با کمتر از 2 ماه قبل از مقررات عمومی حفاظت از داده ها (GDPR) لازم الاجرا شدن روی در 25 می، ده‌ها هزار کسب‌وکار به طرز تاسف‌باری آماده نیستند، و بسیاری از کسب‌وکارهای خارج از اتحادیه اروپا متوجه نمی‌شوند که GDPR برای آنها نیز اعمال می‌شود. این قوانین که توسط اتحادیه اروپا (EU) برای محافظت از حریم خصوصی داده‌های اروپایی‌ها تصویب شده است، برای هر کسی، از پیتسبورگ تا پرتوریا، که در جمع‌آوری، ذخیره‌سازی یا مدیریت آن داده‌ها دخیل هستند، اعمال می‌شود. رویکرد پان اروپایی برای محافظت از داده های اروپایی طراحی شده است، اما ماهیت جهانی وب به این معنی است که GDPR استانداردی را برای حفظ حریم خصوصی داده ها در سراسر جهان ایجاد می کند. جریمه‌های مالی عدم تطابق فوق‌العاده شدید است: تا 20 میلیون یورو یا 4 درصد از گردش مالی جهانی (هر کدام بیشتر باشد) در هر تخلف. اما GDPR نباید به عنوان مانعی برای تجارت تلقی شود، بلکه مجموعه ای از بهترین شیوه های بسیار مورد نیاز برای روش جمع آوری و مدیریت داده ها است. (pullquote)ماهیت جهانی وب به این معنی است که GDPR استانداردی را برای حفظ حریم خصوصی داده ها در سراسر جهان ایجاد می کند(/pullquote) GDPR از داده های یک فرد مانند نام محافظت می کند. حتی از داده های حساس مانند مذهب یا سیاست محافظت بیشتری می کند. این ممکن است در کشوری که آزادی مذهب طبق قانون اساسی اجباری شده است، بیش از حد رسمی به نظر برسد، اما حوزه های قضایی متعددی وجود دارند که در آنها می توان فردی را به دلیل داشتن عقاید «اشتباه» زندانی، شکنجه و اعدام کرد. نزدیک به خانه، به نظر می رسد به طور فزاینده ای محتمل است که بهره برداری از داده های فیس بوک توسط شرکت هایی از جمله کمبریج آنالیتیکا یک عامل تعیین کننده در چندین نتایج انتخابات شوکه کننده باشد. اگر GDPR دو سال زودتر معرفی می شد، ممکن بود یک زن در دفتر بیضی شکل حضور داشته باشد و بریتانیا ممکن است به عنوان یک کشور عضو اتحادیه اروپا ادامه دهد. انگیزه شما برای رعایت GDPR هرچه که باشد، اطمینان از اینکه وب سایت شما با این بهترین شیوه ها مطابقت دارد، بسیار ساده تر و ارزان تر از عدم انطباق است.

ماهیت GDPR به این معنی است که مشاغل مختلف به روش های مختلف تحت تأثیر قرار می گیرند، هیچ مسیر یکسانی برای انطباق وجود ندارد. این مقاله توصیه حقوقی نیست و نباید چنین تفسیر شود. اگر شک دارید، با تنظیم کننده خود یا یک متخصص حقوقی واجد شرایط در حوزه قضایی خود مشورت کنید.

GDPR چیست؟

وب مدرن اجرا می شود روی داده ها، نه فقط محتوای تولید شده سایت، بلکه اطلاعات کاربر. این همه چیز را از پست های رسانه های اجتماعی گرفته تا نمودارهای تجارت الکترونیکی قدرت می دهد. به عنوان متخصصان وب، ما شدیداً به مجموعه ای جامع از بهترین شیوه ها نیاز داریم که اطمینان حاصل کند که انسان ها توسط پیشرفت فناوری کنار نمی روند. این بهترین شیوه ها همان چیزی است که GDPR به ما می دهد. بخشی از دلیل اینکه پیروی از GDPR برای تجارت سنگین به نظر می رسد این است که ما قبلاً در دفاع از حریم خصوصی کاربران بسیار سهل انگار بوده ایم. بسیاری از قوانین فعلی قدمتی ربع قرن دارند. GDPR قوانین حفظ حریم خصوصی را وارد قرن بیست و یکم می کند. با اطمینان از اینکه سایت، SaaS یا برنامه شما مطابق با GDPR است، نشان می دهید که حریم خصوصی کاربران خود را جدی می گیرید. GDPR به شما کمک می کند تا با کاربران خود اعتماد ایجاد کنید و هنگامی که کاربران به شما اعتماد کردند، مایل به افشای داده های بیشتری خواهند بود. تقویت پیوند بین برند و مشتریانتان GDPR مجموعه ای هوشمندانه از مقررات است که داده های همه را ایمن تر می کند، وب شادتر و کمتر پارانوئیدی ایجاد می کند و به ایجاد زمینه برای مدیریت داده ها در آینده کمک می کند.

