مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) به زبان ساده

GDPR که مخفف عبارت General Data Protection Regulation یا همان مقررات عمومی حفاظت از داده ها است به مقرراتی اتلاق می‌شود که اتحادیه‌ی اروپا برای حفاظت از داده ها و محرمانگی اشخاص در سال 2016 به تصویب رسانده و اجرای آن از ماه می 2018 الزامی شده است. در این مقاله به جنبه‌های مختلف جی دی پی آر می‌پردازیم.

پیش از تدوین مقررات عمومی حفاظت از داده ها، بخشنامه‌ی حفاظت از داده ها با شماره شناسایی 95/46/EC مصوب سال 1995 ملاک عمل در زمینه‌ی حفاظت از داده‌ ها در اروپا بود. طبیعتاً این بخشنامه‌ی قدیمی نمی‌توانست با توجه به تحولات سریع و گسترده در زمینه‌ی فناوی اطلاعات همچنان مؤثر باشد و نیاز به قوانین جدید در این حوزه به شدت احساس می‌شد.

در قوانین جدید با عنوان مقررات عمومی حفاظت از داده ها، در مورد چگونگی کنترل اطلاعات مشتریان توسط سازمان‌ها و شرکت‌ها بحث شده است. ضمن اینکه به حقوق اشخاص و اعطای نظارت آن‌ها روی اطلاعات شخصی‌شان در فضاهایی مثل اینترنت توجه بیشتری شده است.

البته به گفته‌ی مسئولین مرتبط با تدوین GDPR، قانون جدید تغییرات بزرگی را ایجاد می‌کند اما در عین حال، نمی‌توان گفت که همه چیز تغییر کرده است. در واقع مقررات عمومی حفاظت از داده ها یک تغییر گام به گام در حفاظت از داده‌ هاست و بیش از اینکه به یک «انقلاب» شبیه باشد، به عنوان یک «تکامل» مطرح است.

GDPR چیست؟

جی دی پی آر چارچوب جدید اروپا برای قوانین مربوط به حفاظت از داده‌هاست که جایگزین بخشنامه‌ی قدیمی حفاظت از داده‌ ها در سال 1995 می‌شود. وب‌سایت رسمی GDPR در اروپا می‌گوید این قانون برای «هماهنگی» قوانین حفاظت از داده در سراسر اروپا و اعطای حقوق و حفاظت بیشتر به اشخاص حقیقی طراحی شده است. به کمک مقررات عمومی حفاظت از داده ها تغییرات گسترده‌ای در نحوه‌ی نگه‌داری اطلاعات شخصی توسط شرکت‌ها، سازمان‌ها و بخش‌های مختلف اتفاق می‌افتد.

پس از بیش از چهار سال بحث و مذاکره، مقررات عمومی حفاظت از داده ها توسط هر دو نهاد پارلمان اروپا و شورای اروپا در آوریل 2016 مورد موافقت و تصویب قرار گرفت. بر همین اساس مقررات و بخشنامه‌های مربوط به آن در انتهای همین ماه صادر گردید.

پس از انشار عمومی GDPR در نشریه‌ی رسمی اتحادیه‌ی اروپا در می 2016، تاریخ 25 می 2018 به عنوان زمان آغاز ملاک قرار گرفتن این قانون اعلام شد. این فاصله‌ی زمانی دو ساله به عنوان دوره‌ی آماده‌سازی برای شرکت‌ها و عموم افرادی که جی دی پی آر روی آن‌ها اثر می‌گذارد و هماهنگی با تغییرات جدید این قانون در نظر گرفته شده بود.

چرا GDPR مهم است؟

جی دی پی آر در سراسر اروپا ملاک عمل قرار می‌گیرد اما هر کدام از کشورها می‌توانند در آن تغییرات کوچکی نیز ایجاد کنند. برای مثال در انگلستان، دولت مصوبه‌ای داخلی را با عنوان مصوبه‌ی حفاظت از داده در سال 2018 تصویب کرد که جایگزین مصوبه‌ی حفاظت از داده‌ های 1998 می‌شد که بر اساس بخشنامه‌ی پیشین اتحادیه اروپا تصویب شده بود. البته قانون gdpr در ایران اجرایی نشده است.

مقررات مذکور، تمامی اشخاص، سازمان‌ها و شرکت‌هایی را که به نحوی داده‌های شخصی افراد را «کنترل» یا «پردازش» می‌کنند شامل می‌شود. بخش دیگری از جی دی پی آر یا همان مقررات حفاظت از اطلاعات عمومی به داده‌های «حساس» شخصی نیز می‌پردازد.

داده‌های شخصی به طور کل مجموعه‌ای گسترده از اطلاعات است که می‌تواند برای شناسایی یک شخص مورد استفاده قرار گیرد. این داده‌ها می‌توانند یک اسم، آدرس، آدرس آی‌پی یا هر چیزی مثل آن باشد. منظور از داده‌های حساس شخصی، اطلاعاتی مثل داده‌های ژنتیکی، اطلاعات در مورد مذهب و عقاید سیاسی، گرایش‌های مختلف در سبک زندگی و مثل این‌هاست.

تعریف‌ها در GDPR اکثراً شبیه به همان مواردی هستند که در قانون پیشین حفاظت از داده ها وجود داشتند. یکی از تفاوت‌ها در مقررات عمومی حفاظت از داده ها این است که در قانون جدید، به اسامی مستعار افراد نیز توجه شده است. بنابراین اگر شخصی در فضای مجازی به طور گسترده با یک نام مستعار شناسایی شود، داده‌های مربوط به آن نام مستعار و حساب‌های کاربری آن نیز در این قانون به آن شخصیت حقیقی مربوط می‌شوند.

هفت اصل اصلی GDPR چیست؟

در متن کامل مقررات عمومی حفاظت از داده ها، 99 مقاله در مورد حقوق افراد و تعهداتی که بر عهده‌ی سازمان‌ها گذاشته شده، قرار گرفته است. هشت حق برای اشخاص در نظر گرفته شده که شامل اجازه به آن‌ها برای دسترسی آسان‌تر به داده‌هایی که شرکت‌ها در مورد آن‌ها نگهداری می‌کنند.

یک نظام جریمه‌ جدید و یک مسئولیت روشن برای سازمان‌ها به منظور جلب رضایت افراد برای جمع‌آوری اطلاعات در مورد آن‌ها می‌شود. این مقررات حتی برای استارت‌آپ‌های جدید که پیش از این در ابتدای کار، چندان در قید و بند قوانین حفاظت از داده‌ ها قرار نمی‌گرفتند نیز لازم‌الاجرا است.

شرکت‌هایی که قانون جی دی پی آر شامل حالشان می‌شود، مسئول نگهداری و کنترل اطلاعات افراد هستند. این مسئولیت می‌تواند شامل سیاست‌های حفاظت از داده ها و داشتن اسناد مرتبط با آن نیز شود.

در سال‌های اخیر، بارها در مورد درز داده‌های کاربران به بیرون توسط شرکت‌های بزرگ مختلفی مثل یاهو، لینکدین و مای‌اسپیس اخباری منتشر شده است. تحت مقررات جدید، از بین رفتن، گم شدن، تغییر، افشای غیرمجاز یا دسترسی به داده‌های کاربران باید به اطلاع رگولاتورهای حفاظت داده در کشورهایی که این اتفاقات می‌تواند زیانی متوجه آن‌ها کنند، برسد.

این مسئله می‌تواند شامل ضررهای مالی، درز اطلاعات محرمانه، ضربه به شهرت افراد و غیره باشد. شرکت پس از اطلاع در این اتفاقات، باید تا 72 ساعت به مسئول مربوطه اطلاع داده و در مورد افرادی که تحت تأثیر این اتفاق قرار می‌گیرند، گزارش دهد.

برای شرکت‌هایی که بیش از 250 نفر نیرو دارند، باید مستنداتی در مورد دلایل جمع‌آوری و پردازش اطلاعات افراد تهیه شود که مواردی مثل توضیحات در مورد نوع اطلاعات، مدت زمان نگهداری آن‌ها و معیارهای فنی و امنیتی نگهداری از آن‌ها را شرح دهد.

