بی‌اعتباری کسب‌وکارها با بی‌توجهی به امنیت داده‌ها

اگر سازمانی نتواند خود را با الزامات GDPR یا مقررات حفاظت از داده‌های عمومی تطبیق دهد و کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد که صرفاً محدود به مجازات‌های مالی نشده و می‌تواند اساس و شهرت یک بنگاه کسب‌وکار را با مخاطره جدی مواجه کند.
 
 دهه گذشته بی‌تردید تکامل گسترده جامعه شناختی جهانی است که نسل جدید و عصر ارتباطات و پردازش داده‌ها را تعریف و ایجاد کرده است. این دوران به دلیل اینکه شبکه‌های اجتماعی مختلف از جمله فیس‌بوک، اینستاگرام، توییتر و سایر برنامه‌ها و سایت‌ها در خط مقدم انتشار خبری و سازوکارهای ارتباطی بین کاربران خود قرار دارند، به‌عنوان دوران رسانه‌های اجتماعی توصیف شده است.
 
استفاده از شبکه‌های اجتماعی به‌عنوان یک روند آغاز طی این سال‌ها به یک ابزار ضروری در زندگی روزمره میلیون‌ها نفر تبدیل شده و زمینه‌ای آسان برای برقراری ارتباط، اشتراک‌گذاری و انتشار دیدگاه‌ها، اخبار و اطلاعات را فراهم می‌کند. امروزه داده‌ها به‌سرعت در حال تبدیل شدن به شاهرگ حیاتی اقتصاد جهانی هستند. در عصر کلان داده‌ها و هوش مصنوعی، داده می‌تواند هم به عنوان یک فرصت و هم به عنوان یک تهدید مطرح شود.
 
داده ارایه‌دهنده نوع جدیدی از دارایی اقتصادی است و می‌توان با مدیریت صحیح، منسجم، هدفمند، یکپارچه و به‌کارگیری یک تفکر راهبردی، آن را به یک مزیت رقابتی تبدیل کرد. عدم مدیریت مناسب داده خصوصا در مواردی  نظیر حفظ حریم خصوصی و حفاظت از داده‌های محرمانه و حساس مشتریان، می‌تواند به شهرت و اعتبار یک سازمان آسیب برساند و استمرار کسب‌وکار یک بنگاه اقتصادی را با چالش جدی مواجه کند.
 
صرف داشتن داده دلیلی بر موفقیت نیست، مهم شیوه جمع‌آوری، ذخیره‌سازی، آماده‌سازی، استخراج، عملیات، بهره‌برداری، پالایش، تولید و توزیع داده است. استفاده از این شبکه‌ها و قوانین انتقال گسترده اطلاعات شخصی در سراسر جهان مرتبط با قانون حفاظت از داده‌ها، مصوبه کمیسیون اروپا در سال ۱۹۹۵ است. این قانون به‌مدت طولانی قبل از عصر وب ۲، بدون شبکه‌های اجتماعی در نظر گرفته شده است. سپس در ماه می ۲۰۱۶، اتحادیه اروپا مقررات جدیدی را در مورد حفاظت از اطلاعات شخصی تصویب کرد.
 
با وجود پیامدهای شدید مخاطرات امنیت داده، تا همین اواخر، جریمه نقض مقررات حفاظت از داده‌ها، محدود بود و در عمل اقدامات اجرایی قابل ملاحظه‌ای انجام نمی‌شد. با افزایش جرائم اینترنتی، نیاز به امنیت آنلاین به‌طور فزاینده‌ای برای کسب‌ وکارهای مجازی افزایش می‌یابد. اطلاعات امنیتی به‌عنوان مسئول تأمین‌کننده امنیت مجازی یک شرکت، باید به‌روز باشند تا اطمینان حاصل شود که کسب‌وکار مجازی در یک فضای امن صورت می‌گیرد و اطلاعات دارای امنیت بالایی است و این نیازمند به‌روز بودن و سازگاری با مباحث امنیتی در حوزه فضای مجازی است.
 
