Gdpr berjarak 1 hari lagi: apakah Anda tahu di mana data Anda?

Bagi banyak perusahaan, terutama bagi banyak usaha kecil dan menengah (UKM), lokasi sebenarnya dari data mereka mungkin menjadi misteri. Katakanlah, misalnya, bahwa Anda menjalankan cluster server berbasis cloud yang terletak di wilayah Virginia Utara milik Amazon Web Services (AWS). Itu berarti data Anda ada di Virginia Utara, bukan? Ya, mungkin. Tetapi katakanlah Anda melakukan bisnis dengan perusahaan atau individu di Eropa. Maka data tentang entitas-entitas itu mungkin juga ada di wilayah itu. Dan dalam waktu yang sangat singkat, itu bisa menjadi masalah.

Pada hari Jumat, 25 Mei, Peraturan Perlindungan Data Umum (GDPR) dari Uni Eropa (UE) mulai berlaku. Pada saat itu, perusahaan Anda berada di bawah peraturan yang diberlakukan oleh UE yang mencakup persyaratan baru untuk perlindungan data pribadi warga negara. Bahkan jika Anda tidak berlokasi di Eropa, perusahaan Anda masih tunduk pada peraturan tersebut jika Anda memegang data pribadi tentang penduduk UE. Masalahnya adalah, bahkan jika Anda berpikir menarik data itu kembali ke lokasi perusahaan AS Anda akan membuatnya lebih terlindungi, Anda mungkin tidak diizinkan untuk menyimpan data itu di Amerika Serikat.

Lebih penting lagi, selain GDPR, ada peraturan lain tentang aliran data lintas batas yang juga perlu Anda pertimbangkan. Ini karena memiliki data warga negara UE (atau seseorang yang tinggal di UE yang bukan warga negara) melewati negara lain dalam perjalanan mungkin bermasalah. Ini berarti bahwa Anda perlu tahu lebih dari sekadar di mana tempatnya saat Anda menyimpannya: Anda perlu tahu di mana ia berada di antara Anda dan di mana pun pelanggan atau karyawan Anda berada.

Saya tidak akan pergi ke hukuman kejam yang mungkin menunggu Anda jika Anda melanggar aturan GDPR karena mereka telah diuraikan dalam kolom ini dan di banyak tempat lain di masa lalu. Jadi, katakan saja, Anda tidak ingin hukuman ini diterapkan kepada Anda.

7 Jalan Menuju Kepatuhan GDPR

Tetapi selama Anda mengambil beberapa langkah pencegahan, Anda tidak perlu khawatir tentang hukuman apa pun. Ada beberapa hal yang cukup mudah yang dapat Anda lakukan untuk menghindari masalah. Inilah tujuh di antaranya, dalam urutan yang termudah hingga yang paling sulit untuk dilakukan.

Jangan mengumpulkan informasi pribadi dari orang-orang di UE. Jika situs web Anda memiliki kemampuan bagi seseorang untuk mengisi informasi pribadi (nama dan alamat mereka, misalnya) dalam proses mendaftar di situs web Anda, maka jangan menerima pendaftaran dari UE atau sama sekali tidak menerimanya.

Jika Anda harus menerima informasi pribadi dari orang-orang di UE (mungkin karena Anda memiliki situs web e-commerce yang menjual barang-barang di sana), maka data disimpan di server cloud yang terletak di dalam perbatasan UE. Seringkali ini hanyalah masalah mengonfigurasi kluster server Infrastruktur sebagai Layanan menggunakan situs web Eropa penyedia cloud Anda saat ini. Atau, mendanai keterlibatan singkat dengan sebagian besar lengan layanan profesional penyedia cloud akan membuat mereka menangani tugas ini untuk Anda. Tidak hanya itu, tetapi jika Anda cukup beruntung untuk terlibat dengan konsultan mereka yang berbasis di Eropa , maka Anda mungkin akan mendapatkan pengujian bersertifikat dan dokumentasi yang tepat juga.

Meskipun ada saat-saat Anda dapat memindahkan data ke AS atau salah satu dari sedikit negara lain di Eropa, ada batasannya. Di AS, mereka didasarkan pada Privacy Shield, yang merupakan perjanjian antara AS, Uni Eropa, dan Swiss yang menetapkan persyaratan perlindungan untuk data yang mengalir antara AS dan negara-negara tersebut. Mungkin merupakan ide bagus bagi organisasi Anda untuk menyatakan bahwa ia memenuhi persyaratan perlindungan data GDPR, tetapi hukum UE sedemikian rupa sehingga pengumpulan dan penyimpanan data hanya terbatas pada apa yang diperlukan untuk melakukan tugas segera. Itu berarti seseorang yang memiliki pengetahuan tentang rincian GDPR melacak berbagai aliran data Anda. Meskipun membosankan, ini adalah satu-satunya cara untuk memastikan Anda patuh.