چه داده هایی محافظت می شوند؟

دو نوع اصلی از داده ها وجود دارد که GDPR ما را ملزم به محافظت از آنها می کند: شخصی و حساس. داده های شخصی هر داده ای است که به یک شخص قابل شناسایی مربوط می شود. نام، آدرس ایمیل، موقعیت مکانی، داده‌های بیومتریک، شناسه‌های آنلاین مانند نام‌های کاربری، همگی به عنوان داده‌های شخصی واجد شرایط هستند. داده‌های حساس به هر چیزی گفته می‌شود که اتحادیه اروپا آن را خصوصی‌تر از یک نام تشخیص می‌دهد. منشأ اخلاقی، مذهب، ترجیحات جنسی، سیاست، هر گونه سابقه جنایی، همه داده های حساس در نظر گرفته می شوند. داده‌های حساس تحت GDPR بیشتر محافظت می‌شوند و جریمه‌های ناتوانی در محافظت از آن بسیار بالاتر است. چیزی که هنوز مشخص نیست این است که چه زمانی داده های شخصی به داده های حساس تبدیل می شوند. این تصمیم احتمالا توسط رگولاتورها گرفته خواهد شد روی به صورت موردی به عنوان مثال، یک آدرس ایمیل داده های شخصی است، اما اگر آدرس ایمیل شما “hilaryfan65915795@…” است، می توان سیاست های شما را استنباط کرد، که آن را به داده های حساس ارتقا می دهد. GDPR برای داده‌هایی که می‌توان از منابع مختلف استنباط یا جمع‌آوری کرد، پیش‌بینی می‌کند. اگر یک موجود مخرب بتواند از داده هایی که در اختیار دارید، مانند یک آدرس IP، برای پیوند دادن داده های حساس نگهداری شده استفاده کند روی سایت دیگری به یک فرد خاص، پس شما در به خطر انداختن داده های حساس آن کاربر، حتی اگر خودتان اطلاعات حساس را نگه ندارید، کمک کرده اید. بهترین روش این است که هرگز اطلاعات بیشتری از آنچه نیاز دارید درخواست نکنید – هر چه داده های کمتری در اختیار داشته باشید، کمتر از دست خواهید داد.

حقوق کاربر تحت GDPR

GDPR حقوق صاحبان داده ها را در اولویت قرار می دهد. در هر شرایطی که در نظر دارید اطلاعات کاربر را درخواست کنید، ابتدا از خود بپرسید: این موضوع چگونه بر حقوق مالک تأثیر می گذارد؟ GDPR حقوق رسمی زیر را که صاحبان داده دارند مشخص می کند:

1. حق مطلع شدن؛
2. حق دسترسی؛
3. حق اصلاحات؛
4. حق حذف داده ها؛
5. حق محدود کردن پردازش؛
6. حق انتقال داده ها؛
7. حق اعتراض؛
8. حق قرار نگرفتن در معرض تصمیم گیری خودکار.

با این حال، گردآورندگان داده نیز حقوقی دارند. به عنوان مثال، تصور کنید کاربری در خبرنامه شما مشترک شده است. بعداً، آن کاربر تصمیم می گیرد که دیگر مایل به دریافت خبرنامه نیست و اشتراک خود را لغو می کند. بدون استثنا باید آدرس ایمیل آن کاربر را برای همیشه پاک کنید. با این حال، اگر زمانی که کاربر مشترک شد، آدرس IP او را برای تأیید رضایت او ثبت کردید (همانطور که باید)، شما حق دارید آن داده ها را برای نشان دادن انطباق با GDPR کسب و کار خود حفظ کنید.

GDPR برای چه کسانی اعمال می شود؟

GDPR برای داده‌هایی اعمال می‌شود که در اروپا جمع‌آوری، پردازش و/یا ذخیره می‌شوند، صرفنظر از اینکه داده‌ها کجا جمع‌آوری شده‌اند. اگر شما یک خبرنامه دارید و یک اروپایی در آن مشترک می شود، GDPR برای شما اعمال می شود. (pullquote) اگر داده های شخصی را به خارج از اتحادیه اروپا منتقل می کنید، باید رضایت صریح را برای این کار دریافت کنید (/pullquote) یکی از عوارض مهم GDPR این است که انتقال داده ها به خارج از اتحادیه اروپا را به هر کشوری که اتحادیه اروپا انجام نمی دهد ممنوع می کند. به نظر می رسد که قوانین حفاظت از داده ها کافی است. در زمان نگارش مقاله، چندین کشور از جمله آرژانتین و نیوزلند این استاندارد را رعایت می کنند. ایالات متحده و کانادا قوانین حفظ حریم خصوصی تا حدی کافی دارند. اگر داده‌های شخصی را برای پردازش یا ذخیره‌سازی به خارج از اتحادیه اروپا منتقل می‌کنید، باید رضایت صریح این کار را از کاربر صاحب داده‌ها دریافت کنید. با توجه به ماهیت چند حوزه قضایی وب و فناوری هایی مانند CDN ها، عاقلانه است که فرض کنیم در مقطعی از زمان، داده هایی که جمع آوری و ذخیره می کنید، به خارج از اتحادیه اروپا و کشورهای مورد تایید آن منتقل می شوند. بنابراین هر مجوز دیگری که از کاربران خود بخواهید، توصیه می شود همیشه مجوز نگهداری داده های آنها را در خارج از اتحادیه اروپا دریافت کنید.

مراحل عملی برای رعایت GDPR

مهم است که درک کنید که این مسئولیت تنظیم کننده اتحادیه اروپا نیست که عدم انطباق شما را ثابت کند—آنها مجبور نیستند شما را سرزنش کنند. این وظیفه قانونی شماست که ثابت کنید که از این قانون پیروی می کنید و عدم رعایت آن به خودی خود عدم رعایت است. (ساده ترین راه برای نشان دادن انطباق با GDPR، رعایت استاندارد ISO 27001 است. با این حال، رعایت این استاندارد مستلزم سطح امنیتی بسیار بالاتری نسبت به اکثر مشاغل کوچک است.)

اتخاذ حریم خصوصی با طراحی

اصول GDPR با رویکرد Privacy By Design (PBD) تعریف می شود. PBD این نگرش را اتخاذ می کند که حریم خصوصی با انطباق قانونی تضمین نمی شود، بلکه باید به عنوان رویکرد پیش فرض سازمان اتخاذ شود. PBD اولین بار توسط کمیسر اطلاعات و حریم خصوصی انتاریو، دکتر آن کاووکیان، بیش از بیست سال پیش پیشنهاد شد. در سال 2010، کمیسیون‌های بین‌المللی حفاظت از داده‌ها و حریم خصوصی به اتفاق آرا به شناسایی PBD به عنوان یک جزء ضروری از سیاست حفظ حریم خصوصی رأی دادند. در سال 2012 کمیسیون تجارت فدرال ایالات متحده PBD را به عنوان یک عمل توصیه شده به رسمیت شناخت. PBD معتقد است که حریم خصوصی، پس از از دست رفتن، قابل بازیابی نیست، و بنابراین باید تهدیدات حریم خصوصی را پیش بینی کرد و از آن جلوگیری کرد. PBD با هفت اصل تعریف می شود:

1. فعال باشید: PBD پیشگیرانه است، نه اصلاحی. به طور خلاصه، قفل کردن در اصطبل وقتی اسب پیچ شد بیهوده است.
2. حریم خصوصی به طور پیش فرض: کاربر نباید هیچ اقدامی برای اطمینان از حریم خصوصی انجام دهد. اگر کاربر هیچ کاری انجام ندهد، داده های او به عنوان خصوصی تلقی می شود.
3. قرار دادن حریم خصوصی در طراحی: حریم خصوصی به عنوان یک فکر بعدی به یک سیستم اضافه نمی شود، بلکه جزء جدایی ناپذیر هر محصول یا سیستمی است.
4. حریم خصوصی عملکرد را محدود نمی کند: PBD این ایده را رد می کند که هر گونه استفاده مشروع از داده ها نیاز به به خطر انداختن حریم خصوصی دارد.
5. حریم خصوصی کامل زندگی: PBD کل چرخه زندگی یک قطعه داده را از زمانی که جمع آوری می شود، در طول ذخیره سازی آن تا زمانی که برای همیشه از بین می رود، پوشش می دهد.
6. حریم خصوصی شفاف: استانداردهای حریم خصوصی کاملاً شفاف هستند، بنابراین هر کسی که از محصول یا سیستم استفاده می کند به وضوح می داند که چگونه از داده های خود محافظت می شود.
7. حریم خصوصی کاربر محور است: PBD در مورد احترام به حریم خصوصی افراد است، صاحب داده ها باید اولویت اول باشد.

