هدف اصلی مقررات عمومی حفاظت از داده اروپا (GDPR)، اطمینان از توانایی هر فرد در کنترل اینکه چه کسی دادههای خود را جمع آوری و پردازش میکند، دادهها برای چه مواردی مورد استفاده قرار میگیرد و تضمین میکند که اطلاعات آنها با ایمن ترین شکل ممکن اداره میشود. این قانون در مورد شرکتهای سراسر جهان که در مرزهای اتحادیه اروپا با شهروندان تعامل دارند، اعمال میشود.
الزامات GDPR
شایان ذکر است که چندین قانون از GDPR وجود دارد که فقط سناریوها را اعمال میکنند و باید با یک متخصص مشورت کنید تا مطمئن شوید شرکت شما از GDPR پیروی میکند. بدون بحث بیشتر، نیازهای اصلی همه سازمانها برای رعایت GDPR عبارتند از:
حسابرسی اطلاعات
ممیزی اطلاعاتی را که اهداف و جزئیات پردازش دادهها را بیان میکند، را نگه دارید.
درمورد اینکه چه نوع دادهای را پردازش میکنید، چه کسی به آن دسترسی دارد، از جمله اشخاص ثالث، سیستمهای محافظت از داده فعلی و چرخه عمر داده کاربران خود را مشخص کنید، از جمله اینکه شرکت شما چه زمانی قصد پاک کردن آنها را دارد.
سیاست حفظ حریم خصوصی
طبق ماده 12 GDPR، شما باید یک سیاست حفظ حریم خصوصی عمومی داشته باشید که دلایل جمعآوری اطلاعات را بیان کند. در این خط مشی، شما باید هدف ضبط داده خود، چگونگی پردازش دادهها، دسترسی افراد به آنها و اقدامات امنیتی را که برای ایمن نگه داشتن آنها استفاده میکنید، را اطلاع رسانی کنید. این اطلاعات باید تا حد ممکن شفاف باشد و باید دقیقاً در لحظهای که قصد جمعآوری اطلاعات کاربر را دارید ارائه شود.
حقوق دادههای کاربر
کاربران دارای تعداد زیادی حقوق در مورد دادههایی هستند که شما در مورد آنها ذخیره میکنید، اما حقوق اولیه کاربر موارد زیر است:
1-دانش (اطلاعات) کاربر
کاربران حق دارند بدانند که شما چه اطلاعات شخصی در مورد آنها دارید، چگونه از آنها استفاده میکنید، چه مدت قصد دارید آنها را ذخیره کنید و دلیل نگه داشتن آنها در این مدت زمان چیست.
2-به روز رسانی اطلاعات کاربر
کاربران میتوانند در هر زمان مشخص اطلاعات مربوط به اطلاعات شخصی خود را درخواست کنند. شما باید یک سیستم شفاف برای به روزرسانی دقیق و ایمن دادههای آنها ارائه دهید.
3-حذف اطلاعات کاربر
کاربران میتوانند حذف جزئی یا کامل اطلاعات شخصی خود را که نزد شماست را درخواست نمایند. فقط چند مورد استثنا وجود دارد که میتوانید درخواست را رد کنید و باید آنها را با یک کارشناس حقوقی حل کنید.
به طور کلی، شما باید یک خط ارتباطی مشخص ایجاد کنید که به شما امکان دهد ظرف هر یک ماه هر درخواست را انجام دهید و باید مطمئن شوید که هویت کاربر صحیح است.
اقدامات محافظت از داده
اقدامات فنی لازم را برای اطمینان از حفاظت از دادهها در تمام مراحل انجام دهید.
این اقدامات شامل رمزگذاری پرونده، استانداردهای سازمانی، محدود کردن میزان اطلاعات شخصی جمعآوری شده، آموزش کارمندان برای مدیریت اسناد، ایجاد چرخههای عمر دادهها و اجرای حذف دستی یا خودکار دادهها پس از دیگر مفید نبودن آنها است. با استفاده از یک نرم افزار ایمن بایگانی اسناد میتوانید اکثرِ این مراحل محافظت فنی را انجام دهید.
سیستم اطلاع رسانی نقض دادهها
مطابق ماده 33 GDPR، در صورت مشاهده نقض دادهها که موجب به خطر افتادن هر یک از نهادهای تحت پوشش قانون GDPR شود، لازم است ظرف 72 ساعت به مرجع نظارت اطلاع دهید. هیچ استثنائی برای دستیابی سازمانهای غیر مستقر در اتحادیه اروپا وجود ندارد.
