Turinys:
Video: Medical Law - GDPR & Data Protection Act 2018 (Lapkritis 2024)
Daugeliui kompanijų, ypač mažoms ir vidutinio dydžio įmonėms, gali būti paslaptis, kokia yra jų duomenų buvimo vieta. Tarkime, kad dirbate debesų serverių klasteryje, esančiame Šiaurės Virdžinijos regione, priklausančiame „Amazon Web Services“ (AWS). Tai reiškia, kad jūsų duomenys yra Šiaurės Virdžinijoje, tiesa? Na, taip, tikriausiai. Bet tarkime, kad jūs užsiimate verslu su įmonėmis ar asmenimis Europoje. Tada tikriausiai duomenų apie tuos subjektus taip pat yra tame regione. Ir tai gali sukelti problemų per labai trumpą laiką.
Dar svarbiau yra tai, kad be GDPR, yra ir kitų reglamentų dėl tarpvalstybinių duomenų srautų, į kuriuos taip pat turite atsižvelgti. Taip yra todėl, kad ES piliečio (ar asmens, gyvenančio ES, kuris nėra pilietis) duomenys pakeliui per kitą šalį gali būti problemiški. Tai reiškia, kad saugodami turite žinoti ne tik tai, kur yra: turite žinoti, kur tai vyksta tarp jūsų ir visur, kur yra jūsų klientas ar darbuotojas.
Aš nesigilinsiu į drakoniškas bausmes, kurios jūsų gali laukti, jei pažeisite GDPR taisykles, nes jos buvo išdėstytos šiame stulpelyje ir daugelyje kitų vietų praeityje. Taigi, sakykim, jūs nenorite, kad šios nuobaudos jums kada nors būtų taikomos.
7 keliai į GDPR atitiktį
Tačiau tol, kol atliksite kai kuriuos prevencinius veiksmus, neturėtumėte jaudintis dėl jokių nuobaudų. Yra keletas gana lengvų dalykų, kuriuos galite padaryti, kad išvengtumėte problemų. Čia yra septyni iš jų, pagal kuriuos lengviausia ir sunkiausia.
Nekurkite asmeninės informacijos iš ES žmonių. Jei jūsų svetainė gali ką nors užpildyti asmenine informacija (pavyzdžiui, savo vardu ir adresu) registruodamasi jūsų svetainėje, tada arba nepriimkite registracijos iš ES, arba visai jos nepriimkite.
Jei turite priimti asmeninę informaciją iš ES žmonių (galbūt todėl, kad turite elektroninės komercijos svetainę, kurioje ten prekiaujama daiktais), tada laikykite duomenis debesies serveryje, esančiame ES sienose. Dažnai reikia paprasčiausiai sukonfigūruoti „Infrastructure-as-a-service“ (IaaS) serverio klasterį, naudojant jūsų dabartinę debesijos teikėjo Europos svetainę. Jei taip pat finansuosite trumpą uždarbį su daugumos debesijos paslaugų teikėjų profesionalių paslaugų teikėjais, jie turės pasirūpinti šia užduotimi jums. Ne tik tai, bet jei jums pasisekė užmegzti ryšį su jų Europoje įsikūrusiais konsultantais, tikriausiai taip pat gausite sertifikuotus bandymus ir tinkamą dokumentaciją.
Nors kartais galite perkelti duomenis į JAV ar vieną iš nedaugelio kitų Europos šalių, yra tam tikrų apribojimų. JAV jie grindžiami „Privacy Shield“, kuris yra JAV, ES ir Šveicarijos susitarimas, kuriame nurodomi duomenų srautų tarp JAV ir tų šalių apsaugos reikalavimai. Tikriausiai jūsų organizacijai verta patvirtinti, kad ji atitinka GDPR duomenų apsaugos reikalavimus, tačiau ES įstatymai yra tokie, kad duomenų rinkimas ir saugojimas ribojamas tik tuo, kas reikalinga neatidėliotinai užduočiai atlikti. Tai reiškia, kad kažkas, žinantis apie GDPR, seka įvairius jūsų duomenų srautus. Nors nuobodus, tai yra vienintelis būdas įsitikinti, kad laikotės taisyklių.
