قوانین محافظت از حریم خصوصی اشخاص یا GDPR چیست ؟

GDPR چیست ؟

باگدشت در این صفحه به پاسخ سوال GDPR چیست ؟ پرداخته است. برای آشنایی با این مفهوم هممراه ما باشید.
این آیین نامه در ۲۸ می ۲۰۱۸ اعمال شد. GDPR برای شرکت‌هایی که استانداردهای امنیتی و حریم خصوصی را نقص می‌کنند، جریمه‌های سنگینی با مجازات‌هایی که به ده‌ها میلیون می‌رسد، اعمال می‌کند. با تهیه و تصویب GDPR اروپا موضع قاطعی در برابر جمع آوری اطلاعات حریم خصوصی و امنیت اطلاعات افراد همزمان با افزایش وقوع نشت اطلاعات ذخیره شده در فضای اینترنت، اتخاذ کرده است.

تاریخچه ‌GDPR:

حریم خصوصی، بخشی از قوانین کنوانسیون ۱۹۵۰ اروپا برای حقوق بشر (European Convention on Human Rights) است. این قانون اعلام می‌کند که احترام به حریم شخصی و خانوادگی، حق هر انسانی است. این اصل برای محافظت از حق و حقوق افراد به شکل قانون درآمده است.

با پیشرفت تکنولوژی، اتحادیه اروپا نیاز به قوانین محافظت از حریم خصوصی به شکل مدرن را تشخیص داد. بنابراین در سال ۱۹۹۵ قانون محافظت از داده‌ها به جریان افتاد و حداقل استانداردهای حریم خصوصی و امنیت اطلاعات تصویب شد. هر عضو اتحادیه اروپا براساس قوانین داخلی خود این قوانین را رعایت کرد. ولی تغییر اینترنت به شکل امروزی قبل از تصویب این قوانین شروع شده بود و هر نوع اطلاعاتی در سطح وسیع به اینترنت وارد شد. به عنوان مثال در سال ۱۹۹۴ اولین بنر تبلیغاتی بصورت آنلاین ظاهر شد. موسسات بانکی در سال ۲۰۰۰ خدمات الکترونیک بانکی را ایجاد نمودند. در سال ۲۰۰۶ Facebook به شکل عمومی آنلاین شد. در سال ۲۰۱۱ کاربر گوگل، گوگل را متهم به اسکن ایمیل خود کرد. دو ماه بعد از این اتفاق اتحادیه اروپا اعلام کرد نیازمند راه‌حلی برای محافظت از اطلاعات شخصی افراد است و بخشنامه سال ۱۹۹۵ نیاز به بازنگری دارد. در سال ۲۰۱۶ اجرای قوانین GDPR بعد از تصویت در پارلمان اروپا اجباری شد و در ۲۵ می ۲۰۱۸ تمام سازمان‌ها، ملزم به اجرای GDPR شدند.

حوزه جرایم و معانی کلیدی:

جریمه نقص قوانین GDPR در کشورهای اروپایی بسیار زیاد است. دو درجه مجازات وجود دارد. حداکثر ۲۰ میلیون یورو یا ۴ درصد از درآمد سازمان است. همچنین کسانی که از اطلاعاتشان استفاده شده است حق شکایت برای جبران خسارت دارند.

GDPR مجموعه‌ای از اصطلاحات حقوقی را با جزئیات تعریف می‌کند. در زیر به بعضی موارد مهم آن‌ آورده شده است:

1. اطلاعت شخصی(Personal Data): هر اطلاعات شخصی چه به شکل مستقیم یا غیرمستقیم منجر به شناسایی هر فردی شود. اسم‌ها و ایمیل‌ها نمونه‌ای از اطلاعات شخصی است. اطلاعات مکانی، جنسیت، اطلاعات بیومتریک، اعتقادات مذهبی، کوکی‌های هر وب‌سایت و عقاید سیاسی دسته دیگری از اطلاعات شخصی است. اسم مستعار را می‌توان زیر دسته اطلاعات شخصی دسته بندی کرد اگر هویت شخصی را به نوعی افشا کند.
2. پردازش داده(Data Processing): انجام هرگونه عملی به شکل خودکار و یا دستی بر روی داده را شامل می‌شود. برای مثال، شامل جمع‌اوری ، ضبط، سازماندهی، ساختار دهی، ذخیره سازی، استفاده کردن و پاک کردن اطلاعات می‌شود.
3. مالک داده(Data subject): اطلاعات فردی که پردازش می‌شود. این اطلاعات می‌تواند شامل اطلاعات مشتری یا بازدید کننده سایت باشد.
4. کنترل کننده داده(Data Controller): فردی که در مورد چرایی و چگونگی پردازش اطلاعات تصمیم می‌گیرد. مالک یا کارمند شرکت که داده ها را اداره می‌کند، کنترل کننده داده است.
5. پردازش کننده داده(Data Processor): شخص ثالثی که که داده‌های خصوصی را به جای کنترل کننده داده پردازش می‌کند. GDPR قوانین ویژه‌ای برای این سازمان‌ها و افراد دارد.

اهداف کلی GDPR:

در ادامه مقاله به شکل خلاصه نکات اصلی تنظیم کننده GDPR را توضیح خواهیم داد.

اصل اولیه حفاظت از اطلاعات:

رعایت هفت اصل حفاظت از دیتا و مسئولیت‌پذیری، برای پردازش اطلاعات ضروی است:

1. قانونمندی،‌ عدالت و شفافیت(Lawfulness, fairness and transparency): فرایندهای پردازش اطلاعات بر روی داده‌ها باید قانونمند، منصفانه و دارای شفافیت برای مالک داده‌ باشند.
2. محدودیت هدف(Purpose limitation):‌ پردازش روی داده‌ها باید برای اهداف قانونمند و محدود باشد و دلیل جمع آوری اطلاعات با شفافیت کامل به مالک داده اعلام شود.
3. جمع‌آوری حداقل اطلاعات(Data minimization): فقط اطلاعات مورد نیاز جمع‌آوری شود و راستای هدف جمع‌آوری اطلاعات مشخص باشد.
4. دقت(Accuracy): اطلاعات جمع‌آوری شده باید دقیق و به‌روز باشند و تطابق کامل با اطلاعات اصلی اشخاص حقیقی داشته باشند.
5. محدودیت ذخیره سازی(Storage limitation): ذخیره اطلاعات باید در طی زمانی محدود باشد و محدوده زمانی برای استفاده از اطلاعات باید مطابق با نیاز سازمان باشد. در هر زمانی که به اطلاعات نیاز نبود، باید تمام اطلاعات پاک شوند.
6. محرمانگی و یکپارچه سازی(Integrity and confidentiality): پرداز‌ش‌هایی که انجام می‌شوند باید دارای سه خاصیت امنیت، محرمانگی و یکپارچگی اطلاعات (مانند رمزنگاری) باشند.
7. مسئولیت پذیری(Accountability): کنترل کننده داده مسوول تطابق قوانین GDPR با تمامی عملیات سازمان است.

مسئولیت پذیری:

طبق قوانین GDPR کنترل کننده داده باید توانایی اثبات تطبیق قوانین سازمان با GDPR را داشته باشد. اگر کنترل کننده داده توانایی اثبات واقعی و صحیح این موضوع را نداشته باشد این سازمان قوانین GDPR را رعایت نمی‌کند. برای اثبات مسئولیت پذیری مراحل زیر در نظر گرفته می‌شود:

• مسئولیت محافظت از داده‌ را به تیم خود بصورت شفاف تفویض کنید.
• مستند دقیق داده‌های جمع‌آوری شده را به روز نگه داری کنید و شامل روش‌های استفاده از داده‌ها، محل ذخیره سازی داده‌ها، کارمند مسئول داده‌ها و … باشد.
• کارکنان خود را آموزش دهید و اقدامات امنیتی و فنی سازمانی را برای سنجش آنها اجرا کنید.
• قرارداد پردازش داده‌ها بین سازمان با اشخاص ثالث و یا سازمان‌های دیگری که وظیفه پردازش داده‌ها را به عهده می‌گیرند داشته باشید.
• مسئول اصلی حفاظت از داده‌ها را در سازمان تعیین کنید که می‌تواند در هر بخش یک نفر مسوولیت را داشته باشد.

