GDPR (مقررات حفاظت از اطلاعات عمومی) چیست؟
تمام منابع مورد نیاز برای پیاده سازی و اجرای مقررات جدید حفاظت از داده در اتحادیه اروپا EU GDPR
منابع مفیدی که با GDPR سازگار هستند.
ترس از تغییر، احساس ناخوشایندی است که همه از آن نفرت دارند. زیرا مردم را از محیط راحت و یکنواختشان خارج میکند. افراد معمولاً به تغییرات، دیدگاهی همراه با اضطراب و سوءظن دارند، چرا که هیچ پیش زمینهای در مورد چگونگی عملکرد قسمتهای مختلف ندارند. همواره تغییرات، روندی را که افراد برای انجام کارها از آن استفاده میکردند، با اختلال مواجه میکند.
این امر سبب میشود زمانی که آنها در یک چالش قرار میگیرند غافلگیر شوند.
اما به محض اینکه در مورد چگونگی این تغییرات شروع به یادگیری کردند، این نگرانیها برطرف خواهند شد. پس از آن، یاد میگیرند که باید همواره بهروز باشند و با تغییرات وفق پیدا کرده و سازگار شوند.
و این اتفاق زمانی که مقررات حفاظت از اطلاعات عمومی (GDPR) اعلام شد، رخ داد.
مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا چیست؟
مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا (EU GDPR) اصلاحیهای جدید و جایگزین عبارت “دستورالعملهای حفاظت از داده ” از سال 1995 میباشد، که این دستورالعمل، دیگر نمیتوانست نیازهای شخصی و امنیتی فعلی شهروندان اروپایی را کنترل کند. مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا (EU Data Protection Regulation) چگونگی جمعآوری و مدیریت اطلاعات شخصی در اتحادیه اروپا را تعیین میکند.
هدف از این قانون جدید “تقویت و یکپارچگی در حفاظت از اطلاعات برای همه افراد در اتحادیه اروپا” و همچنین ساده کردن کارها و کنترل آسانتر افراد بر اطلاعات شخصیشان است.
لازم است که حقایقی در مورد EU GDPR بدانید.
این سیاست یکی از مهمترین عناصر در قوانین حقوق بشر و حفظ حریم خصوصی در اتحادیه اروپا است، که برای اقتصاد دیجیتال ما و شکلگیری تکامل آن در سالهای آینده بسیار مهم است.
کمیسیون اروپا در فوریه 2016 سیاست جدید GDPR را تصویب کرد و انتظار میرود در ماه مه 2018 پس از یک دوره تحول دوساله، قابلاجرا باشد. این مقررات بهطور مستقیم به تمام کشورهای عضو اتحادیه اروپا اعمال میشود بدون اینکه نیاز به اجرای قوانین ملی باشد. این قوانین نهتنها برای نهادهای عمومی بلکه برای تمام نهادهایی که اطلاعات شخصی را در اتحادیه جمعآوری و اداره میکنند، قابل پیادهسازی میباشد.
سازمانها هنوز برای پذیرش قوانین جدید EU GDPR آماده نیستند.
یک تیم تحقیقاتی، مطالعاتی را با هدف شناسایی دیدگاه سازمانها در مورد مقررات جدید و نحوه برنامهریزی آنها انجام دادند. نتایج نشان داد که:
- بیش از 90 درصد از سازمانها با قوانین جدید اتحادیه اروپا (EU GDPR) آشنا شدهاند، اما تنها یکسوم از آنها (حدود 32 درصد) گفتهاند که با آن سازگار هستند و یا برای قوانین جدید آماده شدهاند.
- تقریباً 30٪ از پاسخدهندگان هنوز آماده نشدهاند و نیاز به تغییراتی در شیوههای امنیتی دارند و باید تغییرات قابلتوجهی را در تکنولوژی خود که مطابق با سیاستهای EU GDPR باشد، انجام دهند.
