Innholdsfortegnelse:
Video: GDPR explained: How the new data protection act could change your life (Oktober 2024)
For mange selskaper, spesielt for mange små og mellomstore bedrifter (SMB), kan den faktiske plasseringen av dataene være et mysterium. La oss for eksempel si at du kjører på en skybasert serverklynge lokalisert i Northern Virginia-regionen som tilhører Amazon Web Services (AWS). Det betyr at dataene dine er i Nord-Virginia, ikke sant? Jo, ja, sannsynligvis. Men la oss si at du gjør forretninger med selskaper eller enkeltpersoner i Europa. Da er sannsynligvis dataene om disse enhetene også i den regionen. Og på veldig kort tid kan det være et problem.
Enda viktigere er det at GDPR til side, det er andre forskrifter om grenseoverskridende datastrømmer som du også må vurdere. Dette er fordi det kan være problematisk å ha data fra en EU-borger (eller noen som bor i EU som ikke er statsborger) gjennom et annet land. Dette betyr at du trenger å vite mer enn bare hvor det er når du lagrer det: du trenger å vite hvor det går på vei mellom deg og uansett hvor kunden din eller den ansatte skjer.
Jeg har ikke tenkt å gå inn på de drakoniske straffene som kan vente deg hvis du bryter reglene for GDPR fordi de er skissert i denne spalten og mange andre steder tidligere. Så la oss si det slik: du vil ikke at disse straffene noen gang skal brukes på deg.
7 Veier til GDPR-samsvar
Men så lenge du tar noen forebyggende skritt, bør du ikke måtte bekymre deg for noen straff. Det er noen ganske enkle ting du kan gjøre for å unngå problemer. Her er syv av dem, i rekkefølge av det enkleste til det vanskeligste å gjøre.
Ikke samle inn personlig informasjon fra folk i EU. Hvis nettstedet ditt har muligheten for at noen kan fylle ut personlig informasjon (deres navn og adresse, for eksempel) i prosessen med å registrere seg på nettstedet ditt, kan du enten ikke godta registreringer fra EU eller ikke godta dem i det hele tatt.
Hvis du må godta personlig informasjon fra folk i EU (kanskje fordi du har et nettsted for e-handel som selger ting der), må du lagre dataene på en skyserver innenfor EUs grenser. Ofte dreier det seg bare om å konfigurere en IaaS-serverklynge (Infrastructure-as-a-Service) ved å bruke den nåværende skyleverandørens europeiske webside. Alternativt vil du finansiere et kort engasjement med de fleste skyleverandørers profesjonelle tjenestearmer at de tar seg av denne oppgaven for deg. Ikke bare det, men hvis du er heldig nok til å samarbeide med deres Europa-baserte konsulenter, vil du sannsynligvis også få sertifisert testing og riktig dokumentasjon.
Selv om det er tider du kan flytte data til USA eller et av noen få andre land i Europa, er det grenser. I USA er de basert på Privacy Shield, som er en avtale mellom USA, EU og Sveits som spesifiserer beskyttelseskrav for data som flyter mellom USA og disse landene. Det er sannsynligvis en god idé for din organisasjon å bekrefte at den oppfyller GDPRs krav til databeskyttelse, men EU-lovgivningen er slik at innsamling og oppbevaring av data er begrenset til bare det som kreves for å utføre den umiddelbare oppgaven. Det betyr at noen som har kunnskap om GDPR-detaljer sporer dine forskjellige datastrømmer. Selv om det er kjedelig, er dette den eneste måten å være sikker på at du overholder.
Hvis du må behandle data, enten det er i EU eller i USA, må du oppfylle spesifikke krav, inkludert å ha noen som er navngitt som Data Protection Officer (DPO). Du må også ordne en arbeidsflyt dedikert til å fjerne data når det ikke lenger er nødvendig, og dette kan bli spesielt komplisert fordi en del av dette er å sørge for at du kan fjerne den personlige informasjonen til alle som ber om å bli glemt. Helt ærlig er det en annen grunn til å tenke to ganger på å lagre informasjon om mennesker fra EU.
Hvis du virkelig trenger å gjøre forretninger i EU, bør du sannsynligvis tenke på å ha en tilstedeværelse der i stedet for bare en skykonto med en server eller fildelingstjeneste i næringslivet i Europa. Det kan være lurt å engasjere et selskap for å håndtere dine saker i Europa, eller det kan være lurt å åpne et kontor, siden det vil være lettere å bemanne GDPR-eksperter og konsulenter på den siden av dammen, for ikke å nevne at det bare er å gjøre europeisk virksomhet i en post-GDPR verden vil iboende være enklere i Europa enn andre steder.
Hvis du åpner et kontor, må også dine ansatte i Europa få informasjonen håndtert i henhold til GDPR-regler. Selv om du kan ha medarbeidersamtaler i USA, må du følge reglene, inkludert ikke å ha informasjon som ikke er strengt nødvendig for at en ansatt kan gjøre jobben sin. Du må også få tillatelse fra den ansatte til å lagre personlig informasjon (kanskje slik at han eller hun kan få betalt), men DPO-en din må evaluere all data som er lagret for å være sikker på at det er noe som kreves. For eksempel kan du ikke be om fotografiet deres med mindre det er en grunn, og da må du gi en veldig spesifikk begrunnelse for hvordan det skal brukes. Og den ansatte må få lov til å avslå uten konsekvenser.
Nå for den kompliserte delen: IT-avdelingen må være i stand til å bestemme hvor de beskyttede dataene til enhver tid er plassert, hvor de går mens du bruker dem, hvor de er lagret og hvordan de er beskyttet. Bare å si at det er på skyserveren din i Irland er ikke nok; folkene dine må vite hvordan det kommer til den serveren, hva som skjer med den når den brukes og hvordan den er beskyttet - i detalj. Det beste alternativet er å ansette eksperter for å gjøre dette for deg, i det minste de første kartlegginger og utvalg av administrasjonsverktøy som vil opprettholde den informasjonen. Det vil til slutt kreves en DPO og støttepersonell, men på kort sikt vil de fleste virksomheter gjøre det bra å i det minste engasjere en konsulent som har etterprøvbar kompetanse.
For Procrastinators
Selvfølgelig for ikke å sette et for fint poeng, men du burde ha gjort alt dette allerede. Likevel, realitetene i den daglige virksomheten er hva de er, er sjansen stor for at mange av dere som leser dette ikke har gjort det. Så nå som datoen i utgangspunktet er over deg, kan du i det minste starte med å vite hvor dataene dine er. Og hvis det ikke er der det skal være, se punkt 1 ovenfor før du har funnet ut av det.
Mens du gjør dette, er det lurt å legge ut et samtykkeskjema før noen kan få tilgang til den delen av nettstedet ditt som ber om personlig informasjon. Sagara Gunathunge, visepresident for Apache Web Services-prosjektet og direktør i WSO2, tilbyr noen fritt tilgjengelige eksempler på samtykkeskjemaer til en rekke formål. Men husk at du må følge med på hvem som fyller ut disse skjemaene, slik at du kan vise en direkte lenke til informasjonen du har samlet og om den er lagret i EU eller andre steder. Sørg for å gjøre det tydelig formulert, presist og si nøyaktig hva som skjer med informasjonen du samler inn. Ja, det er vondt i nakken. Men det andre valget er alternativ 1.