علاوه بر این، شرکت‌هایی که نظارت منظم و سیستماتیک در مقیاس بزرگ روی کاربران خود دارند یا داده‌های حساس زیادی از اعضای خود را پردازش می‌کنند باید یک مسئول حفاظت از داده ها نیز استخدام کنند. در این جایگاه شغلی، شخص باید به اعضای ارشد شرکت گزارش داده، روی اجرای مقررات عمومی حفاظت از داده ها نظارت کند و نقطه تماسی بین اعضای شرکت و مشتریان آن باشد.

ضمن اینکه برای شرکت‌ها این الزام نیز ایجاد شده که برای پردازش داده‌ها در موقعیت‌های مختلف، نیاز به جلب رضایت اشخاص نیز وجود دارد.

دسترسی به داده‌های شخصی

پیش از این چنین درخواست‌هایی حدود 10 پوند هزینه دربرداشت اما پس از مقررات عمومی حفاظت از داده ها، این هزینه از بین رفته و اجابت این درخواست الزامی و رایگان خواهد بود. پس از ارائه‌ی درخواست، شرکت باید ظرف مدت یک ماه، اطلاعات مورد نظر را جمع‌آوری کرده و تسلیم شخص کند.

علاوه بر این، مقررات جدید این قدرت را به اشخاص می‌دهد که داده‌های شخصی خود در فضای مجازی را طی تشریفات و موقعیت‌های خاصی، حذف کنند. این موقعیت‌ها شامل مواردی که دیگر نیازی به وجود آن داده‌ها برای مقصود گذشته نباشد، لغو رضایت قبلی صادر شده، عدم اعتماد به جمع‌آوری‌کننده‌ی داده یا پردازش بدون اجازه‌ی داده‌ها توسط شرکت می‌شود.

جرایم GDPR

یکی از بزرگترین و مورد بحث‌ترین قسمت‌های جی دی پی آر توانایی رگولاتورهای کشورها برای جریمه کردن شرکت‌هایی است که از این مقررات تخلف می‌کنند. اگر یک سازمان داده‌های شخصی را خارج از قوانین مورد پردازش قرار دهد، جریمه خواهد شد. اگر طبق قانون نیاز به وجود مسئول حفاظت از داده ها داشته باشد و این شخص را استخدام نکرده باشد، جریمه خواهد شد و همین اتفاق، در صورت درز اطلاعات امنیتی نیز خواهد افتاد.

مثلاً در انگلستان، جرایم مالی برای تخلفات کوچک می‌تواند تا 10 میلیون یورو یا دو درصد از گردش مالی شرکت تعیین شود. برای تخلفات بزرگتر این جریمه می‌تواند تا 20 میلیون یورو یا چهار درصد گردش مالی جهانی آن شرکت در نظر گرفته شود.

کلام پایانی و پاسخ به سوالات پرتکرار

قوانین جدید اتحادیه اروپا موسوم به مقررات حفاظت از داده های عمومی یا همان GDPR با هدف تحول در نحوه جمع آوری داده های کاربران اروپایی توسط شرکت های فناوری بزرگ جهان طراحی شده اند. این قانون تنها کاربران اروپایی را در بر گرفته و انتظار می‌رود در آینده کشورهای بیشتری این قانون را اجرایی کنند.

GDPR چه هدفی را دنبال می کند؟

وب‌سایت رسمی GDPR در اروپا هدف از اجرای این قانون را هماهنگی بین قوانین حراست از داده در سراسر اروپا و حفاظت بیشتر از داده‌های شخصی کاربران حقیقی عنوان کرده است. با اجرای مقررات عمومی حفاظت از داده ها تغییرات گسترده‌ای در نحوه‌ نگه‌داری اطلاعات شخصی رخ داده است.

چه داده هایی توسط GDPR محافظت می شوند؟

هدف از این قانون نگه داری از داده‌های شخصی کاربران است که برای شناسایی یک شخص مورد استفاده قرار می‌گیرد. این داده‌ها می‌توانند شامل یک اسم، آدرس، آدرس آی‌پی یا هر چیزی مانند آن باشد. همچنین اطلاعاتی مثل داده‌های ژنتیکی، اطلاعات در مورد مذهب و عقاید سیاسی، گرایش‌های مختلف در سبک زندگی هم تحت پوشش این قانون قرار می‌گیرند.