امنیت دیتا:

برای مدیریت امنیت دیتا باید قوانین مرتبط با بند appropriate technical and organizational measures در GDPR اجرا شود. اقدامات فنی می‌تواند شامل بررسی احراز هویت کارمندان مانند احراز هویت دو مرحله‌ای زمان ورود به حساب کاربری‌ که به داده‌های شخصی ذخیره شده افراد دسترسی دارند تا ذخیره سازی رمزنگاری شده اطلاعات در سیستم ابری(end-to-end encryption) باشد.

اقدامات سازمانی شامل آموزش کارمندان، اضافه کردن سیاست حفظ حریم خصوصی داده‌ها به کتاب راهنمای کارمندان یا محدود کردن دسترسی به اطلاعات شخصی فقط به افراد خاصی در سازمان که مجوز دسترسی به این داده‌ها را داشته باشند می‌باشند.

اگر نفوذ به دیتا اتفاق افتاد، حداکثر با تاخیر ۷۲ ساعته می‌توان به مالک داده اعلام نمود یا سازمان با جرایم روبرو می‌شود.( اگر از ضمانت‌های فنی کافی مطابق با قوانین مانند رمزگذاری مناسب برای بی‌مصرف شدن داده‌ها برای مهاجم استفاده شده باشد، ممکن است این شرط اعلان لغو شود.)

محافظت از داده‌ها بصورت طراحی شده و پیش‌فرض:

 هرکاری که در سازمان انجام می‌شود باید “به صورت طراحی شده و پیش فرض”، حفاظت از داده‌ها را در نظر بگیرد. در عمل برای هر طرحی یا هر محصول جدید محافظت از داده باید درنظر گرفته شود. برای مثال، سازمان اپلیکیشن جدیدی را راه‌اندازی می‌کند. داده‌های شخصی که توسط اپلیکیشن از کاربر جمع‌آوری می‌شود در نظر گرفته شود. سپس با گذاشتن محدودیت فقط اطلاعات مورد نیاز جمع‌آوری شوند و برای امنیت داده‌های جمع‌آوری شده به‌روزترین تکنولوژی استفاده شود. این موارد در قانون ۲۵ GDPR توضیح داده شده است.

شرایط مجوز پردازش داده‌های شخصی:

حتی به فکر دست بردن به داده‌های شخصی نباشید. جمع آوری و ذخیره سازی اطلاعات و همچنین فروختن اطلاعات شخصی افراد به شرکت‌های تبلیغاتی غیرقانونی است. ولی با یکی از شرایط زیر می‌توان انجام این فرایندها را توجیح بصورت قانونی نمود:

1. مالک داده  اجازه پردازش اطلاعات را صریحا اعلام کند. رضایت نامه بدون ابهام برای پردازش اطلاعات موجود باشد.(برای مثال، سازمان درخواست خود را برای اضافه کردن ایمیل شما در لیست بازاریابی داده باشد).
2. برای انعقاد قرارداد بین سازمان و مالک داده، پردازش داده‌های شخص ضروری باشد.(برای مثال، زمان انعقاد قرارداد، سوابق پیشینه فرد بررسی می‌شود.)
3. برای تطبیق تعهدات قانونی، اطلاعات شخصی پردازش گردد(به عنوان مثال، با دستور قضایی شما صلاحیت قضایی برای پردازش اطلاعات شخصی را دارید.)
4. پردازش اطلاعات اشخاص برای نجات جان هر شخصی انجام شود.(به عنوان مثال، سازمان برای نجات هر فرد، آزادی عمل دارد.)
5. پردازش اطلاعات شخصی برای انجام فرایند منفعت عمومی یا اجرای عملیات رسمی انجام شود.(به عنوان مثال شرکت خصوصی جمع‌آوری زباله.)
6. شما برای پردازش اطلاعات شخصی حق قانونی دارید. این با انعطاف‌ترین اساس قانونی است ولی ” حقوق و آزادی‌های اساسی مالک داده” بر حق قانونی شما در پردازش اطلاعات شخصی برتری دارد، بخصوص اگر اطلاعات مربوط به کودک باشد.

