GDPR که مخفف عبارت General Data Protection Regulation است به مقرراتی اتلاق می‌شود که اتحادیه‌ی اروپا برای حفاظت از داده‌ها و محرمانگی اشخاص در سال 2016 به تصویب رسانده و اجرای آن از ماه می 2018 الزامی شده است. در این مقاله به جنبه‌های مختلف این مقررات می‌پردازیم.

پیش از تدوین مقررات عمومی حفاظت از داده، بخشنامه‌ی حفاظت از داده با شماره شناسایی 95/46/EC مصوب سال 1995 ملاک عمل در زمینه‌ی حفاظت از داده‌ها در اروپا بود. طبیعتاً این بخشنامه‌ی قدیمی نمی‌توانست با توجه به تحولات سریع و گسترده در زمینه‌ی فناوی اطلاعات همچنان مؤثر باشد و نیاز به قوانین جدید در این حوزه به شدت احساس می‌شد.

در قوانین جدید با عنوان GDPR، در مورد چگونگی کنترل اطلاعات مشتریان توسط سازمان‌ها و شرکت‌ها بحث شده است. ضمن اینکه به حقوق اشخاص و اعطای نظارت آن‌ها روی اطلاعات شخصی‌شان در فضاهایی مثل اینترنت توجه بیشتری شده است. البته به گفته‌ی مسئولین مرتبط با تدوین GDPR، قانون جدید تغییرات بزرگی را ایجاد می‌کند اما در عین حال، نمی‌توان گفت که همه چیز تغییر کرده است. در واقع GDPR یک تغییر گام به گام در حفاظت از داده‌هاست و بیش از اینکه به یک «انقلاب» شبیه باشد، به عنوان یک «تکامل» مطرح است.

GDPR دقیقاً چیست؟
GDPR
چارچوب جدید اروپا برای قوانین مربوط به حفاظت از داده‌هاست که جایگزین بخشنامه‌ی قدیمی حفاظت از داده‌ها در سال 1995 می‌شود. وب‌سایت رسمی GDPR در اروپا می‌گوید این قانون برای «هماهنگی» قوانین حفاظت از داده در سراسر اروپا و اعطای حقوق و حفاظت بیشتر به اشخاص حقیقی طراحی شده است. به کمک GDPR تغییرات گسترده‌ای در نحوه‌ی نگه‌داری اطلاعات شخصی توسط شرکت‌ها، سازمان‌ها و بخش‌های مختلف اتفاق می‌افتد.

gdpr-key.jpg

پس از بیش از چهار سال بحث و مذاکره، مقررات عمومی حفاظت از داده توسط هر دو نهاد پارلمان اروپا و شورای اروپا در آوریل 2016 مورد موافقت و تصویب قرار گرفت. بر همین اساس مقررات و بخشنامه‌های مربوط به آن در انتهای همین ماه صادر گردید.

پس از انشار عمومی GDPR در نشریه‌ی رسمی اتحادیه‌ی اروپا در می 2016، تاریخ 25 می 2018 به عنوان زمان آغاز ملاک قرار گرفتن این قانون اعلام شد. این فاصله‌ی زمانی دو ساله به عنوان دوره‌ی آماده‌سازی برای شرکت‌ها و عموم افرادی که GDPR روی آن‌ها اثر می‌گذارد و هماهنگی با تغییرات جدید این قانون در نظر گرفته شده بود.

GDPR برای چه کسانی مهم است؟
GDPR
در سراسر اروپا ملاک عمل قرار می‌گیرد اما هر کدام از کشورها می‌توانند در آن تغییرات کوچکی نیز ایجاد کنند. برای مثال در انگلستان، دولت مصوبه‌ای داخلی را با عنوان مصوبه‌ی حفاظت از داده در سال 2018 تصویب کرد که جایگزین مصوبه‌ی حفاظت از داده‌ی 1998 می‌شد که بر اساس بخشنامه‌ی پیشین اتحادیه اروپا تصویب شده بود.

