برای کارکرد بهتر وب‌سایت و بهبود تجربه کاربری شما با سرتفا، ما نیاز به اجرای سرویس تجزیه و تحلیل آماری داریم، آیا موافق این موضوع هستید؟

بازخوانی قوانین

یک سال پس از اجرایی شدن مقررات حفاظت از اطلاعات عمومی «GDPR»

در حدود یک‌ سال از اجرایی شدن مقررات عمومی حفاظت از داده‌ها یا همان GDPR می‌گذرد و می‌توان گفت که یکی از بزرگترین تاثیرات آن، تغییر چگونگی گفت‌وگو درباره حریم خصوصی بوده است. در این مطلب، به‌صورت خلاصه به سند GDPR و مفاهیم مرتبط با مقررات عمومی حفاظت از داده‌ها پرداخته شده است.


16 خرداد 98 | 09:44
یک سال پس از اجرایی شدن مقررات حفاظت از اطلاعات عمومی «GDPR»

با اجرایی شدن GDPR در تاریخ ۲۸ می سال ۲۰۱۸، شخصی بودن داده تبدیل به یک مساله مهم جهانی شد و این موضوع در کنار سایر مقررات مشابه، باعث شد که شرکت‌های بزرگ و کشورهای صاحب فناوری، مجبور به انجام اقداماتی جدی درباره حفظ حریم خصوصی کاربران و مشتری‌هایشان شوند تا بتوانند از وقوع خطرات احتمالی برای داده‌های شهروندان جلوگیری کنند.

به‌صورت کلی مجموعه قوانین ذکر شده در GDPR با در نظر داشتن حریم‌ خصوصی کاربران و الزامی بودن تامین امنیت داده‌های شخصی، محیطی قانونی را برای کسب‌‌وکارها و مخاطبان آن‌ها فراهم می‌کند و گامی رو به‌ جلو برای بازار فناوری‌های دیجیتال در اتحادیه اروپا محسوب می‌شود. 

 

اما داده‌های شخصی چیست؟

به‌طور اختصصای در سند GDPR به مفاهیمی مانند داده‌های شخصی «Personal data» و معنای آن اشاره شده است. به‌طور کلی، داده‌های شخصی به داده‌هایی اطلاق می‌شود که می‌توان با استفاده از آن‌ها به‌صورت مستقیم و یا غیرمستقیم، هویت یک شخص را شناسایی کرد. داده‌ها شخصی شامل نام، شماره تلفن، تاریخ تولد، تحصیلات، شغل، داده‌های مرتبط با ویژگی‌های فیزیکی خاص یا ویژگی‌های روانشناختی و هر موضوعی که بتوان با آن فردی را شناسایی کرد، هستند.

علاوه براین، در سند مقررات عمومی حفاظت از داده‌ها به دسته‌ی خاصی از داده‌های شخصی تحت عنوان «Special Categories» اشاره شده است که داده‌هایی از قبیل ملیت، نوع مذهب، رنگ پوست، دیدگاه افراد نسبت به مسائل سیاسی و… را شامل می‌شود که بسیار حائز اهمیت هستند.

 

اخذ رضایت صریح و آگاهانه از کاربران

قوانین جدید GDPR بر مبنای قوانین مصوب در سال ۱۹۹۵ بنا شده و به‌صورت اختصاصی و با روش‌هایی متفاوت، شروطی جدی را برای تداوم فعالیت شرکت‌ها در اروپا و ارائه خدامت آن‌ها به شهروندان اروپایی، تعریف کرده است. برای مثال شرکت‌ها بدون اخذ رضایت صریح و آگاهانه از کاربران، حق جمع‌آوری اطلاعات از آن‌ها را ندارند و باید به‌صورت مستمر تغییرات خود در سیاست‌های امنیتی و حریم‌ خصوصی را به اطلاع کاربران برسانند. 

 

حق استعلام و دریافت داده‌های جمع‌آوری شده

یکی از مفاد ذکر شده در مقررات عمومی حفاظت از داده‌ها، این است که تمام شهروندان اروپایی تحت حمایت این قانون، حق استعلام داده‌های جمع‌آوری شده توسط شرکت‌ها، سرویس‌ها و وب‌سایت‌های اینترنتی را داشته و می‌توانند درباره موارد استفاده آن‌ها از داده‌های شخصی‌شان را پرس‌وجو کنند.

 

شفاف‌سازی درباره اشتراک‌گذاری داده‌ها

شفاف‌سازی درباره جمع‌آوری و اشتراک‌گذاری داده‌ها، از دیگر مواردی است که مقررات عمومی حفاظت از داده‌ها به‌صورت مشخص وب‌سایت‌ها و سرویس‌های اینترنتی را درباره آن مستلزم می‌سازد.

در حالت معمول، داده‌هایی که یک وب‌سایت ساده جمع‌آوری می‌کند، گاهی اوقات به بیش از ده‌ها شخص ثالث برای مصارف مختلف فروخته می‌شود که پیش از این، کاربران اطلاعات چندانی درباره آن نداشتند. اما حالا الزامات جدید مقررات عمومی حفاظت از داده‌ها، وب‌سایت‌ها و سرویس‌های اینترنتی را به ارائه اطلاعات شفاف درباره اشتراک‌گذاری داده‌ها، دریافت‌کنندگان داده‌ها و اهداف آن‌ها مستلزم ساخته است.

 

حق حذف داده‌های شخصی و اطلاع‌رسانی در صورت نقض داده

از دیگر از بندهای مهم اشاره شده در مقررات عمومی حفاظت از داده‌ها، حق پاکسازی اطلاعات است که به کاربران اجازه می‌دهد تا به‌صورت شفاهی یا کتبی خواستار حذف داده‌هایشان از پایگاه‌های داده موجود در وب‌سایت‌ها و سرویس‌های اینترنتی شوند. علاوه بر این، در صورتی که داده‌های کاربران به هر دلیلی در معرض افشا قرار گیرند، شرکت‌ها و سازمان‌های مربوطه باید طی حداکثر طی ۷۲ ساعت این مساله را به اطلاع آن‌ها برساند.

 

مسئولیت حفاظت از داده‌ها

از جمله موارد قابل توجه در سند مقررات عمومی حفاظت از داده‌ها، این است که سازمان‌ها و شرکت‌های دارای بیش از ۲۵۰ کارمند، باید فردی را به عنوان مسئول حفاظت از داده‌ها «Data Protection Officer» منصوب نماید. علاوه بر این، کارکنانی که به صورت مکرر یا دائم به داده‌های شخصی کاربران دسترسی دارند، باید آموزش‌‌های مناسب را برای حفاظت از اطلاعات گذرانده باشند.

 

جریمه شرکت‌های متخلف

در سند مقررات عمومی حفاظت از داده‌ها به صراحت ذکر شده است که هر شرکت یا سازمانی که از مفاد مشخص حفاظت از داده‌های کاربران تخطی کند، به پرداخت غرامت ۲۰ میلیون دلاری یا معادل ۴ درصد از گردش مالی سالانه محکوم خواهد شد.

 

 

گروه آموزش سرتفا

گروه آموزش سرتفا

گردآوری و تالیف مطالب آموزشی در حوزه امنیت دیجیتال برای مخاطبان عادی به زبان ساده و به‌صورت چندرسانه‌ای، از جمله فعالیت‌های گروه آموزش سرتفا است. در صورت نیاز به اطلاعات بیشتر با بخش پشتیبانی سرتفا تماس بگیرید.