Obsah:
Video: Introduction to General Data Protection Regulation(GDPR) (November 2024)
Pre mnohé spoločnosti, najmä pre mnohé malé a stredné podniky, môže byť skutočné umiestnenie ich údajov záhadou. Povedzme napríklad, že bežíte v serverovom klastri založenom na cloudu, ktorý sa nachádza v oblasti severnej Virgínie a patrí do Amazon Web Services (AWS). To znamená, že vaše údaje sú v Severnej Virgínii, však? Pravdepodobne áno. Povedzme však, že obchodujete so spoločnosťami alebo jednotlivcami v Európe. Údaje o týchto subjektoch sa potom pravdepodobne nachádzajú aj v tomto regióne. A vo veľmi krátkom čase to môže byť problém.
Ešte dôležitejšie je, že okrem HDPR existujú aj ďalšie nariadenia o cezhraničných tokoch údajov, ktoré musíte vziať do úvahy. Dôvodom môže byť problematické mať údaje o občanovi EÚ (alebo o osobe žijúcej v EÚ, ktorý nie je občanom) na ceste cez inú krajinu. To znamená, že pri jej ukladaní musíte vedieť viac ako len to, kde sa nachádzate: potrebujete vedieť, kam to ide na ceste medzi vami a kdekoľvek sa nachádzate, či už ide o zákazníka alebo zamestnanca.
Nebudem sa zaoberať drastickými sankciami, ktoré by vás mohli čakať, ak porušíte pravidlá GDPR, pretože boli uvedené v tomto stĺpci a na mnohých ďalších miestach v minulosti. Povedzme teda, že nechcete, aby sa na vás tieto sankcie niekedy uplatňovali.
7 Cesty k súladu s GDPR
Ale pokiaľ podniknete nejaké preventívne kroky, nemali by ste sa báť sankcií. Existuje niekoľko pomerne jednoduchých vecí, ktoré môžete urobiť, aby ste sa vyhli problémom. Tu je ich sedem, v poradí od najľahších po najťažšie.
Nezhromažďujte osobné informácie od ľudí v EÚ. Ak má váš web pri registrácii na vašom webe niekoho možnosť vyplniť osobné údaje (napríklad jeho meno a adresu), buď neakceptujte registrácie z EÚ, alebo ich vôbec neakceptujte.
Ak musíte prijímať osobné informácie od ľudí v EÚ (napríklad preto, že máte webovú stránku elektronického obchodu, ktorá tam predáva tovar), potom si údaje uložte na cloudovom serveri umiestnenom v rámci hraníc EÚ. Často je to jednoducho záležitosť konfigurácie klastra serverov Infraštruktúra ako služba (IaaS) pomocou európskej webovej stránky vášho súčasného poskytovateľa cloudu. Pri financovaní krátkeho nasadenia s profesionálnymi zbraňami väčšiny poskytovateľov cloudu sa tieto úlohy postarajú o vás. Nielen to, ale ak budete mať to šťastie, že sa môžete spojiť so svojimi európskymi konzultantmi, pravdepodobne získate certifikované testovanie a náležitú dokumentáciu.
Aj keď sú údaje, ktoré môžete prenášať do USA alebo jednej z mála európskych krajín v Európe, existujú obmedzenia. V USA sú založené na ochrane súkromia, čo je dohoda medzi USA, EÚ a Švajčiarskom, ktorá špecifikuje požiadavky na ochranu údajov prenášaných medzi USA a týmito krajinami. Pravdepodobne je vhodné, aby vaša organizácia potvrdila, že spĺňa požiadavky GDPR na ochranu údajov, ale právne predpisy EÚ sú také, že zhromažďovanie a uchovávanie údajov je obmedzené iba na to, čo sa vyžaduje na vykonanie okamžitej úlohy. To znamená, že niekto má vedomosti o podrobnostiach GDPR, aby sledoval vaše rôzne toky údajov. Aj keď je to únavné, je to jediný spôsob, ako sa ubezpečiť, že dodržiavate pravidlá.
