شماره امروز: ۵۴۷

تحول اساسی در روش‌های حفاظت داده مشتریان با معرفی GDPR

| | |

اگر سازمانی نتواند خود را با الزامات GDPR یا مقررات حفاظت از داده‌های عمومی تطبیق دهد و کارنامه قبولی نگیرد،

اگر سازمانی نتواند خود را با الزامات GDPR یا مقررات حفاظت از داده‌های عمومی تطبیق دهد و کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد که صرفا محدود به مجازات‌های مالی نمی‌شود و می‌تواند اساس و شهرت یک بنگاه کسب‌و‌کار را با مخاطره جدی مواجه کند.

دهه گذشته به دلیل اینکه شبکه‌های اجتماعی مختلف از جمله فیس‌بوک، اینستاگرام، توییتر و سایر برنامه‌ها و سایت‌ها در خط مقدم انتشار خبری و سازوکارهای ارتباطی بین کاربران خود قرار دارند، به عنوان دوران رسانه‌های اجتماعی توصیف شده است. استفاده از شبکه‌های اجتماعی به عنوان یک روند آغاز طی این سال‌ها به یک ابزار ضروری در زندگی روزمره میلیون‌ها نفر تبدیل شده و زمینه‌ای آسان برای برقراری ارتباط، اشتراک‌‌گذاری و انتشار دیدگاه‌ها، اخبار و اطلاعات را فراهم می‌کند. در عصر کلان داده‌ها و هوش مصنوعی، داده می‌تواند هم به عنوان یک فرصت و هم به عنوان یک تهدید مطرح شود. داده ارایه‌دهنده نوع جدیدی از دارایی اقتصادی است و می‌توان با مدیریت صحیح و به‌کارگیری یک تفکر راهبردی، آن را به یک مزیت رقابتی تبدیل کرد. عدم مدیریت مناسب داده خصوصا در مواردی نظیر حفظ حریم خصوصی و حفاظت از داده‌های محرمانه و حساس مشتریان، می‌تواند به شهرت و اعتبار یک سازمان آسیب برساند و استمرار کسب‌وکار یک بنگاه اقتصادی را با چالش جدی مواجه کند. بنابراین صرف داشتن داده دلیلی بر موفقیت نیست، مهم شیوه جمع‌آوری، ذخیره‌سازی، پالایش و توزیع داده است. با وجود پیامدهای شدید مخاطرات امنیت داده، تا همین اواخر، جریمه نقض مقررات حفاظت از داده‌ها، محدود بود و در عمل اقدامات اجرایی قابل ملاحظه‌ای انجام نمی‌شد. با افزایش جرایم اینترنتی، نیاز به امنیت آنلاین به‌طور فزاینده‌ای برای کسب‌ وکارهای مجازی افزایش می‌یابد. اطلاعات امنیتی به عنوان مسوول تأمین‌کننده امنیت مجازی یک شرکت، باید به‌روز باشند تا اطمینان حاصل شود که کسب‌‌وکار مجازی در یک فضای امن صورت می‌گیرد و اطلاعات دارای امنیت بالایی است و این نیازمند به‌روز بودن و سازگاری با مباحث امنیتی در حوزه فضای مجازی است.

