اطلاع‌رسانی

GDPR (مقررات حفاظت از اطلاعات عمومی) چیست؟

تمام منابع مورد نیاز برای پیاده سازی و اجرای مقررات جدید حفاظت از داده در اتحادیه اروپا EU GDPR

منابع مفیدی که با GDPR سازگار هستند.

ترس از تغییر، احساس ناخوشایندی است که همه از آن نفرت دارند. زیرا مردم را از محیط راحت و یکنواختشان خارج می‌کند.

افراد معمولاً به تغییرات، دیدگاهی همراه با اضطراب و سوءظن دارند، چرا که هیچ پیش زمینه‌ای در مورد چگونگی عملکرد قسمت‌های مختلف ندارند. همواره تغییرات، روندی را که افراد برای انجام کارها از آن استفاده می‌کردند، با اختلال مواجه می‌کند.

این امر سبب می‌شود زمانی که آن‌ها در یک چالش قرار می‌گیرند غافلگیر شوند.

اما به‌ محض این‌که در مورد چگونگی این تغییرات شروع به یادگیری کردند، این نگرانی‌ها برطرف خواهند شد. پس‌ از آن، یاد می‌گیرند که باید همواره به‌روز باشند و با تغییرات وفق پیدا کرده و سازگار شوند.

و این اتفاق زمانی که مقررات حفاظت از اطلاعات عمومی (GDPR) اعلام شد، رخ داد.

مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا چیست؟

مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا (EU GDPR) اصلاحیه‌ای جدید و جایگزین عبارت “دستورالعمل‌های حفاظت از داده ” از سال 1995 می‌باشد، که این دستورالعمل، دیگر نمی‌توانست نیازهای شخصی و امنیتی فعلی شهروندان اروپایی را کنترل کند. مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا (EU Data Protection Regulation) چگونگی جمع‌آوری و مدیریت اطلاعات شخصی در اتحادیه اروپا را تعیین می‌کند.

هدف از این قانون جدید “‌تقویت و یکپارچگی در حفاظت از اطلاعات برای همه افراد در اتحادیه اروپا” و همچنین ساده‌ کردن کارها و کنترل آسان‌تر افراد بر اطلاعات شخصی‌شان است.

لازم است که حقایقی در مورد EU GDPR بدانید.

این سیاست یکی از مهم‌ترین عناصر در قوانین حقوق بشر و حفظ حریم خصوصی در اتحادیه اروپا است، که برای اقتصاد دیجیتال ما و شکل‌گیری تکامل آن در سال‌های آینده بسیار مهم است.

کمیسیون اروپا در فوریه 2016 سیاست جدید GDPR را تصویب کرد و انتظار می‌رود در ماه مه 2018 پس از یک دوره تحول دوساله، قابل‌اجرا باشد. این مقررات به‌طور مستقیم به تمام کشورهای عضو اتحادیه اروپا اعمال می‌شود بدون اینکه نیاز به اجرای قوانین ملی باشد. این قوانین نه‌تنها برای نهادهای عمومی بلکه برای تمام نهادهایی که اطلاعات شخصی را در اتحادیه جمع‌آوری و اداره می‌کنند، قابل پیاده‌سازی می‌باشد.

سازمان‌ها هنوز برای پذیرش قوانین جدید EU GDPR آماده نیستند.

یک تیم تحقیقاتی، مطالعاتی را با هدف شناسایی دیدگاه سازمان‌ها در مورد مقررات جدید و نحوه برنامه‌ریزی آن‌ها انجام دادند. نتایج نشان داد که:

  • بیش از 90 درصد از سازمان‌ها با قوانین جدید اتحادیه اروپا (EU GDPR) آشنا شده‌اند، اما تنها یک‌سوم از آن‌ها (حدود 32 درصد) گفته‌اند که با آن سازگار هستند و یا برای قوانین جدید آماده‌ شده‌اند.
  • تقریباً 30٪ از پاسخ‌دهندگان هنوز آماده نشده‌اند و نیاز به تغییراتی در شیوه‌های امنیتی دارند و باید تغییرات قابل‌توجهی را در تکنولوژی خود که مطابق با سیاست‌های  EU GDPR باشد، انجام دهند.
  • برای سازمان‌هایی که EU GDPR یکی از اولویت‌های مهم آن‌ها است، 65 درصد از سازمان‌ها در حال برنامه‌ریزی برای داشتن یک افسر حفاظت از داده، چه در خانه و چه در خارج از آن محیط هستند.

