Isi kandungan:
Video: GDPR and Data Protection Today (17 languages) (November 2024)
Bagi kebanyakan syarikat, terutamanya untuk perniagaan kecil dan menengah (SMB), lokasi sebenar data mereka mungkin misteri. Sebagai contoh, katakan bahawa anda menjalankan kluster pelayan berasaskan awan yang terletak di rantau Northern Virginia milik Amazon Web Services (AWS). Ini bermakna data anda di Virginia Utara, bukan? Baiklah, ya, mungkin. Tetapi katakanlah bahawa anda menjalankan perniagaan dengan syarikat atau individu di Eropah. Kemudian data mengenai entiti tersebut mungkin juga di rantau itu. Dan dalam masa yang sangat singkat, itu mungkin menjadi masalah.
Lebih penting lagi, GDPR mengetepikan, terdapat peraturan lain mengenai aliran data rentas sempadan yang anda juga perlu pertimbangkan. Ini kerana mempunyai data warga EU (atau orang yang tinggal di EU yang bukan warganegara) melalui negara lain dalam perjalanan mungkin bermasalah. Ini bermakna anda perlu mengetahui lebih daripada sekadar tempat menyimpannya: anda perlu tahu di mana ia berjalan di antara anda dan di mana sahaja pelanggan atau pekerja anda berada.
Saya tidak akan memasuki hukuman denda yang mungkin menanti anda jika anda melanggar peraturan GDPR kerana mereka telah digariskan dalam ruang ini dan di banyak tempat lain pada masa lalu. Oleh itu, katakanlah, anda tidak mahu penalti ini dikenakan kepada anda.
7 Jalan ke Pematuhan GDPR
Tetapi selagi anda mengambil beberapa langkah pencegahan, anda tidak perlu risau tentang sebarang hukuman. Terdapat beberapa perkara yang agak mudah untuk anda lakukan untuk mengelakkan masalah. Berikut adalah tujuh daripada mereka, dalam rangka yang paling mudah untuk dilakukan.
Jangan mengumpul maklumat peribadi daripada orang di EU. Jika laman web anda mempunyai keupayaan untuk seseorang mengisi maklumat peribadi (nama dan alamatnya, contohnya) dalam proses mendaftar di laman web anda, maka sama ada tidak menerima pendaftaran dari EU atau tidak menerimanya sama sekali.
Jika anda mesti menerima maklumat peribadi daripada orang-orang di EU (mungkin kerana anda mempunyai laman web e-dagang yang menjual barangan di sana), maka data yang disimpan pada pelayan awan yang terletak di sempadan EU. Sering kali ini hanyalah masalah untuk mengkonfigurasi kluster pelayan Infrastruktur-sebagai-Perkhidmatan (IaaS) menggunakan laman web Eropah penyedia awan semasa anda. Sebagai alternatif, pembiayaan pertunangan pendek dengan penyedia perkhidmatan profesional pembekal awan paling banyak akan melihat mereka menjaga tugas ini untuk anda. Bukan itu sahaja, tetapi jika anda bernasib baik untuk melibatkan diri dengan perunding yang berpusat di Eropah , maka anda mungkin akan mendapat ujian yang disahkan dan dokumentasi yang betul juga.
Walaupun ada kalanya anda boleh memindahkan data ke AS atau salah satu daripada beberapa negara lain di Eropah, terdapat batasan. Di Amerika Syarikat, mereka didasarkan pada Privasi Shield, yang merupakan persetujuan antara AS, EU, dan Switzerland yang menentukan keperluan perlindungan untuk data yang mengalir di antara AS dan negara-negara tersebut. Mungkin idea yang baik untuk organisasi anda mengesahkan bahawa ia memenuhi keperluan perlindungan data GDPR, tetapi undang-undang EU adalah sedemikian rupa sehingga pengumpulan dan pengekalan data hanya terhad kepada apa yang diperlukan untuk melaksanakan tugas segera. Ini bermakna seseorang yang mempunyai pengetahuan mengenai butiran GDPR akan mengesan pelbagai aliran data anda. Walaupun membosankan, ini satu-satunya cara untuk memastikan anda mematuhi.
