GDPR یا مقررات محافظت از داده‌های عمومی چیست و چرا فوق‌العاده مهم است؟ + آموزش اجرا و پیاده سازی GDPR

GDPR که مخفف کلمه های “General Data Protection Regulations” می باشد، قوانینی عمومی /الزام آور برای حفظ حریم خصوصی کاربران توسط کسب و کار ها در اتحادیه اروپا می باشد، که از تاریخ بهمن ماه ۲۰۱۶ مطرح شده و از تاریخ ۲۵ ماه May سال ۲۰۱۸ میلادی (خرداد ماه ۱۳۹۷) در اتحادیه اروپا به صورت رسمی اجرا خواهد شد، و کسب و کار هایی که خود را با این قوانین وفق ندهند جریمه ای سنگین (معادل ۲۰ میلیون یورو و یا ۴ درصد درامد سالانه شرکت) را پرداخت خواهند کرد.

در مقالات زیادی در سایت Medium به این نکته اشاره شده است که در ۲۰ سال اخیر، قوانین حفظ حریم خصوصی کاربران هیچ وقت تا این اندازه رشد مثبت و چشمگیری نداشته است و امید می رود که با وضع این قوانین، محیطی امن تر برای کاربران اتحادیه اروپا را شاهد خواهیم بود.

روزبه‌روز قوانین سخت‌گیرانه‌تری در زمینه‌ی حفظ حریم خصوصی و جمع‌آوری داده‌های کاربران به تصویب می‌رسد. چنین قوانینی، کار بسیاری از شرکت‌های تکنولوژی را از گذشته سخت‌تر می‌کند. یکی از این قوانین بسیار سختگیرانه، قانون GDPR «مقررات محافظت از داده‌های عمومی» که قرار است از روز ۲۵ مه (۴ خرداد) اجرایی شود. اما این قانون دقیقا چیست و چرا اینقدر سروصدا کرده است؟

در این سند مواردی ذکر شده که کسب و کار هایی که قصد دارند اطلاعات مشتریانشان را برای مقاصد گوناگونی پردازش کرده و یا به اشتراک بگذارند در راستای حفظ حریم خصوصی اطلاعات ملزم به رعایت آنها خواهند بود، و همچنین کاربران سیستم های مختلف نیز مطلع خواهند شد که طبق قوانین جدید چه حق و حقوقی خواهند داشت .

قوانین پیشین حفظ حریم خصوصی (اطلاعات)کاربران در اتحادیه اروپادر سال ۱۹۹۵ وضع شده وهمچنین در سال ۱۹۹۸ نسخه بریتانیاینی (UK`s standard) آن وضع شده و به اجرا درآمده بود.

بدیهی است قوانین آن سالها با توجه به تکنولوژی های آن بازه زمانی و همچنین راه های متعارف استفاده از اطلاعات وضع شده بود و ورود داده های اطلاعاتی جدید که از سنسور های مختلف مانند IOT و یا موبایل ها و روش های مختلف تولید می شود، در آن دیده نشده بود و این امکان را برای شرکت های مختلف فراهم می کرد که با سیاست های خاص و سودجویانه بتوانند از اطلاعات کاربران در راستای منافع خود سو استفاده کنند.

با اجرایی شدن این قانون، شرکت‌هایی که مرتکب خلاف شوند، تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی جهانی خود (هرکدام که بیشتر باشد) جریمه می‌شوند. طبق این قانون، شرکت‌ها باید بدانند که چه اطلاعاتی را و چرا جمع‌آوری می‌کنند. همچنین برای استفاده از داده‌های شخصی کاربران، باید به زبان روشن و ساده از کاربران اروپایی خود اجازه بگیرند. علاوه بر این، کاربران می‌توانند از شرکت موردنظر بخواهند که داده‌های شخصی آن‌ها را ارائه دهد و در صورت درخواست کاربران، شرکت مذکور باید توضیح دهد که چنین داده‌هایی در چه مواردی مورد استفاده قرار گرفته است. علاوه بر این، شرکت‌ها باید داده‌های جمع‌آوری شده از کاربران را هر چند وقت یک‌بار از بین ببرند. کمپانی‌ها باید ثابت کنند که از داده‌های کاربران به‌خوبی مراقبت می‌کنند، که این به معنای افزایش نظارت بر این شرکت‌ها است. در هنگام رخنه به سیستم، این شرکت‌ها باید به تمام کاربران اروپایی خود در مورد این رخنه و وسعت آن اطلاع دهند. این موارد تنها بخش کوچکی از بندهای قانون GDPR محسوب می‌شوند.

