جزئیات  
عنوان GDPR و ضرورت استقرار یک برنامه حاکمیت داده
نوع منبع مقاله
گروه سایر
تاریخ انتشار 1396/7/20
خلاصه با معرفی GDPR شاهد یک تحول اساسی در روش های حفاظت داده مشتریان خواهیم بود . موفقیت در ارزیابی انطباق GDPR ، مستلزم انجام مجموعه ای از فعالیت های هدفمند و منسجم در حوزه های مختلف مدیریت داده است چراکه بدون وجود یک فونداسیون قوی مدیریت داده نمی توان پاسخگوی الزامات قانونی GDPR شد . حاکمیت داده با توجه به وظایف ذاتی خود می تواند در این مسیر بسیار موثر واقع شود .

داده به سرعت در حال تبدیل شدن به شاهرگ حیاتی اقتصاد جهانی است . در عصر کلان داده ها و هوش مصنوعی ، داده می تواند هم به عنوان یک فرصت و هم به عنوان یک تهدید مطرح گردد . با توجه به این که داده ارایه دهنده نوع جدیدی از دارایی اقتصادی است ، می توان با مدیریت صحیح ، منسجم ، هدفمند ، یکپارچه و بکارگیری یک تفکر راهبردی آن را به یک مزیت رقابتی تبدیل کرد . عدم مدیریت مناسب داده خصوصا در مواردی نظیر حفظ حریم خصوصی و حفاظت از داده های محرمانه و حساس مشتریان ، می تواند به شهرت و اعتبار یک سازمان آسیب  برساند و استمرار کسب و کار یک بنگاه اقتصادی را با چالش جدی مواجه نماید . صرف داشتن داده دلیلی بر موفقیت نمی باشد ، مهم شیوه جمع آوری ، دخیره سازی ،  آماده سازی ، استخراج ، عملیات ، بهره برداری ، پالایش ، تولید و توزیع داده است که می تواند مسیر سیستم های بالادستی ، میانی و پایین دستی موجود در یک سازمان را برای استفاده و ایجاد ارزش هموار نماید .
 علی رغم ، پیامدهای شدید مخاطرات امنیت داده ، تا همین اواخر ، جریمه نقض مقررات حفاظت از داده ها ، محدود بود و در عمل اقدامات اجرایی قابل ملاحظه ای انجام نمی شد . با معرفی قانون عمومی حفاظت از داده یا همان GDPR ( برگرفته شده از General Data Protection Regulation ) شاهد یک تحول بنیادین در روش های حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکت های ناسازگار با GDPR و ناقض داده ، جرایم و مجازات های سنگین خواهد بود .

    GDPR یک تغییر بزرگ
شکل 1 : GDPR یک تغییر بزرگ

در ادامه با مفاهیم پیاده سازی GDPR در سازمان های داده محور و همچنین مجموعه اقدامات لازم برای اطمینان از امنیت و حفظ حریم خصوصی داده مشتریان و  پیشگیری از جرایم و مجازات های مربوطه  آشنا می شویم .

چگونگی تاثیر GDPR بر سازمان های داده محور
  یکی از ویژگی های برجسته GDPR نسبت به سایر مقررات موجود ، گستردگی حفاظت از داده مشتریان است . GDPR شامل طیف گسترده ای از الزامات قانونی جدید می باشد. از پیاده سازی شرایط لازم جهت جابجایی داده های بین المللی گرفته تا بررسی ، بهنگام سازی و  اقدامات فنی و سازمانی جهت حفاظت از داده مشتریان . الزامات قانونی فوق ، به طور قابل توجهی بر نحوه جمع آوری ، مدیریت ، حفاظت و به اشتراک گذاشتن داده ساختیافته و داده غیرساختیافته تاثیر خواهد گذاشت .
   
    نقاط تمرکز اصلی کسب و کار
شکل 2 : نقاط تمرکز اصلی کسب و کار

در ادامه به برخی از موارد اشاره می گردد :
  • موافقت های قابل تایید و مطمئن : رضایت کاربران برای پردازش و یا عدم پردازش داده های شخصی ، یکی از مولفه های مهم GDPR است . GDPR به شهروندان اتحادیه اروپا اجازه می دهد تا بر اساس موافقت ، امکان پردازش داده های شخصی خود را در اختیار سازمان ها قرار دهند. GDPR قوانین سختگیرانه ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است. با توجه به قوانین جدید ، شرکت ها می بایست فرآیند عدم رضایت را به همان سادگی فرآیند رضایت نیز پیاده سازی نمایند تا در صورت لزوم  بتوان  با استفاده از آن ، عدم رضایت خود برای پردازش داده های شخصی را اعلام کرد . همچنین ، متن رضایت نامه می بایست صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را  به اطلاع کاربران برساند  .
  • تاکید بر حفاظت داده به صورت پیش فرض و رعایت آن در طراحی : تا به امروز ، کسب وکارها از  اقدامات فنی و سازمانی  متعددی برای حفاظت از داده های شخصی  استفاده می کردند . ولی پیاده سازی GDPR ، شرکت ها  را ملزم می نماید که وضعیت و اقدامات حفاظت داده ها را به طور مستمر بررسی و بهنگام نمایند .
  •  ارزیابی اثرات حفاظت از داده ها  : برای شناسایی ، درک و کاهش هر گونه ریسکی که ممکن است در زمان ایجاد راه حل های جدید  و یا انجام فعالیت های جدیدی که مستلزم پردازش داده مشتری نظیر تجزیه و تحلیل داده و تمامی برنامه های داده محور  می باشد ( شامل برنامه های هوش کسب و کار ، انبار داده ، دریاچه داده و برنامه های بازاریابی و ...)  ، لازم است ارزیابی اثرات حفاظت از داده ها انجام شود .  GDPR ، ارزیابی اثرات حفاظت از داده ها را برای تمامی سازمان ها  یک الزام اجباری در نظر گرفته است و در صورتی که نتایج ارزیابی نشان دهنده وجود یک تهدید و یا خطر امنیتی باشد ، می بایست با یک مقام نظارتی حفاطت از داده مشورت گردد .
عواقب عدم انطباق با GDPR
در صورتی که یک سازمان نتواند خود را با الزامات  GDPR تطبیق دهد و در ممیزی انجام شده کارنامه قبولی نگیرد ، با عواقب سنگینی مواجه خواهد شد . عواقب فوق بر خلاف آن چه که اکثر مردم باور دارند ، صرفا محدود به مجازات های مالی نمی شود و می تواند اساس و شهرت یک بنگاه کسب و کار را با مخاطره جدی مواجه سازد . سه عامل اصلی نشان داده شده در شکل 3 ، باعث شده است GDPR یکی از سخت گیرانه ترین  و دقیق ترین قوانین حفاظت از داده ها باشد . 

     عواقب عدم انطباق با GDPR
شکل 3: عواقب عدم انطباق با GDPR

  •  ریسک اعتبار و شهرت  : نقض قوانین حفاظت داده توسط یک شرکت می تواند به اعتبار و شهرت یک سازمان صدمات جبران ناپذیری وارد نماید .GDPR تمامی سازمان ها را ملزم می نماید که هر گونه نقض داده را به سرعت به اطلاع مقامات مسئول برساند و اگر این زمان بیش از 72 ساعت باشد با جرایم سنگینی مواجه خواهند شد.   
  • ریسک جغرافیایی : تمامی سازمان ها و شرکت های ارایه دهنده  محصولات و خدمات  به بازار اتحادیه اروپا و شرکت هایی که  بر رفتار شهروندان اتحادیه اروپا نظارت می نمایند ، تحت تاثیر GDPR قرار می گیرند . این شامل تمامی شرکت های تجزیه و تحلیل داده نیز می شود .
  • جرایم سنگین : عدم رعایت مقررات جدید ، منجر به جرایم سنگین قابل توجهی تا 20 میلیون یورو یا 4 درصد از گردش مالی یک شرکت خواهد بود ( هر کدام که بیش تر باشد).
برای پشگیری از جرائم سنگین و مجازات شدید ، کسب و کار ها می بایست یک برنامه کامل ، جامع و بالغ حاکمیت داده را استقرار نمایند . از بازبینی قراردادهای موجود گرفته تا درخواست خرید سیستم های جدید  . همچنین ، می بایست تمامی روش های مدیریت داده را به منظور سازگاری با مقررات GDPR و کاهش خطرات مالی و اعتباری بررسی کرد.

 GDPR و پرسش های فراوان    
در خصوص GDPR سوالات متعددی مطرح می شود که در ادامه به برخی از متداولترین آنها اشاره خواهیم کرد .

     GDPR و پرسش های فراوان
شکل 4 :  GDPR و پرسش های فراوان
 
پرسش ​اول : چگونه می توان ریسک ها را کاهش داد  و از اعتبار کسب و کار خود حفاظت کرد؟

با انجام اقدامات زیر می توان از تطابق با قوانین جدید حفاظت داده مطمئن گردید .
  •  تعریف داده شخصی مشتریان : مستند سازی انواع داده شخصی که سازمان شما پردازش می کند . این که داده ها از کجا آمده اند و با چه کسانی به اشتراک گذاشته شده اند . مثلا اگر دارای داده شخصی نادرستی می باشید و آن را با سازمان ها و یا بخش های دیگر به اشتراک گذاشته اید ، نمی توان مطئمن شد که قادر به شناسایی موارد نادرست و گزارش به شرکای تجاری خود می باشید ، مگر این که در گام نخست بدانید چه اطلاعات شخصی را نگهداری می نمایید . بنابراین ، با بررسی جامع از بانک های اطلاعاتی موجود کار را شروع کنید . هر گونه اطلاعات مربوط به یک فرد  یا "موضوع داده"، که می توان از آن جهت شناسایی افراد به طور مستقیم یا غیر مستقیم  استفاده کرد ، اطلاق می گردد. این می تواند  شامل هر چیزی از یک نام، یک عکس، یک آدرس ایمیل، جزئیات بانکی، پست ها در وب سایت های شبکه های اجتماعی، اطلاعات پزشکی یا یک آدرس آی پی کامپیوتر باشد.
  • مدیریت جریان داده و فرآیندها : یک نقشه راه برای تعیین منابع ورود داده ، ابزارهای پردازش داده ، تکنیک ها و متدلوژی های استفاده شده و شیوه به اشتراک گذاشتن آن با سایر کسب و کار را ایجاد نمایید . پس از تهیه لیستی از ورودی ها و خروجی ها ، میزان تطابق آنها با مقررات جدید را بررسی نمایید و اقدامات لازم برای اطمینان از حاکمیت داده مناسب را انجام دهید .
  • تعیین یک متخصص حفاظت داده : یک متخصص ارشد حفاظت داده ( DPO ) را که دارای دانش مناسب و اختیار لازم برای ارزیابی و کاهش خطرات عدم انطباق را دارد ، تعیین نمایید .
  • اطمینان از پاسخ سریع به درخواست های لغو  : به درخواست های مشتریان در خصوص لغو رضایت به یک شکل مناسب پاسخ دهید و مراتب را در بانک های اطلاعاتی مربوطه ثبت نمایید تا در بازاریابی مستقیم آتی از داده آنها استفاده نگردد.
پرسش دوم : چگونه می توان از داده شخصی حفاظت کرد ؟
 مقررات جدید حفاظت از داده ها در رابطه با تمامی داده هایی  که امکان شناسایی مستقیم و یا غیرمستقیم یک فرد را توسط هر کسی فراهم می کند ، اعمال می شود . در نتیجه ، شناسه های کوکی ، شناسه های آنلاین ، شناسه های دستگاه و آدرس های IP به عنوان داده شخصی تحت طبقه بندی GDPR تلقی می گردند . مدیریت صحیح داده در سراسر چرخه حیات یکی از الزامات اولیه و مهم حفاظت داده می باشد .

     حفاظت داده مستلزم تمرکز بر چرخه حیات داده
شکل 5 : حفاظت داده مستلزم تمرکز بر چرخه حیات داده
برای اطمینان از امنیت و محرمانگی گروه های جدید داده شخصی ، می توان اقدامات زیر را انجام داد . 
  • اتخاذ یک روش حفاظتی مبتنی بر رویکرد طراحی : روش های مختلفی برای "حفاظت توسط طراحی " وجود که می توان  از آنها جهت حفاظت داده شخصی مشتریان استفاده کرد :
    •  روش Pseudonymisation :  فرایندی است که بر اساس آن  داده های شخصی  به گونه ای تغییر می یابند  که داده های حاصل نمی توانند به یک موضوع خاص بدون استفاده از اطلاعات اضافی اشاره نمایند. رمزنگاری نمونه ای در این زمینه است که به کمک آن می توان داده های اصلی را غیرقابل شناسایی کرد و رمزگشایی بدون دسترسی به کلید رمزگشایی صحیح امکان پذیر نخواهد بود . GDPR ، تاکید دارد که این گونه اطلاعات اضافی ( نظیر کلید رمزگشایی ) بطور جداگانه نگهداری شوند .
    • حداقل سازی داده ها : اطمینان از این موضوع که صرفا داده ئی که برای یک هدف بخصوص لازم است ، استفاده یا ذخیره می شود .
پرسش سوم : چگونه می توان زیرساخت های فنی لازم را پیاده سازی کرد تا از اعمال نظارت و کنترل  مناسب بر روی داده مشتری اطمینان حاصل کرد ؟
GDPR ، کسب و کارها را ملزم به پیاده سازی یک زیرساخت مناسب جهت  جمع آوری ، ذخیره و پردازش داده می نماید . علاو بر این ، تاکید شده است که زیرساخت بطور مداوم بررسی و بهنگام گردد . در این راستا ، می توان از روش های مختلفی برای اطمینان از تطابق با مقررات جدید استفاده کرد :
  • همسویی استراتژی داده و تجزیه و تحلیل با سیاست ها : کسب و کارها می بایست بر روی ایجاد یک زیرساخت داده و تجزیه و تحلیل تمرکز نمایند که کنترل شده ، قابل حمل و مطابق با الزامات قانونی باشد . برای اطمینان از این موضوع ، جمع آوری داده می بایست   "هدف محور" باشد . یعنی صرفا داده هایی که به وجود آنها جهت انجام یک خواسته و یا هدف بخصوص نیاز است ، می بایست جمع آوری و پردازش گردند . جمع آوری داده ها می بایست سازگار باشد . مشتریان می بایست دارای حق برخورداری از اعلام رضایت و یا عدم رضایت خود در خصوص داده های جمع آوری شده و پردازش های لازم برای بازاریابی مستقیم باشند . داده های جمع آوری شده با رضایت مشتریان ، می بایست در یک محیط ذخیره سازی کنترل شده نگهداری شوند و بر اساس تمامی مقررات حفاظت داده پردازش شوند .
  • مدیریت اصل و نسب داده : برخی از راه حل های حاکمیت داده ارایه شده توسط شرکت های پیشگام در فناوری ، می تواند به کسب و کارها در خصوص پردازش داده ها، کنترل بیشتر و دیدگاه های بهبود یافته در طول چرخه حیات داده کمک کند . برنامه های حاکمیت داده می تواند به کسب و کارها در تطبیق رویکردهای استاندارد جهت اکتشاف دارایی های داده و تعریف یک زبان مشترک برای اطمینان از قواعد بهینه ، مدیریت متا دیتا ، ایجاد یک کاتالوگ قابل جستجو از دارایی های اطلاعاتی و ایجاد یک نقطه دستیابی و کنترل برای فعالیت های متولیان داده ،  کمک نماید .

پرسش چهارم : چگونه می توان شرایط مطابقت با الزامات قانونی جدید را حفظ می کند ؟
برای افزایش انطباق فرایندهای جمع آوری و ذخیره سازی داده مشتریان ، کسب و کارها می بایست به دنبال بکارگیری یک متخصص ارشد حفاظت از داده ها باشند تا این اطمینان حاصل گردد که سازمان تعهدات خود را در رابطه با مقررات جدید  انجام می دهد و از مشاوره های لازم  به منظور مانیتورینگ و نظارت بر پیاده سازی برنامه ها برای اطمینان از رعایت سیاست های حفاظت داده و ارایه برنامه های آموزش بهینه  جهت کارکنان درگیر در عملیات جمع آوری و پردازش داده ها ، استفاده می نماید . علاوه بر این ، استفاده از یک متخصص ارشد حفاظت داده می تواند به سازمان ها در مانیتورینگ جریان های داده ورودی و نحوه رفتار با آنها نیز کمک کند .

پرسش پنجم : چگونه می توان با نوع های مختلف جریان های داده برخورد کرد؟
برای اطمینان از مطابقت با GDPR و اجتناب از عواقب شدید عدم انطباق ، کسب و کار ها نه تنها می بایست بر روی داده ها و حریم خصوصی ایستا  کنترل و نظارت بهینه ای داشته باشند  ، بلکه می بایست امکانات مورد نیاز جهت جمع آوری ، طبقه بندی و پردازش داده  توسط جریان های داده با سرعت بالا را نیز فراهم نمایند . نرم افزار مدیریت جریان داده یک راه حل ارزشمند جهت پاسخگویی به چالش فوق است . یک مدیر جریان داده  ، امکانات متعددی  را برای یک کسب و کار فراهم می نماید :
  • جمع آوری و توزیع داده ها به صورت خصوصی و سازگار
  •  کاهش هزینه ها و پیچیدگی مدیریت چرخه حیات داده
  • امکان دستیابی بلادرنگ به تمام داده های ساختیافته و غیرساختیافته از طریق ابر و یا بر روی امکانات محلی داخلی
  • تمرکز منابع داده برای بهبود دید و کنترل 
  • ایجاد یک محیط کنترل شده برای عملیات داده محور

 خلاصه   
با معرفی  GDPR  شاهد یک تحول اساسی  در روش های حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکت های ناسازگار با GDPR و ناقض داده ، جرایم و مجازات های سنگین خواهد بود . موفقیت در ارزیابی انطباق  GDPR مستلزم انجام مجموعه ای از فعالیت های هدفمند و منسجم در حوزه های متعددی خصوصا مدیریت داده است . بدون وجود یک فونداسیون قوی مدیریت داده نمی توان پاسخگوی الزامات قانونی GDPR شد . حاکمیت داده با توجه به وظایف ذاتی خود می تواند در این مسیر بسیار موثر واقع شود  . در این مطلب ضمن اشاره به جایگاه مهم GDPR در حفاظت از داده های شخصی به برخی از پرسش های متداول در این خصوص پاسخ داده شد .  

منابع  :