با ورود به عصر دیجیتال و سونامی داده نیازمند مجموعه ای از قوانین جدید داده و همچنین چارچوب های کلان و عملیاتی متعدد در حوزه های مختلف مدیریت داده می باشیم . امنیت داده و خصوصا حفاظت از پردازش داده های شخصی با رعایت اصول ، سیاست ها و قواعد مدون یکی از اهداف مهم هر بنگاه کسب و کار در هزاره سوم است که با بکارگیری و استقرار یک چارچوب انطباق (
compliance framework) می توان به آن دست یافت . این نوع چارچوب ها ، مجموعه ای ساختیافته از دستورالعمل ها و شیوه های لازم جهت رعایت الزامات انطباق قانونی و بکارگیری در یک سازمان را به همراه مجموعه ای از فرآیندهای کسب و کار ، سیاست ها و کنترل های لازم به منظور تامین الزامات ، ارایه می نمایند . فرایندها، سیاست ها و کنترل ها به طور کلی نحوه مدیریت ارتباطات، ریسک و حاکمیت مربوط به الزامات انطباق را تشریح می نمایند .
تمام چارچوب های انطباق می بایست شامل سه بخش اساسی
process ،
people و
technology باشند .چارچوب انطباق می تواند برای هر مجموعه ای از الزامات قانونی، نظارتی یا قراردادی توسعه یابد. توسعه یک چارچوب انطباق حریم خصوصی ، قابل مقایسه با هر پروژه کسب و کار دیگر است. در چنین مواردی ، هدف تعریف ، ایجاد و استقرار مجموعه ای از شیوه ها و سیاست ها است تا این اطمینان ایجاد شود که همواره فرآیندهای خاصی برای اهداف بخصوصی اجراء خواهند شد . در صورتی که این فرآیندها با الزامات قانونی همسو باشند ، چارچوب می بایست این اطمینان را داشته باشد که سازمان مورد نظر در مسیر درست قانونی حرکت می کند . لازم نیست تمامی فرآیندهای ضروری در آغاز کار تعریف گردند . می توان در مراحل مناسب آنها را ایجاد و در چارچوب پذیرفته شده قرار داد . مهم ترین گام ، استقرار اولیه یک چارچوب برای شروع کار است .
GDPR، یک چارچوب سازگاری با حریم خصوصی و حفاظت داده های شخصی است .
شکل 1 : جایگاه process ، people و technology در یک چارچوب انطباق
GDPR چیست؟
مقررات حفاظت اطلاعات عمومی یا
GDPR ( برگرفته شده از
General Data Protection Regulation ) ، قانون حفاظت داده در سطح اتحادیه اروپا است که جایگزین دستورالعمل "حفاظت از اطلاعات اتحادیه اروپا" تدوین شده در سال 1995 شده است (
95/46 / EC ) . قانون فوق ، برای هماهنگی قوانین حفظ حریم خصوصی در سراسر اروپا و با هدف محافظت و توانمندسازی حریم خصوصی داده شهروندان اتحادیه اروپا و تحول در شیوه برخورد سازمان ها با رویکرد حریم خصوصی داده ها در سراسر اتحادیه اروپا ایجاد شده است .
GDPR ماحصل چندین سال مذاکره است . اولین پیشنهاد در سال 2012 ارایه گردید و نسخه نهایی آن در 14 آوریل 2016 توسط پارلمان اتحادیه اروپا تصویب گردبد . تمامی اعضاء اتحادیه اروپا و بنگاه های اقتصادی مرتبط با هر یک از کشورهای اتحادیه ملزم هستند که تا 28 مه 2018 خود را با قوانین و دستورالعمل های آن تطبیق نمایند .
برخورد با سازمان هایی که سازگار با
GDPR نباشند
جریمه های بالقوه تحت
GDPR بسیار بالاتر از قوانین حفاظت از داده های موجود در کشورهای عضو اتحادیه اروپا می باشد. به عنوان مثال، تحت قانون حفاظت از اطلاعات در انگلستان، بزرگترین جریمه یک شرکت غیر سازگار در انگلستان 500000 پوند است . جرایم فوق در خصوص عدم سازگاری با
GDPR تغییر می کند : حداکثر جریمه از ماه مه 2018 می تواند تا 20 میلیون یورو یا 4 درصد از گردش مالی جهانی (
global turnover ) باشد ( هر کدام که بیشتر باشد) . این به وضوح نشان دهنده یک جهش بزرگ و چالش برانگیز است و می تواند یک تهدید جدی برای بنگاه های کسب و کار را به دنبال داشته باشد . بدیهی است که این موضوع دارای تاثیری مستقیمی بر روی استراتژی مدیریت ریسک خواهد داشت .
دامنه تغییرات
الزامات چشمگیر زیادی در
GDPR وجود دارد ، اما تمرکز بیش تر و مهم ترین تغییرات بر روی شفافیت و حقوق بسیار گسترده برای افراد می باشد. یکی از بزرگترین تغییرات
GDPR دامنه وسیعی از قوانین است که هر شرکتی که داده های شخصی اتحادیه اروپا را پردازش می کند را شامل می شود ( اعم از شرکت های اتحادیه اروپا و یا شرکت های دره سیلیکون و یا سیلیکون فین انگلیس ) . به طور خلاصه، اگر کارمندان ، پیمانکاران ، مشتریان یا تامین کنندگان شما شهروندان یا ساکنان اتحادیه اروپا هستند و شما داده های آنها را پردازش می کنید ، تقریبا قطعا باید سازگار با
GDPR باشد و یا پذیرای عواقب آن باشید.
شفافیت بدان معنی است که بنگاه های اقتصادی کسب و کار می بایست به طور شفاف مشخص کنند که قصد آنها از جمع آوری داده های شخصی و کار با آنها چیست . اگر تاکید بر رضایت شخصی برای پردازش داده افراد است ، مردم می بایست دقیقا بدانند رضایت آنها چه مواردی را شامل شده است و دامنه تایید رضایت آنها تا کجا گسترش خواهد یافت .
دامنه تاثیرات
مسلما ، بیش ترین تاثیر بر روی افرادی است که دارای اطلاعاتی می باشند . بدیهی است هر اندازه که میزان اطلاعات بیش تر باشد ، افراد دارای حقوق بیش تری در خصوص شیوه استفاده از داده ها و جبران خسارات احتمالی از طرف سازمان هایی خواهند بود که ناقص قانون می شوند . با این حال،
GDPR همچنین بر کسب و کارهای داخل و خارج از اتحادیه اروپا تأثیر می گذارد که می بایست آنها را رعایت کند . رهبران کسب و کار می بایست به دلیل تاثیرگذاری گسترده
GDPR بر فضای کسب و کار ، به سرعت و به دقت شرایط راهبردی برخورد مناسب با آن را در سازمان خود فراهم نمایند . استراتژی و سیاست های داده می بایست در سطح مدیران ارشد سازمان تدوین گردد تا اجزاء آن به عنوان بخشی از تمامی فرآیندها از مراحل اولیه تعریف محدوده یک پروژه تا عرضه نهایی خروجی های پروژه مورد توجه قرار گیرد .
بنگاه های اقتصادی کسب و کار ممکن است نیازمند بکارگیری یک متخصص حفاظت داده یا یک
DPO ( برگرفته شده از
Data Protection Officer ) و کارشناسانی باشند که وظیفه آنها نظارت و مانیتورینگ مستمر به منظور اطمینان از انطباق با قوانین باشند .
محدوده عملیاتی
GDPR در 11 فصل سازماندهی و شامل 99 بند است (
Article ) . یکی از مهمترین بخش های این سند ، فصل دوم و بند پنجم است که به اصول مربوط به پردازش داده های شخصی اشاره می کند . در شکل 1 ، به این اصول اشاره شده است .
شکل 1 : اصول حفاظت داده مطنبق بر GDPR
خلاصه
با ورود به عصر دیجیتال و در آستانه انقلاب صنعتی چهارم و سونامی داده ، نیازمند مجموعه ای از قوانین جدید مرتبط با داده می باشیم .
GDPR یکی از تلاش های انجام شده در این مسیر است که قصد دارد دامنه قوانین مربوط به حفظ حریم شخصی و حفاظت از داده های شخصی را با یک تفکر راهبردی نهادینه نماید .
GDPR برای هر شرکتی در داخل و یا خارج از اتحادیه اروپا که کالا و خدماتی را برای شهروندان اروپایی ارایه می دهد ، اعمال خواهد شد . مسئولیت حفاظت از داده ها باید یک بحث در سطح هیئت مدیره باشد. انجمن بین المللی حرفه ای های حفظ حریم خصوصی
(IAPP)
معتقد است که شرکت ها نیاز به استخدام نزدیک به 75،000 کارشناسان حفاظت از داده ها برای پاسخگویی به الزامات
GDPR دارند .
برای اطمینان از پذیرش
GDPR، باید بتوان به دو پرسش اساسی پاسخ داد و آن را در عمل نیز به اثبات رساند : داده های سازمان ما کجا هستند و چه افرادی مسئول انجام چه فعالیت هایی بر روی داده می باشند . قطعا زمانی که نسبت به چیزی شناخت لازم را نداشته باشیم ، نمی توان ادعای مدیریت ، حفاظت و یا بهبود شرایط موجود را داشت . با توجه به ماموریت حاکمیت داده ، می توان زلف
GDPR را به آن پیوند زد و از قابلیت ها و زیرساخت های مدل عملیاتی آن استفاده کرد .
منابع :