Ak musíte spracovávať údaje, či už sú v EÚ alebo v USA, musíte splniť konkrétne požiadavky vrátane toho, aby niekto bol menovaný za úradníka pre ochranu údajov (DPO). Keď to už nebudete potrebovať, budete musieť zariadiť pracovný postup zameraný na odstraňovanie údajov, čo sa môže stať obzvlášť zložitým, pretože súčasťou tohto je odstránenie osobných údajov kohokoľvek, kto žiada o zabudnutie. Úprimne povedané, to je ďalší dôvod na zamyslenie sa nad uchovávaním informácií o ľuďoch z EÚ.
Ak skutočne musíte podnikať v EÚ, pravdepodobne by ste mali rozmýšľať o tom, že tam budete mať prítomnosť, a nie iba cloudový účet so serverom alebo službou na zdieľanie súborov v Európe. Možno budete chcieť zapojiť spoločnosť, ktorá sa bude zaoberať vašimi záležitosťami v Európe, alebo si budete chcieť otvoriť kanceláriu, pretože personál a experti na GDPR budú na tejto strane rybníka ľahší, nehovoriac o tom, že jednoducho podnikáte európske podnikanie v post-GDPR. svet bude v Európe v podstate ľahší ako kdekoľvek inde.
Ak otvoríte kanceláriu, vaši zamestnanci v Európe musia mať tiež k dispozícii svoje informácie podľa pravidiel GDPR. Aj keď môžete mať záznamy o zamestnancoch vedené v USA, musíte dodržiavať pravidlá vrátane toho, že nebudete mať žiadne informácie, ktoré nie sú nevyhnutne potrebné na to, aby zamestnanec vykonával svoju prácu. Budete tiež musieť získať povolenie od zamestnanca na ukladanie osobných údajov (možno preto, aby mohol dostať zaplatené), ale váš úradník pre ochranu údajov bude musieť vyhodnotiť všetky uložené údaje, aby sa ubezpečil, že je to niečo, čo sa vyžaduje. Napríklad nemôžete požiadať o ich fotografiu, pokiaľ nemáte dôvod, a potom musíte uviesť veľmi konkrétne odôvodnenie, ako sa použije. Zamestnanec musí mať možnosť odmietnuť bez následkov.
Teraz pre zložitú časť: IT oddelenie musí byť schopné vždy zistiť, kde sa chránené údaje nachádzajú, kam idú, keď ich používate, kde sú uložené a ako sú chránené. Stačí povedať, že na vašom cloudovom serveri v Írsku nestačí; vaši ľudia budú musieť vedieť, ako sa dostane na daný server, čo sa stane, keď sa použije a ako je chránený - do detailov. Vaša najlepšia stávka je najať odborníkov, aby to pre vás urobili, aspoň počiatočné mapovania a výber nástrojov riadenia, ktoré budú tieto informácie uchovávať. Nakoniec sa bude vyžadovať úradníka pre ochranu údajov a podporný personál, ale z krátkodobého hľadiska by sa väčšine podnikov darilo aspoň zapojiť konzultanta, ktorý má overiteľné odborné znalosti.
Pre prokrastinátorov
Samozrejme, že na to nemám priveľmi pekný bod, ale mali ste to už urobiť. Napriek tomu, realita každodenného podnikania je taká, aká je, je veľká pravdepodobnosť, že mnohí z vás to nečítajú. Takže teraz, keď je dátum v podstate na vás, začnite aspoň tým, že viete, kde sú vaše údaje. A ak to nie je miesto, kde by to malo byť, pozri bod 1 vyššie, kým na to neprišiel.
Aj keď to robíte, je dobré zverejniť formulár súhlasu skôr, ako bude mať niekto prístup k časti vášho webu, ktorá požaduje osobné informácie. Sagara Gunathunge, viceprezidentka projektu Apache Web Services a riaditeľka WSO2, ponúka niektoré voľne dostupné príklady formulárov súhlasu na rôzne účely. Nezabudnite však, že musíte sledovať, kto tieto formuláre vypĺňa, aby ste mohli ukázať priamy odkaz na informácie, ktoré ste zhromaždili, a či už sú uložené v EÚ alebo inde. Uistite sa, že je jasne formulovaný, presný a presne hovorí, čo sa deje s informáciami, ktoré zhromažďujete. Áno, je to bolesť v krku. Druhou možnosťou je však možnosť 1.