نتیجه
حاکمیت داده می تواند یک حوزه ریسک بزرگ برای سازمان هارا پوشش می دهد و ممکن است تا حد زیادی توسط حسابرسان داخلی رسیدگی نشده باشد. با این حال، افزایش فعلی در مقررات، جریمه‌ها، و قرار گرفتن در معرض ریسک شهرت، آن را به حوزه‌ای حیاتی برای حسابرسان داخلی تبدیل می‌کند تا در سریع‌ترین زمان ممکن تحت پوشش قرار دهند

منشور اخلاقی، سیاست های حفظ حریم خصوصی و قانون CAN-SPAM

یکی از راه‌هایی که سازمان می‌تواند اطمینان حاصل کند که کارکنان از انتظارات حاکمیت داده‌ای مطلع هستند، منشور اخلاقی سازمان است. در کسب‌وکارهایی که با داده های بزرگ سروکار دارند مانند خدمات مالی، منشور اخلاقی باید با الزامات مربوط به حاکمیت داده به‌روزرسانی شوند. این الزامات می تواند شامل موارد زیر باشد:

  • فهرست داده های تحت پوشش سیاست های حاکمیت داده سازمان.
  • الزامات امنیتی کارکنان برای اطمینان از اینکه کارکنان از بهترین رویکردهای ایمن سازی تجهیزات شرکت و دستگاه های تلفن همراه آگاه هستند.
  • دسترسی محدود متناسب با نقش های شغلی.
  • فهرستی از اقداماتی که می تواند بر حاکمیت داده ها تأثیر منفی بگذارد با ذکر مجازات مرتبط

بدیهی است که عناصر منشور اخلاقی بر اساس صنعت، جغرافیا و غیره متفاوت خواهد بود. با این حال، کارمندان باید درک کنند که ممکن است شخصاً به دلیل سوء استفاده از داده ها پاسخگو باشند.

یکی دیگر از نکات مهمی که بر شیوه های حاکمیت داده یک سازمان تأثیر می گذارد، سیاست های حفظ حریم خصوصی آن است. منشور اخلاقی انتظارات و الزامات حاکمیت داده را به کارکنان منتقل می کند، اما سیاست های حفظ حریم خصوصی عناصر حاکمیت داده را به مشتریان منتقل می کند. سیاست های حریم خصوصی به مشتریان کمک می‌کند تا درک کنند که چه شیوه‌های جمع‌آوری، استفاده و ذخیره‌سازی داده‌ها برای داده های آنها اعمال می‌شود. شیوه های اطلاع رسانی مشتری تضمین می کند که مشتریان شما می دانند سیاست های حفظ حریم خصوصی شما به چه معناست.

 اکثر رویکردهای شاخص برای سیاست های حفظ حریم خصوصی، عقلانی هستند. مقررات انتخاب/انصراف ممکن است گیج کننده باشد. از منظر قانونی، بسیاری از کارهایی که سازمان های خدمات مالی برای بازاریابی محصولات خود انجام می دهند، برای ارائه خدمات حیاتی تلقی نمی شوند. بنابراین، زمانی که داده‌ها برای اهداف بازاریابی یا از طریق برنامه‌های بازاریابی جمع‌آوری می‌شوند، وضوح انتخاب و انصراف می‌تواند بسیار مهم باشد. برخی از سؤالات مطرح شده ممکن است شامل موارد زیر باشد:

■ با داده ها برای افرادی که انصراف می دهند چه می کنید؟

■ آیا داده های ذخیره شده در سرورهای پشتیبان را حذف می کنید؟

■ آیا باید نحوه حذف داده های پشتیبان را فاش کنید؟

در ایالات متحده قانون CAN-SPAM یک قانون کلیدی است که حسابرسان داخلی باید آن را درک کنند. هر ایمیل جداگانه که قانون CAN-SPAM را نقض کند مشمول جریمه هایی تا سقف ۴۲۵۳۰ دلار است، بنابراینعدم رعایت می تواند پرهزینه باشد. اما پیروی از قانون پیچیده نیست. در اینجا فهرستی از الزامات اصلی CAN-SPAM آمده است:

از اطلاعات هدر نادرست یا گمراه کننده استفاده نکنید. اطلاعات “از”، “به”، “پاسخ به” و مسیریابی شما – از جمله نام دامنه و آدرس ایمیل مبدا – باید دقیق باشد و شخص یا کسب و کاری را که پیام را آغاز کرده است شناسایی کند.

از خطوط موضوعی فریبنده استفاده نکنید. موضوع باید دقیقاً محتوای پیام را منعکس کند.

پیام را به عنوان یک تبلیغ شناسایی کنید. قانون به شما آزادی عمل زیادی در نحوه انجام این کار می دهد، اما باید به وضوح و آشکارا فاش کنید که پیام شما یک تبلیغ است.

