GDPR که مخفف کلمه های “General Data Protection Regulations” می باشد، قوانینی عمومی /الزام آور برای حفظ حریم خصوصی کاربران توسط کسب و کار ها در اتحادیه اروپا می باشد،

که از تاریخ بهمن ماه  ۲۰۱۶ مطرح شده و از تاریخ ۲۵ ماه May سال ۲۰۱۸ میلادی (خرداد ماه ۱۳۹۷) در اتحادیه اروپا به صورت رسمی اجرا خواهد شد، و کسب و کار هایی که خود را با این قوانین وفق ندهند جریمه ای سنگین (معادل ۲۰ میلیون یورو و یا ۴ درصد درامد سالانه شرکت)  را پرداخت خواهند کرد.

در مقالات زیادی در سایت Medium به این نکته اشاره شده است که در ۲۰ سال اخیر، قوانین حفظ حریم خصوصی کاربران هیچ وقت تا این اندازه رشد مثبت و چشمگیری نداشته است و امید می رود که با وضع این قوانین، محیطی امن تر برای کاربران اتحادیه اروپا را شاهد خواهیم بود.

در این سند مواردی ذکر شده که کسب و کار هایی که قصد دارند اطلاعات مشتریانشان را برای مقاصد گوناگونی پردازش کرده و یا به اشتراک بگذارند در راستای حفظ حریم خصوصی اطلاعات ملزم به رعایت آنها خواهند بود، و همچنین کاربران سیستم های مختلف نیز مطلع خواهند شد که طبق قوانین جدید چه حق و حقوقی خواهند داشت .

قوانین پیشین حفظ حریم خصوصی (اطلاعات)کاربران در اتحادیه اروپادر سال ۱۹۹۵ وضع شده وهمچنین در سال ۱۹۹۸ نسخه بریتانیاینی (UK`s standard) آن وضع شده و به اجرا درآمده بود.

بدیهی است قوانین آن سالها با توجه به تکنولوژی های آن بازه زمانی و همچنین راه های متعارف استفاده از اطلاعات وضع شده بود و ورود داده های اطلاعاتی جدید که از سنسور های مختلف  مانند IOT و یا موبایل ها و روش های مختلف تولید می شود، در آن دیده نشده بود و این امکان را برای شرکت های مختلف فراهم می کرد که با سیاست های خاص و سودجویانه بتوانند از اطلاعات کاربران در راستای منافع خود سو استفاده کنند.

 

تعریف جدید GDPR از داده های شخصی چیست؟ و تحت چه مفاهیمی دسته بندی شده است؟

در این سند به مفاهیمی مانند داده های خصوصی “Personal data” و معنای آن اشاره شده است. معنای داده های خصوصی به داده هایی اطلاق می شود که می توان با استفاده از آن ها به صورت مستقیم و یا غیر مستقیم یک شخص را شناسایی کرد، این داده ها می توانند شامل نام یک فرد، شماره تلفن همراه، ویژگی های فیزیکی خاص، ویژگیهای روانشناختی هر موضوعی که بتوان با آن فردی را شناسایی کرد، باشند.

همچنین در این سند جدید، به دسته ی خاصی از اطلاعات شخصی  “Special Categories”اشاره می کند، که داده های از قبیل ملیت، نوع مذهب، رنگ پوست، دید کاربر به مسائل سیاسی  و … را شامل می شود. و همه این ها نیز جزوی از اطلاعات شخصی اطلاق می شود .

در قانون قدیمی حفاظت از اطلاعات کاربران (در اتحادیه اروپا) که در سال ۱۹۹۵ تدوین و اجرا شده بود، هیچ قانونی با هدف محافظت اطلاعات کاربران اروپایی برای شرکت های خارج از اتحادیه (که با اطلاعات آنها کار می کنند) در نظر گرفته نشده بود، که این مورد در نسخه جدید GDPR که در ماه May سال میلادی ۲۰۱۸ اجرایی می شود

داده های شخصی بدون اجازه کاربران نمی توانند پردازش شوند.

در قوانین پیشین، شرکت ها می توانستند داده های کاربران را پردازش کنند و این موضوع مسئولیستی را نیز برای آنها ایجاد نمی کرد، ولی تحت GDPR موضوع متفاوت خواهد بود، شرکت های باید به صورت شفاف گزارش کنند که چه پردازش هایی به چه منظور انجام می شود و اینکه از نتایج قرار است به چه منظور استفاده شود. همچنین مجازات عدم رعایت قوانین GDPR هزینه ای سنگین برای آنها خواهد داشت و این خطر نیز وجود خواهد داشت که در پرونده های مدنی درگیر شوند که این موضوع  آسیب پذیری آنها را در خصوص احتمال شکست در پرونده های مختلف را بالا خواهد برد.

در اطلاعات منتشر شده در خصوص شرکت هایی که دارای کاربران زیادی در سراسر دنیا هستند (به خصوص شرکت های حوزه فناوری اطلاعات)، گاها دیده می شود که درز اطلاعات بخشی یا کل اطلاعات پایگاه داده شان را در زمانی که رخ می دهد، گزارش نمی کنند و چندی بعد این موضوع به صورت اتفاقی در رسانه ای منتشر می گردد ( مانند درز اطلاعات شرکت یاهو و فیس بوک سال ۲۰۱۷ ) زیرا در آن زمان اگر موضوعی این چنینی گزارش شود، اعتبار برند و قیمت سهام آنها با چالش روبرو خواهد شد، که تحت قوانین GDPR شرکت ها موظف هستند به محض رخداد رویدادی مانند درز اطلاعات به صورت غیر مجاز (مانند هک شدن و یا از دست دادن اطلاعات و …) آنرا سریعا گزارش کنند تا شامل جریمه های بسیار سنگین این قانون نشوند.

