Gdpr נמצא במרחק של יום אחד: האם אתה יודע איפה הנתונים שלך?

עבור חברות רבות, במיוחד עבור עסקים קטנים ובינוניים (SMB), מיקום הנתונים שלהם בפועל עשוי להיות תעלומה. נניח, למשל, שאתה פועל על אשכול שרתים מבוסס ענן הנמצא באזור צפון וירג'יניה השייך לשירותי האינטרנט של אמזון (AWS). זה אומר שהנתונים שלך נמצאים בצפון וירג'יניה, נכון? טוב, כן, כנראה. אבל בואו נגיד שאתה עושה עסקים עם חברות או אנשים באירופה. אז הנתונים על ישויות אלה נמצאים כנראה גם באזור זה. ובתוך זמן קצר מאוד, זו עשויה להיות בעיה.

ביום שישי, 25 במאי, נכנס לתוקף תקנת הגנת המידע הכללית (GDPR) של האיחוד האירופי. בשלב זה, חברתך חלה תחת התקנות שהטילה האיחוד האירופי המכסות דרישות חדשות להגנת המידע האישי של האזרחים. אפילו אם אתה לא נמצא באירופה, החברה שלך עדיין כפופה לתקנות אלה אם אתה מחזיק נתונים אישיים על תושבי האיחוד האירופי. הבעיה היא, גם אם אתה חושב שמשיכה של נתונים אלה למיקום הארגוני בארה"ב תשמור עליהם בצורה מוגנת יותר, יתכן שלא תורשה לאחסן נתונים בארצות הברית.

וחשוב מכך, בצד ה- GDPR, ישנן תקנות אחרות לגבי שטף נתונים חוצה גבולות שעליך לקחת בחשבון. הסיבה לכך היא שהנתונים של אזרח האיחוד האירופי (או מישהו המתגורר באיחוד האירופי שאינו אזרח) עוברים דרך מדינה אחרת עלולים להיות בעייתיים. המשמעות היא שאתה צריך לדעת יותר מאשר איפה זה כשאתה מאחסן אותו: אתה צריך לדעת לאן הוא הולך בדרכו בינך ובכל מקום בו הלקוח או העובד שלך נמצא.

אני לא מתכוון להיכנס לעונשים הדרקוניים שעשויים לחכות לך אם תפר את כללי ה- GDPR מכיוון שהם התוארו בטור זה ובשפע מקומות אחרים בעבר. אז בואו נגיד, אינכם רוצים שהעונשים הללו יוחלו עליכם לעולם.

7 דרכים לעמידה ב- GDPR

אבל כל עוד אתה נוקט בכמה פעולות מניעה, אינך צריך לדאוג לקנסות כלשהם. ישנם כמה דברים קלים למדי שתוכלו לעשות כדי להימנע מבעיות. להלן שבעה כאלה, לפי הקלה והקשה ביותר לעשות זאת.

אל תאסוף מידע אישי מאנשים באיחוד האירופי. אם לאתר שלך יש אפשרות למישהו למלא מידע אישי (שמו וכתובתו, למשל) בתהליך ההרשמה לאתר שלך, אז אל תקבל הרשמות מהאיחוד האירופי או אל תקבל אותם כלל.

אם עליכם לקבל מידע אישי מאנשים באיחוד האירופי (אולי מכיוון שיש לכם אתר מסחר אלקטרוני שמוכר שם דברים), יש לאחסן את הנתונים בשרת ענן הממוקם בגבולות האיחוד האירופי. לעיתים קרובות זהו פשוט עניין של הגדרת תצורת שרת תשתיות כשירות (IaaS) באמצעות אתר אירופאי של ספק הענן הנוכחי שלך. לחלופין, מימון התקשרות קצרה עם זרועות השירותים המקצועיים של ספקי הענן, יראה אותם דואגים למשימה זו עבורך. לא רק זה, אבל אם יתמזל מזלכם לפנות ליועצים מבוססי אירופה , כנראה שתקבלו גם בדיקות מוסמכות וגם את התיעוד הנכון.

יש פעמים שאתה יכול להעביר נתונים לארה"ב או לאחת מכמה מדינות אחרות באירופה, אך יש גבולות. בארה"ב הם מבוססים על מגן הפרטיות, שהוא הסכם בין ארה"ב, האיחוד האירופי ושוויץ המפרט דרישות הגנה על נתונים הזורמים בין ארה"ב לאותן מדינות. זה כנראה רעיון טוב לארגון שלך לאשר שהוא עומד בדרישות הגנת המידע של ה- GDPR, אך חוק האיחוד האירופי הוא כזה שאיסוף ושמירת נתונים מוגבלת רק למה שנדרש כדי לבצע את המשימה המיידית. המשמעות היא שמישהו בקיא בפרטי GDPR עוקב אחר זרמי הנתונים השונים שלך. אמנם מייגע, זו הדרך היחידה לוודא שאתה מציית.

אם עליכם לעבד נתונים, בין אם הם באיחוד האירופי ובין אם בארצות הברית, עליכם לעמוד בדרישות ספציפיות, כולל שיש מישהו שנקרא קצין הגנת נתונים (DPO). יהיה עליכם גם לארגן זרימת עבודה שמוקדשת להסרת נתונים כאשר כבר אין צורך בכך, וזה יכול להיות מורכב במיוחד מכיוון שחלק מכך הוא לוודא שתוכלו להסיר את המידע האישי של כל מי שמבקש להישכח. האמת, זו סיבה נוספת לחשוב פעמיים על אחסון מידע על אנשים מהאיחוד האירופי.

אם אתה באמת צריך לעשות עסקים באיחוד האירופי, כנראה שאתה צריך לחשוב על נוכחות במקום ולא רק על חשבון ענן עם שרת או שירות שיתוף קבצים בדרגה עסקית באירופה. יתכן שתרצה לעסוק בחברה שתטפל בענייניך באירופה, או שתרצה לפתוח משרד, מכיוון שאנשי מומחי ויועצי GDPR יהיו קלים יותר בצד ההוא של הבריכה שלא לדבר על כך שפשוט לעשות עסקים אירופיים לאחר ה- GDPR העולם יהיה קל יותר מטבעו באירופה מאשר בכל מקום אחר.

אם אתה פותח משרד, עובדיך באירופה צריכים גם לטפל במידע שלהם על פי כללי ה- GDPR. אמנם אתה יכול להחזיק רשומות עובדים בארה"ב, אך עליך לבצע את הכללים, כולל לא להחזיק מידע שאינו נחוץ בהחלט כדי שעובד יבצע את תפקידו. תצטרך גם לקבל אישור מהעובד לאחסן מידע אישי (אולי כדי שהוא יוכל לקבל תשלום), אך ה- DPO שלך יצטרך להעריך את כל הנתונים המאוחסנים כדי להיות בטוחים שזה משהו שנדרש. לדוגמה, אינך יכול לבקש את הצילום שלהם אלא אם כן יש סיבה ואז אתה צריך לתת הצדקה מאוד ספציפית לאופן השימוש בו. ויש לאפשר לעובד לרדת ללא השלכות.

כעת, עבור החלק המסובך: על מחלקת ה- IT להיות מסוגלת לקבוע היכן הנתונים המוגנים ממוקמים בכל עת, לאן הם הולכים תוך כדי השימוש בהם, היכן הם מאוחסנים וכיצד הם מוגנים. רק לומר שזה בשרת הענן שלך באירלנד אינו מספיק; האנשים שלכם יצטרכו לדעת איך זה מגיע לשרת הזה, מה קורה לו כשמשתמשים בו ואיך הוא מוגן - בפרטי. הדבר הטוב ביותר הוא לשכור מומחים שיעשו זאת עבורכם, לפחות את המיפויים הראשוניים ובחירת כלי הניהול שישמרו על המידע הזה. בסופו של דבר יידרשו מת"ק וצוות תמיכה, אך בטווח הקצר, מרבית העסקים יעשו זאת לפחות כדי להעסיק יועץ שיש לו מומחיות אמידה.

לדחיינים

כמובן, שלא לשים על זה טעם טוב מדי, אבל היית צריך לעשות את כל זה כבר. עם זאת, המציאות של עסק יום-יומי היא מה שהם, רוב הסיכויים שרבים מכם לא קוראים זאת. אז עכשיו שהדייט ביסודו בך, התחל לפחות לדעת היכן הנתונים שלך נמצאים. ואם זה לא איפה שהוא אמור להיות, ראה נקודה מספר 1 לעיל עד שהבנת את זה.

בזמן שאתה עושה זאת, כדאי לפרסם טופס הסכמה לפני שמישהו יוכל לגשת לחלק באתר שלך שמבקש מידע אישי. Sagara Gunathunge, סמנכ"לית פרויקט שירותי האינטרנט Apache ומנהלת ב- WSO2, מציעה כמה דוגמאות זמינות באופן חופשי לטפסי הסכמה למגוון מטרות. אך זכור שעליך לעקוב אחר מי שממלא את הטפסים האלה כדי שתוכל להציג קישור ישיר למידע שאספת והאם הוא מאוחסן באיחוד האירופי או במקום אחר. הקפד לומר את הנוסח בצורה ברורה, מדויקת, ואמור בדיוק מה קורה למידע שאתה אוסף. כן, זה כאב בצוואר. אבל הבחירה האחרת היא אפשרות 1.