هنگامی که ساختار قانونی برای پردازش دیتا در سازمان تعیین گردید، باید این مستندات به مالک داده اطلاع داده شود(شفافیت). اگر در آینده تصمیم بر تغییر دلایل و توجیهات شد، باید با دلایل قانع کننده انجام شود و این دلایل مستند شوند و مجدد به مالک داده اطلاع داده شود.

رضایت مالک داده در پردازش اطلاعات:

قوانین جدید سختگیرانه در مورد رضایت  مالک داده برای پردازش داده او وجود دارد.

• رضایت نامه باید “با رضایت کامل، آگاهانه و بدون ابهام باشد”.
• درخواست رضایت نامه باید “شفاف قابل تشخیص از موارد دیگر باشد” و “با زبان شفاف و قابل فهم” ارائه شود.
• مالک داده حق حذف رضایت نامه را در هر زمانی که صلاح بداند دارد و شما باید به تصمیم مالک داده احترام بگذارید. تغییر مبنای قانونی پردازش داده به صلاحیت قانونی دیگر به سادگی امکان‌پذیر نیست.
• کودکان زیر ۱۳ سال تنها با اجازه والدین خود رضایت نامه می‌دهند.
• مدارک مستند رضایت نامه‌ها باید نگهداری شوند.

مسوولین حفاظت از داده‌ها:

برخلاف تصور عمومی، تمام کنترل کننده‌های داده یا پردازشگرها نیازی به تعیین مسوول حفاظت از داده‌ها (Data Protection Officer (DPO)) ندارند. سه شرط الزام آور برای تعیین DPO وجود دارد.

1. شما یک مقام عمومی هستید که جدا از فعالیت‌های دادگاه، قدرت قضایی دارید.
2. فعالیت‌های اصلی شما نیازمند نظارت بر مردم به شکل منظم است و این نظارت در مقیاس وسیع است(به عنوان مثال گوگل.)
3. فعالیت‌های اصلی شما پردازش گسترده وسیعی از داده‌های خاص گفته شده در مقاله شماره ۹ GDPR است یا اینکه داده‌ها مربوط به محکومیت‌های کیفری و جرم‌های گفته شده در مقاله ۱۰ است.(به عنوان مثال شما دفتر پزشکی هستید)

شما می‌توانید یک مسوول DPO را تعیین کنید حتی اگر از شما خواسته نشود. دادن مسوولیت به فردی در این مقام فوایدی دارد که شامل مواردی مانند درک صحیح از قوانین GDPR و نحوه اجرای آن در سازمان، مشاوره دادن به افراد سازمان در مورد مسئولیت‌هایشان، برگزاری آموزش‌های محافظت از داده‌ها، اجرای ممیزی و نظارت بر انطباق GDPR و رابط بین رگولاتوری‌ها است.

حقوق حریم خصوصی افراد:

یک کنترل کننده داده و یا پردازشگر داده نیز مانند فردی که از اینترنت استفاده می‌کند، مالک داده محسوب میشود. GDPR تعداد زیادی از قوانین جدید در مورد حریم شخصی داده‌ها را به رسمیت می‌شناسد و هدف این کار کنترل بیشتر هر فرد روی داده‌هایی است که به سازمان‌ها می‌دهند. به عنوان یک سازمان، درک حقوق هر فرد مطابق با قوانین GDPR بسیار مهم است و نشان دهنده تطابق قوانین سازمان با GDPR است. در زیر خلاصه‌ای از حقوق حریم خصوصی فرد آورده شده است:

• حق مطلع شدن تغییرات داده.
• حق دسترسی به داده.
• حق اصلاح داده.
• حق پاک کردن و حذف داده.
• حق محدود کردن پردازش داده.
• حق قابلیت انتقال داده.
• حق اعتراض.
• حق ارتباط خودکار تصمیم‌گیری و پروفایل سازی.

منابع:

1. GDPR