بر اساس قانون GDPR که توسط اتحادیه اروپا و جهت حفاظت از حریم خصوصی و جلوگیری از سوءاستفاده شرکتها از دادههای شخصی کاربران به تصویب رسیده است، محرمانگی دادهها در کل چرخه حیات آنها از لحظه جمعآوری گرفته تا پردازش، به اشتراک گذاری و حذف آنها از پایگاههای داده باید رعایت شود. همچنین هر شرکتی که دادههای مشتریان، کارمندان، اشخاص ثالث و غیره را جمعآوری یا پردازش میکند باید مطابق با الزامات این قانون رفتار نماید.
در این مطلب از فراست برای افزایش اطلاعات افراد درباره اصطلاحات مربوط به GDPR، به مفهوم بحث «حریم خصوصی در طراحی» و رابطه آن با این قانون می پردازیم.
ریشه مفهوم حریم خصوصی در طراحی (Privacy by Design)
حریم خصوصی در طراحی، مفهومی است که در دهه 90 میلادی توسط پلیس حریم خصوصی و اطلاعات کشور کانادا ارایه شد. بنا به گفته این مرکز امنیتی، توسعه فناوری و روشهای آسان برای برقراری ارتباط باعث شده امکان جمعآوری حجم انبوهی از اطلاعات شخصی افراد فراهم شود. بنابراین شرکتها باید اصول حریم خصوصی در طراحی را درک کرده تا بتوانند به نحو مؤثری از داده های مشتریان و کارمندان خود محافظت کنند. همچنین آنها باید این اصول را در راهکارها و محصولاتی که ارایه میکنند نیز پیاده سازی نمایند.
در سالهای اخیر در سراسر جهان، نهادهای مختلفی از جمله مؤسسه حفاظت از دادهها در اتحادیه اروپا و کمیسیون تجارت فدرال در آمریکا این مفاهیم و اصول را ایجاد و اعمال کرده اند. در قوانین GDPR و LGPD[1] (قانون حفاظت از دادههای عمومی) به بحث حریم خصوصی در طراحی اشاره شده است.
معنای حریم خصوصی در طراحی
هدف اصلی از حریم خصوصی در طراحی این است که شرکتها و سازمانها حفاظت از حریم خصوصی افراد را محور اصلی تمام فعالیت ها و محصولات/خدماتشان در نظر گرفته و آن را جزو ارزشها و اصول اخلاقی خود بدانند.
به منظور درک بهتر و به کارگیری این مفهوم توسط شرکت ها و سازمانها آنها باید به هفت ویژگی اصلی آن توجه کافی را داشته باشند که عبارتند از:
1. رفتار پیشگیرانه
سازمانها باید همواره به حوادث احتمالی که حریم خصوصی کاربران را تهدید میکنند، توجه لازم را داشته باشند. بنابراین آنها باید به صورت مداوم بر مخاطرات امنیتی نظارت داشته، آنها را تحلیل و بررسی کرده و پس از شناسایی مشکل، اقدامات پیشگیرانه لازم را برای رفع آن انجام دهند.
2. رعایت ملاحظات پیش فرض در پیکربندی ها
در پیکربندی پیش فرض تمام سرویسهایی که به کاربران ارایه می شود، حفاظت از حریم خصوصی افراد باید در بالاترین سطح ممکن رعایت شود. همچنین کاربران برای حفظ حریم خصوصی شان نباید نیازی به تغییر تنظیمات داشته باشند. به عنوان مثال بر اساس اصول حریم خصوصی در طراحی، گزینه اشتراکگذاری موقعیت جغرافیایی در تلفن همراه باید به صورت پیش فرض به گونهای تنظیم شود که این اطلاعات به اشتراک گذاشته نشود.
3. اجرای حریم خصوصی در پروژهها
حریم خصوصی را نباید به عنوان یکی از ویژگیهای جنبی پروژهها در نظر گرفت بلکه باید آن را به عنوان یکی از اجزای جدایی ناپذیر راهکار طراحی شده تلقی کرد.
4. تکمیل قابلیتها و پیروی از رویکرد جمع مثبت به جای جمع صفر
بازی جمع مثبت (Positive-Sum) نوعی بازی است که در آن همه افراد برنده میشوند اما در بازی جمع صفر، فقط یک نفر برنده شده و دیگران بازنده هستند.
در رابطه با روش حریم خصوصی در طراحی، حفاظت از دادهها باید همسو با منافع و اهداف اشخاصی که از این اطلاعات استفاده میکنند، صورت بگیرد. از این رو اضافه شدن یک قابلیت یا مزیتی خاص برای افراد نباید منجر به تغییر تنظیمات حریم خصوصی آنها شود. تمام قابلیتها باید کامل و حفاظت شده باشند.
5. رمزنگاری سراسری
همه دادهها باید از مرحله جمعآوری تا حذف یا به اشتراک گذاری با یک شخص/نهاد دیگر، تحت حفاظت قرار بگیرند. به دادههای شخصی افراد که بر روی دستگاههای قدیمی قرار دارند یا در پایگاههای داده بدون استفاده نگهداری می شوند نیز باید توجه لازم را داشت. دسترسی سایر اشخاص به داههای شخصی روی دستگاههای قدیمی یا پایگاههای داده بی استفاده باید بر اساس اصل حداقل دسترسی صورت پذیرد.
6. قابلیت دید و شفافیت
همواره باید آموزشهای لازم را به کاربران در خصوص هدف از جمعآوری اطلاعات و اینکه ممکن است چه اشخاص یا نهادهایی به آنها دسترسی داشته باشند، داد. همچنین نهادهای مستقل هم باید بررسیهای لازم را انجام داده تا مطمئن شوند که به خوبی از این دادهها حفاظت میشود.
7. احترام به حریم خصوصی (راهکار کاربرمحور)
این اصل، یکی از مهمترین اصول بحث حریم خصوصی در طراحی است. تمام معماری و عملیات سیستم یا راهکار مدنظر باید با محوریت حفاظت از حریم خصوصی اشخاص طراحی شده باشد. همچنین همواره می بایست محافظت کامل از دادهها سرلوحه فعالیت های سازمانی در نظر گرفته شود.
نکاتی برای پیروی از قانون GDPR توسط سازمانها
خوشبختانه سال ها است که مقررات عمومی حفاظت از داده اتحادیه اروپا (قانون GDPR) اجرایی شده و شرکتها باید در فرایندهای کسب و کاری خود الزامات آن را اجرا کنند. شرکتهایی که از این قانون پیروی نکنند، با جریمههای سنگینی مواجه خواهند شد.
در صورتی که مدیران بخواهند میزان سازگار بودن کسب و کارشان با قوانین GDPR را بررسی کنند می توانند از این راهنما استفاده نمایند. شرکت ها با پیروی از این قانون و اصول بالا علاوه بر اینکه از دادههای کاربران شان به نحو اثربخشی محافظت می کنند، یک مزیت رقابتی نیز برای کسبوکارشان ایجاد خواهند کرد.
[1]General Data Protection Law
منبع: ostec