Talaan ng mga Nilalaman:
Video: GDPR документы от Legal IT Group (Nobyembre 2024)
Para sa maraming mga kumpanya, lalo na para sa maraming maliit na midsize na mga negosyo (SMBs), ang aktwal na lokasyon ng kanilang data ay maaaring maging isang misteryo. Sabihin nating, halimbawa, na nagpapatakbo ka sa isang kumpol na batay sa cloud server na matatagpuan sa rehiyon ng Northern Virginia na kabilang sa Amazon Web Services (AWS). Nangangahulugan ito na ang iyong data ay nasa Northern Virginia, di ba? Well, oo, marahil. Ngunit sabihin nating gumagawa ka ng negosyo sa mga kumpanya o indibidwal sa Europa. Pagkatapos ang data tungkol sa mga nilalang na iyon ay marahil din sa rehiyon na iyon. At sa isang napakaikling panahon, maaaring maging isang problema.
Mas mahalaga, ang GDPR bukod, may iba pang mga regulasyon tungkol sa mga daloy ng data ng cross-border na kailangan mo ring isaalang-alang. Ito ay dahil ang pagkakaroon ng data ng isang mamamayan ng EU (o isang taong naninirahan sa EU na hindi mamamayan) ay dumaan sa ibang bansa sa daan ay maaaring may problema. Nangangahulugan ito na kailangan mong malaman nang higit pa kaysa sa kung saan ito ay kapag iniimbak mo ito: kailangan mong malaman kung saan nagpapatuloy ito sa pagitan mo at saan man mangyari ang iyong customer o empleyado.
Hindi ako pupunta sa mga parusa ng draconian na maaaring maghintay sa iyo kung nilalabag mo ang mga patakaran ng GDPR dahil sila ay nakabalangkas sa haligi na ito at sa maraming iba pang mga lugar sa nakaraan. Kaya, sabihin lang natin, hindi mo nais na ang mga parusa na ito ay mailalapat sa iyo.
7 Mga Landas sa Pagsunod sa GDPR
Ngunit hangga't gumawa ka ng ilang mga hakbang sa pag-iwas, hindi ka dapat mag-alala tungkol sa anumang mga parusa. Mayroong ilang mga medyo madaling bagay na maaari mong gawin upang maiwasan ang mga problema. Narito ang pitong sa kanila, upang mas madaling gawin ang pinakamadaling gawin.
Huwag mangolekta ng personal na impormasyon mula sa mga tao sa EU. Kung ang iyong website ay may kakayahan para sa isang tao na punan ang personal na impormasyon (ang kanilang pangalan at address, halimbawa) sa proseso ng pagrehistro sa iyong website, kung gayon ang alinman ay hindi tatanggap ng mga pagrerehistro mula sa EU o hindi tinatanggap ang lahat.
Kung kailangan mong tumanggap ng personal na impormasyon mula sa mga tao sa EU (marahil dahil mayroon kang isang website ng e-commerce na nagbebenta ng mga bagay-bagay doon), pagkatapos ay ang data na nakaimbak sa isang server ng ulap na matatagpuan sa loob ng mga hangganan ng EU. Kadalasan ito ay isang bagay lamang ng pag-configure ng isang kumpol ng imprastraktura-as-a-Service (IaaS) ng server gamit ang European website ng iyong kasalukuyang provider ng ulap. Bilang kahalili, ang pagpopondo ng isang maikling pakikipag-ugnay sa karamihan ng mga propesyonal na serbisyo ng mga nagbibigay ng ulap ay makikita silang mag-aalaga sa gawaing ito para sa iyo. Hindi lamang iyon, ngunit kung masuwerteng sapat ka upang makisali sa kanilang mga consultant na nakabase sa Europa, pagkatapos ay makakakuha ka rin ng sertipikadong pagsubok at ang tamang dokumentasyon.
Habang may mga oras na maaari mong ilipat ang data sa US o isa sa ilang iba pang mga bansa sa Europa, may mga limitasyon. Sa US, sila ay batay sa Privacy Shield, na kung saan ay isang kasunduan sa pagitan ng US, EU, at Switzerland na tumutukoy sa mga kinakailangan sa proteksyon para sa data na dumadaloy sa pagitan ng US at mga bansang iyon. Marahil isang magandang ideya para sa iyong samahan na patunayan na nakakatugon ito sa mga kinakailangan sa proteksyon ng data ng GDPR, ngunit ang batas ng EU ay tulad na ang koleksyon at pagpapanatili ng data ay limitado lamang sa kung ano ang kinakailangan upang maisagawa ang agarang gawain. Nangangahulugan ito na ang pagkakaroon ng isang taong may kaalaman sa mga detalye ng GDPR subaybayan ang iyong iba't ibang mga daloy ng data. Habang nakakapagod, ito ang tanging paraan upang matiyak na sumusunod ka.
Kung dapat kang magproseso ng data, nasa EU man o sa US, pagkatapos ay dapat mong matugunan ang mga tiyak na kinakailangan, kasama ang pagkakaroon ng isang tao na pinangalanan bilang isang Data Protection Officer (DPO). Kailangan mo ring ayusin ang isang daloy ng trabaho na nakatuon sa pag-alis ng data kapag hindi na ito kinakailangan, at maaari itong makakuha lalo na kumplikado dahil ang bahagi nito ay tinitiyak na maaari mong alisin ang personal na impormasyon ng sinumang humiling na kalimutan. Lantaran, iyon ang isa pang dahilan upang mag-isip nang dalawang beses tungkol sa pag-iimbak ng impormasyon tungkol sa mga tao mula sa EU.
Kung kailangan mo talagang gumawa ng negosyo sa EU, kung gayon marahil ay dapat mong isipin ang tungkol sa pagkakaroon ng pagkakaroon doon kaysa sa isang cloud account lamang na may isang server o serbisyo ng pagbabahagi ng file na may marka sa negosyo sa Europa. Maaari mong nais na makipag-ugnay sa isang kumpanya upang hawakan ang iyong mga gawain sa Europa o nais mong buksan ang isang tanggapan, dahil ang mga kawani ng mga dalubhasa sa GDPR at consultant ay magiging mas madali sa gilid ng lawa na hindi banggitin na ang paggawa lamang ng negosyo sa Europa sa isang post-GDPR ang mundo ay likas na mas madali sa Europa kaysa sa kung saan man.
Kung binuksan mo ang isang tanggapan, kung gayon ang iyong mga empleyado sa Europa ay kailangan ding hawakan ang kanilang impormasyon ayon sa mga panuntunan ng GDPR. Habang maaari kang magkaroon ng mga tala ng empleyado na gaganapin sa US, kakailanganin mong sundin ang mga patakaran, kabilang ang hindi hawak ang anumang impormasyon na hindi mahigpit na kinakailangan para sa isang empleyado na gawin ang kanyang trabaho. Kailangan mo ring makakuha ng pahintulot mula sa empleyado na mag-imbak ng personal na impormasyon (marahil upang siya ay mabayaran), ngunit kailangan suriin ng iyong DPO ang lahat ng data na naka-imbak upang matiyak na ito ay isang bagay na kinakailangan. Halimbawa, hindi ka maaaring humingi ng kanilang litrato maliban kung may dahilan, at pagkatapos ay kailangan mong magbigay ng isang napaka-tiyak na katwiran kung paano ito gagamitin. At ang empleyado ay dapat payagan na tumanggi nang walang mga repercussions.
Ngayon para sa kumplikadong bahagi: Ang departamento ng IT ay dapat matukoy kung saan matatagpuan ang protektadong data sa lahat ng oras, kung saan pupunta ito habang ginagamit mo ito, kung saan naka-imbak, at kung paano ito protektado. Ang sabihin lamang na ito ay nasa iyong cloud server sa Ireland ay hindi sapat; ang iyong mga tao ay kailangang malaman kung paano ito makukuha sa server na iyon, kung ano ang mangyayari dito kapag ginamit ito, at kung paano ito protektado - nang detalyado. Ang iyong pinakamahusay na mapagpipilian ay ang pag-upa ng mga eksperto na gawin ito para sa iyo, hindi bababa sa mga paunang mappings at pagpili ng mga tool sa pamamahala na mapanatili ang impormasyong iyon. Ang isang DPO at mga kawani ng suporta ay kinakailangan, ngunit sa maikling panahon, ang karamihan sa mga negosyo ay mahusay na gumawa ng hindi bababa sa makikipag-ugnay sa isang tagapayo na may natitiyak na kadalubhasaan.
Para sa mga Procrastinator
Siyempre, hindi upang maglagay ng masyadong mahusay na isang punto dito, ngunit dapat mo nang nagawa ang lahat ng ito. Gayunpaman, ang mga katotohanan ng pang-araw-araw na negosyo na kung ano sila, may posibilidad na marami sa inyo ang nagbasa na wala ito. Kaya ngayon na ang petsa ay talaga sa iyo, simulan ang hindi bababa sa pag-alam kung nasaan ang iyong data. At kung hindi ito naroroon, pagkatapos ay tingnan ang point number 1 sa itaas hanggang sa maisip mo ito.
Habang ginagawa mo ito, magandang ideya na mag-post ng form ng pahintulot bago ma-access ng sinuman ang bahagi ng iyong website na humihingi ng personal na impormasyon. Sagara Gunathunge, Bise Presidente ng proyektong Apache Web Services at Direktor sa WSO2, ay nag-aalok ng ilang malayang magagamit na mga halimbawa ng mga form ng pahintulot para sa iba't ibang mga layunin. Ngunit tandaan na kailangan mong subaybayan kung sino ang pumupuno sa mga form na iyon upang maipakita mo ang isang direktang link sa impormasyon na iyong nakolekta at kung nakaimbak ito sa EU o sa ibang lugar. Siguraduhing gawin itong malinaw na binibigkas, tumpak, at sabihin nang eksakto kung ano ang nangyayari sa impormasyong iyong kinokolekta. Oo, masakit sa leeg. Ngunit ang iba pang pagpipilian ay pagpipilian 1.