حقایقی درباره قانون GDPR

این سیاست یکی از مهم‌ترین عناصر در قوانین حقوق بشر و حفظ حریم خصوصی در اتحادیه اروپا است، که برای اقتصاد دیجیتال ما و شکل‌گیری تکامل آن در سال‌های آینده بسیار مهم است.

کمیسیون اروپا در فوریه 2016 سیاست جدید GDPR را تصویب کرد و انتظار می‌رود در ماه مه 2018 پس از یک دوره تحول دوساله، قابل‌اجرا باشد. این مقررات به‌طور مستقیم به تمام کشورهای عضو اتحادیه اروپا اعمال می‌شود بدون اینکه نیاز به اجرای قوانین ملی باشد. این قوانین نه‌تنها برای نهادهای عمومی بلکه برای تمام نهادهایی که اطلاعات شخصی را در اتحادیه جمع‌آوری و اداره می‌کنند، قابل پیاده‌سازی می‌باشد.

سازمان‌ها هنوز برای پذیرش قوانین جدید EU GDPR آماده نیستند

یک تیم تحقیقاتی، مطالعاتی را با هدف شناسایی دیدگاه سازمان‌ها در مورد مقررات جدید و نحوه برنامه‌ریزی آن‌ها انجام دادند. نتایج نشان داد که:

بیش از 90 درصد از سازمان‌ها با قوانین جدید اتحادیه اروپا (EU GDPR) آشنا شده‌اند، اما تنها یک‌سوم از آن‌ها (حدود 32 درصد) گفته‌اند که با آن سازگار هستند و یا برای قوانین جدید آماده‌ شده‌اند.
تقریباً 30٪ از پاسخ‌دهندگان هنوز آماده نشده‌اند و نیاز به تغییراتی در شیوه‌های امنیتی دارند و باید تغییرات قابل‌توجهی را در تکنولوژی خود که مطابق با سیاست‌های EU GDPR باشد، انجام دهند.
برای سازمان‌هایی که EU GDPR یکی از اولویت‌های مهم آن‌ها است، 65 درصد از سازمان‌ها در حال برنامه‌ریزی برای داشتن یک افسر حفاظت از داده، چه در خانه و چه در خارج از آن محیط هستند.
همچنین نظرسنجی دیگری که توسط DELL منتشر شد، نشان می‌دهد که سازمان‌ها از الزامات و مقررات جدید، چگونگی آمادگی برای رویارویی با قوانین جدید و این‌که چگونه امنیت اطلاعات، کسب‌ و کار را تحت تأثیر قرار می‌دهد، آگاهی ندارند. بیش از نیمی از سازمان‌ها شروع به کسب آمادگی برای مطابقت با GDPR کرده‌اند، مطالعه دیگری که توسط “ونسون بورن” انجام شده این موضوع را بیان می‌کند.

این عدم آمادگی برای پذیرش GDPR می‌تواند بر شهرت سازمان‌ها و کسب‌ و کارشان، جرائم سنگینی که برای اشتباهات باید بپردازند و همین‌طور بر افشای ذخایر اطلاعاتی نیز تأثیر بگذارد.

به‌ عنوان‌ مثال یک شرکت بریتانیایی، قوانین حریم خصوصی و ارتباطات الکترونیکی (PECR) را هنگام آمادگی برای GDPR رعایت نکرد و مجازات شد.

هدف GDPR چیست؟

هدف از این مجموعه قوانین جدید که در ماه مه سال 2018 به اجرا درمی‌آید، این است که: برای شهروندان اتحادیه‌ اروپا امکان کنترل بیشتر بر اطلاعات شخصی‌شان را فراهم کنند. حفظ حریم خصوصی یک حق اساسی در اروپا است و مقررات جدیدی در همین راستا تنظیم شده‌ است.

