قانون GDPR چیست و اجرا شدن آن چه نتایجی دارد؟

واتساپ، گوگل یا فیس بوک – ناگهان همه این شرکت ها خطمشی های جدید حریم خصوصی را برای کاربران خود ارسال می کنند. این به خاطر مقررات حفاظت از اطلاعات عمومی (GDPR) است که از 25 ماه مه )4 خرداد ماه 1397) موثر خواهد بود. بسیاری از شرکت ها در مورد آن نگران هستند. اما واقعاً لازم است چه چیزی را بدانیم؟

اتحادیه اروپا قوانین و استانداردهای جدیدی برای حفظ حریم خصوصی افراد و نوع استفاده از داده ها برای شرکت ها ارائه داده است که به آن GDPR می گویند. این واژه مخفف عبارت General Data Protection Regulation می باشد که به معنی قانون حفاظت از داده ها و اطلاعات عمومی است. مقررات جدید می تواند تغییراتی در قوانین، شیوه جمع آوری، نوع نگه داری و استفاده از اطلاعات را توسط شرکت های اروپایی بوجود آورد.

مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا چیست؟

مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا (EU GDPR) اصلاحیه‌ای جدید و جایگزین عبارت “دستورالعمل‌های حفاظت از داده ” از سال 1995 می‌باشد، که این دستورالعمل، دیگر نمی‌توانست نیازهای شخصی و امنیتی فعلی شهروندان اروپایی را کنترل کند. مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا (EU Data Protection Regulation) چگونگی جمع‌آوری و مدیریت اطلاعات شخصی در اتحادیه اروپا را تعیین می‌کند.

هدف از این قانون جدید “‌تقویت و یکپارچگی در حفاظت از اطلاعات برای همه افراد در اتحادیه اروپا” و همچنین ساده‌ کردن کارها و کنترل آسان‌تر افراد بر اطلاعات شخصی‌شان است.

آیا این قانون تنها شرکت های اروپایی را شامل می شود ؟

خیر این قانون تنها برای شرکت های اروپایی نیست و قوانینی بین المللی می باشد. GDPR تمام شرکت هایی که به اطلاعات شهروندان اتحادیه اروپا نیز دسترسی دارند را نیز شامل می شود. این قانون تقریبا شامل تمام تجارت های آنلاین که به اطلاعات کاربران اروپایی دسترسی دارند نیز می شود. بنابراین می توان گفت که GDPR یک استاندارد جدید جهانی برای حفاظت از اطلاعات و حفظ حریم خصوصی کاربران می باشد.

چه سازمانی GDPR را وضع می کند و مجری آن کیست ؟

پارلمان اروپا در سال ۲۰۱۶ این قوانین را وضع کرده و اتحادیه اروپا نیز مسئولیت پیگیری رعایت این قوانین و تخلفات را دارد.

 GDPR چه اطلاعاتی را حفاظت می کند ؟

این قوانین شامل گستره وسیعی از اطلاعات شخصی کاربران از جمله نام، شماره های شناسایی ، آدرس های IP، کوکی ها ، اثر انگشت های دیجیتالی و بسیاری دیگر از اطلاعات می شود.

هدف EU GDPR چیست؟

هدف از این مجموعه قوانین جدید که در ماه مه سال 2018 به اجرا درمی‌آید، این است که: برای شهروندان اتحادیه‌ اروپا امکان کنترل بیشتر بر اطلاعات شخصی‌شان را فراهم کنند. حفظ حریم خصوصی یک حق اساسی در اروپا است و مقررات جدیدی در همین راستا تنظیم شده‌ است.

این مجموعه قوانین، محیط قانونی را برای کسب‌ و کار فراهم می‌کنند و گامی رو به‌ جلو برای بازار دیجیتال در اتحادیه اروپا هستند که هدف آن‌ها ایجاد فرصت‌های دیجیتالی بیشتر برای افراد و سازمان‌ها در زمینه جا به جایی افراد، کسب‌ و کارها، خدمات و سرمایه‌گذاری‌ها است.

هدف GDPR این است که با روش‌هایی متفاوت از روش‌های به تصویب رسیده در سال 1995 از شهروندان اتحادیه اروپا در برابر درز اطلاعاتشان به دنیای بیرون در جهانی که فرایند انتقال داده‌ها روزبه‌روز در حال افزایش است محافظت کند.