ممکن است عاقلانه باشد که شرکتهای آمریکایی به دلیل شباهت زبان، به دفتر کمیسیون حفاظت از دادهها در ایرلند اطلاع دهند. همچنین لازم است نقض دادهها را به صاحبان داده منتقل کنید مگر اینکه احتمالاً نقض امنیت، آنها را در معرض خطر قرار دهد.
توافقنامههای پردازش دادهها
شما باید با هر سرویس شخص ثالثی که اطلاعات صاحبان داده شما را کنترل میکند، توافق نامه پردازش داده را امضا کنید. توافق نامههای استاندارد متعددی بصورت آنلاین وجود دارد که حقوق و تعهدات هر یک از طرفین را مطابق با تطابق با GDPR بیان میکند، اما موارد خاص باید در هر سناریو مشخص شود.
نقش حفاظت از دادهها
سرانجام، شما باید اطمینان حاصل کنید که شخصی مسئول انطباق با GDPR است. این تواناییِ شرکت شما در ارزیابی سیاستهای محافظت از دادهها، رویهها وضعیت و اجرای مسئولیت برای امنیت اسناد را تضمین میکند.
مفاهیم کلیدی GDRP
مفاهیم زیر برای درک چگونگی تأثیر قانون GDPR بر تجارت شما بسیار مهم هستند.
برای اطلاعات بیشتر لطفاً از طرح کلی مقررات کلی حفاظت از دادههای اتحادیه اروپا و راهنمای GDPR ما برای مشاغل بازدید کنید.
پردازش داده چیست؟
جمعآوری، ضبط، سازماندهی، ساختار، ذخیره، سازگاری، تغییر، بازیابی، مشاوره، استفاده، افشا، پاک کردن یا از بین بردن اطلاعات شخصی از صاحب داده، یک رویداد پردازش داده محسوب میشود. به عبارت دیگر، استفاده از دادههای هر مشتری، پردازش داده تلقی میشود و باید تحت مقررات محافظت از دادهها باشد.
پردازش کننده داده کیست؟
شخص حقیقی یا حقوقی، مرجع عمومی، آژانس یا هر کسی که اطلاعات شخصی را از طرف کنترل کننده، پردازش میکند.
صاحبان داده چه کسانی هستند؟
آیین نامه عمومی حفاظت از دادهها، صاحبان داده را به عنوان هر «شخص حقیقیِ شناسایی شده یا قابل شناسایی» تعریف می کند. به عبارت دیگر، اصول حفاظت از دادهها در مورد کلیه شرکتهایی که با اطلاعات شهروندان اتحادیه اروپا و هر شهروند غیر اتحادیه اروپا که در اروپا زندگی میکند یا به اتحادیه اروپا سفر میکند، اعمال میشود.
کنترل کننده اطلاعات کیست؟
کنترل کننده داده نهادی است که اهداف، شرایط و روش پردازش دادههای شخصی را تعیین میکند. به عبارت دیگر، کنترل کنندههای داده کسانی هستند که صرف نظر از اینکه خودشان این کار را انجام میدهند یا نه، دلایل خاصی را در پشت جمع آوری، استفاده و نحوه پردازش این اطلاعات انتخاب میکنند.
نتیجه
درک اصول محافظت از اطلاعات و حریم خصوصی به یک متخصص GDPR نیاز ندارد. این بدون شک باعث صرفهجویی در مشکلات بیشماری خواهد شد و حتی ممکن است به شما در بهبود روش درک و تعامل با مشتریان خودتان کمک کند.
ابزار خاصی وجود ندارد که برای انطباق با قوانین GDPR لازم باشد. با این وجود، استفاده از نرم افزار بایگانی اسناد (DMS) میتواند به سازمان شما کمک کند تا برخی قوانین کنترل اسناد، مرزهای دسترسی به دادهها، فرآیندهای خودکار و روشهای استاندارد برای مدیریت اسناد را تنظیم کند تا خطرات شما را در مورد نقض داده کاهش دهد. در مجموع، با اجرای یک نرم افزار بایگانی اسناد برای رسیدگی به اسناد شرکت، شما میتوانید اطمینان حاصل کنید که سازمان شما به طور فعال از دادههای مشتریان محافظت و به شما کمک میکند از جریمههای عدم رعایت قانون اجتناب کنید.