این مجموعه قوانین، محیط قانونی را برای کسب‌ و کار فراهم می‌کنند و گامی رو به‌ جلو برای بازار دیجیتال در اتحادیه اروپا هستند که هدف آن‌ها ایجاد فرصت‌های دیجیتالی بیشتر برای افراد و سازمان‌ها در زمینه جا به جایی افراد، کسب‌ و کارها، خدمات و سرمایه‌گذاری‌ها است.

هدف GDPR این است که با روش‌هایی متفاوت از روش‌های به تصویب رسیده در سال 1995 از شهروندان اتحادیه اروپا در برابر درز اطلاعاتشان به دنیای بیرون در جهانی که فرایند انتقال داده‌ها روزبه‌روز در حال افزایش است محافظت کند.

10 جنبه مهم از مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا:
در این قسمت، برخی از موارد ضروری در مورد مقررات حفاظت از اطلاعات عمومی (GDPR) و مرتبط با کاربر، مشتری و کسب‌ و کار آورده شده است:

1- قوانین جمع‌آوری اطلاعات سخت‌گیرانه‌تر می‌شوند

این سیاست جدید بیان می‌کند که ” اطلاعات شخصی می‌توانند فقط به‌صورت قانونی و تحت شرایطی سخت با اهدافی قانونی مورد جمع‌آوری قرار گیرند”. یعنی صاحبان کسب‌ و کار باید نسبت به اطلاعاتی که در مورد مشتریان خود جمع‌آوری می‌کنند، دقت بیشتری به خرج دهند.

مجموعه مقررات GDPR به این دلیل تنظیم شده‌اند که کاربران از حفاظت شدید داده‌های خود در هر نقطه از اتحادیه اروپا اطمینان حاصل کرده و در صورتی‌که داده‌ها در هر جای اتحادیه اروپا مورد سوءاستفاده قرار گیرند، حق شکایت داشته و می‌توانند خسارت دریافت کنند.

2- شما مسئول حفاظت از اطلاعات شخصی خود در برابر هرگونه آسیب هستید

GDPR جدید در اتحادیه اروپا بر عدم سوءاستفاده و دست‌کاری اطلاعات شخصی جمع‌آوری‌شده توسط اشخاص حقوقی تأکید بسیاری دارد. علاوه بر آن، خود شما نیز باید تنظیمات حریم خصوصی را به‌طور پیش‌فرض در بالاترین سطح امنیتی قرار دهید.

همه کسانی که به‌نوعی به این قوانین مربوط می‌شوند (حتی خود شما) باید خود را در برابر صاحبان داده مسئول و پاسخگو بدانند.

اطلاعات خود را با روش‌های زیر ایمن نگه‌دارید:
حفاظت از سرورها در مقابل حملات هکرهای سایبری که می‌توانند به کامپیوتر شما دسترسی داشته و فایل‌های شما را رمزگذاری کنند.
استفاده از HTTPS به‌صورت پیش‌فرض برای تضمین ایمنی آنلاین شما در تمام وب‌سایت‌هایی که اطلاعات شخصی افراد را جمع‌آوری می‌کنند.
نصب یک آنتی‌ویروس برای محافظت در مقابل حملات هکرهایی که می‌توانند به اطلاعات حساس شما دسترسی پیدا کنند.

3- صاحبان داده حق “به فراموشی سپرده شدن اطلاعات خود از روی سایت” را دارند. (یعنی اطلاعات آن‌ها پس از مدتی از روی سایت محو شود.)

طبق مقررات جدید، هر کس این حق را دارد که از اطلاعات شخصی خود محافظت کند؛ که شامل “حق پاک کردن اطلاعات شخصی” است طوری که به کاربران اجازه می‌دهد اطلاعات شخصی خود را از پایگاه داده، شرکت یا موسسه‌ای حذف کنند. شرایط پاک کردن “شامل داده‌هایی است که به مدت طولانی برای اهداف پردازشی مورد استفاده قرار نگرفته‌اند و یا اطلاعات بدون کاربرد و غلطی هستند.”

این کار تنها در صورتی انجام می‌شود که کنترل‌کننده دارای دلایل جدی برای درخواست شخصی خود، ازجمله عدم انطباق اطلاعات باشد. منطق این ایده چنین است که حریم خصوصی و اطلاعات شخصی افراد، کاملاً محرمانه هستند. به‌ عنوان‌ مثال، اگر یک موسسه اطلاعات قدیمی یا نادرست در مورد یک شخص داشته باشد، می‌تواند از نظر قانونی درخواست حذف داده‌ها را داشته باشد.

در اتحادیه اروپا به‌منظور سازگاری بیشتر با قانون GDPR هر شرکتی باید امکان دسترسی آسان به اطلاعات شخصی کارمندان خود را فراهم کند.

4- کاربران از نظارت کامل بر اطلاعات خود رضایت بیشتری دارند

واضح است که قوانین جدید حفاظت از داده در اتحادیه اروپا به کاربران برای حفاظت از اطلاعات خود قدرت بیشتری می‌دهد. این موضوع برای شرکت‌ها خوب است، اگرچه ممکن است آن‌گونه که به نظر هم می‌رسد، نباشد.

شفافیت بیشتر در قوانین جدید، روابط بین کسب‌ و کار و مشتریان را بهبود بخشیده و درنتیجه سبب ایجاد اعتماد بیشتر و جذب هر چه بیشتر مشتریان می‌شود. قدرت شفافیت و صداقت را دست‌کم نگیرید!

فیس‌بوک ویژگی‌هایی را معرفی می‌کند تا به کاربران اعلام کند زمانی‌که در روند معمول مورد استفاده‌ آن‌ها تغییری ایجاد شود، آن‌ها می‌توانند از داده‌های خود و ایمنی آن اطمینان داشته باشند.

آیا می‌دانستید که قانون جدید حفاظت از داده‌ها عمومی در اتحادیه اروپا قدرت بیشتری را در اختیار کاربران قرار می‌دهد؟

GDPR با امکان کنترل بیشتر بر انتقال اطلاعات به کاربران اجازه می‌دهد اطلاعات شخصی خود را از یک سیستم الکترونیکی به دیگری انتقال دهند. این بدان معنی است که شما، به‌عنوان یک صاحب کسب‌ و کار، باید از جمع‌آوری داده‌ها به‌صورت سازمان‌دهی شده و انتقال آسان اطلاعات به دیگر سیستم‌های الکترونیکی اطمینان حاصل کنید.

در مثال دیگری، گوگل کاربران را برای نظارت بهتر بر اطلاعات جهت بازبینی مسائل امنیتی راهنمایی می‌کند. شما می‌توانید انواع داده‌هایی را که گوگل جمع‌آوری می‌کند، مدیریت کنید و اطلاعات شخصی خود را با دوستانتان به اشتراک بگذارید.

5- مشتریان قادر به تشکیل پرونده‌های قانونی برای پیگیری اطلاعات به خطر افتاده خود خواهند بود

EU GDPR نه‌تنها از حقوق کاربران حفاظت می‌کند، بلکه از آن‌ها دفاع نیز می‌کند. کاربران در صورت درز اطلاعات یا برخی رویدادهای دیگر که اطلاعات شخصی آن‌ها را در معرض خطر قرار می‌دهد، می‌توانند تقاضای پیگرد قانونی کنند.

صاحبان کسب‌ و کار باید این موضوع را بسیار جدی بگیرند، زیرا یک حمله سایبری علاوه بر خسارات سنگین مالی بر شهرت و نام تجاری شرکت نیز تأثیری طولانی‌ مدت می‌گذارد.

6.شما مسئول جلب رضایت و ارتباط صحیح با کاربر هستید

مقررات جدید EU GDPR باعث جلب رضایت کاربران شده است و شرکت‌ها باید برای جمع‌آوری داده‌های مشتریان رضایت صریح آن‌ها را جلب کنند. GDPR بیان می‌کند: “برای جلب رضایت مشتریان فرم‌های جمع‌آوری اطلاعات باید قابل‌فهم و دسترسی، با زبانی واضح و ساده ارائه شوند.”

اگر شما صاحب کسب‌ و کاری هستید، حق دخالت در ارائه نظر کاربر خود را ندارید همچنین کاربر می‌تواند در صورت عدم رضایت از سیستم جمع‌آوری داده، نظر خود را صراحتاً اعلام کند.

علاوه بر این، مشتریان می‌توانند در هر مرحله رضایت خود را از سیستم اعلام کنند.

