GDPR به تازگی یک ساله شده است و برای اعلام این نقطه عطف حریم خصوصی داده اتحادیه اروپا، AT Internet راهنمائی ایجاد کرده است تا یک قدم جلوتر از مقررات باقی بماند و اطمینان حاصل کند که پردازش داده شما کاملاً مطابقت دارد. برای همراهی با راهنما، ما مجموعهای از وبلاگها و یک آزمون GDPR را اجرا میکنیم تا شما را سریعتر آشنا کنیم!
در اولین وبلاگ به 12 مشکل بزرگ برای GDPR در 12 ماه گذشته نگاه کردیم. بخش دوم به آینده این مقررات می پردازد. GDPR از اینجا به کجا می رسد؟
بسیاری از شرکت ها هنوز به طور کامل مطابقت ندارند…
در اولین سالگرد GDPR، تعدادی از مطالعات منتشر شد که نشان داد بسیاری از مشاغل هنوز این مقررات را نقض می کنند. مطالعه ای توسط Infosecurity Europe نشان داد که بیش از دو سوم مشاغل پس از یک سال از GDPR منطبق نیستند. بسیاری از پاسخدهندگان نظرسنجی معتقدند که سازمانها مقررات را جدی نمیگیرند و تنظیمکنندههای GDPR در اجرای مقررات بسیار آرام و ملایم هستند. در حالی که یک نظرسنجی قبلی که توسط IT Governance با شرکتها در طیف وسیعی از صنایع انجام شد، نشان داد که تنها 29٪ همه تغییرات لازم را برای مطابقت با GDPR انجام دادهاند. حداکثر 25 وب سایت از 28 وب سایت رسمی دولت اتحادیه اروپا نیز ممکن است واجد شرایط نباشند.
غول های فناوری ایالات متحده نیز از پیروی از مقررات اروپا در سال 2018 فاصله زیادی دارند. موج اخیر شکایات علیه مناقصه بی درنگ (RTB) که در بلژیک، لوکزامبورگ، هلند و اسپانیا ثبت شده است، این واقعیت را برجسته می کند که RTB منجر به “مقیاس وسیع و گسترده می شود. نقض سیستماتیک رژیم حفاظت از داده اروپا. عمل گوگل در جمع آوری داده های شخصی برای پروفایل کاربران اینترنت برای هدف قرار دادن تبلیغات (و پخش برای طیف گسترده ای از ارائه دهندگان در زنجیره فناوری تبلیغات) توسط جانی رایان، مدیر ارشد سیاست در Brave به عنوان مثال ذکر شد. “نقض اطلاعات گسترده و مداوم”.
جریمه در آینده
ICO بریتانیا در اوایل ژوئیه اعلام کرد که می تواند بریتیش ایرویز را به دلیل یک حمله سایبری که در آن جزئیات حدود 500000 مشتری در سال گذشته پس از هدایت آنها به یک سایت تقلبی، جمع آوری شد، 183 میلیون پوند جریمه کند. پس از آن که هکرها رکورد 339 میلیون مهمان را به سرقت بردند، به زودی با جریمه 99 میلیون پوندی برای گروه هتل ماریوت همراه شد. CNIL قبلاً از اواخر ماه مه، دومین جریمه 400,000 یورویی را برای شرکت املاک و مستغلات فرانسوی Sergic به دلیل کوتاهی در محافظت کافی از داده های کاربران در وب سایت خود و به دلیل اجرای روش های نامناسب نگهداری داده ها اعمال کرده است.
در حالی که هلن دیکسون، کمیسر حفاظت از داده های ایرلند گفت که جریمه های قابل توجهی در “ماه های آینده” اعمال خواهد شد. در حال حاضر 18 تحقیق توسط DPA ایرلند انجام می شود که به تنظیم کننده اصلی GDPR برای اکثر شرکت های بزرگ فناوری مستقر در آنجا تبدیل شده است.
با این حال، او همچنین خاطرنشان کرد که «تحریمهای مهم برای ایجاد، اجرا و نتیجهگیری زمان میبرند» و مجموعهای از مراحل رویهای برای ایجاد مبنای تحقیقات وجود دارد، مانند اجازه دادن به مشارکت طرفهای آسیبدیده و تعامل با سایر مقامات نظارتی. در زمینه پردازش فرامرزی از زمانی که اجرایی شد، تحقیقاتی را در مورد فیس بوک و واحدهای واتس اپ و اینستاگرام آن، سه تحقیق در مورد توییتر، دو تحقیق در مورد اپل، یک مورد در LinkedIn و آخرین مورد در مورد تبادل تبلیغات گوگل آغاز کرده است.
الیزابت دنهام، کمیسر اطلاعات، زمانی که در بریتانیا بود، گفت که ICO بریتانیا “موارد بسیار بزرگی را در دست بررسی دارد”. با این حال، او همچنین تاکید کرد که بسیار حیاتی است که سازمانهای نظارتی «نمونهای قوی از نظر اقدامات اجرایی که انجام میدهند» ایجاد کنند، با تمرکز ICO به ویژه بر فناوری تبلیغات و پردازش دادههای کودکان.
اگرچه معرفی GDPR پایههای امنیت اطلاعات و شیوههای حفظ حریم خصوصی را ایجاد کرد، سال 2019 سال مهمی است تا ببینیم آیا این مقررات اقدامات اجرایی سختگیرانهتری را اجرا میکند یا خیر.
ePR
با پیروی و همسویی با GDPR، مقررات حفظ حریم خصوصی الکترونیکی (ePR) قرار است در سال 2019 وارد شود. با لغو دستورالعمل سال 2002 حریم خصوصی الکترونیکی، هدف آن دستیابی به همان استاندارد حفاظتی ارائه شده توسط GDPR برای شهروندان اتحادیه اروپا است و همه ارتباطات الکترونیکی را تحت تأثیر قرار می دهد. مقررات جدید برای مشاغلی اعمال می شود که هر شکلی از خدمات ارتباطی آنلاین را ارائه می دهند، از فناوری های ردیابی آنلاین استفاده می کنند یا در بازاریابی مستقیم الکترونیکی شرکت می کنند.
هدف این مقررات محافظت از داده های ارتباطی کاربران، به ویژه ابرداده ها است. با سرویسهای جدیدی مانند واتساپ، فیسبوک مسنجر و اسکایپ که در حال حاضر این نوع اطلاعات کاربر را ذخیره میکنند، ePR جدید به کاربران کنترل بسیار بیشتری بر روی نوع ابرداده ذخیره شده میدهد. اگر افراد رضایت ندهند، شرکت ها باید این اطلاعات را حذف کنند و دیگر قادر به جمع آوری آن به صورت پیش فرض نخواهند بود.
همچنین قوانین کوکی را ساده و ساده می کند و قانون جدید را برای کاربر آسان تر می کند. تنظیمات مرورگر به کاربران راهی آسان برای پذیرش یا رد کردن کوکیهای ردیابی و سایر شناسهها میدهد. همچنین روشن خواهد شد که رضایت برای موارد زیر لازم نیست:
- کوکی هایی که حریم خصوصی را نقض نمی کنند و تجربه اینترنت را بهبود می بخشند (به عنوان مثال با به خاطر سپردن سابقه سبد خرید)
- کوکی هایی که توسط یک وب سایت برای شمارش بازدیدکنندگان استفاده می شود.
یکی دیگر از پیشنهادات مهم در ePR محافظت در برابر هرزنامه (از جمله تماس های تلفنی)، ممنوعیت ارتباطات الکترونیکی ناخواسته از طریق ایمیل، پیام کوتاه و دستگاه های تماس خودکار است. بسته به قوانین ملی، افراد یا به طور پیشفرض محافظت میشوند یا میتوانند از فهرست تماس نگیرید برای جلوگیری از دریافت تماسهای تلفنی بازاریابی استفاده کنند. تماسگیرندگان بازاریابی باید شماره تلفن خود را نمایش دهند یا از پیشوند خاصی استفاده کنند که نشاندهنده تماس بازاریابی است.
برخی از جریمه های GDPR، نقض حریم خصوصی الکترونیکی را پوشش می دهد
اگرچه ePR از طریق قوانین ملی اجرا می شود و جریمه ممکن است از کشوری به کشور دیگر متفاوت باشد، اما تقریباً همیشه کمتر از حداکثر جریمه مجاز تحت GDPR است. با این حال، طبق EDPB، برخی از فعالیتهای پردازش داده، مانند استفاده از کوکیها برای تبلیغات رفتاری، در محدوده GDPR و مقررات حفظ حریم خصوصی الکترونیکی قرار میگیرند.
مقررات حفظ حریم خصوصی الکترونیکی همچنین در رابطه با رضایت کاربر با GDPR همسو خواهد شد. کاربر موظف است با ارائه «اقدام مثبت بدون ابهام» رضایت خود را ارائه دهد – همانطور که در مورد GDPR، کادرهای از پیش علامت گذاری شده ممنوع خواهند بود. رویکرد GDPR به رضایت در مارس 2019 در مورد Planet49 مورد تأیید قرار گرفت، جایی که دفتر مجمع عمومی حکم داد که جعبههای از پیش علامتگذاری شده به عنوان رضایت صریح کاربر برای کوکیها واجد شرایط نیستند.
استراتژی بازار واحد دیجیتال
سال 2019 برای اعتبار بخشیدن به چارچوب قانونی GDPR و اثبات این موضوع که این چالش بلندپروازانه اروپایی می تواند در عمل عمل کند، بسیار مهم خواهد بود. GDPR و ePR بخشی از استراتژی بازار واحد دیجیتال اتحادیه اروپا هستند، ابتکاری که هدف آن باز کردن فرصتهای دیجیتال برای افراد و مشاغل و تقویت موقعیت اروپا به عنوان یک رهبر جهانی در اقتصاد دیجیتال است. به عنوان بخشی از دستور کار دیجیتال اتحادیه اروپا برای اروپا 2020 و ابتکار اروپا 2020، هدف این استراتژی بهبود دسترسی به محصولات و خدمات آنلاین، شرایط رشد و شکوفایی شبکهها و خدمات دیجیتال و تحریک رشد دیجیتال اروپایی است. اقتصاد.
برای حل مشکلاتی از قبیل:
- اصلاح قانون کپی رایت اروپا
- بازنگری قوانین رسانه های سمعی و بصری
- geoblocking
- فروش برون مرزی
- اصلاح قوانین مخابرات اتحادیه اروپا
- پردازش داده های شخصی توسط خدمات دیجیتال
- و ایجاد یک اقتصاد مبتنی بر داده
ورود CCPA
قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا قرار است از اولین روز سال 2020 اجرایی شود. اگرچه بخشی از جنبش جهانی حفظ حریم خصوصی داده ها است، اما از چندین جهت با GDPR متفاوت است. اول، CCPA شرکت ها را ملزم به ایجاد کانال های ارتباطی خاص می کند، به عنوان مثال. شماره تلفن ها و وب سایت ها تا ساکنان کالیفرنیا بتوانند اطلاعاتی در مورد داده های خود درخواست کنند. این تعریف کالیفرنیا از دادههای شخصی را گسترش میدهد تا اطلاعات خانگی و دادههای دستگاههای اینترنت اشیاء (IoT) را در بر گیرد. CCPA مجموعه متفاوتی از الزامات حذف داده ها را ایجاد می کند و موارد جدیدی را در مورد فروش داده ها برای اهداف تجاری ایجاد می کند.
بسیاری از قانون جدید هنوز در حال تعریف است، از جمله تغییرات در تعریف اطلاعات شخصی. با این حال، انتظار می رود که تأثیر زیادی داشته باشد زیرا شرکت آمریکایی را مجبور می کند برای اولین بار ایده حفظ حریم خصوصی داده ها را بپذیرد. از آنجایی که این سختترین مقررات حفظ حریم خصوصی ایالات متحده تا به امروز است، به نظر نمیرسد که کارساز باشد – تنها 14 درصد از شرکتهای کالیفرنیا گزارش دادهاند که تا کنون با CCPA مطابقت دارند.
ایالت نیویورک نیز از قانون حفظ حریم خصوصی پیشنهادی خود پیروی می کند. اقدامات برنامه ریزی شده می تواند حتی فراتر از CCPA با معرفی یک “حق اقدام خصوصی” به نیویورکی ها حق شکایت مستقیم از شرکت ها را بدهد، به این معنی که غول های فناوری ممکن است با “ده ها هزار پرونده قضایی” روبرو شوند. همچنین حداقل اندازه را برای شرکت های مشمول قانون جدید حذف می کند و قوانین بسیار سخت گیرانه تری برای پردازش داده های شخصی معرفی می کند. در ماه های آینده این فضا را تماشا کنید…
مطمئن شوید که تجزیه و تحلیل دیجیتال شما ضد GDPR است!
در اینترنت بسته تحلیلی 100٪ با GDPR مطابقت دارد. حفاظت از داده های کاربر و احترام به حریم خصوصی کاربر برای بیش از 20 سال در رویکرد تحلیلی ما نقش اساسی داشته است.
بهعنوان یک تامینکننده مستقل اروپایی از روز اول، ما همیشه با سیاستهای سختگیرانه حفاظت از دادهها و حفظ حریم خصوصی اروپا سازگار بودهایم. راه حل ما با در نظر گرفتن حریم خصوصی طراحی از ابتدا طراحی شده است.
رابطه دیرینه ما با CNIL، مرجع حفاظت از داده های فرانسه و TÜV آلمان، گویای این موضوع است. این مقامات مورد اعتماد انطباق و امنیت مجموعه Analytics را به رسمیت می شناسند و سال به سال گواهی انطباق خود را به ما ارائه می دهند.