بی اعتباری كسب وكارها با بی توجهی به امنیت داده ها
سئو سی: اگر سازمانی نتواند خودرا با الزامات GDPR یا مقررات حفاظت از داده های عمومی تطبیق دهد و كارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد كه فقط محدود به مجازات های مالی نشده و می تواند اساس و شهرت یك بنگاه كسب وكار را با مخاطره جدی مواجه كند.
به گزارش سئو سی به نقل از ایسنا، دهه گذشته بدون شک تکامل گسترده جامعه شناختی جهانی است که نسل جدید و عصر ارتباطات و پردازش داده ها را تعریف و بوجود آورده است. این دوران به علت اینکه شبکه های اجتماعی مختلف همچون فیسبوک، اینستاگرام، توییتر و سایر برنامه ها و سایت ها در خط مقدم انتشار خبری و سازوکارهای ارتباطی بین کاربران خود قرار دارند، بعنوان دوران رسانه های اجتماعی توصیف شده است.
استفاده از شبکه های اجتماعی بعنوان یک روند آغاز طی این سال ها به یک ابزار ضروری در زندگی روزمره میلیون ها نفر تبدیل گشته و زمینه ای آسان برای برقراری ارتباط، اشتراک گذاری و انتشار دیدگاه ها، اخبار و اطلاعات را فراهم می آورد. امروزه داده ها به سرعت در حال تبدیل شدن به شاهرگ حیاتی اقتصاد جهانی هستند. در عصر کلان داده ها و هوش مصنوعی، داده می تواند هم بعنوان یک فرصت و هم بعنوان یک تهدید مطرح شود.
داده ارائه دهنده نوع جدیدی از دارایی اقتصادی می باشد و می توان با مدیریت صحیح، منسجم، هدفمند، یکپارچه و به کارگیری یک تفکر راهبردی، آنرا به یک مزیت رقابتی تبدیل کرد. عدم مدیریت مناسب داده خصوصا در مواردی نظیر حفظ حریم خصوصی و حفاظت از داده های محرمانه و حساس مشتریان، می تواند به شهرت و اعتبار یک سازمان صدمه برساند و استمرار کسب وکار یک بنگاه اقتصادی را با چالش جدی مواجه کند.
صرف داشتن داده دلیلی بر موفقیت نیست، مهم شیوه جمع آوری، ذخیره سازی، آماده سازی، استخراج، عملیات، بهره برداری، پالایش، تولید و توزیع داده است. استفاده از این شبکه ها و قوانین انتقال گسترده اطلاعات شخصی در سرتاسر جهان در رابطه با قانون حفاظت از داده ها، مصوبه کمیسیون اروپا در سال ۱۹۹۵ است. این قانون به مدت طولانی پیش از عصر وب ۲، بدون شبکه های اجتماعی در نظر گرفته شده است. سپس در ماه می ۲۰۱۶، اتحادیه اروپا مقررات جدیدی را در مورد حفاظت از اطلاعات شخصی تصویب کرد.
با وجود نتایج شدید مخاطرات امنیت داده، تا همین اواخر، جریمه نقض مقررات حفاظت از داده ها، محدود بود و در عمل اقدامات اجرایی قابل توجهی انجام نمی شد. با افزایش جرائم اینترنتی، احتیاج به امنیت آنلاین به صورت فزاینده ای برای کسب وکارهای مجازی افزایش می یابد. اطلاعات امنیتی بعنوان مسئول تأمین کننده امنیت مجازی یک شرکت، باید به روز باشند تا اطمینان حاصل شود که کسب وکار مجازی در یک فضای امن صورت می گیرد و اطلاعات دارای امنیت بالایی است و این نیازمند به روز بودن و سازگاری با مباحث امنیتی در حوزه فضای مجازی است.
تحول بنیادین در روش های حفاظت از داده مشتریان با GDPR
در نهایت اتحادیه اروپا با معرفی GDPR یا مقررات حفاظت از داده های عمومی (General Data Protection Regulation)، تنظیم و جایگزین قوانین کنونی حفاظت از داده های سال ۱۹۹۵، شاهد یک تحول بنیادین در روش های حفاظت داده مشتریان بوده و پیامد آن برای شرکت های ناسازگار با مقررات GDPR و ناقض داده، جرایم و مجازات های سنگین خواهد بود. مقررات حفاظت از اطلاعات عمومی به صورت مستقیم در سطح ملی قابل اجراست و قوانین حفاظت از داده ها را در سرتاسر اتحادیه اروپا هماهنگ می کند.
بر اساس گزارش سازمان تنظیم مقررات و ارتباطات رادیویی، مقررات حفاظت از داده های عمومی (GDPR) یک سند در حوزه حقوق اروپاست که برای حفاظت از داده ها و حریم خصوصی همگان در حوزه اتحادیه اروپایی و منطقه اقتصادی اروپا تدوین شده است. این سند همینطور به ارسال داده ها به خارج از اتحادیه و منطقه اقتصادی اروپا هم می پردازد. این سند از تاریخ ۲۵ می ۲۰۱۸ لازم الاجرا بوده و هدف سند آن است که به شهروندان و افراد مقیم در حوزه اتحادیه و منطقه اقتصادی اروپا امکان کنترل بر اطلاعات شخصی شان اعطا کند و نظارت بر محیط کسب وکار بین المللی را تسهیل کند.
بر طبق این سند فرآیندهای کسب وکار که اطلاعات شخصی را مدیریت می کند باید با پیش فرض رعایت حریم خصوصی طراحی و از تنظیمات حریم خصوصی حداکثر استفاده شود، طوری که داده ها بدون رضایت صریح به صورت عمومی در دسترس قرار نگیرند و استفاده نشوند. بر این اساس هیچ داده شخصی نمی تواند جز در صورت وجود یک مبنای قانونی یا رضایت صریح و صحیح مبحث داده (شخصی که داده های وی مورد کنترل و پردازش است) پردازش شود.
این مورد در فضای تکنولوژی امروزه و بخصوص در زمینه بازاریابی دیجیتال، به علت تمرکز بیشتر روی حریم خصوصی حائز اهمیت می باشد، امکان دارد به عبارت دیگر بازاریاب ها برای ایجاد کمپین های موفق دیجیتال دسترسی کمتری به نوع داده های لازم داشته باشند. یک پردازنده اطلاعات شخصی باید به روشنی درباره اینکه چه اطلاعاتی را جمع آوری می کند، چگونه و چرا پردازش می شوند، چگونه نگهداری می شود و با اشخاص ثالثی به اشتراک گذارده می شود یا خیر توضیح دهند. همینطور کاربران حق دارند کپی اطلاعات خویش را از پردازنده دریافت و در شرایط خاصی درخواست پاک شدن داده ها را کند.
یکی از خصوصیت های برجسته GDPR نسبت به سایر مقررات موجود، گستردگی حفاظت از داده مشتریان است. لایحه GDPR شامل طیف گسترده ای از الزامات قانونی جدید است، از پیاده سازی شرایط لازم جهت جابجایی داده های بین المللی گرفته تا بررسی، به هنگام سازی و اقدامات فنی و سازمانی جهت حفاظت از داده مشتریان. الزامات قانونی فوق، به صورت قابل توجهی بر نحوه جمع آوری، مدیریت، حفاظت و به اشتراک گذاشتن داده ها تاثیر خواهد گذاشت.
یکی از اهداف دیگر این است که از کسب وکارها برای حفظ و نگهداری داده ها برای مدت زمان طولانی جلوگیری شود و از آن استفاده نکنند. اساساً این سیاست تاریخ انقضای مصرف داده را تعیین می کند. در جهت اجرای این سند، ادارات و شرکت های خصوصی که فعالیت آنها حول محور پردازش منظم یا سیستماتیک اطلاعات شخصی قرار دارند، ملزم به استخدام افسر حفاظت از داده (DPO) هستند که موظف به انطباق فعالیت ها با سند GDPR است و کسب وکارها ملزم هستند هرگونه نقض و تخلف را در صورتیکه اثر نامطلوبی بر حریم خصوصی داشته باشد، ظرف ۷۲ ساعت گزارش کنند.
دامنه اعمال سند GDPR
این مقررات در صورتی اعمال می شود که کنترل کننده داده ها (سازمان یا مرکزی که داده ها را از کاربران مقیم اروپا جمع آوری می کند) یا پردازنده (مجموعه ای که اطلاعات جمع آوری شده را از سوی کنترل کننده مانند شرکت های خدمات Cloud Computing پردازش می کند) و یا مبحث داده در محدوده اتحادیه اروپا باشد. ازاین رو در شرایط خاصی، این مقررات نسبت به مجموعه هایی در خارج از اتحادیه اروپا هم قابل اعمال است و آن در صورتی است که این مجموعه ها اطلاعات افراد مقیم در حوزه اتحادیه اروپا را مورد پردازش قرار دهند.
برپایه تعریف کمیسیون اروپا از داده های شخصی، داده شخصی هرگونه اطلاعات مربوط به یک فرد است، شامل اینکه در ارتباط با زندگی خصوصی، حرفه ای و یا عمومی وی باشد. بنابراین، این اطلاعات می تواند شامل هر داده ای شامل آدرس منزل، ایمیل، جزئیات حساب بانکی، اطلاعات پستی، شبکه های اجتماعی، پزشکی و حتی یک آدرس IP کامپیوتر باشد. فعالیتهای پردازش شامل جمع آوری، استفاده و افشای اطلاعات است که مقررات حفاظت از اطلاعات عمومی حفاظت بیشتری برای پردازش دسته های خاص اطلاعات شخصی فراهم می آورد. کشورهای عضو امکان دارد شرایط بیشتری شامل محدودیت های مربوط به پردازش داده های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را عرضه کنند.
مقررات جدید حفاظت از داده ها در ارتباط با تمامی داده هایی که امکان شناسایی مستقیم و یا غیرمستقیم یک فرد را توسط هر کسی فراهم می آورد، اعمال می شود. در نتیجه، شناسه های کوکی، شناسه های آنلاین، شناسه های دستگاه و آدرس های IP بعنوان داده شخصی تحت طبقه بندی GDPR تلقی می شوند. مدیریت صحیح داده در سرتاسر چرخه حیات یکی از الزامات اولیه و مهم حفاظت داده است. این مقررات بر فعالیتهای مربوط به پردازش داده های شخصی برای اهداف امنیت ملی یا اجرای قوانین اتحادیه اروپا، اعمال نمی گردد.
با این حال، گروه های صنعتی که نگران مواجه شدن با اختلافات احتمالی در قانون هستند، این سوال را مطرح کرده اند که آیا ماده ۴۸ از سند مصوب GDPR می تواند مانع کنترل کننده داده ها برای ارائه داده های یک مقیم اتحادیه اروپا به مقامات انتظامی، قضایی یا امنیتی یک کشور ثالث، فارغ از اینکه داده ها در داخل یا خارج اتحادیه باشد، به حساب بیاید یا خیر.
ماده ۴۸ بیان می کند که هرگونه رأی دادگاه یا محکمه و هرگونه دستور اداری کشور ثالث به کنترل کننده یا پردازش کننده داده ها برای انتقال یا افشای داده های شخصی نمی تواند به رسمیت شناخته شود و قابل اجرا نیست؛ مگر اینکه درخواست برپایه یک موافقت نامه بین المللی مانند معاهده معاضدت متقابل، بین کشور درخواست کننده (که عضو اتحادیه اروپا نیست) و اتحادیه اروپا یا یکی از کشورهای عضو اتحادیه باشد.
مجموعه مقررات GDPR شامل دستورالعملی جداگانه برای حفاظت از داده ها برای پلیس و بخش عدالت کیفری (دادگستری) هم هست که مقررات حاکم بر تبادل داده های شخصی را در سطح ملی، اروپایی و بین المللی هم مشخص می کند. این مقررات بر تمام کشورهای عضو اتحادیه اروپا اعمال و هر کشور عضو یک نهاد نظارتی مستقل (ISA) برای استماع و بررسی شکایات، اعمال مجازات برای تخلفات اداری و بوجود می آورد و این نهاد در هر کشور عضو با نهاد نظارتی دیگر کشورهای عضو در جهت کمک متقابل و سازماندهی اقدامات مشترک همکاری می کند.
چنانچه شرکتی در نقاط مختلف اتحادیه اروپا تشکیلات داشته باشد، نهاد ناظر بر آن، نهاد مستقر در مرکز امور مهم آن شرکت یا به عبارتی مرکز اصلی آن خواهد بود. (مرکز اصلی شرکت جایی است که شرکت در آنجا اداره می شود و امور اداری شرکت در آنجا متمرکز است. معمولاَ ارکان شرکت یعنی مجامع عمومی و هیات مدیره و مدیر عامل و بازرس یا بازرسان، در مرکز اصلی شرکت انجام وظیفه می کنند.)
مطابق ماده ۳ مقررات GDPR، برای مواردی که کنترل کننده داده ها و یا پردازنده های داده ای در اتحادیه اروپا به وجود نیامده اند، اما فعالیتهای آنها در محدوده مقررات GDPR قرار دارد، اطلاعات شخصی امکان دارد در خارج از اتحادیه اروپا به کشورهای ثالث یا سازمان های بین المللی منتقل شوند که در اینصورت باید یک نماینده بعنوان نقطه تماس در یک کشور عضو اتحادیه اروپا تعیین کنند.
انتقال دیتای شخصی به یک کشور سوم یا سازمان بین المللی که از تصمیمات کمیسیون اروپا آگاه نیست، می تواند از راه برخی از ابزارهای موجود مانند مقررات حفاظت از داده های استاندارد، قوانین شرکت های الزامی و همینطور ابزارهای جدید، کدهای تاییدشده یا صدور گواهینامه عرضه شود. در مواردی که تصمیم گیری و حمایت مناسبی وجود نداشته باشد، انتقال دیتای شخصی تنها در شرایط محدود می تواند صورت گیرد و بعد از انتقال به سایر کشورهای ثالث هم تحت این شرایط قرار می گیرند.
مبانی قانونی پردازش داده
داده ها نمی توانند پردازش شوند مگر اینکه حداقل یک مبنای قانونی برای آن وجود داشته باشد:
۱. شخص مبحث داده نسبت به پردازش آن برای یک یا چند هدف مشخص رضایت داده باشد. لایحه GDPR قوانین سختگیرانه ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است. همینطور متن رضایت نامه باید صریح باشد و با شفافیت کامل علل و نوع استفاده از داده را به اطلاع کاربران برساند. رضایت کودکان باید توسط والدین یا قیم کودک اعلام گردد. کنترل کننده داده باید بتواند رضایت را اثبات کند و چون رضایت دائمی نیست می تواند لغو شود.
با عنایت به قوانین جدید، شرکت ها باید فرآیند عدم رضایت را به همان سادگی فرآیند رضایت پیاده سازی کنند تا در صورت ضرورت بتوان با استفاده از آن، عدم رضایت خود برای پردازش داده های شخصی را اعلام نمود. همینطور به درخواست های مشتریان در مورد لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانکهای اطلاعاتی مربوطه ثبت تا در آینده از داده آنها استفاده نشود.
۲. پردازش داده ها برای اجرای یک قراردادی که شخص مبحث داده، طرف آن قرارداد است لازم باشد یا درخواست داده ها قدم اولیه برای ورود به قرارداد باشد.
۳. پردازش داده ها برای کنترل کننده جهت تطابق با تعهدات وی لازم باشد.
۴. پردازش برای حفاظت از منافع حیاتی شخص مبحث داده یا شخص حقیقی دیگری لازم باشد.
۵. پردازش برای اقدامی در جهت منافع عمومی و یا انجام وظایف حاکمیتی لازم باشد.
۶. پردازش برای اهداف مشروع کنترل کننده داده یا شخص ثالثی ضروری باشد، مگر اینکه با منافع یا حقوق و آزادی های اساسی شخص مبحث داده تعارض داشته باشد به خصوص اگر شخص مبحث داده کودک باشد.
مسئولیت پذیری و پاسخگویی
کنترل کننده داده برای رعایت مقررات GDPR باید اقداماتی را انجام دهد که به صورت پیش فرض با اصول حفاظت از داده ها منطبق باشد و در توسعه فرآیندهای کسب وکار باید اصول حریم خصوصی برای حفاظت از داده ها رعایت شود. انجام چنین اقداماتی در سریع ترین زمان ممکن باید شامل داده های شخصی شود. اقدامات موثر برای انطباق فعالیتهای پردازش داده با مقررات GDPR جزو مسئولیت های کنترل کننده است حتی اگر پردازش توسط شخصی خارج از کنترل وی صورت گیرد.
هنگامی که داده ها جمع آوری می شود، کاربران باید به صورت واضح در مورد میزان جمع آوری داده ها، مبنای قانونی برای پردازش داده های شخصی، مدتی که داده های شخصی نگهداری می شوند و اینکه آیا داده ها به خارج از اتحادیه اروپا یا اشخاص ثالثی منتقل می شود یا خیر اطلاع داشته باشند و اطلاعات افسر حفاظت از داده ها را به کاربران بدهند و آنها را از حقوق خود مبتنی بر GDPR همچون حق پس گرفتن رضایت پردازش اطلاعات، حق مشاهده اطلاعات شخصی و دسترسی به یک مرور کلی بر فرایند پردازش، حق پاک کردن داده ها در شرایط خاص، داشتن یک نسخه کپی از داده هایشان، حق اعتراض و حق محدودیت آگاه کنند.
