Kazalo:
Video: Introduction to General Data Protection Regulation(GDPR) (November 2024)
Za številna podjetja, zlasti za mala in srednje velika podjetja (SMB), je dejanska lokacija njihovih podatkov lahko skrivnost. Recimo, da na primer tečete v oblačnem strežniškem grozdu, ki se nahaja v regiji Severna Virginija, ki pripada Amazon Web Services (AWS). To pomeni, da so vaši podatki v Severni Virginiji, kajne? No ja, verjetno. Recimo, da poslujete s podjetji ali posamezniki v Evropi. Potem so podatki o teh entitetah verjetno tudi v tej regiji. In v zelo kratkem času je to lahko težava.
Še pomembneje je, da je GDPR ob strani, obstajajo tudi drugi predpisi o čezmejnih pretokih podatkov, ki jih morate upoštevati. To je zato, ker bi bilo lahko problematično imeti podatke državljana EU (ali nekoga, ki živi v EU, ki ni državljan EU) skozi drugo državo. To pomeni, da morate vedeti več kot le to, kje je, ko ga shranjujete: vedeti morate, kam gre na poti med vami in kamor koli se nahaja vaša stranka ali zaposleni.
Ne bom se spuščal v drakonske kazni, ki vas lahko čakajo, če kršite pravila GDPR, ker so bila v tem stolpcu opisana in na mnogih drugih mestih v preteklosti. Torej, recimo, ne želite, da se te kazni nikoli uporabljajo.
7 poti skladnosti z GDPR
Dokler sprejemate nekatere preventivne ukrepe, vam ni treba skrbeti za nobene kazni. Obstaja nekaj dokaj enostavnih stvari, ki jih lahko storite, da se izognete težavam. Tu jih je sedem, da jih je najlažje narediti najtežje.
Ne zbirajte osebnih podatkov od ljudi iz EU. Če lahko vaše spletno mesto v postopku registracije na vašem spletnem mestu nekdo izpolni osebne podatke (na primer svoje ime in naslov), bodisi ne sprejema registracij iz EU ali jih sploh ne sprejema.
Če morate sprejeti osebne podatke ljudi iz EU (morda zato, ker imate spletno mesto za e-trgovino, ki tam prodaja stvari), shranite podatke na strežnik v oblaku, ki se nahaja znotraj meja EU. Pogosto je to preprosto vprašanje konfiguriranja strežniške grozde infrastrukture (IaaS) z uporabo evropskega spletnega mesta trenutnega ponudnika oblakov. Druga možnost je, da bodo s kratkim sodelovanjem z orožjem profesionalnih storitev večine ponudnikov oblakov poskrbeli za to nalogo namesto vas. Ne samo to, ampak če imate srečo, da sodelujete s svetovalci v Evropi , boste verjetno dobili tudi certificirano testiranje in ustrezno dokumentacijo.
Medtem ko obstajajo časi, ko lahko podatke premaknete v ZDA ali katero od nekaj drugih držav v Evropi, obstajajo omejitve. V ZDA temeljijo na zasebnosti, ki je sporazum med ZDA, EU in Švico, ki določa zaščitne zahteve za pretok podatkov med ZDA in temi državami. Verjetno je dobra ideja, da vaša organizacija potrdi, da izpolnjuje zahteve glede varstva podatkov GDPR, vendar je zakonodaja EU takšna, da je zbiranje in hramba podatkov omejeno na samo tisto, kar je potrebno za takojšnjo nalogo. To pomeni, da nekdo, ki pozna podrobnosti GDPR, spremlja različne tokove podatkov. Čeprav je dolgočasno, je to edini način, da se prepričate, da ste v skladu.
