GDPR چیست؟
قانون GDPR مقررات عمومی حفاظت از دادههای اتحادیه اروپا است که حقوق شهروندان اتحادیه اروپا را در مورد دادههای شخصی خود و اقداماتی که شرکتها باید هنگام ذخیره و پردازش آن دادهها انجام دهند، مشخص میکند. اگر در حال ساخت یک وبسایت شرکتی جدید هستید که دادههای شخصی شهروندان اتحادیه اروپا را جمع آوری میکند، مهم است که سازنده وب سایتی را انتخاب کنید که به شما در انجام تعهدات GDPR کمک کند. در این بررسی به طور دقیق در مورد قانون GDPR صحبت میکنیم.
قانون GDPR چگونه است؟
- یک قانون یکسان امنیت داده را برای همه اعضای اتحادیه اروپا و شرکتهایی که کالاها یا خدمات را برای ساکنان اتحادیه اروپا بازاریابی میکنند، تنظیم مینماید.
- کنترل بیشتری بر دادههای شخصی که شرکتها آنها را نگهداری میکنند، از جمله حق انتقال یا پاک کردن دادههای شخصی را میدهد.
- شرکتها را ملزم میکند تا سطح معقولی از حفاظت از دادهها را اجرا کنند تا دادههای شخصی افراد را از گم شدن یا قرار گرفتن در معرض خطر مصون نگه دارند.
- شرکتها را مجبور میکند تا در صورت وقوع نقض دادهها در دادههای شخصی، به مقامات ناظر و موضوع دادهها اطلاع دهند.
- برخی از شرکتها باید افسران حفاظت از دادهها را منصوب کنند، به ویژه شرکتهایی که دادههای حساسی مانند سلامت، نژاد، مذهب و دادههای ژنتیکی را پردازش میکنند.
- برای شرکتهایی که از GDPR پیروی نمیکنند، جریمههای سختی وضع میشود.
کدام بخشها از سازمان باید GDPR را در نظر بگیرند؟
بخشهایی از سازمان که باید این قانون را لحاظ کنند، عبارتند از:
بخش فناوری اطلاعات
مسلماً بخشی كه بيشترين تأثير را از GDPR میگيرد، فناوری اطلاعات است. بخش فناوری اطلاعات باید یک ممیزی داده را انجام دهد که انواع اطلاعاتی که شرکت استفاده میکند و افرادی که به آن دسترسی دارند را نشان دهد. استفاده از این اطلاعات باید از نظر قانونی قابل توجیه باشد و دپارتمانهای فناوری اطلاعات باید اقدامات لازم را انجام دهند تا اطمینان حاصل شود که شرکتها با آن مطابقت دارند.
بخش بزرگی از انطباق با GDPR ایمن سازی دادهها است. تمام دادههای شخصی ذخیره شده باید هر جا که امکان دارد، ناشناس و رمزگذاری شوند. حفاظت از دادههای شخصی در سراسر شرکت باید در نظر گرفته شده و یک سیاست امنیتی داخلی اجرا شود. باید فرآیندی برای اطلاع رسانی نقض دادهها به مقامات ناظر و موضوع دادهها ایجاد شود. باید سیستمهایی تنظیم شوند که به افراد اجازه دهند تا دادههای شخصی که ذخیره شدهاند را درخواست و دریافت کنند. کاربران باید بتوانند به سرعت و به راحتی دادههای نادرست مربوط به خود را بهروز کنند.
بخش منابع انسانی
کارکنان منابع انسانی همچنین باید محدودیتهای GDPR بر روی دادههای جمعآوری شده از کارمندان شرکت را درک کنند. اطلاعات شخصی فقط با رضایت صریح کارکنان قابل ذخیره است و آنها حق دارند در هر زمان رضایت خود را پس بگیرند. دادهها را فقط میتوان برای یک هدف خاص و مورد نظر ذخیره و استفاده کرد و بدون اجازه نمیتوان آنها را به طور نامحدود ذخیره کرد. این مهم تا حد امکان باید در قالب رمزگذاری شده ذخیره شود و هرگونه نقض داده باید ظرف 72 ساعت به هر کسی که تحت تأثیر قرار میگیرد، اطلاع داده شود.
GDPR بررسیهای معمول سرویس افشا و ممنوعیت (DBS) که بیشتر به عنوان بررسی سوابق جنایی شناخته میشود را برای همه کارمندان مجاز نمیداند. با این حال، توجه داشته باشید که استفاده از چکهای DBS را در موارد خاص ممنوع نمیکند، فقط استفاده بیرویه و بیدلیل از آنها را برای همه کارمندان ممنوع میکند.
بخش بازاریابی
بخشهای بازاریابی باید از سه حوزه کلیدی GDPR آگاه باشند که شامل مجوز داده، دسترسی به دادهها و تمرکز دادهها هستند. قوانین مجوز داده بیان میکنند که مطالب تبلیغاتی فقط برای افرادی قابل ارسال باشد که صریحاً با دریافت آن موافقت کردهاند. بخش بازاریابی نمیتواند به طور خودکار وقتی شخصی در یک وبسایت ثبت نام میکند، او را در خبرنامه شرکت دهد. برای مثال، بازدید کننده باید صریحاً با علامت زدن یک چک باکس، ثبت نام را انتخاب کند.
GDPR شامل مقرراتی برای حق فراموشی است. این به معنای ارائه راهی به افراد برای حذف جزئیات خود از سیستمهای شرکت یا لغو اشتراک از بازاریابی است. در حالی که بخش بازاریابی دوست دارند دادههای کاربران را جمع آوری کنند، برای اینکه مطابق با GDPR باشند، باید بتوانند نشان دهند که دلیل خوبی برای ذخیره دادههای شخصی دارند. یک شرکت آرایشی ممکن است بتواند نشان دهد که چرا باید جزئیات رنگ پوست مشتریان خود را حفظ کند.
مزایای قانون GDPR
GDPR اعتماد و اعتبار کسب و کار را افزایش میدهد. در حالی که تقریباً تمام مفاد GDPR برای محافظت و توانمندسازی مصرف کننده است، چندین مزیت برای شرکت نیز وجود دارند. کسب و کارهای سازگار همچنین ممکن است درخواستهای بیشتری را برای مشاغل جذب کنند و با بهبود شهرت شرکت، کارکنان را برای مدت طولانیتری حفظ میکنند.
کنترل و درک بهتر دادههای جمع آوری شده
انباشت حجم عظیمی از دادههای شخصی بدون درک خوب از نحوه استفاده از آن بیهوده و پرهزینه است. شرکتهایی که با الزامات سختگیرانه GDPR مواجه هستند، دادههایی که نگهداری و پردازش میکنند را ساده سازی کردهاند. این کار باعث میشود که دادهها و نحوه حرکت آن در سازمان به درستی درک شود.
حریم خصوصی به عنوان یک حق اصلی
بدون مقرراتی مانند GDPR، شرکتهایی که به حریم خصوصی احترام میگذارند، اغلب خود را در مقابل کسب و کارهایی که هیچ توجهی به حریم خصوصی ندارند، در مضیقه میبینند. با برقرار GDPR، زمین بازی هموار شده است! همه شرکتها باید حریم خصوصی دادهها را در سراسر سازمان خود پیاده کنند. شرکتهایی که برای حفظ حریم خصوصی ارزش قائل هستند، دیگر در مضیقه نخواهند بود.
ارائه دادههای دقیقتری از GDPR
زمانی که شرکتها ملزم به انجام ممیزی دادهها و حذف دادههای قدیمی و غیر ضروری هستند، اغلب میتوانند اطلاعات دقیقی را پیاده سازی کنند. قوانین همه بخشها را مجبور کرده است که دادههای خود را بهتر سازماندهی کنند که این امر منجر به دقیقترین، سازمان یافتهترین و امنترین دادهها تا به امروز شده است. دقت این دادهها مزایای زیادی به همراه دارد. برای مثال، تبلیغات و تلاشهای بازاریابی میتوانند مؤثرتر و هدفمندتر باشند.
GDPR برای چه کسانی اعمال میشود؟
GDPR برای مشاغلی اعمال میشود که موضوعات داده اتحادیه اروپا را در موارد زیر هدف قرار میدهند:
- ارائه کالا یا خدمات
- نظارت بر رفتار آنلاین
همچنین این قانون برای نظارت بر رفتار آنلاین بازدیدکنندگان اعمال میشود. اگر تجارت خود را از خارج از اروپا اداره میکنید، تصور نکنید که از اتحادیه اروپا معاف هستید. GDPR برای سازمانهایی که در اتحادیه اروپا و سازمانهایی در سرتاسر جهان به طور مستقیم یا غیرمستقیم افراد در اتحادیه اروپا را هدف قرار میدهند، اعمال میشود.
هر شهروند اروپایی که دادههای خود را توسط یک شرکت جمع آوری میکند، موضوع داده تحت GDPR است. شرکتی که دادههای شهروندان اتحادیه اروپا را پردازش میکند، به عنوان کنترل کننده داده شناخته میشود. اگر شخص ثالثی برای پردازش دادهها (مانند یک شرکت حقوق و دستمزد) به کار گرفته شود، آنها پردازشگر داده هستند. اکثر شرکتهای بزرگ جهان مشمول GDPR هستند.
هفت دستورالعمل اصلی GDPR
هفت اصل کلیدی برای GDPR وجود دارند که نحوه پردازش دادهها را برای کسب و کارها برای انطباق با استانداردهای جدید حفاظت از داده اتحادیه اروپا دیکته میکنند:
- قانونمندی، انصاف و شفافیت: پردازش دادهها باید قانونی باشد و از اطلاعات جمع آوری شده منصفانه استفاده کند. همچنین نباید کاربران را در مورد نحوه استفاده از دادههای آنها گمراه کند.
- محدودیت هدف: هدف از پردازش باید از ابتدا مشخص باشد، ثبت شود و تنها در صورت رضایت کاربر تغییر کند.
- به حداقل رساندن دادهها: فقط دادههای مورد نیاز برای هدف پردازش ذکر شده باید جمع آوری شوند.
- دقت بیشتر: برای اطمینان از دقیق و به روز بودن دادههای جمع آوری شده باید اقدامات منطقی انجام شوند.
- محدودیت ذخیره سازی: دادهها نباید بیش از حد لازم نگهداری شوند.
- صداقت و رازداری: برای محافظت از دادههای شخصی ذخیره شده و جلوگیری از نقض دادهها، باید اقدامات امنیتی سایبری مناسبی اتخاذ گردند.
- مسئولیت پذیری: سازمانها در مورد نحوه مدیریت دادهها و رعایت GDPR پاسخگو هستند.
کلام آخر
شرکتهایی که دادههای شهروندان را در کشورهای اتحادیه اروپا (EU) جمع آوری میکنند، باید از قوانین جدید سخت گیرانه در مورد حفاظت از دادههای مشتریان پیروی کنند. مقررات عمومی حفاظت از دادهها (GDPR) استاندارد جدیدی را برای حقوق مصرف کننده در رابطه با دادههایشان تعیین میکند. اما شرکتها با ایجاد سیستمها و فرآیندهایی برای حفظ انطباق با این قانون، با چالش مواجه خواهند شد. بدین دلیل که هدف از GDPR، حفظ امنیت و به حداکثر رساندن حریم خصوصی است.
دیدگاه شما