شباهت های بین GDPR و استاندارد بین المللی ایزو ۲۷۰۰۱ چیست؟
در این مقاله به تشریح شباهت های بین GDPR و استاندارد بین المللی ISO 27001: 2013 می پردازیم. توضیح چگونگی اخذ استاندارد می تواند شما را در دستیابی به مقررات جدید یاری دهد.
فهرست مطالب
GDPR چیست؟
در محیط دیجیتال امروزی، محافظت از داده های شخصی از هر زمان دیگری اهمیت بیشتری پیدا کرده است. از آنجا که نقض داده ها با فرکانس بیشتر اتفاق می افتد، استانداردهای امنیت سایبری که ۲۰ سال پیش به تصویب رسیده اند، دیگر به اندازه کافی برای محافظت از اطلاعات مشاغل و مشتریانی که به صورت آنلاین فعالیت می کنند، محافظت نمی شود. هرچه بانک اطلاعاتی بزرگتر باشد، عواقب نقض طرفین را جدی تر می کند.
هدف از GDPR این است تا مسائل امنیتی را که از دو دهه گذشته از زمان توسعه فناوری و تأثیر آن بر امنیت داده ها به وجود آمده است، حل کند.
مقررات عمومی حمایت از داده ها (GDPR) توسط اتحادیه اروپا طی یک دوره چهار ساله تدوین شده است تا به عنوان یک راه حل قانونی برای موضوعات مربوط به حفاظت از داده ها استفاده شود. پیش از این، قوانین مربوط به حفاظت از داده ها در انگلستان براساس قانون حمایت از داده ها در سال ۱۹۹۸ و به روزرسانی دستورالعمل حفاظت از داده های اتحادیه اروپا در سال ۱۹۹۵ به منظور رسیدگی به مسائل امنیتی طبق قانون گذاران و کارشناسان برنامه نویسی در سالهای بعد طراحی شده است.
این آیین نامه برای محافظت از داده های مشتری در محیط جدید دیجیتال طراحی شده است. در عصری که شرکت هایی مانند فیسبوک و گوگل در ازای دسترسی به سایت و ویژگی های شخصی، اطلاعات شخصی دارندگان حساب را به اشتراک می گذارند، GDPR در تلاش است تا کنترل بیشتر اوضاع را به کاربر بازگرداند.
دلیل دیگر، ایجاد مجموعه ای از مقررات است که طبق آن مشاغل می توانند در رابطه با پردازش داده های مشتری فعالیت کنند. با این قوانین جدید، درک هر دو طرف، شرکت و مصرفکننده آسانتر خواهد بود، و این امر باعث می شود کسب و کار بتواند اعتماد مشتریان را جلب کرده و آن را حفظ کند.
این قانون همچنین، قدرت بیشتری به شهروندان می دهد. در حالی که قانون جدید از همه طرف سودمند خواهد بود ، GDPR برای حمایت از مصرف کنندگان طراحی شده است. با وضع قوانین مربوط به حمایت از داده ها در اروپا، GDPR می تواند اقتصاد تجاری اروپا را تقریباً ۲.۳ میلیارد پوند در سال حفظ کند. این صرفه جویی به نوبه خود، می تواند به مصرف کنندگان منتقل شود.
کنترلرها و پردازنده ها
در حوزه امنیت داده ها که مستقیماً از طریق اجرای GDPR تحت تأثیر قرار می گیرند، کنترل کننده ها و پردازنده های اطلاعات دیجیتال هستند.
بنابراین ، سازمانهایی که پردازش داده های شخصی را تعیین می کنند، صرف نظر از اینکه مستقیماً داده ها را از افراد داده جمع می کنند، کنترل کننده هستند. برای مثال، یک بانک (کنترلکننده) دادههای مشتریان خود را هنگامی که یک حساب باز میکنند، جمعآوری میکند. اما یک سازمان دیگر (پردازنده) است که تمام اطلاعات تولید شده روی کاغذ را توسط بانک ذخیره میکند.
این شرکت ها می توانند دیتاسنتر یا شرکتهای مدیریت اسناد باشند. هر دو سازمان (کنترلر و پردازنده) مسئولیت رسیدگی به داده های شخصی مشتریان را بر عهده دارند.
کنترلر داده مسئولیت اطمینان از مطابقت پردازش آن با GDPR، چه پردازش داخلی یا درگیر پردازنده داده را بر عهده دارد. این وظیفه کنترل کننده است که نحوه نظارت و ارزیابی پردازنده ها را تعیین کند.