- برای سازمانهایی که EU GDPR یکی از اولویتهای مهم آنها است، 65 درصد از سازمانها در حال برنامهریزی برای داشتن یک افسر حفاظت از داده، چه در خانه و چه در خارج از آن محیط هستند.
همچنین نظرسنجی دیگری که توسط DELL منتشر شد، نشان میدهد که سازمانها از الزامات و مقررات جدید، چگونگی آمادگی برای رویارویی با قوانین جدید و اینکه چگونه امنیت اطلاعات، کسب و کار را تحت تأثیر قرار میدهد، آگاهی ندارند. بیش از نیمی از سازمانها شروع به کسب آمادگی برای مطابقت با GDPR کردهاند، مطالعه دیگری که توسط “ونسون بورن” انجام شده این موضوع را بیان میکند.
این عدم آمادگی برای پذیرش GDPR میتواند بر شهرت سازمانها و کسب و کارشان، جرائم سنگینی که برای اشتباهات باید بپردازند و همینطور بر افشای ذخایر اطلاعاتی نیز تأثیر بگذارد.
به عنوان مثال یک شرکت بریتانیایی، قوانین حریم خصوصی و ارتباطات الکترونیکی (PECR) را هنگام آمادگی برای GDPR رعایت نکرد و مجازات شد.
هدف EU GDPR چیست؟
هدف از این مجموعه قوانین جدید که در ماه مه سال 2018 به اجرا درمیآید، این است که: برای شهروندان اتحادیه اروپا امکان کنترل بیشتر بر اطلاعات شخصیشان را فراهم کنند. حفظ حریم خصوصی یک حق اساسی در اروپا است و مقررات جدیدی در همین راستا تنظیم شده است.
این مجموعه قوانین، محیط قانونی را برای کسب و کار فراهم میکنند و گامی رو به جلو برای بازار دیجیتال در اتحادیه اروپا هستند که هدف آنها ایجاد فرصتهای دیجیتالی بیشتر برای افراد و سازمانها در زمینه جا به جایی افراد، کسب و کارها، خدمات و سرمایهگذاریها است.
هدف GDPR این است که با روشهایی متفاوت از روشهای به تصویب رسیده در سال 1995 از شهروندان اتحادیه اروپا در برابر درز اطلاعاتشان به دنیای بیرون در جهانی که فرایند انتقال دادهها روزبهروز در حال افزایش است محافظت کند.
10 جنبه مهم از مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا:
در این قسمت، برخی از موارد ضروری در مورد مقررات حفاظت از اطلاعات عمومی (GDPR) و مرتبط با کاربر، مشتری و کسب و کار آورده شده است:
1.قوانین جمعآوری اطلاعات سختگیرانهتر میشوند.
این سیاست جدید بیان میکند که ” اطلاعات شخصی میتوانند فقط بهصورت قانونی و تحت شرایطی سخت با اهدافی قانونی مورد جمعآوری قرار گیرند”. یعنی صاحبان کسب و کار باید نسبت به اطلاعاتی که در مورد مشتریان خود جمعآوری میکنند، دقت بیشتری به خرج دهند.
مجموعه مقررات GDPR به این دلیل تنظیم شدهاند که کاربران از حفاظت شدید دادههای خود در هر نقطه از اتحادیه اروپا اطمینان حاصل کرده و در صورتیکه دادهها در هر جای اتحادیه اروپا مورد سوءاستفاده قرار گیرند، حق شکایت داشته و میتوانند خسارت دریافت کنند.
2.شما مسئول حفاظت از اطلاعات شخصی خود در برابر هرگونه آسیب هستید.
GDPR جدید در اتحادیه اروپا بر عدم سوءاستفاده و دستکاری اطلاعات شخصی جمعآوریشده توسط اشخاص حقوقی تأکید بسیاری دارد. علاوه بر آن، خود شما نیز باید تنظیمات حریم خصوصی را بهطور پیشفرض در بالاترین سطح امنیتی قرار دهید.
همه کسانی که بهنوعی به این قوانین مربوط میشوند (حتی خود شما) باید خود را در برابر صاحبان داده مسئول و پاسخگو بدانند.
اطلاعات خود را با روشهای زیر ایمن نگهدارید:
- حفاظت از سرورها در مقابل حملات هکرهای سایبری که میتوانند به کامپیوتر شما دسترسی داشته و فایلهای شما را رمزگذاری کنند.
- استفاده از HTTPS بهصورت پیشفرض برای تضمین ایمنی آنلاین شما در تمام وبسایتهایی که اطلاعات شخصی افراد را جمعآوری میکنند.
- نصب یک آنتیویروس برای محافظت در مقابل حملات هکرهایی که میتوانند به اطلاعات حساس شما دسترسی پیدا کنند.
3.صاحبان داده حق “به فراموشی سپرده شدن اطلاعات خود از روی سایت” را دارند. (یعنی اطلاعات آنها پس از مدتی از روی سایت محو شود.)
طبق مقررات جدید، هر کس این حق را دارد که از اطلاعات شخصی خود محافظت کند؛ که شامل “حق پاک کردن اطلاعات شخصی” است طوری که به کاربران اجازه میدهد اطلاعات شخصی خود را از پایگاه داده، شرکت یا موسسهای حذف کنند. شرایط پاک کردن “شامل دادههایی است که به مدت طولانی برای اهداف پردازشی مورد استفاده قرار نگرفتهاند و یا اطلاعات بدون کاربرد و غلطی هستند.”
این کار تنها در صورتی انجام میشود که کنترلکننده دارای دلایل جدی برای درخواست شخصی خود، ازجمله عدم انطباق اطلاعات باشد. منطق این ایده چنین است که حریم خصوصی و اطلاعات شخصی افراد، کاملاً محرمانه هستند. به عنوان مثال، اگر یک موسسه اطلاعات قدیمی یا نادرست در مورد یک شخص داشته باشد، میتواند از نظر قانونی درخواست حذف دادهها را داشته باشد.
در اتحادیه اروپا بهمنظور سازگاری بیشتر با قانون GDPR هر شرکتی باید امکان دسترسی آسان به اطلاعات شخصی کارمندان خود را فراهم کند.
4.کاربران از نظارت کامل بر اطلاعات خود رضایت بیشتری دارند.
واضح است که قوانین جدید حفاظت از داده در اتحادیه اروپا به کاربران برای حفاظت از اطلاعات خود قدرت بیشتری میدهد. این موضوع برای شرکتها خوب است، اگرچه ممکن است آنگونه که به نظر هم میرسد، نباشد.
شفافیت بیشتر در قوانین جدید، روابط بین کسب و کار و مشتریان را بهبود بخشیده و درنتیجه سبب ایجاد اعتماد بیشتر و جذب هر چه بیشتر مشتریان میشود. قدرت شفافیت و صداقت را دستکم نگیرید!
فیسبوک ویژگیهایی را معرفی میکند تا به کاربران اعلام کند زمانیکه در روند معمول مورد استفاده آنها تغییری ایجاد شود، آنها میتوانند از دادههای خود و ایمنی آن اطمینان داشته باشند.
آیا میدانستید که قانون جدید حفاظت از دادهها عمومی در اتحادیه اروپا قدرت بیشتری را در اختیار کاربران قرار میدهد؟
GDPR با امکان کنترل بیشتر بر انتقال اطلاعات به کاربران اجازه میدهد اطلاعات شخصی خود را از یک سیستم الکترونیکی به دیگری انتقال دهند. این بدان معنی است که شما، بهعنوان یک صاحب کسب و کار، باید از جمعآوری دادهها بهصورت سازماندهی شده و انتقال آسان اطلاعات به دیگر سیستمهای الکترونیکی اطمینان حاصل کنید.
در مثال دیگری، گوگل کاربران را برای نظارت بهتر بر اطلاعات جهت بازبینی مسائل امنیتی راهنمایی میکند. شما میتوانید انواع دادههایی را که گوگل جمعآوری میکند، مدیریت کنید و اطلاعات شخصی خود را با دوستانتان به اشتراک بگذارید.
5.مشتریان قادر به تشکیل پروندههای قانونی برای پیگیری اطلاعات به خطر افتاده خود خواهند بود.
EU GDPR نهتنها از حقوق کاربران حفاظت میکند، بلکه از آنها دفاع نیز میکند. کاربران در صورت درز اطلاعات یا برخی رویدادهای دیگر که اطلاعات شخصی آنها را در معرض خطر قرار میدهد، میتوانند تقاضای پیگرد قانونی کنند.
صاحبان کسب و کار باید این موضوع را بسیار جدی بگیرند، زیرا یک حمله سایبری علاوه بر خسارات سنگین مالی بر شهرت و نام تجاری شرکت نیز تأثیری طولانی مدت میگذارد.
6.شما مسئول جلب رضایت و ارتباط صحیح با کاربر هستید.
مقررات جدید EU GDPR باعث جلب رضایت کاربران شده است و شرکتها باید برای جمعآوری دادههای مشتریان رضایت صریح آنها را جلب کنند. GDPR بیان میکند: “برای جلب رضایت مشتریان فرمهای جمعآوری اطلاعات باید قابلفهم و دسترسی، با زبانی واضح و ساده ارائه شوند.”
اگر شما صاحب کسب و کاری هستید، حق دخالت در ارائه نظر کاربر خود را ندارید همچنین کاربر میتواند در صورت عدم رضایت از سیستم جمعآوری داده، نظر خود را صراحتاً اعلام کند.
علاوه بر این، مشتریان میتوانند در هر مرحله رضایت خود را از سیستم اعلام کنند.
این ده مثال مثبت به شما چرایی و چگونگی جمعآوری دادههای مشتریان و چگونگی رد آن دادهها را نیز نشان میدهد و با یک مثال ویدئویی چگونگی بیان اطلاعات شغلی و سیاستهای حفظ حریم خصوصی را بهصورت واضح نشان میدهد:
7.ارائه گزارشی فوری در رابطه با درز اطلاعات خصوصی کاربران به بیرون اجباری است.
طبق قانون GDPR، مسئولان کنترل اطلاعات شخصی موظفاند در صورت درز اطلاعات به بیرون بدون هیچگونه تأخیری حداکثر ظرف مدت 72 ساعت به مقامات اطلاعرسانی کنند.
صاحبان کسب و کار، از لحاظ قانونی باید به مشتریان خود دلایل درز اطلاعات را ارائه دهند. اما این سیاست هیچ محدودیت و تاریخ انقضایی برای این موضوع ذکر نکرده است.
در گذشته، بسیاری از شرکتها سعی در مخفی نگهداشتن راز درز اطلاعات به بیرون را داشتند تا زمانی که دیگر نمیتوانستند حقیقت را پنهان کنند. آنها میزان درز آمار و ارقام و اطلاعات به سرقت رفته را ردیابی کردند و بر اساس همین آمار، رفتار و ثبات شرکتها مشخص میشد. GDPR اتحادیه اروپا قصد دارد با ایجاد تحول در این امور از اجرای همه اقدامات پیشگیرانه حفاظت از دادهها اطمینان حاصل کند و اگر یک نقص امنیتی منجر به درز اطلاعات شود، شرکتها موظفاند اثرات افشای اطلاعات را برای کاربران آشکار کرده و تا حد ممکن آن اثرات را کاهش دهند.
8.مجازاتی شدید در انتظار شرکتها و سازمانها در صورت سرپیچی از قوانین GDPR اتحادیه اروپا
هرچند مقررات حفاظت از اطلاعات عمومی بهعنوان مجموعهای از توصیههای کاربردی مطرحشدهاند ولی این قوانین اعمال خواهند شد و بر هر قانون دیگری در این زمینه تأثیر خواهند داشت. کمیسیون اروپا جرائم سنگینی را برای سرپیچی و عدم هماهنگی سازمانها با این قوانین، وضع کرده است.
در اینجا با چند مورد از مجازاتهایی که میتوانند اعمال شوند، آشنا میشوید:
- برای بار اول هشدار کتبی به دلیل عدم رعایت و ناهماهنگی غیرعمدی با این قوانین.
- بار دوم بازرسی از دادههای قانونی.
- و در صورت تکرار؛ جریمه تا 20 میلیون یورو یا 4 درصد از گردش مالی سالانه.
9.انتقال اطلاعات شخصی به خارج از اتحادیه اروپا اکنون قانونی شده است.
در GDPR انتقال اطلاعات شخصی در سطح بینالمللی نیز تنظیم شده و از لحاظ قانونی مشکلی ندارد و این قانون “تمام کشورهای اتحادیه اروپا و همچنین کشورهای غیر اتحادیه اروپا ایسلند، لیختناشتاین و نروژ” را شامل میشود.
سه بند مهم از توافقنامه میان اتحادیه اروپا و ایالاتمتحده که با عنوان “EU-US Privacy Shield” (فهرست سیاستهای بین اتحادیه اروپا و ایالاتمتحده)، شناختهشده در زیر آمده است:
- تعهد محکم و تضمینی شرکتها در قبال اطلاعات شخصی اروپاییها و پایبندی به آن تعهدات.
- ضمانت و تعهدات شفاف دولت ایالاتمتحده به دسترسیهایی که دارد.
- حفظ حقوق شهروندان اتحادیه اروپا از طریق ایجاد فرصتهای جبران خسارت.
درنتیجه، اگر شرکت شما با اشخاص حقوقی در اتحادیه اروپا و ایالاتمتحده، در ارتباط است باید از تمامی قوانین GDPR برخوردار باشد.
طبق EurActiv، نظرسنجیهای مربوط به حریم خصوصی در اروپا، چندین شکایت در خصوص قراردادی مبتنی بر انتقال اطلاعات شخصی با ایالاتمتحده دریافت کردند و اولین بررسی این توافقنامه در تاریخ 18 سپتامبر 2017 صورت گرفت. تعدادی از کارشناسان کمیسیون اروپا به این بررسی پیوستند.
10.شرکتها باید یک افسر برای حفاظت از دادهها تعیین کنند.
“هر جا که پردازش دادهها توسط یک مقام دولتی، یک شرکت (کنترلکننده یا پردازنده) و یا کسی که فعالیت اصلی او عملیات پردازشی است انجام میشود و نیاز به نظارت منظم بر دادهها دارد”، یک افسر حفاظت از اطلاعات (DPO) موردنیاز است.
پارلمان اروپا بهمنظور داشتن یک افسر حفاظت از داده نیاز به یک سازمان و یا شرکتی دارد که طی یک دوره 12 ماهه دادههای بیش از 5000 فرد را پردازش کند.
از یک متخصص حفاظت از داده انتظار میرود:
- در مدیریت فرایندها و منابع فناوری اطلاعات مهارت کافی داشته باشد؛
- در امنیت اطلاعات، بهخصوص در زمینههای مربوط به امنیت سایبری (حملات سایبری، حفاظت از دادهها در مقابل هکرهای سایبری و …) مهارت لازم را داشته باشد.
- درک و توانایی لازم در مسائل مربوط به ذخیرهسازی و پردازش اطلاعات حساس و درنتیجه تداوم کسب و کار را داشته باشد.
با اجرایی شدن مقررات حفاظت از داده در ماه مه 2018، کارشناسان، نظرات و تجربیات خود را در مورد کار با مشتریان برای آمادگی در اجرای GDPR به اشتراک میگذارند.
شرکتها با چه تغییراتی مواجه خواهند شد؟
آمادهسازی برای هماهنگی و سازگاری با قوانین GDPR یک فرآیند پیچیده است که نیاز به یک عملکرد گامبهگام برای شرکتها و کاربران دارد. این مقررات جدید برای شهروندان اتحادیه اروپا بسیار مورد نیازند درحالیکه ممکن است در چارچوب عمل به آن نیز مشکلاتی ایجاد شود.
- فرایند انتخاب یک افسر حفاظت از داده به یک کادر جدید اداری نیاز ندارد، چراکه یک شرکت خود میتواند بعضی از وظایف این افسر را بهصورت خودکار و با صرفهجویی در زمان (و پول) انجام دهد.
- سازمانها باید بیشتر بر جنبههای حقوقی، رسیدگی به فرآیندهای کسب و کار و زیرساختهای IT بهمنظور تطابق کامل با مقررات جدید تمرکز داشته باشند.
- جنبه قانونی جمعآوری دادهها و اجرای استانداردها برای اطمینان از حفظ حریم خصوصی اطلاعات برای شرکتها چالش برانگیز است. با قوانین GDPR جدید، آنها باید جدیتر راجع به جمعآوری میزان اطلاعاتی که بهاصطلاح “اطلاعات تاریک” نامیده میشوند و همچنین هماهنگی آنها با قوانین GDPR فکر کنند.
- بهمنظور آمادگی در اجرای مقررات جدید و افزایش سطح آگاهی سازمانها در زمینه امنیت سایبری باید برنامههایی در همین راستا در نظر گرفته شوند.
- پیادهسازی EU GDPR سبب ایجاد تغییرات داخلی در سیستم خواهد شد. بنابراین داشتن برنامههای قبلی ضروری است، که درنتیجه شما میتوانید تصمیمات درست بگیرید و بههیچوجه شتابزده عمل نکنید.
- فقدان دانش امنیت سایبری و کمبود متخصصان در این زمینه برای شرکتهایی که در حال رویارویی با مقررات جدید هستند، هزینهبر میباشد. برخی از شرکتهای سرمایهدار قصد استخدام افراد متخصص در این زمینه را داشته درحالیکه تعداد این افراد بهاندازه کافی نیست. شرکتهای کوچکتر، بهخصوص SMBها، نیاز به آموزش کارکنان خود داشته تا بتوانند نقش افسر اطلاعات را ایفا کنند و این خود باعث تحمیل فشار بیشتر بر شرکتها میشود.
چگونگی برخورد با مسئله حفظ حریم خصوصی و خطرات امنیتی سایبری آن
آغاز به کار و اجرای EU GDPR میتواند به شرکتها و سازمانها برای صرفهجویی در زمان و هزینه کمک کند. تغییر در شیوه جمعآوری دادهها و مدیریت آنها در یک شرکت میتواند یک روند طولانی باشد، بنابراین سریعتر شروع به برنامهریزی کنید.
یک راهحل مناسب برای کاهش خطرات مربوط به حملات سایبری، استفاده از یک نرمافزار فعال امنیتی سایبری است. این روش به شما کمک خواهد کرد تا هرلحظه اطلاعات دقیقی را در مورد خطرات دریافت کنید و آنها را بهمنظور جلوگیری از ایجاد شکافهای امنیتی از بین ببرید.
آموزش کارکنان درزمینه امنیت سایبری میتواند یکی از بهترین سرمایهگذاریهای انجام شده توسط یک شرکت باشد. برای تحقق این امر میتوان از بسیاری از منابع آموزشی رایگان مانند دورههای امنیتی سایبری نیز استفاده کرد.
نتیجهگیری
مقررات جدید اتحادیه اروپا برای تقویت حفاظت از اطلاعات عمومی شهروندان اتحادیه اروپا ایجادشده و شرکتها باید پیش از اجرایی شدن آن آماده شده و از وقوع حوادث جدی و هزینهبر جلوگیری کنند.
تشکر
جالب بود
از اینکه مطلب برایتان جالب بوده خوشنودیم.
ممنون مطلب خیلی زیبایی بود