مقررات حفاظت از اطلاعات عمومیGDPR که در آوریل 2016 توسط پارلمان و شورای اروپا تصویب شد، جایگزین دستورالعمل حفاظت از داده 95/46/ec در بهار 2018 بهعنوان «قانون اولیه تنظیمکننده نحوه محافظت شرکتها از دادههای شخصی شهروندان اتحادیه اروپا» شد. شرکتهایی که استانداردهای امنیت اطلاعات را برمبنای دستورالعملهای قبلی اجرا میکردند، باید اطمینان حاصل کنند که با الزامات جدید سند GDPR قبل از اجراییشدن آن در 25 مه 2018 مطابقت دارند یا نه؟
GDPR چیست؟
GDPR مخفف عبارت General Data Protection Regulation است. در سال 2012، اتحادیه اروپا (EU) اصلاحات دیجیتال را برای ایجاد استانداردهای جدید و بهمنظور پیشرفت و توسعه امن اینترنت و فناوری آغاز کرد. بر همین اساس در سال 2018، اتحادیه اروپا، مقررات حفاظت از اطلاعات عمومی GDPR، را برای محافظت از اطلاعات شخصی افراد ایجاد کرد.
GDPR هسته اصلی قانون حفظ حریم خصوصی دیجیتال اروپا در نظر گرفته میشود. الزامات GDPR بر اساس جمعآوری، پردازش، رضایت و توزیع اطلاعات شخصی تنظیم شده است تا اطمینان حاصل شود که شهروندان اتحادیه اروپا کنترل بیشتری بر دادههای خود دارند.
سیاستهای حفاظت از دادههای ایجادشده توسط GDPR برای این بوده است که مصرفکنندگان در اولویت قرار داده شوند. رعایت مقررات هم کاملاً بر عهده مشاغل و سازمانهاست. همچنین باید بدانید که گستره تأثیر GDPR در خارج از اتحادیه اروپا هم عملی است و کل دنیا از مقررات حفاظت از اطلاعات عمومی GDPR تاثیر خواهند پذیرفت چون هر کالا یا خدمات ارائهشده به شهروندان اتحادیه اروپا مشمول GDPR است. شما میتوانید برای دیدن جزئیات این سند به وبسایت مرتبط با حفاظت از اطلاعات عمومی GDPR، مراجعه کنید.
الزامات کلیدی مقررات حفاظت از اطلاعات عمومی GDPR چیست؟
الزامات GDPR برای هر کشور عضو اتحادیه اروپا، با هدف ایجاد حفاظت بیشتر از مصرفکننده و دادههای شخصی در سراسر کشورهای اتحادیه اروپا اعمال میشود. برخی از الزامات کلیدی مقررات حفاظت از اطلاعات عمومی GDPR عبارتند از:
- نیاز به رضایت افراد برای پردازش دادهها
- ناشناسکردن دادههای جمعآوریشده برای محافظت از حریم خصوصی
- ارائه اعلان نقض اطلاعات
- مدیریت ایمن انتقال دادهها در سراسر مرزها
- الزام برخی شرکتها به منصوبکردن یک افسر حفاظت از داده برای نظارت بر رعایت مقررات حفاظت از اطلاعات عمومی GDPR
به بیان ساده، مقررات حفاظت از اطلاعات عمومی GDPR، مجموعهای بنیادین از استانداردها را برای شرکتهایی که دادههای شهروندان اتحادیه اروپا را مدیریت میکنند، الزامی میکند.
چه کسانی مشمول انطباق با GDPR هستند؟
هدف از مقررات حفاظت از اطلاعات عمومی GDPR، اجرای یک قانون یکسان امنیت داده برای همه اعضای اتحادیه اروپاست، بهطوریکه هر کشور عضو، دیگر نیازی به نوشتن قوانین حفاظت از داده خود را نداشته باشد و قوانین در سراسر اتحادیه اروپا کارا باشد. علاوه بر اعضای اتحادیه اروپا، توجه به این نکته ضروری است که هر شرکتی که کالا یا خدماتی را برای ساکنان اتحادیه اروپا عرضه میکند، صرفنظر از موقعیت مکانی آن، مشمول این مقررات است. در نتیجه،GDPR بر الزامات حفاظت از داده در سطح جهانی تأثیر خواهد داشت.
الزامات مقررات عمومی حفاظت از دادهها
خود GDPR شامل 11 فصل و 91 مقاله است. در ادامه خلاصه و مضمون برخی از فصول و موادی که بیشترین تأثیر بالقوه را بر عملیات امنیتی دارند، آوردهایم:
مواد 17 و 18 – مواد 17 و 18 مقررات حفاظت از اطلاعات عمومی GDPR، امکان کنترل بیشتری را بر دادههای شخصی که به طور خودکار پردازش میشوند، میدهد. نتیجه این است که افراد ممکن است بخواهند دادههای شخصی خود را بهراحتی بین ارائهدهندگان خدمات انتقال دهند (که «حق حملپذیری» نیز نامیده میشود)، و ممکن است کنترلکننده را مجاب کنند تا دادههای شخصیشان را تحت شرایط خاص پاک کند (که «حق پاککردن» نیز نامیده میشود).
