کنترلر داده در مقایسه با پردازشگر داده و ISO/IEC 27701

تفاوت بین پردازنده و کنترلر در ISO 27701 چیست؟ تفاوت بین کنترل‌ کننده و پردازشگر مستقیم است. اولی اطلاعات را جمع‌ آوری می‌کند و دلیل و ابزار آن را فراهم می‌کند، و دومی ارائه‌ دهنده خدمات به کنترل‌ کننده است، زیرا داده‌ ها را از طرف کنترل‌ کننده پردازش می‌کند.

کنترلر داده در مقایسه با پردازشگر داده و ISO/IEC 27701, شرح در تصویر

اگر به تازگی اجرای الزامات GDPR خود را شروع کرده‌ اید، درک تفاوت‌ های کلیدی بین پردازشگر داده و کنترل‌ کننده داده مفهوم مهمی است که باید درک کنید. تا حد زیادی، کنترل‌ کننده داده‌ ها کسی است که داده‌ ها را جمع‌ آوری یا در اختیار دارد، و پردازشگر شخص ثالثی است که توسط کنترل‌ کننده برای انجام پردازش داده‌ ها درگیر شده است.

سه تعریف از GDPR که به سرعت درک شما از پردازنده ها و کنترلرها کمک کند:

  • یک کنترل کننده داده، اهداف و ابزار پردازش داده های شخصی را تعیین می کند.
  • یک پردازنده از طرف کنترل کننده درگیر پردازش داده های شخصی می شود.
  • پردازش شامل هرگونه عملیات (یا مجموعه) انجام شده بر روی داده های شخصی (مانند، اما نه محدود به، جمع آوری، ساختار، ذخیره سازی، استفاده یا افشا) است.

ما در این مقاله به کنترلر داده در مقایسه با پردازشگر داده و ISO/IEC 27701 می پردازیم. پس تا انتهای این مقاله با ما همراه شوید.

کنترلر داده در مقایسه با پردازشگر داده و ISO/IEC 27701

محبوبیت اصطلاحات “کنترل کننده داده” و “پردازنده داده” در سال های اخیر به شدت افزایش یافته است. تا حدی به دلیل افزایش قابل توجه رسوایی های نقض داده ها از سوی غول های فناوری، و تا حدودی به دلیل توجه بی سابقه رسانه ها به تصویب رژیم های حفظ حریم خصوصی داده ها (مانند مقررات عمومی حفاظت از داده های اتحادیه اروپا)، امروزه هر سازمانی که دارای هرگونه نوع داده های شخصی مربوط به مدیریت حریم خصوصی داده ها (و باید) باشد.

زندگی در زمان هایی که اطلاعات با ارزش ترین دارایی، به عنوان ابزار شناسایی و هدف قرار دادن مخاطبان است، و در زمانی که دسترسی به اطلاعات از نظر انبوه و آسان بی سابقه است، واکنش بازیگران و کارشناسان بین المللی امنیت سایبری نیز نسبتا قابل توجه بوده است. بخشی از این تلاش‌ها همچنین ISO/IEC 27701 است که به تازگی منتشر شده است، که یک استاندارد بین‌المللی است که دستورالعمل‌ هایی را برای پیاده‌ سازی، نگهداری و بهبود مستمر سیستم مدیریت اطلاعات حریم خصوصی ارائه می‌کند.

کنترلر داده چیست؟

قوانین و مقررات ملی و فدرال متعددی وجود دارد که اصطلاح “کنترل کننده داده” را مشخص و تعریف می کند. در طول دهه 90 تعداد انگشت شماری از کشورهای توسعه یافته مقررات حفاظت از داده ها را به عنوان پاسخی به مقیاس جهانی که اینترنت در حال گرفتن بود، ایجاد و اجرا کردند. اما مقرراتی که واقعاً اصطلاح “کنترل کننده داده” را رایج کرد GDPR بود. ماده 4 GDPR به عنوان یک ضرورت قانونی برای تعریف محدوده و حدود کنترل‌ کنندگان داده می‌گوید:

بازسازی بخش ها در استاندارد ایزو 27001, شرح در تصویر

«کنترل‌کننده» به معنای شخص حقیقی یا حقوقی، مقام عمومی، سازمان یا ارگان دیگری است که به تنهایی یا مشترکاً با دیگران، اهداف و ابزار پردازش داده‌های شخصی را تعیین می‌کند.»

به این معنا که کنترل‌ کننده داده، نهادی است، چه یک شخص یا سازمان یا تعدادی از آنها که در مورد «چگونگی» و «چرا» داده‌ ها تصمیم می‌گیرد. GDPR کنترل کننده داده را به عنوان طرف اصلی مسئول مهم ترین جنبه های داده های شخصی می داند.

مسئولیت جمع آوری داده ها مدیریت موارد زیر است:

  • جمع آوری رضایت موضوعات داده.
  • ابطال درخواست ها از افراد داده.
  • دسترسی به اطلاعات از افراد داده بر اساس حق اطلاعات.
  • مجوز و بیانیه غیرقابل توصیف دلیل جمع آوری داده ها.

کنترل کننده داده تقریباً در همه موارد مسئول نقض داده ها یا دسترسی غیرمجاز و عدم انطباق است.

پردازشگر داده چیست؟

درست در کنار تعریف “کنترل کننده” ، در نقطه 8 ماده 4 ، GDPR معنای “پردازنده” را تعریف می کند:

ایزو 27002 چه تاثیری بر ایزو 27001 دارد؟, شرح در تصویر

«پردازنده» به معنای یک شخص حقیقی یا حقوقی، مقام عمومی، سازمان یا نهاد دیگری است که داده‌ های شخصی را از طرف کنترل‌ کننده پردازش می‌کند».