تحول بنیادین در روش‌های حفاظت از داده مشتریان با GDPR
 
در نهایت اتحادیه اروپا با معرفی GDPR یا مقررات حفاظت از داده‌های عمومی (General Data Protection Regulation)، تنظیم و جایگزین قوانین کنونی حفاظت از داده‌های سال ۱۹۹۵، شاهد یک تحول بنیادین در روش‌های حفاظت داده مشتریان بوده و پیامد آن برای شرکت‌های ناسازگار با مقررات GDPR و ناقض داده، جرایم و مجازات‌های سنگین خواهد بود. مقررات حفاظت از اطلاعات عمومی به‌طور مستقیم در سطح ملی قابل اجراست و قوانین حفاظت از داده‌ها را در سراسر اتحادیه اروپا هماهنگ می‌کند.
 
 طبق گزارش سازمان تنظیم مقررات و ارتباطات رادیویی، مقررات حفاظت از داده‌های عمومی (GDPR) یک سند در حوزه حقوق اروپاست که برای حفاظت از داده‌ها و حریم خصوصی همگان در حوزه اتحادیه اروپایی و منطقه اقتصادی اروپا تدوین شده است. این سند همچنین به ارسال داده‌ها به خارج از اتحادیه و منطقه اقتصادی اروپا نیز می‌پردازد. این سند از تاریخ ۲۵ می ۲۰۱۸ لازم‌الاجرا بوده و هدف سند آن است که به شهروندان و افراد مقیم در حوزه اتحادیه و منطقه اقتصادی اروپا امکان کنترل بر اطلاعات شخصی‌شان اعطا کند و نظارت بر محیط کسب‌وکار بین‌المللی را تسهیل کند.
 
بر اساس این سند فرآیندهای کسب‌وکار که اطلاعات شخصی را مدیریت می‌کند باید با پیش‌فرض رعایت حریم خصوصی طراحی و از تنظیمات حریم خصوصی حداکثر استفاده شود، طوری که داده‌ها بدون رضایت صریح به‌طور عمومی در دسترس قرار نگیرند و استفاده نشوند. بر این اساس هیچ داده شخصی نمی‌تواند جز در صورت وجود یک مبنای قانونی یا رضایت صریح و صحیح موضوع داده (شخصی که داده‌های وی مورد کنترل و پردازش است) پردازش شود.
 
این موضوع در فضای تکنولوژی امروزه و به‌ویژه در زمینه بازاریابی دیجیتال، به دلیل تمرکز بیشتر روی حریم خصوصی حائز اهمیت است، ممکن است به عبارت دیگر بازاریاب‌ها برای ایجاد کمپین‌های موفق دیجیتال دسترسی کمتری به نوع داده‌های لازم داشته باشند. یک پردازنده اطلاعات شخصی باید به روشنی درباره اینکه چه اطلاعاتی را جمع‌آوری می‌کند، چگونه و چرا پردازش می‌شوند، چگونه نگهداری می‌شود و با اشخاص ثالثی به اشتراک گذارده می‌شود یا خیر توضیح دهند. همچنین کاربران حق دارند کپی اطلاعات خود را از پردازنده دریافت و در شرایط خاصی درخواست پاک شدن داده‌ها را کند.
 
یکی از ویژگی‌های برجسته GDPR نسبت به سایر مقررات موجود، گستردگی حفاظت از داده مشتریان است. لایحه GDPR شامل طیف گسترده‌ای از الزامات قانونی جدید است، از پیاده‌سازی شرایط لازم جهت جابجایی داده‌های بین‌المللی گرفته تا بررسی، به‌هنگام‌سازی و اقدامات فنی و سازمانی جهت حفاظت از داده مشتریان. الزامات قانونی فوق، به‌طور قابل توجهی بر نحوه جمع‌آوری، مدیریت، حفاظت و به اشتراک گذاشتن داده‌ها تأثیر خواهد گذاشت.
 
یکی از اهداف دیگر این است که از کسب‌وکارها برای حفظ و نگهداری داده‌ها برای مدت زمان طولانی جلوگیری شود و از آن استفاده نکنند. اساساً این سیاست تاریخ انقضای مصرف داده را تعیین می‌کند. در راستای اجرای این سند، ادارات و شرکت‌های خصوصی که فعالیت آنها حول محور پردازش منظم یا سیستماتیک اطلاعات شخصی قرار دارند، ملزم به استخدام افسر حفاظت از داده (DPO) هستند که موظف به انطباق فعالیت‌ها با سند GDPR است و کسب‌وکارها ملزم هستند هرگونه نقض و تخلف را در صورتی که اثر نامطلوبی بر حریم خصوصی داشته باشد، ظرف ۷۲ ساعت گزارش کنند.
 
دامنه اعمال سند  GDPR
 
این مقررات در صورتی اعمال می‌شود که کنترل‌کننده داده‌ها (سازمان یا مرکزی که داده‌ها را از کاربران مقیم اروپا جمع‌آوری می‌کند) یا پردازنده (مجموعه‌ای که اطلاعات جمع‌آوری‌شده را از طرف کنترل‌کننده مانند شرکت‌های خدمات Cloud Computing پردازش می‌کند) و یا موضوع داده در محدوده اتحادیه اروپا باشد. بنابراین در شرایط خاصی، این مقررات نسبت به مجموعه‌هایی در خارج از اتحادیه اروپا نیز قابل اعمال است و آن در صورتی است که این مجموعه‌ها اطلاعات افراد مقیم در حوزه اتحادیه اروپا را مورد پردازش قرار دهند.
 
براساس تعریف کمیسیون اروپا از داده‌های شخصی، داده شخصی هرگونه اطلاعات مربوط به یک فرد است، اعم از اینکه در رابطه با زندگی خصوصی، حرفه‌ای و یا عمومی وی باشد. بنابراین، این اطلاعات می‌تواند شامل هر داده‌ای اعم از آدرس منزل، ایمیل، جزییات حساب بانکی، اطلاعات پستی، شبکه‌های اجتماعی، پزشکی و حتی یک آدرس IP رایانه باشد. فعالیت‌های پردازش شامل جمع‌آوری، استفاده و افشای اطلاعات است که مقررات حفاظت از اطلاعات عمومی حفاظت بیشتری برای پردازش دسته‌های خاص اطلاعات شخصی فراهم می‌کند. کشورهای عضو ممکن است شرایط بیشتری شامل محدودیت‌های مربوط به پردازش داده‌های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را ارائه دهند.
 
مقررات جدید حفاظت از داده‌ها در رابطه با تمامی داده‌هایی که امکان شناسایی مستقیم و یا غیرمستقیم یک فرد را توسط هر کسی فراهم می‌کند، اعمال می‌شود. در نتیجه، شناسه‌های کوکی، شناسه‌های آنلاین، شناسه‌های دستگاه و آدرس‌های IP به‌عنوان داده شخصی تحت طبقه‌بندی GDPR تلقی می‌شوند. مدیریت صحیح داده در سراسر چرخه حیات یکی از الزامات اولیه و مهم حفاظت داده است. این مقررات بر فعالیت‌های مربوط به پردازش داده‌های شخصی برای اهداف امنیت ملی یا اجرای قوانین اتحادیه اروپا، اعمال نمی‌شود.
 
با وجود این، گروه‌های صنعتی که نگران مواجه شدن با اختلافات احتمالی در قانون هستند، این سوال را مطرح کرده‌اند که آیا ماده ۴۸ از سند مصوب GDPR می‌تواند مانع کنترل‌کننده داده‌ها برای ارایه داده‌های یک مقیم اتحادیه اروپا به مقامات انتظامی، قضایی یا امنیتی یک کشور ثالث، فارغ از اینکه داده‌ها در داخل یا خارج اتحادیه باشد، به حساب بیاید یا خیر.
 
ماده ۴۸ بیان می‌کند که هرگونه رأی دادگاه یا محکمه و هرگونه دستور اداری کشور ثالث به کنترل‌کننده یا پردازش‌کننده‌ داده‌ها برای انتقال یا افشای داده‌های شخصی نمی‌تواند به رسمیت شناخته شود و قابل اجرا نیست؛ مگر اینکه درخواست براساس یک موافقت‌نامه بین‌المللی مانند معاهده معاضدت متقابل، بین کشور درخواست کننده (که عضو اتحادیه اروپا نیست) و اتحادیه اروپا یا یکی از کشورهای عضو اتحادیه باشد.
 
 مجموعه مقررات GDPR شامل دستورالعملی جداگانه برای حفاظت از داده‌ها برای پلیس و بخش عدالت کیفری (دادگستری) نیز هست که مقررات حاکم بر تبادل داده‌های شخصی را در سطح ملی، اروپایی و بین‌المللی نیز مشخص می‌کند. این مقررات بر تمام کشورهای عضو اتحادیه اروپا اعمال و هر کشور عضو یک نهاد نظارتی مستقل (ISA) برای استماع و بررسی شکایات، اعمال مجازات‌ برای تخلفات اداری و ایجاد می‌کند و این نهاد در هر کشور عضو با نهاد نظارتی دیگر کشورهای عضو در راستای کمک متقابل و سازماندهی اقدامات مشترک همکاری می‌کند.
 
چنانچه شرکتی در نقاط مختلف اتحادیه اروپا تشکیلات داشته باشد، نهاد ناظر بر آن، نهاد مستقر در مرکز امور مهم آن شرکت یا به عبارتی مرکز اصلی آن خواهد بود. (مرکز اصلی شرکت جایی است که شرکت در آنجا اداره می‌شود و امور اداری شرکت در آنجا متمرکز است. معمولاَ ارکان شرکت یعنی مجامع عمومی و هیات مدیره و مدیر عامل و بازرس یا بازرسان، در مرکز اصلی شرکت انجام وظیفه می‌کنند.)
 
مطابق ماده ۳ مقررات GDPR، برای مواردی که کنترل‌کننده داده‌ها و یا پردازنده‌های داده‌ای در اتحادیه اروپا ایجاد نشده‌اند، اما فعالیت‌های آن‌ها در محدوده مقررات GDPR قرار دارد، اطلاعات شخصی ممکن است در خارج از اتحادیه اروپا به کشورهای ثالث یا سازمان‌های بین‌المللی منتقل شوند که در اینصورت باید یک نماینده به‌عنوان نقطه تماس در یک کشور عضو اتحادیه اروپا تعیین کنند.
 
انتقال داده‌های شخصی به یک کشور سوم یا سازمان بین‌المللی که از تصمیمات کمیسیون اروپا مطلع نیست، می‌تواند از طریق تعدادی از ابزارهای موجود مانند مقررات حفاظت از داده‌های استاندارد، قوانین شرکت‌های اجباری و همچنین ابزارهای جدید، کدهای تاییدشده یا صدور گواهینامه ارائه شود. در مواردی که تصمیم‌گیری و حمایت مناسبی وجود نداشته باشد، انتقال داده‌های شخصی تنها در شرایط محدود می‌تواند صورت گیرد و پس از انتقال به سایر کشورهای ثالث نیز تحت این شرایط قرار می‌گیرند.
 
مبانی قانونی پردازش داده
 
داده‌ها نمی‌توانند پردازش شوند مگر اینکه حداقل یک مبنای قانونی برای آن وجود داشته باشد:
 
۱. شخص موضوع داده نسبت به پردازش آن برای یک یا چند هدف مشخص رضایت داده باشد. لایحه GDPR قوانین سختگیرانه‌ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است. همچنین متن رضایت‌نامه باید صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را به اطلاع کاربران برساند. رضایت کودکان باید توسط والدین یا قیم کودک اعلام شود. کنترل‌کننده داده باید بتواند رضایت را اثبات کند و چون رضایت دائمی نیست می‌تواند لغو شود.
 
با توجه به قوانین جدید، شرکت‌ها باید فرایند عدم رضایت را به همان سادگی فرایند رضایت پیاده‌سازی کنند تا در صورت لزوم بتوان با استفاده از آن، عدم رضایت خود برای پردازش داده‌های شخصی را اعلام کرد. همچنین به درخواست‌های مشتریان در خصوص لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانک‌های اطلاعاتی مربوطه ثبت تا در آینده از داده آنها استفاده نشود.
 
 ۲. پردازش داده‌ها برای اجرای یک قراردادی که شخص موضوع داده، طرف آن قرارداد است لازم باشد یا درخواست داده‌ها قدم اولیه برای ورود به قرارداد باشد.
 
۳. پردازش داده‌ها برای کنترل‌کننده جهت تطابق با تعهدات وی لازم باشد.
 
۴. پردازش برای حفاظت از منافع حیاتی شخص موضوع داده یا شخص حقیقی دیگری لازم باشد.
 
۵. پردازش برای اقدامی در جهت منافع عمومی و یا انجام وظایف حاکمیتی لازم باشد.
 
۶. پردازش برای اهداف مشروع کنترل‌کننده داده یا شخص ثالثی ضروری باشد، مگر اینکه با منافع یا حقوق و آزادی‌های اساسی شخص موضوع داده تعارض داشته باشد به خصوص اگر شخص موضوع داده کودک باشد.
 
مسئولیت‌پذیری و پاسخگویی
 
کنترل‌کننده داده برای رعایت مقررات GDPR باید اقداماتی را انجام دهد که به صورت پیش‌فرض با اصول حفاظت از داده‌ها منطبق باشد و در توسعه فرآیندهای کسب‌وکار باید اصول حریم خصوصی برای حفاظت از داده‌ها رعایت شود. انجام چنین اقداماتی در سریع‌ترین زمان ممکن باید شامل داده‌های شخصی شود. اقدامات موثر برای انطباق فعالیت‌های پردازش داده با مقررات GDPR جزو مسئولیت‌های کنترل‌کننده است حتی اگر پردازش توسط شخصی خارج از کنترل وی انجام شود.
 
هنگامی که داده‌ها جمع‌آوری می‌شود، کاربران باید به‌طور واضح در مورد میزان جمع‌آوری داده‌ها، مبنای قانونی برای پردازش داده‌های شخصی، مدتی که داده‌های شخصی نگهداری می‌شوند و اینکه آیا داده‌ها به خارج از اتحادیه اروپا یا اشخاص ثالثی منتقل می‌شود یا خیر اطلاع داشته باشند و اطلاعات افسر حفاظت از داده‌ها را به کاربران بدهند و آنها را از حقوق خود مبتنی‌بر GDPR  از جمله حق پس گرفتن رضایت پردازش اطلاعات، حق مشاهده اطلاعات شخصی و دسترسی به یک مرور کلی بر فرآیند پردازش، حق پاک کردن داده‌ها در شرایط خاص، داشتن یک نسخه کپی از داده‌هایشان، حق اعتراض و حق محدودیت مطلع کنند.
 
چگونگی تاثیر GDPR بر سازمان‌های داده محور
 
موافقت‌های قابل تأیید و مطمئن: رضایت کاربران برای پردازش و یا عدم پردازش داده‌های شخصی، یکی از مولفه‌های مهم GDPR است. لایحه  GDPR به شهروندان اتحادیه اروپا اجازه می‌دهد بر اساس موافقت، امکان پردازش داده‌های شخصی خود را در اختیار سازمان‌ها قرار دهند و قوانین سختگیرانه‌ای را برای کسب رضایت داده شخصی مشتریان در نظر گرفته است.
 
با توجه به قوانین جدید، شرکت‌ها باید فرآیند عدم رضایت را به همان سادگی فرآیند رضایت نیز پیاده‌سازی کنند تا در صورت لزوم  بتوان  با استفاده از آن، عدم رضایت خود را برای پردازش داده‌های شخصی اعلام کرد. همچنین متن رضایت‌نامه باید صریح باشد و با شفافیت کامل دلایل و نوع استفاده از داده را  به اطلاع کاربران برساند.
 
تاکید بر حفاظت داده به‌صورت پیش فرض و رعایت آن در طراحی: تا به امروز، کسب وکارها از  اقدامات فنی و سازمانی  متعددی برای حفاظت از داده‌های شخصی  استفاده می‌کردند ولی  پیاده‌سازی GDPR، شرکت‌ها  را ملزم می‌کند وضعیت و اقدامات حفاظت داده‌ها را به‌طور مستمر بررسی و به‌روز کنند.
 
ارزیابی اثرات حفاظت از داده‌ها: برای شناسایی، درک و کاهش هرگونه ریسکی که ممکن است در زمان ایجاد راه‌حل‌های جدید و یا انجام فعالیت‌های جدیدی که مستلزم پردازش داده مشتری نظیر تجزیه و تحلیل داده و تمامی برنامه‌های داده‌محور است (شامل برنامه‌های هوش کسب‌وکار، انبار داده و برنامه‌های بازاریابی) لازم است ارزیابی اثرات حفاظت از داده‌ها انجام شود. لایحه GDPR، ارزیابی اثرات حفاظت از داده‌ها را برای تمامی سازمان‌ها یک الزام اجباری در نظر گرفته است و در صورتی که نتایج ارزیابی نشان‌دهنده وجود یک تهدید و یا خطر امنیتی باشد، باید با یک مقام نظارتی حفاطت از داده مشورت شود.
 
در صورتی که یک سازمان نتواند خود را با الزامات GDPR تطبیق دهد و در ممیزی انجام‌شده کارنامه قبولی نگیرد، با عواقب سنگینی مواجه خواهد شد. عواقب فوق بر خلاف آنچه که اکثر مردم باور دارند، صرفاً محدود به مجازات‌های مالی نمی‌شود و می‌تواند اساس و شهرت یک بنگاه کسب‌وکار را با مخاطره جدی مواجه سازد. سه عامل اصلی از دست دادن اعتماد مشتریان، جرایم مالی و عدم استفاده از داده خصوصی مشتریان در هرگونه سیستم و یا برنامه، باعث شده است مقررات GDPR یکی از سخت‌گیرانه‌ترین و دقیق‌ترین قوانین حفاظت از داده‌ها باشد.
 
افشای داده‌ها و نقض قوانین حفاظت از داده
 
براساس قوانین و مقررات GDPR، کنترل‌کننده داده در صورت افشای داده‌ها، متعهد به اطلاع‌رسانی به نهاد نظارتی بدون تأخیر نامعقول (حداکثر۷۲ ساعت) است؛ مگر اینکه این افشای داده‌ها خطری برای حقوق و آزادی‌های اساسی اشخاص نداشته باشد که در این صورت الزامی به اطلاع به شخص موضوع داده‌ها ندارد.
 
اشخاصی که این تعهد را نقض کنند، مشمول مجازات‌هایی می‌شوند. این موارد عبارتند از تحریم‌هایی که می‌تواند نسبت به آنها اعمال شود، از جمله هشدار کتبی در بار اول در صورت غیرعمدی بودن؛ بازرسی‌های منظم ادواری برای حفاظت از داده‌ها؛ جریمه تا ۱۰ میلیون یورو و یا تا دو درصد از گردش مالی سالانه شرکت در سال مالی گذشته، در صورت نقض پاراگراف ۵ و ۶ ماده ۸۳ از سند GDPR؛ جریمه تا ۲۰ میلیون یورو یا تا ۴ درصد از گردش مالی سالانه شرکت در سال مالی گذشته، درصورت نقض پاراگراف ۴ ماده ۸۳ از سند GDPR؛ نقض قوانین حفاظت داده توسط یک شرکت می‌تواند از طریق درگیر شدن در پرونده‌های مدنی به اعتبار و شهرت یک سازمان صدمات جبران ناپذیری وارد کند.
 
برای پیشگیری از جرایم سنگین و مجازات شدید، کسب‌وکارها باید یک برنامه کامل، جامع و بالغ حاکمیت داده را پیرامون بازبینی کلیه قراردادهای موجود تا درخواست خرید سیستم‌های جدید مستقر کنند. همچنین باید تمامی روش‌های مدیریت داده را به‌منظور سازگاری با مقررات GDPR و کاهش خطرات مالی و اعتباری مطالعه و بررسی کنند.
 
اقدامات لازم جهت کاهش ریسک و انطباق با GDPR
 
این سوال مطرح می‌شود که چگونه می‌توان ریسک‌ها را کاهش داد و از اعتبار کسب‌وکار خود حفاظت کرد؟ با انجام اقدامات زیر می‌توان از تطابق با قوانین جدید حفاظت داده مطمئن شد:
 
تعریف داده شخصی مشتریان: داده‌های شخصی اطلاعات مربوط به یک فرد است و فراتر از نام آشکار، شماره تلفن و آدرس است و شامل اطلاعاتی مانند آدرس IP، آدرس ایمیل یا شماره تلفن، اطلاعات بانکی، عکس، شماره مربوط به حساب های مالی، اطلاعات پزشکی،   اطلاعات (مانند نام) مرتبط با پست‌های رسانه های اجتماعی می‌شود. فعالیت‌های پردازش شامل جمع‌آوری، استفاده و افشای اطلاعات است که مقررات GDPR حفاظت بیشتری برای پردازش دسته‌های خاص اطلاعات شخصی فراهم می‌کند. کشورهای عضو ممکن است شرایط بیشتری شامل محدودیت‌های مربوط به پردازش داده‌های ژنتیکی و بیومتریک یا اطلاعات مربوط به سلامتی را ارائه دهند.
 
برای مثال، تکنولوژی‌های جدیدی وجود دارد که به بازاریابان اجازه می‌دهد به‌راحتی خریداران را در زمان واقعی بر اساس آدرس MAC خود، که مشابه آدرس IP است، ردیابی کنند. خرده‌فروشان قادر به ردیابی رفتار خریدار خواهند بود که به خودی خود نقض مقررات نیست، با این حال نقض آن براساس مقرراتی است که بر رفتار نظارتی حاکم بر GDPR تمرکز می‌کنند. اساساً، نمایه‌سازی یا تجزیه و تحلیل بدون مجوز دارای مجازات است. برای این منظور، مهم است که کسب‌وکارها درک صحیحی از اطلاعات شخصی شامل شناسه‌های دیجیتال مانند آدرس‌های  IP و MAC و کوکی‌هایی که برای تجزیه و تحلیل، تبلیغات و ابزار چت استفاده می‌شود، دارا باشند.
 
مدیریت جریان داده و فرآیندها: برای انجام مدیریت جریان داده‌ها و فرایندهای مربوطه لازم است یک نقشه راه برای تعیین منابع ورود داده، ابزارهای پردازش داده، تکنیک‌ها و متدلوژی‌های استفاده‌شده و شیوه به اشتراک گذاشتن آن با سایر کسب‌وکارها را ایجاد کنند. پس از تهیه فهرستی از ورودی‌ها و خروجی‌ها، میزان تطابق آنها با مقررات جدید را بررسی و اقدامات لازم برای اطمینان از حاکمیت داده مناسب را انجام دهند.
 
تعیین یک متخصص حفاظت داده: یک متخصص ارشد افسر حفاظت داده (DPO) را که دارای دانش مناسب و اختیار لازم برای ارزیابی و کاهش خطرات عدم انطباق است، تعیین کنند. اطمینان از پاسخ سریع به درخواست‌های لغو: به درخواست‌های مشتریان در خصوص لغو رضایت به یک شکل مناسب پاسخ و مراتب را در بانک‌های اطلاعاتی مربوطه ثبت تا در بازاریابی مستقیم آتی از داده آنها استفاده نشود.
 
با معرفی قوانین و مقررات GDPR شاهد یک تحول اساسی در روش‌های حفاظت داده مشتریان خواهیم بود و پیامد آن برای شرکت‌های ناسازگار با آن قوانین و مقررات و ناقض داده، جرایم و مجازات‌های سنگین را به دنبال خواهد داشت. موفقیت در ارزیابی مطابقت قوانین و مقررات GDPR مستلزم انجام مجموعه‌ای از اقدامات و فعالیت‌های هدفمند و منسجم در حوزه‌های متعددی خصوصاً مدیریت داده‌ها است که بدون وجود یک فونداسیون قوی مدیریت داده نمی‌توان پاسخگوی الزامات قانونی GDPR باشد، زیرا حاکمیت داده با توجه به وظایف ذاتی خود می‌تواند در این مسیر بسیار موثر واقع شود.