مواد 23 و 30 – مواد 23 و 30 شرکتها را ملزم میکنند تا اقدامات معقول حفاظت از دادهها را برای محافظت از دادههای شخصی و حریم خصوصی مصرفکنندگان به کار گیرند.
مواد 31 و 32 – اعلانهای نقض دادهها نقش زیادی در متن GDPR دارند. ماده 31، الزامات مربوط به نقض دادهها را مشخص میکند: کنترلکنندهها باید مقامات ناظر (SA) را در مورد نقض بهرهگیری از دادههای شخصی ظرف 72 ساعت مطلع کنند و باید جزئیات خاصی از نقض، مانند ماهیت و تعداد تقریبی آن را، ارائه دهند. ماده 32، کنترلکنندگان دادهها را ملزم میکند که در زمانی که عواملی، نقض حقوق و آزادیهای آنها را در معرض خطر قرار میدهند، در اسرع وقت موارد نقض را به اطلاع برسانند.
مواد 33 و 33 الف – مواد 33 و 33 الف، شرکتها را ملزم میکنند تا ارزیابیهای تأثیر حفاظت از دادهها را بهمنظور شناسایی خطرات تهدیدکنندۀ دادههای مصرفکننده، بررسی کنند و بررسیهای لازم را با حفاظت از دادهها انجام دهند تا اطمینان حاصل شود که به این خطرات رسیدگی میشود.
ماده 35 – ماده 35 ایجاب میکند که شرکتهای خاصی، مأموران حفاظت از دادهها را تعیین کنند. به طور خاص، هر شرکتی که دادههایی مثل دادههای ژنتیکی، حوزه سلامت، منشاء نژادی یا قومی، اعتقادات مذهبی و غیره را پردازش میکند، باید یک افسر حفاظت از دادهها را تعیین کند. این افسران به شرکتها در مورد رعایت مقررات مشاوره میدهند و بهعنوان نقطه تماس با SA عمل میکنند. برخی از شرکتها ممکن است تنها بهایندلیل که اطلاعات شخصی کارکنان خود را به عنوان بخشی از فرآیندهای منابع انسانی جمعآوری میکنند، مشمول این جنبه از GDPR شوند.
مواد 36 و 37 – مواد 36 و 37 موقعیت افسر حفاظت از دادهها و مسئولیتهای آن در حصول اطمینان از انطباق با GDPR و همچنین گزارش به مقامات نظارتی و موضوع دادهها را مشخص میکند.
ماده 45 – ماده 45 الزامات حفاظت از دادهها را به شرکتهای بین المللی که دادههای شخصی شهروندان اتحادیه اروپا را جمعآوری یا پردازش میکنند، گسترش میدهد و آنها را مشمول الزامات و مجازاتهای مشابه شرکتهای مستقر در اتحادیه اروپا میکند.
ماده 79 – ماده 79 جریمههایی را برای عدم رعایت GDPR بیان میکند که بسته به ماهیت نقض میتواند تا 4 درصد از درآمد جهانی سالانه شرکت متخلف، باشد.
اجرای GDPR و مجازاتها برای عدم رعایت اجرای آن
در مقایسه با دستورالعمل سابق حفاظت از دادهها، GDPR جریمههای عدم انطباق را افزایش داده است و SAها نسبت به قانون قبلی دارای اختیارات بیشتری هستند چون GDPR استانداردی را در سراسر اتحادیه اروپا برای همه شرکتهایی که دادههای شخصی شهروندان اتحادیه اروپا را مدیریت میکنند، تعیین میکند.
SAها دارای اختیارات تحقیق و اصلاح هستند و ممکن است اخطارهایی را در مورد عدم انطباق صادر کنند، ممیزی را برای اطمینان از انطباق انجام دهند، از شرکتها بخواهند تا در مهلتهای تعیین شده اصلاحات مشخصی را انجام دهند، دستور حذف دادهها را صادر و شرکتها را از انتقال دادهها به کشورهای دیگر بازدارند. کنترلکنندهها و پردازشگرهای داده، مشمول اختیارات و مجازاتهای SAs هستند.
GDPR همچنین به شرکتهای SA اجازه میدهد تا جریمههای بیشتری نسبت به دستورالعمل حفاظت از دادهها صادر کنند. جریمهها بر اساس شرایط هر مورد تعیین میشود و SA ممکن است تصمیم بگیرد که آیا باید اختیارات اصلاحی خود را اعمال کند یا نه. برای شرکتهایی که از برخی الزامات GDPR پیروی نمیکنند، جریمه ممکن است تا 2٪ یا 4٪ از کل گردش مالی سالانه جهانی یا 10 یا 20 میلیون یورو باشد.
راهنمای انطباق با GDPR
GDPR برای همه کسانی که به شهروندان اروپایی دسترسی دارند، اعمال میشود.
علاوهبر اعضای اتحادیه اروپا، توجه به این نکته ضروری است که هر شرکتی که کالا یا خدماتی را برای ساکنان اتحادیه اروپا عرضه میکند، صرفنظر از موقعیت مکانی آن، مشمول این مقررات است. با رعایت الزامات GDPR، کسبوکارها از پرداخت جریمههای پرهزینه اجتناب میکنند و درعینحال حفاظت از دادههای مشتری و وفاداری و اعتمادکردن آنها را بهبود میبخشند.
اکنون که این مقررات حفظ حریم خصوصی فعال است، وبسایتهایی که با قوانین اتحادیه اروپا مطابقت ندارند در کشورهای اروپایی غیرقابلدسترس خواهند بود. در میان لیست سایتهایی که بهطورموقت مسدود شدهاند، شیکاگو تریبون و LA Times از برجستهترین موارد بودند. اگر سایت سازمان شما هر یک از دادههای تنظیمشده را از کاربران اروپایی جمعآوری میکند – موظف است از GDPR پیروی کند.
آیا ایالات متحده قوانین حفظ حریم خصوصی دادهها را پذیرفته است؟
در حال حاضر، هیچ قانون فدرال حفظ حریم خصوصی دادهها وجود ندارد. با این حال، بحثهای فزایندهای در مورد این موضوع وجود داشته است. این گفتگو با جلسات استماع مارک زاکربرگ، بنیانگذار فیس بوک، در کنگره بسیار پررنگ شد. بسیاری از ایالتها قوانینی برای خود وضع کردهاند که قابلتوجهترین آنها تا به امروز قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا است.
بر اساس گزارش Ovum، حدود دو سوم از شرکتها در ایالات متحده ممکن است در نتیجه مقررات حفاظت از اطلاعات عمومی GDPR در حال بازنگری روی بحث حفاظت حریم حضوصی باشند. با این حال، ازآنجاییکه شرکتها افزایش مقررات حفظ حریم خصوصی دادهها در ایالات متحده را پیشبینی میکنند، برخی متوجه میشوند که ممکن است زمان اجرای اقدامات سختگیرانهتر حفاظت از دادهها در سراسر جهان فرا رسیده باشد.
چند نکته در مورد اجرای مقررات حفاظت از اطلاعات عمومی GDPR
همه سازمانها، از کسبوکارهای کوچک گرفته تا شرکتهای بزرگ، باید از همه الزامات GDPR آگاه و برای پیروی از آنها در آینده آماده باشند. برای بسیاری از شرکتها، اولین گام برای رعایت GDPR، تعیین یک افسر حفاظت از داده است که برنامه حفاظت از دادهها را برای برآوردهکردن الزامات GDPR ایجاد کند. در ادامه چند نکته در مورد اجرای مقررات حفاظت از اطلاعات عمومی GDPR ارائه خواهیم کرد.
یک.GDPR را بخوانید
سادهترین کار این است که بندبهبند اجرای مقررات حفاظت از اطلاعات عمومی GDPR را بخوانید هرچند در این سند بخشهایی وجود دارد که رمزگشایی از آنها دشوار است چون دارای زبان قانونی است پس سعی کنید برای فهم این بخشها از متخصصان مشاوره بگیربد. خلاصه حرف ما این است: هر فردی که تحت تأثیر GDPR قرار میگیرد باید سعی کند این قانون مهم را بخواند و درک کند.
دو. به سازمانهای دیگر نگاه کنید
کسبوکارها نهفقط در اتحادیه اروپا بلکه در سراسر جهان تحتتأثیر GDPR هستند. اگر شما یا کسانی که در سازمانتان هستند هنوز در مورد مراحل مورد نیاز برای رسیدن به انطباق، آگاهی کافی ندارید، بهتر است با کسانی که با این قوانین مطابقت دارند، تماس بگیرید و از آنها راهنمایی بخواهید. بسیاری از کسبوکارها احتمالاً گامهای برداشتهشده برای رسیدن به انطباق با «اجرای مقررات حفاظت از اطلاعات عمومی GDPR» را به اشتراک خواهند گذاشت.
سه. به تنظیمات وبسایتتان خیلی توجه کنید
کوکیها و ذخیرهسازی دادهها و اینگونه تنظیمات، مواردی هستند که میتوانند بهراحتی در یک وبسایت تنظیم شوند. انطباق آنها با GDPR اما موضوع دیگری است. از طرفی میدانیم که بسیاری از ابزارهایی که برای جمعآوری و ذخیره دادهها مورداستفاده قرار میگیرند، امکان انطباق را فراهم کردهاند اما در نهایت این به شما بستگی دارد که از مطابقت با اجرای مقررات حفاظت از اطلاعات عمومی GDPR اطمینان حاصل کنید.
چهار. به دادههای خود بیشتر توجه کنید
اگر در اتحادیه اروپا (بهصورت دیجیتال یا فیزیکی) حضور دارید، همه دادههای موجود سازمان شما باید با GDPR مطابقت داشته باشند پس قبل از هر چیز نحوه ورود، ذخیره و/یا انتقال و حذف دادهها را بهدقت ترسیم کنید. کسب اطلاع درباره هر مسیری که اطلاعات شخصی شما میتواند طی کند برای جلوگیری از نقض قوانین حیاتی است.