7- ارائه گزارشی فوری در رابطه با درز اطلاعات خصوصی کاربران به بیرون اجباری است

طبق قانون GDPR، مسئولان کنترل اطلاعات شخصی موظف‌اند در صورت درز اطلاعات به بیرون بدون هیچ‌گونه تأخیری حداکثر ظرف مدت 72 ساعت به مقامات اطلاع‌رسانی کنند.

صاحبان کسب‌ و کار، از لحاظ قانونی باید به مشتریان خود دلایل درز اطلاعات را ارائه دهند. اما این سیاست هیچ محدودیت و تاریخ انقضایی برای این موضوع ذکر نکرده است.

در گذشته، بسیاری از شرکت‌ها سعی در مخفی نگه‌داشتن راز درز اطلاعات به بیرون را داشتند تا زمانی که دیگر نمی‌توانستند حقیقت را پنهان کنند. آن‌ها میزان درز آمار و ارقام و اطلاعات به سرقت رفته را ردیابی کردند و بر اساس همین آمار، رفتار و ثبات شرکت‌ها مشخص می‌شد. GDPR اتحادیه اروپا قصد دارد با ایجاد تحول در این امور از اجرای همه اقدامات پیشگیرانه حفاظت از داده‌ها اطمینان حاصل کند و اگر یک نقص امنیتی منجر به درز اطلاعات شود، شرکت‌ها موظف‌اند اثرات افشای اطلاعات را برای کاربران آشکار کرده و تا حد ممکن آن اثرات را کاهش دهند.

8- مجازاتی شدید در انتظار شرکت‌ها و سازمان‌ها در صورت سرپیچی از قوانین GDPR اتحادیه اروپا

هرچند مقررات حفاظت از اطلاعات عمومی به‌عنوان مجموعه‌ای از توصیه‌های کاربردی مطرح‌شده‌اند ولی این قوانین اعمال خواهند شد و بر هر قانون دیگری در این زمینه تأثیر خواهند داشت. کمیسیون اروپا جرائم سنگینی را برای سرپیچی و عدم هماهنگی سازمان‌ها با این قوانین، وضع کرده است.

در اینجا با چند مورد از مجازات‌هایی که می‌توانند اعمال شوند، آشنا می‌شوید:

برای بار اول هشدار کتبی به دلیل عدم رعایت و ناهماهنگی غیرعمدی با این قوانین.
بار دوم بازرسی از داده‌های قانونی.
و در صورت تکرار؛ جریمه تا 20 میلیون یورو یا 4 درصد از گردش مالی سالانه.

9- انتقال اطلاعات شخصی به خارج از اتحادیه اروپا اکنون قانونی شده است

در GDPR انتقال اطلاعات شخصی در سطح بین‌المللی نیز تنظیم شده و از لحاظ قانونی مشکلی ندارد و این قانون “‌تمام کشورهای اتحادیه اروپا و همچنین کشورهای غیر اتحادیه اروپا ایسلند، لیختن‌اشتاین و نروژ‌” را شامل می‌شود.

سه بند مهم از توافق‌نامه میان اتحادیه اروپا و ایالات‌متحده که با عنوان “EU-US Privacy Shield” (فهرست سیاست‌های بین اتحادیه اروپا و ایالات‌متحده)، شناخته‌شده در زیر آمده است:

تعهد محکم و تضمینی شرکت‌ها در قبال اطلاعات شخصی اروپایی‌ها و پایبندی به آن تعهدات.
ضمانت و تعهدات شفاف دولت ایالات‌متحده به دسترسی‌هایی که دارد.
حفظ حقوق شهروندان اتحادیه اروپا از طریق ایجاد فرصت‌های جبران خسارت.
درنتیجه، اگر شرکت شما با اشخاص حقوقی در اتحادیه اروپا و ایالات‌متحده، در ارتباط است باید از تمامی قوانین GDPR برخوردار باشد.

طبق EurActiv، نظرسنجی‌های مربوط به حریم خصوصی در اروپا، چندین شکایت در خصوص قراردادی مبتنی بر انتقال اطلاعات شخصی با ایالات‌متحده دریافت کردند و اولین بررسی این توافقنامه در تاریخ 18 سپتامبر 2017 صورت گرفت. تعدادی از کارشناسان کمیسیون اروپا به این بررسی پیوستند.

