قوانین عمومی حفاظت از داده چیست؟هر آنچه باید درباره GDPR بدانید

مقررات عمومی حفاظت از داده اتحادیه اروپا (The General Data Protection Regulation (GDPR) (EU) 2016/679) مقرراتی است که در مورد حفاظت از داده و محرمانگی همه اشخاص و خروج داده در اتحادیه اروپا و منطقه اقتصادی اروپا وضع شده‌است. هدف این مقررات اساساً، برای اعطای کنترل دادها به شهروندان و ساکنان این منطقه و ساده‌سازی محیط مقررات گذاری برای کسب و کارهای بین‌المللی از طریق یکسان‌سازی مقررات است . به عبارتی برای هماهنگ کردن جریان داده ها بین همه کشورهای عضو و تقویت بعد حقوقی آن است تا شهروندان اتحادیه اروپا نسبت به داده های خود که در سازمانها نگه داشته و پردازش می شود قدرت کنترلی بیشتری داشته باشند.

مقررات عمومی حفاظت از داده ها (GDPR) ، بر خلاف بخشنامه که از کشورهای عضو خواسته میشود تا قوانین داخلی خود را برای اجرای قوانین آن تهیه کنند ، به طور خودکار برای همه ۲۸ کشور عضو اتحادیه اروپا اعمال می شود. هدف این آیین نامه این است که به مردم قدرت بیشتری نسبت به داده های خود ببخشد و عملکرد شرکت ها را در نحوه برخورد با اطلاعات حساس شفاف تر کند.

کمیسیون اروپا با گذشت بیش از یک سال از اجرای مقررات عمومی حفاظت از داده ها ، در آخرین گزارش خود به بررسی تأثیر قوانین حفاظت از داده های اتحادیه اروپا و اینکه چگونه میتواند پیشرفت بیشتری داشته باشد می پردازد. این گزارش نتیجه گیری می کند که بیشتر کشورهای عضو , چارچوب قانونی لازم را تنظیم کرده اند و سیستم جدید تقویت کننده اجرای قوانین محافظت از داده ها در حال عملی شدن است. مشاغل در حال توسعه فرهنگ انعطاف پذیر و منطبق بر GDPR هستند و همزمان نیز شهروندان از حقوق خود آگاه تر می شوند. در عین حال ، همگرایی به استانداردهای بالای محافظت از داده در سطح بین المللی در حال پیشرفت است.

چرا GDPR تدوین شده است؟

تا زمان به کارگیری GDPR ، تنها مقررات حاکم بر حفاظت از داده ها ، دستورالعمل حفاظت از داده ها ۱۹۹۵ بود ، که در انگلستان به عنوان قانون حفاظت از داده ها در سال ۱۹۹۸ شناخته شده است. جهان نسبت به سال ۱۹۹۵ به طرز چشمگیری تغییر کرده و قوانین جدیدی برای رسیدگی به دنیای مدرن استفاده گسترده از اینترنت و رسانه های اجتماعی مورد نیاز بود . در طی ۲۴ سال گذشته ، مشاغل وابسته به وب بیشتر شده اند .قطعا نیازی به بیان شدت رشد شرکتهای مبتنی بر وب و سایت های رسانه های اجتماعی نیست . بنابراین سوءاستفاده از اینترنت و داده های شخصی به مراتب بیشتر از سال ۱۹۹۵ است و اساساً متفاوت شده است.

به عنوان مثال وقتی از موتور جستجوی Google استفاده می کنید یا از طریق فید خبری فیس بوک جستجو می کنید ، اقدامات شما به صورت داده برای شرکت های شخص ثالث ضبط و بسته بندی می شود. به این ترتیب شما هدف تبلیغات و ایمیل های بازاریابی قرار می گیرید.

هدف دیگر GDPR ، سهولت و کاهش هزینه های شرکت ها در پذیرش قوانین حفاظت از داده ها است. دستورالعمل اتحادیه اروپا در سال ۱۹۹۵ به کشورهای عضو اجازه داد که این قوانین را در حین تطبیق با قوانین داخلی خود بشکل دلخواه خود تفسیر کنند. این بدان معناست که قوانین مربوط به محافظت از داده سازگاری با نیت اولیه نداشته باشند و باعث می شود انتقال داده ها با مشکلاتی همراه باشد. بنابراین همانطور که در بالا اشاره کردم ماهیت GDPR به عنوان یک آیین نامه و نه یک دستورالعمل ، به معنای آن است که مستقیماً بدون نیاز به تبدیل شدن به قانون اعمال می شود و باعث ایجاد تفاوت های کمتری در تفسیر بین کشورهای عضو می شود. اتحادیه اروپا معتقد است که GDPR نه تنها جریان اطلاعاتی روان ایجاد می کند بلکه در مجموع شرکت ها ۲.۳ میلیارد یورو در سال را نیز پس انداز می کنند.

چه موقع GDPR عملیاتی شد؟

GDPR از ۲۵ مه ۲۰۱۸ شروع به کار کرد ، به طور خودکار برای همه کشورهای عضو و هر سازمان بین المللی که با مشتریان و مشتریانی که ساکن اتحادیه اروپا هستند ، سرو کار دارد فعال گردید. از آنجا که GDPR یک آیین نامه است ، نه یک دستورالعمل ، بریتانیا نیازی به تدوین قوانین جدید ندارد.

با توجه به اینکه انگلیس در حال آماده سازی برای ترک اتحادیه اروپا است ، بریتانیا قانون جدید حفاظت از داده ها خود را تحت قانون حمایت از داده های سال ۲۰۱۸ وضع کرده است. این قانون جدید مقررات خاصی را شامل می شود که جزئی از GDPR نیستند ، مانند پردازش های مربوط به مهاجرت و پردازش اتوماتیک در نهادهای عمومی.

GDPR به چه کسی اعمال می شود؟

اگر فکر نمی کنید که به قوانین GDPR احترام بگذارید ، احتمالاً دیر یا زود خود را در دردسر خواهید انداخت. خواه تجارت شما با اتحادیه اروپا یا مشتریانی خارج از آن باشد ، بسیار مهم است که به قوانین احترام بگذارید و مطمئن باشید که از مقررات پیروی می کنید.

تقریباً هر مشاغل باید مطابق قوانین اتحادیه اروپا باشد ، حتی اگر در ایالات متحده مستقر باشد. دلیل این امر این است که اکثر شرکت ها حداقل برخی از داده های متعلق به شهروندان اتحادیه اروپا را در سرورهای خود ذخیره می کنند. برای پردازش این داده ها ، سازمان باید با اصول GDPR مطابقت داشته باشد.

به هر حال ، اگر واقعاً هیچگونه تعامل با اتحادیه اروپا ندارید ، می توانید از عدم رعایت قوانین GDPR با استفاده از فیلتر ترافیک شروع کنید. با مسدود کردن هرگونه ترافیک اتحادیه اروپا به وب سایت خود ، می توانید اطمینان حاصل کنید که فقط ترافیک غیر اتحادیه اروپا به وب سایت شما مجاز است و فقط افراد خارج از اروپا می توانند جزئیات خود را در سایت شما وارد کنند.

«حق فراموش شدن» چیست؟

GDPR مردم را آگاه میکند که می توانند داده های خود را در هر زمانی که در ارتباط با شرکت ها نیستند حذف کنند. اگر داده ها رضایت جمع آوری شده باشند ، یک شهروند می تواند هر زمان که دوست داشته باشد این رضایت را پس بگیرد. آنها ممکن است این کار را انجام دهند ، زیرا آنها نسبت به نحوه سازماندهی پردازش اطلاعات خود اعتراض دارند ، یا به عبارت ساده تر نمی خواهند دیگر اطلاعات بیشتری توسط شرکت جمع آوری شود.

اگر بخواهند داده های خود را به جای دیگری منتقل کنند ، چطور؟

بنابراین شما باید به آنها اجازه دهید آنهم بطور سریع. این قانون بدین معنی است که شهروندان می توانند از شما انتظار داشته باشند که طی چهار هفته چنین درخواستی را انجام دهید. کنترل کننده ها باید اطمینان حاصل کنند که داده های مردم از یک فرمت مشترک و باز مانند CSV ، به این معنی که هنگام انتقال به ارائه دهنده دیگر سرویس، مشکلی در تبدیل و خوانش آن وجود ندارد.

جریمه نقض GDPR چیست؟

دو نوع جریمه تحت GDPR وجود دارد ، اما هر دو بسیار بزرگتر از آن است که انگلستان قبلاً دیده باشد. براساس قانون حمایت از داده ها در سال ۱۹۹۸ ، تنظیم شده درانگلستان ، دفتر کمیسر اطلاعات (ICO) ، توانست حداکثر ۵۰۰۰۰۰ پوند شرکتها را جریمه کند.

اگر شرکت‌ها قوانین GDPR را بدرستی رعایت نکنند و مشخص شود قوانین را بدرستی اجرا نکرده و یا تخلفی داشته‌اند و داده هایشان به صورت غیرقانونی درز کرده باشد، در صورت عدم گزارش تخلف داده ها به ICO ظرف ۷۲ ساعت از آگاهی از آن ( منظور ۷۲ ساعت کاری نیست) , حداکثر۲ درصد درآمد سالیانه شان و یا تا سقف ۱۰ میلیون یورو جریمه خواهند پرداخت. در این گزارش اولیه باید ماهیت داده هایی را که تحت تأثیر قرار می گیرند ، مشخص کند.اینکه تقریباً تا چه اندازه بر افراد تأثیر می گذارد ، چه عواقبی برای انها میتواند داشته باشد و چه اقداماتی را قبلاً انجام داده اید یا برنامه ای برای پاسخگویی برنامه ریزی کرده اید , را عنوان کنید.

غیر از آن جریمه نقض اطلاعات شخصی خود نیز جریمه دیگری دارد. نقض داده های تحت GDPR می تواند با حداکثر جریمه ۴٪ از گردش مالی سالانه سازمان شما یا ۲۰ میلیون یورو مجازات شود ، هر کدام که بالاتر باشد.

امیر حسین اکبری