Gdpr - 1 день: чи знаєте ви, де ваші дані?

Для багатьох компаній, особливо для малого середнього бізнесу (SMB), фактичне місцезнаходження їх даних може бути загадкою. Скажімо, наприклад, що ви працюєте на кластерному хмарному сервері, розташованому в регіоні Північна Вірджинія, що належить до веб-служб Amazon (AWS). Це означає, що ваші дані є у Північній Вірджинії, правда? Ну так, певно. Але скажімо, що ви маєте справу з компаніями чи приватними особами в Європі. Тоді дані про ці суб'єкти, ймовірно, є також у тому регіоні. І за дуже короткий час це може бути проблемою.

У п’ятницю, 25 травня, набуває чинності Загальний регламент про захист даних (GDPR) Європейського Союзу (ЄС). З цього моменту ваша компанія підпадає під дію ЄС, що застосовуються до нових вимог щодо захисту персональних даних громадян. Навіть якщо ви не знаходитесь у Європі, ваша компанія все ще застосовується до цих норм, якщо ви зберігаєте будь-які особисті дані про резидентів ЄС. Проблема полягає в тому, що навіть якщо ви думаєте, що повернення цих даних до вашого корпоративного місцезнаходження в США дозволить захистити їх краще, можливо, вам не дозволять зберігати ці дані у Сполучених Штатах.

Що ще важливіше, окрім GDPR, є інші правила щодо транскордонних потоків даних, які також потрібно враховувати. Це тому, що мати дані громадянина ЄС (або того, хто проживає в ЄС, який не є громадянином), проїжджаючи через іншу країну, може бути проблематичним. Це означає, що вам потрібно знати більше, ніж просто, де він знаходиться, коли ви зберігаєте його: вам потрібно знати, куди він йде по дорозі між вами та там, де знаходиться ваш клієнт чи працівник.

Я не збираюся вступати в драконівські покарання, які можуть вас чекати, якщо ви порушите правила GDPR, оскільки вони були викладені в цій колонці та в багатьох інших місцях у минулому. Отже, скажімо, ви не хочете, щоб ці штрафи ніколи застосовувались до вас.

7 шляхів до дотримання GDPR

Але поки ви робите якісь профілактичні заходи, вам не доведеться турбуватися про будь-які штрафи. Є кілька досить легких речей, які ви можете зробити, щоб уникнути проблем. Ось їх сім, для того, щоб найлегше зробити це найважче.

Не збирайте особисту інформацію від людей в ЄС. Якщо на вашому веб-сайті хтось може заповнити особисту інформацію (наприклад, своє ім’я та адресу) під час реєстрації на вашому веб-сайті, то або не приймайте реєстрації з ЄС, або взагалі не приймайте їх.

Якщо ви повинні приймати особисту інформацію від людей в ЄС (можливо, тому, що у вас є веб-сайт електронної комерції, який там продає речі), то зберігайте дані на хмарному сервері, розташованому в межах кордонів ЄС. Часто це просто питання налаштування серверного кластера інфраструктури як послуга (IaaS) за допомогою європейського веб-сайту поточного постачальника хмар. Крім того, фінансування короткого взаємодії з професійними озброєннями більшості хмарних постачальників послуг допоможе вам виконати це завдання. Мало того, але якщо вам пощастить співпрацювати з їхніми європейськими консультантами, то, ймовірно, ви також отримаєте сертифіковане тестування та відповідну документацію.

Хоча є час, коли ви можете перенести дані до США або до однієї з кількох інших країн Європи, є обмеження. У США вони базуються на щиті конфіденційності, що є угодою між США, ЄС та Швейцарією, яка визначає вимоги захисту щодо потоку даних між США та цими країнами. Напевно, вашою організацією є гарна ідея підтвердити, що вона відповідає вимогам захисту даних GDPR, але законодавство ЄС таке, що збирання та зберігання даних обмежується лише тим, що потрібно для виконання негайного завдання. Це означає, що хтось, хто знає деталі GDPR, відстежує різні потоки даних. Незважаючи на виснажливість, це єдиний спосіб бути впевненим, що ви відповідаєте.

