مقالاتخبر

«حریم خصوصی در طراحی» چیست و چه ارتباطی با قانون GDPR دارد؟

بر اساس قانون GDPR که توسط اتحادیه اروپا و جهت حفاظت از حریم خصوصی و جلوگیری از سوءاستفاده شرکت­‌ها از داده­‌های شخصی کاربران به تصویب رسیده است، محرمانگی داده‌ها در کل چرخه حیات آنها از لحظه جمع‌آوری گرفته تا پردازش، به اشتراک گذاری و حذف آنها از پایگاه‌های داده باید رعایت شود. همچنین هر شرکتی که داده‌های مشتریان، کارمندان، اشخاص ثالث و غیره را جمع‌آوری یا پردازش می‌کند باید مطابق با الزامات این قانون رفتار نماید.

در این مطلب از فراست برای افزایش اطلاعات افراد درباره اصطلاحات مربوط به GDPR، به مفهوم بحث «حریم خصوصی در طراحی» و رابطه آن با این قانون می ­پردازیم.

ریشه مفهوم حریم خصوصی در طراحی (Privacy by Design)

حریم خصوصی در طراحی، مفهومی است که در دهه ۹۰ میلادی توسط پلیس حریم خصوصی و اطلاعات کشور کانادا ارایه شد. بنا به گفته این مرکز امنیتی، توسعه فناوری و روش‌های آسان برای برقراری ارتباط باعث شده امکان جمع‌آوری حجم انبوهی از اطلاعات شخصی افراد فراهم شود. بنابراین شرکت‌ها باید اصول حریم خصوصی در طراحی را درک کرده تا بتوانند به نحو مؤثری از داده های مشتریان و کارمندان خود محافظت کنند. همچنین آنها باید این اصول را در راهکارها و محصولاتی که ارایه می­‌کنند نیز پیاده سازی نمایند.

در سال­‌های اخیر در سراسر جهان، نهادهای مختلفی از جمله مؤسسه حفاظت از داده‌ها در اتحادیه اروپا و کمیسیون تجارت فدرال در آمریکا این مفاهیم و اصول را ایجاد و اعمال کرده اند. در قوانین GDPR و LGPD[۱] (قانون حفاظت از داده‌های عمومی) به بحث حریم خصوصی در طراحی اشاره شده است.

معنای حریم خصوصی در طراحی

هدف اصلی از حریم خصوصی در طراحی این است که شرکت‌ها و سازمان­‌ها حفاظت از حریم خصوصی افراد را محور اصلی تمام فعالیت ها و محصولات/خدماتشان در نظر گرفته و آن را جزو ارزش‌ها و اصول اخلاقی خود بدانند.

به منظور درک بهتر و به کارگیری این مفهوم توسط شرکت ها و سازمان­‌ها آنها باید به هفت ویژگی اصلی آن توجه کافی را داشته باشند که عبارتند از:

۱. رفتار پیشگیرانه

سازمان­‌ها باید همواره به حوادث احتمالی که حریم خصوصی کاربران را تهدید می‌کنند، توجه لازم را داشته باشند. بنابراین آنها باید به صورت مداوم بر مخاطرات امنیتی نظارت داشته، آنها را تحلیل و بررسی کرده و پس از شناسایی مشکل، اقدامات پیشگیرانه لازم را برای رفع آن انجام دهند.

۲. رعایت ملاحظات پیش فرض در پیکربندی ها

در پیکربندی پیش فرض تمام سرویس‌هایی که به کاربران ارایه می شود، حفاظت از حریم خصوصی افراد باید در بالاترین سطح ممکن رعایت شود. همچنین کاربران برای حفظ حریم خصوصی شان نباید نیازی به تغییر تنظیمات داشته باشند. به عنوان مثال بر اساس اصول حریم خصوصی در طراحی، گزینه اشتراک­‌گذاری موقعیت جغرافیایی در تلفن همراه باید به صورت پیش­ فرض به‌ گونه‌ای تنظیم شود که این اطلاعات به اشتراک گذاشته نشود.

۳. اجرای حریم خصوصی در پروژه‌ها

حریم خصوصی را نباید به عنوان یکی از ویژگی‌های جنبی پروژه‌ها در نظر گرفت بلکه باید آن را به عنوان یکی از اجزای جدایی ناپذیر راهکار طراحی شده تلقی کرد.

۴. تکمیل قابلیت‌ها و پیروی از رویکرد جمع‌ مثبت به جای جمع‌ صفر

بازی جمع‌ مثبت (Positive-Sum) نوعی بازی است که در آن همه افراد برنده می‌شوند اما در بازی جمع ‌صفر، فقط یک نفر برنده شده و دیگران بازنده هستند.

در رابطه با روش حریم خصوصی در طراحی، حفاظت از داده‌ها باید همسو با منافع و اهداف اشخاصی که از این اطلاعات استفاده می‌کنند، صورت بگیرد. از این رو اضافه شدن یک قابلیت یا مزیتی خاص برای افراد نباید منجر به تغییر تنظیمات حریم خصوصی آنها شود. تمام قابلیت‌ها باید کامل و حفاظت شده باشند.

۵. رمزنگاری سراسری

همه داده‌ها باید از مرحله جمع‌آوری تا حذف یا به اشتراک گذاری با یک شخص/نهاد دیگر، تحت حفاظت قرار بگیرند. به داده‌های شخصی افراد که بر روی دستگاه‌های قدیمی قرار دارند یا در پایگاه‌های داده بدون استفاده نگهداری می شوند نیز باید توجه لازم را داشت. دسترسی سایر اشخاص به داه‌­های شخصی روی دستگاه­‌های قدیمی یا پایگاه‌­های داده بی­ استفاده باید بر اساس اصل حداقل دسترسی صورت پذیرد.

۶. قابلیت دید و شفافیت

همواره باید آموزش‌­های لازم را به کاربران در خصوص هدف از جمع‌آوری اطلاعات و اینکه ممکن است چه اشخاص یا نهادهایی به آنها دسترسی داشته باشند، داد. همچنین نهادهای مستقل هم باید بررسی‌های لازم را انجام داده تا مطمئن شوند که به خوبی از این داده‌ها حفاظت می‌شود.

۷. احترام به حریم خصوصی (راهکار کاربرمحور)

این اصل، یکی از مهمترین اصول بحث حریم خصوصی در طراحی است. تمام معماری و عملیات سیستم یا راهکار مدنظر باید با محوریت حفاظت از حریم خصوصی اشخاص طراحی شده باشد. همچنین همواره می بایست محافظت کامل از داده‌ها سرلوحه فعالیت های سازمانی در نظر گرفته شود.

نکاتی برای پیروی از قانون GDPR توسط سازمان‌­ها

خوشبختانه سال ها است که مقررات عمومی حفاظت از داده اتحادیه اروپا (قانون GDPR) اجرایی شده و شرکت‌ها باید در فرایندهای کسب و کاری خود الزامات آن را اجرا کنند. شرکت‌هایی که از این قانون پیروی نکنند، با جریمه‌های سنگینی مواجه خواهند شد.

در صورتی که مدیران بخواهند میزان سازگار بودن کسب و کارشان با قوانین GDPR را بررسی کنند می توانند از این راهنما استفاده نمایند. شرکت ها با پیروی از این قانون و اصول بالا علاوه بر اینکه از داده­‌های کاربران شان به نحو اثربخشی محافظت می­ کنند، یک مزیت رقابتی نیز برای کسب­‌وکارشان ایجاد خواهند کرد.

 

[۱]General Data Protection Law

 

منبع: ostec

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

10 − 3 =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.