10 جنبه مهم از مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا:

در این قسمت، برخی از موارد ضروری در مورد مقررات حفاظت از اطلاعات عمومی (GDPR) و مرتبط با کاربر، مشتری و کسب‌ و کار آورده شده است:

1. قوانین جمع‌آوری اطلاعات سخت‌گیرانه‌تر می‌شوند.

این سیاست جدید بیان می‌کند که ” اطلاعات شخصی می‌توانند فقط به‌صورت قانونی و تحت شرایطی سخت با اهدافی قانونی مورد جمع‌آوری قرار گیرند”. یعنی صاحبان کسب‌ و کار باید نسبت به اطلاعاتی که در مورد مشتریان خود جمع‌آوری می‌کنند، دقت بیشتری به خرج دهند.

مجموعه مقررات GDPR به این دلیل تنظیم شده‌اند که کاربران از حفاظت شدید داده‌های خود در هر نقطه از اتحادیه اروپا اطمینان حاصل کرده و در صورتی‌که داده‌ها در هر جای اتحادیه اروپا مورد سوءاستفاده قرار گیرند، حق شکایت داشته و می‌توانند خسارت دریافت کنند.

2. شما مسئول حفاظت از اطلاعات شخصی خود در برابر هرگونه آسیب هستید.

GDPR جدید در اتحادیه اروپا بر عدم سوءاستفاده و دست‌کاری اطلاعات شخصی جمع‌آوری‌شده توسط اشخاص حقوقی تأکید بسیاری دارد. علاوه بر آن، خود شما نیز باید تنظیمات حریم خصوصی را به‌طور پیش‌فرض در بالاترین سطح امنیتی قرار دهید.

همه کسانی که به‌نوعی به این قوانین مربوط می‌شوند (حتی خود شما) باید خود را در برابر صاحبان داده مسئول و پاسخگو بدانند.

3. صاحبان داده حق “به فراموشی سپرده شدن اطلاعات خود از روی سایت” را دارند. (یعنی اطلاعات آن‌ها پس از مدتی از روی سایت محو شود.)

طبق مقررات جدید، هر کس این حق را دارد که از اطلاعات شخصی خود محافظت کند؛ که شامل “حق پاک کردن اطلاعات شخصی” است طوری که به کاربران اجازه می‌دهد اطلاعات شخصی خود را از پایگاه داده، شرکت یا موسسه‌ای حذف کنند. شرایط پاک کردن “شامل داده‌هایی است که به مدت طولانی برای اهداف پردازشی مورد استفاده قرار نگرفته‌اند و یا اطلاعات بدون کاربرد و غلطی هستند.”

این کار تنها در صورتی انجام می‌شود که کنترل‌کننده دارای دلایل جدی برای درخواست شخصی خود، ازجمله عدم انطباق اطلاعات باشد. منطق این ایده چنین است که حریم خصوصی و اطلاعات شخصی افراد، کاملاً محرمانه هستند. به‌ عنوان‌ مثال، اگر یک موسسه اطلاعات قدیمی یا نادرست در مورد یک شخص داشته باشد، می‌تواند از نظر قانونی درخواست حذف داده‌ها را داشته باشد.

در اتحادیه اروپا به‌منظور سازگاری بیشتر با قانون GDPR هر شرکتی باید امکان دسترسی آسان به اطلاعات شخصی کارمندان خود را فراهم کند.

4. کاربران از نظارت کامل بر اطلاعات خود رضایت بیشتری دارند.

واضح است که قوانین جدید حفاظت از داده در اتحادیه اروپا به کاربران برای حفاظت از اطلاعات خود قدرت بیشتری می‌دهد. این موضوع برای شرکت‌ها خوب است، اگرچه ممکن است آن‌گونه که به نظر هم می‌رسد، نباشد.

شفافیت بیشتر در قوانین جدید، روابط بین کسب‌ و کار و مشتریان را بهبود بخشیده و درنتیجه سبب ایجاد اعتماد بیشتر و جذب هر چه بیشتر مشتریان می‌شود. قدرت شفافیت و صداقت را دست‌کم نگیرید!

فیس‌بوک ویژگی‌هایی را معرفی می‌کند تا به کاربران اعلام کند زمانی‌که در روند معمول مورد استفاده‌ آن‌ها تغییری ایجاد شود، آن‌ها می‌توانند از داده‌های خود و ایمنی آن اطمینان داشته باشند.