Jika Anda harus memproses data, apakah itu di UE atau di AS, maka Anda harus memenuhi persyaratan tertentu, termasuk meminta seseorang disebut sebagai Petugas Perlindungan Data (DPO). Anda juga harus mengatur alur kerja yang didedikasikan untuk menghapus data ketika tidak lagi diperlukan, dan ini bisa menjadi sangat rumit karena bagian dari ini memastikan Anda dapat menghapus informasi pribadi siapa pun yang meminta untuk dilupakan. Terus terang, itulah alasan lain untuk berpikir dua kali tentang menyimpan informasi tentang orang-orang dari UE.

Jika Anda benar-benar harus melakukan bisnis di UE, maka Anda mungkin harus memikirkan kehadiran di sana daripada hanya akun cloud dengan server atau layanan berbagi file kelas bisnis di Eropa. Anda mungkin ingin melibatkan perusahaan untuk menangani urusan Anda di Eropa atau Anda mungkin ingin membuka kantor, karena kepegawaian para ahli dan konsultan GDPR akan lebih mudah di sisi kolam itu belum lagi bahwa hanya melakukan bisnis Eropa di pasca-GDPR dunia akan secara inheren lebih mudah di Eropa daripada di tempat lain.

Jika Anda membuka kantor, maka karyawan Anda di Eropa juga perlu memiliki informasi mereka ditangani sesuai dengan aturan GDPR. Meskipun Anda dapat menyimpan catatan karyawan di AS, Anda harus mengikuti aturan, termasuk tidak memegang informasi apa pun yang tidak sepenuhnya diperlukan bagi karyawan untuk melakukan pekerjaannya. Anda juga harus mendapatkan izin dari karyawan untuk menyimpan informasi pribadi (mungkin agar ia dapat dibayar), tetapi DPO Anda perlu mengevaluasi semua data yang disimpan untuk memastikan itu adalah sesuatu yang diperlukan. Misalnya, Anda tidak dapat meminta foto mereka kecuali ada alasan, dan kemudian Anda harus memberikan justifikasi yang sangat spesifik tentang bagaimana foto itu akan digunakan. Dan karyawan harus diizinkan untuk turun tanpa dampak.

Sekarang untuk bagian yang rumit: Departemen TI harus dapat menentukan di mana data yang dilindungi berada setiap saat, di mana ia pergi saat Anda menggunakannya, di mana itu disimpan, dan bagaimana itu dilindungi. Untuk mengatakan itu di server cloud Anda di Irlandia tidak cukup; orang-orang Anda harus tahu bagaimana hal itu sampai ke server itu, apa yang terjadi ketika itu digunakan, dan bagaimana itu dilindungi - secara rinci. Taruhan terbaik Anda adalah menyewa tenaga ahli untuk melakukan ini untuk Anda, setidaknya pemetaan awal dan pemilihan alat manajemen yang akan mempertahankan informasi itu. DPO dan staf pendukung pada akhirnya akan diminta, tetapi dalam jangka pendek, sebagian besar bisnis akan melakukannya dengan baik untuk setidaknya melibatkan konsultan yang memiliki keahlian yang dapat diverifikasi.

Untuk Penunda Penunda

Tentu saja, jangan terlalu mempermasalahkan hal itu, tetapi Anda seharusnya sudah melakukan semua ini. Namun, kenyataan dari bisnis sehari-hari adalah seperti apa adanya mereka, kemungkinan banyak dari Anda yang belum membaca ini. Jadi sekarang, tanggalnya pada dasarnya adalah pada Anda, mulailah dengan setidaknya mengetahui di mana data Anda. Dan jika tidak di tempat yang seharusnya, lihat poin 1 di atas sampai Anda menemukan jawabannya.

Ketika Anda melakukan ini, ada baiknya mengirim formulir persetujuan sebelum siapa pun dapat mengakses bagian situs web Anda yang meminta informasi pribadi. Sagara Gunathunge, Wakil Presiden proyek Layanan Web Apache dan Direktur di WSO2, menawarkan beberapa contoh formulir persetujuan yang tersedia secara bebas untuk berbagai keperluan. Tetapi ingat bahwa Anda harus melacak siapa yang mengisi formulir itu sehingga Anda dapat menunjukkan tautan langsung ke informasi yang telah Anda kumpulkan dan apakah itu disimpan di UE atau di tempat lain. Pastikan untuk membuatnya dengan kata-kata yang jelas, tepat, dan katakan dengan tepat apa yang terjadi pada informasi yang Anda kumpulkan. Ya, itu sakit di leher. Tetapi pilihan lainnya adalah opsi 1.