Gdpr е на 1 ден: знаете ли къде са вашите данни?

За много компании, особено за много малки и средни предприятия (SMBs), действителното местоположение на техните данни може да е загадка. Да приемем например, че работиш върху облачен базиран сървърен клъстер, разположен в региона на Северна Вирджиния, принадлежащ на Amazon Web Services (AWS). Това означава, че вашите данни са в Северна Вирджиния, нали? Е, да, вероятно. Но да кажем, че правите бизнес с компании или лица в Европа. Тогава данните за тези образувания вероятно също са в този регион. И за много кратко време това може да е проблем.

В петък, 25 май, влиза в сила Общият регламент за защита на данните (GDPR) на Европейския съюз (ЕС). В този момент вашата компания попада в наредбите, наложени от ЕС, обхващащи новите изисквания за защита на личните данни на гражданите. Дори и да не сте в Европа, вашата компания все още е подчинена на тези разпоредби, ако притежавате лични данни за жителите на ЕС. Проблемът е, че дори и да мислите, че издърпването на тези данни до вашето корпоративно местоположение в САЩ ще го запази по-добре защитено, може да не ви бъде разрешено да съхранявате тези данни в Съединените щати.

По-важното е, че настрана от GDPR има и други разпоредби относно трансграничните потоци от данни, които също трябва да вземете предвид. Това е така, защото преминаването през данни на гражданин на ЕС (или на човек, живеещ в ЕС, който не е гражданин) може да бъде проблематично. Това означава, че трябва да знаете повече от това къде се намира, когато го съхранявате: трябва да знаете къде се движи по пътя ви между вас и където се намира вашият клиент или служител.

Няма да навлизам в драконовските наказания, които може да ви очакват, ако нарушите правилата на GDPR, защото те са очертани в тази колона и на много други места в миналото. Така че, нека кажем, че не искате тези санкции да се прилагат някога спрямо вас.

7 пътища към спазването на GDPR

Но докато предприемете някои превантивни стъпки, не бива да се притеснявате за никакви санкции. Има някои доста лесни неща, които можете да направите, за да избегнете проблеми. Ето седем от тях, за да е най-лесно да се направи най-трудно.

Не събирайте лична информация от хора в ЕС. Ако вашият уебсайт има възможност някой да попълни лична информация (например името и адреса му) в процеса на регистрация на вашия уебсайт, тогава или не приема регистрации от ЕС, или изобщо не ги приема.

Ако трябва да приемете лична информация от хора в ЕС (може би защото имате уебсайт за електронна търговия, който продава неща там), след това съхранявайте данните на облачен сървър, разположен вътре в границите на ЕС. Често това е просто въпрос на конфигуриране на сървърен клъстер на инфраструктура като услуга (IaaS) с помощта на европейския уебсайт на настоящия ви доставчик на облак. Като алтернатива, ако финансирате кратка ангажираност с професионалните оръжия на повечето доставчици на облачни услуги, ще видите, че те се грижат за тази задача вместо вас. Не само това, но ако имате достатъчно късмет да се свържете с техните европейски консултанти, вероятно ще получите сертифицирани тестове и съответната документация.

Въпреки че има моменти, в които можете да преместите данни в САЩ или някоя от няколко други страни в Европа, има ограничения. В САЩ те се основават на щита за поверителност, който представлява споразумение между САЩ, ЕС и Швейцария, което определя изискванията за защита на потока на данни между САЩ и тези страни. Вероятно е добра ваша организация да удостовери, че тя отговаря на изискванията за защита на данните на GDPR, но законодателството на ЕС е такова, че събирането и запазването на данни е ограничено само до необходимото за изпълнение на непосредствената задача. Това означава, че някой, знаещ подробности за GDPR, проследява различните ви потоци от данни. Макар и досаден, това е единственият начин да сте сигурни, че сте в съответствие.

Ако трябва да обработвате данни, независимо дали са в ЕС или в САЩ, тогава трябва да отговаряте на специфични изисквания, включително да имате някой, посочен като служител по защита на данните (DPO). Ще трябва да организирате работен поток, посветен на премахването на данни, когато това вече не е необходимо, а това може да стане особено сложно, защото част от това е гарантирано, че можете да премахнете личната информация на всеки, който поиска да бъде забравен. Честно казано, това е още една причина да помислим два пъти за съхраняване на информация за хора от ЕС.

Ако наистина трябва да правите бизнес в ЕС, вероятно трябва да помислите за присъствие там, а не само за облачен акаунт със сървър или услуга за споделяне на файлове в бизнес клас в Европа. Може да искате да наемете компания, която да се занимава с вашите дела в Европа или може да искате да отворите офис, тъй като персоналът на GDPR експерти и консултанти ще бъде по-лесен от тази страна на езерцето, да не говорим, че просто правенето на европейски бизнес в пост-GDPR светът ще бъде присъщо по-лесен в Европа, отколкото където и да е другаде.

Ако отворите офис, вашите служители в Европа също трябва да обработват информацията си според правилата на GDPR. Въпреки че можете да имате записи на служители в САЩ, ще трябва да спазвате правилата, включително да не притежавате никаква информация, която не е строго необходима за даден служител да си върши работата. Също така ще трябва да получите разрешение от служителя да съхранява лична информация (може би за да може той да получи заплащане), но вашият DPO ще трябва да оцени всички съхранени данни, за да е сигурен, че това е нещо, което се изисква. Например, не можете да поискате тяхна снимка, освен ако няма причина и тогава трябва да дадете съвсем конкретно обосновка за това как ще бъде използвана. И служителят трябва да бъде оставен да намалява без никакви последствия.

Сега за сложната част: ИТ отделът трябва да може да определи къде се намират защитените данни по всяко време, къде отива, докато го използвате, къде се съхраняват и как са защитени. Само да кажа, че е на вашия облачен сървър в Ирландия не е достатъчно; хората ви ще трябва да знаят как се стига до този сървър, какво се случва с него и как е защитен - подробно. Най-добрият ви залог е да наемете експерти, които да направят това за вас, поне първоначалните карти и подбор на инструменти за управление, които ще поддържат тази информация. В крайна сметка ще се изисква DPO и помощен персонал, но в краткосрочен план повечето фирми ще се справят най-малкото, за да наемат консултант, който има проверими експертизи.

За прокрастинаторите

Разбира се, да не поставяте твърде фина точка върху това, но би трябвало да сте направили всичко това вече. И все пак, реалността на ежедневния бизнес е такава, каквато е, шансовете са, че много от вас, които четат това, не са го направили. Така че сега, когато датата е основна върху вас, започнете най-малкото като знаете къде са вашите данни. И ако не е там, където би трябвало да е, тогава вижте точка номер 1 по-горе, докато не го разберете.

Докато правите това, добре е да публикувате формуляр за съгласие, преди някой да има достъп до частта от вашия уебсайт, която изисква лична информация. Sagara Gunathunge, вицепрезидент на проекта за уеб услуги Apache и директор на WSO2, предлага някои свободно достъпни примери на формуляри за съгласие за различни цели. Но не забравяйте, че трябва да следите кой попълва тези формуляри, за да можете да покажете директна връзка към информацията, която сте събрали и дали тя се съхранява в ЕС или другаде. Уверете се, че това е ясно, формулирано, точно и кажете точно какво се случва с информацията, която събирате. Да, това е болка във врата. Но другият избор е вариант 1.