چگونه GDPR می تواند بر جمع آوری اطلاعات مشتری تأثیر بگذارد

هدف اصلی مقررات عمومی حفاظت از داده اروپا (GDPR)، اطمینان از توانایی هر فرد در کنترل این‌که چه کسی دادههای خود را جمع آوری و پردازش میکند، دادهها برای چه مواردی مورد استفاده قرار میگیرد و تضمین میکند که اطلاعات آن‌ها با ایمن ترین شکل ممکن اداره میشود. این قانون در مورد شرکت‌های سراسر جهان که در مرزهای اتحادیه اروپا با شهروندان تعامل دارند، اعمال می‌شود. 

الزامات GDPR

شایان ذکر است که چندین قانون از GDPR وجود دارد که فقط سناریوها را اعمال میکنند و باید با یک متخصص مشورت کنید تا مطمئن شوید شرکت شما از GDPR پیروی میکند. بدون بحث بیشتر، نیازهای اصلی همه سازمان‌ها برای رعایت GDPR عبارتند از:

حسابرسی اطلاعات

ممیزی اطلاعاتی را که اهداف و جزئیات پردازش دادهها را بیان میکند، را نگه دارید.

درمورد این‌که چه نوع دادهای را پردازش میکنید، چه کسی به آن دسترسی دارد، از جمله اشخاص ثالث، سیستم‌های محافظت از داده فعلی و چرخه عمر داده کاربران خود را مشخص کنید، از جمله این‌که شرکت شما چه زمانی قصد پاک کردن آن‌ها را دارد.

سیاست حفظ حریم خصوصی

طبق ماده 12 GDPR، شما باید یک سیاست حفظ حریم خصوصی عمومی داشته باشید که دلایل جمعآوری اطلاعات را بیان کند. در این خط مشی، شما باید هدف ضبط داده خود، چگونگی پردازش دادهها، دسترسی افراد به آن‌ها و اقدامات امنیتی را که برای ایمن نگه داشتن آن‌ها استفاده می‌کنید، را اطلاع رسانی کنید. این اطلاعات باید تا حد ممکن شفاف باشد و باید دقیقاً در لحظهای که قصد جمعآوری اطلاعات کاربر را دارید ارائه شود.

حقوق دادههای کاربر

کاربران دارای تعداد زیادی حقوق در مورد دادههایی هستند که شما در مورد آن‌ها ذخیره میکنید، اما حقوق اولیه کاربر موارد زیر است:

1-دانش (اطلاعات) کاربر

     کاربران حق دارند بدانند که شما چه اطلاعات شخصی در مورد آن‌ها دارید، چگونه از آن‌ها استفاده میکنید، چه مدت قصد دارید آن‌ها را ذخیره کنید و دلیل نگه داشتن آن‌ها در این مدت زمان چیست.

2-به روز رسانی اطلاعات کاربر

     کاربران میتوانند در هر زمان مشخص اطلاعات مربوط به اطلاعات شخصی خود را درخواست کنند. شما باید یک سیستم شفاف برای به روزرسانی دقیق و ایمن دادههای آن‌ها ارائه دهید.

3-حذف اطلاعات کاربر 

     کاربران میتوانند حذف جزئی یا کامل اطلاعات شخصی خود را که نزد شماست را درخواست نمایند. فقط چند مورد استثنا وجود دارد که میتوانید درخواست را رد کنید و باید آن‌ها را با یک کارشناس حقوقی حل کنید.

به طور کلی، شما باید یک خط ارتباطی مشخص ایجاد کنید که به شما امکان دهد ظرف هر یک ماه هر درخواست را انجام دهید و باید مطمئن شوید که هویت کاربر صحیح است.

اقدامات محافظت از داده

اقدامات فنی لازم را برای اطمینان از حفاظت از دادهها در تمام مراحل انجام دهید. 

این اقدامات شامل رمزگذاری پرونده، استانداردهای سازمانی، محدود کردن میزان اطلاعات شخصی جمعآوری شده، آموزش کارمندان برای مدیریت اسناد، ایجاد چرخههای عمر دادهها و اجرای حذف دستی یا خودکار دادهها پس از دیگر مفید نبودن آن‌ها است. با استفاده از یک نرم افزار ایمن بایگانی اسناد میتوانید اکثرِ این مراحل محافظت فنی را انجام دهید.

سیستم اطلاع رسانی نقض دادهها

مطابق ماده 33 GDPR، در صورت مشاهده نقض دادهها که موجب به خطر افتادن هر یک از نهادهای تحت پوشش قانون GDPR شود، لازم است ظرف 72 ساعت به مرجع نظارت اطلاع دهید. هیچ استثنائی برای دستیابی سازمان‌های غیر مستقر در اتحادیه اروپا وجود ندارد.

ممکن است عاقلانه باشد که شرکت‌های آمریکایی به دلیل شباهت زبان، به دفتر کمیسیون حفاظت از دادهها در ایرلند اطلاع دهند. همچنین لازم است نقض دادهها را به صاحبان داده منتقل کنید مگر این‌که احتمالاً نقض امنیت، آن‌ها را در معرض خطر قرار دهد.

توافقنامههای پردازش دادهها

شما باید با هر سرویس شخص ثالثی که اطلاعات صاحبان داده شما را کنترل میکند، توافق نامه پردازش داده را امضا کنید. توافق نامههای استاندارد متعددی بصورت آنلاین وجود دارد که حقوق و تعهدات هر یک از طرفین را مطابق با تطابق با GDPR بیان میکند، اما موارد خاص باید در هر سناریو مشخص شود. 

نقش حفاظت از دادهها

سرانجام، شما باید اطمینان حاصل کنید که شخصی مسئول انطباق با GDPR است. این تواناییِ شرکت شما در ارزیابی سیاست‌های محافظت از دادهها، رویهها وضعیت و اجرای مسئولیت برای امنیت اسناد را تضمین میکند.

مفاهیم کلیدی GDRP

مفاهیم زیر برای درک چگونگی تأثیر قانون GDPR بر تجارت شما بسیار مهم هستند.

برای اطلاعات بیشتر لطفاً از طرح کلی مقررات کلی حفاظت از دادههای اتحادیه اروپا و راهنمای GDPR ما برای مشاغل بازدید کنید. 

پردازش داده چیست؟

جمعآوری، ضبط، سازماندهی، ساختار، ذخیره، سازگاری، تغییر، بازیابی، مشاوره، استفاده، افشا، پاک کردن یا از بین بردن اطلاعات شخصی از صاحب داده، یک رویداد پردازش داده محسوب میشود. به عبارت دیگر، استفاده از دادههای هر مشتری، پردازش داده تلقی میشود و باید تحت مقررات محافظت از دادهها باشد. 

پردازش کننده داده کیست؟

شخص حقیقی یا حقوقی، مرجع عمومی، آژانس یا هر کسی که اطلاعات شخصی را از طرف کنترل کننده، پردازش میکند.

صاحبان داده چه کسانی هستند؟

آیین نامه عمومی حفاظت از دادهها، صاحبان داده را به عنوان هر «شخص حقیقیِ شناسایی شده یا قابل شناسایی» تعریف می کند. به عبارت دیگر، اصول حفاظت از دادهها در مورد کلیه شرکت‌هایی که با اطلاعات شهروندان اتحادیه اروپا و هر شهروند غیر اتحادیه اروپا که در اروپا زندگی میکند یا به اتحادیه اروپا سفر میکند، اعمال میشود.

کنترل کننده اطلاعات کیست؟

کنترل کننده داده نهادی است که اهداف، شرایط و روش پردازش دادههای شخصی را تعیین میکند. به عبارت دیگر، کنترل کنندههای داده کسانی هستند که صرف نظر از این‌که خودشان این کار را انجام میدهند یا نه، دلایل خاصی را در پشت جمع آوری، استفاده و نحوه پردازش این اطلاعات انتخاب میکنند.

نتیجه

درک اصول محافظت از اطلاعات و حریم خصوصی به یک متخصص GDPR نیاز ندارد. این بدون شک باعث صرفهجویی در مشکلات بیشماری خواهد شد و حتی ممکن است به شما در بهبود روش درک و تعامل با مشتریان خودتان کمک کند.

ابزار خاصی وجود ندارد که برای انطباق با قوانین GDPR لازم باشد. با این وجود، استفاده از نرم افزار بایگانی اسناد (DMS) میتواند به سازمان شما کمک کند تا برخی قوانین کنترل اسناد، مرزهای دسترسی به دادهها، فرآیندهای خودکار و روشهای استاندارد برای مدیریت اسناد را تنظیم کند تا خطرات شما را در مورد نقض داده کاهش دهد. در مجموع، با اجرای یک نرم افزار بایگانی اسناد برای رسیدگی به اسناد شرکت، شما میتوانید اطمینان حاصل کنید که سازمان شما به طور فعال از دادههای مشتریان محافظت و به شما کمک میکند از جریمههای عدم رعایت قانون اجتناب کنید.

ترجمه شده از وبسایت OpenKM