آیا می‌دانستید که قانون جدید حفاظت از داده‌ها عمومی در اتحادیه اروپا قدرت بیشتری را در اختیار کاربران قرار می‌دهد؟

GDPR با امکان کنترل بیشتر بر انتقال اطلاعات به کاربران اجازه می‌دهد اطلاعات شخصی خود را از یک سیستم الکترونیکی به دیگری انتقال دهند. این بدان معنی است که شما، به‌عنوان یک صاحب کسب‌ و کار، باید از جمع‌آوری داده‌ها به‌صورت سازمان‌دهی شده و انتقال آسان اطلاعات به دیگر سیستم‌های الکترونیکی اطمینان حاصل کنید.

در مثال دیگری، گوگل کاربران را برای نظارت بهتر بر اطلاعات جهت بازبینی مسائل امنیتیراهنمایی می‌کند. شما می‌توانید انواع داده‌هایی را که گوگل جمع‌آوری می‌کند، مدیریت کنید و اطلاعات شخصی خود را با دوستانتان به اشتراک بگذارید.

5. مشتریان قادر به تشکیل پرونده‌های قانونی برای پیگیری اطلاعات به خطر افتاده خود خواهند بود.

EU GDPR نه‌تنها از حقوق کاربران حفاظت می‌کند، بلکه از آن‌ها دفاع نیز می‌کند. کاربران در صورت درز اطلاعات یا برخی رویدادهای دیگر که اطلاعات شخصی آن‌ها را در معرض خطر قرار می‌دهد، می‌توانند تقاضای پیگرد قانونی کنند.

صاحبان کسب‌ و کار باید این موضوع را بسیار جدی بگیرند، زیرا یک حمله سایبری علاوه بر خسارات سنگین مالی بر شهرت و نام تجاری شرکت نیز تأثیری طولانی‌ مدت می‌گذارد.

6. شما مسئول جلب رضایت و ارتباط صحیح با کاربر هستید.

مقررات جدید EU GDPR باعث جلب رضایت کاربران شده است و شرکت‌ها باید برای جمع‌آوری داده‌های مشتریان رضایت صریح آن‌ها را جلب کنند. GDPR بیان می‌کند: “برای جلب رضایت مشتریان فرم‌های جمع‌آوری اطلاعات باید قابل‌فهم و دسترسی، با زبانی واضح و ساده ارائه شوند.”

اگر شما صاحب کسب‌ و کاری هستید، حق دخالت در ارائه نظر کاربر خود را ندارید همچنین کاربر می‌تواند در صورت عدم رضایت از سیستم جمع‌آوری داده، نظر خود را صراحتاً اعلام کند.

علاوه بر این، مشتریان می‌توانند در هر مرحله رضایت خود را از سیستم اعلام کنند.

7. ارائه گزارشی فوری در رابطه با درز اطلاعات خصوصی کاربران به بیرون اجباری است.

طبق قانون GDPR، مسئولان کنترل اطلاعات شخصی موظف‌اند در صورت درز اطلاعات به بیرون بدون هیچ‌گونه تأخیری حداکثر ظرف مدت 72 ساعت به مقامات اطلاع‌رسانی کنند.

صاحبان کسب‌ و کار، از لحاظ قانونی باید به مشتریان خود دلایل درز اطلاعات را ارائه دهند. اما این سیاست هیچ محدودیت و تاریخ انقضایی برای این موضوع ذکر نکرده است.

8. مجازاتی شدید در انتظار شرکت‌ها و سازمان‌ها در صورت سرپیچی از قوانین GDPR اتحادیه اروپا

هرچند مقررات حفاظت از اطلاعات عمومی به‌عنوان مجموعه‌ای از توصیه‌های کاربردی مطرح‌شده‌اند ولی این قوانین اعمال خواهند شد و بر هر قانون دیگری در این زمینه تأثیر خواهند داشت. کمیسیون اروپا جرائم سنگینی را برای سرپیچی و عدم هماهنگی سازمان‌ها با این قوانین، وضع کرده است.

) جریمه تا 20 میلیون یورو یا 4 درصد از گردش مالی سالانه، هر کدام که بیشتر است)

9. انتقال اطلاعات شخصی به خارج از اتحادیه اروپا اکنون قانونی شده است.

در GDPR انتقال اطلاعات شخصی در سطح بین‌المللی نیز تنظیم شده و از لحاظ قانونی مشکلی ندارد و این قانون “‌تمام کشورهای اتحادیه اروپا و همچنین کشورهای غیر اتحادیه اروپا ایسلند، لیختن‌اشتاین و نروژ‌” را شامل می‌شود.

