David Rainsford, manager si partener al Albenque Advisors, sustine ca GDPR se aplica in orice mediu IT care stocheaza date personale ale cetatenilor UE.
Regulamentul pentru Protectia Datelor Generale(GDPR) a fost creat si adoptat in Uniunea Europeana ca raspuns la discomfortul public aflat in crestere, legat de volumul de date personale colectate de la oameni fara ca acestia sa stie. GDPR a fost introdus inca din 2016, insa a intrat in vigoare in intreaga Uniune Europeana in data de 25 mai 2018, inlocuind efectele reglementarilor de confidentialitate anterioare.
Conform GDPR, este nevoie sa fie specificat exact scopul pentru colectarea datelor personale inainte ca acestea sa fie luate, si este nevoie de acordul si consimtamantul consimtamantul explicit al persoanei vizate; totodata, acest acord poate fi retras oricand.Oricine are dreptul sa studieze ceea ce o anumita organizatie stie despre el, si pot solicita ca datele lor personale sa fie sterse, adica isi pot exercita dreptul de a fi uitati.
Participand la conferinta DCD>Converged, sustinuta in Hong Kong anul trecut, David Rainsford, manager si partener la Albenque Advisors, a vorbit despre GDPR si implicatiile acestuia in activitatea providerilor de data centere din regiune.
Dar de ce ar putea conta GDPR-ul pentru operatorii de data centere si afaceri din Hong Kong, sau regiunea Asia-Pacific? Rainsford a raspuns cu o alta intrebare : ”Cum pot acesti provideri sa fie siguri 100% ca nu poseda date personale ale unor cetateni UE?”
Conform reglementarilor GDPR, nu conteaza unde este locat data-center-ul, sau unde este hostat web-site-ul, sau unde este intregistrata compania furnizoare, daca in baza de date a acesteia exista date personale ale unor cetateni UE sau din EEA(European Economic Area), aceasta intra sub incidenta legii GDPR.
Avand in vedere ca amenzile pentru incalcarea reglementarilor impuse de GDPR pot ajunge pana la 20 milioane de euro(22.56 milioane de dolari), sau 4% din cifra de afaceri globala organizatiei, acest aspect este demn de luat in seama cu seriozitate. Luand ca exemplu scurgerea masiva de date din octombrie 2017 de la compania aeriana Cathay Airways, locata in Hong Kong, Rainsford a expus situatia unei amenzi ipotetice pe care aceasta companie ar fi putut sa o primeasca, in valoare de 3.88 de miliarde de HK$ (495 milioane de dolari), si scazand aceasta amenda din venitul realizat de companie in 2017, acesta a subliniat impactul major al penalitatilor asupra cifrei de afaceri a oricarei firme aflate sub incidenta legilor GDPR.
Rainsford declara: ”GDPR a fost creat pentru a proteja dreptul persoanelor, nu pentru a inlesni munca ofiterilor responsabili cu confidentialitatea. Nu a fost dezvoltat pentru a face viata mai usoara pentru managerii de data centere sau de marketing. Iar in ceea ce priveste amenzile, acestea sunt puse in principiu sa fie atat de usturatoare incat mai bine sa te faca sa respecti reglementarile decat sa fi pus in situatia sa explici consiliului de administratie de ce vei fi amendat sau de ce ai un proces pe rol in acest sens.” Iar un proces de o astfel de natura, nu se stie ce verdict va avea, deoarece nu exista un precedent legal, e practic un teritoriu nou.
Rainsford a facut un apel catre mediul de afaceri din Asia-Pacific, sfatuind impotriva unei tactici ”sa asteptam pana vedem ce se intampla” si exemplificand in cate feluri pot ajunge companiile de aici sub incidenta legii GDPR. Un exemplu simplu ar fi ca un cetatean englez venit in Asia in vacanta, descarca o aplicatie pentru a beneficia de Wi-Fi gratuit, iar acest lucru inseamna sa ii fie luate datele personale si deci compania care ar face acest lucru ar incalca legea din UE.
Aditional, companiile ar trebui sa aiba un plan de raspuns in caz de incident foarte elaborat si exact, avand in vedere ca legislatia UE in privinta GDPR prevede ca orice accesare frauduloasa a datelor personale sa fie raportata in maxim 72 de ore de la descoperirea ei. Asa ca firmele din Asia ar trebui sa se pregateasca cu un plan de actiune inainte sa aiba loc eventuale atacuri cibernetice.
Recomandarile facute de Rainsford pentru afacerile locale au fost sa treaca print-un proces de clasificare si inventariere a datelor personale aflate in posesia acestora, si cu aceasta ocazie sa verifice in bazele lor de date existenta de date colectate de la cetateni UE. Toate aceste etape trebuie facute din timp, si companiile trebuie sa isi revizuiasca procedurile si politicile, precum si intelegerile si contractele cu partenerii.
Rainsford a mai declarat: ” Poti intra sub incidenta legii GDPR chiar daca procesezi date personale in Hong Kong. Penalitatile pentru astfel de actiuni sunt foarte severe, asa cum s-au dorit a fi. Filozofia reglementarilor GDPR are la baza ideea ca fiecare om este proprietarul datelor sale personale. Inca sunt destule lucruri de lamurit, sunt legi si reglementari noi, dar desi exista neclaritati, va sfatuiesc sa treceti la actiune inca de pe acum. ”
[…] Venind pe spatele expansiunii rapide in regiunea Asia Pacific si in intreaga lume, regiunea Amazon Web Services din Jakarta va fi al noualea furnizor de cloud din APAC. […]