GDPR چیست؟

قوانین جدید اتحادیه‌ی اروپا برای محافظت از داده‌ها

می‌خواهیم بررسی کنیم که GDPR چیست؟ GDPR قوانین جدید اتحادیه‌ی اروپا (European Union) برای حریم خصوصی و امنیت اطلاعات است. GDPR شامل صدها صفحه از نیازمندی‌های امنیت داده‌ها برای سازمان‌های سراسر دنیا است. در این مقاله قصد داریم این قوانین را به‌صورت مختصر بررسی کنیم. مطالعه‌ی این مطلب به شما در فهمیدن این قوانین کمک خواهد کرد. همچنین خواهید دانست کدام بخش از آن‌ها به شما مربوط می‌شود.

 

GDPR مخفف عبارت General Data Protection Regulation و به معنیِ آیین‌نامه‌ی عمومی حفاظت از داده‌ها است. این آیین‌نامه سخت‌ترین قانون برای حریم خصوصی و امنیت در دنیا است. اگرچه پیش‌نویس این قانون در اتحادیه‌ی اروپا تدوین شده؛ اما اجرای آن شامل حال همه‌ی افرادی که در سراسر دنیا با اطلاعات افرادی که در اروپا هستند مرتبط باشند؛ می‌شود. این مقررات در تاریخ ۲۵ ماه می سال ۲۰۱۸ به اجرا گذاشته شد. GDPR برای کسانی که حریم خصوصی افراد و استانداردهای امنیتی را نقض کنند؛ جریمه‌های سنگینی تعیین کرده است. این جریمه‌ها حتی در شرایطی به ده‌ها میلیون یورو هم می‌رسد.

 

با قانون GDPR، اروپا موضع قاطع خود را در مورد حریم خصوصی افراد و امنیت داده‌ها نشان می‌دهد. مخصوصاً در زمان کنونی که افراد بیشتری داده‌های شخصی خود را به سرویس‌های ابری می‌سپارند و هرروز هم شاهد نقض امنیت اطلاعات به شکل‌های مختلف هستیم. این آیین‌نامه به‌خودی‌خود بزرگ، گسترده و با در نظر گرفتن جزئیات نوشته شده است. مفصل بودنِ GDPR، مطالعه و اجرای آن را به یک کار دلهره‌آور برای شرکت‌های با اندازه‌ی کوچک و متوسط تبدیل کرده است.

 

GDPR، مختصر و مفید

این مطلب که ترجمه‌ی بخش خلاصه‌شده‌ی قوانین GDPR از سایت رسمی آن است؛ می‌تواند برای صاحبان کسب‌وکار و مدیران مفید باشد. هرچند مطالعه‌ی این مطلب به‌تنهایی، برای همه‌ی افراد کافی نیست و ممکن است در شرایطی به استفاده از مشاوره‌ی حقوقی هم نیاز باشد. اما این مطلب برای فهم اینکه اجرای کدام بخش‌های آن برای شما لازم است؛ مفید خواهد بود. همچنین در این مطلب درباره‌ی ابزارهای حفظ حریم خصوصی و چگونگی کاهش ریسک هم‌صحبت خواهد شد. در ادامه‌ی توصیف دستورالعمل‌های GDPR هم سعی می‌شود تا شما در جریان بهترین روش‌های پیشرفت آن قرار دهیم.

 

همچنین اگر به نسخه‌ی کامل قوانین GDPR نیاز دارید می‌توانید از این لینک به آن دسترسی پیدا کنید. اما احتمالاً شما زمان کافی برای مطالعه‌ی سند کامل آن را نخواهید داشت. در این مقاله سعی می‌کنیم این مقررات را برای شما به‌صورت ساده و قابل‌فهم بیان کنیم. هدف هم این است که در پیدا کردن مواردی که به شما مربوط می‌شود؛ کمتر دچار سردرگمی شوید.

 

تاریخچه‌ی GDPR

حق داشتن حریم خصوصی بخشی از کنوانسیون اروپاییِ حقوق بشر است که در سال ۱۹۵۰ تصویب شده است.