پردازندههای داده با الزامات قانونی تحت کنترل GDPR ، در حوزههایی همچون امنیت و نگهداری سوابق قرار دارند. کنترل GDPR را فقط می توان از پردازنده های ارائه شده استفاده کرد. به طوری که پردازش با الزامات سازمان دهی و حفاظت از حقوق موضوع دادهها مطابقت داشته باشد. اگر پردازنده ها تعهدات مستقیم خود را نقض کنند، می توانند توسط مقامات نظارت جریمه شوند و در قبال کلیه هرگونه خسارت به یک داده توسط کنترلگر متعهد باشند ، مگر آنکه بتوانند اثبات کنند که به هیچ وجه مسئول این رویداد نبودند.
پردازش اطلاعات
طبق ماده ۵ از اتحادیه اروپا، کنترلکننده باید مسئول باشد و قادر به نشان دادن سازگاری با اصول مربوط به پردازش دادههای شخصی باشد.
طبق ماده ۲۸ از اتحادیه اروپا، در جایی که پردازش قرار است از طرف یک کنترلکننده انجام شود، کنترلکننده باید تنها از پردازندههای مناسب برای اجرای اقدامات فنی و سازمانی مناسب به گونهای استفاده کند که پردازش الزامات این مقررات را برآورده کرده و حفاظت از حقوق دادهها را تضمین نماید.
هنگامی که GDPR در ۲۵ مه ۲۰۱۸ اجرا شد، کنترل کننده ها طبق قانون موظف بودند داده های کاربر را برای اهداف خاص با شفافیت کامل پردازش کنند.
اطلاع رسانی برای نقض
هر سازمانی که داده های خصوصی کاربران را جمع آوری کند، موظف است اخبار مربوط به نقض داده ها را به یک مقام حفاظت گزارش کند. این اخبار باید ظرف ۷۲ ساعت پس از اولین بار اعلام این نقض در سازمان گزارش شود. در انگلستان، دفتر کمیساریای اطلاعات (ICO) به عنوان مرجع در مورد این موارد فعالیت می کند.
عدم اطلاع به سازمان حفاظت از اطلاعات در عرض ۷۲ ساعت می تواند به جریمه حداکثر ۲٪ از درآمد جهانی سالانه یک شرکت یا جریمه ۱۰ میلیون پوند منجر شود. در مقایسه با جریمه های ICO قبلی، که فقط به ۵۰۰۰۰۰ پوند افزایش یافته است ، مجازات های مربوط به GDPR بسیار سختگیرانه تر هستند.
مهلت ۷۲ ساعته برای گزارش تخلف، همواره به سازمان فرصت کافی برای یادگیری ماهیت کامل یک جرم خاص را نمی دهد، اما باید زمان کافی برای جمعآوری اطلاعات کافی برای مراجع در مورد نوع دادههایی که تحتتاثیر این قانونشکنی قرار میگیرند، فراهم آورد. از همه مهمتر، یک سازمان باید بتواند تخمینی دقیق از تعداد افرادی که تحتتاثیر این قانونشکنی قرار میگیرند را بدهد. به این ترتیب، به طور بالقوه، طرفهای درگیر، زمان بیشتری برای واکنش نشان خواهند داد.
شما فقط باید مرجع نظارتی مربوط به تخلف را در آنجا آگاه کنید که احتمالاً منجر به خطری برای افراد شود. برای مثال، منجر به تبعیض، صدمه به شهرت، ضرر مالی، از بین رفتن هرگونه ضرر اقتصادی و اجتماعی دیگر می شود. این امر باید به صورت موردی ارزیابی شود. برای مثال، باید مراجع نظارتی مربوطه را در مورد از دست دادن جزئیات مشتری مطلع کنید، در حالی که این قانونشکنی منجر به سرقت هویت افراد میشود.
اگر یک سازمان نتواند از اصول اصلی GDPR، مانند کسب رضایت، احترام به حقوق و پیروی از درخواست های افراد پیروی کند، سازمان میتواند آن ها را جریمه کند. تحت این قانون، جریمه برای عدم پیروی از قانون جدید میتواند به اندازه ۴ درصد از درآمد جهانی یک شرکت، یا جریمهای بالغ بر ۲۰ میلیون پوند باشد.
GDPR اثر مستقیمی در تمام کشورهای عضو اتحادیه اروپا دارد. این بدان معناست که سازمان ها هنوز مجبور به رعایت این آیین نامه هستند و ما هنوز باید برای اکثر تعهدات قانونی به سراغ GDPR برویم.
ایزو ۲۷۰۰۱ چیست؟
سازمان هایی در سراسر جهان که GDPR را مورد مطالعه قرار داده اند، احتمالاً می دانند که این آیین نامه تشویقی برای اتخاذ بهترین عملکرد است.
گواهینامه ایزو ۲۷۰۰۱ یک استاندارد امنیتی اطلاعات است که به شرکت ها کمک می کند تا از بهترین عملکرد استفاده کنند. استاندارد شامل سه مؤلفه اصلی امنیت داده ها است: مردم، فرآیند، فن آوری
با عملیاتی کردن استاندارد ایزو ۲۷۰۰۱، یک سازمان سیستم مدیریت امنیت اطلاعات (ISMS) را فعال می کند. استاندارد به طور مرتب به روز می شود و بهبود می یابد و این پیشرفت های مداوم به ISMS اجازه می دهد تا هم در داخل و هم خارج از شرکت، در تمام مدت شناسائی و حذف ریسکهای جدید، همگام بماند.
اگر در حال حاضر گواهینامه ایزو ۲۷۰۰۱: ۲۰۱۳ اخذ نموده اید، ممکن است متوجه شباهتهایی بین این استاندارد و GDPR شده باشید.
گواینامه ایزو ۲۷۰۰۱ چه کمکی میکند؟
این استاندارد برای جذب اعتماد، یکپارچگی و در دسترس بودن اطلاعات شما طراحی شدهاست و به شما در حفظ تبعیت قانونی کمک میکند. این کار به شما کمک میکند از اطلاعات خود در برابر جرایم اینترنتی، سو استفاده، آتش سوزی، سرقت و دیگر تهدیدات محافظت کنید.
داشتن گواهینامه ISMS در محل، اعتماد بیشتری به مشتریان و شرکت شما و همچنین بهبود روابط شما با سایر ذینفعان می بخشد و به شما در کاهش ریسک کمک می کند.
یک نمونه رایج از “محرمانه بودن” یک معامله آنلاین است که از طریق روشهای ایمن مانند استفاده از رمزگذاری انجام می شود که از طریق HTTPS، اطلاعات محافظت می شود.
در مورد “یکپارچگی”، نمونه ای از اعتماد به اطلاعات حساب مالی مشتری (به عنوان مثال ، حساب های بانکی، اطلاعات شخصی) است، که توسط یک بانک برای انجام معاملات روزانه نگهداری می شود.
آیا ISO 27001: 2013 برای سازمان ها مناسب است؟
ISO 27001 دامنه وسیع تری نسبت به GDPR دارد. زیرا در مورد داده های مهم یک شرکت و همچنین داده های شخصی کاربرد دارد. از استاندارد ایزو ۲۷۰۰۱ می توان برای محافظت از اطلاعات شخصی و همچنین سایر اطلاعات استفاده کرد. GDPR همچنین زمینه های مختلفی را شامل می شود که ISO 27001 از جمله، قابلیت حمل اطلاعات و حق اطلاع در مورد اطلاعات شخصی شما برخوردار نیست.
ISO 27001 صریحاً به مواردی که در بالا ذکر شد نمی پردازد. اما می تواند شما را در برآورده کردن این شرایط پشتیبانی کند. از آنجا که ایزو ۲۷۰۰۱ به طور خاص شامل این موارد نمی شود، به آن گواهی داده نمی شود که لزوماً شما سازگار با GDPR باشید. اما مطمئناً شما را در اهداف پیروی از GDPR پشتیبانی خواهد کرد.
از آنجا که این دو استاندارد تفاوتهایی با هم دارند، تمام شرکتهای پذیرفتهشده ایزو ۲۷۰۰۱ که تحتتاثیر GDPR قرار گرفتهاند، باید یک تحلیل دقیق را انجام دهند.
همین حالا با ما تماس بگیرید
برای کسب اطلاعات بیشتر و اخذ استانداردهای بین المللی ایزو با بالاترین درجه اعتباردهی، با شماره های ۳۳۴۴۴۸۱۴-۰۲۳ و ۳۳۴۴۴۸۱۳-۰۲۳ تماس حاصل فرمایید.
همچنین می توانید برای مشاوره رایگان فرم اخذ ایزو را تکمیل نموده تا در کم ترین زمان ممکن، کارشناسان ما با شما تماس بگیرند.ما خوشحال می شویم تا بتوانیم به شما کمک نماییم.
این مقاله به صورت اختصاصی توسط تیم فنی ایزوسیستم آماده شده است، هرگونه بهره برداری بدون ذکر نام و آدرس منبع شرعا و قانونا ممنوع می باشد.
ایزوسیستم برترین مرکز صدور مدارک بین المللی ایزو و دارنده مجوز سازمان صنعت، معدن و تجارت می باشد.
هشدار: مراقب نیش مراکز بدون مجوز رسمی در حوزه ی خدمات مشاوره و صدور گواهینامه های ایزو باشید!