A Gdpr 1 nap van távol: tudja, hol vannak az adatok?

Sok vállalat számára, különösen sok kis és közepes méretű vállalkozás számára, adataik tényleges elhelyezkedése rejtély lehet. Tegyük fel például, hogy egy felhőalapú kiszolgálófürtön fut, amely az Amazon Web Services (AWS) észak-virginiai régiójában található. Ez azt jelenti, hogy adatai Észak-Virginiában vannak, igaz? Nos, valószínűleg igen. De tegyük fel, hogy üzleti vállalkozásokkal vagy magánszemélyekkel üzletel Európában. Akkor ezen szervezetekre vonatkozó adatok valószínűleg abban a régióban is vannak. És nagyon rövid idő alatt ez problémát jelenthet.

Május 25-én, pénteken hatályba lép az Európai Unió (EU) általános adatvédelmi rendelete (GDPR). Ezen a ponton az Ön vállalkozása az EU előírásainak hatálya alá tartozik, amelyek a polgárok személyes adatainak védelmére vonatkozó új követelményeket tartalmaznak. Még akkor is, ha nem Európában található, vállalkozására továbbra is vonatkoznak ezek a szabályok, ha az EU lakosainak személyes adatait birtokolja. A probléma az, hogy ha úgy gondolja, hogy ezen adatok visszahúzása az Egyesült Államok vállalati helyére jobb védelmet nyújt, akkor valószínűleg nem engedélyezik az adatok tárolását az Egyesült Államokban.

Ennél is fontosabb, hogy eltekintve a GDPR-től, vannak más rendeletek a határokon átnyúló adatáramlásokról, amelyeket szintén figyelembe kell vennie. Ennek oka az, hogy problematikus lehet az, ha egy uniós polgár (vagy az EU-ban élő személy, aki nem állampolgár) adatainak áthaladása egy másik országon keresztül történik. Ez azt jelenti, hogy nem csupán a hol tartózkodik, hanem tárolás közben is tudnia kell: tudnia kell, hol megy az út közted és bárhol, ahol az ügyfél vagy alkalmazott van.

Nem fogok belemenni a drámai büntetésekbe, amelyek akkor várhatnak rád, ha megsértik a GDPR szabályait, mivel ezeket az oszlopban és a múlt sok más helyén körvonalazták. Tehát mondjuk csak azt, hogy nem akarja, hogy ezeket a szankciókat valaha is rád alkalmazzák.

7 Út a GDPR megfeleléshez

De amíg néhány megelőző lépést megtesz, nem kell aggódnia a szankciók miatt. Van néhány meglehetősen egyszerű dolog, amit megtehetsz a problémák elkerülése érdekében. Íme hét közülük, a legkönnyebb és a legnehezebb sorrendben.

Ne gyűjtsön személyes információkat az EU-n kívüli emberektől. Ha az Ön weboldala képes arra, hogy valaki kitöltse a személyes adatait (például nevét és címét) a weboldalán történő regisztráció során, akkor vagy ne fogadja el az EU-ból származó regisztrációkat, vagy egyáltalán ne fogadja el azokat.

Ha el kell fogadnia a személyes adatokat az EU-n kívüli emberektől (talán azért, mert van egy e-kereskedelemmel foglalkozó weboldala, amely ott dolgokat árusít), akkor tárolja az adatokat az EU határain belül található felhőkiszolgálón. Gyakran ez egyszerűen egy infrastruktúra-szolgáltatásként (IaaS) kiszolgálófürt konfigurálásának kérdése, a jelenlegi felhő-szolgáltató európai weboldalán keresztül. Alternatív megoldásként, ha finanszíroz egy rövid elkötelezettséget a legtöbb felhő-szolgáltató professzionális szolgáltatási fegyverével, láthatja őket, hogy vigyázzanak erre a feladatra az Ön számára. Nemcsak hogy, de ha elég szerencsés kapcsolatba lépni az európai székhelyű tanácsadókkal, akkor valószínűleg megkapja a hitelesített tesztelést és a megfelelő dokumentációt is.

Noha időnként az adatokat az Egyesült Államokba vagy néhány másik európai országba áthelyezheti, vannak korlátok. Az Egyesült Államokban az adatvédelmi pajzson alapulnak, amely az Egyesült Államok, az EU és Svájc között létrejött megállapodás, amely meghatározza az Egyesült Államok és ezen országok közötti adatfolyam védelmének követelményeit. Valószínűleg jó ötlet, ha szervezete igazolja, hogy megfelel a GDPR adatvédelmi követelményeinek, de az EU jogszabályai szerint az adatok gyűjtése és megőrzése csak az azonnali feladat elvégzéséhez szükséges. Ez azt jelenti, hogy valaki ismeri a GDPR részleteit, nyomon követi a különféle adatáramlásokat. Bár unalmas, ez az egyetlen módja annak, hogy megbizonyosodjunk arról, hogy megfelelünk-e.

Ha feldolgoznia kell az adatokat, akár az EU-ban, akár az Egyesült Államokban, akkor meg kell felelnie a meghatározott követelményeknek, ideértve az adatvédelmi tisztviselőnek (DPO) nevet. Akkor is el kell rendeznie az adatok eltávolítására szolgáló munkafolyamatot, amikor már nincs rá szüksége, és ez különösen bonyolulttá válhat, mivel ennek része annak biztosítása, hogy mindenki személyes adatait eltávolíthatja, aki elfelejtést kér. Őszintén szólva, ez egy újabb ok arra, hogy elgondolkodjunk az EU-n belüli emberekkel kapcsolatos információk tárolásában.

Ha valóban üzleti tevékenységet kell folytatnia az EU-ban, akkor valószínűleg arra gondol, hogy ott lenne-e jelenléte, nem pedig csupán egy felhőalapú fiókkal, amelyet szerver vagy üzleti szintű fájlmegosztó szolgáltatás nyújt Európában. Érdemes lehet egy társaságot megbízni az ügyeinek Európában, vagy nyithat irodát, mivel a GDPR-szakértők és tanácsadók könnyebben alkalmazhatók a tó azon oldalán, nem is beszélve arról, hogy egyszerűen európai üzleti tevékenységet folytatnak a GDPR utáni időszakban. a világ eredendően könnyebb lesz Európában, mint bárhol máshol.

Ha irodát nyit, akkor Európában a munkavállalóknak is a GDPR szabályainak megfelelően kell kezelniük információkat. Noha az Egyesült Államokban munkavállalói nyilvántartást vezethet, akkor a szabályokat be kell tartania, ideértve azt is, hogy ne tároljon olyan információt, amely a munkavállaló számára szigorúan nem szükséges a munkájához. A személyes adatok tárolásához engedélyt kell kérnie a munkavállalótól (talán így fizethet), de az adatvédelmi tisztviselőnek ki kell értékelnie az összes tárolt adatot, hogy megbizonyosodjon arról, hogy valami szükséges. Például, csak akkor kérheti meg fényképüket, ha van indok, és akkor nagyon konkrét indokolást kell adnia arra vonatkozóan, hogy miként használják. És lehetővé kell tenni a munkavállaló számára, hogy visszavonás nélkül járjon el.

Most a bonyolult résznél: Az informatikai osztálynak képesnek kell lennie arra, hogy meghatározza, hol található a védett adat, hol megy, amikor használja, hol tárolja, és hogyan védi. Nem elég azt mondani, hogy az Írország felhő-kiszolgálón van; az embereknek tudniuk kell, hogyan jut el ehhez a szerverhez, mi történik vele, amikor használják, és hogyan védik - részletesen. A legjobb megoldás az, ha szakértőket bocsát fel, akik ezt megteszik az Ön számára, legalábbis az kezdeti leképezéseknél és a menedzsment eszközök kiválasztásánál, amelyek fenntartják ezt az információt. Végül adatvédelmi tisztviselőre és támogató személyzetre lesz szükség, de rövid távon a legtöbb vállalkozásnak jó lenne, ha legalább tanácsadó tanácsadót igényel, aki ellenőrizhető szakértelemmel rendelkezik.

Az ügyvezetők számára

Természetesen, hogy ne tegyünk rá túl finom pontot, de ezt már meg kellett volna tennie. Mégis, a napi üzleti realitások olyanok, amilyenek vannak, valószínű, hogy sokan ezt nem olvasták. Tehát most, hogy a dátum alapvetően rajtad áll, kezdje legalább azzal, hogy tudja, hol vannak az adatok. És ha nem ott van, ahol állnia kellene, akkor olvassa el a fenti 1. pontot, amíg kitalálja.

Mialatt ezt csinálod, jó ötlet elküldeni egy hozzájárulási űrlapot, mielőtt bárki hozzáférhet webhelye azon részéhez, amely személyes információkat kér. Sagara Gunathunge, az Apache Web Services projekt alelnöke és a WSO2 igazgatója különféle célokra kínál szabadon hozzáférhető példákat a hozzájárulási nyomtatványokról. De ne feledje, hogy nyomon kell követnie, ki tölti ki ezeket az űrlapokat, hogy közvetlen linket jelenítsen meg az összegyűjtött információkkal és az EU-ban vagy másutt tárolt információkkal. Ügyeljen arra, hogy világosan megfogalmazza, pontos legyen, és mondja el pontosan, mi történik a gyűjtött információkkal. Igen, fáj a nyaka. De a másik választás az 1. lehetőség.