سه بند مهم از توافق‌نامه میان اتحادیه اروپا و ایالات‌متحده که با عنوان “EU-US Privacy Shield” (فهرست سیاست‌های بین اتحادیه اروپا و ایالات‌متحده)، شناخته‌شده در زیر آمده است:

تعهد محکم و تضمینی شرکت‌ها در قبال اطلاعات شخصی اروپایی‌ها و پایبندی به آن تعهدات.

ضمانت و تعهدات شفاف دولت ایالات‌متحده به دسترسی‌هایی که دارد.

حفظ حقوق شهروندان اتحادیه اروپا از طریق ایجاد فرصت‌های جبران خسارت.

درنتیجه، اگر شرکت شما با اشخاص حقوقی در اتحادیه اروپا و ایالات‌متحده، در ارتباط است باید از تمامی قوانین GDPR برخوردار باشد.

10. شرکت‌ها باید یک افسر برای حفاظت از داده‌ها تعیین کنند.

“هر جا که پردازش داده‌ها توسط یک مقام دولتی، یک شرکت (کنترل‌کننده یا پردازنده) و یا کسی که  فعالیت اصلی او عملیات پردازشی است انجام می‌شود و نیاز به نظارت منظم بر داده‌ها دارد”، یک افسر حفاظت از اطلاعات (DPO) موردنیاز است.

از یک متخصص حفاظت از داده انتظار می‌رود:

در مدیریت فرایندها و منابع فناوری اطلاعات مهارت کافی داشته باشد؛

در امنیت اطلاعات، به‌خصوص در زمینه‌های مربوط به امنیت سایبری (حملات سایبری، حفاظت از داده‌ها در مقابل هکرهای سایبری و …) مهارت لازم را داشته باشد.

درک و توانایی لازم در مسائل مربوط به ذخیره‌سازی و پردازش اطلاعات حساس و درنتیجه تداوم کسب‌ و کار را داشته باشد.

با اجرایی شدن مقررات حفاظت از داده در ماه مه 2018، کارشناسان، نظرات و تجربیات خود را در مورد کار با مشتریان برای آمادگی در اجرای GDPR به اشتراک می‌گذارند.

شرکت‌ها با چه تغییراتی مواجه خواهند شد‌؟

آماده‌سازی برای هماهنگی و سازگاری با قوانین GDPR یک فرآیند پیچیده است که نیاز به یک عملکرد گام‌به‌گام برای شرکت‌ها و کاربران دارد. این مقررات جدید برای شهروندان اتحادیه اروپا بسیار مورد نیازند درحالی‌که ممکن است در چارچوب عمل به آن نیز مشکلاتی ایجاد شود.

فرایند انتخاب یک افسر حفاظت از داده به یک کادر جدید اداری نیاز ندارد، چراکه یک شرکت خود می‌تواند بعضی از وظایف این افسر را به‌صورت خودکار و با صرفه‌جویی در زمان (و پول) انجام دهد.

سازمان‌ها باید بیشتر بر جنبه‌های حقوقی، رسیدگی به فرآیندهای کسب‌ و کار و زیرساخت‌های IT به‌منظور تطابق کامل با مقررات جدید تمرکز داشته باشند.

جنبه قانونی جمع‌آوری داده‌ها و اجرای استانداردها برای اطمینان از حفظ حریم خصوصی اطلاعات برای شرکت‌ها چالش‌ برانگیز است. با قوانین GDPR جدید، آن‌ها باید جدی‌تر راجع به جمع‌آوری میزان اطلاعاتی که به‌اصطلاح “اطلاعات تاریک” نامیده می‌شوند و همچنین هماهنگی آن‌ها با قوانین GDPR فکر کنند.

به‌منظور آمادگی در اجرای مقررات جدید و افزایش سطح آگاهی سازمان‌ها در زمینه امنیت سایبری باید برنامه‌هایی در همین راستا در نظر گرفته شوند.

نتیجه‌گیری

مقررات جدید اتحادیه اروپا برای تقویت حفاظت از اطلاعات عمومی شهروندان اتحادیه اروپا ایجادشده و شرکت‌ها باید پیش از اجرایی شدن آن آماده‌ شده و از وقوع حوادث جدی و هزینه‌بر جلوگیری کنند.