Če morate obdelovati podatke, ne glede na to, ali gre za EU ali ZDA, morate izpolnjevati posebne zahteve, vključno s tem, da je nekdo imenovan za uradnika za varstvo podatkov (DPO). Prav tako boste morali urediti delovni potek, ki bo namenjen odstranjevanju podatkov, ko niso več potrebni, in to lahko postane še posebej zapleteno, ker del tega zagotavlja, da lahko odstranite osebne podatke vseh, ki prosijo za pozabo. Iskreno, to je še en razlog za razmislek o shranjevanju informacij o ljudeh iz EU.
Če morate resnično poslovati v EU, potem bi najbrž morali razmišljati o tem, da bi bili tam prisotni in ne le v oblačnem računu s strežnikom ali storitvijo za izmenjavo datotek poslovnega razreda v Evropi. Morda boste želeli zaposliti podjetje, ki bo urejalo svoje zadeve v Evropi, ali pa boste želeli odpreti pisarno, saj bodo kadroviki in svetovalci GDPR lažje na tej strani ribnika, če ne omenjamo, da preprosto opravljanje evropskih poslov v post-GDPR svetu bo v Evropi prirojeno lažje kot kjerkoli drugje.
Če odprete pisarno, morajo tudi vaši zaposleni v Evropi voditi informacije po pravilih GDPR. Medtem ko imate lahko v evidenci zaposlenih v ZDA, morate upoštevati pravila, vključno s tem, da nimate informacij, ki zaposlenemu niso nujno potrebne za opravljanje svojega dela. Prav tako boste morali pridobiti dovoljenje zaposlenega za shranjevanje osebnih podatkov (morda zato, da bo lahko prejel plačilo), vendar bo moral vaš DPO oceniti vse shranjene podatke, da se prepriča, ali je to nekaj, kar je potrebno. Na primer, ne morete zaprositi za njihovo fotografijo, razen če obstaja razlog, nato pa morate dati zelo natančno utemeljitev, kako se bo uporabljala. In zaposleni mora imeti možnost, da pade, brez kakršnih koli posledic.
Zdaj za zapleten del: Oddelek za informacijsko tehnologijo mora biti sposoben določiti, kje se zaščiteni podatki ves čas nahajajo, kam gredo, medtem ko jih uporabljate, kje so shranjeni in kako so zaščiteni. Samo reči, da je na vašem strežniku v oblaku na Irskem ni dovolj; ljudje bodo morali vedeti, kako pride do tega strežnika, kaj se zgodi z njim in kako je zaščiten - podrobno. Najbolje je, da najamete strokovnjake, ki bodo to storili namesto vas, vsaj za začetne preslikave in izbiro orodij za upravljanje, ki bodo te informacije vzdrževale. Sčasoma bo potrebna DPO in podporno osebje, a kratkoročno bi večina podjetij dobro sodelovala, če bi vsaj zaposlila svetovalca, ki ima preverljivo strokovno znanje.
Za Prokrastinatorje
Seveda, da ne bi preveč stavili na to, ampak vse to bi morali že storiti. Kljub temu pa je resničnost vsakodnevnega poslovanja takšna, kakršna je, verjetno mnogi od vas, ki to berejo, niso. Zdaj, ko je datum v bistvu odvisen od vas, začnite vsaj tako, da veste, kje so vaši podatki. In če ni tam, kjer bi moral biti, potem glej točko številka 1 zgoraj, dokler ne ugotoviš.
Medtem ko to počnete, je dobro, da objavite obrazec za privolitev, preden lahko kdo dostopa do dela vašega spletnega mesta, ki zahteva osebne podatke. Sagara Gunathunge, podpredsednica projekta Apache Web Services in direktor pri WSO2, ponuja nekaj prosto dostopnih primerov obrazcev za soglasje za različne namene. Ne pozabite pa, da morate spremljati, kdo izpolnjuje te obrazce, da boste lahko pokazali neposredno povezavo do zbranih podatkov in ne glede na to, ali so shranjeni v EU ali drugje. Bodite prepričani, da je jasno in natančno določeno, in natančno povejte, kaj se dogaja z informacijami, ki jih zbirate. Ja, bolečina v vratu. Toda druga izbira je možnost 1.