همچنین نظرسنجی دیگری که توسط DELL منتشر شد، نشان می‌دهد که سازمان‌ها از الزامات و مقررات جدید، چگونگی آمادگی برای رویارویی با قوانین جدید و این‌که چگونه امنیت اطلاعات، کسب‌ و کار را تحت تأثیر قرار می‌دهد، آگاهی ندارند. بیش از نیمی از سازمان‌ها شروع به کسب آمادگی برای مطابقت با GDPR کرده‌اند، مطالعه دیگری که توسط “ونسون بورن” انجام شده این موضوع را بیان می‌کند.

این عدم آمادگی برای پذیرش GDPR می‌تواند بر شهرت سازمان‌ها و کسب‌ و کارشان، جرائم سنگینی که برای اشتباهات باید بپردازند و همین‌طور بر افشای ذخایر اطلاعاتی نیز تأثیر بگذارد.

به‌ عنوان‌ مثال یک شرکت بریتانیایی، قوانین حریم خصوصی و ارتباطات الکترونیکی (PECR) را هنگام آمادگی برای GDPR رعایت نکرد و مجازات شد.

هدف EU GDPR چیست؟

هدف از این مجموعه قوانین جدید که در ماه مه سال 2018 به اجرا درمی‌آید، این است که: برای شهروندان اتحادیه‌ اروپا امکان کنترل بیشتر بر اطلاعات شخصی‌شان را فراهم کنند. حفظ حریم خصوصی یک حق اساسی در اروپا است و مقررات جدیدی در همین راستا تنظیم شده‌ است.

این مجموعه قوانین، محیط قانونی را برای کسب‌ و کار فراهم می‌کنند و گامی رو به‌ جلو برای بازار دیجیتال در اتحادیه اروپا هستند که هدف آن‌ها ایجاد فرصت‌های دیجیتالی بیشتر برای افراد و سازمان‌ها در زمینه جا به جایی افراد، کسب‌ و کارها، خدمات و سرمایه‌گذاری‌ها است.

هدف GDPR این است که با روش‌هایی متفاوت از روش‌های به تصویب رسیده در سال 1995 از شهروندان اتحادیه اروپا در برابر درز اطلاعاتشان به دنیای بیرون در جهانی که فرایند انتقال داده‌ها روزبه‌روز در حال افزایش است محافظت کند.

10 جنبه مهم از مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا:

در این قسمت، برخی از موارد ضروری در مورد مقررات حفاظت از اطلاعات عمومی (GDPR) و مرتبط با کاربر، مشتری و کسب‌ و کار آورده شده است:

1.قوانین جمع‌آوری اطلاعات سخت‌گیرانه‌تر می‌شوند.

این سیاست جدید بیان می‌کند که ” اطلاعات شخصی می‌توانند فقط به‌صورت قانونی و تحت شرایطی سخت با اهدافی قانونی مورد جمع‌آوری قرار گیرند”. یعنی صاحبان کسب‌ و کار باید نسبت به اطلاعاتی که در مورد مشتریان خود جمع‌آوری می‌کنند، دقت بیشتری به خرج دهند.

مجموعه مقررات GDPR به این دلیل تنظیم شده‌اند که کاربران از حفاظت شدید داده‌های خود در هر نقطه از اتحادیه اروپا اطمینان حاصل کرده و در صورتی‌که داده‌ها در هر جای اتحادیه اروپا مورد سوءاستفاده قرار گیرند، حق شکایت داشته و می‌توانند خسارت دریافت کنند.

2.شما مسئول حفاظت از اطلاعات شخصی خود در برابر هرگونه آسیب هستید.

GDPR جدید در اتحادیه اروپا بر عدم سوءاستفاده و دست‌کاری اطلاعات شخصی جمع‌آوری‌شده توسط اشخاص حقوقی تأکید بسیاری دارد. علاوه بر آن، خود شما نیز باید تنظیمات حریم خصوصی را به‌طور پیش‌فرض در بالاترین سطح امنیتی قرار دهید.

