Gdpr on yhden päivän päässä: tiedätkö missä tietosi ovat?

Monille yrityksille, etenkin monille pienille ja keskisuurille yrityksille, niiden tietojen todellinen sijainti voi olla mysteeri. Oletetaan esimerkiksi, että käytät pilvipohjaisella palvelinklusterilla, joka sijaitsee Pohjois-Virginiassa ja kuuluu Amazon Web Services (AWS) -yritykseen. Se tarkoittaa, että tietosi ovat Pohjois-Virginiassa, eikö niin? No, kyllä, luultavasti. Mutta sanotaan, että teet liiketoimintaa yritysten tai yksityishenkilöiden kanssa Euroopassa. Sitten kyseisten entiteettien tiedot ovat todennäköisesti myös kyseisellä alueella. Ja se voi olla ongelma hyvin lyhyessä ajassa.

Perjantaina 25. toukokuuta Euroopan unionin (EU) yleinen tietosuoja-asetus (GDPR) tulee voimaan. Siinä vaiheessa yrityksesi kuuluu EU: n asettamien säännösten soveltamisalaan, joka kattaa uudet vaatimukset kansalaisten henkilötietojen suojaamiseksi. Vaikka et sijaitse Euroopassa, yritykseesi sovelletaan edelleen näitä säännöksiä, jos sinulla on henkilökohtaisia ​​tietoja EU: n asukkaista. Ongelma on, vaikka luulet, että näiden tietojen vetäminen takaisin Yhdysvaltoihin sijaitsevaan yrityksen sijaintipaikkaan suojaa niitä paremmin, et ehkä voi tallentaa tietoja Yhdysvaltoihin.

Vielä tärkeämpää on, että GDPR syrjäytyy. Rajatylittäviä tietovirtoja koskevia muita säännöksiä on myös otettava huomioon. Tämä johtuu siitä, että EU: n kansalaisen (tai jonkin EU: ssa asuvan henkilön, joka ei ole kansalainen) tietojen kuljettaminen toisen maan kautta voi olla ongelmallista. Tämä tarkoittaa, että sinun on tiedettävä enemmän kuin vain missä olet, kun säilytät sitä: sinun on tiedettävä, mihin se kulkee matkalla sinun ja asiakkaasi tai työntekijän välillä.

En aio tutkia niitä dramaattisia seuraamuksia, jotka saattavat odottaa sinua, jos rikot GDPR-sääntöjä, koska ne on kuvattu tässä sarakkeessa ja monissa muissa paikoissa aiemmin. Joten sanotaan vain, et halua, että näitä rangaistuksia koskaan sovellettaisiin sinuun.

7 Polut GDPR-vaatimustenmukaisuuteen

Mutta niin kauan kuin suoritat ehkäiseviä toimia, sinun ei tarvitse huolehtia rangaistuksista. Voit tehdä joitain melko helppoja asioita ongelmien välttämiseksi. Niitä on seitsemän, helpoimmasta vaikeimpaan tehtävässä järjestyksessä.

Älä kerää henkilökohtaisia ​​tietoja EU: n ihmisiltä. Jos verkkosivustollasi on jonkun kyky täyttää henkilökohtaisia ​​tietoja (esimerkiksi heidän nimensä ja osoitteensa) verkkosivustollesi rekisteröinnin yhteydessä, niin älä joko hyväksy EU: n rekisteröintejä tai älä hyväksy niitä ollenkaan.

Jos sinun on hyväksyttävä henkilökohtaisia ​​tietoja EU: n ihmisiltä (ehkä siksi, että sinulla on verkkokauppasivusto, joka myy siellä tavaroita), säilytä tiedot EU: n rajojen sisäpuolella sijaitsevassa pilvipalvelimessa. Usein kyse on yksinkertaisesti palvelun (Infrastruktuuri palveluna) -palvelinklusterin määrittämisestä nykyisen pilvipalveluntarjoajan eurooppalaisen verkkosivuston avulla. Vaihtoehtoisesti rahoittamalla lyhyt sitoutuminen useimpien pilvipalvelujen tarjoajien ammatillisten palveluiden aseisiin näkee heidän hoitavan tämän tehtävän puolestasi. Ei vain, mutta jos sinulla on onni olla tekemisissä heidän eurooppalaisten konsulttien kanssa, saat todennäköisesti myös sertifioidut testit ja asianmukaiset asiakirjat.

Vaikka on mahdollista, että siirrät tietoja Yhdysvaltoihin tai johonkin muutamaan muuhun Euroopan maahan, rajoituksia on. Yhdysvalloissa ne perustuvat Privacy Shieldiin, joka on Yhdysvaltojen, EU: n ja Sveitsin välinen sopimus, jossa määritellään suojausvaatimukset Yhdysvaltojen ja kyseisten maiden välillä kulkevalle tiedolle. Organisaatiollesi on todennäköisesti hyvä idea todistaa, että se täyttää GDPR: n tietosuojavaatimukset, mutta EU: n lainsäädäntö on sellainen, että tietojen kerääminen ja säilyttäminen on rajoitettu vain siihen, mikä vaaditaan välittömän tehtävän suorittamiseen. Tämä tarkoittaa, että jonkun, joka tuntee GDPR-yksityiskohdat, seuraat erilaisia ​​tietovirtojasi. Vaikka tylsää, tämä on ainoa tapa olla varma, että noudatat vaatimuksia.

Jos sinun on käsiteltävä tietoja joko EU: ssa vai Yhdysvalloissa, sinun on täytettävä erityisvaatimukset, mukaan lukien henkilö, joka on nimetty tietosuojavastaavaksi. Sinun on myös järjestettävä tietojen poistamiseen tarkoitettu työnkulku, kun sitä ei enää tarvita, ja se voi olla erityisen monimutkainen, koska osa tästä on varmistaa, että pystyt poistamaan kaikkien, jotka pyytävät unohdetta, henkilökohtaiset tiedot. Suoraan sanottuna, se on toinen syy ajatella kahdesti EU: n kansalaisia ​​koskevien tietojen tallentamista.

Jos joudut todella harjoittamaan liiketoimintaa EU: ssa, sinun pitäisi todennäköisesti miettiä, onko siellä läsnäolo eikä pelkästään pilvitili palvelimen tai yritysluokan tiedostonjakopalvelun kanssa Euroopassa. Haluat ehkä houkutella yrityksen hoitamaan asioitasi Euroopassa tai haluat avata toimiston, koska GDPR-asiantuntijoiden ja konsulttihenkilöstön palkkaaminen on helpompaa lammen puolella, puhumattakaan siitä, että yksinkertaisesti harjoitetaan eurooppalaista yritystä GDPR: n jälkeisessä vaiheessa maailma on luonnostaan ​​helpompaa Euroopassa kuin missään muualla.

Jos avaat toimiston, myös työntekijöidesi Euroopassa on käytettävä tietojaan GDPR-sääntöjen mukaisesti. Vaikka työntekijärekisteriä voi pitää Yhdysvalloissa, sinun on noudatettava sääntöjä, mukaan lukien ettei sinulla ole tietoja, jotka eivät ole ehdottomasti välttämättömiä työntekijän tehtäväksi. Sinun on myös saatava työntekijän lupa henkilökohtaisten tietojen tallentamiseen (ehkä niin, että hän voi saada palkkaa), mutta tietosuojavaltuutetun on arvioitava kaikki tallennetut tiedot varmistaaksesi, että sitä tarvitaan. Esimerkiksi, et voi pyytää heidän valokuviaan, ellei siihen ole syytä, ja sinun on siis annettava erityinen perustelu sen käytölle. Ja työntekijän on annettava pudota ilman vaikutuksia.

Nyt monimutkaisesta kohdasta: IT-osaston on kyettävä selvittämään, missä suojattu tieto sijaitsee jatkuvasti, minne se menee, kun käytät sitä, missä sitä tallennetaan ja kuinka sitä suojataan. Vain sanoa, että se on pilvipalvelimellasi Irlannissa, ei riitä; ihmisten on tiedettävä yksityiskohtaisesti, kuinka se pääsee palvelimelle, mitä sillä tapahtuu, kun sitä käytetään, ja kuinka se on suojattu. Paras veto on palkata asiantuntijoita tekemään tämä sinulle, ainakin alustavat kartoitukset ja valinta hallintatyökaluista, jotka ylläpitävät tätä tietoa. Lopulta vaaditaan tietosuojavaltuutettu ja tukihenkilöstö, mutta lyhyellä aikavälillä useimmille yrityksille olisi hyvä ottaa ainakin mukaan konsultti, jolla on todennettavissa oleva asiantuntemus.

Prokrastinaattoreille

Tietenkin, ettet laita siihen liian hienoa huomautusta, mutta kaiken tämän olisi pitänyt tehdä jo. Silti arjen päivittäisen liiketoiminnan todellisuus on sellainen kuin he ovat, todennäköisesti monet teistä lukevat tätä eivät ole. Joten nyt, kun päivämäärä on periaatteessa sinulle, aloita ainakin tietämällä, missä tietosi ovat. Ja jos se ei ole siellä missä sen piti olla, katso kohta numero 1 yllä, kunnes olet tajunnut sen.

Kun teet tätä, on hyvä idea lähettää suostumuslomake, ennen kuin kuka tahansa voi käyttää verkkosivustosi sitä osaa, jossa pyydetään henkilökohtaisia ​​tietoja. Apache Web Services -projektin varajohtaja ja WSO2: n johtaja Sagara Gunathunge tarjoaa vapaasti saatavilla olevia esimerkkejä suostumuslomakkeista moniin tarkoituksiin. Mutta muista, että sinun on seurattava, kuka täyttää nämä lomakkeet, jotta voit näyttää suoran linkin kerättyihin tietoihin ja onko ne tallennettu EU: hun vai muualle. Muista tehdä se selkeästi muotoiltu, täsmällinen ja sanoa tarkalleen, mitä keräämillesi tiedoille tapahtuu. Kyllä, se on niskakipu. Mutta toinen valinta on vaihtoehto 1.