اگر سازمانی نتواند خود را با الزامات GDPR یا مقررات حفاظت از دادههای عمومی تطبیق دهد و کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد که صرفاً محدود به مجازاتهای مالی نشده و میتواند اساس و شهرت یک بنگاه کسبوکار را با مخاطره جدی مواجه کند.
دهه گذشته بیتردید تکامل گسترده جامعه شناختی جهانی است که نسل جدید و عصر ارتباطات و پردازش دادهها را تعریف و ایجاد کرده است. این دوران به دلیل اینکه شبکههای اجتماعی مختلف از جمله فیسبوک، اینستاگرام، توییتر و سایر برنامهها و سایتها در خط مقدم انتشار خبری و سازوکارهای ارتباطی بین کاربران خود قرار دارند، بهعنوان دوران رسانههای اجتماعی توصیف شده است.
استفاده از شبکههای اجتماعی بهعنوان یک روند آغاز طی این سالها به یک ابزار ضروری در زندگی روزمره میلیونها نفر تبدیل شده و زمینهای آسان برای برقراری ارتباط، اشتراکگذاری و انتشار دیدگاهها، اخبار و اطلاعات را فراهم میکند. امروزه دادهها بهسرعت در حال تبدیل شدن به شاهرگ حیاتی اقتصاد جهانی هستند. در عصر کلان دادهها و هوش مصنوعی، داده میتواند هم به عنوان یک فرصت و هم به عنوان یک تهدید مطرح شود.
داده ارایهدهنده نوع جدیدی از دارایی اقتصادی است و میتوان با مدیریت صحیح، منسجم، هدفمند، یکپارچه و بهکارگیری یک تفکر راهبردی، آن را به یک مزیت رقابتی تبدیل کرد. عدم مدیریت مناسب داده خصوصا در مواردی نظیر حفظ حریم خصوصی و حفاظت از دادههای محرمانه و حساس مشتریان، میتواند به شهرت و اعتبار یک سازمان آسیب برساند و استمرار کسبوکار یک بنگاه اقتصادی را با چالش جدی مواجه کند.
صرف داشتن داده دلیلی بر موفقیت نیست، مهم شیوه جمعآوری، ذخیرهسازی، آمادهسازی، استخراج، عملیات، بهرهبرداری، پالایش، تولید و توزیع داده است. استفاده از این شبکهها و قوانین انتقال گسترده اطلاعات شخصی در سراسر جهان مرتبط با قانون حفاظت از دادهها، مصوبه کمیسیون اروپا در سال ۱۹۹۵ است. این قانون بهمدت طولانی قبل از عصر وب ۲، بدون شبکههای اجتماعی در نظر گرفته شده است. سپس در ماه می ۲۰۱۶، اتحادیه اروپا مقررات جدیدی را در مورد حفاظت از اطلاعات شخصی تصویب کرد.
با وجود پیامدهای شدید مخاطرات امنیت داده، تا همین اواخر، جریمه نقض مقررات حفاظت از دادهها، محدود بود و در عمل اقدامات اجرایی قابل ملاحظهای انجام نمیشد. با افزایش جرائم اینترنتی، نیاز به امنیت آنلاین بهطور فزایندهای برای کسب وکارهای مجازی افزایش مییابد. اطلاعات امنیتی بهعنوان مسئول تأمینکننده امنیت مجازی یک شرکت، باید بهروز باشند تا اطمینان حاصل شود که کسبوکار مجازی در یک فضای امن صورت میگیرد و اطلاعات دارای امنیت بالایی است و این نیازمند بهروز بودن و سازگاری با مباحث امنیتی در حوزه فضای مجازی است.
تحول بنیادین در روشهای حفاظت از داده مشتریان با GDPR
در نهایت اتحادیه اروپا با معرفی GDPR یا مقررات حفاظت از دادههای عمومی (General Data Protection Regulation)، تنظیم و جایگزین قوانین کنونی حفاظت از دادههای سال ۱۹۹۵، شاهد یک تحول بنیادین در روشهای حفاظت داده مشتریان بوده و پیامد آن برای شرکتهای ناسازگار با مقررات GDPR و ناقض داده، جرایم و مجازاتهای سنگین خواهد بود. مقررات حفاظت از اطلاعات عمومی بهطور مستقیم در سطح ملی قابل اجراست و قوانین حفاظت از دادهها را در سراسر اتحادیه اروپا هماهنگ میکند.
طبق گزارش سازمان تنظیم مقررات و ارتباطات رادیویی، مقررات حفاظت از دادههای عمومی (GDPR) یک سند در حوزه حقوق اروپاست که برای حفاظت از دادهها و حریم خصوصی همگان در حوزه اتحادیه اروپایی و منطقه اقتصادی اروپا تدوین شده است. این سند همچنین به ارسال دادهها به خارج از اتحادیه و منطقه اقتصادی اروپا نیز میپردازد. این سند از تاریخ ۲۵ می ۲۰۱۸ لازمالاجرا بوده و هدف سند آن است که به شهروندان و افراد مقیم در حوزه اتحادیه و منطقه اقتصادی اروپا امکان کنترل بر اطلاعات شخصیشان اعطا کند و نظارت بر محیط کسبوکار بینالمللی را تسهیل کند.
بر اساس این سند فرآیندهای کسبوکار که اطلاعات شخصی را مدیریت میکند باید با پیشفرض رعایت حریم خصوصی طراحی و از تنظیمات حریم خصوصی حداکثر استفاده شود، طوری که دادهها بدون رضایت صریح بهطور عمومی در دسترس قرار نگیرند و استفاده نشوند. بر این اساس هیچ داده شخصی نمیتواند جز در صورت وجود یک مبنای قانونی یا رضایت صریح و صحیح موضوع داده (شخصی که دادههای وی مورد کنترل و پردازش است) پردازش شود.
این موضوع در فضای تکنولوژی امروزه و بهویژه در زمینه بازاریابی دیجیتال، به دلیل تمرکز بیشتر روی حریم خصوصی حائز اهمیت است، ممکن است به عبارت دیگر بازاریابها برای ایجاد کمپینهای موفق دیجیتال دسترسی کمتری به نوع دادههای لازم داشته باشند. یک پردازنده اطلاعات شخصی باید به روشنی درباره اینکه چه اطلاعاتی را جمعآوری میکند، چگونه و چرا پردازش میشوند، چگونه نگهداری میشود و با اشخاص ثالثی به اشتراک گذارده میشود یا خیر توضیح دهند. همچنین کاربران حق دارند کپی اطلاعات خود را از پردازنده دریافت و در شرایط خاصی درخواست پاک شدن دادهها را کند.
یکی از ویژگیهای برجسته GDPR نسبت به سایر مقررات موجود، گستردگی حفاظت از داده مشتریان است. لایحه GDPR شامل طیف گستردهای از الزامات قانونی جدید است، از پیادهسازی شرایط لازم جهت جابجایی دادههای بینالمللی گرفته تا بررسی، بههنگامسازی و اقدامات فنی و سازمانی جهت حفاظت از داده مشتریان. الزامات قانونی فوق، بهطور قابل توجهی بر نحوه جمعآوری، مدیریت، حفاظت و به اشتراک گذاشتن دادهها تأثیر خواهد گذاشت.
یکی از اهداف دیگر این است که از کسبوکارها برای حفظ و نگهداری دادهها برای مدت زمان طولانی جلوگیری شود و از آن استفاده نکنند. اساساً این سیاست تاریخ انقضای مصرف داده را تعیین میکند. در راستای اجرای این سند، ادارات و شرکتهای خصوصی که فعالیت آنها حول محور پردازش منظم یا سیستماتیک اطلاعات شخصی قرار دارند، ملزم به استخدام افسر حفاظت از داده (DPO) هستند که موظف به انطباق فعالیتها با سند GDPR است و کسبوکارها ملزم هستند هرگونه نقض و تخلف را در صورتی که اثر نامطلوبی بر حریم خصوصی داشته باشد، ظرف ۷۲ ساعت گزارش کنند.
دامنه اعمال سند GDPR
این مقررات در صورتی اعمال میشود که کنترلکننده دادهها (سازمان یا مرکزی که دادهها را از کاربران مقیم اروپا جمعآوری میکند) یا پردازنده (مجموعهای که اطلاعات جمعآوریشده را از طرف کنترلکننده مانند شرکتهای خدمات Cloud Computing پردازش میکند) و یا موضوع داده در محدوده اتحادیه اروپا باشد. بنابراین در شرایط خاصی، این مقررات نسبت به مجموعههایی در خارج از اتحادیه اروپا نیز قابل اعمال است و آن در صورتی است که این مجموعهها اطلاعات افراد مقیم در حوزه اتحادیه اروپا را مورد پردازش قرار دهند.
براساس تعریف کمیسیون اروپا از دادههای شخصی، داده شخصی هرگونه اطلاعات مربوط به یک فرد است، اعم از اینکه در رابطه با زندگی خصوصی، حرفهای و یا عمومی وی باشد. بنابراین، این اطلاعات میتواند شامل هر دادهای اعم از آدرس منزل، ایمیل، جزییات حساب بانکی، اطلاعات پستی، شبکههای اجتماعی، پزشکی و حتی یک آدرس IP رایانه باشد. فعالیتهای پردازش شامل جمعآوری، استفاده و افشای اطلاعات است که مقررات حفاظت از اطلاعات عمومی حفاظت بیشتری برای پردازش دستههای خاص اطلاعات شخصی فراهم میکند. کشورهای عضو ممکن است شرایط بیشتری شامل محدودیتهای مربوط به پردازش دادههای ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را ارائه دهند.
مقررات جدید حفاظت از دادهها در رابطه با تمامی دادههایی که امکان شناسایی مستقیم و یا غیرمستقیم یک فرد را توسط هر کسی فراهم میکند، اعمال میشود. در نتیجه، شناسههای کوکی، شناسههای آنلاین، شناسههای دستگاه و آدرسهای IP بهعنوان داده شخصی تحت طبقهبندی GDPR تلقی میشوند. مدیریت صحیح داده در سراسر چرخه حیات یکی از الزامات اولیه و مهم حفاظت داده است. این مقررات بر فعالیتهای مربوط به پردازش دادههای شخصی برای اهداف امنیت ملی یا اجرای قوانین اتحادیه اروپا، اعمال نمیشود.
با وجود این، گروههای صنعتی که نگران مواجه شدن با اختلافات احتمالی در قانون هستند، این سوال را مطرح کردهاند که آیا ماده ۴۸ از سند مصوب GDPR میتواند مانع کنترلکننده دادهها برای ارایه دادههای یک مقیم اتحادیه اروپا به مقامات انتظامی، قضایی یا امنیتی یک کشور ثالث، فارغ از اینکه دادهها در داخل یا خارج اتحادیه باشد، به حساب بیاید یا خیر.
ماده ۴۸ بیان میکند که هرگونه رأی دادگاه یا محکمه و هرگونه دستور اداری کشور ثالث به کنترلکننده یا پردازشکننده دادهها برای انتقال یا افشای دادههای شخصی نمیتواند به رسمیت شناخته شود و قابل اجرا نیست؛ مگر اینکه درخواست براساس یک موافقتنامه بینالمللی مانند معاهده معاضدت متقابل، بین کشور درخواست کننده (که عضو اتحادیه اروپا نیست) و اتحادیه اروپا یا یکی از کشورهای عضو اتحادیه باشد.
مجموعه مقررات GDPR شامل دستورالعملی جداگانه برای حفاظت از دادهها برای پلیس و بخش عدالت کیفری (دادگستری) نیز هست که مقررات حاکم بر تبادل دادههای شخصی را در سطح ملی، اروپایی و بینالمللی نیز مشخص میکند. این مقررات بر تمام کشورهای عضو اتحادیه اروپا اعمال و هر کشور عضو یک نهاد نظارتی مستقل (ISA) برای استماع و بررسی شکایات، اعمال مجازات برای تخلفات اداری و ایجاد میکند و این نهاد در هر کشور عضو با نهاد نظارتی دیگر کشورهای عضو در راستای کمک متقابل و سازماندهی اقدامات مشترک همکاری میکند.
چنانچه شرکتی در نقاط مختلف اتحادیه اروپا تشکیلات داشته باشد، نهاد ناظر بر آن، نهاد مستقر در مرکز امور مهم آن شرکت یا به عبارتی مرکز اصلی آن خواهد بود. (مرکز اصلی شرکت جایی است که شرکت در آنجا اداره میشود و امور اداری شرکت در آنجا متمرکز است. معمولاَ ارکان شرکت یعنی مجامع عمومی و هیات مدیره و مدیر عامل و بازرس یا بازرسان، در مرکز اصلی شرکت انجام وظیفه میکنند.)
مطابق ماده ۳ مقررات GDPR، برای مواردی که کنترلکننده دادهها و یا پردازندههای دادهای در اتحادیه اروپا ایجاد نشدهاند، اما فعالیتهای آنها در محدوده مقررات GDPR قرار دارد، اطلاعات شخصی ممکن است در خارج از اتحادیه اروپا به کشورهای ثالث یا سازمانهای بینالمللی منتقل شوند که در اینصورت باید یک نماینده بهعنوان نقطه تماس در یک کشور عضو اتحادیه اروپا تعیین کنند.
انتقال دادههای شخصی به یک کشور سوم یا سازمان بینالمللی که از تصمیمات کمیسیون اروپا مطلع نیست، میتواند از طریق تعدادی از ابزارهای موجود مانند مقررات حفاظت از دادههای استاندارد، قوانین شرکتهای اجباری و همچنین ابزارهای جدید، کدهای تاییدشده یا صدور گواهینامه ارائه شود. در مواردی که تصمیمگیری و حمایت مناسبی وجود نداشته باشد، انتقال دادههای شخصی تنها در شرایط محدود میتواند صورت گیرد و پس از انتقال به سایر کشورهای ثالث نیز تحت این شرایط قرار میگیرند.
مبانی قانونی پردازش داده
دادهها نمیتوانند پردازش شوند مگر اینکه حداقل یک مبنای قانونی برای آن وجود داشته باشد:
۱. شخص موضوع داده نسبت به پردازش آن برای یک یا چند هدف مشخص رضایت داده باشد. لایحه GDPR قوانین سختگیرانهای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است. همچنین متن رضایتنامه باید صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را به اطلاع کاربران برساند. رضایت کودکان باید توسط والدین یا قیم کودک اعلام شود. کنترلکننده داده باید بتواند رضایت را اثبات کند و چون رضایت دائمی نیست میتواند لغو شود.
با توجه به قوانین جدید، شرکتها باید فرایند عدم رضایت را به همان سادگی فرایند رضایت پیادهسازی کنند تا در صورت لزوم بتوان با استفاده از آن، عدم رضایت خود برای پردازش دادههای شخصی را اعلام کرد. همچنین به درخواستهای مشتریان در خصوص لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانکهای اطلاعاتی مربوطه ثبت تا در آینده از داده آنها استفاده نشود.
۲. پردازش دادهها برای اجرای یک قراردادی که شخص موضوع داده، طرف آن قرارداد است لازم باشد یا درخواست دادهها قدم اولیه برای ورود به قرارداد باشد.
۳. پردازش دادهها برای کنترلکننده جهت تطابق با تعهدات وی لازم باشد.
۴. پردازش برای حفاظت از منافع حیاتی شخص موضوع داده یا شخص حقیقی دیگری لازم باشد.
۵. پردازش برای اقدامی در جهت منافع عمومی و یا انجام وظایف حاکمیتی لازم باشد.
۶. پردازش برای اهداف مشروع کنترلکننده داده یا شخص ثالثی ضروری باشد، مگر اینکه با منافع یا حقوق و آزادیهای اساسی شخص موضوع داده تعارض داشته باشد به خصوص اگر شخص موضوع داده کودک باشد.
مسئولیتپذیری و پاسخگویی
کنترلکننده داده برای رعایت مقررات GDPR باید اقداماتی را انجام دهد که به صورت پیشفرض با اصول حفاظت از دادهها منطبق باشد و در توسعه فرآیندهای کسبوکار باید اصول حریم خصوصی برای حفاظت از دادهها رعایت شود. انجام چنین اقداماتی در سریعترین زمان ممکن باید شامل دادههای شخصی شود. اقدامات موثر برای انطباق فعالیتهای پردازش داده با مقررات GDPR جزو مسئولیتهای کنترلکننده است حتی اگر پردازش توسط شخصی خارج از کنترل وی انجام شود.
هنگامی که دادهها جمعآوری میشود، کاربران باید بهطور واضح در مورد میزان جمعآوری دادهها، مبنای قانونی برای پردازش دادههای شخصی، مدتی که دادههای شخصی نگهداری میشوند و اینکه آیا دادهها به خارج از اتحادیه اروپا یا اشخاص ثالثی منتقل میشود یا خیر اطلاع داشته باشند و اطلاعات افسر حفاظت از دادهها را به کاربران بدهند و آنها را از حقوق خود مبتنیبر GDPR از جمله حق پس گرفتن رضایت پردازش اطلاعات، حق مشاهده اطلاعات شخصی و دسترسی به یک مرور کلی بر فرآیند پردازش، حق پاک کردن دادهها در شرایط خاص، داشتن یک نسخه کپی از دادههایشان، حق اعتراض و حق محدودیت مطلع کنند.
چگونگی تاثیر GDPR بر سازمانهای داده محور
موافقتهای قابل تأیید و مطمئن: رضایت کاربران برای پردازش و یا عدم پردازش دادههای شخصی، یکی از مولفههای مهم GDPR است. لایحه GDPR به شهروندان اتحادیه اروپا اجازه میدهد بر اساس موافقت، امکان پردازش دادههای شخصی خود را در اختیار سازمانها قرار دهند و قوانین سختگیرانهای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است.
با توجه به قوانین جدید، شرکتها باید فرآیند عدم رضایت را به همان سادگی فرآیند رضایت نیز پیادهسازی کنند تا در صورت لزوم بتوان با استفاده از آن، عدم رضایت خود را برای پردازش دادههای شخصی اعلام کرد. همچنین متن رضایتنامه باید صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را به اطلاع کاربران برساند.
تاکید بر حفاظت داده بهصورت پیش فرض و رعایت آن در طراحی: تا به امروز، کسب وکارها از اقدامات فنی و سازمانی متعددی برای حفاظت از دادههای شخصی استفاده میکردند ولی پیادهسازی GDPR، شرکتها را ملزم میکند وضعیت و اقدامات حفاظت دادهها را بهطور مستمر بررسی و بهروز کنند.
ارزیابی اثرات حفاظت از دادهها: برای شناسایی، درک و کاهش هرگونه ریسکی که ممکن است در زمان ایجاد راهحلهای جدید و یا انجام فعالیتهای جدیدی که مستلزم پردازش داده مشتری نظیر تجزیه و تحلیل داده و تمامی برنامههای دادهمحور است (شامل برنامههای هوش کسبوکار، انبار داده و برنامههای بازاریابی) لازم است ارزیابی اثرات حفاظت از دادهها انجام شود. لایحه GDPR، ارزیابی اثرات حفاظت از دادهها را برای تمامی سازمانها یک الزام اجباری در نظر گرفته است و در صورتی که نتایج ارزیابی نشاندهنده وجود یک تهدید و یا خطر امنیتی باشد، باید با یک مقام نظارتی حفاطت از داده مشورت شود.
در صورتی که یک سازمان نتواند خود را با الزامات GDPR تطبیق دهد و در ممیزی انجامشده کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد. عواقب فوق بر خلاف آنچه که اکثر مردم باور دارند، صرفاً محدود به مجازاتهای مالی نمیشود و میتواند اساس و شهرت یک بنگاه کسبوکار را با مخاطره جدی مواجه سازد. سه عامل اصلی از دست دادن اعتماد مشتریان، جرایم مالی و عدم استفاده از داده خصوصی مشتریان در هرگونه سیستم و یا برنامه، باعث شده است مقررات GDPR یکی از سختگیرانهترین و دقیقترین قوانین حفاظت از دادهها باشد.
افشای دادهها و نقض قوانین حفاظت از داده
براساس قوانین و مقررات GDPR، کنترلکننده داده در صورت افشای دادهها، متعهد به اطلاعرسانی به نهاد نظارتی بدون تأخیر نامعقول (حداکثر۷۲ ساعت) است؛ مگر اینکه این افشای دادهها خطری برای حقوق و آزادیهای اساسی اشخاص نداشته باشد که در این صورت الزامی به اطلاع به شخص موضوع دادهها ندارد.
اشخاصی که این تعهد را نقض کنند، مشمول مجازاتهایی میشوند. این موارد عبارتند از تحریمهایی که میتواند نسبت به آنها اعمال شود، از جمله هشدار کتبی در بار اول در صورت غیرعمدی بودن؛ بازرسیهای منظم ادواری برای حفاظت از دادهها؛ جریمه تا ۱۰ میلیون یورو و یا تا دو درصد از گردش مالی سالانه شرکت در سال مالی گذشته، در صورت نقض پاراگراف ۵ و ۶ ماده ۸۳ از سند GDPR؛ جریمه تا ۲۰ میلیون یورو یا تا ۴ درصد از گردش مالی سالانه شرکت در سال مالی گذشته، درصورت نقض پاراگراف ۴ ماده ۸۳ از سند GDPR؛ نقض قوانین حفاظت داده توسط یک شرکت میتواند از طریق درگیر شدن در پروندههای مدنی به اعتبار و شهرت یک سازمان صدمات جبران ناپذیری وارد کند.
برای پیشگیری از جرایم سنگین و مجازات شدید، کسبوکارها باید یک برنامه کامل، جامع و بالغ حاکمیت داده را پیرامون بازبینی کلیه قراردادهای موجود تا درخواست خرید سیستمهای جدید مستقر کنند. همچنین باید تمامی روشهای مدیریت داده را بهمنظور سازگاری با مقررات GDPR و کاهش خطرات مالی و اعتباری مطالعه و بررسی کنند.
اقدامات لازم جهت کاهش ریسک و انطباق با GDPR
این سوال مطرح میشود که چگونه میتوان ریسکها را کاهش داد و از اعتبار کسبوکار خود حفاظت کرد؟ با انجام اقدامات زیر میتوان از تطابق با قوانین جدید حفاظت داده مطمئن شد:
تعریف داده شخصی مشتریان: دادههای شخصی اطلاعات مربوط به یک فرد است و فراتر از نام آشکار، شماره تلفن و آدرس است و شامل اطلاعاتی مانند آدرس IP، آدرس ایمیل یا شماره تلفن، اطلاعات بانکی، عکس، شماره مربوط به حساب های مالی، اطلاعات پزشکی، اطلاعات (مانند نام) مرتبط با پستهای رسانه های اجتماعی میشود. فعالیتهای پردازش شامل جمعآوری، استفاده و افشای اطلاعات است که مقررات GDPR حفاظت بیشتری برای پردازش دستههای خاص اطلاعات شخصی فراهم میکند. کشورهای عضو ممکن است شرایط بیشتری شامل محدودیتهای مربوط به پردازش دادههای ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را ارائه دهند.
برای مثال، تکنولوژیهای جدیدی وجود دارد که به بازاریابان اجازه میدهد بهراحتی خریداران را در زمان واقعی بر اساس آدرس MAC خود، که مشابه آدرس IP است، ردیابی کنند. خردهفروشان قادر به ردیابی رفتار خریدار خواهند بود که به خودی خود نقض مقررات نیست، با این حال نقض آن براساس مقرراتی است که بر رفتار نظارتی حاکم بر GDPR تمرکز میکنند. اساساً، نمایهسازی یا تجزیه و تحلیل بدون مجوز دارای مجازات است. برای این منظور، مهم است که کسبوکارها درک صحیحی از اطلاعات شخصی شامل شناسههای دیجیتال مانند آدرسهای IP و MAC و کوکیهایی که برای تجزیه و تحلیل، تبلیغات و ابزار چت استفاده میشود، دارا باشند.
مدیریت جریان داده و فرآیندها: برای انجام مدیریت جریان دادهها و فرایندهای مربوطه لازم است یک نقشه راه برای تعیین منابع ورود داده، ابزارهای پردازش داده، تکنیکها و متدلوژیهای استفادهشده و شیوه به اشتراک گذاشتن آن با سایر کسبوکارها را ایجاد کنند. پس از تهیه فهرستی از ورودیها و خروجیها، میزان تطابق آنها با مقررات جدید را بررسی و اقدامات لازم برای اطمینان از حاکمیت داده مناسب را انجام دهند.
تعیین یک متخصص حفاظت داده: یک متخصص ارشد افسر حفاظت داده (DPO) را که دارای دانش مناسب و اختیار لازم برای ارزیابی و کاهش خطرات عدم انطباق است، تعیین کنند. اطمینان از پاسخ سریع به درخواستهای لغو: به درخواستهای مشتریان در خصوص لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانکهای اطلاعاتی مربوطه ثبت تا در بازاریابی مستقیم آتی از داده آنها استفاده نشود.
با معرفی قوانین و مقررات GDPR شاهد یک تحول اساسی در روشهای حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکتهای ناسازگار با آن قوانین و مقررات و ناقض داده، جرایم و مجازاتهای سنگین را به دنبال خواهد داشت. موفقیت در ارزیابی مطابقت قوانین و مقررات GDPR مستلزم انجام مجموعهای از اقدامات و فعالیتهای هدفمند و منسجم در حوزههای متعددی خصوصاً مدیریت دادهها است که بدون وجود یک فونداسیون قوی مدیریت داده نمیتوان پاسخگوی الزامات قانونی GDPR باشد، زیرا حاکمیت داده با توجه به وظایف ذاتی خود میتواند در این مسیر بسیار موثر واقع شود.