data-protection.jpg

مقررات مذکور، تمامی اشخاص، سازمان‌ها و شرکت‌هایی را که به نحوی داده‌های شخصی افراد را «کنترل» یا «پردازش» می‌کنند شامل می‌شود. بخش دیگری از GDPR به داده‌های «حساس» شخصی نیز می‌پردازد. داده‌های شخصی به طور کل مجموعه‌ای گسترده از اطلاعات است که می‌تواند برای شناسایی یک شخص مورد استفاده قرار گیرد. این داده‌ها می‌توانند یک اسم، آدرس، آدرس آی‌پی یا هر چیزی مثل آن باشد. منظور از داده‌های حساس شخصی، اطلاعاتی مثل داده‌های ژنتیکی، اطلاعات در مورد مذهب و عقاید سیاسی، گرایش‌های مختلف در سبک زندگی و مثل این‌هاست.

تعریف‌ها در GDPR اکثراً شبیه به همان مواردی هستند که در قانون پیشین حفاظت داده‌ها وجود داشتند. یکی از تفاوت‌ها در GDPR این است که در قانون جدید، به اسامی مستعار افراد نیز توجه شده است. بنابراین اگر شخصی در فضای مجازی به طور گسترده با یک نام مستعار شناسایی شود، داده‌های مربوط به آن نام مستعار و حساب‌های کاربری آن نیز در این قانون به آن شخصیت حقیقی مربوط می‌شوند.

حقوق و وظایف در GDPR
در متن کامل مقررات عمومی حفاظت داده، 99 مقاله در مورد حقوق افراد و تعهداتی که بر عهده‌ی سازمان‌ها گذاشته شده، قرار گرفته است. هشت حق برای اشخاص در نظر گرفته شده که شامل اجازه به آن‌ها برای دسترسی آسان‌تر به داده‌هایی که شرکت‌ها در مورد آن‌ها نگهداری می‌کنند، یک نظام جریمه‌ی جدید و یک مسئولیت روشن برای سازمان‌ها به منظور جلب رضایت افراد برای جمع‌آوری اطلاعات در مورد آن‌ها می‌شود. این مقررات حتی برای استارت‌آپ‌های جدید که پیش از این در ابتدای کار، چندان در قید و بند قوانین حفاظت از داده‌ها قرار نمی‌گرفتند نیز لازم‌الاجرا است.

gdpr-compliance.jpg

شرکت‌هایی که قانون GDPR شامل حالشان می‌شود، مسئول نگهداری و کنترل اطلاعات افراد هستند. این مسئولیت می‌تواند شامل سیاست‌های حفظ داده و داشتن اسناد مرتبط با آن نیز شود. در سال‌های اخیر، بارها در مورد درز داده‌های کاربران به بیرون توسط شرکت‌های بزرگ مختلفی مثل یاهو، لینکدین و مای‌اسپیس اخباری منتشر شده است. تحت مقررات جدید، از بین رفتن، گم شدن، تغییر، افشای غیرمجاز یا دسترسی به داده‌های کاربران باید به اطلاع رگولاتورهای حفاظت داده در کشورهایی که این اتفاقات می‌تواند زیانی متوجه آن‌ها کنند، برسد. این مسئله می‌تواند شامل ضررهای مالی، درز اطلاعات محرمانه، ضربه به شهرت افراد و غیره باشد. شرکت پس از اطلاع در این اتفاقات، باید تا 72 ساعت به مسئول مربوطه اطلاع داده و در مورد افرادی که تحت تأثیر این اتفاق قرار می‌گیرند، گزارش دهد.

برای شرکت‌هایی که بیش از 250 نفر نیرو دارند، باید مستنداتی در مورد دلایل جمع‌آوری و پردازش اطلاعات افراد تهیه شود که مواردی مثل توضیحات در مورد نوع اطلاعات، مدت زمان نگهداری آن‌ها و معیارهای فنی و امنیتی نگهداری از آن‌ها را شرح دهد.

علاوه بر این، شرکت‌هایی که نظارت منظم و سیستماتیک در مقیاس بزرگ روی کاربران خود دارند یا داده‌های حساس زیادی از اعضای خود را پردازش می‌کنند باید یک مسئول حفاظت داده نیز استخدام کنند. در این جایگاه شغلی، شخص باید به اعضای ارشد شرکت گزارش داده، روی اجرای GDPR نظارت کند و نقطه تماسی بین اعضای شرکت و مشتریان آن باشد.

ضمن اینکه برای شرکت‌ها این الزام نیز ایجاد شده که برای پردازش داده‌ها در موقعیت‌های مختلف، نیاز به جلب رضایت اشخاص نیز وجود دارد.

دسترسی به داده‌های شخصی

طبق GDPR، اشخاص می‌توانند از شرکت یا سازمان، درخواست ارائه‌ی اطلاعاتی را کنند که در موردشان ذخیره کرده است.

در کنار الزام شرکت‌ها و سازمان‌های جمع‌آوری‌کننده‌ی داده‌های شخصی به رعایت مقررات، GDPR به اشخاص نیز قدرت بیشتری برای دسترسی به داده‌هایی که به خودشان مربوط می‌شوند داده است. طبق GDPR، اشخاص می‌توانند از شرکت یا سازمان درخواست ارائه‌ی اطلاعاتی را کنند که در موردشان ذخیره کرده است. پیش از این چنین درخواست‌هایی حدود 10 پوند هزینه دربرداشت اما پس از GDPR، این هزینه از بین رفته و اجابت این درخواست الزامی و رایگان خواهد بود. پس از ارائه‌ی درخواست، شرکت باید ظرف مدت یک ماه، اطلاعات مورد نظر را جمع‌آوری کرده و تسلیم شخص کند.

علاوه بر این، مقررات جدید این قدرت را به اشخاص می‌دهد که داده‌های شخصی خود در فضای مجازی را طی تشریفات و موقعیت‌های خاصی، حذف کنند. این موقعیت‌ها شامل مواردی که دیگر نیازی به وجود آن داده‌ها برای مقصود گذشته نباشد، لغو رضایت قبلی صادر شده، عدم اعتماد به جمع‌آوری‌کننده‌ی داده یا پردازش بدون اجازه‌ی داده‌ها توسط شرکت می‌شود.

جرایم GDPR
یکی از بزرگترین و مورد بحث‌ترین قسمت‌های GDPR توانایی رگولاتورهای کشورها برای جریمه کردن شرکت‌هایی است که از این مقررات تخلف می‌کنند. اگر یک سازمان داده‌های شخصی را خارج از قوانین مورد پردازش قرار دهد، جریمه خواهد شد. اگر طبق قانون نیاز به وجود مسئول حفاظت داده داشته باشد و این شخص را استخدام نکرده باشد، جریمه خواهد شد و همین اتفاق، در صورت درز اطلاعات امنیتی نیز خواهد افتاد.

مثلاً در انگلستان، جرایم مالی برای تخلفات کوچک می‌تواند تا 10 میلیون یورو یا دو درصد از گردش مالی شرکت تعیین شود. برای تخلفات بزرگتر این جریمه می‌تواند تا 20 میلیون یورو یا چهار درصد گردش مالی جهانی آن شرکت در نظر گرفته شود.

نظر خود را اضافه کنید.

ارسال نظر بدون عضویت در سایت

0
  • هیچ نظری یافت نشد

ورود به شهرسخت‌افزار

ثبت نام در شهر سخت افزار
ورود به شهر سخت افزار

ثبت نام در شهر سخت افزار

نام و نام خانوادگی(*)
لطفا نام خود را وارد کنید

ایمیل(*)
لطفا ایمیل خود را به درستی وارد کنید

رمز عبور(*)
لطفا رمز عبور خود را وارد کنید

شماره موبایل
Invalid Input

جزو کدام دسته از اشخاص هستید؟(*)

لطفا یکی از موارد را انتخاب کنید