GDPR
GDPR nədir?
Avropa Parlamenti və Şurası tərəfindən 2016 -cı ilin aprelində razılaşdırılmış Ümumi Məlumat Qoruma Tənzimləməsi (GDPR), şirkətlərin Avropa Birliyi (AB) vətəndaşlarının şəxsi məlumatlarının necə qorunduğunu tənzimləyən əsas qanun olaraq 2018 -ci ilin yazında Məlumat Qoruma Direktivini 95/46/ec-ni əvəz etdi. Artıq Direktivə uyğun olan şirkətlər 25 May 2018 -ci ildən qüvvəyə minən GDPR -nin yeni tələblərinə də uyğun olduqlarını təmin etməlidirlər. GDPR uyğunluğuna son tarixdən əvvəl nail ola bilməyən şirkətlər sərt cəza və cərimələrə məruz qalacaqlar.
GDPR tələbləri, AB ölkələrində istehlakçı və şəxsi məlumatların daha ardıcıl qorunmasını təmin etmək məqsədi ilə Avropa Birliyinin hər bir üzv ölkəsinə tətbiq edilir. GDPR -nin əsas məxfilik və məlumatların qorunması tələblərindən bəziləri bunlardır:
- Məlumatların işlənməsi üçün subyektlərin razılığının alınması
- Məxfiliyi qorumaq üçün toplanan məlumatların anonimləşdirilməsi
- Məlumat pozuntusu bildirişlərinin verilməsi
- Sərhədlər daxilində məlumatların ötürülməsini təhlükəsiz idarə etmək
- Müəyyən şirkətlərin GDPR uyğunluğuna nəzarət etmək üçün məlumatların qorunması üzrə məsul şəxs təyin etməsini tələb etmək
Sadə dildə desək, GDPR, vətəndaşların şəxsi məlumatlarının işlənməsini və hərəkətini daha yaxşı qorumaq üçün AB vətəndaşlarının məlumatlarını idarə edən şirkətlər üçün əsas standartlar toplusunu təyin edir.
GDPR tələblərinə kim tabedir?
GDPR -nin məqsədi, bütün AB üzvlərinə vahid bir məlumat təhlükəsizliyi qanunu tətbiq etməkdir ki, hər bir üzv dövlətin öz məlumatlarını qorumaq qanunlarını yazmasına ehtiyac qalmasın və qanunlar bütün AB daxilində ardıcıl olsun. AB üzvlərindən əlavə olaraq, qeyd etmək vacibdir ki, AB sakinlərinə mal və ya xidmət satan hər bir şirkət, yerləşməsindən asılı olmayaraq, tənzimləməyə tabedir. Nəticədə, GDPR qlobal miqyasda məlumatların qorunması tələblərinə təsir edəcək.
ÜMUMİ MƏLUMAT QORUMA TƏNZİMLƏMƏSİNİN (GDPR) TƏLƏBLƏRİ
GDPR özü 11 fəsil və 91 məqalədən ibarətdir. Təhlükəsizlik əməliyyatlarına ən böyük potensial təsir göstərən bəzi fəsillər və məqalələr aşağıdakılardır:
- 17 və 18 -ci maddələr – GDPR -in 17 və 18 -ci maddələri məlumat subyektlərinin avtomatik olaraq işlənən şəxsi məlumatlarına daha çox nəzarətini təmin edir. Nəticə budur ki, məlumat subyektləri şəxsi məlumatlarını xidmət təminatçıları arasında daha asan ötürə bilər (“daşınma hüququ” da deyilir) və müəyyən şərtlərdə şəxsi məlumatlarını sildirmək üçün nəzarətçiyə (“silinmə hüququ” da deyilir) göstəriş verə bilər.
- 23 və 30 -cu maddələr – şirkətlərin istehlakçıların şəxsi məlumatlarını və məxfiliyini itkiyə və ya aşkarlanmaya qarşı qorumaq üçün adekvat məlumat qoruma tədbirləri görməsini tələb edir.
- 31 və 32 -ci maddələr – Məlumat pozuntusu bildirişləri GDPR mətnində böyük rol oynayır. 31 -ci maddə tək məlumat pozuntularına dair tələbləri müəyyən edir: nəzarətçilər, pozuntunun öyrənilməsindən sonra 72 saat ərzində Nəzarət Orqanlarına (SA) məlumat verməlidir və pozuntunun mahiyyəti və zərərçəkmiş məlumat subyektlərinin təxmini sayı kimi xüsusi təfərrüatları təqdim etməlidir. Maddə 32, məlumat nəzarətçilərindən, pozuntular məlumat subyektlərinin (sahiblərinin) hüquq və azadlıqlarını yüksək riskə atdıqda, onlara pozuntular haqqında mümkün qədər tez məlumat verməyini tələb edir.
