GDPR

GDPR چیست؟

شما ممکن است درباره قانون جدید به نام General Data Protection Regulation) GDPR) یا مقررات حفاظت از اطلاعات

شما ممکن است درباره قانون جدید به نام General Data Protection Regulation) GDPR) یا مقررات حفاظت از اطلاعات عمومی شنیده باشید. این قانون به هر سازمانی بدون توجه به‌جایی که آن سازمان در جهان واقع است و با اطلاعات شخصی ساکنین در اتحادیه اروپا (EU ) سروکار دارند اعمال می‌شود. GDPR سازمان‌ها را ملزم به حفظ حریم خصوصی و امنیت اطلاعات شخصی ساکنین اتحادیه اروپا می‌کند. برای اطمینان از انطباق با GDPR، اصول کلیدی آن باید دانسته و اجرا شود.

مردم حق‌دارند که حریم خصوصی داشته باشند. سازمان‌ها باید با محدود کردن جمع‌آوری و پردازش اطلاعات شخصی شهروندان و با محافظت از آن داده‌ها، به حریم خصوصی آن‌ها احترام بگذارند. تعهدات مربوط به حریم خصوصی به اطلاعاتی مربوط می‌شود که به‌تنهایی یا با ترکیب با سایر اطلاعات می‌تواند فردی را که در اتحادیه اروپا زندگی می‌کند قابل‌شناسایی کند. این اطلاعات می‌تواند مواردی مانند آدرس، شماره گذرنامه، شماره مجوز رانندگی، جزئیات مالی، بیومتریک، عضویت اتحادیه، تاریخ پزشکی، اطلاعات مکان یا اطلاعات مربوط به

گرایش جنسی، مذهبی یا سیاسی فرد باشد. این مقرره به یک شخص یعنی یک فرد زنده اعمال می‌شود. در اینجا برخی از قواعد اصلی GDPR  که باید دنبال شود، آمده است:

  • اطلاعات شخصی افراد باید به‌صورت قانونی، منصفانه و به‌صورت شفاف مورد پردازش قرار گیرد.
  • به مردم باید گفته شود که چه اطلاعاتی و برای چه هدفی جمع‌آوری می‌شود.
  • اطلاعات شخصی باید برای اهداف مشخص، صریح و قانونی جمع‌آوری شود. این نباید به دلایل دیگر باشد که با این اهداف تضاد دارد.
  • داده‌های شخصی باید تا زمانی نگهداری و پردازش شوند که برای این منظور و موارد لازم باشند و نه مدت بیشتر.
  • اطلاعات شخصی باید به‌روز و دقیق نگه‌داشته شوند.
  • افراد حق دریافت کپی از داده‌های خود رادارند یا می‌توانند درخواست کنند که اطلاعات شخصی آن‌ها دیگر مورداستفاده قرار نگیرند و یا در برخی موارد به‌طور کامل حذف شوند.
  • سازمان‌ها باید اقدامات امنیتی مناسب را برای محافظت از اطلاعات شخصی در برابر نابودی، از بین بردن، تغییر، یا افشای تصادفی یا غیرقانونی اجرا کنند.
  • علاوه بر این، سازمان‌ها باید اطمینان حاصل کنند که تمام کارمندانی که به اطلاعات شخصی دسترسی دارند، به‌خوبی در نحوه محافظت از این داده‌ها آموزش‌دیده‌اند.

اقدامات حفاظتی که برای حفظ اطلاعات شخصی در نظر گرفته‌شده است، باید یک سطح حفاظت مناسب با محتوای حساس داده‌ها را تضمین کنند. هرچه احتمال اتفاق ناگوار در خصوص داده‌ها بیش‌تر می‌شود، باید تلاش و هزینه اقدامات برای محافظت از داده‌ها نیز افزایش یابد. این اقدامات باید به‌طور منظم بررسی و به‌روز شود. سوابق مستند شده درباره تصمیمات گرفته‌شده و اقدامات انجام‌شده برای حریم خصوصی و امنیت آن‌ها به اثبات مطابقت سازمان با الزامات کمک خواهد کرد. علاوه بر این، سازمان‌ها ازلحاظ قانونی مجبورند اقدامات لازم و بررسی‌های قانونی را برای حفاظت از اطلاعات شخصی در هنگام انتقال آن به اشخاص ثالث خارجی و به‌ویژه کسانی که خارج از اتحادیه اروپا هستند، بکار گیرند. درنهایت، در زمان بروز رخنه به اطلاعات شخصی، سازمان‌ها باید ظرف ۷۲ ساعت پس از مطلع شدن از این اتفاق، آن را گزارش کنند. کوتاهی سازمان‌ها برای تطبیق با GDPR می‌تواند جریمه تا ۴ درصد از درآمد جهانی خود را منجر شود، و این‌گونه GDPR یکی از مقرراتی است که می‌تواند خیلی گران تمام شود.

منبع: sans