English
Русский
Європейський Загальний регламент захисту даних (GDPR) набув чинності у травні, однак він все ще заплутує деяких постачальників колокейшн послуг щодо того, яким вимогам вони повинні відповідати, і як це зробити.
GDPR – це все, що стосується забезпечення конфіденційності особистих даних споживачів та надання їм більшого контролю над тим, як дані використовуються та як довго. Це важливо, оскільки це стосується будь-якої організації будь-якого розміру, яка зберігає або обробляє будь-які особисті дані резидентів ЄС. Для всіх намірів та цілей це означає практично будь-яку компанію ЄС, в якій кожен зберігає дані про власних працівників. Але це також стосується і компаній за межами ЄС, які мають дані про мешканців ЄС.
Основи GDPR: Контролери даних та процесори даних
Марк Бейлі є партнером юридичної фірми Великобританії Charles Russell Speechlys та експертом з різних аспектів технологічного права, включаючи контракти з центрами обробки даних. (Фактично, він виступив з темою, пов’язаною з GDPR, в Міжнароднародному Колокейшн клубі в Парижі, в 2016 році).
Бейлі стверджує, що ступінь, в якій мірі GDPR застосовується до постачальника колокейшн послуг, залежить від того, чи компанія просто розміщує прості домашні сервери для клієнтів, або ж вона надає більше “hands on” послуг (послуги з цілодобовою підтримкою), що робить його зв’язок направленим на безпосередній контакт із даними клієнта.
GDPR визначає два класи: контролери даних та процесори даних. Всі колокейшн компанії є контролерами даних, оскільки вони здійснюють “цілі, умови та засоби обробки персональних даних”, згідно з GDPR. Проте колокейшн компанії, які є контролерами стосовно своїх власних працівників, можуть, нести обмежену відповідальність згідно з GDPR у відношенні до їх власних клієнтських даних (якщо ви не виконуєте жодної з цих дій і не можете робити будь-якої з цих дій, ви, ймовірно, не будете предметом регулювання GDPR взагалі).
Ви можете розглядатись як процесор даних, якщо ви можете отримати доступ до даних, змінювати або поширювати дані клієнтів, або якщо ви здійснюєте зберігання, шифрування чи аналіз даних, навіть якщо вони анонімні. Якщо ви можете взаємодіяти з жорсткими дисками, видаляти їх або отримати доступ до серверів, таких як перезавантажувальні, то ви також вважаєтеся процесором даних.
“Незважаючи на той самий ступінь відповідальності, що і контролери, процесори даних тепер мають набагато більшу відповідальність (і зобов’язання) згідно з GDPR”, говорить Бейлі, “і клієнти зараз перевіряють постачальників, на відповідність.”
Основи GDPR: відповідність для Колокейшн Провайдерів
“Забезпечення відповідності GDPR можна контролювати за допомогою кількох основних заходів, які допоможуть полегшити життя компаніям, які не відповідають вимогам GDPR”, – говорить Бейлі.
По-перше, це наявність відповідних політик та процедур на місці, і їх дотримання. Це звичайно тягне за собою стандарти і сертифікації, такі як стандарт інформаційної безпеки ISO 27001. “Ми бачимо, що постачальники центрів обробки даних все частіше починають розглядати сертифікацію та використовувати її як знаки якості”, – говорить Бейлі. “Лише сама наявність їх ще не означає автоматичну відповідність GDPR”.
Просто тому, що у вас це є, ще не означає, що ви автоматично дотримуєтеся GDPR. Стандарти повинні бути належним чином дотримані, щоб вони незмінно працювали в ланцюжку з вимогами клієнтів”.
Фізична безпека є ще однією ключовою вимогою. Але GDPR не визначає жодних конкретних технологій; навпаки, він взагалі зазначає про “адекватні” технічні та організаційні засоби захисту даних. “Дві речі, які ми шукаємо в центрах обробки даних це біометричний контроль доступу та відеоспостереження (камери безпеки)”, – говорить Бейлі. Ключем є наявність відповідних політик на місці навколо цих елементів контролю, як-от, як довго зберігатиметься записи доступу та записи відеоспостереження. “Якщо ваш центр обробки даних розташований поруч із загальнодоступною вулицею, де тисячі людей ходять повсякденно, ви матимете іншу оцінку впливу на конфіденційність “.
Можливості для бізнесу, які GDPR принесе Колокейшн постачальникам
Рівень безпеки, наданий колокейшн центром обробки даних може бути диференціатором, який надає можливість відповідності клієнтам, котрі стурбовані GDPR.
“Оператори повинні бути досить зацікавлені тим, чим займаються клієнти, щоб вони мали відповідне середовище на місці”, – говорить Бейлі. Наприклад, такі галузі, як охорона здоров’я та фінанси, мають більш жорсткі вимоги, як і будь-яка компанія, яка обробляє кредитні картки. “Отож, подумайте про це, і переконайтеся, що у вас є правильні елементи керування та правильна інформація, доступна для надання клієнтам навколо специфічних елементів керування, таких як відеоспостереження”.
Будьте GDPR відповідні, ваші клієнти очікують цього від Вас
Пам’ятаєте, що GDPR застосовується до будь-якої компанії, яка обробляє або зберігає дані про громадян ЄС – навіть якщо така компанія фізично не знаходиться в межах ЄС – це важливо. “Якщо ви підтримуєте маркетингову базу даних або контактуєте з європейськими громадянами, технічно закон все ще застосовується”, – говорить Бейлі. Обов’язки можуть бути дещо обмеженими, але краще перевірити, які вони є.
Щоб дізнатись більше про те, як досягти відповідності GDPR, завантажте безкоштовне офіційне роз’яснення TechUK «Ази Відповідності для центрів обробки даних». У документі розглядаються основи GDPR і усуваються незрозумілості в розумінні того, як він застосовується до операторів центру обробки даних.
