مقررات عمومی ‌حفاظت از داده‌ها (GDPR) سخت‌ترین قانون حفظ حریم خصوصی و امنیت در جهان است. GDPR توسط اتحادیه اروپا (EU) تهیه و تصویب شد و تعهداتی را برای سازمان‌های سراسر جهان تعیین می‌کند. GDPR جریمه‌های سنگینی را علیه افرادی که استانداردهای حریم خصوصی و امنیتی آن را نقض می‌کنند وضع خواهد کرد که مجازات آن به ده‌ها میلیون یورو می‌رسد.

GDPR در واقع موضع قاطع اروپا در مورد حفظ حریم خصوصی و امنیت داده‌ها را نشان می‌دهد. در زمانی که بیشتر افراد داده‌های شخصی خود در سرویس‌های ابری ذخیره و نگهداری می‌کنند نقض‌های امنیتی به یک اتفاق روزمره تبدیل شده است.

تاریخچه GDPR

حق حفظ حریم خصوصی بخشی از کنوانسیون اروپایی حقوق بشر ۱۹۵۰ است که بر طبق آن:

هر شخصی حق دارد به زندگی خصوصی و خانوادگی، خانه و مکاتباتش احترام بگذارد. بر این اساس، اتحادیه اروپا به دنبال تضمین حمایت از حق طرفین بوده است.

با پیشرفت تکنولوژی و اختراع اینترنت، اتحادیه اروپا نیاز به حفاظت‌های مدرن را تشخیص داد. بنابراین در سال ۱۹۹۵ دستورالعمل حفاظت از داده‌های اروپا را تصویب کرد، که حداقل استانداردهای حفظ حریم خصوصی و امنیت داده‌ها را ایجاد کرد که هر کشوری که عضو آن است ملزم به اجرای آن خواهد بود. GDPR در سال ۲۰۱۶ تصویب شد و در ۲۵ مه ۲۰۱۸ به طور کامل اجرایی شد.

GDPR چیست؟

GDPR همه کنترل کننده‌ها و پردازشگرهای داده را که اطلاعات شخصی ساکنان اتحادیه اروپا را مدیریت می‌کنند ملزم می‌کند تا اقدامات فنی و سازمانی مناسب  برای اطمینان از محرمانه بودن، یکپارچگی، در دسترس بودن و انعطاف‌پذیری سیستم‌ها و خدمات پردازشی را اجرا کنند.

این مقررات سازمان‌ها را ملزم می‌کند که چارچوبی برای انطباق ایجاد کنند که نشان می‌دهد اقدامات فنی و سازمانی مناسبی را برای اطمینان از اینکه پردازش داده‌های شخصی مطابق با GDPR انجام می‌شود اجرا کنند. پردازش اساساً هر کاری است که برای داده‌ها انجام می‌شود را در بر می‌گیرد.

محدوده، مجازات‌ها، تعاریف

ابتدا، اگر داده‌های شخصی شهروندان یا ساکنان اتحادیه اروپا را پردازش می‌کنید یا اینکه کالاها یا خدماتی را به این افراد ارائه می‌دهید، حتی اگر در اتحادیه اروپا نباشید، شما ملزم هستید تا GDPR را رعایت کنید.

دوم، جریمه‌های نقض GDPR بسیار بالا است. دو ردیف جریمه برای این کار وجود دارد که حداکثر به ۲۰ میلیون یورو یا ۴ درصد از درآمد جهانی می‌رسد، همچنین افراد حق دارند برای جبران خسارت غرامت درخواست کنند.

GDPR مجموعه‌ای از اصطلاحات حقوقی را تعریف می‌کند که در ادامه به برخی از مهمترین آنها اشاره خواهیم کرد:

• داده‌های شخصی: داده‌های شخصی هر گونه اطلاعات فردی هستند که به طور مستقیم یا غیر مستقیم به آن فرد مرتبط هستند. نام‌ها و آدرس‌های ایمیل آشکارا داده‌های شخصی هستند. اطلاعات مکانی، قومیت، داده‌های بیومتریک، اعتقادات مذهبی، کوکی‌های وب و نظرات سیاسی نیز جزء داده‌های شخصی محسوب می‌شوند. داده‌های مستعار نیز می‌توانند تحت اطلاعات شخصی تعریف شوند.
• پردازش داده: هر عملی که روی داده‌ها انجام می‌شود پردازش داده نامیده می‌شود. پردازش داده‌ها می‌تواند شامل جمع‌آوری، ضبط، سازمان دهی، ساختاردهی، ذخیره‌سازی، استفاده، پاک کردن و… تعلق گیرد.
• موضوع داده: شخصی که تصمیم می‌گیرد چرا و چگونه داده‌های شخصی پردازش شوند. مالک یا کارمندان یک سازمان جزء این دسته قرار می‌گیرند.
• پردازشگر داده: شخص ثالثی که داده‌های شخصی را از طرف یک کنترل کننده داده پردازش می‌کند. GDPR قوانین خاصی برای افراد و سازمان‌ها دارد. این موارد می‌توانند شامل سرورهای ابری یا ارائه دهندگان خدمات ایمیل باشند.

قوانین GDPR

در ادامه این مقاله، موارد کلیدی که در GDPR اشاره شده است را مورد اشاره قرار خواهیم داد:

اصول حفاظت از داده‌ها

اگر داده‌ها را پردازش می‌کنید، باید هفت اصل حفاظتی و پاسخگویی را رعایت کنید که شامل موارد زیر است:

1- قانونمندی، شفافیت، انصاف: پردازش داده باید برای یک داده قانونی، منصفانه و شفاف باشد.

2- محدودیت هدف: افراد باید داده‌ها را برای اهداف قانونی که در هنگام جمع‌آوری داده مشخص شده است پردازش کنند.

3- به حداقل رساندن داده‌ها: شما باید فقط به اندازه‌ای که برای اهداف مشخص شده ضروری است داده‌ها را جمع‌آوری و پردازش کنید.

4- دقت: افراد باید داده‌های شخصی را دقیق و به روز نگه دارند.

5- محدودیت ذخیره‌سازی: شما فقط می‌توانید داده‌های شناسایی شخصی را تا زمانی که برای هدف مشخص شده ضروری است ذخیره کنید.

6- صداقت و محرمانه بودن: پردازش باید به گونه‌ای انجام شود که امنیت، یکپارچگی و محرمانه بودن را تضمین کند.

7- پاسخگویی: کنترل کننده داده مسئول این است که بتواند مطابقت GDPR را با همه اصول نشان دهد.

مسئولیت

بر طبق GDPR کنترل کننده داده باید بتواند نشان دهد که عملکرد آنها مطابق با GDPR بوده است. اگر فکر می‌کنید که با GDPR مطابقت دارید اما نمی‌دانید که چگونه آن را نشان بدهید، می‌توانید از راه‌های زیر استفاده کنید:

• مسئولیت حفاظت از داده‌ها را برای تیم خود تعیین کنید.
• اسناد و مدارک دقیق داده‌هایی را که جمع آوری می‌کنید، نحوه استفاده، ذخیره‌سازی و کارمندی که مسئول آن است و غیره را نگهداری کنید.
• کارکنان خود را آموزش دهید و اقدامات امنیتی فنی و سازمانی را اجرا کنید.
• قراردادهایی برای پردازش داده را با اشخاص ثالثی ایجاد کنید تا داده‌ها را برای شما پردازش کنند.

امنیت داده‌ها

شما باید با اقدامات فنی و سازمانی مناسب داده‌ها را به طور ایمن مدیریت کنید.

اقدامات فنی می‌تواند به معنای ملزم کردن کارمندان به استفاده از احراز هویت دو مرحله‌ای در حساب‌هایی باشد که داده‌های شخصی در آنها ذخیره می‌شود.

اقدامات سازمانی مواردی مانند آموزش کارکنان، افزودن خط مشی حفظ حریم خصوصی داده به کتابچه راهنمای کارمندان یا محدود کردن دسترسی به داده‌های شخصی به افراد مشخصی از کارمندان سازمانی است.

در صورت نقض داده‌ها، تا ۷۲ ساعت فرصت دارید تا به افراد اطلاع دهید در غیر اینصورت جریمه خواهید شد.

از این به بعد، هر کاری را که در سازمان انجام می‌دهید باید به صورت پیش فرض امنیت و حفاظت از داده‌ها را در نظر بگیرد.

زمانی که شما مجاز به پردازش داده‌ها هستید

در GDPR افرادی را که برای پردازش داده‌ها مجاز هستند را فهرست می‌کند همچنین این افراد مجاز نیستند که اطلاعات فردی را جمع‌آوری، ذخیره یا تبلیغ کنند مگر اینکه آن را با یکی از موارد زیر توجیه کنند:

۱- موضوع داده با رضایت شخص و بدون ابهام در پردازش باشد.

۲- پردازش داده برای اجرا یا آماده شدن برای انعقاد قراردادی که موضوع داده یکی از طرفین آن است ضروری است.

۳- شما برای انجام تعهدات قانونی خود باید داده‌ها را پردازش کنید.

۴- برای نجات جان کسی باید داده‌ها را پردازش کنید.

۵- پردازش برای انجام وظیفه در جهت منافع عمومی ‌یا انجام برخی از وظایف ضروری است.

رضایت

در GDPR نیز قوانین سختگیرانه‌ای برای رضایت وجود دارد که شامل موارد زیر است:

• رضایت باید مشخص، آزادانه، آگاهانه و بدون ابهام باشد.
• درخواست رضایت باید به وضوح و روشن بیان شود.
• افراد هر زمانی می‌توانند رضایت قبلی خود را پس بگیرند و سازمان‌ها ملزم هستند به تصمیم آنها احترام بگذارند.
• شما باید مدارک رضایت را مستند نگه دارید.

نتیجه گیری

در این مقاله ما به نکات اصلی GDPR پرداختیم. این آیین نامه شامل ۸۸ صفحه است. همانطور که اشاره شد مقررات عمومی حفاظت از داده‌ها مجموعه‌ای واحد از قوانین اتحادیه اروپا در مورد حمایت از افراد برای پردازش داده های شخصی و جابجایی آزادانه چنین داده‌هایی است. در سایت GDPR کلیه قوانین مربوط به آن قرار داده شده است که با مطالعه آن می‌توانید اطلاعات دقیق‌تری به دست بیاورید.