Innholdsfortegnelse:
Video: Virtual Session: GDPR without the Hype (Oktober 2024)
Nå har du helt sikkert hørt om GDPR, som er EUs generelle databeskyttelsesforordning. GDPR ble vedtatt for å beskytte personopplysningene til europeiske brukere mot uautorisert avsløring og misbruk. Som sådan legger GDPR veldig strenge grenser for hvor dataene fra EU-borgere kan lagres, hvordan de kan brukes, hvor lenge de kan oppbevares og hvordan de er beskyttet.
Hva dette betyr er, kan det hende du er bedre å glemme europeisk virksomhet en stund, med mindre du er sikker på at du kan overholde reglene. EU har et utmerket nettsted som forklarer prosessen. Hvis du planlegger å gjøre forretninger i Europa, må du og IT-folkene lese dette nettstedet.
Men hvis du er et stort selskap som allerede driver virksomhet i EU, er sjansen stor for at du allerede er godt klar over kravene, og at du sannsynligvis er godt på vei til å kunne overholde reglene.
Men antar at du ikke er en av disse organisasjonene? Vel, sjansen er stor for at GDPR fortsatt påvirker deg. Du må sette deg ned og se på situasjonen din for å være sikker. Her er en rask titt på de viktigste tingene du må vurdere.
Drift og databeskyttelse
Først, se på operasjonene dine. Målretter du noen form for markedsføringsinnsats, uansett hvor liten, mot EU-borgere? Dette kan være så enkelt som å ha en versjon av nettstedet ditt på et europeisk språk eller muligheten til å akseptere betaling i europeiske valutaer. Eller samler du inn personopplysninger av noe slag til noe formål, selv om det ikke er for en økonomisk transaksjon?
Dette betyr ikke at du er rettet mot europeere hvis de finner ditt amerikanske nettsted og kjøper noe som selges i amerikanske dollar. Men selv da, må du være forsiktig med hva du gjør med dataene, og hvor lenge du oppbevarer dem. Men hvis du regner med å selge til europeiske kjøpere med jevne mellomrom, kan det være en god ide å finne et europeisk selskap som betjener kontoene dine der.
I mellomtiden, hvis du tror at det er noen sjanse for at du kan ende opp med EU-borgere, ville det være en god idé å forsikre deg om at du følger reglene for databeskyttelse og avsløring.
Regler for databeskyttelse innebærer at du må beskytte dataene fra EU-borgere mot tap, tyveri eller avsløring. Du må også kvitte seg med dataene så snart du kan. Og hvis noen data fra EU-borgere blir brutt, har du 72 timer etter at de er oppdaget til å rapportere dem til europeiske myndigheter.
Du må også oppgi hvordan du planlegger å bruke dataene og hvor lenge du planlegger å oppbevare dem. Avsløringene må være tydelig og enkelt oppgitt, og EU-borgeren trenger å være i stand til å bli enige eller ikke enige. Og det er noen ting å huske på avsløringen: Du kan ikke ha boksene forhåndssjekket som standard, og du kan ikke bruke de tette, uendelige, lovlige "Vilkår og betingelsene" -dokumentene som din avsløring.
En EU-borger kan velge å ikke gå med på avsløringen din, og det må være en måte for dem å si "nei". Hvis informasjonen du ber om er nødvendig for å gi varen eller tjenesten (for eksempel et kredittkortnummer eller forsendelsesadresse), trenger du ikke å selge produktet.
Merk at reglene gjelder begge parter på slutten av transaksjonen, noe som betyr at du og kredittkortselskapet. Hvis du planlegger å selge ting til europeere, bør du bekrefte at kredittkortprosessoren din vil følge GDPR-reglene for EU-kunder.
Retten til å bli glemt
Og selvfølgelig er det den berømte "retten til å bli glemt." Du må kunne slette navn og personlig informasjon til enhver EU-borger på forespørsel. Dette betyr hvor som helst, inkludert sikkerhetskopier, der informasjonen kan oppstå. Dette vil kreve at du blir klar over hvor dataene dine er og hva som er i dem, noe du sannsynligvis ikke kan gjøre nå.
Det er grenser for retten til å bli glemt. Hvis du for eksempel har behov for å oppbevare noen data, for eksempel å oppfylle noen krav til helseforsikringens portabilitet og ansvarlighet (HIPAA) eller SEC (Securities and Exchange Commission), må du oppfylle de juridiske kravene. Men utover det må du kunne slette slike personopplysninger på forespørsel.
Hvis alt dette ser ut som en smerte i nakken, kan du ha rett. Eller du kan se på EUs krav til GDPR som en mulighet til å effektivisere sikkerhetsoperasjonene i sin helhet. Hvis du for eksempel lagrer og administrerer alle dataene dine på en måte som oppfyller kravene til GDPR, vil du ha en mye sikrere operasjon.
På samme måte, hvis du dumper de langvarige, umulige å lese "Vilkår og betingelsene" -dokumentene og erstatter dem med klare intensjonserklæringer og ber om enighet, vil kundene dine sette pris på det. Hvis du slutter å lagre data du faktisk ikke trenger, men som er pålagt å beskytte, blir livet ditt forenklet og risikoen for et brudd reduseres siden hackere ikke kan stjele det som ikke er der.
Realistisk kodifiserer GDPR hva som virkelig er god praksis for hvordan organisasjonen din håndterer andres data. Å finne en måte å overholde disse reglene vil hjelpe organisasjonen generelt.