همه کسانی که به‌نوعی به این قوانین مربوط می‌شوند (حتی خود شما) باید خود را در برابر صاحبان داده مسئول و پاسخگو بدانند.

اطلاعات خود را با روش‌های زیر ایمن نگه‌دارید:

  • حفاظت از سرورها در مقابل حملات هکرهای سایبری که می‌توانند به کامپیوتر شما دسترسی داشته و فایل‌های شما را رمزگذاری کنند.
  • استفاده از HTTPS به‌صورت پیش‌فرض برای تضمین ایمنی آنلاین شما در تمام وب‌سایت‌هایی که اطلاعات شخصی افراد را جمع‌آوری می‌کنند.
  • نصب یک آنتی‌ویروس برای محافظت در مقابل حملات هکرهایی که می‌توانند به اطلاعات حساس شما دسترسی پیدا کنند.

3.صاحبان داده حق “به فراموشی سپرده شدن اطلاعات خود از روی سایت” را دارند. (یعنی اطلاعات آن‌ها پس از مدتی از روی سایت محو شود.)

طبق مقررات جدید، هر کس این حق را دارد که از اطلاعات شخصی خود محافظت کند؛ که شامل “حق پاک کردن اطلاعات شخصی” است طوری که به کاربران اجازه می‌دهد اطلاعات شخصی خود را از پایگاه داده، شرکت یا موسسه‌ای حذف کنند. شرایط پاک کردن “شامل داده‌هایی است که به مدت طولانی برای اهداف پردازشی مورد استفاده قرار نگرفته‌اند و یا اطلاعات بدون کاربرد و غلطی هستند.”

این کار تنها در صورتی انجام می‌شود که کنترل‌کننده دارای دلایل جدی برای درخواست شخصی خود، ازجمله عدم انطباق اطلاعات باشد. منطق این ایده چنین است که حریم خصوصی و اطلاعات شخصی افراد، کاملاً محرمانه هستند. به‌ عنوان‌ مثال، اگر یک موسسه اطلاعات قدیمی یا نادرست در مورد یک شخص داشته باشد، می‌تواند از نظر قانونی درخواست حذف داده‌ها را داشته باشد.

در اتحادیه اروپا به‌منظور سازگاری بیشتر با قانون GDPR هر شرکتی باید امکان دسترسی آسان به اطلاعات شخصی کارمندان خود را فراهم کند.

4.کاربران از نظارت کامل بر اطلاعات خود رضایت بیشتری دارند.

واضح است که قوانین جدید حفاظت از داده در اتحادیه اروپا به کاربران برای حفاظت از اطلاعات خود قدرت بیشتری می‌دهد. این موضوع برای شرکت‌ها خوب است، اگرچه ممکن است آن‌گونه که به نظر هم می‌رسد، نباشد.

شفافیت بیشتر در قوانین جدید، روابط بین کسب‌ و کار و مشتریان را بهبود بخشیده و درنتیجه سبب ایجاد اعتماد بیشتر و جذب هر چه بیشتر مشتریان می‌شود. قدرت شفافیت و صداقت را دست‌کم نگیرید!

فیس‌بوک ویژگی‌هایی را معرفی می‌کند تا به کاربران اعلام کند زمانی‌که در روند معمول مورد استفاده‌ آن‌ها تغییری ایجاد شود، آن‌ها می‌توانند از داده‌های خود و ایمنی آن اطمینان داشته باشند.

آیا می‌دانستید که قانون جدید حفاظت از داده‌ها عمومی در اتحادیه اروپا قدرت بیشتری را در اختیار کاربران قرار می‌دهد؟

GDPR با امکان کنترل بیشتر بر انتقال اطلاعات به کاربران اجازه می‌دهد اطلاعات شخصی خود را از یک سیستم الکترونیکی به دیگری انتقال دهند. این بدان معنی است که شما، به‌عنوان یک صاحب کسب‌ و کار، باید از جمع‌آوری داده‌ها به‌صورت سازمان‌دهی شده و انتقال آسان اطلاعات به دیگر سیستم‌های الکترونیکی اطمینان حاصل کنید.