Jei turite tvarkyti duomenis, nesvarbu, ar jie yra ES, ar JAV, turite atitikti specialius reikalavimus, įskaitant ir tai, kad turite ką nors pavadintą duomenų apsaugos pareigūnu (DAP). Taip pat turėsite pasirūpinti darbo eiga, skirta pašalinti duomenis, kai jų nebereikia, ir tai gali tapti ypač sudėtinga, nes iš dalies tai yra įsitikinimas, kad galite pašalinti asmeninę informaciją visiems, kurie prašo būti pamiršti. Jei atvirai, tai dar viena priežastis du kartus pagalvoti apie informacijos apie žmones iš ES saugojimą.
Jei tikrai turite užsiimti verslu ES, turbūt turėtumėte galvoti apie buvimą ten, o ne tik apie debesies sąskaitą serveryje ar verslo lygio failų dalijimosi paslaugą Europoje. Galbūt norėsite pasamdyti įmonę, kuri tvarkytų jūsų reikalus Europoje, arba galite atidaryti biurą, nes GDPR ekspertams ir konsultantams bus lengviau toje tvenkinio pusėje, jau nekalbant apie tai, kad paprasčiausiai užsiimkite europietišku verslu po GDPR pasaulyje iš esmės bus lengviau nei bet kur kitur.
Jei atidarote biurą, tada jūsų darbuotojai Europoje taip pat turi tvarkyti savo informaciją pagal GDPR taisykles. Nors darbuotojų įrašai gali būti saugomi JAV, turėsite laikytis taisyklių, taip pat neturėti jokios informacijos, kuri nėra griežtai būtina darbuotojui atlikti savo darbą. Taip pat turėsite gauti darbuotojo leidimą saugoti asmeninę informaciją (galbūt todėl jis gali gauti atlyginimą), tačiau jūsų DAP turės įvertinti visus saugomus duomenis, kad įsitikintumėte, jog tai yra kažkas, ko jums reikia. Pvz., Negalite paprašyti jų nuotraukos, jei nėra priežasties, tada turite pateikti labai konkretų pagrindimą, kodėl ji bus naudojama. Ir darbuotojui turi būti leista atsisakyti bet kokio atgarsio.
Dabar sudėtinga dalis: IT skyrius turi sugebėti nustatyti, kur saugomi duomenys yra visada, kur jie eina, kai juos naudojate, kur jie saugomi ir kaip jie yra apsaugoti. Neužtenka vien pasakyti, kad jis yra jūsų debesies serveryje Airijoje; jūsų žmonės turės žinoti, kaip jis patenka į tą serverį, kas nutinka su juo naudojant ir kaip jis yra apsaugotas - išsamiai. Geriausia yra pasamdyti ekspertus, kurie tai padarytų už jus, bent jau pradinius žemėlapius ir valdymo priemonių, kurios palaikys šią informaciją, pasirinkimą. Galiausiai prireiks DAP ir pagalbinio personalo, tačiau per trumpą laiką daugumai verslininkų būtų naudinga bent pasamdyti konsultantą, kuris turi patikrintinų žinių.
Prokrastinatoriams
Žinoma, nedėkite per smulkaus taško, tačiau visa tai jau turėjote padaryti. Vis dėlto, atsižvelgiant į kasdienio verslo realybę, kokia ji yra, yra tikimybė, kad daugelis iš jūsų tai skaitys. Taigi, kai data iš esmės priklauso nuo jūsų, pradėkite bent jau žinodami, kur yra jūsų duomenys. Ir jei ne ten, kur turėtų būti, tada žr. 1 punktą aukščiau, kol išsiaiškinsite.
Kol tai darote, pravartu paskelbti sutikimo formą, kad kas nors galėtų pasiekti jūsų svetainės dalį, kurioje prašoma pateikti asmeninę informaciją. Sagara Gunathunge, „Apache Web Services“ projekto viceprezidentė ir WSO2 direktorė, siūlo keletą laisvai prieinamų sutikimo formų pavyzdžių įvairiais tikslais. Tačiau atminkite, kad turite sekti, kas užpildo šias formas, kad galėtumėte parodyti tiesioginį ryšį su surinkta informacija ir ar ji saugoma ES ar kitur. Įsitikinkite, kad jis aiškiai suformuluotas, tikslus ir tiksliai pasakykite, kas vyksta su jūsų renkama informacija. Taip, tai yra kaklo skausmas. Bet kitas pasirinkimas yra 1 variantas.
