شما ممکن است درباره قانون جدید به نام General Data Protection Regulation) GDPR) یا مقررات حفاظت از اطلاعات عمومی شنیده باشید. این قانون به هر سازمانی بدون توجه بهجایی که آن سازمان در جهان واقع است و با اطلاعات شخصی ساکنین در اتحادیه اروپا (EU ) سروکار دارند اعمال میشود. GDPR سازمانها را ملزم به حفظ حریم خصوصی و امنیت اطلاعات شخصی ساکنین اتحادیه اروپا میکند. برای اطمینان از انطباق با GDPR، اصول کلیدی آن باید دانسته و اجرا شود.
مردم حقدارند که حریم خصوصی داشته باشند. سازمانها باید با محدود کردن جمعآوری و پردازش اطلاعات شخصی شهروندان و با محافظت از آن دادهها، به حریم خصوصی آنها احترام بگذارند. تعهدات مربوط به حریم خصوصی به اطلاعاتی مربوط میشود که بهتنهایی یا با ترکیب با سایر اطلاعات میتواند فردی را که در اتحادیه اروپا زندگی میکند قابلشناسایی کند. این اطلاعات میتواند مواردی مانند آدرس، شماره گذرنامه، شماره مجوز رانندگی، جزئیات مالی، بیومتریک، عضویت اتحادیه، تاریخ پزشکی، اطلاعات مکان یا اطلاعات مربوط به
گرایش جنسی، مذهبی یا سیاسی فرد باشد. این مقرره به یک شخص یعنی یک فرد زنده اعمال میشود. در اینجا برخی از قواعد اصلی GDPR که باید دنبال شود، آمده است:
- اطلاعات شخصی افراد باید بهصورت قانونی، منصفانه و بهصورت شفاف مورد پردازش قرار گیرد.
- به مردم باید گفته شود که چه اطلاعاتی و برای چه هدفی جمعآوری میشود.
- اطلاعات شخصی باید برای اهداف مشخص، صریح و قانونی جمعآوری شود. این نباید به دلایل دیگر باشد که با این اهداف تضاد دارد.
- دادههای شخصی باید تا زمانی نگهداری و پردازش شوند که برای این منظور و موارد لازم باشند و نه مدت بیشتر.
- اطلاعات شخصی باید بهروز و دقیق نگهداشته شوند.
- افراد حق دریافت کپی از دادههای خود رادارند یا میتوانند درخواست کنند که اطلاعات شخصی آنها دیگر مورداستفاده قرار نگیرند و یا در برخی موارد بهطور کامل حذف شوند.
- سازمانها باید اقدامات امنیتی مناسب را برای محافظت از اطلاعات شخصی در برابر نابودی، از بین بردن، تغییر، یا افشای تصادفی یا غیرقانونی اجرا کنند.
- علاوه بر این، سازمانها باید اطمینان حاصل کنند که تمام کارمندانی که به اطلاعات شخصی دسترسی دارند، بهخوبی در نحوه محافظت از این دادهها آموزشدیدهاند.
اقدامات حفاظتی که برای حفظ اطلاعات شخصی در نظر گرفتهشده است، باید یک سطح حفاظت مناسب با محتوای حساس دادهها را تضمین کنند. هرچه احتمال اتفاق ناگوار در خصوص دادهها بیشتر میشود، باید تلاش و هزینه اقدامات برای محافظت از دادهها نیز افزایش یابد. این اقدامات باید بهطور منظم بررسی و بهروز شود. سوابق مستند شده درباره تصمیمات گرفتهشده و اقدامات انجامشده برای حریم خصوصی و امنیت آنها به اثبات مطابقت سازمان با الزامات کمک خواهد کرد. علاوه بر این، سازمانها ازلحاظ قانونی مجبورند اقدامات لازم و بررسیهای قانونی را برای حفاظت از اطلاعات شخصی در هنگام انتقال آن به اشخاص ثالث خارجی و بهویژه کسانی که خارج از اتحادیه اروپا هستند، بکار گیرند. درنهایت، در زمان بروز رخنه به اطلاعات شخصی، سازمانها باید ظرف ۷۲ ساعت پس از مطلع شدن از این اتفاق، آن را گزارش کنند. کوتاهی سازمانها برای تطبیق با GDPR میتواند جریمه تا ۴ درصد از درآمد جهانی خود را منجر شود، و اینگونه GDPR یکی از مقرراتی است که میتواند خیلی گران تمام شود.
منبع: sans