در مثال دیگری، گوگل کاربران را برای نظارت بهتر بر اطلاعات جهت بازبینی مسائل امنیتی راهنمایی می‌کند. شما می‌توانید انواع داده‌هایی را که گوگل جمع‌آوری می‌کند، مدیریت کنید و اطلاعات شخصی خود را با دوستانتان به اشتراک بگذارید.

5.مشتریان قادر به تشکیل پرونده‌های قانونی برای پیگیری اطلاعات به خطر افتاده خود خواهند بود.

EU GDPR نه‌تنها از حقوق کاربران حفاظت می‌کند، بلکه از آن‌ها دفاع نیز می‌کند. کاربران در صورت درز اطلاعات یا برخی رویدادهای دیگر که اطلاعات شخصی آن‌ها را در معرض خطر قرار می‌دهد، می‌توانند تقاضای پیگرد قانونی کنند.

صاحبان کسب‌ و کار باید این موضوع را بسیار جدی بگیرند، زیرا یک حمله سایبری علاوه بر خسارات سنگین مالی بر شهرت و نام تجاری شرکت نیز تأثیری طولانی‌ مدت می‌گذارد.

6.شما مسئول جلب رضایت و ارتباط صحیح با کاربر هستید.

مقررات جدید EU GDPR باعث جلب رضایت کاربران شده است و شرکت‌ها باید برای جمع‌آوری داده‌های مشتریان رضایت صریح آن‌ها را جلب کنند. GDPR بیان می‌کند: “برای جلب رضایت مشتریان فرم‌های جمع‌آوری اطلاعات باید قابل‌فهم و دسترسی، با زبانی واضح و ساده ارائه شوند.”

اگر شما صاحب کسب‌ و کاری هستید، حق دخالت در ارائه نظر کاربر خود را ندارید همچنین کاربر می‌تواند در صورت عدم رضایت از سیستم جمع‌آوری داده، نظر خود را صراحتاً اعلام کند.

علاوه بر این، مشتریان می‌توانند در هر مرحله رضایت خود را از سیستم اعلام کنند.

این ده مثال مثبت به شما چرایی و چگونگی جمع‌آوری داده‌های مشتریان و چگونگی رد آن داده‌ها را نیز نشان می‌دهد و با یک مثال ویدئویی چگونگی بیان اطلاعات شغلی و سیاست‌های حفظ حریم خصوصی را به‌صورت واضح نشان می‌دهد:

7.ارائه گزارشی فوری در رابطه با درز اطلاعات خصوصی کاربران به بیرون اجباری است.

طبق قانون GDPR، مسئولان کنترل اطلاعات شخصی موظف‌اند در صورت درز اطلاعات به بیرون بدون هیچ‌گونه تأخیری حداکثر ظرف مدت 72 ساعت به مقامات اطلاع‌رسانی کنند.

صاحبان کسب‌ و کار، از لحاظ قانونی باید به مشتریان خود دلایل درز اطلاعات را ارائه دهند. اما این سیاست هیچ محدودیت و تاریخ انقضایی برای این موضوع ذکر نکرده است.

در گذشته، بسیاری از شرکت‌ها سعی در مخفی نگه‌داشتن راز درز اطلاعات به بیرون را داشتند تا زمانی که دیگر نمی‌توانستند حقیقت را پنهان کنند.  آن‌ها میزان درز آمار و ارقام و اطلاعات به سرقت رفته را ردیابی کردند و بر اساس همین آمار، رفتار و ثبات شرکت‌ها مشخص می‌شد. GDPR اتحادیه اروپا قصد دارد با ایجاد تحول در این امور از اجرای همه اقدامات پیشگیرانه حفاظت از داده‌ها اطمینان حاصل کند و اگر یک نقص امنیتی منجر به درز اطلاعات شود، شرکت‌ها موظف‌اند اثرات افشای اطلاعات را برای کاربران آشکار کرده و تا حد ممکن آن اثرات را کاهش دهند.

 

8.مجازاتی شدید در انتظار شرکت‌ها و سازمان‌ها در صورت سرپیچی از قوانین GDPR اتحادیه اروپا

هرچند مقررات حفاظت از اطلاعات عمومی به‌عنوان مجموعه‌ای از توصیه‌های کاربردی مطرح‌شده‌اند ولی این قوانین اعمال خواهند شد و بر هر قانون دیگری در این زمینه تأثیر خواهند داشت. کمیسیون اروپا جرائم سنگینی را برای سرپیچی و عدم هماهنگی سازمان‌ها با این قوانین، وضع کرده است.

