GDPR یا مقررات عمومی حفاظت از داده ها مجموعه جدیدی از قوانین است که برای محافظت از داده های افرادی که در اتحادیه اروپا زندگی می کنند طراحی شده است. این امر به طرز چشمگیری چگونگی جمع آوری، ذخیره، پردازش و به اشتراک گذاری اطلاعات مصرف کنندگان را تغییر می دهد.
GDPR تمام مقررات فعلی حفاظت از داده های کشورهای اتحادیه اروپا را به سمت خوبی خواهد برد. ایجاد یک استاندارد واحد که تمام سازمان های اروپایی باید آن را رعایت کنند. این امر به بیشتر سازمان ها نیاز دارد، تا در نحوه رسیدگی و ایمن سازی داده های کاربران تغییرات قابل توجهی ایجاد کنند. اگر سازمانی تا 25 ماه مه 2018 با GDPR مطابقت نداشت، با جریمه های جدی روبرو می شد.
در این راهنما اطلاعاتی در مورد دلیل ایجاد GDPR، اصول آن و چگونگی آمادگی سازمان باید برای آن بیان شده است.
فن آوری های به سرعت در حال تحول، نحوه جمع آوری، ذخیره، پردازش و به اشتراک گذاری اطلاعات را تغییر داده اند. اکنون برای سازمان آسان است که مقادیر عظیمی از داده ها را جمع آوری و ذخیره کند. آنها سپس می توانند این داده ها را پردازش کنند تا دانش مفیدی در مورد اعضای عمومی کسب کنند.
بعضی از سازمان ها از اطلاعاتی که جمع آوری شده اند به شکل نامناسبی استفاده می کنند. بدون اجازه کاربر به پردازش اطلاعات سازمان می پردازند تا اطلاعات بیشتری درباره کاربر بدست آورند. بسیاری از اطلاعات محرمانه کاربر نیز به دلیل هک شدن سازمان ها به سرقت رفته و یا به بیرون فاش شده است.
این امر باعث شده است که بسیاری از کاربران اعتماد خود را به توانایی سازمان ها در حفظ مناسب داده ها از دست دهند. GDPR برای بازگرداندن اعتماد مشتری و کنترل بیشتر افراد بر داده های خود ایجاد شده است. این قوانین همچنین سازمان ها را برای محافظت از داده ها پاسخگو می سازد.
GDPR مجموعه ای از قوانین استاندارد را برای مشاغل و سازمان هایی که داده های به دست آمده از شهروندان اتحادیه اروپا به دست می آورند، فراهم می کند. این امر باعث می شود که سازمان ها تعهدات خود را آسان تر درک کنند، زیرا آنها اجازه مقابله با مقررات مختلف بسیاری از کشورهای اتحادیه اروپا را ندارند.
کلیه سازمان های اتحادیه اروپا باید از قوانین مندرج در GDPR پیروی کنند. این شامل مشاغل، خیریه ها و سازمان های دولتی است. سازمان هایی که در خارج از اتحادیه اروپا ساکن هستند اما با اطلاعات شهروندان اتحادیه اروپا کار می کنند نیز باید GDPR را دنبال کنند. هر ارائه دهنده خدمات که داده های شهروندان اتحادیه اروپا را اداره می کند از این استاندارد استفاده می کند. این شامل ارائه دهندگان ذخیره سازی Cloud، شرکت های بازاریابی ایمیل، شرکت های تحلیلی و غیره می شود.
برای درک نحوه عملکرد GDPR، باید برخی اصطلاحات اساسی را بدانید، از جمله:
GDPR برای محافظت از داده های شخصی افراد ساکن در اتحادیه اروپا طراحی شده است. OECD داده های شخصی را به عنوان هر گونه اطلاعات مربوط به یک فرد مشخص یا قابل شناسایی تعریف می کند. این شامل موارد زیر است:
GDPR برای محافظت از داده هایی که می توانند به یک فرد مرتبط باشند، طراحی شده است. این قوانین نگران داده های ناشناس نیستند که نمی توانند به شخصی مرتبط شوند. اما اگر راهی برای اتصال داده های ناشناس با فرد یا پردازش آن وجود داشته باشد، تحت پوشش GDPR قرار می گیرد.
GDPR از سه اصطلاح برای توصیف بازیکنان اصلی درگیر در هنگام دستیابی به داده ها استفاده می کند:
موضوع داده: فردی است که داده هایش جمع آوری، پردازش، ذخیره یا به اشتراک گذاشته می شود. آنها معمولاً مشتری، کارمند، پیمانکار یا عضو عمومی هستند که به سادگی به یک وب سایت مراجعه کرده و از آنها خواسته شده است که اطلاعات شخصی خود را ارائه دهند.
کنترل کننده داده: سازمانی است که داده ها را از یک موضوع داده جمع آوری می کند. آنها وظیفه دارند امنیت اطلاعات سوژه را حفظ کنند.
پردازنده داده: نهادی است که داده ها را در هر نقطه اداره می کند. این می تواند یک شرکت شخص ثالث باشد که تجزیه و تحلیل آماری را بر روی داده های کاربر یا یک سرویس ذخیره سازی داده مبتنی بر ابر انجام می دهد. سرویس های وب مانند MailChimp ،Google Analytics ،Shopify و Dropbox به عنوان پردازنده داده در نظر گرفته می شوند.
کنترلر داده پردازنده های داده را به طور مناسب و مطابق قوانینی که در GDPR برای کنترل داده های کاربر وجود دارد، انتخاب می کند. اگر کنترل کننده داده پردازنده داده ای را انتخاب کند که داده های کاربر را ایمن نگه ندارد، باید پاسخگو باشد.
GDPR در قالب چندین اصل راهنما طراحی شده است. آنها شامل موارد زیر هستند:
اطلاعات شخصی که توسط یک سازمان جمع آوری می شود باید با دقت محافظت و رسیدگی شود. کلیه داده ها باید:
GDPR مشخص می کند که سازمان ها باید فرایندهای مؤثری را برای حفاظت از داده ها توسعه دهند. این شامل استفاده از فن آوری های مناسب، آموزش کارمندان و ایجاد روش های دقیق برای محافظت از داده ها است.
سازمانها باید قبل از جمع آوری، ذخیره یا پردازش اطلاعات شخص مجوز را از فرد دریافت کنند. آنها فقط می توانند داده های شخصی را پردازش کنند در صورتی که:
یک سازمان باید بتواند انطباق خود با GDPR را نشان دهد. این کار توسط:
GDPR قوانین سختگیرانه تری در مورد چگونگی کسب رضایت سازمان ها از کاربران دارد. آنها شامل موارد زیر هستند:
GDPR سطح بالاتری از حریم خصوصی را به افراد می دهد. این کار را با دادن حقوق زیر به آنها انجام می دهد:
کاربران حق دارند دقیقاً بفهمند که سازمان چگونه می خواهد از اطلاعات استفاده کند و اینکه تا چه مدت آن را خواهد داشت.
GDPR از سازمان ها می خواهد تا نسبت به نقض داده هایی که تجربه می کنند، شفاف تر عمل کنند. کلیه نقض داده ها باید ظرف 72 ساعت از کشف به سازمان حفاظت از داده ها گزارش شود. همچنین اگر خطرات زیادی برای حقوق و آزادی های کاربر وجود داشته باشد (مانند اطلاعات شخصی گرفته شده است که می تواند به سرقت هویت منجر شود)، این سازمان باید در صورت عدم تأثیر داده های آنها به کاربران اطلاع دهد.
GDPR از تاریخ 25 مه 2018 قابل اجرا شد. پس از این تاریخ، هر مشاغل یا سازمانی که به اطلاعات شخصی شهروندان اتحادیه اروپا می پردازد باید این مقررات جدید را رعایت کند در غیر این صورت با جریمه های جدی روبرو می شود.
دفتر عالی اطلاعات (ICO) یک راهنمای جامع برای GDPR و یک راهنمای 12 مرحله ای برای آماده سازی سازمان برای GDPR ایجاد کرده است. هر دو این منابع بسیار مفید هستند و به سازمان کمک می کنند تا برای تغییرات آماده شود.
برای آشنایی با زیر ساخت داده های گوگل، آمازون و مایکروسافت به مقاله لینک داده شده مراجعه نمایید. همچنین اگر خواهان اطلاعاتی در رابطه با پیشگیری از نشت داده هستید می توانید از مقاله سایت ممتاز سرور در این رابطه استفاده نمایید.