   تحول در روش‌های حفاظت از داده مشتریان با GDPR

اتحادیه اروپا با معرفی GDPR یا مقررات حفاظت از داده‌های عمومی (General Data Protection Regulation)، شاهد یک تحول بنیادین در روش‌های حفاظت داده مشتریان بوده که پیامد آن برای شرکت‌های ناسازگار با مقررات GDPR و ناقض داده، جرایم و مجازات‌های سنگین خواهد بود. مقررات حفاظت از اطلاعات عمومی به‌طور مستقیم در سطح ملی قابل اجراست و قوانین حفاظت از داده‌ها را در سراسر اتحادیه اروپا هماهنگ می‌کند. طبق گزارش سازمان تنظیم مقررات و ارتباطات رادیویی، مقررات حفاظت از داده‌های عمومی (GDPR) یک سند در حوزه حقوق اروپاست که برای حفاظت از داده‌ها و حریم خصوصی همگان در حوزه اتحادیه اروپایی و منطقه اقتصادی اروپا تدوین شده است. این سند همچنین به ارسال داده‌ها به خارج از اتحادیه و منطقه اقتصادی اروپا نیز می‌پردازد. این سند از تاریخ 25 می‌2018 لازم‌الاجرا بوده و هدف سند آن است که به شهروندان و افراد مقیم در حوزه اتحادیه و منطقه اقتصادی اروپا امکان کنترل بر اطلاعات شخصی‌شان اعطا و نظارت بر محیط کسب‌و‌کار بین‌المللی را تسهیل کند. بر اساس این سند فرآیندهای کسب‌وکار که اطلاعات شخصی را مدیریت می‌کند باید با پیش‌فرض رعایت حریم خصوصی طراحی و از تنظیمات حریم خصوصی حداکثر استفاده شود، طوری‌که داده‌ها بدون رضایت صریح به‌طور عمومی در دسترس قرار نگیرند و استفاده نشوند. بر این اساس هیچ داده شخصی نمی‌تواند جز در صورت وجود یک مبنای قانونی یا رضایت صریح و صحیح موضوع داده (شخصی که داده‌های وی مورد کنترل و پردازش است) پردازش شود. این موضوع در فضای تکنولوژی امروزه و به‌ویژه در زمینه بازاریابی دیجیتال، به دلیل تمرکز بیشتر روی حریم خصوصی حائز اهمیت است، ممکن است به عبارت دیگر بازاریاب‌‌ها برای ایجاد کمپین‌های موفق دیجیتال دسترسی کمتری به نوع داده‌های لازم داشته باشند. یک پردازنده اطلاعات شخصی باید به‌روشنی درباره اینکه چه اطلاعاتی را جمع‌آوری می‌کند، چگونه و چرا پردازش می‌شوند، چگونه نگهداری می‌شود و با اشخاص ثالثی به اشتراک گذارده می‌شود یا خیر توضیح دهند. همچنین کاربران حق دارند کپی اطلاعات خود را از پردازنده دریافت و در شرایط خاصی درخواست پاک شدن داده‌ها را کند.

   گستردگی حفاظت از داده‌ مشتریان

براساس تعریف کمیسیون اروپا از داده‌های شخصی، داده شخصی هرگونه اطلاعات مربوط به یک فرد است، اعم از اینکه در رابطه با زندگی خصوصی، حرفه‌ای یا عمومی وی باشد. بنابراین، این اطلاعات می‌تواند شامل هر داده‌ای اعم از آدرس منزل، ایمیل، جزییات حساب بانکی، اطلاعات پستی، شبکه‌های اجتماعی، پزشکی و حتی یک آدرس IP رایانه باشد. فعالیت‌های پردازش شامل جمع‌آوری، استفاده و افشای اطلاعات است که مقررات حفاظت از اطلاعات عمومی حفاظت بیشتری برای پردازش دسته‌های خاص اطلاعات شخصی فراهم می‌کند. کشورهای عضو ممکن است شرایط بیشتری شامل محدودیت‌های مربوط به پردازش داده‌های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را ارایه دهند. مقررات جدید حفاظت از داده‌ها در رابطه با تمامی داده‌هایی که امکان شناسایی مستقیم یا غیرمستقیم یک فرد را توسط هر کسی فراهم می‌کند، اعمال می‌شود. در نتیجه، شناسه‌های کوکی، شناسه‌های آنلاین، شناسه‌های دستگاه و آدرس‌های IP به عنوان داده شخصی تحت طبقه‌بندی GDPR تلقی می‌شوند. مدیریت صحیح داده در سراسر چرخه حیات یکی از الزامات اولیه و مهم حفاظت داده است. این مقررات بر فعالیت‌های مربوط به پردازش داده‌های شخصی برای اهداف امنیت ملی یا اجرای قوانین اتحادیه اروپا، اعمال نمی‌شود. 

یکی از ویژگی‌های برجسته GDPR نسبت به سایر مقررات موجود، گستردگی حفاظت از داده مشتریان است. لایحه GDPR شامل طیف گسترده‌ای از الزامات قانونی جدید است، از پیاده‌سازی شرایط لازم جهت جابه‌جایی داده‌های بین‌المللی گرفته تا بررسی، به‌هنگام‌سازی و اقدامات فنی و سازمانی جهت حفاظت از داده مشتریان. الزامات قانونی فوق، به‌طور قابل توجهی بر نحوه جمع‌آوری، مدیریت، حفاظت و به اشتراک گذاشتن داده‌ها تأثیر خواهد گذاشت. یکی از اهداف دیگر این است که از کسب‌و‌کارها برای حفظ و نگهداری داده‌ها برای مدت زمان طولانی جلوگیری شود و از آن استفاده نکنند. اساسا این سیاست تاریخ انقضای مصرف داده را تعیین می‌کند. در راستای اجرای این سند، ادارات و شرکت‌‌های خصوصی که فعالیت آنها حول محور پردازش منظم یا سیستماتیک اطلاعات شخصی قرار دارند، ملزم به استخدام افسر حفاظت از داده (DPO) هستند که موظف به انطباق فعالیت‌ها با سند GDPR است و کسب‌وکارها ملزمند هرگونه نقض و تخلف را در صورتی که اثر نامطلوبی بر حریم خصوصی داشته باشد، ظرف 72 ساعت گزارش کنند. این مقررات در صورتی اعمال می‌شود که کنترل‌کننده داده‌ها (سازمان یا مرکزی که داده‌ها را از کاربران مقیم اروپا جمع‌آوری می‌کند) یا پردازنده (مجموعه‌ای که اطلاعات جمع‌آوری‌شده را از طرف کنترل‌کننده مانند شرکت‌‎های خدمات Cloud Computing پردازش می‌کند) یا موضوع داده در محدوده اتحادیه اروپا باشد. بنابراین در شرایط خاصی، این مقررات نسبت به مجموعه‌هایی در خارج از اتحادیه اروپا نیز قابل اعمال است و آن در صورتی است که این مجموعه‌ها اطلاعات افراد مقیم در حوزه اتحادیه اروپا را مورد پردازش قرار دهند.

هنگامی که داده‌ها جمع‌آوری می‌شود، کاربران باید به‌طور واضح در مورد میزان جمع‌آوری داده‌ها، مبنای قانونی برای پردازش داده‌های شخصی، مدتی که داده‌های شخصی نگهداری می‌شوند و اینکه آیا داده‌ها به خارج از اتحادیه اروپا یا اشخاص ثالثی منتقل می‌شود یا خیر اطلاع داشته باشند و اطلاعات افسر حفاظت از داده‌ها را به کاربران بدهند و آنها را از حقوق خود مبتنی‌بر GDPR از جمله حق پس گرفتن رضایت پردازش اطلاعات، حق مشاهده اطلاعات شخصی و دسترسی به یک مرور کلی بر فرآیند پردازش، حق پاک کردن داده‌ها در شرایط خاص، داشتن یک نسخه کپی از داده‌هایشان، حق اعتراض و حق محدودیت مطلع کنند.

