حق فراموش شدن

دایرکتوری حذف حساب‌های کاربری

rtbf.ir

شما هم مشارکت کنید

DORA چیست و چرا برای داده‌های کاربران مهم است؟

تاریخ: 13 بهمن 1403   امیر

DORA چیست و چرا برای داده‌های کاربران مهم است؟

قانون DORA (Digital Operational Resilience Act) یک مجموع قوانین جدید اتحادیه اروپا است که با هدف افزایش تاب‌آوری عملیاتی دیجیتال برای مؤسسات مالی تدوین شده است. این قانون، شرکت‌ها را ملزم می‌کند که در برابر حملات سایبری، نشت اطلاعات، و خرابی‌های دیجیتال مقاوم باشند.

یکی از موضوعات کلیدی در این قانون، مدیریت داده‌های کاربران است. DORA شرکت‌ها را وادار می‌کند که سازوکارهای امنیتی سخت‌گیرانه‌ای برای حفاظت از اطلاعات شخصی در نظر بگیرند و از هرگونه نشت یا سوءاستفاده از داده‌ها جلوگیری کنند. اما آیا این قانون به کاربران اجازه می‌دهد که داده‌های خود را به‌طور کامل حذف کنند؟ آیا DORA از حق فراموشی پشتیبانی می‌کند؟ در این نوشته این موضوعات را به طور کامل پوشش خواهیم داد!

 

ارتباط حق فراموشی با DORA

حق فراموشی یکی از اصول کلیدی قانون GDPR است که به کاربران این امکان را می‌دهد که درخواست حذف اطلاعات شخصی خود را از پایگاه‌های داده شرکت‌ها ارائه دهند. این مفهوم برای محافظت از حریم خصوصی کاربران بسیار مهم است، زیرا به آن‌ها کنترل بیشتری روی داده‌هایشان می‌دهد. اما DORA یک قانون با تمرکز بر امنیت و تاب‌آوری دیجیتال است، نه صرفاً حریم خصوصی. در حالی که این قانون شرکت‌ها را موظف می‌کند که امنیت داده‌های کاربران را افزایش دهند، الزام مستقیمی برای حذف کامل داده‌ها مانند حق فراموشی در GDPR ندارد. این تفاوت باعث می‌شود که برخی شرکت‌ها حتی در صورت درخواست کاربران، نتوانند داده‌های آن‌ها را کاملاً پاک کنند. در ادامه بررسی خواهیم کرد که آیا DORA می‌تواند از حذف کامل اطلاعات کاربران پشتیبانی کند یا خیر.

 

آیا DORA از حذف کامل داده‌های کاربران پشتیبانی می‌کند؟

یکی از چالش‌های اصلی در قوانین مربوط به داده‌ها این است که حذف اطلاعات در بعضی از حوزه‌ها امکان‌پذیر نیست. برای مثال، در بانک‌ها و مؤسسات مالی، قوانین ضدپول‌شویی و مقررات مالی شرکت‌ها را ملزم می‌کند که اطلاعات مشتریان را برای مدت مشخصی ذخیره کنند، حتی اگر کاربر درخواست حذف آن‌ها را داشته باشد.

DORA بیشتر روی افزایش امنیت داده‌ها و جلوگیری از حملات سایبری تمرکز دارد و مستقیماً کاربران را قادر نمی‌سازد که داده‌های خود را پاک کنند. بااین‌حال، این قانون شرکت‌ها را وادار می‌کند که اطلاعات را به‌صورت امن مدیریت کرده و در برابر سوءاستفاده محافظت کنند. به عبارت دیگر، DORA برخلاف GDPR، به‌دنبال حفاظت از داده‌ها است، نه حذف آن‌ها. این موضوع در بخش‌های بعدی، به‌ویژه در رابطه با شرکت‌های مالی و فین‌تک‌ها، بیشتر بررسی خواهد شد.

 

تأثیر DORA بر مؤسسات مالی و فین‌تک‌ها

مؤسسات مالی و شرکت‌های فین‌تک، یکی از مهم‌ترین بخش‌هایی هستند که تحت تأثیر DORA قرار می‌گیرند. این شرکت‌ها مسئول مدیریت حجم عظیمی از داده‌های حساس کاربران، از جمله اطلاعات بانکی، تراکنش‌ها، و هویت دیجیتال آن‌ها هستند. بر اساس DORA، این شرکت‌ها باید:

  • سطوح امنیتی بالاتری برای حفاظت از داده‌های کاربران ایجاد کنند.
  • در برابر حملات سایبری و نشت اطلاعات، پروتکل‌های مقاومتی قوی‌تری پیاده‌سازی کنند.
  • در صورت بروز حادثه، سریعاً آن را گزارش دهند و اقدامات اصلاحی انجام دهند.
  • اما چالش اینجاست که حق فراموشی در بخش مالی به‌راحتی قابل اجرا نیست. بانک‌ها و شرکت‌های فین‌تک ملزم به نگهداری داده‌های مشتریان برای مدت مشخصی هستند، حتی اگر کاربر درخواست حذف داده‌های خود را داشته باشد. این موضوع باعث ایجاد تضاد بین حق فراموشی و مقررات مالی می‌شود.

 

مسئولیت شرکت‌ها در حفاظت از داده‌های کاربران طبق DORA

شرکت‌های فناوری و مالی که تحت مقررات DORA فعالیت می‌کنند، مسئولیت سنگینی در قبال امنیت داده‌های کاربران دارند. طبق این قانون، شرکت‌ها باید:

  • از دسترسی‌های غیرمجاز به داده‌های کاربران جلوگیری کنند.
  • داده‌ها را به‌شکل رمزگذاری‌شده ذخیره و پردازش کنند.
  • در صورت وقوع نقض امنیتی، سریعاً کاربران و مقامات قانونی را مطلع سازند.

اما نکته مهم اینجاست که DORA حذف کامل داده‌ها را تضمین نمی‌کند. برخلاف GDPR که شرکت‌ها را ملزم به ارائه امکان حذف اطلاعات می‌کند، DORA بیشتر بر مقاوم‌سازی سیستم‌ها در برابر تهدیدات دیجیتال تمرکز دارد. این بدان معناست که کاربران ممکن است همچنان نتوانند داده‌های خود را به‌طور کامل از سیستم‌های بانکی و مالی حذف کنند.

 

DORA و حق فراموشی در برابر تهدیدهای سایبری

در دنیای دیجیتال، حملات سایبری و نشت اطلاعات از بزرگ‌ترین تهدیدهای کاربران و شرکت‌ها محسوب می‌شوند. قانون DORA تلاش می‌کند تا با ایجاد چارچوب‌های امنیتی قوی‌تر، از اطلاعات کاربران در برابر این تهدیدات محافظت کند.

 

DORA چگونه امنیت داده‌ها را تقویت می‌کند؟

  • الزام شرکت‌ها به مقاوم‌سازی در برابر حملات سایبری: شرکت‌های مالی و فین‌تک‌ها باید از روش‌هایی مانند رمزگذاری داده‌ها، احراز هویت چندمرحله‌ای، و نظارت بر تهدیدات سایبری استفاده کنند.
  • گزارش فوری نقض‌های امنیتی: در صورت نشت داده‌ها، شرکت‌ها باید بلافاصله مقامات قانونی و کاربران را مطلع کنند.
  • ایجاد پروتکل‌های بازیابی داده: اگر حمله‌ای منجر به از دست رفتن داده‌ها شود، شرکت‌ها باید بتوانند اطلاعات را بازیابی کنند.

اما آیا این به معنای امکان حذف کامل داده‌ها برای کاربران است؟ در حالی که DORA از امنیت داده‌ها حمایت می‌کند، تأکید آن بر حفظ و مدیریت امن اطلاعات است، نه الزام به حذف آن‌ها. بنابراین، کاربران ممکن است همچنان با چالش‌هایی در حذف اطلاعات خود مواجه باشند.

 

چالش‌های حذف داده‌ها در چارچوب قوانین مالی و DORA

یکی از پیچیده‌ترین مسائل مربوط به حق فراموشی در حوزه مالی، لزوم نگهداری سوابق کاربران برای مدت مشخصی است. بسیاری از مؤسسات مالی تحت قوانین سخت‌گیرانه‌ای قرار دارند که اجازه حذف فوری داده‌ها را نمی‌دهند.

 

چرا بانک‌ها و شرکت‌های مالی نمی‌توانند داده‌های کاربران را کاملاً حذف کنند؟

  • الزامات قانونی در حوزه ضدپول‌شویی (AML) و مبارزه با تأمین مالی تروریسم (CFT): مؤسسات مالی باید اطلاعات کاربران و تراکنش‌های آن‌ها را برای مدت معینی ذخیره کنند تا در صورت لزوم، امکان بررسی تخلفات وجود داشته باشد.
  • حفظ سوابق حسابداری و مالی: بسیاری از کشورها شرکت‌ها را ملزم می‌کنند که داده‌های مالی مشتریان را برای حداقل ۵ تا ۱۰ سال ذخیره کنند.
  • پشتیبان‌گیری از داده‌ها: حتی اگر کاربر درخواست حذف اطلاعات خود را بدهد، ممکن است نسخه‌هایی از داده‌های او در پشتیبان‌گیری‌های سیستم باقی بماند.

این محدودیت‌ها نشان می‌دهد که DORA به‌تنهایی نمی‌تواند حذف کامل داده‌ها را تضمین کند و حق فراموشی در بخش مالی همچنان یک چالش باقی می‌ماند.

 

DORA، شفافیت داده‌ها و کنترل کاربران بر اطلاعاتشان

یکی از اهداف مهم قوانین جدید داده‌ای مانند DORA، افزایش شفافیت در مدیریت اطلاعات کاربران است. این قانون شرکت‌ها را ملزم می‌کند که نحوه جمع‌آوری، ذخیره و استفاده از داده‌های کاربران را شفاف‌سازی کنند.

 

DORA چگونه به کنترل کاربران بر داده‌هایشان کمک می‌کند؟

  • افزایش شفافیت در پردازش داده‌ها: شرکت‌ها باید به کاربران توضیح دهند که اطلاعات آن‌ها چگونه ذخیره و محافظت می‌شود.
  • مکانیزم‌های گزارش و نظارت بر داده‌ها: کاربران می‌توانند از شرکت‌ها درخواست اطلاعات درباره نحوه استفاده از داده‌هایشان داشته باشند.
  • امنیت بالاتر در برابر سوءاستفاده از داده‌ها: شرکت‌ها باید از ابزارهای قوی‌تری برای جلوگیری از دسترسی غیرمجاز به اطلاعات استفاده کنند.

بااین‌حال، برخلاف GDPR، این قانون به کاربران اجازه حذف داده‌هایشان را نمی‌دهد، بلکه تمرکز اصلی آن بر حفاظت از اطلاعات و افزایش مسئولیت‌پذیری شرکت‌ها است.

 

آینده حق فراموشی و امنیت داده‌ها در عصر قوانین جدید

با گسترش قوانین جدیدی مانند DORA ،GDPR و سایر مقررات جهانی، مسئله حق فراموشی و امنیت داده‌ها همچنان یکی از چالش‌های بزرگ باقی خواهد ماند. با این روند، ممکن است در آینده مقررات جدیدی تصویب شود که هم امنیت داده‌ها را تضمین کند و هم به کاربران اجازه دهد کنترل بیشتری روی اطلاعاتشان داشته باشند. اما در حال حاضر، حق فراموشی در بسیاری از بخش‌ها، به‌ویژه در حوزه مالی و فین‌تک‌ها، همچنان محدود باقی مانده است.