευρωπαϊκή Επιτροπή έχει αναγνωρίσει ότι διαθέτουν επαρκές επίπεδο προστασίας δεδομένων («απόφαση επάρκειας»). Αυτές τις πληροφορίες θα πρέπει να σας τις παρέχει ο πάροχος υπηρεσιών.
Παράδειγμα 1: Σταθερή τοποθεσία διακομιστή στην ΕΕ
Στιγμιότυπο προσφοράς φιλοξενίας ιστοσελίδων με σταθερή τοποθεσία στη Γερμανία και την Αυστρία
Παράδειγμα 2: Ευέλικτη τοποθεσία αποθήκευσης
Περιοχή διαχείρισης MS365, εδώ μπορείτε να επιλέξετε τη θέση αποθήκευσης αρχείων στο πλαίσιο των «Ρυθμίσεων οργανισμού» και του «Προφίλ οργανισμού».
Εκτός από τον τόπο όπου γίνεται η επεξεργασία των δεδομένων, λάβετε επίσης υπόψη σας την έδρα του παρόχου. Ισχύουν και εδώ τα εξής: ιδανικοί είναι οι πάροχοι που εδρεύουν στην ΕΕ, καθώς υπόκεινται στους κανονισμούς του ΓΚΠΔ. Για όλες τις άλλες χώρες, θα πρέπει να ελέγξετε αν υπάρχει «απόφαση επάρκειας» από την Ευρωπαϊκή Επιτροπή για τη χώρα αυτή.
Να ελέγξετε επίσης μήπως ο άμεσος συμβατικός εταίρος είναι απλώς μια θυγατρική ενός μεγαλύτερου ομίλου. Η Microsoft, για παράδειγμα, εκπροσωπείται στην ΕΕ από τη Microsoft Ireland, αλλά αποτελεί μέρος της Microsoft Cooperation που εδρεύει στο Redmond των ΗΠΑ. Συνεπώς, δεν αποκλείεται η διαβίβαση δεδομένων στις ΗΠΑ. Αυτό πρέπει να λαμβάνεται υπόψη κατά την επιλογή του παρόχου και, εάν είναι απαραίτητο, να αξιολογείται στην ανάλυση κινδύνων.
Να ελέγξετε ποιους μηχανισμούς ασφαλείας έχει εφαρμόσει ο πάροχος όσον αφορά την προστασία των δεδομένων. Αν και δεν μπορείτε να το ελέγξετε μέχρι την τελευταία λεπτομέρεια, θα πρέπει τουλάχιστον να εξετάσετε τα στοιχεία που δημοσιεύει ο πάροχος για το θέμα αυτό. Κατά κανόνα, οι πάροχοι που εφαρμόζουν πολύ αυστηρά τις απαιτήσεις προστασίας δεδομένων παρέχουν αυτές τις πληροφορίες σε πολύ εμφανές σημείο.
Σχεδόν σε όλες τις περιπτώσεις η χρήση ονλάιν υπηρεσιών συνεπάγεται επεξεργασία δεδομένων κατ' εντολή. Επομένως, θα πρέπει να συνάψετε με τους παρόχους τη λεγόμενη «εκτέλεση επεξεργασίας δεδομένων κατ' εντολή». Οι περισσότεροι πάροχοι διαθέτουν μια αντίστοιχη σύμβαση, την οποία μπορείτε να κατεβάσετε. Αυτή η σύμβαση είναι γνωστή και ως DPA (συμφωνία επεξεργασίας δεδομένων). Θα πρέπει να περιέχει εκτενείς πληροφορίες σχετικά με τα τεχνικά και οργανωτικά μέτρα που χρησιμοποιούνται σε σχέση με την ασφάλεια και την προστασία των δεδομένων.
Πραγματοποιήστε εκτίμηση κινδύνου για τους παρόχους υπηρεσιών που χρησιμοποιείτε. Θα βρείτε ένα σχετικό πρότυπο δείγμα στην ενότητα «Σύνεργα και εργαλεία».