 

جریمه شرکت های متخلف

اگر شرکت ها قوانین GDPR را بدرستی رعایت نکنند و مشخص شود قوانین را بدرستی اجرا نکرده و یا تخلفی داشته اند و داده هایشان به صورت غیر قانونی درز کزده باشد، بین ۲ الی ۵ درصد درامد سالیانه شان و یا تا سقف ۲۰ میلیون یورو جریمه خواهند پرداخت.

هدف اصلی از اعمال قوانین جدید تحت عنوان GDPR در اتحادیه اروپا، نشان نگرشی جدیدی به اطلاعات شخصی می باشد که نشان میدهد، حفاظت از اطلاعات بسیار مهمتر از همیشه است .

 

افسر حفاظت از اطلاعات

طبق قوانین مطرح شده در GDPR، شرکت ها موظف هستند افسری / افسرانی  (DPO) را در تحت مسئولیت (نقش) حفاظت از اطلاعات  کاربران در سازمان خود داشته باشند، تا آنها با نظارت بر بخش های مختلف سازمان (کل سازمان) ، اطمینان حاصل کنند که قوانین GDPR در راستای حفاظت از اطلاعات شخصی کاربران عضو اتحادیه اروپا به درستی رعایت می گردد.

 

حق مالکیت بر اطلاعات برای کاربران اتحادیه اروپا محفوظ است

در قانون جدید افراد حاضر در اتحادیه اروپا می توانند به شرکت / شرکت هایی که داده های شان را نگه داری و پردازش می کنند، در خواست های را مطرح کنند و این شرکت ها موظف خواهند بود اطلاعات را لازم را با هدف تامین نیاز کاربران در اختیار آنان قرار دهند .

 

حق دریافت اطلاعات

پس از هر گونه درخواست برای داده ها، کسب و کار ها باید تا حد امکان روشن باشد که چگونه داده ها پردازش می شود، چه کسی آن را پردازش می کند، و در جایی که ممکن است به پایان برسد. افراد نیز باید بتوانند با هر گونه درخواستی که ممکن است داشته باشند، با کنترل کننده داده ارتباط برقرار کنند.

 

حق دسترسی

افرادی که مایل به بررسی استفاده از داده های خود هستند، حق دسترسی به این داده ها را دارند و قانونی بودن استفاده از آن را تأیید می کنند.

 

حق اصلاح

افراد داده حق دارند که هرگونه اطلاعات نادرست ذخیره شده در مورد آنها را سریع، به روشنی و بدون تاخیر نامناسب اصلاح کنند.

 

حق پاک کردن

همچنین به عنوان “حق فراموش شدن” شناخته شده است، چند دلیل قانونی وجود دارد که یک فرد داده می تواند از پاک کردن اطلاعات شخصی خود درخواست کند:

– نگهداری داده های آنها دیگر لازم نیست.

– به دلیل پردازش غیر قانونی، فرد می تواند درخواست دهد که داده هایش از سمت پردازش کننده پاک شود.

– اطلاعات پردازش شده غیرقانونی اعلام شود.

– اطلاعات مربوط به یک کودک است. (و ممکن است در آینده از آن سو استفاده گردد)

-…

 

حق محدود سازی پردازش

این حق در شرایط مشابه مانند حق پاک کردن عمل می کند. یک فرد حقیقی می تواند درخواست دهد که محدودیتی بر روی پردازش داده هایش اعمال گردد.

 

حق دسترسی به داده ها

طبق مقررات GDPR، افراد می توانند اطلاعات خود را که در شرکت های ثالث نگه داری می شود را نیز درخواست دهند.

 

حق مخالفت و اعتراض

افراد می توانند درخواست دهند که داده هایشان توسط شرکت ها به منظور بازاریابی مستقیم مورد استفاده قرار نگیرد . همچنین  زمینه های مختلف دیگری برای اعتراض مربوط به استفاده قانونی یا اطلاعات علمی تاریخی وجود دارد.

 

تصمیم گیری خودکار فردی

اطلاعات مختلفی در خصوص کاربران عموما برای سیستم های تصمیم گیری اتومات مورد استفاده قرار می گیرد.( به عنوان مثال عادت های خرید، محل سکونت، و … داده هایی است که مورد استفاده سیستم های تصمیم گیری اتومات قرار می گیرد تا نتایجی مرتبط با آنها را نمایش دهند.) که با اجرایی شدن قوانین حفاظت از اطلاعات GDPR، کاربران می توانند از سیستم های مختلف بخواهند که از این داده ها در خصوص آنها استفاده نشود.

 

ارزیابی تاثیر پردازش داده ها

پردازش داده ها با توجه به قوانین GDPR تنها برای سازمان هایی مجاز خواهد بود که موارد زیر در سازمان آنها ارزیابی شده باشد.

– تأثیر پردازش اطلاعات بر روی موضوع درخواست داده شده جهت پردازش اطلاعات

– فرایندهای فنی (برای ارزیابی اینکه آیا این فرایند ها بروز هستند)

– اقدامات امنیتی برای محافظت از اطلاعات شخصی