روزبه‌روز قوانین سخت‌گیرانه‌تری در زمینه‌ی حفظ حریم خصوصی و جمع‌آوری داده‌های کاربران به تصویب می‌رسد. چنین قوانینی، کار بسیاری از شرکت‌های تکنولوژی را از گذشته سخت‌تر می‌کند. یکی از این قوانین بسیار سختگیرانه، قانون GDPR «مقررات حفاظت از داده‌های عمومی» که از دیروز ۲۵ مه (۴ خرداد ۹۷) اجرایی شد.

قوانین جدید اتحادیه اروپا موسوم به «مقررات حفاظت از داده های عمومی» یا GDPR به منظور تحول در نحوه جمع آوری داده های کاربران اروپایی توسط شرکت های فناوری طراحی شده اند. این قانون تنها کاربران اروپایی را در برمی گیرد، اما بعید نیست در آینده دامنه آن گسترش یابد. اگر عضو سایت های بزرگ مانند گوگل، فیسبوک، یاهو، توییتر و مانند آنها باشید مطمئنا ایمیلی با محتوای GDPR را دریافت کرده اید. اما این قانون دقیقاً چیست و چرا اینقدر سروصدا کرده است؟

GDPR چیست؟

مقررات حفاظت از اطلاعات عمومی یا GDPR ( برگرفته شده از General Data Protection Regulation )، قانون حفاظت داده در سطح اتحادیه اروپا است که جایگزین دستورالعمل « حفاظت از اطلاعات اتحادیه اروپا » تدوین شده در سال ۱۹۹۵ شده است ( ۹۵/۴۶ / EC ). قانون فوق، برای هماهنگی قوانین حفظ حریم خصوصی در سراسر اروپا و با هدف محافظت و توانمندسازی حریم خصوصی داده شهروندان اتحادیه اروپا و تحول در شیوه برخورد سازمان ها با رویکرد حریم خصوصی داده ها در سراسر اتحادیه اروپا ایجاد شده است. GDPR ماحصل چندین سال مذاکره است. اولین پیشنهاد در سال ۲۰۱۲ ارائه گردید و نسخه نهایی آن در ۱۴ آوریل ۲۰۱۶ توسط پارلمان اتحادیه اروپا تصویب گردبد. تمامی اعضای اتحادیه اروپا و بنگاه های اقتصادی مرتبط با هر یک از کشورهای اتحادیه ملزم شدند که تا ۲۵ مه ۲۰۱۸ یعنی ۴ خرداد ۱۳۹۷ خود را با قوانین و دستورالعمل های آن تطبیق نمایند و کسب و کار هایی که خود را با این قوانین وفق ندهند جریمه ای سنگین (معادل ۲۰ میلیون یورو و یا ۴ درصد گردش مالی سالانه شرکت)  را پرداخت خواهند کرد.

هدف GDPR در اروپا چیست؟

هدف از این مجموعه قوانین جدید این است که: برای شهروندان اتحادیه‌ اروپا امکان کنترل بیشتر بر اطلاعات شخصی‌شان را فراهم کنند. حفظ حریم خصوصی یک حق اساسی در اروپا است و مقررات جدیدی در همین راستا تنظیم شده‌ است.

این مجموعه قوانین، محیط قانونی را برای کسب‌ و کار فراهم می‌کنند و گامی رو به‌ جلو برای بازار دیجیتال در اتحادیه اروپا هستند که هدف آن‌ها ایجاد فرصت‌های دیجیتالی بیشتر برای افراد و سازمان‌ها در زمینه جا به جایی افراد، کسب‌ و کارها، خدمات و سرمایه‌گذاری‌ها است.

هدف GDPR این است که با روش‌هایی متفاوت از روش‌های به تصویب رسیده در سال ۱۹۹۵ از شهروندان اتحادیه اروپا در برابر درز اطلاعاتشان به دنیای بیرون در جهانی که فرایند انتقال داده‌ها روزبه‌روز در حال افزایش است محافظت کند.

تعریف جدید GDPR از داده های شخصی چیست؟

در این سند به مفاهیمی مانند داده های خصوصی “Personal data” و معنای آن اشاره شده است. معنای داده های خصوصی به داده هایی اطلاق می شود که می توان با استفاده از آن ها به صورت مستقیم و یا غیر مستقیم یک شخص را شناسایی کرد، این داده ها می توانند شامل نام یک فرد، شماره تلفن همراه، ویژگی های فیزیکی خاص، ویژگیهای روانشناختی هر موضوعی که بتوان با آن فردی را شناسایی کرد، باشند.

همچنین در این سند جدید، به دسته ی خاصی از اطلاعات شخصی “Special Categories”اشاره می کند، که داده های از قبیل ملیت، نوع مذهب، رنگ پوست، دید کاربر به مسائل سیاسی و … را شامل می شود. و همه این ها نیز جزوی از اطلاعات شخصی اطلاق می شود.

مفاد GDPR

این قوانین بر مبنای مقررات قبلی بنا شده اما موانع جدیدی را بر سر راه شرکت ها قرار می دهند، برای مثال شرکت ها بدون اخذ رضایت صریح و آگاهانه از کاربر، حق جمع آوری اطلاعات از او را ندارند. علاوه بر این تمام کاربران حق استعلام داده های جمع آوری شده و موارد استفاده از این داده ها را از شرکت ها دارند.

اگرچه GDPR به حفاظت از اطلاعات شخصی کاربران کمک می کند اما از سوی دیگر تغییراتی که پیش از همه از راه می رسد افزایش پیغام های هشداری است که کاربر برای دسترسی به سایت باید آنها را تأیید کند.

از دیگر تغییراتی که GDPR به ارمغان آورده می توان به قوانین اشتراک داده ها پس از جمع آوری اشاره کرد. داده هایی که یک سایت ساده جمع آوری می کند گاهی اوقات به بیست شرکت مختلف فروخته می شوند که پیش از این کاربر اطلاعات چندانی درباره آنها نداشت، حالا اما الزامات جدید سایت ها را به ارائه اطلاعات شفاف درباره دریافت کنندگان داده ها و اهداف آنها ملزم می کند.

یکی دیگر از بندهای GDPR حق پاکسازی اطلاعات است که به کاربر اجازه می دهد به صورت شفاهی یا کتبی خواستار حذف داده هایش از پایگاه داده سایت شود. علاوه بر این در صورتی که داده های کاربران به هر دلیلی در معرض افشا شدن قرار بگیرد، سازمان مربوطه باید طی حداکثر طی ۷۲ ساعت این مسأله را به اطلاع آنها برساند.

سازمان های دارای بیش از ۲۵۰ پرسنل نیز باید فردی را به عنوان مسئول حفاظت از داده‌ها (DPO) منصوب نماید. علاوه بر این کارکنانی که به صورت مکرر یا دائم به داده‌های شخصی دسترسی دارند، باید آموزش‌ های مناسب را برای حفاظت از این اطلاعات گذرانده باشند.

از یک مسئول حفاظت از داده انتظار می‌رود:

• در مدیریت فرایندها و منابع فناوری اطلاعات مهارت کافی داشته باشد؛
• در امنیت اطلاعات، به‌خصوص در زمینه‌های مربوط به امنیت سایبری (حملات سایبری، حفاظت از داده‌ها در مقابل هکرهای سایبری و …) مهارت لازم را داشته باشد.
• درک و توانایی لازم در مسائل مربوط به ذخیره‌سازی و پردازش اطلاعات حساس و درنتیجه تداوم کسب‌ و کار را داشته باشد.

جریمه شرکت های متخلف

در GDPR به صراحت ذکر شده هر شرکت یا سازمانی که از مفاد مشخص پیرامون داده های کاربران تخطی کند به پرداخت ۲۰ میلیون دلار یا ۴ درصد از گردش مالی سالانه (هر کدام بیشتر باشد) محکوم خواهد شد که می تواند برخی از شرکت های کوچکتر را از پای درآورد.

در اینجا با چند مورد از مجازات‌هایی که می‌توانند اعمال شوند، آشنا می‌شوید:

• برای بار اول هشدار کتبی به دلیل عدم رعایت و ناهماهنگی غیرعمدی با این قوانین.
• بار دوم بازرسی از داده‌های قانونی.
• و در صورت تکرار؛ جریمه تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه.

مجازات های درنظرگرفته شده برای متخلفان به حدی سنگین است که غول هایی نظیر گوگل سریعاً بروزرسانی قوانین داخلی، بازنویسی قراردادها و توسعه ابزارهای داده جدید را در دستور کار خود قرار داده و برخی دیگر از سازمان ها که زمان کافی برای تطابق با این قوانین نداشته اند، سایت های خود را در اروپا به حالت تعلیق درآورده اند.

نتیجه‌گیری

مقررات جدید اتحادیه اروپا برای تقویت حفاظت از اطلاعات عمومی شهروندان اتحادیه اروپا ایجادشده است. هرچند این قانون کار شرکت‌های بزرگی مانند گوگل و فیسبوک را از گذشته سخت‌تر می‌کند، اما در حقیقت این شرکت‌های کوچک هستند که برای تبعیت از این قانون با مشکلات بسیار بزرگ‌تری مواجه می‌شوند؛ زیرا تبعیت از این قوانین هزینه‌های زیادی را بر شرکت‌ها تحمیل می‌کند. در این میان غول‌های بزرگ تکنولوژی مشکلی در این زمینه ندارند، اما شرکت‌های کوچک نمی‌توانند از پس این هزینه‌ها بربیایند. برخی از سازنده‌های بازی‌های آنلاین اعلام کرده‌اند که برای جلوگیری از دردسرهای متعدد، دسترسی کاربران اروپایی به بازی‌های خود را مسدود می‌کنند. برخی دیگر از سازمان ها هم که زمان کافی برای تطابق با این قوانین نداشته اند، سایت های خود را در اروپا به حالت تعلیق درآورده اند. بر اساس نظر بسیاری از متخصصین، چنین قوانینی هرچند به‌نفع کاربران اروپایی است، اما منجر به حذف شدن تعداد بسیاری زیادی از شرکت‌های کوچک و قدرتمندتر شدن شرکت‌های بزرگ می‌شود.