家商业 GDPR是1天的路程：您知道数据在哪里吗？

GDPR是1天的路程：您知道数据在哪里吗？

2024

视频: E, É, È, Ê. Как читается буква Е с разными значками? Французский для детей. Урок 7 (十一月 2024)

对于许多公司，尤其是许多中小型企业（SMB）而言，其数据的实际位置可能是个谜。举例来说，假设您正在位于北弗吉尼亚地区的基于云的服务器集群上运行，该集群属于Amazon Web Services（AWS）。这意味着您的数据在北弗吉尼亚州，对吗？好吧，可能。但是，假设您与欧洲的公司或个人进行业务往来。然后，关于那些实体的数据可能也在该区域中。在很短的时间内，这可能是一个问题。

5月25日，星期五，欧盟（EU）的通用数据保护条例（GDPR）生效。届时，您的公司必须遵守欧盟规定的有关保护公民个人数据的新要求。即使您不在欧洲，但是如果您持有有关欧盟居民的任何个人数据，则您的公司仍受这些规定的约束。问题是，即使您认为将这些数据拉回到美国公司位置将使其受到更好的保护，也可能不允许您将这些数据存储在美国。

更重要的是，除了GDPR之外，您还需要考虑其他有关跨境数据流的法规。这是因为在途中让欧盟公民（或居住在欧盟的非公民）的数据通过另一个国家可能会出现问题。这意味着您不仅需要知道存储它的位置，还需要了解更多：您需要知道它在您与客户或员工之间的任何位置发生的变化。

如果您违反GDPR的规则，我不会讨论可能会等待您的严厉处罚，因为本专栏以及过去许多其他地方已经概述了这些处罚。因此，让我们说，您不希望对您应用这些处罚。

遵循GDPR的7条途径

但是，只要您采取一些预防措施，您就不必担心任何处罚。您可以采取一些相当简单的措施来避免出现问题。按最容易到最难的顺序，这里有七个。

不要从欧盟人民那里收集个人信息。如果您的网站可以让某人在您的网站注册过程中填写个人信息（例如其姓名和地址），则要么不接受欧盟的注册，要么根本不接受。

如果您必须接受欧盟人民的个人信息（也许是因为您有一个在那里出售商品的电子商务网站），则将数据存储在位于欧盟边界内的云服务器上。通常，这只是使用您当前的云提供商的欧洲网站配置基础架构即服务（IaaS）服务器群集的问题。另外，与大多数云提供商的专业服务部门进行短期合作后，他们将为您完成这项任务。不仅如此，如果您有幸与他们在欧洲的顾问互动，那么您可能还会获得认证的测试和适当的文档。

虽然有时您可以将数据移至美国或欧洲其他几个国家之一，但仍有一定限制。在美国，它们基于“隐私盾”，这是美国，欧盟和瑞士之间的一项协议，其中规定了对美国与这些国家之间的数据流的保护要求。对您的组织来说，证明它符合GDPR的数据保护要求可能是个好主意，但是欧盟法律规定，数据的收集和保留仅限于执行立即任务所需的内容。这意味着让熟悉GDPR详细信息的人跟踪您的各种数据流。尽管很繁琐，但这是确保您遵守法规的唯一方法。

如果必须处理数据（无论是在欧盟还是在美国），那么您必须满足特定的要求，包括任命某人为数据保护官（DPO）。您还必须安排一个工作流，专门用于在不再需要数据时将其删除，这会变得特别复杂，因为其中一部分是确保您可以删除所有要求被遗忘的个人信息。坦白说，这是三思而后行的另一个原因，就是要存储有关欧盟人员的信息。

如果您确实必须在欧盟开展业务，那么您可能应该考虑在欧洲开展业务，而不仅仅是在欧洲拥有服务器或企业级文件共享服务的云帐户。您可能想聘请一家公司来处理您在欧洲的事务，或者您想开设办事处，因为在GDPR专家和顾问那里工作人员会更容易，更不用说在GDPR结束后做欧洲业务了在世界范围内，欧洲在本质上将比其他任何地方都容易。

如果您开设办事处，那么您在欧洲的员工也需要根据GDPR规则处理其信息。尽管您可以在美国保存员工记录，但是您需要遵守规则，包括不保存任何对于员工完成工作而言并非绝对必要的信息。您还需要获得员工的许可才能存储个人信息（也许可以使他或她获得报酬），但是您的DPO将需要评估所有存储的数据，以确保这是必需的。例如，除非有原因，否则您不能索要他们的照片，然后必须给出如何使用的非常具体的理由。并且必须允许员工拒绝而不会造成任何影响。

现在，对于复杂的部分：IT部门必须能够始终确定受保护数据的位置，使用时数据的去向，存储位置以及受保护的方式。仅仅说它在爱尔兰的云服务器上还不够。您的人们将必须详细了解服务器如何到达该服务器，使用该服务器时发生了什么以及如何受到保护。最好的办法是聘请专家为您做到这一点，至少要保留初始映射和选择将维护该信息的管理工具。最终将需要DPO和支持人员，但是从短期来看，大多数企业至少可以聘请一位具有可验证专业知识的顾问来做。

对于拖延者

当然，不要对此提出过分的观点，但是您应该已经完成所有这些工作。尽管如此，日常业务的现实仍然是现实，但有许多读者可能还没有阅读。因此，既然日期基本上就在您身上，那么至少要知道您的数据在哪里。如果不是应该在的位置，请查看上面的第1点，直到您弄清楚了。

在执行此操作时，最好先发布同意书，然后任何人都可以访问您的网站中要求提供个人信息的部分。 Apache Web服务项目的副总裁兼WSO2的主任Sagara Gunathunge提供了一些出于各种目的而免费提供的同意书示例。但是请记住，您必须跟踪谁填写这些表格，以便您可以显示指向您所收集信息的直接链接，以及该信息是否存储在欧盟或其他地方。确保使其措辞清晰，准确，并准确说明您所收集信息的状况。是的，这是脖子上的疼痛。但是另一个选择是选项1。