Jika anda mesti memproses data, sama ada di EU atau di AS, maka anda mesti memenuhi keperluan khusus, termasuk mempunyai seseorang yang dinamakan sebagai Pegawai Perlindungan Data (DPO). Anda juga perlu menguruskan alur kerja yang didedikasikan untuk mengeluarkan data apabila tidak diperlukan lagi, dan ini boleh menjadi sangat kompleks kerana sebahagian daripada ini memastikan anda boleh mengeluarkan maklumat peribadi sesiapa yang meminta dilupakan. Terus terang, itu sebab lain untuk berfikir dua kali mengenai menyimpan maklumat tentang orang-orang dari EU.
Sekiranya anda benar-benar berniaga di EU, maka anda mungkin perlu berfikir tentang kehadiran di sana dan bukan sekadar akaun awan dengan perkhidmatan perkongsian fail pelayan atau kelas perniagaan di Eropah. Anda mungkin mahu melibatkan sebuah syarikat untuk mengendalikan urusan anda di Eropah atau anda mungkin ingin membuka pejabat, kerana para pakar dan perunding GDPR akan menjadi lebih mudah di tepi kolam itu dan tidak hanya melakukan bisnis Eropa di GDPR pasca Dunia akan menjadi lebih mudah di Eropah daripada di mana sahaja.
Sekiranya anda membuka pejabat, pekerja anda di Eropah juga perlu mendapatkan maklumat mereka mengikut peraturan GDPR. Walaupun anda boleh mempunyai rekod pekerja yang diadakan di Amerika Syarikat, anda perlu mengikuti peraturan, termasuk tidak memegang apa-apa maklumat yang tidak perlu untuk pekerja melakukan tugasnya. Anda juga perlu mendapatkan kebenaran daripada pekerja untuk menyimpan maklumat peribadi (mungkin dia boleh dibayar), tetapi DPO anda perlu menilai semua data yang disimpan untuk memastikan ia sesuatu yang diperlukan. Sebagai contoh, anda tidak boleh meminta gambar mereka melainkan jika ada alasan, dan kemudian anda perlu memberikan justifikasi yang khusus untuk bagaimana ia akan digunakan. Dan pekerja mesti dibenarkan menurun tanpa akibat.
Sekarang untuk bahagian rumit: Jabatan IT mesti dapat menentukan di mana data terlindung terletak pada setiap masa, di mana ia berjalan semasa anda menggunakannya, di mana ia disimpan, dan bagaimana ia dilindungi. Hanya untuk mengatakan ia di pelayan awan anda di Ireland tidak mencukupi; orang-orang anda akan perlu tahu bagaimana ia sampai kepada pelayan itu, apa yang berlaku apabila ia digunakan, dan bagaimana ia dilindungi secara terperinci. Tuntutan terbaik anda adalah untuk menyewa pakar untuk melakukan ini untuk anda, setidaknya pemetaan awal dan pemilihan alat pengurusan yang akan mengekalkan maklumat tersebut. Suatu DPO dan kakitangan sokongan akhirnya diperlukan, tetapi dalam jangka pendek, kebanyakan perniagaan akan melakukannya dengan baik untuk sekurang-kurangnya melibatkan seorang perunding yang memiliki kepakaran yang dapat diverifikasi.
Untuk Procrastinators
Sudah tentu, tidak perlu meletakkan satu perkara yang terlalu baik, tetapi anda sepatutnya melakukan semua ini. Walau bagaimanapun, realiti perniagaan sehari-hari menjadi apa yang mereka ada, kemungkinan ramai yang membaca ini tidak. Jadi sekarang bahawa tarikh pada dasarnya adalah pada anda, mulailah dengan sekurang-kurangnya mengetahui di mana data anda. Dan jika bukan di mana ia sepatutnya, maka lihat nombor 1 di atas sehingga anda telah menganggapnya.
Semasa anda melakukan ini, adalah idea yang baik untuk menyiarkan borang kebenaran sebelum sesiapa sahaja boleh mengakses bahagian laman web anda yang meminta maklumat peribadi. Sagara Gunathunge, Naib Presiden projek Perkhidmatan Web Apache dan Pengarah di WSO2, menawarkan beberapa bentuk persetujuan yang boleh didapati dengan mudah untuk pelbagai tujuan. Tetapi ingatlah bahawa anda perlu menjejaki siapa yang mengisi borang tersebut supaya anda boleh menunjukkan pautan terus kepada maklumat yang anda kumpulkan dan sama ada ia disimpan di EU atau di tempat lain. Pastikan anda membuat kata-kata dengan jelas, tepat, dan menyatakan dengan tepat apa yang sedang berlaku kepada maklumat yang anda kumpulkan. Ya, itu sakit di leher. Tetapi pilihan lain adalah pilihan 1.