Якщо ви маєте обробляти дані, незалежно від того, чи є вони в ЄС чи в США, тоді ви повинні відповідати конкретним вимогам, включаючи того, щоб когось назвали посадовою особою із захисту даних (DPO). Вам також доведеться організувати робочий процес, присвячений видаленню даних, коли вони більше не потрібні, і це може стати особливо складним, оскільки частина цього гарантує, що ви можете видалити особисту інформацію кожного, хто просить бути забутим. Відверто кажучи, це ще одна причина подумати двічі про збереження інформації про людей з ЄС.

Якщо вам справді доводиться вести бізнес в ЄС, вам, мабуть, варто подумати про наявність там, а не просто хмарного облікового запису з сервером або службою обміну файлами бізнес-класу в Європі. Ви можете зайняти компанію, яка займатиметься вашими справами в Європі, або ви можете відкрити офіс, оскільки фахівцям та консультантам GDPR буде простіше на цій стороні ставу, не кажучи вже про те, що просто робити європейський бізнес у пост-GDPR світові буде по суті легше в Європі, ніж де-небудь ще.

Якщо ви відкриєте офіс, то ваші співробітники в Європі також повинні обробляти свою інформацію відповідно до правил GDPR. Незважаючи на те, що ви можете мати записи про співробітників у США, вам потрібно буде дотримуватися правил, у тому числі не мати жодної інформації, яка не є строго необхідною працівникові для виконання своєї роботи. Вам також потрібно буде отримати дозвіл від працівника на зберігання особистої інформації (можливо, щоб він або вона змогли отримати оплату), але ваш DPO повинен буде оцінити всі збережені дані, щоб переконатися, що це щось необхідне. Наприклад, ви не можете попросити їх фотографію, якщо немає причини, і тоді вам доведеться дати дуже конкретне обґрунтування того, як вона буде використовуватися. І працівник повинен дозволити знижуватися без жодних наслідків.

Тепер про складну частину: відділ інформаційних технологій повинен бути в змозі визначити, де захищені дані знаходяться в усі часи, куди вони дістаються під час їх використання, де вони зберігаються та як захищаються. Просто сказати, що його на хмарному сервері в Ірландії недостатньо; ваші люди повинні знати, як він потрапляє на цей сервер, що з ним відбувається під час його використання та як він захищений - докладно. Ваша найкраща ставка - найняти експертів, щоб це зробити для вас, принаймні, початкові відображення та вибір інструментів управління, які підтримуватимуть цю інформацію. Врешті-решт, потрібна буде особа, що займається домовленістю, та обслуговуючий персонал, але в короткостроковій перспективі більшість підприємств зможуть принаймні залучити консультанта, який має перевірений досвід.

Для прокрастинаторів

Звичайно, не ставити на цьому занадто тонку крапку, але ви все це повинні були зробити вже. Проте реальність щоденного бізнесу є такою, якою вони є, ймовірно, багато хто з вас, хто читає це, цього не зробили. Тож тепер, коли дата в основному залежить від вас, почніть, принаймні, знаючи, де ваші дані. І якщо це не там, де це повинно бути, то дивіться пункт № 1 вище, поки ви не з'ясували це.

Поки ви робите це, корисно опублікувати форму згоди, перш ніж хтось може отримати доступ до тієї частини вашого веб-сайту, яка запитує особисту інформацію. Сагара Гунатхунґ, віце-президент проекту Apache Web Services та директор WSO2, пропонує кілька вільно доступних прикладів форм згоди для різних цілей. Але пам’ятайте, що вам слід слідкувати за тим, хто заповнює ці форми, щоб ви могли показати пряме посилання на інформацію, яку ви зібрали, та чи зберігається вона в ЄС чи деінде. Не забудьте зробити це чітко сформульовано, точно та сказати, що саме відбувається з інформацією, яку ви збираєте. Так, це біль у шиї. Але інший вибір - це варіант 1.