   تاثیر GDPR بر سازمان‌های داده محور

رضایت کاربران برای پردازش یا عدم پردازش داده‌های شخصی، یکی از مولفه‌های مهم GDPR است. لایحه GDPRبه شهروندان اتحادیه اروپا اجازه می‌دهد بر اساس موافقت، امکان پردازش داده‌های شخصی خود را در اختیار سازمان‌ها قرار دهند و قوانین سختگیرانه‌ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است. با توجه به قوانین جدید، شرکت‌ها باید فرآیند عدم رضایت را به همان سادگی فرآیند رضایت نیز پیاده‌سازی کنند تا در صورت لزوم بتوان با استفاده از آن، عدم رضایت خود را برای پردازش داده‌های شخصی اعلام کرد. همچنین متن رضایت‌نامه باید صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را به اطلاع کاربران برساند. تا به امروز، کسب وکارها از اقدامات فنی و سازمانی متعددی برای حفاظت از داده‌های شخصی استفاده می‌کردند ولی پیاده‌سازی GDPR، شرکت‌ها را ملزم می‌کند وضعیت و اقدامات حفاظت داده‌ها را به‌طور مستمر بررسی و به‌روز کنند. برای شناسایی، درک و کاهش هرگونه ریسکی که ممکن است در زمان ایجاد راه‌حل‌های جدید یا انجام فعالیت‌های جدیدی که مستلزم پردازش داده مشتری نظیر تجزیه و تحلیل داده و تمامی برنامه‌های داده‌محور است (شامل برنامه‌های هوش کسب‌وکار، انبار داده و برنامه‌های بازاریابی) لازم است ارزیابی اثرات حفاظت از داده‌ها انجام شود. لایحه GDPR، ارزیابی اثرات حفاظت از داده‌ها را برای تمامی سازمان‌ها یک الزام اجباری در نظر گرفته است و در صورتی که نتایج ارزیابی نشان‌دهنده وجود یک تهدید یا خطر امنیتی باشد، باید با یک مقام نظارتی حفاطت از داده مشورت شود. در صورتی که یک سازمان نتواند خود را با الزامات GDPR تطبیق دهد و در ممیزی انجام‌شده کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد. عواقب فوق بر خلاف آنچه که اکثر مردم باور دارند، صرفاً محدود به مجازات‌های مالی نمی‌شود و می‌تواند اساس و شهرت یک بنگاه کسب‌و‌کار را با مخاطره جدی مواجه سازد. سه عامل اصلی از دست دادن اعتماد مشتریان، جرایم مالی و عدم استفاده از داده خصوصی مشتریان در هرگونه سیستم یا برنامه، باعث شده است مقرراتGDPR یکی از سخت‌گیرانه‌ترین و دقیق‌ترین قوانین حفاظت از داده‌ها باشد.

   افشای داده‌ها و نقض قوانین حفاظت از داده

براساس قوانین و مقررات GDPR، کنترل‌کننده داده در صورت افشای داده‌ها، متعهد به اطلاع‌رسانی به نهاد نظارتی بدون تأخیر نامعقول (حداکثر72 ساعت) است؛ مگر اینکه این افشای داده‌ها خطری برای حقوق و آزادی‌های اساسی اشخاص نداشته باشد که در این صورت الزامی به اطلاع به شخص موضوع داده‌ها ندارد. اشخاصی که این تعهد را نقض کنند، مشمول مجازات‌هایی می‌شوند. این موارد عبارتند از تحریم‌هایی که می‌تواند نسبت به آنها اعمال شود، از جمله هشدار کتبی در بار اول در صورت غیرعمدی بودن؛ بازرسی‌های منظم ادواری برای حفاظت از داده‌ها؛ و جریمه‌های سنگین مالی. نقض قوانین حفاظت داده توسط یک شرکت می‌تواند از طریق درگیر شدن در پرونده‌های مدنی به اعتبار و شهرت یک سازمان صدمات جبران‌ناپذیری وارد کند. برای پیشگیری از جرایم سنگین و مجازات شدید، کسب‌و‌کارها باید یک برنامه کامل، جامع و بالغ حاکمیت داده را پیرامون بازبینی کلیه قراردادهای موجود تا درخواست خرید سیستم‌های جدید مستقر کنند. همچنین باید تمامی روش‌های مدیریت داده را به‌منظور سازگاری با مقررات GDPR و کاهش خطرات مالی و اعتباری مطالعه و بررسی کنند. با معرفی قوانین و مقررات GDPR شاهد یک تحول اساسی در روش‌های حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکت‌های ناسازگار با آن قوانین و مقررات و ناقض داده، جرایم و مجازات‌های سنگین را به دنبال خواهد داشت. موفقیت در ارزیابی مطابقت قوانین و مقررات GDPR مستلزم انجام مجموعه‌ای از اقدامات و فعالیت‌های هدفمند و منسجم در حوزه‌های متعددی خصوصاً مدیریت داده‌ها است که بدون وجود یک فونداسیون قوی مدیریت داده نمی‌توان پاسخگوی الزامات قانونی GDPR باشد، زیرا حاکمیت داده با توجه به وظایف ذاتی خود می‌تواند در این مسیر بسیار موثر واقع شود.

 

اخبار مرتبط

ارسال نظر

نظر کاربران