Gdpr 1 день: вы знаете, где ваши данные?

Для многих компаний, особенно для малого и среднего бизнеса, фактическое расположение их данных может быть загадкой. Скажем, например, что вы работаете в облачном кластере серверов, расположенном в регионе Северная Вирджиния, который принадлежит Amazon Web Services (AWS). Это означает, что ваши данные в Северной Вирджинии, верно? Ну да, наверное. Но допустим, что вы ведете бизнес с компаниями или частными лицами в Европе. Тогда данные об этих субъектах, вероятно, также находятся в этом регионе. И в очень короткие сроки это может стать проблемой.

В пятницу, 25 мая, вступает в силу Общее положение о защите данных (GDPR) Европейского Союза (ЕС). В этот момент ваша компания подпадает под действие правил ЕС, касающихся новых требований по защите личных данных граждан. Даже если вы не находитесь в Европе, ваша компания по-прежнему подчиняется этим правилам, если вы храните какие-либо личные данные о резидентах ЕС. Проблема в том, что даже если вы думаете, что передача этих данных обратно в ваше корпоративное местоположение в США обеспечит их более надежную защиту, вам, возможно, не разрешат хранить эти данные в Соединенных Штатах.

Что еще более важно, помимо GDPR, существуют и другие правила о трансграничных потоках данных, которые также необходимо учитывать. Это связано с тем, что получение данных гражданина ЕС (или гражданина ЕС, не являющегося гражданином), проходящего через другую страну по пути, может быть проблематичным. Это означает, что вам нужно знать больше, чем просто, где он находится, когда вы храните его: вам нужно знать, где он находится между вами и где бы ни находился ваш клиент или сотрудник.

Я не собираюсь вдаваться в суровые штрафы, которые могут вас ожидать, если вы нарушите правила GDPR, потому что они были описаны в этой колонке и во многих других местах в прошлом. Итак, скажем так, вы не хотите, чтобы эти штрафы когда-либо применялись к вам.

7 путей к соблюдению GDPR

Но пока вы предпринимаете какие-либо превентивные меры, вам не нужно беспокоиться о каких-либо штрафах. Есть несколько довольно простых вещей, которые вы можете сделать, чтобы избежать проблем. Вот семь из них, от простого к сложному.

Не собирайте личную информацию от людей в ЕС. Если на вашем сайте кто-то может заполнить личную информацию (например, свое имя и адрес) в процессе регистрации на вашем сайте, то вы либо не принимаете регистрации в ЕС, либо не принимаете их вообще.

Если вы должны принимать личную информацию от людей в ЕС (возможно, из-за того, что у вас есть веб-сайт электронной коммерции, который там продает вещи), храните данные на облачном сервере, расположенном внутри границ ЕС. Зачастую это просто вопрос настройки кластера серверов IaaS (Infrastructure-as-a-Service) с использованием европейского веб-сайта вашего текущего поставщика облачных услуг. В качестве альтернативы, если вы будете финансировать короткое взаимодействие с профессиональными службами большинства поставщиков облачных услуг, вы увидите, что они позаботятся об этой задаче для вас. И не только это, но если вам посчастливится пообщаться с их европейскими консультантами, то вы, вероятно, получите сертифицированное тестирование и соответствующую документацию.

Хотя бывают случаи, когда вы можете перемещать данные в США или одну из нескольких других стран Европы, существуют ограничения. В США они основаны на Privacy Shield, который является соглашением между США, ЕС и Швейцарией, в котором определены требования к защите данных, передаваемых между США и этими странами. Вероятно, хорошей идеей для вашей организации является подтверждение того, что она соответствует требованиям защиты данных GDPR, но законодательство ЕС таково, что сбор и хранение данных ограничиваются только тем, что требуется для выполнения немедленной задачи. Это означает, что кто-то, знакомый с деталями GDPR, отслеживает различные потоки данных. Хотя это утомительно, это единственный способ убедиться, что вы соблюдаете правила.

Если вам необходимо обрабатывать данные, будь то в ЕС или в США, вы должны соответствовать определенным требованиям, в том числе назначить сотрудника по защите данных (DPO). Вам также нужно будет организовать рабочий процесс, предназначенный для удаления данных, когда они больше не нужны, и это может стать особенно сложным, потому что часть этого заключается в том, что вы можете удалить личную информацию любого, кто просит забыть. Честно говоря, это еще одна причина дважды подумать о хранении информации о людях из ЕС.

Если вам действительно нужно вести бизнес в ЕС, то вам, вероятно, следует подумать о том, чтобы присутствовать там, а не просто облачной учетной записи с сервером или файлообменной службой бизнес-класса в Европе. Возможно, вы захотите нанять компанию для управления вашими делами в Европе, или вы можете открыть офис, так как на этой стороне пруда будет легче укомплектовать экспертов и консультантов по ВВПР, не говоря уже о том, что просто заниматься европейским бизнесом в период после ВВПР Мир будет проще в Европе, чем где-либо еще.

Если вы открываете офис, то ваши сотрудники в Европе также должны обрабатывать свою информацию в соответствии с правилами GDPR. Несмотря на то, что вы можете хранить записи о сотрудниках в США, вам необходимо соблюдать правила, в том числе не хранить информацию, которая не является строго необходимой для того, чтобы сотрудник выполнял свою работу. Вам также необходимо получить разрешение от сотрудника на хранение личной информации (возможно, чтобы он или она могли получать оплату), но вашему DPO необходимо будет оценить все хранимые данные, чтобы убедиться, что это то, что требуется. Например, вы не можете попросить их фотографию, если на то нет причины, и тогда вам нужно дать очень конкретное обоснование того, как она будет использоваться. И работнику должно быть позволено отказаться без каких-либо последствий.

Теперь о сложной части: ИТ-отдел должен быть в состоянии определить, где всегда находятся защищенные данные, куда они идут, когда вы их используете, где они хранятся и как они защищены. Просто сказать, что на вашем облачном сервере в Ирландии недостаточно; Ваши люди должны будут знать, как он попадает на этот сервер, что происходит с ним, когда он используется, и как он защищен - подробно. Лучше всего нанять экспертов, которые сделают это для вас, по крайней мере, для первоначальных сопоставлений и выбора инструментов управления, которые будут поддерживать эту информацию. В конечном итоге потребуется DPO и вспомогательный персонал, но в краткосрочной перспективе большинству предприятий будет полезно по крайней мере нанять консультанта, обладающего проверяемым опытом.

Для прокрастинаторов

Конечно, не стоит слишком подчеркивать это, но вы уже должны были все это сделать. Тем не менее, реалии повседневного бизнеса являются тем, чем они являются, есть вероятность, что многие из вас, читающие это, не имеют. Итак, теперь, когда дата в основном на вас, начните, по крайней мере, зная, где ваши данные. И если это не то, что должно быть, то смотрите пункт № 1 выше, пока вы не выясните это.

Пока вы делаете это, рекомендуется опубликовать форму согласия, прежде чем кто-либо сможет получить доступ к той части вашего веб-сайта, которая запрашивает личную информацию. Сагара Ганатхунг, вице-президент проекта Apache Web Services и директор WSO2, предлагает несколько свободно доступных примеров форм согласия для различных целей. Но помните, что вы должны следить за тем, кто заполняет эти формы, чтобы вы могли показать прямую ссылку на информацию, которую вы собрали и хранится ли она в ЕС или где-либо еще. Обязательно сделайте это четко сформулированным, точным и точно укажите, что происходит с информацией, которую вы собираете. Да, это боль в шее. Но другой выбор - вариант 1.