در اینجا با چند مورد از مجازات‌هایی که می‌توانند اعمال شوند، آشنا می‌شوید:

  • برای بار اول هشدار کتبی به دلیل عدم رعایت و ناهماهنگی غیرعمدی با این قوانین.
  • بار دوم بازرسی از داده‌های قانونی.
  • و در صورت تکرار؛ جریمه تا 20 میلیون یورو یا 4 درصد از گردش مالی سالانه.

9.انتقال اطلاعات شخصی به خارج از اتحادیه اروپا اکنون قانونی شده است.

در GDPR انتقال اطلاعات شخصی در سطح بین‌المللی نیز تنظیم شده و از لحاظ قانونی مشکلی ندارد و این قانون “‌تمام کشورهای اتحادیه اروپا و همچنین کشورهای غیر اتحادیه اروپا ایسلند، لیختن‌اشتاین و نروژ‌” را شامل می‌شود.

سه بند مهم از توافق‌نامه میان اتحادیه اروپا و ایالات‌متحده که با عنوان “EU-US Privacy Shield” (فهرست سیاست‌های بین اتحادیه اروپا و ایالات‌متحده)، شناخته‌شده در زیر آمده است:

  • تعهد محکم و تضمینی شرکت‌ها در قبال اطلاعات شخصی اروپایی‌ها و پایبندی به آن تعهدات.
  • ضمانت و تعهدات شفاف دولت ایالات‌متحده به دسترسی‌هایی که دارد.
  • حفظ حقوق شهروندان اتحادیه اروپا از طریق ایجاد فرصت‌های جبران خسارت.

درنتیجه، اگر شرکت شما با اشخاص حقوقی در اتحادیه اروپا و ایالات‌متحده، در ارتباط است باید از تمامی قوانین GDPR برخوردار باشد.

طبق EurActiv، نظرسنجی‌های مربوط به حریم خصوصی در اروپا، چندین شکایت در خصوص قراردادی مبتنی بر انتقال اطلاعات شخصی با ایالات‌متحده دریافت کردند و اولین بررسی این توافقنامه در تاریخ 18 سپتامبر 2017 صورت گرفت. تعدادی از کارشناسان کمیسیون اروپا به این بررسی پیوستند.

10.شرکت‌ها باید یک افسر برای حفاظت از داده‌ها تعیین کنند.

“هر جا که پردازش داده‌ها توسط یک مقام دولتی، یک شرکت (کنترل‌کننده یا پردازنده) و یا کسی که  فعالیت اصلی او عملیات پردازشی است انجام می‌شود و نیاز به نظارت منظم بر داده‌ها دارد”، یک افسر حفاظت از اطلاعات (DPO) موردنیاز است.

پارلمان اروپا به‌منظور داشتن یک افسر حفاظت از داده نیاز به یک سازمان و یا شرکتی دارد که طی یک دوره 12 ماهه داده‌های بیش از 5000 فرد را پردازش کند.

از یک متخصص حفاظت از داده انتظار می‌رود:

  • در مدیریت فرایندها و منابع فناوری اطلاعات مهارت کافی داشته باشد؛
  • در امنیت اطلاعات، به‌خصوص در زمینه‌های مربوط به امنیت سایبری (حملات سایبری، حفاظت از داده‌ها در مقابل هکرهای سایبری و …) مهارت لازم را داشته باشد.
  • درک و توانایی لازم در مسائل مربوط به ذخیره‌سازی و پردازش اطلاعات حساس و درنتیجه تداوم کسب‌ و کار را داشته باشد.

با اجرایی شدن مقررات حفاظت از داده در ماه مه 2018، کارشناسان، نظرات و تجربیات خود را در مورد کار با مشتریان برای آمادگی در اجرای GDPR به اشتراک می‌گذارند.

شرکت‌ها با چه تغییراتی مواجه خواهند شد‌؟

آماده‌سازی برای هماهنگی و سازگاری با قوانین GDPR یک فرآیند پیچیده است که نیاز به یک عملکرد گام‌به‌گام برای شرکت‌ها و کاربران دارد. این مقررات جدید برای شهروندان اتحادیه اروپا بسیار مورد نیازند درحالی‌که ممکن است در چارچوب عمل به آن نیز مشکلاتی ایجاد شود.

  • فرایند انتخاب یک افسر حفاظت از داده به یک کادر جدید اداری نیاز ندارد، چراکه یک شرکت خود می‌تواند بعضی از وظایف این افسر را به‌صورت خودکار و با صرفه‌جویی در زمان (و پول) انجام دهد.
  • سازمان‌ها باید بیشتر بر جنبه‌های حقوقی، رسیدگی به فرآیندهای کسب‌ و کار و زیرساخت‌های IT به‌منظور تطابق کامل با مقررات جدید تمرکز داشته باشند.
  • جنبه قانونی جمع‌آوری داده‌ها و اجرای استانداردها برای اطمینان از حفظ حریم خصوصی اطلاعات برای شرکت‌ها چالش‌ برانگیز است. با قوانین GDPR جدید، آن‌ها باید جدی‌تر راجع به جمع‌آوری میزان اطلاعاتی که به‌اصطلاح “اطلاعات تاریک” نامیده می‌شوند و همچنین هماهنگی آن‌ها با قوانین GDPR فکر کنند.
  • به‌منظور آمادگی در اجرای مقررات جدید و افزایش سطح آگاهی سازمان‌ها در زمینه امنیت سایبری باید برنامه‌هایی در همین راستا در نظر گرفته شوند.
  • پیاده‌سازی EU GDPR سبب ایجاد تغییرات داخلی در سیستم خواهد شد. بنابراین داشتن برنامه‌های قبلی ضروری است، که درنتیجه شما می‌توانید تصمیمات درست بگیرید و به‌هیچ‌وجه شتاب‌زده عمل نکنید.
  • فقدان دانش امنیت سایبری و کمبود متخصصان در این زمینه برای شرکت‌هایی که در حال رویارویی با مقررات جدید هستند، هزینه‌بر می‌باشد. برخی از شرکت‌های سرمایه‌دار قصد استخدام افراد متخصص در این زمینه را داشته درحالی‌که تعداد این افراد به‌اندازه کافی نیست. شرکت‌های کوچک‌تر، به‌خصوص SMBها، نیاز به آموزش کارکنان خود داشته تا بتوانند نقش افسر اطلاعات را ایفا کنند و این خود باعث تحمیل فشار بیشتر بر شرکت‌ها می‌شود.

چگونگی برخورد با مسئله حفظ حریم خصوصی و خطرات امنیتی سایبری آن

آغاز به کار و اجرای EU GDPR می‌تواند به شرکت‌ها و سازمان‌ها برای صرفه‌جویی در زمان و هزینه کمک کند. تغییر در شیوه جمع‌آوری داده‌ها و مدیریت آن‌ها در یک شرکت می‌تواند یک روند طولانی باشد، بنابراین سریع‌تر شروع  به برنامه‌ریزی کنید.

یک راه‌حل مناسب برای کاهش خطرات مربوط به حملات سایبری، استفاده از یک نرم‌افزار فعال امنیتی سایبری است. این روش به شما کمک خواهد کرد تا هرلحظه اطلاعات دقیقی را در مورد خطرات دریافت کنید و آن‌ها را به‌منظور جلوگیری از ایجاد شکاف‌های امنیتی از بین ببرید.

آموزش کارکنان درزمینه امنیت سایبری می‌تواند یکی از بهترین سرمایه‌گذاری‌های انجام شده توسط یک شرکت باشد. برای تحقق این امر می‌توان از بسیاری از منابع آموزشی رایگان مانند دوره‌های امنیتی سایبری نیز استفاده کرد.

نتیجه‌گیری

مقررات جدید اتحادیه اروپا برای تقویت حفاظت از اطلاعات عمومی شهروندان اتحادیه اروپا ایجادشده و شرکت‌ها باید پیش از اجرایی شدن آن آماده‌ شده و از وقوع حوادث جدی و هزینه‌بر جلوگیری کنند.

 

نمایش بیشتر

نوشته های مشابه

‫2 نظرها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *