بی اعتباری كسب وكارها با بی توجهی به امنیت داده ها
تجهیزات جانبی: اگر سازمانی نتواند خودرا با الزامات GDPR یا مقررات حفاظت از داده های عمومی تطبیق دهد و كارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد كه فقط محدود به مجازات های مالی نشده و می تواند اساس و شهرت یك بنگاه كسب وكار را با مخاطره جدی مواجه كند.
به گزارش تجهیزات جانبی به نقل از ایسنا، دهه گذشته بی شک تکامل گسترده جامعه شناختی جهانی است که نسل جدید و عصر ارتباطات و پردازش داده ها را تعریف و به وجود آورده است. این دوران به سبب اینکه شبکه های اجتماعی مختلف همچون فیسبوک، اینستاگرام، توییتر و سایر برنامه ها و سایت ها در خط مقدم انتشار خبری و سازوکارهای ارتباطی بین کاربران خود قرار دارند، بعنوان دوران رسانه های اجتماعی توصیف شده است.
استفاده از شبکه های اجتماعی بعنوان یک روند آغاز طی این سال ها به یک ابزار ضروری در زندگی روزمره میلیون ها نفر تبدیل گشته و زمینه ای آسان برای برقراری ارتباط، اشتراک گذاری و انتشار دیدگاه ها، اخبار و اطلاعات را فراهم می آورد. امروزه داده ها به سرعت در حال تبدیل شدن به شاهرگ حیاتی اقتصاد جهانی هستند. در عصر کلان داده ها و هوش مصنوعی، داده می تواند هم بعنوان یک فرصت و هم بعنوان یک تهدید مطرح شود.
داده ارائه دهنده نوع جدیدی از دارایی اقتصادیست و می توان با مدیریت صحیح، منسجم، هدفمند، یکپارچه و به کارگیری یک تفکر راهبردی، آنرا به یک مزیت رقابتی تبدیل کرد. عدم مدیریت مناسب داده خصوصا در مواردی نظیر حفظ حریم خصوصی و حفاظت از داده های محرمانه و حساس مشتریان، می تواند به شهرت و اعتبار یک سازمان لطمه برساند و استمرار کسب وکار یک بنگاه اقتصادی را با چالش جدی مواجه کند.
صرف داشتن داده دلیلی بر موفقیت نیست، مهم شیوه جمع آوری، ذخیره سازی، آماده سازی، استخراج، عملیات، بهره برداری، پالایش، تولید و توزیع داده است. استفاده از این شبکه ها و قوانین انتقال گسترده اطلاعات شخصی در سراسر جهان در رابطه با قانون حفاظت از داده ها، مصوبه کمیسیون اروپا در سال ۱۹۹۵ است. این قانون به مدت طولانی پیش از عصر وب ۲، بدون شبکه های اجتماعی در نظر گرفته شده است. سپس در ماه می ۲۰۱۶، اتحادیه اروپا مقررات جدیدی را در مورد حفاظت از اطلاعات شخصی تصویب کرد.
با وجود نتایج شدید مخاطرات امنیت داده، تا همین اواخر، جریمه نقض مقررات حفاظت از داده ها، محدود بود و در عمل اقدامات اجرایی چشمگیری انجام نمی شد. با افزایش جرائم اینترنتی، نیاز به امنیت آنلاین بطور فزاینده ای برای کسب وکارهای مجازی افزایش می یابد. اطلاعات امنیتی بعنوان مسئول تامین کننده امنیت مجازی یک شرکت، باید به روز باشند تا اطمینان حاصل شود که کسب وکار مجازی در یک فضای امن صورت می گیرد و اطلاعات دارای امنیت بالایی است و این نیازمند به روز بودن و سازگاری با مباحث امنیتی در حوزه فضای مجازی است.
تحول بنیادین در روش های حفاظت از داده مشتریان با GDPR
در نهایت اتحادیه اروپا با معرفی GDPR یا مقررات حفاظت از داده های عمومی (General Data Protection Regulation)، تنظیم و جایگزین قوانین کنونی حفاظت از داده های سال ۱۹۹۵، شاهد یک تحول بنیادین در روش های حفاظت داده مشتریان بوده و پیامد آن برای شرکت های ناسازگار با مقررات GDPR و ناقض داده، جرایم و مجازات های سنگین خواهد بود. مقررات حفاظت از اطلاعات عمومی بطور مستقیم در سطح ملی قابل اجراست و قوانین حفاظت از داده ها را در سراسر اتحادیه اروپا هماهنگ می کند.
بر اساس گزارش سازمان تنظیم مقررات و ارتباطات رادیویی، مقررات حفاظت از داده های عمومی (GDPR) یک سند در حوزه حقوق اروپاست که برای حفاظت از داده ها و حریم خصوصی همگان در حوزه اتحادیه اروپایی و منطقه اقتصادی اروپا تدوین شده است. این سند همین طور به ارسال داده ها به خارج از اتحادیه و منطقه اقتصادی اروپا نیز می پردازد. این سند از تاریخ ۲۵ می ۲۰۱۸ لازم الاجرا بوده و هدف سند آن است که به شهروندان و افراد مقیم در حوزه اتحادیه و منطقه اقتصادی اروپا امکان کنترل بر اطلاعات شخصی شان اعطا کند و نظارت بر محیط کسب وکار بین المللی را تسهیل کند.
بر طبق این سند فرآیندهای کسب وکار که اطلاعات شخصی را مدیریت می کند باید با پیش فرض رعایت حریم خصوصی طراحی و از تنظیمات حریم خصوصی حداکثر استفاده شود، طوری که داده ها بدون رضایت صریح بطور عمومی در دسترس قرار نگیرند و استفاده نشوند. بر این اساس هیچ داده شخصی نمی تواند جز در صورت وجود یک مبنای قانونی یا رضایت صریح و صحیح موضوع داده (شخصی که داده های وی مورد کنترل و پردازش است) پردازش شود.
این مساله در فضای تکنولوژی امروزه و خصوصاً در زمینه بازاریابی دیجیتال، به سبب تمرکز بیشتر روی حریم خصوصی حائز اهمیت می باشد، ممکنست به عبارت دیگر بازاریاب ها برای ایجاد کمپین های موفق دیجیتال دسترسی کمتری به نوع داده های لازم داشته باشند. یک پردازنده اطلاعات شخصی باید به روشنی درباره اینکه چه اطلاعاتی را جمع آوری می کند، چگونه و چرا پردازش می شوند، چگونه نگهداری می شود و با اشخاص ثالثی به اشتراک گذارده می شود یا خیر توضیح دهند. همین طور کاربران حق دارند کپی اطلاعات خودرا از پردازنده دریافت و در شرایط خاصی درخواست پاک شدن داده ها را کند.
یکی از خاصیت های برجسته GDPR نسبت به سایر مقررات موجود، گستردگی حفاظت از داده مشتریان است. لایحه GDPR شامل طیف گسترده ای از الزامات قانونی جدید است، از پیاده سازی شرایط لازم جهت جابجایی داده های بین المللی گرفته تا بررسی، به هنگام سازی و اقدامات فنی و سازمانی جهت حفاظت از داده مشتریان. الزامات قانونی فوق، بطور قابل توجهی بر نحوه جمع آوری، مدیریت، حفاظت و به اشتراک گذاشتن داده ها تأثیر خواهد گذاشت.
یکی از اهداف دیگر این است که از کسب وکارها برای حفظ و نگهداری داده ها برای مدت زمان طولانی جلوگیری شود و از آن استفاده نکنند. اساساً این سیاست تاریخ انقضای مصرف داده را تعیین می کند. در امتداد اجرای این سند، ادارات و شرکت های خصوصی که فعالیت آنها حول محور پردازش منظم یا سیستماتیک اطلاعات شخصی قرار دارند، ملزم به استخدام افسر حفاظت از داده (DPO) هستند که موظف به انطباق فعالیت ها با سند GDPR است و کسب وکارها ملزم هستند هرگونه نقض و تخلف را در صورتیکه اثر نامطلوبی بر حریم خصوصی داشته باشد، ظرف ۷۲ ساعت گزارش کنند.
دامنه اعمال سند GDPR
این مقررات در صورتی اعمال می شود که کنترل کننده داده ها (سازمان یا مرکزی که داده ها را از کاربران مقیم اروپا جمع آوری می کند) یا پردازنده (مجموعه ای که اطلاعات جمع آوری شده را از جانب کنترل کننده مانند شرکت های خدمات Cloud Computing پردازش می کند) و یا موضوع داده در محدوده اتحادیه اروپا باشد. بدین سبب در شرایط خاصی، این مقررات نسبت به مجموعه هایی در خارج از اتحادیه اروپا نیز قابل اعمال است و آن در صورتی است که این مجموعه ها اطلاعات افراد مقیم در حوزه اتحادیه اروپا را مورد پردازش قرار دهند.
بر طبق تعریف کمیسیون اروپا از داده های شخصی، داده شخصی هرگونه اطلاعات مربوط به یک فرد است، شامل اینکه در ارتباط با زندگی خصوصی، حرفه ای و یا عمومی وی باشد. بنابراین، این اطلاعات می تواند شامل هر داده ای شامل آدرس منزل، ایمیل، جزئیات حساب بانکی، اطلاعات پستی، شبکه های اجتماعی، پزشکی و حتی یک آدرس IP کامپیوتر باشد. کارهای پردازش شامل جمع آوری، استفاده و افشای اطلاعات است که مقررات حفاظت از اطلاعات عمومی حفاظت بیشتری برای پردازش دسته های خاص اطلاعات شخصی فراهم می آورد. کشورهای عضو ممکنست شرایط بیشتری شامل محدودیت های مربوط به پردازش داده های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را عرضه کنند.
مقررات جدید حفاظت از داده ها در ارتباط با تمامی داده هایی که امکان شناسایی مستقیم و یا غیرمستقیم یک فرد را توسط هر کسی فراهم می آورد، اعمال می شود. در نتیجه، شناسه های کوکی، شناسه های آنلاین، شناسه های دستگاه و آدرس های IP بعنوان داده شخصی تحت طبقه بندی GDPR تلقی می شوند. مدیریت صحیح داده در سراسر چرخه حیات یکی از الزامات اولیه و مهم حفاظت داده است. این مقررات بر کارهای مربوط به پردازش داده های شخصی برای اهداف امنیت ملی یا اجرای قوانین اتحادیه اروپا، اعمال نمی گردد.
با این وجود، گروه های صنعتی که نگران مواجه شدن با اختلافات احتمالی در قانون هستند، این سوال را مطرح کرده اند که آیا ماده ۴۸ از سند مصوب GDPR می تواند مانع کنترل کننده داده ها برای ارائه داده های یک مقیم اتحادیه اروپا به مقامات انتظامی، قضایی یا امنیتی یک کشور ثالث، فارغ از اینکه داده ها در داخل یا خارج اتحادیه باشد، به حساب بیاید یا خیر.
ماده ۴۸ بیان می کند که هرگونه رأی دادگاه یا محکمه و هرگونه دستور اداری کشور ثالث به کنترل کننده یا پردازش کننده داده ها برای انتقال یا افشای داده های شخصی نمی تواند به رسمیت شناخته شود و قابل اجرا نیست؛ مگر اینکه درخواست بر طبق یک موافقت نامه بین المللی مانند معاهده معاضدت متقابل، بین کشور درخواست کننده (که عضو اتحادیه اروپا نیست) و اتحادیه اروپا یا یکی از کشورهای عضو اتحادیه باشد.
مجموعه مقررات GDPR شامل دستورالعملی جداگانه برای حفاظت از داده ها برای پلیس و بخش عدالت کیفری (دادگستری) نیز هست که مقررات حاکم بر تبادل داده های شخصی را در سطح ملی، اروپایی و بین المللی نیز مشخص می کند. این مقررات بر تمام کشورهای عضو اتحادیه اروپا اعمال و هر کشور عضو یک نهاد نظارتی مستقل (ISA) برای استماع و بررسی شکایات، اعمال مجازات برای تخلفات اداری و به وجود می آورد و این نهاد در هر کشور عضو با نهاد نظارتی دیگر کشورهای عضو در امتداد کمک متقابل و سازماندهی اقدامات مشترک همکاری می کند.
چنانچه شرکتی در نقاط مختلف اتحادیه اروپا تشکیلات داشته باشد، نهاد ناظر بر آن، نهاد مستقر در مرکز امور مهم آن شرکت یا به عبارتی مرکز اصلی آن خواهد بود. (مرکز اصلی شرکت جایی است که شرکت در آنجا اداره می شود و امور اداری شرکت در آنجا متمرکز است. معمولاَ ارکان شرکت یعنی مجامع عمومی و هیات مدیره و مدیر عامل و بازرس یا بازرسان، در مرکز اصلی شرکت انجام وظیفه می کنند.)
مطابق ماده ۳ مقررات GDPR، برای مواردی که کنترل کننده داده ها و یا پردازنده های داده ای در اتحادیه اروپا ایجاد نشده اند، اما کارهای آنها در محدوده مقررات GDPR قرار دارد، اطلاعات شخصی ممکنست در خارج از اتحادیه اروپا به کشورهای ثالث یا سازمان های بین المللی منتقل شوند که در اینصورت باید یک نماینده بعنوان نقطه تماس در یک کشور عضو اتحادیه اروپا تعیین کنند.
انتقال دیتای شخصی به یک کشور سوم یا سازمان بین المللی که از تصمیمات کمیسیون اروپا باخبر نیست، می تواند بوسیله برخی از ابزارهای موجود مانند مقررات حفاظت از داده های استاندارد، قوانین شرکت های الزامی و همین طور ابزارهای جدید، کدهای تاییدشده یا صدور گواهینامه ارائه شود. در مواردی که تصمیم گیری و حمایت مناسبی وجود نداشته باشد، انتقال دیتای شخصی تنها در شرایط محدود می تواند صورت گیرد و بعد از انتقال به سایر کشورهای ثالث نیز تحت این شرایط قرار می گیرند.
مبانی قانونی پردازش داده
داده ها نمی توانند پردازش شوند مگر اینکه حداقل یک مبنای قانونی برای آن وجود داشته باشد:
۱. شخص موضوع داده نسبت به پردازش آن برای یک یا چند هدف مشخص رضایت داده باشد. لایحه GDPR قوانین سختگیرانه ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است. همین طور متن رضایت نامه باید صریح باشد و با شفافیت کامل دلیلهای و نوع استفاده از داده را به اطلاع کاربران برساند. رضایت کودکان باید توسط والدین یا قیم کودک اعلام گردد. کنترل کننده داده باید بتواند رضایت را اثبات کند و چون رضایت دائمی نیست می تواند لغو شود.
باتوجه به قوانین جدید، شرکت ها باید پروسه عدم رضایت را به همان سادگی پروسه رضایت پیاده سازی کنند تا در صورت ضرورت بتوان با بهره گیری از آن، عدم رضایت خود برای پردازش داده های شخصی را اعلام نمود. همین طور به درخواست های مشتریان درباب لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانکهای اطلاعاتی مربوطه ثبت تا در آینده از داده آنها استفاده نشود.
۲. پردازش داده ها برای اجرای یک قراردادی که شخص موضوع داده، طرف آن قرارداد است لازم باشد یا درخواست داده ها قدم اولیه برای ورود به قرارداد باشد.
۳. پردازش داده ها برای کنترل کننده جهت تطابق با تعهدات وی لازم باشد.
۴. پردازش برای حفاظت از منافع حیاتی شخص موضوع داده یا شخص حقیقی دیگری لازم باشد.
۵. پردازش برای اقدامی در جهت منافع عمومی و یا انجام وظایف حاکمیتی لازم باشد.
۶. پردازش برای اهداف مشروع کنترل کننده داده یا شخص ثالثی ضروری باشد، مگر اینکه با منافع یا حقوق و آزادی های اساسی شخص موضوع داده تعارض داشته باشد به خصوص اگر شخص موضوع داده کودک باشد.
مسئولیت پذیری و پاسخگویی
کنترل کننده داده برای رعایت مقررات GDPR باید اقداماتی را انجام دهد که به صورت پیش فرض با اصول حفاظت از داده ها منطبق باشد و در توسعه فرآیندهای کسب وکار باید اصول حریم خصوصی برای حفاظت از داده ها رعایت شود. انجام چنین اقداماتی در سریع ترین زمان ممکن باید شامل داده های شخصی شود. اقدامات موثر برای انطباق کارهای پردازش داده با مقررات GDPR جزو مسئولیت های کنترل کننده است حتی اگر پردازش توسط شخصی خارج از کنترل وی صورت گیرد.
هنگامی که داده ها جمع آوری می شود، کاربران باید بطور واضح در مورد میزان جمع آوری داده ها، مبنای قانونی برای پردازش داده های شخصی، مدتی که داده های شخصی نگهداری می شوند و اینکه آیا داده ها به خارج از اتحادیه اروپا یا اشخاص ثالثی منتقل می شود یا خیر اطلاع داشته باشند و اطلاعات افسر حفاظت از داده ها را به کاربران بدهند و آنها را از حقوق خود مبتنی بر GDPR همچون حق پس گرفتن رضایت پردازش اطلاعات، حق مشاهده اطلاعات شخصی و دسترسی به یک مرور کلی بر پروسه پردازش، حق پاک کردن داده ها در شرایط خاص، داشتن یک نسخه کپی از داده هایشان، حق اعتراض و حق محدودیت باخبر کنند.
چگونگی تاثیر GDPR بر سازمان های داده محور
موافقت های قابل تأیید و مطمئن: رضایت کاربران برای پردازش و یا عدم پردازش داده های شخصی، یکی از مولفه های مهم GDPR است. لایحه GDPR به شهروندان اتحادیه اروپا اجازه می دهد برمبنای موافقت، امکان پردازش داده های شخصی خودرا در اختیار سازمان ها قرار دهند و قوانین سختگیرانه ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است.
باتوجه به قوانین جدید، شرکت ها باید پروسه عدم رضایت را به همان سادگی پروسه رضایت نیز پیاده سازی کنند تا در صورت ضرورت بتوان با بهره گیری از آن، عدم رضایت خودرا برای پردازش داده های شخصی اعلام نمود. همین طور متن رضایت نامه باید صریح باشد و با شفافیت کامل دلیلهای و نوع استفاده از داده را به اطلاع کاربران برساند.
تاکید بر حفاظت داده به صورت پیش فرض و رعایت آن در طراحی: تا به امروز، کسب وکارها از اقدامات فنی و سازمانی مختلفی برای حفاظت از داده های شخصی استفاده می کردند ولی پیاده سازی GDPR، شرکت ها را ملزم می کند وضعیت و اقدامات حفاظت داده ها را بطور مستمر بررسی و به روز کنند.
ارزیابی اثرات حفاظت از داده ها: برای شناسایی، درک و کاهش هرگونه ریسکی که ممکنست در زمان ایجاد راهکارهای جدید و یا انجام کارهای جدیدی که مستلزم پردازش داده مشتری نظیر تجزیه و تحلیل داده و تمامی برنامه های داده محور است (شامل برنامه های هوش کسب وکار، انبار داده و برنامه های بازاریابی) لازم است ارزیابی اثرات حفاظت از داده ها صورت گیرد. لایحه GDPR، ارزیابی اثرات حفاظت از داده ها را برای تمامی سازمان ها یک گردنگیر الزامی در نظر گرفته است و در صورتیکه نتایج ارزیابی نشان دهنده وجود یک تهدید و یا خطر امنیتی باشد، باید با یک مقام نظارتی حفاطت از داده مشورت شود.
در صورتیکه یک سازمان نتواند خودرا با الزامات GDPR تطبیق دهد و در ممیزی انجام شده کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد. عواقب فوق بر خلاف آنچه که بیشتر مردم باور دارند، فقط محدود به مجازات های مالی نمی گردد و می تواند اساس و شهرت یک بنگاه کسب وکار را با مخاطره جدی مواجه سازد. سه عامل اصلی از دست دادن اعتماد مشتریان، جرایم مالی و عدم استفاده از داده خصوصی مشتریان در هرگونه سیستم و یا برنامه، سبب شده است مقررات GDPR یکی از سخت گیرانه ترین و دقیق ترین قوانین حفاظت از داده ها باشد.
افشای داده ها و نقض قوانین حفاظت از داده
بر طبق قوانین و مقررات GDPR، کنترل کننده داده در صورت افشای داده ها، متعهد به اطلاع رسانی به نهاد نظارتی بدون تأخیر نامعقول (حداکثر۷۲ ساعت) است؛ مگر اینکه این افشای داده ها خطری برای حقوق و آزادی های اساسی اشخاص نداشته باشد که در این صورت الزامی به اطلاع به شخص موضوع داده ها ندارد.
اشخاصی که این تعهد را نقض کنند، مشمول مجازات هایی می شوند. این موارد عبارتند از تحریم هایی که می تواند نسبت به آنها اعمال شود، همچون آگهی کتبی در بار اول در صورت غیرعمدی بودن؛ بازرسی های منظم ادواری برای حفاظت از داده ها؛ جریمه تا ۱۰ میلیون یورو و یا تا دو درصد از گردش مالی سالانه شرکت در سال مالی گذشته، در صورت نقض پاراگراف ۵ و ۶ ماده ۸۳ از سند GDPR؛ جریمه تا ۲۰ میلیون یورو یا تا ۴ درصد از گردش مالی سالانه شرکت در سال مالی گذشته، درصورت نقض پاراگراف ۴ ماده ۸۳ از سند GDPR؛ نقض قوانین حفاظت داده توسط یک شرکت می تواند بوسیله درگیر شدن در پرونده های مدنی به اعتبار و شهرت یک سازمان صدمات جبران ناپذیری وارد کند.
برای پیش گیری از جرایم سنگین و مجازات شدید، کسب وکارها باید یک برنامه کامل، جامع و بالغ حاکمیت داده را پیرامون بازنگری کلیه قراردادهای موجود تا درخواست خرید سیستم های جدید مستقر کنند. همین طور باید تمامی روش های مدیریت داده را بمنظور سازگاری با مقررات GDPR و کاهش خطرات مالی و اعتباری مطالعه و بررسی نمایند.
اقدامات لازم جهت کاهش ریسک و انطباق با GDPR
این سوال مطرح می شود که چگونه می توان ریسک ها را کم کرد و از اعتبار کسب وکار خود حفاظت کرد؟ با انجام اقدامات زیر می توان از تطابق با قوانین جدید حفاظت داده مطمئن شد:
تعریف داده شخصی مشتریان: داده های شخصی اطلاعات مربوط به یک فرد است و فراتر از نام آشکار، شماره تلفن و آدرس است و شامل اطلاعاتی مانند آدرس IP، آدرس ایمیل یا شماره تلفن، اطلاعات بانکی، عکس، شماره مربوط به حساب های مالی، اطلاعات پزشکی، اطلاعات (مانند نام) در رابطه با پست های رسانه های اجتماعی می شود. کارهای پردازش شامل جمع آوری، استفاده و افشای اطلاعات است که مقررات GDPR حفاظت بیشتری برای پردازش دسته های خاص اطلاعات شخصی فراهم می آورد. کشورهای عضو ممکنست شرایط بیشتری شامل محدودیت های مربوط به پردازش داده های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را عرضه کنند.
برای مثال، تکنولوژی های جدیدی وجود دارد که به بازاریابان اجازه می دهد به آسانی خریداران را در زمان واقعی برمبنای آدرس MAC خود، که مشابه آدرس IP است، ردیابی کنند. خرده فروشان قادر به ردیابی رفتار خریدار خواهند بود که به خودی خود نقض مقررات نیست، با این وجود نقض آن بر طبق مقرراتی است که بر رفتار نظارتی حاکم بر GDPR تمرکز می کنند. اساساً، نمایه سازی یا تجزیه و تحلیل بدون مجوز دارای مجازات است. برای این منظور، مهمست که کسب وکارها درک صحیحی از اطلاعات شخصی شامل شناسه های دیجیتال مانند آدرس های IP و MAC و کوکی هایی که برای تجزیه و تحلیل، تبلیغات و ابزار چت استفاده می شود، دارا باشند.
مدیریت جریان داده و فرآیندها: برای انجام مدیریت جریان داده ها و فرایندهای مربوطه لازم است یک نقشه راه برای تعیین منابع ورود داده، ابزارهای پردازش داده، تکنیک ها و متدلوژی های استفاده شده و شیوه به اشتراک گذاشتن آن با سایر کسب وکارها را ایجاد کنند. بعد از تهیه لیستی از ورودی ها و خروجی ها، میزان تطابق آنها با مقررات جدید را بررسی و اقدامات لازم برای اطمینان از حاکمیت داده مناسب را انجام دهند.
تعیین یک متخصص حفاظت داده: یک متخصص ارشد افسر حفاظت داده (DPO) را که دارای دانش مناسب و اختیار لازم برای ارزیابی و کاهش خطرات عدم انطباق است، تعیین کنند. اطمینان از پاسخ سریع به درخواست های لغو: به درخواست های مشتریان درباب لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانکهای اطلاعاتی مربوطه ثبت تا در بازاریابی مستقیم آتی از داده آنها استفاده نشود.
با معرفی قوانین و مقررات GDPR شاهد یک تحول اساسی در روش های حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکت های ناسازگار با آن قوانین و مقررات و ناقض داده، جرایم و مجازات های سنگین را به دنبال خواهد داشت. موفقیت در ارزیابی مطابقت قوانین و مقررات GDPR مستلزم انجام مجموعه ای از اقدامات و کارهای هدفمند و منسجم در حوزه های مختلفی خصوصاً مدیریت داده ها است که بدون وجود یک فونداسیون قوی مدیریت داده نمی توان پاسخگوی الزامات قانونی GDPR باشد، برای اینکه حاکمیت داده باتوجه به وظایف ذاتی خود می تواند در این راه بسیار موثر واقع شود.
منبع: تجهیزات جانبی
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب