پنج گام تا پیاده سازی GDPR

آشنایی با GDPR

می توان گفت GDPR یا General Data Protection Regulation به معنای مقرارت کلی حفاظت از داده ها، سطح جدیدی از امنیت و محافظت از اطلاعات است با مجموعه ای کامل از مقررات مربوط به مدیریت و پردازش داده ها که توسط اتحادیه اروپا به اجرا در خواهد آمد. این بزرگترین تغییر در قانون حفاظت از داده ها در اروپاست که در سه دهه اخیر اجرایی می شود.

در این مقاله قصد داریم مروری کلی بر جنبه های کلیدی GDPR داشته باشیم و عملکرد ابزارهای انعطاف پذیر مدیریت خدمات IT مانند Wendia POB را در پشتیبانی از قوانین جدید بررسی کنیم. در سطور پیش رو، بررسی می کنیم که GDPR معطوف به کدام سازمان ها خواهد بود و آن ها باید چگونه و با چه ابزارهایی برای این تغییر کاملاً آماده شوند.

اصول GDPR چیست؟

مقررات کلی حفاظت از داده ها (GDPR) اتحادیه اروپا که از ماه می 2018 به اجرا در خواهد آمد، راه و روش ذخیره سازی، فراخوانی و استفاده از اطلاعات شناسایی فردی (PII) هر شخصی اعم از کارکنان و مشتریان، توسط سازمان را تغییر خواهد داد. این مقررات با قوانین موجود جایگزین شده و با اصول حفاظت از داده های گسترده که در قوانین وضع شده است، در یک راستا می باشد. در واقع GDPR برای هماهنگ سازی قوانین حریم خصوصی داده ها در سراسر اروپا طراحی شده است تا امنیت اطلاعات شهروندان اروپا را قوت بخشد و رویکرد سازمان ها در سراسر منطقه در رابطه با حریم اطلاعات خصوصی را تغییر دهد.

هدف این مقررات، حفاظت از شهروندان اتحادیه اروپا در برابر نقض امنیت اطلاعات در دنیا و رشد فزاینده اطلاعات در آن است. مقررات GDPR شامل 11 فصل در 91 عنوان است که نسخه کامل آن را می توانید از اینجا مشاهده نمائید.

هدف اصلی GDPR چه کسی است؟

تمامی سازمان ها، از شرکت های کوچک و متوسط گرفته تا سازمان های بزرگ، باید از تمامی الزامات GDPR مطلع بوده و تا ماه می 2018، آمادگی کامل را کسب نمایند. قوانین در حوزه های محدودی افزایش یافته و به کنترل کننده ها و پردازش کننده های اطلاعات فارغ از موقعیت مکانی آنها، اعمال می شود.

بنابراین، سازمان هایی که خارج از اتحادیه اروپا قرار دارند ولی با اطلاعات شهروندان اتحادیه اروپا سر و کار دارند نیز، مشمول قوانین GDPR خواهند بود.

لازم به ذکر است فعالیت هایی نظیر پردازشی که تحت نظر دستور العمل های اجرایی قانونی باشد، پردازش برای اهداف امنیت ملی و پردازش توسط افراد حقیقی برای فعالیت های شخصی، مشمول این قوانین نخواهند بود.

سازمان ها چگونه باید برای GDPR آماده شوند؟

صادقانه بگوییم، GDPR را نباید ببر بی دندانی دانست که توسط اتحادیه اروپا گماشته شده است. این قوانین نه تنها نمایشی نیست، بلکه، عواقب سنگینی در انتظار سازمان هایی خواهد بود که حفاظت از اطلاعات را نادیده بگیرند.

• تا 2 درصد درآمد جهانی برای تخلفات فنی و تا 4 درصد گردش مالی سالانه جهانی یا 20 میلیون یورو (هرکدام که بیشتر است) برای نقض اصول و حقوق قانون جدید، جریمه تعیین شده است.
• انتشار اجباری اطلاعیه نقض امنیت اطلاعات شخصی که شامل هشدار رخنه به داده های افراد باشد.
• پیگیری دادخواست های حقوقی افرادی که متضرر شده اند.
• به طور بالقوه، ممنوعیت کامل پردازش اطلاعات شخصی (در موارد حاد).

این جریمه ها، سازمان ها را مجبور می کنند تا GDPR را جدی بگیرند و به صورت موردی، بررسی و تصویب می شوند.

نکات کلیدی GDPR چیست؟

انتشار اخطار نقض امنیت اطلاعات

انتشار اخطار رخنه در اطلاعات در تمام کشور های عضو که نقض امنیت اطلاعات در آن ها با «در خطر افتادن حقوق و آزادی افراد» همراه بوده است، از الزامات GDPR محسوب می شود. انتشار این اطلاعیه ها باید طی 72 ساعت پس از نقض امنیت اطلاعات صورت پذیرد. پردازش کننده های اطلاعات ملزم خواهند بود که به محض اولین رخنه در اطلاعات، بدون تأخیر و اتلاف وقت، به مشتریان خود اطلاع دهند.

انطباق

یکی از عناصر کلیدی GDPR، توانایی نمایش انطباق، از طریق تعریف فرآیند ها و بررسی رکوردهای حسابرسی و تطبیق با فرآیند های تعریف شده است. انتظار می رود سازمان ها اقدامات نظارتی جامع و متناسب با ساختارهای حکومتی مانند ارزیابی تاثیرات امنیت و حریم خصوصی را طراحی و به انجام رسانند.

در نهایت، این اقدامات باید ریسک نقض اطلاعات را کاهش داده و حفاظت از اطلاعات شخصی را ارتقاء بخشد. اینها عملاً به معنای سیاست ها و دستورالعمل های بیشتر برای سازمان ها خواهد بود. گرچه بسیاری از آن ها با قوانین حکومتی بسیاری نیز دست و پنجه نرم می کنند.

رضایت

با GDPR قطعاً راهی برای منفعت های شخصی افراد و سودجویی در پی فرار از قوانین باقی نخواهد ماند. سازمان ها نه تنها مجبور به استفاده از قوانین و شرایط بلندمدت نخواهند بود، بلکه بخشی از یک نظام شفاف با عملکرد مثبت می شوند که در آن افراد از سکوت، عملکردهای شخصی و عدم فعالیت، سودی نخواهند برد.

کسب رضایت همچنین باید از قوانین و شرایط مجزا بوده و راهی ساده برای مردم وجود داشته باشد تا عدم رضایت خود را اعلام کنند. مقامات دولتی و کارفرمایان باید مراقبت های خاصی را انجام دهند تا اطمینان حاصل شود که رضایت به صورت آزادانه اعلام شده است.

اصول پردازش داده ها

شش اصل توسط GDPR برای پردازش اطلاعات شخصی مقرر شده است که سازمان ها می بایست به آن پایبند گردند. ماده 5 GDPR سازمان ها را ملزم می کند که این اصول را رعایت کنند:

الف) رعایت قانون، عدالت و شفافیت: اطلاعات شخصی باید به صورت قانونی، عادلانه و شفاف پردازش گردند.

ب) اهداف مشخص: اطلاعات شخصی باید به صورت مشخص، صریح و قانونی پردازش گردند و هیچ شیوه ای که با اهداف در تضاد باشد، در پیش گرفته نشود.

ج) حداقل استفاده از داده ها: اطلاعات شخصی باید به میزان متناسب و محدود به اهداف تعیین شده مورد استفاده قرار گیرد.

د) دقت: اطلاعات شخصی باید دقیق و به روز باشند.

هـ) محافظت: اطلاعات شخصی باید تا زمان استفاده در قالب معینی نگهداری شوند و مجوز دسترسی به آن ها فراتر از زمان لازم جهت دستیابی به اهداف معین شده، صادر نگردد.

و) یکپارچگی و محرمانه بودن: اطلاعات شخصی باید به گونه ای پردازش شوند که از امنیت آن ها اطمینان حاصل شود. مواردی نظیر محافظت از استفاده و پردازش غیر قانونی، محافظت در برابر آسیب دیدن یا از دست رفتن داده ها، استفاده فنی با اقدامات سازمانی مناسب، باید در دستور کار قرار گیرند.

حقوق فردی

در پیکره GDPR، حقوق گسترده و جدیدی برای افراد معرفی می شود و همچنین برخی از حقوق های اساسی موجود نیز تقویت می شوند. این حقوق عبارتند از:

الف) حق آگاهی از «عادلانه بودن پردازش اطلاعات» که به طور معمول در قالب اطلاعیه حفظ حریم خصوصی، که در مورد نحوه استفاده از اطلاعات شخصی، شفاف سازی می کند، منتشر می شود.

ب) حق دسترسی: بخشی از حقوقی که توسط GDPR تبیین می شود، حق اطلاع کنترل کننده، از موضوع اطلاعات است که با چه هدفی، کجا و چه زمانی پردازش می شوند. علاوه بر این، کنترل کننده می بایست یک کپی دیجیتالی از اطلاعات شخصی را در اختیار داشته باشد.

ج) حق اصلاح اطلاعات: افراد حق دارند داده های شخصی ناقص یا مشکل دار را اصلاح نمایند.

د) حق پاک کردن که به عنوان «حق فراموش شدن» نیز شناخته می شود، فرد را قادر می سازد تا در مواقعی که هیچ دلیل قانع کننده ای برای ادامه پردازش اطلاعات وجود ندارد، آن را پاک کرده یا حذف کند.

هـ) حق محدود کردن پردازش اطلاعات، به افراد اجازه می دهد تا پردازش اطلاعات را متوقف کند.

و) حق دسترسی به داده ها، در واقع برای عنوان داده ها است که می بایست به اطلاعات شخصی مرتبط با آن، دسترسی داشته باشد که این اطلاعات باید در قالب های معمول و قابل قرائت توسط دستگاه ها ارائه شوند و حق انتقال این داده ها به کنترل کننده های دیگر نیز وجود دارد.

ز) حق اعتراض به افراد اجازه می دهد تا به پردازش هایی که با منافع دولتی، در ارتباط با منافع عمومی، استفاده از مقامات رسمی، اهداف بازاریابی یا تحقیق و آمار علمی صورت می گیرد، معترض شوند.

ح) حقوق مرتبط با تصمیم گیری و طبقه بندی خودکار (ماشینی) که منجر به اتخاذ تصمیمی بدون دخالت نیروی انسانی شده و به طور بالقوه می تواند افراد را در معرض خطر قرار دهد.

چه اقداماتی باید انجام دهید؟

با آغاز اجرای سیاست های حفاظت از داده ها و راهکارهای آن در حال حاضر، سازمان ها هنگام اجرایی شدن GDPR در موقعیت بسیار بهتری خواهند بود. برنامه ریزی برای انطباق و توسعه فرآیند های داخلی جدید در سازمان، چگونگی بهره مندی از زیرساخت های IT، نحوه آموزش کارکنان به صورتی که توانایی شناسایی، مدیریت، کنترل و نظارت بر اطلاعات و داده ها را در چارچوب GDPR داشته باشند، از اقدامات اصلی محسوب می شوند. تمامی این اقدامات نیاز به همکاری نزدیک میان واحد IT و سایر بخش های سازمان خواهند داشت.

قدم اول: سنجش و ارزیابی

در اولین گام، به سازمان ها توصیه می شود، ناسازگاری های احتمالی در بخش های مرتبط با فرآیندهای موجود را شناسایی کنند. این ارزیابی تمام بخش های پردازش داده ها و دپارتمان های سازمان از جمله نیروی انسانی، فروش و بازارایابی، حسابداری و پشتیبانی را شامل می شود. توصیه می شود که فناوری اطلاعات در ارتباط نزدیکی با سایر بخش های سازمان فعالیت کند. شاید بد نباشد افرادی را در سازمان تعیین کنید که مسئول هماهنگی تمامی اقدامات مربوط به GDPR با کارکنان دپارتمان های مختلف باشند. روش های نظرسنجی هم ممکن است به شناسایی سریع فرآیندها و نقطه ضعف ها کمک کند.

به محض اینکه شکاف یا نقطه ضعفی را شناسایی کردید، مجموعه ای از اقدامات را برای رفع و اصلاح آن، به انجام رسانید.

قدم دوم: تخصیص منابع، راه اندازی فرآیند ها و فناوری مورد نیاز

برای کسب آمادگی لازم، می بایست منابع مورد نیاز تعریف و اولویت بندی شوند. همچنین پشتیبانی و توانمندی های مورد نیاز نیز باید سنجیده شده و پس از آن قوانین چرخه عمر داده ها باید ایجاد و اجرا شوند. این کار با هماهنگ سازی فرآیند ها با چارچوب موجود در سازمان و یا با تعریف فرآیندهای جدید که از انطباق آن ها اطمینان دارید، حاصل می شود.

به محض اینکه تمامی فرآیند ها، مقررات و مسئولیت ها تعریف شد و با الزامات GDPR تطابق داده شد، می توانید سفارشی سازی ابزارهای ضروری را برای مطابقت با فرآیندها و الزامات از پیش تعین شده شروع کنید.

قدم سوم: تعیین افسر حفاظت اطلاعات (DPO)

طبق ماده 37 GDPR سازمان های مطبوع باید یک افسر حفاظت اطلاعات (DPO) تعیین کنند. ملاقات با DPO صرفاً برای پردازشگرها و کنترل کننده هایی اجباری است که فعالیت اصلی آن ها شامل عملیات پردازش است که نیاز به نظارت منظم داده ها در مقیاس وسیع یا دسته های خاص داده ها یا اطلاعات مربوط به محکومیت و جرم های جنایی دارد. انتخاب DPO که می تواند یکی از کارمندان یا فردی خارجی باشد، باید بر اساس تخصص های حرفه ای و به ویژه اطلاعات تخصصی در حوزه قانون و شیوه های حفاظت از اطلاعات صورت پذیرد. او تمامی منابع موجود در سازمان را برای وظایف خود به کار گرفته و به مدیر کل سازمان گزارش می دهد.

همچنین توصیه می شود فرد دیگری در سازمان، به عنوان رابط میان اداره حفاظت از اطلاعات (DPA) تعیین شود.

قدم چهارم: آموزش و انتقال مفاهیم

سازمان ها باید کارمندان خود را با GDPR آشنا کنند و چگونگی تاثیرگذاری GDPR بر سازمان و فعالیت های آن ها و همچنین نحوه رسدگی به موارد مربوط به حریم خصوصی را به آنها بیاموزند. موارد ضروری در سایت www.wendia.com در قالب این مقاله مطرح شده است و درک کلی از ماهیت GDPR را به افراد می دهد. آموزش های تکمیلی و متناسب با دانش و تخصص کارکنان، می بایست در درون سازمان به کارمندان ارائه شود تا با وظایف و مسئولیت های فردی خود نیز آشا شوند. کانال های اطلاعاتی مانند اینترنت، انجمن های گفتگو، مجلات و روش های متفاوت کسب دانش نیز از راه های کسب اطلاعات بیشتر در این زمینه است.

قدم پنجم: آمادگی برای ارزیابی

در این مرحله، عذر عدم آگاهی از GDPR از هیچ فردی پذیرفته نیست. سازمان می بایست بررسی های لازم را جهت تطبیق قوانین با سیاست های داخلی انجام دهند تا با قوانین GDPR همسو شوند. استمرار بررسی و ارزیابی ها نیز یکی از شروط کسب این آمادگی است.

چگونه GDPR موجب منفعت سازمان خواهد بود؟

با برنامه ریزی مناسب سیاست ها و آموزش کارکنان و درک کارکنان و مشتریان از اینکه امنیت اطلاعات آنها تضمین شده است، سازمان از پشتیبانی بزرگتری برخوردار خواهد بود. با این وجود، بارزترین نکته GDPR، افزایش قابلیت سازمان ها در حفاظت اطلاعات و جلوگیری از نقض امنیت است. وضع اقدامات و سیستم مناسب می تواند نه تنها باعث بهبود روابط مشتری، شفافیت و اعتماد در داخل و خارج از سازمان شود، بلکه امنیت پایدار را در سازمان تضمین خواهد کرد.

سازگاری راهکار وندیا POB با GDPR چگونه است؟

راهکار POB انعطاف پذیری بالایی را برای پشتیبانی از هر نوع چهارچوب امنیتی و تنظیم بهین روش ها، ارائه می دهد که شما را در تحقق شرایط لازم برای استانداردهایی مانند ITIL، ISO یا مقرراتی مانند GDPR یاری می رساند.

اگر شما در حال حاضر راهکار POB را پیاده سازی نموده اید یا به دنبال سیستم جدید برای بهینه سازی فرآیندهای GDPR هستید، امکانات زیر را با POB در اختیار خواهید داشت:

• تنظیم و خودکار سازی فرآیندهای موجود با توجه به الزامات GDPR
• پیاده سازی و خودکار سازی تمامی فرآیندهای جدید مربوطه و چرخه کار مرتبط با الزامات GDPR
• ساخت انوع چرخه کار بر اساس چرخه کار استاندارد برای پشتیبانی از فرآیندهای خاص GDPR
• پشتیبانی از مقررات حفاظت از داده ها و فرآیندها در تمام دپارتمان های سازمان
• خودکارسازی ارجاع چرخه اطلاعات به DPO و DPA در رابطه با به روز رسانی ها، نقض امنیت، تجزیه و تحلیل ریسک
• امکان ارجاع چرخه تجزیه و تحلیل اطلاعات به افراد
• پیگیری و مستند سازی تاریخ
• امکان ممیزی مستندات
• و…

پائین: نمایش استاندارد GDPR در نمودار عنکبوتی

منبع: وب سایت wendia.com

ترجمه و بازنویسی: گروه فناوری پرند