10- شرکت‌ها باید یک افسر برای حفاظت از داده‌ها تعیین کنند

“هر جا که پردازش داده‌ها توسط یک مقام دولتی، یک شرکت (کنترل‌کننده یا پردازنده) و یا کسی که فعالیت اصلی او عملیات پردازشی است انجام می‌شود و نیاز به نظارت منظم بر داده‌ها دارد”، یک افسر حفاظت از اطلاعات (DPO) موردنیاز است.

پارلمان اروپا به‌منظور داشتن یک افسر حفاظت از داده نیاز به یک سازمان و یا شرکتی دارد که طی یک دوره 12 ماهه داده‌های بیش از 5000 فرد را پردازش کند.

از یک متخصص حفاظت از داده انتظار می‌رود:
در مدیریت فرایندها و منابع فناوری اطلاعات مهارت کافی داشته باشد؛
در امنیت اطلاعات، به‌خصوص در زمینه‌های مربوط به امنیت سایبری (حملات سایبری، حفاظت از داده‌ها در مقابل هکرهای سایبری و …) مهارت لازم را داشته باشد.
درک و توانایی لازم در مسائل مربوط به ذخیره‌سازی و پردازش اطلاعات حساس و درنتیجه تداوم کسب‌ و کار را داشته باشد.با اجرایی شدن مقررات حفاظت از داده در ماه مه 2018، کارشناسان، نظرات و تجربیات خود را در مورد کار با مشتریان برای آمادگی در اجرای GDPR به اشتراک می‌گذارند.

پردازش داده‌های کاربران بدون اجازه آن‌ها ممنوع!

آماده‌سازی برای هماهنگی و سازگاری با قوانین GDPR یک فرآیند پیچیده است که نیاز به یک عملکرد گام‌به‌گام برای شرکت‌ها و کاربران دارد. این مقررات جدید برای شهروندان اتحادیه اروپا بسیار مورد نیازند درحالی‌که ممکن است در چارچوب عمل به آن نیز مشکلاتی ایجاد شود.

فرایند انتخاب یک افسر حفاظت از داده به یک کادر جدید اداری نیاز ندارد، چراکه یک شرکت خود می‌تواند بعضی از وظایف این افسر را به‌صورت خودکار و با صرفه‌جویی در زمان (و پول) انجام دهد.
سازمان‌ها باید بیشتر بر جنبه‌های حقوقی، رسیدگی به فرآیندهای کسب‌ و کار و زیرساخت‌های IT به‌منظور تطابق کامل با مقررات جدید تمرکز داشته باشند.
جنبه قانونی جمع‌آوری داده‌ها و اجرای استانداردها برای اطمینان از حفظ حریم خصوصی اطلاعات برای شرکت‌ها چالش‌ برانگیز است. با قوانین GDPR جدید، آن‌ها باید جدی‌تر راجع به جمع‌آوری میزان اطلاعاتی که به‌اصطلاح “اطلاعات تاریک” نامیده می‌شوند و همچنین هماهنگی آن‌ها با قوانین GDPR فکر کنند.
به‌منظور آمادگی در اجرای مقررات جدید و افزایش سطح آگاهی سازمان‌ها در زمینه امنیت سایبری باید برنامه‌هایی در همین راستا در نظر گرفته شوند.
پیاده‌سازی EU GDPR سبب ایجاد تغییرات داخلی در سیستم خواهد شد. بنابراین داشتن برنامه‌های قبلی ضروری است، که درنتیجه شما می‌توانید تصمیمات درست بگیرید و به‌هیچ‌وجه شتاب‌زده عمل نکنید.
فقدان دانش امنیت سایبری و کمبود متخصصان در این زمینه برای شرکت‌هایی که در حال رویارویی با مقررات جدید هستند، هزینه‌بر می‌باشد. برخی از شرکت‌های سرمایه‌دار قصد استخدام افراد متخصص در این زمینه را داشته درحالی‌که تعداد این افراد به‌اندازه کافی نیست. شرکت‌های کوچک‌تر، به‌خصوص SMBها، نیاز به آموزش کارکنان خود داشته تا بتوانند نقش افسر اطلاعات را ایفا کنند و این خود باعث تحمیل فشار بیشتر بر شرکت‌ها می‌شود.

