Cuprins:
Video: GDPR на русском. Основные принципы и права пользователей (Noiembrie 2024)
Pentru multe companii, în special pentru întreprinderile mici și mijlocii (IMM-uri), locația reală a datelor lor poate fi un mister. Să spunem, de exemplu, că executați pe un grup de servere bazat pe cloud situat în regiunea Virginiei de Nord, aparținând Amazon Web Services (AWS). Asta înseamnă că datele dvs. sunt în Virginia de Nord, nu? Ei bine, da, probabil. Dar să spunem că faceți afaceri cu companii sau persoane din Europa. Apoi, datele despre aceste entități sunt probabil și în acea regiune. Și într-un timp foarte scurt, poate fi o problemă.
Mai important, GDPR deoparte, există și alte reglementări cu privire la fluxurile transfrontaliere de date pe care trebuie să le luați în considerare. Acest lucru se datorează faptului că datele unui cetățean al UE (sau al unei persoane care trăiește în UE care nu este cetățean) trec prin altă țară pe parcurs poate fi problematic. Acest lucru înseamnă că trebuie să știi mai mult decât doar unde se află când îl depozitezi: trebuie să știi unde se îndreaptă între tine și oriunde se află clientul sau angajatul tău.
Nu o să intru în sancțiunile draconice care vă pot aștepta dacă încalcați regulile GDPR, deoarece au fost conturate în această coloană și în multe alte locuri din trecut. Deci, să spunem, nu doriți ca aceste penalități să vă fie aplicate vreodată.
7 căi de conformitate GDPR
Dar atâta timp cât luați măsuri preventive, nu trebuie să vă faceți griji cu privire la penalități. Există câteva lucruri destul de ușoare pe care le poți face pentru a evita problemele. Iată șapte dintre ele, în ordinea celui mai ușor până la cel mai greu de făcut.
Nu colectați informații personale de la persoane din UE. Dacă site-ul dvs. web are capacitatea ca cineva să completeze informații personale (numele și adresa acestuia, de exemplu) în procesul de înregistrare pe site-ul dvs. web, atunci nu acceptați înregistrările din UE sau nu le acceptă deloc.
Dacă trebuie să acceptați informații personale de la persoane din UE (poate pentru că aveți un site web de comerț electronic care vinde lucruri acolo), atunci aveți datele stocate pe un server cloud situat în interiorul frontierelor UE. Adesea, aceasta este pur și simplu o problemă de configurare a unui cluster de server Infrastructură ca serviciu (IaaS) utilizând site-ul european al furnizorului dvs. actual de cloud. În mod alternativ, finanțarea unui angajament scurt cu brațele serviciilor profesionale ale majorității furnizorilor de cloud îi va vedea să se ocupe de această sarcină pentru tine. Nu numai că, dar dacă aveți norocul să interacționați cu consultanții lor din Europa , probabil că veți primi teste certificate și documentația corespunzătoare.
Deși există momente în care poți muta datele în SUA sau într-una din alte câteva țări din Europa, există limite. În SUA, acestea se bazează pe scutul de confidențialitate, care este un acord între SUA, UE și Elveția care specifică cerințele de protecție pentru datele care curg între SUA și țările respective. Probabil este o idee bună pentru organizația dvs. să certifice că îndeplinește cerințele GDPR de protecție a datelor, dar legislația UE este de așa natură încât colectarea și păstrarea datelor se limitează numai la ceea ce este necesar pentru a îndeplini sarcina imediată. Asta înseamnă că cineva care cunoaște detaliile GDPR urmărește fluxurile de date diferite. Deși obositor, acesta este singurul mod de a vă asigura că sunteți conform.
Dacă trebuie să prelucrați date, indiferent dacă sunt în UE sau în SUA, atunci trebuie să îndepliniți cerințe specifice, inclusiv să aveți pe cineva numit ca responsabil de protecție a datelor (DPO). De asemenea, va trebui să aranjați un flux de lucru dedicat eliminării datelor atunci când acestea nu mai sunt necesare, iar acest lucru poate fi deosebit de complex, deoarece o parte din acest lucru vă asigură că puteți elimina informațiile personale ale oricui cere să fie uitate. Sincer, acesta este un alt motiv de a ne gândi de două ori la stocarea informațiilor despre oameni din UE.
Dacă într-adevăr trebuie să faceți afaceri în UE, atunci probabil că ar trebui să vă gândiți să aveți o prezență acolo, decât la un cont cloud cu un server sau un serviciu de partajare a fișierelor din Europa. Poate doriți să angajați o companie care să vă ocupe de treburile din Europa sau poate doriți să deschideți un birou, deoarece personalul experților GDPR și consultanților va fi mai ușor în acea parte a iazului, fără a menționa faptul că pur și simplu faceți afaceri europene într-un post-GDPR lumea va fi, în mod inerent, mai ușoară în Europa decât în orice altă parte.
Dacă deschideți un birou, atunci angajații dvs. din Europa trebuie să li se administreze informațiile în conformitate cu regulile GDPR. Deși puteți avea înregistrări ale angajaților în SUA, va trebui să urmați regulile, inclusiv să nu dețineți informații care nu sunt strict necesare pentru ca un angajat să își facă treaba. De asemenea, va trebui să obțineți permisiunea de la angajat pentru a stoca informații personale (poate ca el sau ea să poată fi plătit), dar DPO-ul dvs. va trebui să evalueze toate datele stocate pentru a vă asigura că este ceva necesar. De exemplu, nu puteți cere fotografia lor decât dacă există un motiv, și atunci trebuie să dați o justificare foarte specifică a modului în care va fi utilizată. Și angajatul trebuie să i se permită să refuze fără repercusiuni.
Acum, pentru partea complicată: Departamentul IT trebuie să poată determina unde se află datele protejate în permanență, unde merg în timp ce îl folosești, unde sunt stocate și cum sunt protejate. Doar pentru a spune că este pe serverul dvs. cloud din Irlanda nu este suficient; oamenii voștri vor trebui să știe cum ajunge la serverul respectiv, ce se întâmplă cu el atunci când este folosit și cum este protejat - în detaliu. Cel mai bun pariu este să angajați experți pentru a face acest lucru pentru dvs., cel puțin maparea inițială și selecția instrumentelor de management care vor menține informațiile respective. Un DPO și personal de asistență vor fi în cele din urmă necesare, dar pe termen scurt, majoritatea întreprinderilor ar face bine să angajeze cel puțin un consultant care are expertiză verificabilă.
Pentru procrastinatori
Desigur, nu pentru a pune un punct prea fin, dar ar fi trebuit să faci toate acestea deja. Totuși, realitățile afacerilor cotidiene fiind ceea ce sunt, șansele sunt ca mulți dintre voi să citiți acest lucru să nu o facă. Așadar, acum, când data este pe baza dvs., începeți cel puțin să știți unde sunt datele dvs. Și dacă nu este locul unde ar trebui să fie, atunci vedeți punctul 1 de mai sus până când ați dat seama.
În timp ce faceți acest lucru, este o idee bună să postați un formular de consimțământ înainte ca oricine să poată accesa partea web a site-ului dvs. care solicită informații personale. Sagara Gunathunge, vicepreședinte al proiectului Apache Web Services și director la WSO2, oferă câteva exemple disponibile gratuit de formulare de consimțământ pentru diverse scopuri. Însă nu uitați că trebuie să urmăriți cine completează aceste formulare, astfel încât să puteți afișa un link direct la informațiile pe care le-ați colectat și dacă sunt stocate în UE sau în altă parte. Asigurați-vă că faceți un cuvânt clar, precis și spuneți exact ce se întâmplă cu informațiile pe care le colectați. Da, este o durere în gât. Dar cealaltă alegere este opțiunea 1.
