Ev Gdpr 1 gün uzaklıktadır: Verilerinizin nerede olduğunu biliyor musunuz?

Gdpr 1 gün uzaklıktadır: Verilerinizin nerede olduğunu biliyor musunuz?

İçindekiler:

Video: Hans Rosling görecek olacağınız en iyi istatistikleri gösteriyor (Kasım 2024)

Video: Hans Rosling görecek olacağınız en iyi istatistikleri gösteriyor (Kasım 2024)
Anonim

Birçok şirket için, özellikle küçük ve orta ölçekli işletmeler için (KOBİ'ler), verilerinin gerçek konumu bir gizem olabilir. Örneğin, Kuzey Virginia bölgesinde bulunan Amazon Web Hizmetlerine (AWS) ait bulut tabanlı bir sunucu kümesinde çalıştığınızı varsayalım. Bu, verilerinizin Kuzey Virginia’da olduğu anlamına mı geliyor? Evet, muhtemelen. Ancak diyelim ki, Avrupa'da şirketler veya bireylerle iş yapıyorsunuz. O zaman bu varlıklar hakkındaki veriler muhtemelen o bölgededir. Ve çok kısa sürede, bu bir problem olabilir.

25 Mayıs Cuma günü, Avrupa Birliği (AB) Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdi. Bu noktada şirketiniz, vatandaşların kişisel verilerinin korunmasına ilişkin yeni gereklilikleri kapsayan AB tarafından getirilen düzenlemelere uymaktadır. Avrupa'da bulunmasanız bile, AB sakinleri hakkında kişisel verileriniz varsa, şirketiniz bu düzenlemelere tabidir. Sorun şu ki, bu verileri ABD’nin kurumsal konumuna geri götürmeyi daha iyi koruyacağınızı düşünüyorsanız, bu verileri ABD’de saklamanıza izin verilmeyebilir.

Daha da önemlisi, GSYİH, bir yana, sınır ötesi veri akışlarıyla ilgili ayrıca göz önünde bulundurmanız gereken başka düzenlemeler var. Bunun nedeni bir AB vatandaşının (ya da AB'de yaşayan bir vatandaş olmayan) verilerinin yolda başka bir ülkeden geçmesi sorunlu olabilir. Bu, sakladığınız zaman nerede olduğunu bilmemiz gerektiği anlamına gelir: sizin ve müşterinizin ya da çalışanınızın nerede olduğu ile aranızda nereye gittiğini bilmeniz gerekir.

GSYİH kurallarını ihlal ederseniz sizi bekleyen cezaevi cezalarına girmeyeceğim, çünkü bu sütunda ve geçmişte birçok yerde belirtilmişlerdir. Yani, diyelim ki, bu cezaların size uygulanmasını istemiyorsunuz.

GSYİH Uyumuna 7 Yol

Ancak bazı önleyici adımlar attığınız sürece, herhangi bir ceza için endişelenmeniz gerekmez. Sorunları önlemek için yapabileceğiniz oldukça kolay şeyler var. İşte bunlardan yedi, en kolay ve en zor iş.

    AB'deki insanlardan kişisel bilgi toplamayın. Web siteniz birisinin web sitenize kaydolma sürecinde kişisel bilgilerini (örneğin isimleri ve adresleri) doldurma kabiliyetine sahipse, ya AB'den kayıt kabul etmeyin ya da hiç kabul etmeyin.

    AB’deki insanlardan kişisel bilgileri kabul etmeniz gerekiyorsa (belki de orada satılan bir e-ticaret web siteniz olduğundan), verileri AB sınırları içinde bulunan bir bulut sunucusunda saklayın. Genellikle bu, mevcut bulut sağlayıcınızın Avrupa web sitesini kullanarak bir Hizmet Olarak Altyapı (IaaS) sunucu kümesini yapılandırma meselesidir. Alternatif olarak, çoğu bulut sağlayıcısının profesyonel hizmet kolları ile kısa bir anlaşmaya varmak, bu görevi sizin için halledeceğini görecektir. Sadece bu değil, Avrupa merkezli danışmanlarıyla ilgilenebilecek kadar şanslıysanız, muhtemelen sertifikalı testler ve uygun belgeler de alırsınız.

    Verileri ABD'ye veya Avrupa'daki birkaç başka ülkeden birine taşıyabileceğiniz zamanlar olsa da, sınırlamalar vardır. ABD'de, ABD ile AB ve İsviçre arasında ABD ile bu ülkeler arasında akan veri için koruma gereksinimlerini belirleyen bir anlaşma olan Gizlilik Kalkanı'na dayanmaktadır. Örgütünüzün GSYİH'nın veri koruma gerekliliklerini yerine getirdiğini onaylaması muhtemelen iyi bir fikirdir, ancak AB yasaları, verilerin toplanması ve elde tutulmasının sadece acil görevi gerçekleştirmek için gerekli olanlarla sınırlı olacağı yönündedir. Bu, GDPR ayrıntılarını bilen birisinin çeşitli veri akışlarınızı takip etmesi anlamına gelir. Sıkıcı olsa da, uygun olduğunuzdan emin olmanın tek yolu budur.

    Verileri AB'de mi yoksa ABD'de mi işlemek zorundaysanız, o zaman bir Veri Koruma Görevlisi (DPO) olarak adlandırılan biri de dahil olmak üzere özel gereksinimleri karşılamalısınız. Ayrıca, artık gerekmediğinde verilerin kaldırılmasına adanmış bir iş akışı düzenlemek zorunda kalacaksınız ve bu özellikle karmaşık hale gelebilir, çünkü bunun bir kısmı unutulmayı isteyen herhangi bir kişinin kişisel bilgilerini kaldırabileceğinizden emin olur. Açıkçası, AB'den gelen insanlar hakkında bilgi depolamak hakkında iki kez düşünmek için başka bir neden.

    Eğer AB’de gerçekten bir iş yapmak zorundaysanız, o zaman muhtemelen Avrupa’daki bir sunucu veya işletme sınıfı dosya paylaşım hizmetine sahip bir bulut hesabı yerine, orada bulunmayı düşünmelisiniz. Avrupa'daki işlerinizi ele almak için bir şirket kurmak isteyebilirsiniz ya da bir ofis açmak isteyebilirsiniz, çünkü GDPR uzmanları ve danışmanları görevlendirmek, havuzun bu tarafında sadece GDPR sonrası bir Avrupa işinde bulunduğundan bahsetmemekten daha kolay olacaktır. dünya, Avrupa'da, her yerde olduğundan daha kolay olacaktır.

    Bir ofis açarsanız, Avrupa'daki çalışanlarınızın da bilgilerini GSYİH kurallarına göre ele almaları gerekir. ABD'de çalışan kayıtları tuttuğunuz halde, bir çalışanın işini yapması için kesinlikle gerekli olmayan hiçbir bilginin tutulmaması da dahil olmak üzere kuralları izlemeniz gerekir. Ayrıca, kişisel bilgileri (belki de ödeme alabilmesi için) saklamak için çalışandan izin almanız gerekir, ancak DPO'nuzun, gereken bir şey olduğundan emin olmak için depolanan tüm verileri değerlendirmesi gerekir. Örneğin, bir neden olmadıkça fotoğraflarını isteyemezsiniz ve nasıl kullanılacağına dair çok spesifik bir gerekçe vermek zorundasınız. Ve çalışanın hiçbir yan etkisi olmadan reddetmesine izin verilmelidir.

    Şimdi karmaşık kısım için: BT departmanı, korunan verilerin her zaman nerede bulunduğunu, onu kullanırken nereye gittiğini, saklandığı yeri ve nasıl korunduğunu belirleyebilmelidir. Sadece İrlanda'daki bulut sunucunuzda olduğunu söylemek yeterli değil; Sizinkiler o sunucuya nasıl ulaştığını, kullanıldığında ne olduğunu ve nasıl korunduğunu bilmek zorunda kalacak. En iyisi, en azından ilk haritalandırma ve bu bilgileri sağlayacak yönetim araçlarının seçimi için sizin için bunu yapacak uzmanları işe almak. Bir DPO ve destek personeli nihayetinde gerekli olacak, ancak kısa vadede çoğu işletme en azından doğrulanabilir uzmanlığa sahip bir danışmanı işe almak için elinden geleni yapacaktır.

Erteleyiciler İçin

Tabii ki, bu konuda çok iyi bir noktaya değinmek değil, ama hepsini zaten yapmalıydınız. Yine de, günlük iş dünyasının gerçekleri, gerçekte oldukları gibi olma şansı. Bu yüzden şimdi tarih temelde size göre, en azından verilerinizin nerede olduğunu bilerek başlayın. Ve olması gereken yerde değilse, o zaman anlayana kadar yukarıdaki 1 numaralı maddeye bakın.

Bunu yaparken, web sitenizin kişisel bilgilerinizi isteyen kısmına erişmeden önce bir onay formu göndermek iyi bir fikirdir. Apache Web Services projesinin Başkan Yardımcısı ve WSO2 Direktörü Sagara Gunathunge, çeşitli amaçlar için serbestçe temin edilebilen onay formları örnekleri sunmaktadır. Ancak, bu formları kimin doldurduğunu takip etmeniz gerektiğini unutmayın; böylece topladığınız bilgilerle doğrudan mı, AB’de mi yoksa başka bir yerde mi saklandığını görebilirsiniz. Açıkça ifade ettiğinden, kesin ve tam olarak topladığınız bilgilere ne olduğunu söylediğinizden emin olun. Evet, boyundaki ağrı. Ancak diğer seçenek seçenek 1'dir.

Gdpr 1 gün uzaklıktadır: Verilerinizin nerede olduğunu biliyor musunuz?