در قوانین پیشین، شرکت ها می توانستند داده های کاربران را پردازش کنند و این موضوع مسئولیستی را نیز برای آنها ایجاد نمی کرد، ولی تحت GDPR موضوع متفاوت خواهد بود، شرکت های باید به صورت شفاف گزارش کنند که چه پردازش هایی به چه منظور انجام می شود و اینکه از نتایج قرار است به چه منظور استفاده شود. همچنین مجازات عدم رعایت قوانین GDPR هزینه ای سنگین برای آنها خواهد داشت و این خطر نیز وجود خواهد داشت که در پرونده های مدنی درگیر شوند که این موضوع آسیب پذیری آنها را در خصوص احتمال شکست در پرونده های مختلف را بالا خواهد برد.

در اطلاعات منتشر شده در خصوص شرکت هایی که دارای کاربران زیادی در سراسر دنیا هستند (به خصوص شرکت های حوزه فناوری اطلاعات)، گاها دیده می شود که درز اطلاعات بخشی یا کل اطلاعات پایگاه داده شان را در زمانی که رخ می دهد، گزارش نمی کنند و چندی بعد این موضوع به صورت اتفاقی در رسانه ای منتشر می گردد ( مانند درز اطلاعات شرکت یاهو و فیس بوک سال ۲۰۱۷ ) زیرا در آن زمان اگر موضوعی این چنینی گزارش شود، اعتبار برند و قیمت سهام آنها با چالش روبرو خواهد شد، که تحت قوانین GDPR شرکت ها موظف هستند به محض رخداد رویدادی مانند درز اطلاعات به صورت غیر مجاز (مانند هک شدن و یا از دست دادن اطلاعات و …) آن را سریعا گزارش کنند تا شامل جریمه های بسیار سنگین این قانون نشوند.

قانون GDPR چه تاثیراتی خواهد داشت؟

هرچند این قانون کار شرکت‌های بزرگی مانند گوگل و فیسبوک را از گذشته سخت‌تر می‌کند، اما در حقیقت این شرکت‌های کوچک هستند که برای تبعیت از این قانون با مشکلات بسیار بزرگ‌تری مواجه می‌شوند؛ زیرا تبعیت از این قوانین هزینه‌های زیادی را بر شرکت‌ها تحمیل می‌کند. در این میان غول‌های بزرگ تکنولوژی مشکلی در این زمینه ندارند، اما شرکت‌های کوچک نمی‌توانند از پس این هزینه‌ها بربیایند.

برخی از سازنده‌های بازی‌های آنلاین اعلام کرده‌اند که برای جلوگیری از دردسرهای متعدد، دسترسی کاربران اروپایی به بازی‌های خود را مسدود می‌کنند. بر اساس نظر بسیاری از متخصصین، چنین قوانینی هرچند به‌نفع کاربران اروپایی است، اما منجر به حذف شدن تعداد بسیاری زیادی از شرکت‌های کوچک و قدرتمندتر شدن شرکت‌های بزرگ می‌شود.

آغاز به کار و اجرای EU GDPR می‌تواند به شرکت‌ها و سازمان‌ها برای صرفه‌جویی در زمان و هزینه کمک کند. تغییر در شیوه جمع‌آوری داده‌ها و مدیریت آن‌ها در یک شرکت می‌تواند یک روند طولانی باشد، بنابراین سریع‌تر شروع به برنامه‌ریزی کنید.

یک راه‌حل مناسب برای کاهش خطرات مربوط به حملات سایبری، استفاده از یک نرم‌افزار فعال امنیتی سایبری است. این روش به شما کمک خواهد کرد تا هرلحظه اطلاعات دقیقی را در مورد خطرات دریافت کنید و آن‌ها را به‌منظور جلوگیری از ایجاد شکاف‌های امنیتی از بین ببرید.

آموزش کارکنان درزمینه امنیت سایبری می‌تواند یکی از بهترین سرمایه‌گذاری‌های انجام شده توسط یک شرکت باشد. برای تحقق این امر می‌توان از بسیاری از منابع آموزشی رایگان مانند دوره‌های امنیتی سایبری نیز استفاده کرد. مقررات جدید اتحادیه اروپا برای تقویت حفاظت از اطلاعات عمومی شهروندان اتحادیه اروپا ایجادشده و شرکت‌ها باید پیش از اجرایی شدن آن آماده‌ شده و از وقوع حوادث جدی و هزینه‌بر جلوگیری کنند.