Европейский Общий регламент защиты данных (GDPR) вступил в силу в мае, однако он все еще запутывает некоторых поставщиков колокейшн услуг относительно того, каким требованиям они должны отвечать, и как их исполнить.
GDPR – это все, что касается обеспечения конфиденциальности личных данных потребителей и предоставление им большего контроля над тем, как данные используются и как долго. Это важно, поскольку это касается любой организации любого размера, которая сохраняет или обрабатывает любые личные данные резидентов ЕС. Для всех намерений и целей это означает практически любую компанию ЕС, в которой каждый сохраняет данные о собственных работниках. Но это также касается и компаний за пределами ЕС, которые имеют данные о жителях ЕС.
Основы GDPR: Контроллеры данных и процессоры данных
Марк Бейли является партнером юридической фирмы Великобритании Charles Russell Speechlys и экспертом по различным аспектам технологического права, включая контракты с центрами обработки данных. (Фактически, он выступил с темой, связанной с GDPR, на Международном Колокейшн клубе в Париже, в 2016 году).
Бейли утверждает, что степень, в какой степени GDPR применяется к поставщику колокейшн услуг, зависит от того, размещает ли компания простые домашние серверы для клиентов, или же она предоставляет больше “hands on” услуг (услуги с круглосуточной поддержкой), что делает его связь направленной на непосредственный контакт с персональными данными клиента.
GDPR определяет два класса: контроллеры данных и процессоры данных. Все колокейшн компании являются контролерами данных, поскольку они осуществляют “цели, условия и средства обработки персональных данных”, согласно GDPR. Однако колокейшн компании, которые являются контроллерами относительно своих собственных работников, могут, тем не менее, нести ограниченную ответственность согласно GDPR в отношении их собственных клиентских данных (если вы не выполняете никакого из этих действий или не можете делать любое из этих действий, вы, вероятно, не будете предметом регулирования GDPR вообще).
Вы можете рассматриваться как процессор данных, если вы можете получить доступ к информации, изменять или распространять данные клиентов, или если вы осуществляете хранение, шифрование или анализ данных, даже если это происходит анонимно. Если вы можете взаимодействовать с жесткими дисками или удалять их, или получать доступ к таким серверам, как перезагрузочные, то вы также считаетесь процессором данных.
“Несмотря на ту же степень ответственности, как у контроллеров, процессоры данных теперь имеют гораздо большую ответственность (и обязательства) по GDPR”, говорит Бейли, “и клиенты сейчас проверяют поставщиков на соответствие”.
Основы GDPR: соответствие для Колокейшн Провайдеров
“Обеспечение соответствия GDPR можно контролировать с помощью нескольких мер, что помогут облегчить жизнь компаниям, которые не соответствуют требованиям GDPR”, – говорит Бейли.
Во-первых, это наличие соответствующих политик и процедур на месте, и их соблюдение. Это конечно влечет за собой стандарты и сертификации, такие как стандарт информационной безопасности ISO 27001. “Мы видим, что поставщики центров обработки данных все чаще начинают рассматривать сертификацию и использовать ее как знака качества”, – говорит Бейли. “Только само наличие их еще не означает автоматическое соответствие GDPR”.
Просто потому, что у вас это есть, еще не значит, что вы автоматически придерживаетесь GDPR. Стандарты должны быть должным образом соблюдены, чтобы они неизменно работали в цепочке с требованиями клиентов “.
Физическая безопасность является еще одним ключевым требованием. Но GDPR не определяет никаких конкретных технологий. Наоборот, он вообще отмечает “адекватные” технические и организационные средства защиты данных. “Две вещи, которые мы ищем в центрах обработки данных это биометрический контроль доступа и видеонаблюдения (камеры безопасности)”, – говорит Бейли.
Ключом является наличие соответствующих политик на месте вокруг этих элементов контроля, например, как долго будут сохраняться записи доступа и записи видеонаблюдения. “Если ваш центр обработки данных расположен рядом с общедоступной улицей, где тысячи людей ходят повседневно, вы будете иметь другую оценку влияния на конфиденциальность.”
Возможности для бизнеса, которые GDPR принесет Колокейшн поставщикам
Уровень безопасности, предоставленный колокейшн центром обработки данных может быть дифференциатором, что предоставляет возможность соответствия клиентам, которые обеспокоены GDPR.
“Операторы должны быть весьма заинтересованы тем, чем занимаются клиенты, чтобы они имели соответствующую среду на месте”, – говорит Бейли. Например, такие отрасли, как здравоохранение и финансы, имеют более жесткие требования, как и любая компания, которая обрабатывает кредитные карточки. “Итак, подумайте об этом, и убедитесь, что у вас есть правильные элементы управления и правильная информация, доступная для предоставления клиентам вокруг специфических элементов управления, таких как видеонаблюдение”.
Соответствуйте GDPR, ваши клиенты ожидают этого от вас
Помните, что GDPR применяется к любой компании, которая обрабатывает или хранит данные о гражданах ЕС – даже если такая компания физически не находится в пределах ЕС – это важно. “Если вы поддерживаете маркетинговую базу данных или контактируете с европейскими гражданами, технически закон все еще применяется”, – говорит Бейли. Обязанности могут быть несколько ограничены, но лучше проверить, какие они есть.
Чтобы узнать больше о том, как достичь соответствия GDPR, загрузите бесплатное официальное разъяснение TechUK «Азы соответствия для центров обработки данных». В документе рассматриваются основы GDPR и устраняются неясности в понимании того, как он применяется к операторам центра обработки данных.