بازخوانی قوانین

یک سال پس از اجرایی شدن مقررات عمومی حفاظت از داده‌ها «GDPR»

در حدود یک‌ سال از اجرایی شدن مقررات عمومی حفاظت از داده‌ها یا همان GDPR می‌گذرد و می‌توان گفت که یکی از بزرگترین تاثیرات آن، تغییر چگونگی گفت‌وگو درباره حریم خصوصی بوده است. در این مطلب، به‌صورت خلاصه به سند GDPR و مفاهیم مرتبط با مقررات عمومی حفاظت از داده‌ها پرداخته شده است.

با اجرایی شدن GDPR در تاریخ ۲۸ می سال ۲۰۱۸، شخصی بودن داده تبدیل به یک مساله مهم جهانی شد و این موضوع در کنار سایر مقررات مشابه، باعث شد که شرکت‌های بزرگ و کشورهای صاحب فناوری، مجبور به انجام اقداماتی جدی درباره حفظ حریم خصوصی کاربران و مشتری‌هایشان شوند تا بتوانند از وقوع خطرات احتمالی برای داده‌های شهروندان جلوگیری کنند.

به‌صورت کلی مجموعه قوانین ذکر شده در GDPR با در نظر داشتن حریم‌ خصوصی کاربران و الزامی بودن تامین امنیت داده‌های شخصی، محیطی قانونی را برای کسب‌‌وکارها و مخاطبان آن‌ها فراهم می‌کند و گامی رو به‌ جلو برای بازار فناوری‌های دیجیتال در اتحادیه اروپا محسوب می‌شود. 

 

اما داده‌های شخصی چیست؟

به‌طور اختصاصی در سند GDPR به مفاهیمی مانند داده‌های شخصی «Personal data» و معنای آن اشاره شده است. به‌طور کلی، داده‌های شخصی به داده‌هایی اطلاق می‌شود که می‌توان با استفاده از آن‌ها به‌صورت مستقیم و یا غیرمستقیم، هویت یک شخص را شناسایی کرد. داده‌ها شخصی شامل نام، شماره تلفن، تاریخ تولد، تحصیلات، شغل، داده‌های مرتبط با ویژگی‌های فیزیکی خاص یا ویژگی‌های روانشناختی و هر موضوعی که بتوان با آن فردی را شناسایی کرد، هستند.

علاوه براین، در سند مقررات عمومی حفاظت از داده‌ها به دسته‌ی خاصی از داده‌های شخصی تحت عنوان «Special Categories» اشاره شده است که داده‌هایی از قبیل ملیت، نوع مذهب، رنگ پوست، دیدگاه افراد نسبت به مسائل سیاسی و… را شامل می‌شود که بسیار حائز اهمیت هستند.

 

اخذ رضایت صریح و آگاهانه از کاربران

قوانین جدید GDPR بر مبنای قوانین مصوب در سال ۱۹۹۵ بنا شده و به‌صورت اختصاصی و با روش‌هایی متفاوت، شروطی جدی را برای تداوم فعالیت شرکت‌ها در اروپا و ارائه خدامت آن‌ها به شهروندان اروپایی، تعریف کرده است. برای مثال شرکت‌ها بدون اخذ رضایت صریح و آگاهانه از کاربران، حق جمع‌آوری اطلاعات از آن‌ها را ندارند و باید به‌صورت مستمر تغییرات خود در سیاست‌های امنیتی و حریم‌ خصوصی را به اطلاع کاربران برسانند. 

 

حق استعلام و دریافت داده‌های جمع‌آوری شده

یکی از مفاد ذکر شده در مقررات عمومی حفاظت از داده‌ها، این است که تمام شهروندان اروپایی تحت حمایت این قانون، حق استعلام داده‌های جمع‌آوری شده توسط شرکت‌ها، سرویس‌ها و وب‌سایت‌های اینترنتی را داشته و می‌توانند درباره موارد استفاده آن‌ها از داده‌های شخصی‌شان را پرس‌وجو کنند.

 

شفاف‌سازی درباره اشتراک‌گذاری داده‌ها

شفاف‌سازی درباره جمع‌آوری و اشتراک‌گذاری داده‌ها، از دیگر مواردی است که مقررات عمومی حفاظت از داده‌ها به‌صورت مشخص وب‌سایت‌ها و سرویس‌های اینترنتی را درباره آن مستلزم می‌سازد.

در حالت معمول، داده‌هایی که یک وب‌سایت ساده جمع‌آوری می‌کند، گاهی اوقات به بیش از ده‌ها شخص ثالث برای مصارف مختلف فروخته می‌شود که پیش از این، کاربران اطلاعات چندانی درباره آن نداشتند. اما حالا الزامات جدید مقررات عمومی حفاظت از داده‌ها، وب‌سایت‌ها و سرویس‌های اینترنتی را به ارائه اطلاعات شفاف درباره اشتراک‌گذاری داده‌ها، دریافت‌کنندگان داده‌ها و اهداف آن‌ها مستلزم ساخته است.

 

حق حذف داده‌های شخصی و اطلاع‌رسانی در صورت نقض داده

از دیگر از بندهای مهم اشاره شده در مقررات عمومی حفاظت از داده‌ها، حق پاکسازی اطلاعات است که به کاربران اجازه می‌دهد تا به‌صورت شفاهی یا کتبی خواستار حذف داده‌هایشان از پایگاه‌های داده موجود در وب‌سایت‌ها و سرویس‌های اینترنتی شوند. علاوه بر این، در صورتی که داده‌های کاربران به هر دلیلی در معرض افشا قرار گیرند، شرکت‌ها و سازمان‌های مربوطه باید طی حداکثر طی ۷۲ ساعت این مساله را به اطلاع آن‌ها برساند.

 

مسئولیت حفاظت از داده‌ها

از جمله موارد قابل توجه در سند مقررات عمومی حفاظت از داده‌ها، این است که سازمان‌ها و شرکت‌های دارای بیش از ۲۵۰ کارمند، باید فردی را به عنوان مسئول حفاظت از داده‌ها «Data Protection Officer» منصوب نماید. علاوه بر این، کارکنانی که به صورت مکرر یا دائم به داده‌های شخصی کاربران دسترسی دارند، باید آموزش‌‌های مناسب را برای حفاظت از اطلاعات گذرانده باشند.

 

جریمه شرکت‌های متخلف

در سند مقررات عمومی حفاظت از داده‌ها به صراحت ذکر شده است که هر شرکت یا سازمانی که از مفاد مشخص حفاظت از داده‌های کاربران تخطی کند، به پرداخت غرامت ۲۰ میلیون دلاری یا معادل ۴ درصد از گردش مالی سالانه محکوم خواهد شد.