บ้าน ธุรกิจ Gdpr อยู่ห่างออกไป 1 วัน: คุณรู้หรือไม่ว่าข้อมูลของคุณอยู่ที่ไหน

Gdpr อยู่ห่างออกไป 1 วัน: คุณรู้หรือไม่ว่าข้อมูลของคุณอยู่ที่ไหน

สารบัญ:

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)
Anonim

สำหรับ บริษัท จำนวนมากโดยเฉพาะอย่างยิ่งสำหรับธุรกิจขนาดเล็กถึงขนาดกลาง (SMBs) ตำแหน่งที่แท้จริงของข้อมูลของพวกเขาอาจเป็นเรื่องลึกลับ ตัวอย่างเช่นสมมติว่าคุณกำลังทำงานบนคลัสเตอร์เซิร์ฟเวอร์แบบคลาวด์ซึ่งตั้งอยู่ในภูมิภาคเวอร์จิเนียตอนเหนือซึ่งเป็นของ Amazon Web Services (AWS) นั่นหมายความว่าข้อมูลของคุณอยู่ในเวอร์จิเนียตอนเหนือใช่ไหม ก็ใช่ แต่สมมุติว่าคุณกำลังทำธุรกิจกับ บริษัท หรือบุคคลในยุโรป จากนั้นข้อมูลเกี่ยวกับเอนทิตีเหล่านั้นก็น่าจะอยู่ในภูมิภาคนั้นด้วย และในเวลาอันสั้นนั่นอาจเป็นปัญหา

ในวันศุกร์ที่ 25 พฤษภาคมกฎการคุ้มครองข้อมูลทั่วไป (GDPR) ของสหภาพยุโรป (EU) มีผลบังคับใช้ ณ จุดนี้ บริษัท ของคุณอยู่ภายใต้ข้อบังคับที่กำหนดโดยสหภาพยุโรปซึ่งครอบคลุมข้อกำหนดใหม่สำหรับการปกป้องข้อมูลส่วนบุคคลของประชาชน แม้ว่าคุณจะไม่ได้อยู่ในยุโรป บริษัท ของคุณยังอยู่ภายใต้ข้อบังคับเหล่านั้นหากคุณเก็บข้อมูลส่วนบุคคลเกี่ยวกับผู้อยู่อาศัยในสหภาพยุโรป ปัญหาคือแม้ว่าคุณคิดว่าการดึงข้อมูลนั้นกลับไปยังที่ตั้ง บริษัท ในสหรัฐอเมริกาของคุณจะทำให้การป้องกันดีขึ้นคุณอาจไม่ได้รับอนุญาตให้จัดเก็บข้อมูลนั้นในสหรัฐอเมริกา

ที่สำคัญกว่านั้นคือ GDPR นอกเหนือจากนั้นยังมีกฎระเบียบอื่น ๆ เกี่ยวกับการไหลของข้อมูลข้ามพรมแดนที่คุณต้องพิจารณาด้วย เนื่องจากมีข้อมูลของพลเมืองสหภาพยุโรป (หรือคนที่อาศัยอยู่ในสหภาพยุโรปที่ไม่ใช่พลเมือง) ผ่านประเทศอื่นในทางที่อาจเป็นปัญหา ซึ่งหมายความว่าคุณต้องรู้มากกว่าตอนที่คุณกำลังเก็บมันคุณต้องรู้ว่ามันไปทางไหนระหว่างคุณกับที่ใดก็ตามที่ลูกค้าหรือพนักงานของคุณเกิดขึ้น

ฉันจะไม่ไปสู่บทลงโทษที่รุนแรงที่อาจรอคุณอยู่หากคุณละเมิดกฎของ GDPR เพราะพวกเขาได้ระบุไว้ในคอลัมน์นี้และในสถานที่อื่น ๆ ในอดีต ดังนั้นสมมติว่าคุณไม่ต้องการให้มีการลงโทษเหล่านี้กับคุณเลย

7 เส้นทางสู่การปฏิบัติตาม GDPR

แต่ตราบใดที่คุณทำตามขั้นตอนการป้องกันคุณไม่ควรกังวลเกี่ยวกับบทลงโทษใด ๆ มีบางสิ่งที่ค่อนข้างง่ายที่คุณสามารถทำได้เพื่อหลีกเลี่ยงปัญหา นี่คือเจ็ดของพวกเขาในลำดับที่ง่ายที่สุดที่จะทำยากที่สุด

    อย่ารวบรวมข้อมูลส่วนบุคคลจากผู้คนในสหภาพยุโรป หากเว็บไซต์ของคุณมีความสามารถให้ใครบางคนกรอกข้อมูลส่วนตัว (เช่นชื่อและที่อยู่ของพวกเขา) ในขั้นตอนการลงทะเบียนบนเว็บไซต์ของคุณคุณอาจไม่ยอมรับการลงทะเบียนจากสหภาพยุโรปหรือไม่ยอมรับเลย

    หากคุณต้องยอมรับข้อมูลส่วนบุคคลจากผู้คนในสหภาพยุโรป (อาจเป็นเพราะคุณมีเว็บไซต์อีคอมเมิร์ซที่ขายของที่นั่น) ให้เก็บข้อมูลไว้บนคลาวด์เซิร์ฟเวอร์ที่อยู่ภายในขอบเขตของสหภาพยุโรป บ่อยครั้งที่สิ่งนี้เป็นเพียงเรื่องของการกำหนดค่าคลัสเตอร์เซิร์ฟเวอร์ Infrastructure-as-a-Service (IaaS) โดยใช้เว็บไซต์ยุโรปของผู้ให้บริการคลาวด์ปัจจุบันของคุณ อีกทางหนึ่งคือการระดมทุนโดยใช้บริการมืออาชีพของผู้ให้บริการคลาวด์ส่วนใหญ่จะเห็นพวกเขาดูแลงานนี้ให้คุณ ไม่เพียงแค่นั้น แต่ถ้าคุณโชคดีพอที่จะมีส่วนร่วมกับที่ปรึกษาของพวกเขาใน ยุโรป คุณก็อาจได้รับการทดสอบที่ผ่านการรับรองและเอกสารที่เหมาะสมเช่นกัน

    ในขณะที่มีบางครั้งคุณสามารถย้ายข้อมูลไปยังสหรัฐอเมริกาหรือหนึ่งในไม่กี่ประเทศในยุโรปมีข้อ จำกัด ในสหรัฐอเมริกานั้นเป็นไปตาม Privacy Shield ซึ่งเป็นข้อตกลงระหว่างสหรัฐอเมริกาสหภาพยุโรปและสวิตเซอร์แลนด์ที่ระบุข้อกำหนดการป้องกันสำหรับข้อมูลที่ไหลระหว่างสหรัฐอเมริกาและประเทศเหล่านั้น อาจเป็นความคิดที่ดีสำหรับองค์กรของคุณที่จะรับรองว่าเป็นไปตามข้อกำหนดการปกป้องข้อมูลของ GDPR แต่กฎหมายของสหภาพยุโรปเป็นเช่นนั้นการรวบรวมและเก็บรักษาข้อมูลนั้น จำกัด เฉพาะสิ่งที่จำเป็นสำหรับการทำงานทันที นั่นหมายถึงการมีคนรู้รายละเอียด GDPR ติดตามกระแสข้อมูลที่หลากหลายของคุณ ในขณะที่น่าเบื่อนี่เป็นวิธีเดียวที่จะมั่นใจได้ว่าคุณปฏิบัติตาม

    หากคุณต้องประมวลผลข้อมูลไม่ว่าจะเป็นในสหภาพยุโรปหรือในสหรัฐอเมริกาคุณจะต้องปฏิบัติตามข้อกำหนดเฉพาะรวมถึงการมีคนชื่อเป็น Data Protection Officer (DPO) นอกจากนี้คุณยังจะต้องจัดการเวิร์กโฟลว์ที่อุทิศให้กับการลบข้อมูลเมื่อไม่จำเป็นอีกต่อไปและสิ่งนี้อาจมีความซับซ้อนเป็นพิเศษเพราะส่วนหนึ่งของสิ่งนี้ทำให้แน่ใจว่าคุณสามารถลบข้อมูลส่วนบุคคลของใครก็ตามที่ขอให้ถูกลืม ตรงไปตรงมานั้นเป็นอีกเหตุผลหนึ่งที่คิดอย่างรอบคอบเกี่ยวกับการเก็บข้อมูลเกี่ยวกับผู้คนจากสหภาพยุโรป

    หากคุณต้องทำธุรกิจในสหภาพยุโรปจริง ๆ คุณควรนึกถึงการมีอยู่ที่นั่นไม่ใช่แค่บัญชีคลาวด์ที่มีเซิร์ฟเวอร์หรือบริการแชร์ไฟล์ระดับธุรกิจในยุโรป คุณอาจต้องการมีส่วนร่วมกับ บริษัท เพื่อจัดการธุรกิจของคุณในยุโรปหรือคุณอาจต้องการเปิดสำนักงานเนื่องจากการจัดหาพนักงานผู้เชี่ยวชาญและที่ปรึกษาด้าน GDPR จะง่ายขึ้นที่ด้านข้างของสระว่ายน้ำและไม่ต้องพูดถึง โลกจะง่ายขึ้นโดยเนื้อแท้ในยุโรปมากกว่าที่อื่น

    หากคุณเปิดสำนักงานพนักงานของคุณในยุโรปก็ต้องมีการจัดการข้อมูลของพวกเขาตามกฎของ GDPR ในขณะที่คุณสามารถมีระเบียนพนักงานที่ถือครองในสหรัฐอเมริกาคุณจะต้องปฏิบัติตามกฎรวมถึงไม่ถือข้อมูลใด ๆ ที่ไม่จำเป็นอย่างเคร่งครัดสำหรับพนักงานที่จะทำงานของเขาหรือเธอ คุณจะต้องได้รับอนุญาตจากพนักงานในการจัดเก็บข้อมูลส่วนบุคคล (บางทีเขาหรือเธอจะได้รับเงิน) แต่ DPO ของคุณจะต้องประเมินข้อมูลทั้งหมดที่จัดเก็บเพื่อให้แน่ใจว่าเป็นสิ่งที่จำเป็น ตัวอย่างเช่นคุณไม่สามารถขอรูปถ่ายของพวกเขาได้เว้นแต่จะมีเหตุผลและจากนั้นคุณจะต้องให้เหตุผลที่เฉพาะเจาะจงเกี่ยวกับวิธีการใช้งาน และพนักงานจะต้องได้รับอนุญาตให้ปฏิเสธโดยไม่มีผลกระทบ

    ตอนนี้สำหรับส่วนที่ซับซ้อน: แผนกไอทีจะต้องสามารถกำหนดได้ว่าข้อมูลที่ได้รับการป้องกันอยู่ที่ใดตลอดเวลาจะไปที่ไหนในขณะที่คุณกำลังใช้งานที่จัดเก็บและวิธีการป้องกัน เพียงแค่บอกว่ามันอยู่บนคลาวด์เซิร์ฟเวอร์ของคุณในไอร์แลนด์ไม่เพียงพอ คนของคุณจะต้องรู้ว่าจะไปยังเซิร์ฟเวอร์นั้นได้อย่างไรจะเกิดอะไรขึ้นกับเซิร์ฟเวอร์เมื่อมีการใช้งานและวิธีการป้องกันในรายละเอียด ทางออกที่ดีที่สุดของคุณคือจ้างผู้เชี่ยวชาญเพื่อทำสิ่งนี้ให้คุณอย่างน้อยที่สุดการแมปครั้งแรกและการเลือกเครื่องมือการจัดการที่จะรักษาข้อมูลนั้นไว้ ในที่สุดจะต้องมี DPO และเจ้าหน้าที่ฝ่ายสนับสนุน แต่ในระยะสั้นธุรกิจส่วนใหญ่จะทำดีอย่างน้อยก็เพื่อว่าจ้างที่ปรึกษาที่มีความเชี่ยวชาญที่สามารถตรวจสอบได้

สำหรับ Procrastinators

แน่นอนว่าอย่าวางจุดที่ดีเกินไป แต่คุณควรทำทั้งหมดนี้แล้ว ถึงกระนั้นความเป็นจริงของการทำธุรกิจประจำวันเป็นสิ่งที่พวกเขามีโอกาสที่คุณหลายคนอ่านไม่ได้ ดังนั้นเมื่อถึงวันนั้นคุณก็ควรเริ่มด้วยอย่างน้อยก็รู้ว่าข้อมูลของคุณอยู่ที่ไหน และถ้าไม่ใช่ตำแหน่งที่ควรจะเป็นให้ดูจุดที่ 1 ด้านบนจนกระทั่งคุณหาได้

ในขณะที่คุณทำเช่นนี้คุณควรโพสต์แบบฟอร์มยินยอมก่อนที่ทุกคนจะสามารถเข้าถึงส่วนของเว็บไซต์ของคุณที่ขอข้อมูลส่วนบุคคล Sagara Gunathunge รองประธานโครงการ Apache Web Services และผู้อำนวยการของ WSO2 นำเสนอตัวอย่างแบบฟอร์มการยินยอมที่มีให้อย่างอิสระสำหรับวัตถุประสงค์ที่หลากหลาย แต่โปรดจำไว้ว่าคุณต้องติดตามผู้ที่กรอกแบบฟอร์มเหล่านั้นเพื่อให้คุณสามารถแสดงลิงก์โดยตรงไปยังข้อมูลที่คุณรวบรวมและไม่ว่าจะเก็บไว้ในสหภาพยุโรปหรือที่อื่น ๆ ตรวจสอบให้แน่ใจว่าได้ใช้คำพูดชัดเจนและพูดอย่างชัดเจนว่าเกิดอะไรขึ้นกับข้อมูลที่คุณรวบรวม ใช่มันเป็นความเจ็บปวดที่คอ แต่ตัวเลือกอื่น ๆ คือตัวเลือกที่ 1

Gdpr อยู่ห่างออกไป 1 วัน: คุณรู้หรือไม่ว่าข้อมูลของคุณอยู่ที่ไหน