به گیرندگان بگویید در کجا قرار دارید. پیام شما باید شامل آدرس پستی فیزیکی معتبر شما باشد. این می تواند آدرس خیابان فعلی شما و صندوق پستی باشد.

به گیرندگان بگویید چگونه از دریافت ایمیل در آینده از شما انصراف دهند. پیام شما باید حاوی توضیح واضح و روشنی باشد که چگونه گیرنده می تواند از دریافت ایمیل از شما در آینده انصراف دهد. اعلامیه را به گونه ای بسازید که تشخیص، خواندن و درک آن برای یک فرد عادی آسان باشد. استفاده خلاقانه از اندازه، نوع، رنگ و مکان  متنمی تواند وضوح را بهبود بخشد. یک آدرس ایمیل برگشتی یا یک راه ساده دیگر مبتنی بر اینترنت بدهید تا به مردم اجازه دهید انتخاب خود را با شما در میان بگذارند. می‌توانید منویی ایجاد کنید تا به گیرنده اجازه دهید از انواع خاصی از پیام‌ها انصراف دهد، اما باید گزینه‌ای را برای توقف همه پیام‌های تجاری در نظر بگیرید. مطمئن شوید که فیلتر هرزنامه شما این درخواست‌های انصراف را مسدود نمی‌کند.

درخواست های انصراف را فوراً محترم بشمارید. هر مکانیزم انصرافی که ارائه می‌دهید باید بتواند درخواست انصراف را حداقل ۳۰ روز پس از ارسال پیام پردازش کند­. باید ظرف ۱۰ روز کاری به درخواست انصراف گیرنده پاسخ دهید. شما نمی توانید هزینه ای دریافت کنید، از گیرنده بخواهید که اطلاعات شناسایی شخصی فراتر از آدرس ایمیل را به شما بدهد، یا گیرنده را مجبور به انجام هر اقدامی غیر از ارسال ایمیل پاسخ یا بازدید از یک صفحه در یک وب سایت اینترنتی به عنوان شرط احترام کنید. هنگامی که مردم به شما می گویند که نمی خواهند پیام های بیشتری از شما دریافت کنند، نمی توانید آدرس ایمیل آنها را حتی در قالب یک لیست پستی بفروشید یا انتقال دهید. تنها استثنا این است که می توانید آدرس ها را به شرکتی که استخدام کرده اید منتقل کنید تا به شما در رعایت CAN کمک کند­ قانون هرزنامه

  • بر کارهایی که دیگران از طرف شما انجام می دهند نظارت کنید. قانون روشن می کند که حتی اگر شرکت دیگری را برای مدیریت ایمیل مارکتینگ خود استخدام کنید، نمی توانید مسئولیت قانونی خود را برای پیروی از قانون منع کنید. هم شرکتی که محصولش در پیام تبلیغ می‌شود و هم شرکتی که واقعاً پیام را ارسال می‌کند ممکن است از نظر قانونی مسئول باشند.

بنابراین، اگر سازمان شما از قوانین و رویکردهای شاخص پیروی می کند، نکته کلیدی بعدی حفظ سوابق است. قوانین حفظ سوابق از ایالت به ایالت دیگر متفاوت است و حتی می تواند توسط قوانین و مقررات محلی اداره شود. برای سازمان‌های خدمات مالی که در حوزه‌های قضایی متعدد فعالیت می‌کنند، حفظ سوابق می‌تواند یک سیاست بسیار دشوار برای توسعه و اجرای آن باشد.

برخی از قوانین کلی در خصوص رویکردهای شاخصوجود دارد که سازمان ها می توانند برای حفظ سوابق از آنها پیروی کنند و بیشتر موقعیت ها را پوشش می دهد.

  • سازمان ها حق دارند سوابق را مطابق قانون نگهداری کنند
  • اگر مطمئن نیستید که می توانید داده ها نگه دارید یا نه می توانید از مشاور بیرونی استفاده کنید تا آنها به صورت کتبی از سازمانهای ناظر تأییده بگیرند
  • همیشه مسئولیت شخصی و بدهی های احتمالی مرتبط با آن را به یاد داشته باشید
  • سازمان‌ها می‌توانند داده‌ها را برای تجزیه و تحلیل در آینده ذخیره کنند، اما شما باید فرآیندهایی برای غیرشخصی‌سازی داده‌ها داشته باشید تا قابل ردیابی به اشخاص نباشند
    • به طور کلی، دو ایده کلیدی وجود دارد: ۱) داده هایی را که به آنها نیاز ندارید جمع آوری نکنید و ۲) داده ها را بیش از زمان مورد نیاز ذخیره نکنید.