- 33 və 33a maddələri – şirkətlərdən istehlakçı məlumatları ilə bağlı riskləri müəyyən etmək üçün Məlumatların Mühafizəsinə Təsir Qiymətləndirmələrinin aparılmasını və bu risklərin həll olunmasını təmin etmək üçün Məlumatların Müdafiəsinə Uyğunluq Baxışlarının həyata keçirilməsini tələb edir.
- Maddə 35 – Maddə 35 müəyyən şirkətlərdən məlumatların mühafizəsi üzrə cavabdeh şəxsləri təyin etməsini tələb edir. Xüsusilə, məlumat subyektinin genetik məlumatlarını, sağlamlığı, irqi və ya etnik mənşəyi, dini inancları və s. kimi detallarını aşkar edən məlumatları emal edən istənilən şirkət, məlumat mühafizəsi üzrə cavabdeh şəxs təyin etməlidirlər, bu cavabdeh şəxs, şirkətlərə Tənzimləməyə uyğunluq barədə müşavirlik etməli və Nəzarət Orqanları ilə əlaqə nöqtəsi kimi çıxış etməlidirlər. Bəzi şirkətlər insan resursları proseslərinin bir hissəsi olaraq işçiləri haqqında şəxsi məlumatlar topladıqları üçün GDPR -nin bu tələbi onlara da şamil edilir.
- 36 və 37 -ci maddələr məlumatların mühafizəsi üzrə cavabdeh şəxsin vəzifələrini və GDPR uyğunluğunun təmin edilməsindəki məsuliyyətlərini, habelə Nəzarət Orqanlarına və məlumat subyektlərinə hesabat verməsini təsvir edir.
- Maddə 45, AB vətəndaşlarının şəxsi məlumatlarını toplayan və ya emal edən beynəlxalq şirkətlərə verilən məlumatların qorunması tələblərini genişləndirir və onları AB yerləşən şirkətlərlə eyni tələb və cəzalara tabe edir.
- Maddə 79, məlumat pozuntusunun xarakterindən asılı olaraq, pozan şirkətin GDPR uyğunsuzluğuna görə qlobal illik gəlirinin 4% -ə qədərini təşkil edən cərimədən bəhs edir.
GDPR-a UYĞUNSUZLUĞA GÖRƏ TƏTBİQ OLUNAN TƏDBİR VƏ CƏZALAR
Keçmiş Məlumat Qoruma Direktivi ilə müqayisədə, GDPR uyğunsuzluğa görə nəzərdə tutulan cəzalar daha yüksəkdir. SA, əvvəlki qanunvericiliyə nisbətən daha çox səlahiyyətə malikdir, çünki GDPR, AB vətəndaşlarının şəxsi məlumatlarını idarə edən bütün şirkətlər üçün AB daxilində bir standart qurur. SA-lar araşdırma və düzəliş səlahiyyətlərinə malikdir və uyğunsuzluq barədə xəbərdarlıq verə bilər, uyğunluğu təmin etmək üçün yoxlamalar apara bilər, şirkətlərdən müəyyən edilmiş müddətlərdə müəyyən təkmilləşdirmələr aparmasını, məlumatların silinməsini əmr edə bilər və şirkətlərə digər ölkələrə məlumat ötürməsini qadağan bilər. Məlumat nəzarətçiləri və emalatçıları SA -nın səlahiyyətlərinə və cərimələrinə tabedir.
GDPR həmçinin SA -ların Məlumatların Qorunması Direktivindən daha böyük cərimələr tətbiq edilməsinə imkan verir; cərimələr hər bir işin şərtlərinə əsasən müəyyən edilir və SA, cəriməli və ya cəriməsiz öz islah səlahiyyətlərini tətbiq etməyi seçə bilər. Müəyyən GDPR tələblərinə riayət etməyən şirkətlər üçün cərimələr, qlobal illik dövriyyənin 2% -i və ya 4% -i və ya 10 milyon avro və ya 20 milyon avro (hansı daha çoxdur) ola bilər.
GDPR, Avropa vətəndaşları ilə əlaqə quran hər kəsə tətbiq olunur
AB üzvlərindən əlavə olaraq, qeyd etmək vacibdir ki, AB sakinlərinə mal və ya xidmət satan hər bir şirkət, yerləşməsindən asılı olmayaraq Tənzimləməyə tabedir. GDPR tələblərinə uyğun olaraq, müəssisələr müştəri məlumatlarının qorunmasını və etibarını artırarkən bahalı cərimələr ödəməkdən qaçınacaqlar.
İndi bu məxfilik tənzimləməsi aktiv olduğu üçün, tənzimləmə tələblərinə uyğun olmayan saytlara Avropa dövlətlərindən girmək mümkün olmayacaq. Müvəqqəti olaraq bloklanan saytlar siyahısında ən çox diqqət çəkənlər Chicago Tribune və LA Times oldu. Təşkilatınızın saytı Avropa istifadəçilərindən hər hansı bir tənzimlənən məlumatı toplayırsa – GDPR -ə riayət etmək məsuliyyəti daşıyır.
ABŞ GDPR tələblərini qəbul edəcəkmi?
“Facebook”un qurucusu Mark Tsukerberqin konqres dinləmələri ilə məlumatların qorunması məsələsi yüksək səviyyəyə çatmışdı. Bir çox ştat öz qanunlarını tətbiq etdi, bu günə qədər ən diqqət çəkəni Kaliforniya İstehlakçı Məxfilik Qanunu oldu.
Ovum hesabatına görə, ABŞ şirkətlərinin təxminən üçdə ikisi GDPR nəticəsində Avropadakı strategiyalarını yenidən baxmalıdır. Bununla birlikdə, şirkətlər ABŞ -da məlumatların məxfiliyi qaydalarının artacağını gözlədikcə, bəziləri məlumatların qorunması üçün daha sərt tədbirlərin görülməsinin vaxtının gəldiyini başa düşürlər.
GDPR ÜÇÜN ƏN YAXŞI TƏCRÜBƏLƏR (best practices):
Kiçik müəssisələrdən tutmuş iri müəssisələrə qədər bütün təşkilatlar GDPR tələblərindən xəbərdar olmalı və onlara riayət etməlidirlər. Bu şirkətlərin bir çoxu üçün, GDPR -yə riayət etmək üçün ilk addım, GDPR tələblərinə cavab vermək üçün məlumatların qorunması proqramını quracaq bir məlumat qorunmasına cavabdeh şəxs təyin etməkdir. GDPR tətbiq olunduqdan sonra isə qanunda edilən dəyişikliklər və tətbiq üsulları haqqında məlumatlı olmaq vacibdir.
GDPR UYĞUNLUGUNU TƏMİN EDƏN ADDIMLAR
- GDPR -ni fiziki olaraq oxuyun
Açıqlanması çətin olan və daha çox hüquqi dilə malik olan bölmələr olsa da, GDPR -in təsiri altına düşən hər kəs bu vacib qanunvericiliyi oxumağa və anlamağa çalışmalıdır.
- Digər təşkilatlara baxın
Yalnız Avropa Birliyindəki şirkətlər deyil, dünyanın hər yerindəki müəssisələr, GDPR-ın təsiri altına düşə bilər. Siz və ya təşkilatınızdakılar, tələbllərə cavab vermək üçün lazım olan addımlar haqqında hələ də anlayışınız yoxdursa, digər şirkətlər nəzər yetirin. Bir çox müəssisə, ehtimal ki, uyğunluğa çatmaq üçün atdıqları addımları paylaşacaq.
- Veb saytınıza çox diqqət yetirin
Kukilər, seçimlər, məlumat saxlama və sairə veb saytda asanlıqla qurula bilən şeylərdir. Onların GDPR ilə uyğunluğu tamamilə başqa bir məsələdir. Əlaqə məlumatlarını toplamaq və saxlamaq üçün istifadə olunan bir çox vasitələrə Tənzimləmə tərəfindən icazə verilsə də, tələblərə uyğunluğunuza əmin olmaq sizin ixtiyarınızdadır.
- Məlumatlarınıza daha çox diqqət yetirin
Təşkilatınızın Avropa Birliyi ilə bağlı məlumatlarla fəaliyyəti (istər rəqəmsal, istərsə də fiziki olaraq) varsa təşkilatınızdakı bütün məlumatlar GDPR -ə uyğun olmalıdır. Məlumatların necə daxil edildiyini, saxlanıldığını və/və ya köçürüldüyünü və silindiyini düzgün şəkildə planlayın. Şəxsi məlumatların ötürülə biləcəyi hər marşrutu bilmək, pozuntuların qarşısını almaq və məlumatların itirilməsi halında düzgün hesabat verməyi təmin etmək üçün çox vacibdir.