اگر سازمانی نتواند خود را با الزامات GDPR یا مقررات حفاظت از دادههای عمومی تطبیق دهد و کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد که صرفا محدود به مجازاتهای مالی نمیشود و میتواند اساس و شهرت یک بنگاه کسبوکار را با مخاطره جدی مواجه کند.
دهه گذشته به دلیل اینکه شبکههای اجتماعی مختلف از جمله فیسبوک، اینستاگرام، توییتر و سایر برنامهها و سایتها در خط مقدم انتشار خبری و سازوکارهای ارتباطی بین کاربران خود قرار دارند، به عنوان دوران رسانههای اجتماعی توصیف شده است. استفاده از شبکههای اجتماعی به عنوان یک روند آغاز طی این سالها به یک ابزار ضروری در زندگی روزمره میلیونها نفر تبدیل شده و زمینهای آسان برای برقراری ارتباط، اشتراکگذاری و انتشار دیدگاهها، اخبار و اطلاعات را فراهم میکند. در عصر کلان دادهها و هوش مصنوعی، داده میتواند هم به عنوان یک فرصت و هم به عنوان یک تهدید مطرح شود. داده ارایهدهنده نوع جدیدی از دارایی اقتصادی است و میتوان با مدیریت صحیح و بهکارگیری یک تفکر راهبردی، آن را به یک مزیت رقابتی تبدیل کرد. عدم مدیریت مناسب داده خصوصا در مواردی نظیر حفظ حریم خصوصی و حفاظت از دادههای محرمانه و حساس مشتریان، میتواند به شهرت و اعتبار یک سازمان آسیب برساند و استمرار کسبوکار یک بنگاه اقتصادی را با چالش جدی مواجه کند. بنابراین صرف داشتن داده دلیلی بر موفقیت نیست، مهم شیوه جمعآوری، ذخیرهسازی، پالایش و توزیع داده است. با وجود پیامدهای شدید مخاطرات امنیت داده، تا همین اواخر، جریمه نقض مقررات حفاظت از دادهها، محدود بود و در عمل اقدامات اجرایی قابل ملاحظهای انجام نمیشد. با افزایش جرایم اینترنتی، نیاز به امنیت آنلاین بهطور فزایندهای برای کسب وکارهای مجازی افزایش مییابد. اطلاعات امنیتی به عنوان مسوول تأمینکننده امنیت مجازی یک شرکت، باید بهروز باشند تا اطمینان حاصل شود که کسبوکار مجازی در یک فضای امن صورت میگیرد و اطلاعات دارای امنیت بالایی است و این نیازمند بهروز بودن و سازگاری با مباحث امنیتی در حوزه فضای مجازی است.
تحول در روشهای حفاظت از داده مشتریان با GDPR
اتحادیه اروپا با معرفی GDPR یا مقررات حفاظت از دادههای عمومی (General Data Protection Regulation)، شاهد یک تحول بنیادین در روشهای حفاظت داده مشتریان بوده که پیامد آن برای شرکتهای ناسازگار با مقررات GDPR و ناقض داده، جرایم و مجازاتهای سنگین خواهد بود. مقررات حفاظت از اطلاعات عمومی بهطور مستقیم در سطح ملی قابل اجراست و قوانین حفاظت از دادهها را در سراسر اتحادیه اروپا هماهنگ میکند. طبق گزارش سازمان تنظیم مقررات و ارتباطات رادیویی، مقررات حفاظت از دادههای عمومی (GDPR) یک سند در حوزه حقوق اروپاست که برای حفاظت از دادهها و حریم خصوصی همگان در حوزه اتحادیه اروپایی و منطقه اقتصادی اروپا تدوین شده است. این سند همچنین به ارسال دادهها به خارج از اتحادیه و منطقه اقتصادی اروپا نیز میپردازد. این سند از تاریخ 25 می2018 لازمالاجرا بوده و هدف سند آن است که به شهروندان و افراد مقیم در حوزه اتحادیه و منطقه اقتصادی اروپا امکان کنترل بر اطلاعات شخصیشان اعطا و نظارت بر محیط کسبوکار بینالمللی را تسهیل کند. بر اساس این سند فرآیندهای کسبوکار که اطلاعات شخصی را مدیریت میکند باید با پیشفرض رعایت حریم خصوصی طراحی و از تنظیمات حریم خصوصی حداکثر استفاده شود، طوریکه دادهها بدون رضایت صریح بهطور عمومی در دسترس قرار نگیرند و استفاده نشوند. بر این اساس هیچ داده شخصی نمیتواند جز در صورت وجود یک مبنای قانونی یا رضایت صریح و صحیح موضوع داده (شخصی که دادههای وی مورد کنترل و پردازش است) پردازش شود. این موضوع در فضای تکنولوژی امروزه و بهویژه در زمینه بازاریابی دیجیتال، به دلیل تمرکز بیشتر روی حریم خصوصی حائز اهمیت است، ممکن است به عبارت دیگر بازاریابها برای ایجاد کمپینهای موفق دیجیتال دسترسی کمتری به نوع دادههای لازم داشته باشند. یک پردازنده اطلاعات شخصی باید بهروشنی درباره اینکه چه اطلاعاتی را جمعآوری میکند، چگونه و چرا پردازش میشوند، چگونه نگهداری میشود و با اشخاص ثالثی به اشتراک گذارده میشود یا خیر توضیح دهند. همچنین کاربران حق دارند کپی اطلاعات خود را از پردازنده دریافت و در شرایط خاصی درخواست پاک شدن دادهها را کند.
گستردگی حفاظت از داده مشتریان
براساس تعریف کمیسیون اروپا از دادههای شخصی، داده شخصی هرگونه اطلاعات مربوط به یک فرد است، اعم از اینکه در رابطه با زندگی خصوصی، حرفهای یا عمومی وی باشد. بنابراین، این اطلاعات میتواند شامل هر دادهای اعم از آدرس منزل، ایمیل، جزییات حساب بانکی، اطلاعات پستی، شبکههای اجتماعی، پزشکی و حتی یک آدرس IP رایانه باشد. فعالیتهای پردازش شامل جمعآوری، استفاده و افشای اطلاعات است که مقررات حفاظت از اطلاعات عمومی حفاظت بیشتری برای پردازش دستههای خاص اطلاعات شخصی فراهم میکند. کشورهای عضو ممکن است شرایط بیشتری شامل محدودیتهای مربوط به پردازش دادههای ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را ارایه دهند. مقررات جدید حفاظت از دادهها در رابطه با تمامی دادههایی که امکان شناسایی مستقیم یا غیرمستقیم یک فرد را توسط هر کسی فراهم میکند، اعمال میشود. در نتیجه، شناسههای کوکی، شناسههای آنلاین، شناسههای دستگاه و آدرسهای IP به عنوان داده شخصی تحت طبقهبندی GDPR تلقی میشوند. مدیریت صحیح داده در سراسر چرخه حیات یکی از الزامات اولیه و مهم حفاظت داده است. این مقررات بر فعالیتهای مربوط به پردازش دادههای شخصی برای اهداف امنیت ملی یا اجرای قوانین اتحادیه اروپا، اعمال نمیشود.
یکی از ویژگیهای برجسته GDPR نسبت به سایر مقررات موجود، گستردگی حفاظت از داده مشتریان است. لایحه GDPR شامل طیف گستردهای از الزامات قانونی جدید است، از پیادهسازی شرایط لازم جهت جابهجایی دادههای بینالمللی گرفته تا بررسی، بههنگامسازی و اقدامات فنی و سازمانی جهت حفاظت از داده مشتریان. الزامات قانونی فوق، بهطور قابل توجهی بر نحوه جمعآوری، مدیریت، حفاظت و به اشتراک گذاشتن دادهها تأثیر خواهد گذاشت. یکی از اهداف دیگر این است که از کسبوکارها برای حفظ و نگهداری دادهها برای مدت زمان طولانی جلوگیری شود و از آن استفاده نکنند. اساسا این سیاست تاریخ انقضای مصرف داده را تعیین میکند. در راستای اجرای این سند، ادارات و شرکتهای خصوصی که فعالیت آنها حول محور پردازش منظم یا سیستماتیک اطلاعات شخصی قرار دارند، ملزم به استخدام افسر حفاظت از داده (DPO) هستند که موظف به انطباق فعالیتها با سند GDPR است و کسبوکارها ملزمند هرگونه نقض و تخلف را در صورتی که اثر نامطلوبی بر حریم خصوصی داشته باشد، ظرف 72 ساعت گزارش کنند. این مقررات در صورتی اعمال میشود که کنترلکننده دادهها (سازمان یا مرکزی که دادهها را از کاربران مقیم اروپا جمعآوری میکند) یا پردازنده (مجموعهای که اطلاعات جمعآوریشده را از طرف کنترلکننده مانند شرکتهای خدمات Cloud Computing پردازش میکند) یا موضوع داده در محدوده اتحادیه اروپا باشد. بنابراین در شرایط خاصی، این مقررات نسبت به مجموعههایی در خارج از اتحادیه اروپا نیز قابل اعمال است و آن در صورتی است که این مجموعهها اطلاعات افراد مقیم در حوزه اتحادیه اروپا را مورد پردازش قرار دهند.
هنگامی که دادهها جمعآوری میشود، کاربران باید بهطور واضح در مورد میزان جمعآوری دادهها، مبنای قانونی برای پردازش دادههای شخصی، مدتی که دادههای شخصی نگهداری میشوند و اینکه آیا دادهها به خارج از اتحادیه اروپا یا اشخاص ثالثی منتقل میشود یا خیر اطلاع داشته باشند و اطلاعات افسر حفاظت از دادهها را به کاربران بدهند و آنها را از حقوق خود مبتنیبر GDPR از جمله حق پس گرفتن رضایت پردازش اطلاعات، حق مشاهده اطلاعات شخصی و دسترسی به یک مرور کلی بر فرآیند پردازش، حق پاک کردن دادهها در شرایط خاص، داشتن یک نسخه کپی از دادههایشان، حق اعتراض و حق محدودیت مطلع کنند.
تاثیر GDPR بر سازمانهای داده محور
رضایت کاربران برای پردازش یا عدم پردازش دادههای شخصی، یکی از مولفههای مهم GDPR است. لایحه GDPRبه شهروندان اتحادیه اروپا اجازه میدهد بر اساس موافقت، امکان پردازش دادههای شخصی خود را در اختیار سازمانها قرار دهند و قوانین سختگیرانهای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است. با توجه به قوانین جدید، شرکتها باید فرآیند عدم رضایت را به همان سادگی فرآیند رضایت نیز پیادهسازی کنند تا در صورت لزوم بتوان با استفاده از آن، عدم رضایت خود را برای پردازش دادههای شخصی اعلام کرد. همچنین متن رضایتنامه باید صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را به اطلاع کاربران برساند. تا به امروز، کسب وکارها از اقدامات فنی و سازمانی متعددی برای حفاظت از دادههای شخصی استفاده میکردند ولی پیادهسازی GDPR، شرکتها را ملزم میکند وضعیت و اقدامات حفاظت دادهها را بهطور مستمر بررسی و بهروز کنند. برای شناسایی، درک و کاهش هرگونه ریسکی که ممکن است در زمان ایجاد راهحلهای جدید یا انجام فعالیتهای جدیدی که مستلزم پردازش داده مشتری نظیر تجزیه و تحلیل داده و تمامی برنامههای دادهمحور است (شامل برنامههای هوش کسبوکار، انبار داده و برنامههای بازاریابی) لازم است ارزیابی اثرات حفاظت از دادهها انجام شود. لایحه GDPR، ارزیابی اثرات حفاظت از دادهها را برای تمامی سازمانها یک الزام اجباری در نظر گرفته است و در صورتی که نتایج ارزیابی نشاندهنده وجود یک تهدید یا خطر امنیتی باشد، باید با یک مقام نظارتی حفاطت از داده مشورت شود. در صورتی که یک سازمان نتواند خود را با الزامات GDPR تطبیق دهد و در ممیزی انجامشده کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد. عواقب فوق بر خلاف آنچه که اکثر مردم باور دارند، صرفاً محدود به مجازاتهای مالی نمیشود و میتواند اساس و شهرت یک بنگاه کسبوکار را با مخاطره جدی مواجه سازد. سه عامل اصلی از دست دادن اعتماد مشتریان، جرایم مالی و عدم استفاده از داده خصوصی مشتریان در هرگونه سیستم یا برنامه، باعث شده است مقرراتGDPR یکی از سختگیرانهترین و دقیقترین قوانین حفاظت از دادهها باشد.
افشای دادهها و نقض قوانین حفاظت از داده
براساس قوانین و مقررات GDPR، کنترلکننده داده در صورت افشای دادهها، متعهد به اطلاعرسانی به نهاد نظارتی بدون تأخیر نامعقول (حداکثر72 ساعت) است؛ مگر اینکه این افشای دادهها خطری برای حقوق و آزادیهای اساسی اشخاص نداشته باشد که در این صورت الزامی به اطلاع به شخص موضوع دادهها ندارد. اشخاصی که این تعهد را نقض کنند، مشمول مجازاتهایی میشوند. این موارد عبارتند از تحریمهایی که میتواند نسبت به آنها اعمال شود، از جمله هشدار کتبی در بار اول در صورت غیرعمدی بودن؛ بازرسیهای منظم ادواری برای حفاظت از دادهها؛ و جریمههای سنگین مالی. نقض قوانین حفاظت داده توسط یک شرکت میتواند از طریق درگیر شدن در پروندههای مدنی به اعتبار و شهرت یک سازمان صدمات جبرانناپذیری وارد کند. برای پیشگیری از جرایم سنگین و مجازات شدید، کسبوکارها باید یک برنامه کامل، جامع و بالغ حاکمیت داده را پیرامون بازبینی کلیه قراردادهای موجود تا درخواست خرید سیستمهای جدید مستقر کنند. همچنین باید تمامی روشهای مدیریت داده را بهمنظور سازگاری با مقررات GDPR و کاهش خطرات مالی و اعتباری مطالعه و بررسی کنند. با معرفی قوانین و مقررات GDPR شاهد یک تحول اساسی در روشهای حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکتهای ناسازگار با آن قوانین و مقررات و ناقض داده، جرایم و مجازاتهای سنگین را به دنبال خواهد داشت. موفقیت در ارزیابی مطابقت قوانین و مقررات GDPR مستلزم انجام مجموعهای از اقدامات و فعالیتهای هدفمند و منسجم در حوزههای متعددی خصوصاً مدیریت دادهها است که بدون وجود یک فونداسیون قوی مدیریت داده نمیتوان پاسخگوی الزامات قانونی GDPR باشد، زیرا حاکمیت داده با توجه به وظایف ذاتی خود میتواند در این مسیر بسیار موثر واقع شود.