 

در این کنوانسیون آمده است: «هر انسانی حق دارد که زندگی خصوصی خود، خانواده‌اش، خانه‌اش و مکاتباتش، محترم شمرده شوند». بر اساس این قانون، اتحادیه‌ی اروپا سعی کرده است تا از طریق قانون‌گذاری از حمایت از این حق اطمینان حاصل کند.

 

وقتی تکنولوژی پیشرفت کرد و اینترنت اختراع شد؛ اتحادیه‌ی اروپا تشخیص داد که به قوانین محافظتی جدیدی نیاز است. بنابراین در سال ۱۹۹۵ بخشنامه‌ی حفاظت از داده‌های اروپاییان را تدوین کرد. این بخشنامه شامل حداقل‌هایی برای حریم خصوصی داده‌ها و استانداردهای امنیتی بود. هر کشور هم این بخشنامه را بر اساس صلاح‌دید خودش پیاده‌سازی کرد.

 

اما این روزها تعریف اینترنت و نحوه‌ی استفاده‌ی افراد از آن کاملاً متفاوت شده است. در سال ۱۹۹۴ اولین تبلیغ بنری در فضای اینترنت به نمایش درآمد. در سال ۲۰۰۰ اکثر مؤسسات مالی، شروع به ارائه‌ی خدمات آنلاین کردند. در سال ۲۰۰۶ فیس‌بوک در دسترس عموم مردم دنیا قرار گرفت. در سال ۲۰۱۱ یک کاربر استفاده‌کننده از گوگل، از این کمپانی به دلیل اسکن کردن ایمیل‌هایش شکایت کرد. دو ماه بعد از این شکایت، مسئولین حفاظت از داده‌های اروپایی اعلام کردند که اتحادیه‌ی اروپا به «یک رویكرد جامع در مورد حفاظت از داده‌های شخصی» نیاز دارد و كار برای به‌روزرسانی بخشنامه‌ی سال ۱۹۹۵ آغاز شد.

 

GDPR پس از تصویب پارلمان اروپا در سال ۲۰۱۶ به اجرا درآمد و از ۲۵ ماه می سال ۲۰۱۸ ، همه سازمان‌ها ملزم به رعایت این قوانین شدند.

 

حیطه‌ی کاری، مجازات‌ها و تعاریف کلیدی

اولاً: اگر شما اطلاعات شخصی شهروندان یا ساکنان اتحادیه اروپا را پردازش کنید؛ یا کالاها یا خدماتی را به این افراد ارائه دهید؛ GDPR شامل حال شما هم می‌شود؛ حتی اگر شما در داخلِ اتحادیه اروپا نباشید.

 

دوماً: جریمه نقض مقررات GDPR خیلی سنگین است. دو دسته مجازات وجود دارد که حداکثر آن ۲۰ میلیون یورو یا ۴ درصد از درآمد جهانی است (هرکدام بالاتر باشد محاسبه می‌شود). به‌علاوه افرادی که داده‌هایشان مورد نقض قانون قرارگرفته است؛ حق دارند درخواست جبران خسارت کنند.

 

در GDPR مجموعه‌ای از اصطلاحات حقوقی، به‌صورت مفصل و طولانی تعریف می‌شود. در ادامه، بعضی از مهم‌ترین موارد آن‌ها را که در این مقاله به آن‌ها اشاره می‌شود؛ آورده شده است:

 

داده‌های شخصی

داده‌های شخصی، شامل هر اطلاعاتی است که مربوط به یک فرد باشد که می‌تواند به‌طور مستقیم یا غیرمستقیم شناسایی شود. مثلاً اسامی افراد و آدرس ایمیل آن‌ها، مشخصاً جزو داده‌های شخصی هستند. اطلاعات مربوط به موقعیت مکانی افراد، قومیت، جنسیت، داده‌های بیومتریک، عقاید مذهبی، کوکی‌های وب و نظرات سیاسی افراد، نیز همگی می‌تواند جزو داده‌های شخصی باشد. داده‌هایی مثل نام مستعار نیز می‌توانند تحت این تعریف قرار بگیرند؛ اگر شناسایی اشخاص از طریق آن داده‌ها ممکن باشد.

 

پردازش داده‌ها

هرگونه عملیاتی که روی داده‌ها انجام می‌شود، چه این عملیات به‌صورت خودکار باشد یا دستی، جزو پردازش داده‌ها به‌حساب می‌آید. مثال‌های ذکرشده در این متن که در این دسته‌بندی قرار می‌گیرند شامل جمع‌آوری داده‌ها، رکورد، سازمان‌دهی، ساختاردهی، ذخیره‌سازی، استفاده و پاک کردن داده‌ها است. بنابراین اساساً هر کاری که روی داده‌ها صورت می‌گیرد را می‌توان در این دسته در نظر گرفت.

 

صاحب داده‌ها

اشخاصی که داده‌هایشان پردازش می‌شود. این افراد درواقع سوژه‌ی داده‌های مورد پردازش هستند. این افراد احتمالاً مشتریان یا بازدیدکنندگان از سایت شما هستند.

 

کنترل‌کننده‌ی داده‌ها

این تعریف برای شخصی است که تصمیم می‌گیرد چگونه و چرا داده‌های شخصی پردازش شوند. اگر شما یک مالک یا کارمند یک سازمان هستید که داده‌های افراد را مدیریت می‌کند، این شخص شما هستید.

 

داده‌پرداز

شخص یا سازمان ثالثی که داده‌های شخصی را از طرف کنترل‌کننده داده‌ها، پردازش می‌کند. GDPR قوانین ویژه‌ای برای این افراد و سازمان‌ها دارد. برای مثال سرویس ایمیل گوگل (جیمیل) را می‌توان یک داده‌پرداز به‌حساب آورد.

 

GDPR درباره‌ی موضوعات مختلف چه می‌گوید؟

در ادامه‌ی این مقاله، ما تمام نکات کلیدی و مهم مقرراتِ GDPR را به‌طور خلاصه توضیح خواهیم داد.

 

اصول محافظت از داده‌ها

اگر شما داده‌ها را پردازش می‌کنید؛ باید طبق هفت اصل حفاظت و مسئولیت‌پذیری که در ماده -۲۵٫۱ از متن اصلی قانون ذکرشده است؛ این کار را انجام دهید. در ادامه این هفت اصل را مختصراً بیان می‌کنیم:

 

  1. قانونمند بودن، رعایت اخلاق و شفافیت – فرایند پردازش باید برای صاحب داده‌ها قانونمند، منصفانه و شفاف باشد.
  2. محدودیت اهداف – باید داده‌ها را برای اهداف قانونی که به‌صورت صریح و روشن برای صاحب داده‌ها مشخص می‌شود؛ پردازش کنید.
  3. به حداقل رساندن داده‌ها – شما باید داده‌ها را فقط به‌اندازه‌ی لازم و نه بیشتر از آن، برای اهداف تعیین‌شده، جمع‌آوری و پردازش کنید.
  4. صحت و اعتبار داده‌ها – شما باید داده‌های شخصی را صحیح و به‌روز نگهداری کنید.
  5. محدودیت ذخیره‌سازی – شما صرفاً اجازه دارید داده‌های شناسایی شخصی را فقط برای مدت‌زمان لازم برای هدف مشخصی ذخیره کنید.
  6. صداقت و رازداری – پردازش داده‌ها باید طوری انجام شود که امنیت، صداقت و رازداری مناسب را تضمین کند. به‌عنوان مثال با استفاده از رمزگذاری می‌توان به این هدف دست‌یافت.
  7. مسئولیت‌پذیری و پاسخگویی – کنترل‌کننده‌ی داده‌ها، پاسخگو و مسئول رعایت همه‌ی مقررات GDPR و نشان دادن برقراری آن‌ها است.

 

مسئولیت‌پذیری

مقررات GDPR می‌گوید کنترل‌کننده‌های داده‌ها باید بتوانند سازگاری و رعایت GDPR را نشان دهند. اما این کار آسانی نیست چرا که در این مورد یک واقعیت مهم وجود دارد. این واقعیت این است که اگر شما فکر می‌کنید با GDPR سازگار هستید اما نمی‌توانید سازگار بودن خودتان را نشان دهید؛ پس با GDPR مطابقت ندارید. ازجمله راه‌هایی که می‌توانید این سازگاری را نشان دهید در ادامه چند مورد را ذکر می‌کنیم:

  • مسئولیت اعضای تیم خودتان را برای محافظت از داده‌ها برای هرکدام از آن‌ها تعیین کنید.
  • مستندات دقیق اطلاعاتی را که جمع‌آوری می‌کنید را نگهداری کنید. این مستندات شامل نحوه‌ی استفاده از داده‌ها، مکان ذخیره‌سازی آن‌ها، کارمندانی که مسئول آن‌ها هستند و غیره می‌باشد.
  • به کارمندان خود آموزش دهید و اقدامات امنیتیِ فنی و سازمانی را اجرا کنید.
  • با اشخاص ثالثی که برای شما کار پردازش داده‌ها را انجام می‌دهند؛ قرارداد توافق‌نامه پردازش داده منعقد کنید.
  • یک مسئول حفاظت از داده‌ها برای شرکت خودتان تعیین کنید (اگرچه ممکن است همه‌ی سازمان‌ها به یکی از آن‌ها احتیاج نداشته باشند).

 

امنیت داده‌ها

شما باید با انجام «اقدامات فنی و سازمانی مناسب»، داده‌ها را به‌صورت امن مدیریت کنید.

 

اقدامات فنی در عبارت قبل به معنی انجام همه‌ی کارهایی است که به امنیت داده‌ها منجر شود. یکی از مثال‌هایی که برای این کارها می‌توانیم بزنیم استفاده از احراز هویت دومرحله‌ای یا two-factor authentication است که احتمالاً با آن آشنا هستید. آن دسته از کارمندان شما که با اطلاعات و داده‌های شخصی افراد مرتبط هستند؛ بهتر است از این روش برای افزایش امنیت استفاده کنند. مثلاً احراز هویت دومرحله‌ای را روی حساب‌های کاربری خودشان در سرورهای ابری که داده‌ها روی آن‌ها قرار دارد؛ فعال کنند.

 

اقدامات سازمانی هم در عبارت بالا به مواردی مانند مثال‌های زیر گفته می‌شود:

  • آموزش كاركنان.
  • افزودن بخشی با عنوانِ سیاست‌های حفظ حریم خصوصی داده‌ها به اطلاعات راهنمای كارمندان شما.
  • اعمال محدودیت در دسترسی به داده‌های شخصی، به‌طوری‌که دسترسی آن فقط در اختیار كاركنانی باشد که به آن‌ها احتیاج دارند.

 

اگر شما موردی از نقض مقررات داده‌ها داشته باشید؛ مثلاً یک هکر به اطلاعات کاربرانتان نفوذ کند؛ ۷۲ ساعت وقت دارید که به صاحب آن داده‌ها اطلاع دهید. در غیر این صورت با مجازات مواجه خواهید شد. اما اگر از ضمانت‌های فنی کافی، مانند رمزگذاری اطلاعات برای بی‌اثر شدن دستیابی مهاجم به داده‌ها استفاده کرده باشید؛ ممکن است این هشدار در مورد شما بی‌اثر شود.

 

محافظت از داده‌ها به‌صورت پیش‌فرض و طراحی‌شده

ازاینجا به بعد، هر کاری که شما در سازمان خود انجام می‌دهید باید در آن به‌صورت پیش‌فرض و طراحی‌شده، حفاظت از داده‌ها در نظر گرفته شود. عملاً این مفهوم به معنی آن است که شما باید در طراحی هر محصول یا فعالیت جدید، اصول محافظت از داده را در نظر بگیرید. مقررات GDPR این اصل را در ماده‌ی ۲۵ پوشش می‌دهد.

 

برای مثال فرض کنید شما در حال راه‌اندازی یک اپلیکیشن جدید برای شرکت خودتان هستید. شما باید به این فکر کنید که برنامه باید چه داده‌های شخصی‌ای را از کاربران دریافت کند. سپس روش‌هایی را برای به حداقل رساندن میزان داده‌های دریافتی و همچنین برقراری امنیت آن‌ها با استفاده از آخرین تکنولوژی‌های موجود در نظر بگیرید.

 

چه زمانی شما مجاز به پردازش داده‌ها هستید؟

در ماده‌ی ۶ مقررات GDPR مواردی که در آن‌ها پردازش داده‌های افراد قانونی است؛ ذکرشده است. قبل از اینکه از مجاز بودن خودتان برای انجام عملیات روی ‌داده‌های شخصی دیگران با بررسی لیست زیر اطمینان حاصل نکرده‌اید؛ حتی به این فکر نکنید که اطلاعات شخصی دیگران را مورد پردازش کنید.

 

  1. صاحب داده‌ها به شما اجازه‌ی خاص، صریح و روشنی برای پردازش داده‌هایش  داده باشد. به‌عنوان مثال آن‌ها به اختیار خودشان ایمیلشان را در لیست ایمیل بازاریابی شما درج کرده باشند.
  2. پردازش داده‌ها برای آماده‌سازی و انعقاد قراردادی که صاحب داده‌ها در آن عضو است؛ لازم باشد. به‌عنوان مثال شما باید قبل از اجاره دادن یک ملک به یک مستأجر احتمالی، پیشینه‌ی مالی او را بررسی کنید.
  3. لازم باشد شما برای رعایت یک تعهد قانونی خودتان، داده‌ها را پردازش کنید. به‌عنوان مثال شما از دادگاه حکمی مبنی بر صلاحیت قضایی خودتان برای پردازش داده‌ها دریافت کنید.
  4. وقتی برای نجات جان کسی لازم است داده‌ها را پردازش کنید. در این مورد، وقتی‌که شرایط چنین اتفاقی رقم بخورد؛ شما احتمالاً خواهید دانست که این کار باید انجام شود.
  5. وقتی پردازش داده‌ها برای انجام یک کار در جهت منافع عمومی یا انجام برخی از وظایف رسمی لازم باشد. به‌عنوان مثال وقتی شما یک شرکت خصوصی برای انجام کارهایی در راستای منافع عمومی دارید.
  6. وقتی شما برای پردازش داده‌های شخصی افراد، منافع قانونی دارید. این انعطاف‌پذیرترین مبنای قانون GDPR است. البته باید توجه داشته باشید که «حقوق و آزادی‌های اساسی صاحبان داده‌ها» همیشه بر منافع شما اولویت خواهند داشت؛ به‌ویژه اگر این داده‌ها مربوط به کودکان باشند. ذکر مثال در این مورد کمی مشکل است؛ چرا که شما در این مورد باید عوامل مختلفی را برای خودتان در نظر بگیرید.

 

هنگامی‌که مبنای قانونی خودتان را برای پردازش داده‌ها تعیین کردید؛ باید به‌طور شفاف این مبنای قانونی را مستند کرده و به صاحبان داده‌ها اطلاع دهید. اگر بعداً تصمیم گرفتید توجیه قانونی خودتان را تغییر دهید؛ لازم است بازهم دلیل خوبی داشته باشید. به همین ترتیب باید این دلیل جدید را نیز مستند کرده و به صاحبان داده‌ها اطلاع دهید.

 

موافقت و رضایت صاحبان داده‌ها برای پردازش داده‌هایشان

قوانین جدید و سخت‌گیرانه‌ای در مورد اعلام رضایت و موافقت صاحبان داده‌ها برای پردازش اطلاعات آن‌ها وجود دارد.

  • رضایت افراد باید آزادانه، مشخص، آگاهانه و بدون ابهام باشد.
  • درخواست‌هایی که برای دریافت تأیید رضایت از افراد ارائه می‌شود باید به‌صورت واضح از سایر موارد قابل‌تفکیک بوده و به زبان شفاف و روشن ارائه شود.
  • صاحبان داده‌ها می‌توانند رضایتی که قبلاً اعلام کرده‌اند را هر زمان که بخواهند پس بگیرند و شما باید به تصمیم آن‌ها احترام بگذارید. شما نمی‌توانید به‌سادگی مبنای قانونی‌تان برای پردازش داده‌ها را به یکی از موارد دیگر تغییر دهید.
  • کودکان زیر ۱۳ سال فقط می‌توانند با اجازه‌ی والدین خودشان رضایت دهند.
  • شما باید مدارکی مبنی بر اعلام رضایت افراد را به‌صورت مستند نگهداری کنید.

 

مسئول حفاظت از داده‌ها

برخلاف تصور عمومی، همه کنترل‌کننده‌ها یا داده‌پردازها نیازی به تعیین یک کارمند مسئول حفاظت از داده‌ها یا Data Protection Officers (DPO) ندارند. سه شرط وجود دارد که تحت آن شرایط شما نیاز به تعیین DPO دارید:

 

  1. شما یکی از مقامات عمومی به‌غیراز دادگاه هستید که وظیفه‌ی قضاوت دارید.
  2. فعالیت اصلی شما مستلزم نظارت منظم و سیستماتیک روی‌داده‌های افراد در مقیاس وسیع است. به‌عنوان مثال کمپانی Google نمونه‌ی خوبی برای این مورد است.
  3. فعالیت اصلی شما پردازش گسترده‌ی دسته‌های خاصی از داده‌های ذکرشده در ماده‌ی ۹ مقررات GDPR یا داده‌های مربوط به محکومیت‌های کیفری و جرائم ذکرشده در ماده‌ی ۱۰ آن است. به‌عنوان مثال کار شما مدیریت اطلاعات یک مرکز پزشکی باشد.

 

همچنین شما می‌توانید اگر خودتان بخواهید یک مسئول DPO را تعیین کنید؛ حتی اگر طبق مقررات نیازی به تعیین آن نداشته باشید. داشتن شخصی با این نقش برای شما فوایدی دارد. وظایف اساسی DPO شامل موارد زیر است:

  • دانستن مقررات GDPR و نحوه‌ی کاربرد آن در سازمان
  • مشاوره دادن به افراد سازمان در مورد مسئولیت‌هایشان
  • انجام آموزش‌های حفاظت از داده‌ها
  • اعمال محدودیت‌ها و نظارت بر سازگاری سازمان با مقررات GDPR
  • داشتن نقش رابط با سازمان‌های نظارتی و رگولاتورها

 

حقوق حریم خصوصی افراد

احتمالاً شما یک کنترل‌کننده داده و یا یک داده‌پرداز هستید. اما شما به‌عنوان شخصی که از اینترنت استفاده می‌کند، یک صاحب داده نیز هستید. مقررات GDPR تعداد زیادی از حقوق حفظ حریم خصوصی افراد صاحب داده را به رسمیت می‌شناسد. هدف آن‌ها دادن توانایی کنترل بیشتر به افرادی است که داده‌های آن‌ها در اختیار سازمان‌های دیگر است. برای شما به‌عنوان یک سازمان، دانستن این حقوق برای کسب اطمینان از مطابقت کارتان با مقررات GDPR بسیار مهم است.

 

در ادامه، خلاصه‌ای از حقوق حریم خصوصی صاحبان داده‌ها آورده شده است:

 

  1. حق مطلع شدن از داده‌ها
  2. حق دسترسی داشتن به داده‌ها
  3. حق داشتن توانایی اصلاح داده‌ها
  4. حق داشتن توانایی پاک کردن داده‌ها
  5. حق محدود کردن پردازش روی داده‌ها
  6. حق قابلیت انتقال داده‌ها
  7. حق اعتراض
  8. حقوق مربوط به تصمیم‌گیری‌های خودکار

 

نتیجه‌گیری

ما در این مقاله، تمام موارد اصلی از مقررات GDPR را به‌صورت خیلی خلاصه و قابل‌فهم پوشش دادیم. متن کاملِ این آیین‌نامه، بدون در نظر گرفتنِ دستورالعمل‌های همراهش ۸۸ صفحه به زبان انگلیسی است. با توجه به متن خلاصه‌ای که در اینجا مطالعه کردید؛ اگر متوجه شده‌اید که سازمان یا شرکت شما تحت تأثیر مقررات GDPR قرار می‌گیرد؛ توصیه می‌کنیم حداقل یک نفر در سازمانتان متن کامل مقررات GDPR را بخواند. همچنین می‌توانید برای اطمینان از سازگاری شما با قوانین GDPR از یک وکیل متخصص در این زمینه مشاوره بگیرید.

Total
0
Shares
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Previous Post
ری‌اکت نیتیو

ری‌اکت نیتیو | React Native

Next Post
گوگل اسلاید در وردپرس

گوگل اسلاید در وردپرس | راهنمای کامل

Related Posts