در مقایسه با مقررات و قوانین قبلی حفظ حریم خصوصی داده‌ها، GDPR مسئولیت‌ های پردازشگرهای داده را گسترش داد و تعداد ابعادی را که قرار است آنها را پاسخگو دانست، افزایش داد.

در ماده 28 آیین نامه آمده است: “در صورت انجام پردازش به نمایندگی از یک کنترلر، کنترل کننده فقط از پردازنده هایی استفاده می کند که ضمانت های کافی را برای اجرای اقدامات فنی و سازمانی مناسب ارائه می دهند به گونه ای که پردازش الزامات این آیین نامه را برآورده کند و از حمایت از حقوق موضوع داده اطمینان حاصل کنید. “

این بدان معناست که با اشاره به نکته ای که در بالا در مورد جمع آوری کننده به عنوان مسئول اصلی مطرح شد، کنترل کننده باید پردازنده ای را انتخاب کند که کاملاً با GDPR مطابقت داشته باشد. تنها راهی که پردازنده‌ ها می‌توانند انطباق خود با GDPR را ثابت کنند، از طریق ممیزی، ارزیابی و صدور گواهینامه شخص ثالث مستقل است. همچنین ذکر این نکته بسیار مهم است که خود شخص ثالث باید دارای اعتبار باشد.

تفاوت بین کنترل کننده داده و پردازشگر چیست؟

تفاوت بین کنترل‌ کننده و پردازشگر مستقیم است: اولی اطلاعات را جمع‌ آوری می‌کند و دلیل و ابزار آن را فراهم می‌کند، و دومی ارائه‌ دهنده خدمات به کنترل‌ کننده است، زیرا داده‌ ها را از طرف کنترل‌ کننده پردازش می‌کند.

بیایید مثال بزنیم:

برای مقاصد بازاریابی، شرکت A اطلاعاتی را از افراد (به عنوان مثال مشتریان، کاربران، شرکا و غیره) جمع آوری می کند و دلیل جمع آوری آن، نحوه جمع آوری آن را تعریف می کند، اطمینان حاصل می کند که افراد را متناسب با آن مطلع می کند و به درخواست های آنها پاسخ می دهد. بر اساس اصل “حق اطلاعات” (مثلاً در مورد نوع داده هایی که شرکت A در اختیار دارد) و درخواست های لغو حذف قطعی اطلاعات را بر اساس درخواست یک موضوع داده مدیریت می کند.

شرکت A با شرکت B قرارداد می بندد که یک شرکت ایمیل بازاریابی است که به عنوان یک پلت فرم ارتباط با مشتری نیز عمل می کند. البته شرکت A باید مطمئن شود که شرکت B با GDPR مطابقت دارد.

بنابراین ما وضعیتی داریم که در آن شرکت A اطلاعات را به دلایل مشخص شده جمع آوری می کند و شرکت B ایمیل های گسترده ای را از طرف شرکت A برای مشتریان ارسال می کند پس از اینکه آنها به طور واضح با این تراکنش اطلاعاتی موافقت کردند. شرکت A کنترل کننده و شرکت B پردازنده در این مورد است. این تصویر به طور اتفاقی یک پیکربندی بسیار رایج از رابطه یک کنترل کننده و پردازنده است.

تفاوت بین حفاظت از داده ها و حریم خصوصی داده ها چیست؟

تفاوت اصلی بین حفاظت از داده ها و حریم خصوصی داده ها، دامنه هایی است که آنها به آنها مربوط می شوند. حفاظت از داده ها یک موضوع امنیت سایبری است و مربوط به محافظت از داده ها از طرف هایی است که مجاز به دسترسی به داده ها نیستند، مانند هکرهای کلاه سیاه. از سوی دیگر، حریم خصوصی داده ها مربوط به حوزه قانونی (مانند GDPR) است و به دسترسی به داده ها از طرف های مجاز مربوط می شود.

کنترلر داده چیست؟

قوانین و مقررات ملی و فدرال متعددی وجود دارد که اصطلاح “کنترل کننده داده” را مشخص و تعریف می کند. در طول دهه 90 تعداد انگشت شماری از کشورهای توسعه یافته مقررات حفاظت از داده ها را به عنوان پاسخی به مقیاس جهانی که اینترنت در حال گرفتن بود، ایجاد و اجرا کردند. به این معنا که کنترل‌ کننده داده، نهادی است، چه یک شخص یا سازمان یا تعدادی از آنها که در مورد «چگونگی» و «چرا» داده‌ ها تصمیم می‌گیرد. GDPR کنترل کننده داده را به عنوان طرف اصلی مسئول مهم ترین جنبه های داده های شخصی می داند.

پردازشگر داده چیست؟

«پردازنده» به معنای یک شخص حقیقی یا حقوقی، مقام عمومی، سازمان یا نهاد دیگری است که داده‌ های شخصی را از طرف کنترل‌ کننده پردازش می‌کند». در مقایسه با مقررات و قوانین قبلی حفظ حریم خصوصی داده‌ها، GDPR مسئولیت‌های پردازشگرهای داده را گسترش داد و تعداد ابعادی را که قرار است آنها را پاسخگو دانست، افزایش داد.

برای امتیاز به این نوشته کلیک کنید!
[کل: 1 میانگین: 5]

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا