Obsah:
Video: GDPR: 1 minute to understand and take action (Listopad 2024)
Pro mnoho společností, zejména pro mnoho malých a středních podniků (SMB), může být skutečné umístění jejich údajů záhadou. Řekněme například, že běžíte na cloudovém serverovém clusteru, který se nachází v oblasti Severní Virginie a patří do Amazon Web Services (AWS). To znamená, že vaše data jsou v Severní Virginii, že? No, asi ano. Řekněme však, že obchodujete se společnostmi nebo jednotlivci v Evropě. Pak jsou údaje o těchto entitách pravděpodobně také v tomto regionu. A ve velmi krátké době to může být problém.
Ještě důležitější je, že kromě HDPR existují i další předpisy týkající se přeshraničních toků dat, které musíte také zvážit. Důvodem může být problematické mít údaje o občanech EU (nebo o osobách žijících v EU, kteří nejsou občany) na cestě do jiné země. To znamená, že při ukládání musíte vědět víc, než jen to, kde se nachází: potřebujete vědět, kam to jde na cestě mezi vámi a kdekoli se stane váš zákazník nebo zaměstnanec.
Nebudu se zabývat drastickými sankcemi, které by vás mohly očekávat, pokud porušíte pravidla GDPR, protože byla v tomto sloupci a na mnoha jiných místech uvedena v minulosti. Řekněme tedy, že nechcete, aby se na vás tyto sankce vztahovaly.
7 Cest k splnění GDPR
Ale pokud podniknete nějaké preventivní kroky, neměli byste se bát žádných sankcí. Existuje několik poměrně jednoduchých věcí, které můžete udělat, abyste se vyhnuli problémům. Tady je sedm, v pořadí od nejjednodušších po nejtěžší.
Neshromažďujte osobní údaje od lidí v EU. Pokud má váš web při registraci na vašem webu někoho možnost vyplnit osobní údaje (například jeho jméno a adresu), pak buď nepřijímejte registrace z EU, nebo je nepřijímejte vůbec.
Pokud musíte přijímat osobní údaje od lidí v EU (například proto, že máte webový server elektronického obchodování, který tam prodává zboží), nechte je uložit na cloudovém serveru nacházející se uvnitř hranic EU. Často je to prostě záležitost konfigurace clusteru serverů Infrastruktura jako služba (IaaS) pomocí evropské webové stránky vašeho současného poskytovatele cloudu. Alternativně, financování krátkého závazku se zbraněmi profesionálních služeb většiny poskytovatelů cloudu zajistí, že se o tento úkol postarají za vás. Nejen to, ale pokud máte to štěstí, že se můžete spojit se svými evropskými konzultanty, pravděpodobně získáte i certifikované testování a správnou dokumentaci.
I když jsou chvíle, kdy můžete přesunout data do USA nebo do některé z několika dalších evropských zemí, existují limity. V USA jsou založeny na štítu na ochranu soukromí, což je dohoda mezi USA, EU a Švýcarskem, která stanoví požadavky na ochranu dat přenášených mezi USA a těmito zeměmi. Pravděpodobně je vhodné, aby vaše organizace potvrdila, že splňuje požadavky GDPR na ochranu údajů, ale právo EU je takové, že shromažďování a uchovávání údajů je omezeno pouze na to, co je vyžadováno k provedení okamžitého úkolu. To znamená, že někdo bude znát podrobnosti o GDPR a sledovat různé toky dat. I když je to únavné, je to jediný způsob, jak se ujistit, že jste v souladu.
Pokud musíte zpracovávat data, ať už jsou v EU nebo v USA, pak musíte splnit specifické požadavky, včetně toho, aby byl někdo jmenován úředníkem pro ochranu údajů (DPO). Budete také muset uspořádat pracovní postup zaměřený na odstraňování dat, když to již není zapotřebí, a to se může stát zvláště složité, protože část tohoto zajišťuje, že můžete odstranit osobní údaje kohokoli, kdo žádá o zapomenutí. Upřímně řečeno, to je další důvod, proč přemýšlet dvakrát o ukládání informací o lidech z EU.
Pokud opravdu musíte podnikat v EU, pak byste pravděpodobně měli přemýšlet o tom, že tam budete přítomni, spíše než jen cloudový účet se serverem nebo službou sdílení souborů v Evropě. Možná budete chtít zapojit společnost, která bude řešit vaše záležitosti v Evropě, nebo si budete chtít otevřít kancelář, protože personální experti a konzultanti GDPR budou na této straně rybníka jednodušší, nemluvě o tom, že jednoduše dělat evropské podnikání v post-GDPR svět bude v Evropě v podstatě jednodušší než kdekoli jinde.
Pokud otevřete kancelář, pak vaši zaměstnanci v Evropě musí mít své informace zpracovány také podle pravidel GDPR. I když v USA můžete mít záznamy o zaměstnancích, musíte dodržovat pravidla, včetně toho, že nebudete mít žádné informace, které nejsou nezbytně nutné pro to, aby zaměstnanec vykonával svou práci. Budete také muset získat povolení od zaměstnance k ukládání osobních údajů (snad proto, aby on nebo ona mohla dostat zaplaceno), ale váš DPO bude muset vyhodnotit všechna uložená data, aby se ujistil, že je to něco, co je vyžadováno. Nemůžete například požádat o jejich fotografii, pokud k tomu není důvod, a pak musíte uvést velmi konkrétní odůvodnění, jak bude použita. A zaměstnanec musí mít možnost odmítnout bez následků.
Nyní pro komplikovanou část: IT oddělení musí být schopno určit, kde se chráněná data nacházejí, kdykoli je používáte, kde jsou uložena a jak jsou chráněna. Stačí říci, že na vašem cloudovém serveru v Irsku nestačí; vaši lidé budou muset vědět, jak se k tomuto serveru dostane, co se s ním stane, když je použit a jak je chráněno - do detailu. Vaše nejlepší sázka je najmout odborníky, kteří to provedou za vás, alespoň počáteční mapování a výběr nástrojů pro správu, které budou tyto informace udržovat. Nakonec bude vyžadován DPO a podpůrný personál, ale v krátkodobém horizontu by se většině podniků dařilo alespoň zapojit konzultanta, který má ověřitelné odborné znalosti.
Pro prokrastinátory
Samozřejmě, že na to nemám příliš pokutu, ale měli jste to všechno udělat už. Přesto, že realita každodenního podnikání je taková, jaká je, je pravděpodobné, že to mnozí z vás toto nečetli. Teď, když je datum v zásadě na vás, začněte alespoň tím, že víte, kde jsou vaše data. A pokud to není tam, kde by to mělo být, podívejte se na bod číslo 1 výše, až na to přijdete.
I když to děláte, je dobré zveřejnit formulář souhlasu dříve, než kdokoli bude mít přístup k části vašeho webu, která požaduje osobní informace. Sagara Gunathunge, viceprezidentka projektu Apache Web Services a ředitelka na WSO2, nabízí některé volně dostupné příklady formulářů souhlasu pro různé účely. Nezapomeňte však, že musíte sledovat, kdo tyto formuláře vyplňuje, abyste mohli ukázat přímý odkaz na informace, které jste shromáždili, a zda jsou uloženy v EU nebo jinde. Nezapomeňte jasně formulovat, přesně a přesně říci, co se děje s informacemi, které shromažďujete. Ano, je to bolest v krku. Druhou možností je však volba 1.