چگونگی تأثیر GDPR بر سازمان های داده محور
موافقت های قابل تأیید و مطمئن: رضایت کاربران برای پردازش و یا عدم پردازش داده های شخصی، یکی از مولفه های مهم GDPR است. لایحه GDPR به شهروندان اتحادیه اروپا اجازه می دهد بر مبنای موافقت، امکان پردازش داده های شخصی خویش را در اختیار سازمان ها قرار دهند و قوانین سختگیرانه ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است.
با عنایت به قوانین جدید، شرکت ها باید فرایند عدم رضایت را به همان سادگی فرایند رضایت هم پیاده سازی کنند تا در صورت ضرورت بتوان با استفاده از آن، عدم رضایت خویش را برای پردازش داده های شخصی اعلام نمود. همینطور متن رضایت نامه باید صریح باشد و با شفافیت کامل علل و نوع استفاده از داده را به اطلاع کاربران برساند.
تاکید بر حفاظت داده به صورت پیش فرض و رعایت آن در طراحی: تا به امروز، کسب وکارها از اقدامات فنی و سازمانی گوناگونی برای حفاظت از داده های شخصی استفاده می کردند ولی پیاده سازی GDPR، شرکت ها را ملزم می کند وضعیت و اقدامات حفاظت داده ها را به صورت مستمر بررسی و به روز کنند.
ارزیابی اثرات حفاظت از داده ها: برای شناسایی، درک و کاهش هرگونه ریسکی که امکان دارد در زمان ایجاد راهکارهای جدید و یا انجام فعالیتهای جدیدی که مستلزم پردازش داده مشتری نظیر تجزیه و تحلیل داده و تمامی برنامه های داده محور است (شامل برنامه های هوش کسب وکار، انبار داده و برنامه های بازاریابی) لازم است ارزیابی اثرات حفاظت از داده ها صورت گیرد. لایحه GDPR، ارزیابی اثرات حفاظت از داده ها را برای تمامی سازمان ها یک اجبار الزامی در نظر گرفته است و در صورتیکه نتایج ارزیابی نشان دهنده وجود یک تهدید و یا خطر امنیتی باشد، باید با یک مقام نظارتی حفاطت از داده مشورت شود.
در صورتیکه یک سازمان نتواند خویش را با الزامات GDPR تطبیق دهد و در ممیزی انجام شده کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد. عواقب فوق بر خلاف آنچه که اغلب مردم باور دارند، صرفا محدود به مجازات های مالی نمی گردد و می تواند اساس و شهرت یک بنگاه کسب وکار را با مخاطره جدی مواجه سازد. سه عامل اصلی از دست دادن اعتماد مشتریان، جرایم مالی و عدم استفاده از داده خصوصی مشتریان در هرگونه سیستم و یا برنامه، سبب شده است مقررات GDPR یکی از سخت گیرانه ترین و دقیق ترین قوانین حفاظت از داده ها باشد.
افشای داده ها و نقض قوانین حفاظت از داده
برپایه قوانین و مقررات GDPR، کنترل کننده داده در صورت افشای داده ها، متعهد به اطلاع رسانی به نهاد نظارتی بدون تأخیر نامعقول (حداکثر۷۲ ساعت) است؛ مگر اینکه این افشای داده ها خطری برای حقوق و آزادی های اساسی اشخاص نداشته باشد که در این صورت الزامی به اطلاع به شخص مبحث داده ها ندارد.
اشخاصی که این تعهد را نقض کنند، مشمول مجازات هایی می شوند. این موارد عبارتند از تحریم هایی که می تواند نسبت به آنها اعمال شود، همچون اخطار کتبی در بار اول در صورت غیرعمدی بودن؛ بازرسی های منظم ادواری برای حفاظت از داده ها؛ جریمه تا ۱۰ میلیون یورو و یا تا دو درصد از گردش مالی سالانه شرکت در سال مالی گذشته، در صورت نقض پاراگراف ۵ و ۶ ماده ۸۳ از سند GDPR؛ جریمه تا ۲۰ میلیون یورو یا تا ۴ درصد از گردش مالی سالانه شرکت در سال مالی گذشته، درصورت نقض پاراگراف ۴ ماده ۸۳ از سند GDPR؛ نقض قوانین حفاظت داده توسط یک شرکت می تواند از راه درگیر شدن در پرونده های مدنی به اعتبار و شهرت یک سازمان صدمات جبران ناپذیری وارد کند.
برای جلوگیری از جرایم سنگین و مجازات شدید، کسب وکارها باید یک برنامه کامل، جامع و بالغ حاکمیت داده را پیرامون بازنگری کلیه قراردادهای موجود تا درخواست خرید سیستم های جدید مستقر کنند. همینطور باید تمامی روش های مدیریت داده را به منظور سازگاری با مقررات GDPR و کاهش خطرات مالی و اعتباری مطالعه و بررسی نمایند.
اقدامات لازم جهت کاهش ریسک و انطباق با GDPR
این سوال مطرح می شود که چگونه می توان ریسک ها را کم کرد و از اعتبار کسب وکار خود حفاظت کرد؟ با انجام اقدامات زیر می توان از تطابق با قوانین جدید حفاظت داده مطمئن شد:
تعریف داده شخصی مشتریان: داده های شخصی اطلاعات مربوط به یک فرد است و فراتر از نام آشکار، شماره تلفن و آدرس است و شامل اطلاعاتی مانند آدرس IP، آدرس ایمیل یا شماره تلفن، اطلاعات بانکی، عکس، شماره مربوط به حساب های مالی، اطلاعات پزشکی، اطلاعات (مانند نام) در رابطه با پست های رسانه های اجتماعی می شود. فعالیتهای پردازش شامل جمع آوری، استفاده و افشای اطلاعات است که مقررات GDPR حفاظت بیشتری برای پردازش دسته های خاص اطلاعات شخصی فراهم می آورد. کشورهای عضو امکان دارد شرایط بیشتری شامل محدودیت های مربوط به پردازش داده های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را عرضه کنند.
برای مثال، تکنولوژی های جدیدی وجود دارد که به بازاریابان اجازه می دهد به سادگی خریداران را در زمان واقعی بر مبنای آدرس MAC خود، که مشابه آدرس IP است، ردیابی کنند. خرده فروشان قادر به ردیابی رفتار خریدار خواهند بود که به خودی خود نقض مقررات نیست، با این وجود نقض آن برپایه مقرراتی است که بر رفتار نظارتی حاکم بر GDPR تمرکز می کنند. اساساً، نمایه سازی یا تجزیه و تحلیل بدون مجوز دارای مجازات است. برای این منظور، مهم می باشد که کسب وکارها درک صحیحی از اطلاعات شخصی شامل شناسه های دیجیتال مانند آدرس های IP و MAC و کوکی هایی که برای تجزیه و تحلیل، تبلیغات و ابزار چت استفاده می شود، دارا باشند.
مدیریت جریان داده و فرآیندها: برای انجام مدیریت جریان داده ها و فرایندهای مربوطه لازم است یک نقشه راه برای تعیین منابع ورود داده، ابزارهای پردازش داده، تکنیک ها و متدلوژی های استفاده شده و شیوه به اشتراک گذاشتن آن با سایر کسب وکارها را ایجاد کنند. بعد از تهیه لیستی از ورودی ها و خروجی ها، میزان تطابق آنها با مقررات جدید را بررسی و اقدامات لازم برای اطمینان از حاکمیت داده مناسب را انجام دهند.
تعیین یک متخصص حفاظت داده: یک متخصص ارشد افسر حفاظت داده (DPO) را که دارای دانش مناسب و اختیار لازم برای ارزیابی و کاهش خطرات عدم انطباق است، تعیین کنند. اطمینان از پاسخ سریع به درخواست های لغو: به درخواست های مشتریان در مورد لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانکهای اطلاعاتی مربوطه ثبت تا در بازاریابی مستقیم آتی از داده آنها استفاده نشود.
با معرفی قوانین و مقررات GDPR شاهد یک تحول اساسی در روش های حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکت های ناسازگار با آن قوانین و مقررات و ناقض داده، جرایم و مجازات های سنگین را به دنبال خواهد داشت. موفقیت در ارزیابی مطابقت قوانین و مقررات GDPR مستلزم انجام مجموعه ای از اقدامات و فعالیتهای هدفمند و منسجم در حوزه های گوناگونی خصوصاً مدیریت داده ها است که بدون وجود یک فونداسیون قوی مدیریت داده نمی توان پاسخگوی الزامات قانونی GDPR باشد، چونکه حاکمیت داده با عنایت به وظایف ذاتی خود می تواند در این راه بسیار موثر واقع شود.
منبع: سئو سی
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب