GDPR یا مقررات عمومی حمایت از داده ها چیست؟
GDPR یا مقررات عمومی حفاظت از داده ها مجموعه جدیدی از قوانین است که برای محافظت از داده های افرادی که در اتحادیه اروپا زندگی می کنند طراحی شده است. این امر به طرز چشمگیری چگونگی جمع آوری، ذخیره، پردازش و به اشتراک گذاری اطلاعات مصرف کنندگان را تغییر می دهد.
GDPR تمام مقررات فعلی حفاظت از داده های کشورهای اتحادیه اروپا را به سمت خوبی خواهد برد. ایجاد یک استاندارد واحد که تمام سازمان های اروپایی باید آن را رعایت کنند. این امر به بیشتر سازمان ها نیاز دارد، تا در نحوه رسیدگی و ایمن سازی داده های کاربران تغییرات قابل توجهی ایجاد کنند. اگر سازمانی تا 25 ماه مه 2018 با GDPR مطابقت نداشت، با جریمه های جدی روبرو می شد.
در این راهنما اطلاعاتی در مورد دلیل ایجاد GDPR، اصول آن و چگونگی آمادگی سازمان باید برای آن بیان شده است.
هدف از GDPR چیست؟
فن آوری های به سرعت در حال تحول، نحوه جمع آوری، ذخیره، پردازش و به اشتراک گذاری اطلاعات را تغییر داده اند. اکنون برای سازمان آسان است که مقادیر عظیمی از داده ها را جمع آوری و ذخیره کند. آنها سپس می توانند این داده ها را پردازش کنند تا دانش مفیدی در مورد اعضای عمومی کسب کنند.
بعضی از سازمان ها از اطلاعاتی که جمع آوری شده اند به شکل نامناسبی استفاده می کنند. بدون اجازه کاربر به پردازش اطلاعات سازمان می پردازند تا اطلاعات بیشتری درباره کاربر بدست آورند. بسیاری از اطلاعات محرمانه کاربر نیز به دلیل هک شدن سازمان ها به سرقت رفته و یا به بیرون فاش شده است.
این امر باعث شده است که بسیاری از کاربران اعتماد خود را به توانایی سازمان ها در حفظ مناسب داده ها از دست دهند. GDPR برای بازگرداندن اعتماد مشتری و کنترل بیشتر افراد بر داده های خود ایجاد شده است. این قوانین همچنین سازمان ها را برای محافظت از داده ها پاسخگو می سازد.
GDPR مجموعه ای از قوانین استاندارد را برای مشاغل و سازمان هایی که داده های به دست آمده از شهروندان اتحادیه اروپا به دست می آورند، فراهم می کند. این امر باعث می شود که سازمان ها تعهدات خود را آسان تر درک کنند، زیرا آنها اجازه مقابله با مقررات مختلف بسیاری از کشورهای اتحادیه اروپا را ندارند.
چه کسانی باید به GDPR عمل کنند؟
کلیه سازمان های اتحادیه اروپا باید از قوانین مندرج در GDPR پیروی کنند. این شامل مشاغل، خیریه ها و سازمان های دولتی است. سازمان هایی که در خارج از اتحادیه اروپا ساکن هستند اما با اطلاعات شهروندان اتحادیه اروپا کار می کنند نیز باید GDPR را دنبال کنند. هر ارائه دهنده خدمات که داده های شهروندان اتحادیه اروپا را اداره می کند از این استاندارد استفاده می کند. این شامل ارائه دهندگان ذخیره سازی Cloud، شرکت های بازاریابی ایمیل، شرکت های تحلیلی و غیره می شود.
اصطلاحات مهم GDPR
برای درک نحوه عملکرد GDPR، باید برخی اصطلاحات اساسی را بدانید، از جمله:
اطلاعات شخصی
GDPR برای محافظت از داده های شخصی افراد ساکن در اتحادیه اروپا طراحی شده است. OECD داده های شخصی را به عنوان هر گونه اطلاعات مربوط به یک فرد مشخص یا قابل شناسایی تعریف می کند. این شامل موارد زیر است:
- نام و آدرس
- شماره های شناسایی منحصر به فرد: اطلاعاتی از جمله شماره های تأمین اجتماعی و شماره کارت های بازنشستگی.
- داده های اجتماعی: اطلاعات مربوط به اتصالات اجتماعی یک فرد، از جمله نام دوستان یک فرد یا کسانی که آنها را در رسانه های اجتماعی دنبال می کنند.
- دموگرافیک: اطلاعات جمعیتی شامل جنسیت، سن، ترجیحات جنسی، عضویت سیاسی یا درآمد فرد.
- محتوای تولید شده توسط کاربر: تصاویر، نظرات، پست های وبلاگ و مقالات تولید شده توسط فرد.
- داده های بیومتریک و ژنتیکی: هر گونه داده های بیومتریک یا ژنتیکی مرتبط با فرد.
GDPR برای محافظت از داده هایی که می توانند به یک فرد مرتبط باشند، طراحی شده است. این قوانین نگران داده های ناشناس نیستند که نمی توانند به شخصی مرتبط شوند. اما اگر راهی برای اتصال داده های ناشناس با فرد یا پردازش آن وجود داشته باشد، تحت پوشش GDPR قرار می گیرد.
موضوع داده ها، کنترل کننده داده ها و پردازنده داده ها
GDPR از سه اصطلاح برای توصیف بازیکنان اصلی درگیر در هنگام دستیابی به داده ها استفاده می کند:
موضوع داده: فردی است که داده هایش جمع آوری، پردازش، ذخیره یا به اشتراک گذاشته می شود. آنها معمولاً مشتری، کارمند، پیمانکار یا عضو عمومی هستند که به سادگی به یک وب سایت مراجعه کرده و از آنها خواسته شده است که اطلاعات شخصی خود را ارائه دهند.
کنترل کننده داده: سازمانی است که داده ها را از یک موضوع داده جمع آوری می کند. آنها وظیفه دارند امنیت اطلاعات سوژه را حفظ کنند.
پردازنده داده: نهادی است که داده ها را در هر نقطه اداره می کند. این می تواند یک شرکت شخص ثالث باشد که تجزیه و تحلیل آماری را بر روی داده های کاربر یا یک سرویس ذخیره سازی داده مبتنی بر ابر انجام می دهد. سرویس های وب مانند MailChimp ،Google Analytics ،Shopify و Dropbox به عنوان پردازنده داده در نظر گرفته می شوند.
کنترلر داده پردازنده های داده را به طور مناسب و مطابق قوانینی که در GDPR برای کنترل داده های کاربر وجود دارد، انتخاب می کند. اگر کنترل کننده داده پردازنده داده ای را انتخاب کند که داده های کاربر را ایمن نگه ندارد، باید پاسخگو باشد.
اصول اساسی GDPR چیست؟
GDPR در قالب چندین اصل راهنما طراحی شده است. آنها شامل موارد زیر هستند:
اصول محافظت از داده ها
اطلاعات شخصی که توسط یک سازمان جمع آوری می شود باید با دقت محافظت و رسیدگی شود. کلیه داده ها باید:
- به صورت قانونی، منصفانه و شفاف پردازش شوند
- برای یک هدف خاص و قانونی جمع آوری شده باشد
- محدود به آنچه برای یک هدف خاص لازم است، باشد
- با دقت حفظ شود و به روز باشد
- فقط تا زمانی که لازم است، ذخیره شود
- ایمنی و محرمانه بودن آن با استفاده از فناوری های مناسب حفظ شود
GDPR مشخص می کند که سازمان ها باید فرایندهای مؤثری را برای حفاظت از داده ها توسعه دهند. این شامل استفاده از فن آوری های مناسب، آموزش کارمندان و ایجاد روش های دقیق برای محافظت از داده ها است.
پردازش قانونی
سازمانها باید قبل از جمع آوری، ذخیره یا پردازش اطلاعات شخص مجوز را از فرد دریافت کنند. آنها فقط می توانند داده های شخصی را پردازش کنند در صورتی که:
- از شخصی که داده هایش دریافت می شود مجوز داشته باشند
- از داده ها برای محافظت از منافع فرد استفاده کنند
- از داده ها برای منافع عمومی استفاده کنند (معمولاً تحقیق)
- برای انجام یک قرارداد از داده ها استفاده شود
- برای برآورده کردن منافع قانونی سازمان استفاده شود
پاسخگویی و حاکمیت
یک سازمان باید بتواند انطباق خود با GDPR را نشان دهد. این کار توسط:
- ثبت سابقه رضایت کاربران
- ثبت سوابق نحوه جمع آوری، ذخیره و پردازش داده ها
- آموزش کارمندان بر اساس اصول GDPR
- تعیین یک مسئول حفاظت از داده
- مستند کردن سیاست های محافظت از داده
رضایت معتبر
GDPR قوانین سختگیرانه تری در مورد چگونگی کسب رضایت سازمان ها از کاربران دارد. آنها شامل موارد زیر هستند:
- درخواست های رضایت باید آسان فهم باشد
- رضایت باید آزادانه و به روشی غیر مبهم ارائه شود
- کاربر باید از نحوه استفاده شما از داده های آنها آگاه باشد
- رضایت در هر زمان امکان پس گرفتن داشته باشد
- سازمان ها باید شواهد رضایت کاربر را ذخیره کنند
حق فردی برای حفظ حریم خصوصی
GDPR سطح بالاتری از حریم خصوصی را به افراد می دهد. این کار را با دادن حقوق زیر به آنها انجام می دهد:
- درخواست دسترسی به داده هایی که یک سازمان دارد
- امکان تغییر داده های نادرستی که یک سازمان دارد
- اعتراض به اطلاعات شخصی آنها که توسط یک سازمان نگهداری می شود
- پاک کردن داده های شخصی در صورت تقاضا
- انتقال داده های شخصی از یک ارائه دهنده به شرکت دیگر
کاربران حق دارند دقیقاً بفهمند که سازمان چگونه می خواهد از اطلاعات استفاده کند و اینکه تا چه مدت آن را خواهد داشت.
گزارش نقض داده ها
GDPR از سازمان ها می خواهد تا نسبت به نقض داده هایی که تجربه می کنند، شفاف تر عمل کنند. کلیه نقض داده ها باید ظرف 72 ساعت از کشف به سازمان حفاظت از داده ها گزارش شود. همچنین اگر خطرات زیادی برای حقوق و آزادی های کاربر وجود داشته باشد (مانند اطلاعات شخصی گرفته شده است که می تواند به سرقت هویت منجر شود)، این سازمان باید در صورت عدم تأثیر داده های آنها به کاربران اطلاع دهد.
آماده سازی برای GDPR
GDPR از تاریخ 25 مه 2018 قابل اجرا شد. پس از این تاریخ، هر مشاغل یا سازمانی که به اطلاعات شخصی شهروندان اتحادیه اروپا می پردازد باید این مقررات جدید را رعایت کند در غیر این صورت با جریمه های جدی روبرو می شود.
دفتر عالی اطلاعات (ICO) یک راهنمای جامع برای GDPR و یک راهنمای 12 مرحله ای برای آماده سازی سازمان برای GDPR ایجاد کرده است. هر دو این منابع بسیار مفید هستند و به سازمان کمک می کنند تا برای تغییرات آماده شود.
برای آشنایی با زیر ساخت داده های گوگل، آمازون و مایکروسافت به مقاله لینک داده شده مراجعه نمایید. همچنین اگر خواهان اطلاعاتی در رابطه با پیشگیری از نشت داده هستید می توانید از مقاله سایت ممتاز سرور در این رابطه استفاده نمایید.