یکی از مفاهیم اصلی GDPR این است که نه تنها باید PBD پیاده سازی شود، بلکه باید PBD خود را به طور کامل مستند کنید. process. اگر به اندازه کافی بدشانس هستید که مجبور هستید نقض داده را به تنظیم کننده خود گزارش دهید، مستندات رویکرد PBD شما مبنای تحقیقات تنظیم کننده و تصمیم آن در مورد گناهکاری شما است. بخش قابل توجهی از این اسناد، ارزیابی تأثیر حریم خصوصی شما است.

نوشتن یک ارزیابی تاثیر حریم خصوصی

یکی از مؤلفه‌های اصلی PBD، و الزام انطباق با GDPR، ارزیابی تأثیر حریم خصوصی (PIA) است. هر محصول دیجیتالی باید دارای PIA باشد. در حالت ایده‌آل PIA یک سند زنده است که با ابداع یک محصول رشد می‌کند (مطابق با اصل سوم PBD)، اما شما می‌توانید آنها را به صورت گذشته برای محصولات موجود بنویسید. هدف PIA مستندسازی تهدیدات حریم خصوصی در سیستم شما و اقداماتی است که برای مبارزه با آنها انجام داده اید. این در اصل یک چک لیست شخصی شده از مسائل مربوط به حریم خصوصی است و می تواند به عنوان یک نقشه راه برای محافظت از حریم خصوصی کاربران شما دیده شود. هیچ چک لیست استانداردی برای PIA وجود ندارد، زیرا هر پروژه منحصر به فرد است، اما برخی از روش های توصیه شده وجود دارد که می توانید آنها را دنبال کنید. اگر پروژه شما آن را تضمین می کند، از افزودن جزئیات اضافی نترسید.

1. نیاز به PIA را شناسایی کنید: چرا یک PIA می نویسید؟ محدوده پروژه خود را شرح دهید. توضیح دهید که چه داده هایی احتمالا مورد نیاز است. توضیح دهید که انتظار دارید آن داده ها چقدر حساس باشند.
2. جریان های داده مورد انتظار را مستند کنید: کاربران چگونه داده ها را افشا می کنند، چگونه منتقل و ذخیره می شوند، آیا پردازش می شوند و اگر چنین است چگونه؟ هر کسی که از داده ها استفاده می کند، از جمله مدیریت و توسعه دهندگان را شناسایی کنید. حدس و گمان روی استفاده های آینده از داده ها، ممکن است در آینده برای چه چیزی مورد استفاده قرار گیرد؟ چه مدت داده ها ذخیره می شوند؟ چگونه کاربر می تواند داده های خود را اصلاح یا حذف کند؟
3. فرآیندهای رضایت سند: چگونه رضایت کاربر را ثبت می کنید؟ چگونه رضایت را تأیید می کنید؟ اگر رضایت صریحاً داده نشود، آیا مبنای قانونی برای جمع آوری داده ها قابل توجیه است؟
4. شناسایی خطرات: خطرات ناشی از داده ها برای افراد چیست؟ آیا داده های غیر ضروری جمع آوری می شود؟ آیا از داده ها بک آپ گرفته شده است، آیا بک آپ ها از امنیت یکسانی برخوردار هستند؟ چه کسی به داده ها دسترسی دارد، کارآموزان چطور، اشخاص ثالث چطور؟ اگر داده ها گم شوند، اصلاح شوند، فاش شوند، سوء استفاده شوند چه؟ هرگونه خطر از جمله عوارض قانونی و از دست دادن شهرت را ارزیابی کنید.
5. شناسایی راه حل ها: روش هایی برای کاهش و در صورت امکان از بین بردن خطرات حریم خصوصی ابداع کنید. هزینه راه حل ها را از نظر زمان و سرمایه گذاری ارزیابی کنید. چگونه راه حل ها بر حریم خصوصی کاربر و پروژه تأثیر می گذارد؟ آیا رویه های مناسبی برای رسیدگی به نقض داده ها وجود دارد؟ آیا رویه های مناسبی برای رعایت فرآیندهای قانونی مانند حکم دادگاه برای افشای اطلاعات وجود دارد؟
6. ادغام راه حل ها در پروژه را مستند کنید: اطمینان حاصل کنید که راه حل های شناسایی شده در پروژه تعبیه شده است. PIA را به روز کنید تا تغییرات فنی مورد نیاز را منعکس کند.

به ساخت ادامه دهید روی و PIA را در طول عمر محصول خود گسترش دهید. طبق اصل چهار PBD، حفاظت از حریم خصوصی هیچ گونه استفاده قانونی از داده های کاربر را به خطر نمی اندازد. اگر از طریق توسعه PIA یک خطر غیرقابل قبول یا غیرقابل حل برای حریم خصوصی ظاهر شود، باید دوام پروژه را زیر سوال ببرید.

تعیین یک افسر حفاظت از داده ها

سازمان‌های بزرگ و هرگونه پردازش انواع خاصی از داده‌ها (برای مثال بانک‌ها) باید یک افسر حفاظت از داده‌ها (DPO) را منصوب کنند که نقش آن اطمینان از مطابقت سازمان با GDPR است. شرکت های کوچکتر از انتصاب DPO رسمی معاف هستند. به عنوان مثال، اگر شما یک رستوران را اداره می کنید، معمولاً نیازی به تعیین یک DPO رسمی ندارید، با این حال، اگر یک کسب و کار تحویل کالا از آن رستوران را اداره می کنید و نگه می دارید روی داده‌های حساس مانند آلرژی‌ها (که داده‌های پزشکی را تشکیل می‌دهند) یا ترجیحات غذایی (به ویژه اگر این اولویت‌ها مذهبی باشند) را تقریباً مطمئناً به DPO نیاز خواهید داشت. کشورهای عضو مختلف در اتحادیه اروپا الزامات DPO را متفاوت توصیف می کنند، بنابراین عاقلانه است که بررسی شود. صرف نظر از الزامات قانونی، همیشه توصیه می شود که یک نقطه تماس داشته باشید که بتواند تلاش های حفظ حریم خصوصی را در سراسر سازمان شما هماهنگ کند.

GDPR همه چیز درباره رضایت است

گفتن این موضوع در سال 2018 فوق العاده به نظر می رسد، اما فقدان «نه» به معنای «بله» نیست. طبق اصل 2 PBD، میل به حریم خصوصی باید به طور پیش فرض فرض شود. طبق اصل 4 PBD، شما نمی توانید بگویید که یک کاربر تنها در صورتی می تواند از سیستم استفاده کند که رضایت خود را برای به خطر انداختن حق حریم خصوصی خود داشته باشد. کاربران حق رضایت دارند، اما حق عدم رضایت را نیز دارند. هرگز کاربران را برای رضایت فریب ندهید. آن خطوط منفی دوگانه، سه‌گانه و چهارگانه اسفناکی که برای گیج کردن کاربران برای علامت زدن یک کادر و برداشتن علامت دیگری طراحی شده‌اند، تحت GDPR قابل قبول نیستند. کاربران باید دقیقاً بفهمند که از آنها خواسته می‌شود چه چیزی را فاش کنند، چرا از آنها خواسته می‌شود آن را افشا کنند، چگونه ایمن می‌شود، و چگونه می‌توانند رضایت دهند (یا نه). تحت GDPR، رضایت به دقت تعریف شده است تا اطمینان حاصل شود که حقوق کاربران محافظت می شود:

1. رضایت باید صریح، قابل تأیید و آزادانه باشد: شما نمی توانید کاربر را فریب دهید یا تحت فشار قرار دهید تا رضایت دهد. چک باکس از قبل علامت زده شده به منزله رضایت نیست.
2. رضایت باید به زبان ساده درخواست شود: شما باید دلایل معقولی داشته باشید که باور کنید کاربران شما رضایتی را که از آنها خواسته می شود درک می کنند.
3. رضایت کودک زیر 16 سال برای خدمات دیجیتالی مستلزم رضایت والدین است: برخی از کشورهای اتحادیه اروپا این تعداد را به 13 کاهش می دهند، اما اشتباه می کنند روی طرف احتیاط توجه داشته باشید که اگر از کودکان رضایت می گیرید، درخواست رضایت باید به زبانی نوشته شود که هم کودک و هم سرپرست او می فهمند.
4. رضایت باید جزئی باشد: کاربران ممکن است مایل باشند که شما داده های آنها را حفظ کرده و از آنها استفاده کنید، اما مایل نباشند که شما آن را ارسال کنید روی به اشخاص ثالث هرگز به مجوزهای عمومی نیاز نداشته باشید. شما نمی توانید از متن کلاسیک “با بازدید از این سایت موافقت می کنید …” استفاده کنید.

اگر رضایتی که از کاربران خود به دست می آورید با هر یک از این شرایط مطابقت نداشته باشد، بدون در نظر گرفتن نیت کاربران، تلقی می شود که رضایت ندارید.

نوشتن بیانیه حریم خصوصی عمومی

اکثر وب‌سایت‌ها شامل بیانیه حفظ حریم خصوصی عمومی هستند، اما رعایت GDPR به بیانیه حریم خصوصی بسیار خاص‌تری نسبت به آنچه قبلاً منتشر کرده‌اید نیاز دارد. به منظور مطابقت با اصول 6 و 7 PBD، سایت، برنامه یا سرویس شما باید یک بیانیه حریم خصوصی عمومی (PPS) داشته باشد که به زبان ساده نوشته شده باشد و شما به طور منطقی از کاربران خود انتظار درک آن را داشته باشید. PPS شما باید شامل اطلاعات زیر باشد:

1. چه داده هایی را جمع آوری می کنید: اطمینان حاصل کنید که همه داده‌هایی را که جمع‌آوری می‌کنید، نه فقط واضح‌تر، درج می‌کنید. شامل آدرس های IP ، منطقه های زمانی ، زبانهای پیش فرض ، همه چیز.
2. چرا آن داده ها را جمع آوری می کنید: برای هر بخش از داده ها، توضیح دهید که چرا آن را جمع آوری می کنید، و چرا جمع آوری آن را معقول و ضروری می دانید.
3. چه داده هایی مورد نیاز است: هر داده ای را که به صورت قراردادی یا عملی مورد نیاز است فهرست کنید. به عنوان مثال، اگر آدرس ایمیل کاربر به جای نام کاربری مورد نیاز است، آن را بگویید.
4. داده ها را با کدام شخص ثالث به اشتراک می گذارید: تحت GDPR نمی‌توانید یک بیانیه کلی درباره اشتراک‌گذاری با اشخاص ثالث ارسال کنید، باید مشخص کنید کدام شخص ثالث، و چه داده‌هایی با هر شخص ثالث به اشتراک گذاشته می‌شود، و برای چه هدفی.
5. از کجا اطلاعات دیگری دریافت می کنید: اگر داده‌ها را از جاهای دیگر جمع‌آوری می‌کنید، چه چیزی را وارد می‌کنید، از کجا و چگونه از آن استفاده می‌کنید؟
6. چه مدت داده ها را نگه دارید: در مورد مدت زمانی که داده ها وجود خواهند داشت مشخص باشید روی سیستم شما آیا به محض اینکه کاربر دیگر مشتری نیست، داده ها را حذف خواهید کرد؟ اگر قصد دارید داده ها را به طور نامحدود نگهداری کنید، این را بگویید.
7. چگونه کاربر می تواند حقوق خود را استناد کند: توضیح دهید که چگونه کاربر می تواند اطلاعاتی را که شما در اختیار دارید کشف کند و چگونه کاربر می تواند درخواست به روز رسانی یا حذف داده ها را بدهد.

ارائه ضمانت‌هایی مانند «ما داده‌های شما را با هیچ شخص ثالثی به اشتراک نمی‌گذاریم» معمول است، اما برای اکثر شرکت‌ها نادرست است. چه تجزیه و تحلیل باشد، چه میزبانی شخص ثالث، ما حجم فوق العاده ای از داده ها را به اشتراک می گذاریم روی GDPR به نمایندگی از کاربران ما از ما می خواهد که مسئولیت آن را بپذیریم. قول هایی ندهید که نمی توانید به آنها عمل کنید.

GDPR برای طراحان وب به چه معناست

راه‌های کوچک متعددی وجود دارد که از طریق آنها می‌توانیم انطباق با GDPR را بدون تغییر اساسی سایت‌هایمان بهبود بخشیم. در بسیاری از موارد، صرفاً تغییر در طرز فکر است.

1. اعلامیه های به موقع را معرفی کنید. این عادت در هنگام جمع آوری داده هایی است که جمع آوری می کنید به کاربران اطلاع دهید. به عنوان مثال، در زیر قسمت اشتراک خبرنامه خود، توضیح دهید که آدرس ایمیل آنها را برای ارسال مطالب بازاریابی جمع آوری می کنید و همچنین آدرس IP آنها را برای تأیید رضایت آنها ثبت می کنید. این تضمین می‌کند که، مطابق با اصل 6 PBD، کاربران از داده‌هایی که شما نگهداری می‌کنید، برای چه هدفی آگاه هستند و مجبور نیستند به دنبال سیاست حفظ حریم خصوصی باشند. (در صورتی که کاربر اطلاعات بیشتری بخواهد همیشه یک پیوند به بیانیه کامل حریم خصوصی عمومی اضافه کنید.)
2. به منظور رعایت اصل 2 PBD، هنگام جمع آوری رضایت، چک باکس ها نباید از قبل انتخاب شوند.
3. داده هایی را که ضبط می کنید کاهش دهید. به عنوان مثال، داده های مکان اغلب با دقت بیشتر از آنچه لازم است ثبت می شود. اگر نیاز دارید بدانید که شخصی در چه ایالتی است، به این معنا نیست که باید شهر یا حومه شهر را بشناسید. اگر در حال جمع‌آوری داده‌های طول و عرض جغرافیایی هستید، قبل از ضبط، چند رقم را کوتاه کنید.
4. وقتی داده‌های کاربر را ثبت می‌کنید، مطمئن شوید که روش رضایت، تاریخ و زمان را ثبت کرده‌اید. در صورت نیاز به حذف داده‌ها در آینده، گزینه علامت‌گذاری رضایت به‌عنوان لغو شده را اضافه کنید.
5. نام مستعار داده ها را در صورت امکان با جایگزینی داده های قابل شناسایی مانند نام یا آدرس ایمیل با یک شناسه ناشناس ایجاد کنید.
6. تا جایی که ممکن است داده ها را تقسیم بندی کنید تا داده های شخصی مانند تنظیمات برگزیده برنامه در کنار داده های امنیتی مانند نام کاربری و رمز عبور ذخیره نشود.
7. چند سالی است که تکیه کردن یک رویه استاندارد بوده است روی آدرس ایمیل به عنوان نام کاربری به دقت فکر کنید که آیا این الگوی طراحی برای کاربران شما منطقی است یا خیر. مطمئناً ورود شما را ساده می کند، اما داده های خصوصی را نیز در معرض افشای احتمالی یا سوء استفاده قرار می دهد.
8. اطمینان حاصل کنید که هیچ بخشی از UI شما اطلاعات شخصی را نمایش نمی دهد. اگر رابط کاربری شما نشان می‌دهد که شخصی با پیام خوش‌آمدگویی به سیستم وارد شده است، از کمترین حساسیت اطلاعاتی که می‌توانید استفاده کنید. به عنوان مثال، آواتار کاربر نسبت به نام او حساسیت کمتری دارد، که نسبت به آدرس ایمیل او حساسیت کمتری دارد. فرض کنید که شخصی بدون اطلاع او در حال خواندن صفحه نمایش کاربر روی شانه خود است. چه داده هایی را می دهید که نیازی به آن ندارید؟
9. آیا یک کاربر مخرب می تواند داده ها را با ایجاد یک خطا به خطر بیاندازد؟ به عنوان مثال، اگر کاربری آدرس‌های ایمیل را در فرم «ایمیل فراموش شده» وارد کند، آیا فرم تأیید می‌کند که یادآوری رمز عبور ارسال شده است (و با استنباط تأیید می‌کند که کاربر یک حساب دارد)؟
10. UX همه چیز در مورد تحقیق است. اگر در حال انجام تحقیق در مورد کاربران خود هستید، چگونه آن داده ها را ذخیره می کنید؟ آیا داده ها حساس هستند؟ آیا آنها را پروفایل می کنید؟

گام های اولیه برای انطباق با GDPR

اولین گام در انطباق با GDPR برای کسب و کارهای کوچک و متوسط ​​این است که اطمینان حاصل شود که همه ذینفعان از آن آگاه هستند و با آن درگیر هستند. process; اجرای تغییرات رویه ای زمانی که مدیریت خرید دارید بسیار ساده تر است. گام بعدی این است که مشخص کنید کدام کشور عضو تنظیم کننده شما است. اگر در داخل اتحادیه اروپا فعالیت می کنید، معمولاً این کشور عضوی است که مقر شما در آن قرار دارد. اگر در بریتانیا هستید، GDPR تا پایان دوره گذار برگزیت در دسامبر 2020 برای شما به عنوان یک مقررات اتحادیه اروپا اعمال می‌شود، پس از آن دولت بریتانیا انتظار دارد GDPR را در قوانین بریتانیا تثبیت کند – در زمان نگارش آن مشخص نیست که آیا رگولاتور بریتانیا پس از مارس 2019 به عنوان تنظیم کننده کشور عضو ادامه خواهد داد یا خیر. اگر خارج از اتحادیه اروپا فعالیت می کنید، منطقی است که کشور عضوی را انتخاب کنید که به زبان شما صحبت کند، برای کشورهای انگلیسی زبان این انتخاب بدیهی است. ایرلند خواهد بود بعد، یک ممیزی کامل از داده هایی که در حال حاضر در اختیار دارید انجام دهید. از کجا آمده؟ جاری است؟ با چه کسی به اشتراک می گذارید؟ لازمه؟ آیا ایمن است؟ اگر نمی‌توانید به همه این سؤال‌ها پاسخ دهید تا همه ذینفعان خود (یا اگر DPO منصوب کرده‌اید) رضایت داشته باشند، داده‌ها را حذف کنید. خانه داری خود را انجام دهید اگر کاربر از سال 1997 وارد سایت شما نشده است، شرط منصفانه است که او دیگر مشتری نیست و داده‌هایی که برای او نگهداری می‌کنید نه ضروری هستند و نه فعلی. از آنها یک ایمیل مودبانه بفرستید و از آنها بپرسید که آیا مایلند حسابشان باز بماند یا خیر، اگر پاسخی دریافت نکردید، حساب را برای آنها ببندید و داده های آنها را حذف کنید. با هر شخص ثالثی که داده ها را با آنها به اشتراک می گذارید صحبت کنید و مطمئن شوید که آنها از آن آگاه هستند و متعهد به رعایت مهلت 25 مه 2018 هستند. شرکت‌های بزرگ، از جمله گوگل و توییتر، و شرکت‌های تخصصی بیشتری مانند MailChimp و Intercom، همگی متعهد به رعایت GDPR هستند. (pullquote) این یک تصور غلط رایج است که GDPR به معنای پاک کردن لیست پستی شما و درخواست از مردم برای اشتراک مجدد است(/pullquote) فهرست پستی خود را بررسی کنید—این یک تصور غلط رایج است که GDPR به معنای پاک کردن لیست پستی شما و درخواست از مردم برای اشتراک مجدد است. این لزوماً اینطور نیست – اگر شما آن را از نظر اخلاقی ساخته‌اید، ممکن است قبلاً مطابقت داشته باشد. اگر رضایت صریح دارید که آدرس ایمیلی را برای هر چیزی که از آن استفاده می کنید (مانند بازاریابی) حفظ کنید (مانند بازاریابی)، رضایت کاربر انتخاب شده است و فرض نمی شود، شما یک مهر زمانی دارید که زمان رضایت را ثبت می کند، آدرس ایمیل لازم نیست بخشی از یک تراکنش (برای مثال به عنوان پرداخت برای یک PDF “رایگان”)، و مکانیزمی برای پس گرفتن رضایت وجود دارد، در این صورت ممکن است بتوانید به طور قانونی آن آدرس را در پایگاه داده خود نگه دارید. برخی از شرکت‌ها متوجه خواهند شد که پاک کردن لیست پستی‌شان و شروع دوباره، سخت‌تر است، حتی اگر بتوانند رضایت مناسب را نشان دهند. در نهایت با هر کسی که سایت شما را میزبانی می کند بررسی کنید تا مطمئن شوید که زیرساخت آنها برای ذخیره داده های کاربران شما ایمن است.

نتیجه

GDPR مجموعه ای از بهترین شیوه ها برای حفظ حریم خصوصی در تجارت و به ویژه است روی وب. این به ما دستور می دهد که با داده های کاربرانمان با همان دقت و احترامی که برای خودمان قائل هستیم رفتار کنیم. جریمه های عدم رعایت GDPR طبقه بندی شده است. سطح یک 10 میلیون یورو یا 2 درصد از گردش مالی جهانی (هر کدام بالاتر باشد) است. سطح دو 20 میلیون یورو یا 4 درصد از گردش مالی جهانی (هر کدام بالاتر باشد) است. این مجازات ها بستگی دارد روی عواملی مانند اینکه آیا تلاش کرده‌اید مطابقت داشته باشید، آیا برای کاهش هرگونه از دست دادن داده‌ها اقدام کرده‌اید و انواع داده‌های مربوطه. علاوه بر این، GDPR به افراد این حق را می دهد که برای هرگونه نقض مادی و/یا غیرمادی GDPR غرامت دریافت کنند. اگرچه این ممکن است سخت به نظر برسد، مجازات های شدید نقش ما را به عنوان مدافع کاربرانمان تسهیل می کند. با تهدید جریمه های مالی، جذب مدیریت به مراتب آسان تر است. انطباق با GDPR در مورد محافظت از کاربران شما است. مدافع آنها شوید، برای حفظ حریم خصوصی آنها بجنگید، حقوق آنها را در هر محصولی که می سازید تثبیت کنید. این منجر به محصولات بهتر، کاربران وفادار، و یک وب قابل اعتمادتر و قابل اعتمادتر خواهد شد.