GDPR چیست؟

GDPR چیست؟

در ژانویهٔ سال ۲۰۱۲ کمیسیون اروپا جهت اصلاح نحوهٔ‌ حفاظت از اطلاعات در سراسر اروپا و همچنین آماده‌سازی این اتحادیه برای عصر دیجیتال طرح‌هایی را تنظیم نمود و تقریباً پس از چهار سال بر سر چگونگی اجرای این طرح‌ها و اینکه چه مواردی را شامل شوند توافق صورت گرفت که یکی از اجزای اصلی این اصلاحات معرفی General Data Protection Regulation (قانون عمومی حفاظت اطلاعات) است که به طور خلاصه GDPR نامیده می‌شود و این در حالی است که اجرای این چارچوب جدید تمامی شرکت‌ها و اشخاص حقیقی و حقوقی را در تمام کشورهای عضو اتحادیهٔ‌ اروپا تحت‌تأثیر قرار خواهد داد.

GDPR در‌ واقع مجموعه‌ای از قوانین است که به شهروندان اروپا این قدرت را می‌دهد تا کنترل بیشتری بر اطلاعات شخصی و همچنین #حریم خصوصی خود داشته باشند. هدف این قانون ساده‌سازی نظارت بر کسب‌و‌کارهای آنلاین است و بنابراین هم شهروندان و هم بیزینس‌های مختلف در اتحادیهٔ‌ اروپا می‌توانند از منافع این قانون در اقتصاد دیجیتالی بهره‌مند شوند.

نیاز به توضیح نیست که امروزه تقریباً تمام جنبه‌های زندگی ما حول محور اطلاعات می‌چرخد؛ از رسانه‌های اجتماعی گرفته تا بانک‌ها، خرده‌فروشان و دولت به طوری که تقریباً هر چیزی که مورد استفادهٔ ما قرار می‌گیرد مجموعه‌ای از اطلاعات شخصی و تجزیه‌وتحلیل آن‌ها را ناگزیراً به همراه دارد و نیاز به توضیح نیست که اطلاعات شخصی ما مانند نام، نشانی، شمارهٔ‌ کارت اعتباری و سایر اطلاعات شخصی توسط شرکت‌ها و سازمان‌های مختلف مورد بررسی قرار گرفته و از آن مهم‌تر اینکه ذخیره می‌شوند.

انطباق با GDPR به چه معنا است؟
نَشت اطلاعات در بسیاری از موارد گریزناپذیر است به طوری که اطلاعات به انحاء مختلف ممکن است گم شود، دزدیده شود و یا به هر طریق غیررسمی دیگری به دست افرادی برسد که قانوناً نباید می‌رسید و بدتر از آن اینکه این افراد اغلب اهداف مخربی نیز دارند! بر اساس GDPR، سازمان‌ها باید از قانونی بودن روند جمع‌آوری اطلاعات اطمینان حاصل نموده و تحت تدابیر شدید امنیتی از این اطلاعات محافظت نمایند. علاوه بر این، افراد و شرکت‌هایی که مسئول جمع‌آوری و مدیریت این اطلاعات هستند نیز موظفند تا آن‌ها را از بهره‌برداری غیرقانونی و سوء‌استفاده محافظت نموده و به حقوق صاحبان این اطلاعات احترام بگذارند که در غیر این صورت مجازات خواهند شد.

GDPR در چه حوزه‌هایی اِعمال می‌شود؟
این قانون بر همهٔ سازمان‌هایی که در اتحادیهٔ اروپا فعالیت می‌کنند و همچنین سازمان‌های خارج از اتحادیهٔ اروپا که برای مشتریان و یا کسب‌وکارهای درون این اتحادیه کالا و خدمات تأمین می‌کنند، اِعمال می‌شود. به عبارت دیگر، تقریباً همهٔ شرکت‌های بزرگ دنیا همچون گوگل، فیسبوک، آمازون و ... باید خود را برای پذیرش GDPR و انطباق با آن آماده کنند.

چه اطلاعاتی در GDPR شخصی محسوب می‌شوند؟
نام، نشانی و تصویر شخص که پیش از این اطلاعات شخصی محسوب می‌شدند، در GDPR نیز به عنوان اطلاعات شخصی در نظر گرفته می‌شوند اما GDPR تعریف گسترده‌تری برای اطلاعات شخصی ارائه نموده است به طوری که در این قانون آدرس آی‌پی و اطلاعات ژنتیکی و بیومتریک (که شناسایی فرد با آن امکان‌پذیر می‌شود) نیز اطلاعات شخصی به حساب می‌آیند.

GDPR برای کسب‌و‌کارها به چه معنا است؟
این قانون با ایجاد یک چارچوب مشخص و واحد سبب می‌شود تا مسئلهٔ حفاظت از اطلاعات از همان نخستین مراحل تولید محصول و خدمات مد نظر قرار گیرد. علاوه‌ بر این، سازمان‌ها تشویق خواهند شد تا روش‌هایی همچون استفاده از نام مستعار را در جمع‌آوری و تجزیه‌وتحلیل اطلاعات شخصی به کار گیرند تا هم‌زمان امکان حفاظت بهتر از اطلاعات مشتریان فراهم گردد.

GDPR برای شهروندان/مصرف‌کنندگان به چه معنا است؟
یکی از حقوقی که GDPR برای شهروندان ایجاد می‌کند این است که در صورت هَک شدن اطلاعات‌شان، آن‌ها بلافاصله در جریان این موضوع قرار خواهند گرفت به طوری که در این قانون شرکت‌ها موظفند این مسأله را در اسرع وقت به مراکز دولتی مربوطه اطلاع دهند تا شهروندان اتحادیهٔ اروپا فرصت کافی داشته باشند و بتوانند جهت جلوگیری از سوء‌استفاده از اطلاعات شخصی خود اقدام نمایند. همچنین مشتریان حق دارند که بدانند سازمان‌ها و شرکت‌ها اطلاعات آن‌ها را چگونه پردازش می‌کنند و به طور کلی نحوهٔ استفاده از اطلاعات شخصی مشتریان، باید برای آن‌ها روشن و ملموس باشد.

در GDPR، حقی به نام Right to Be Forgotten برای شهروندان و مشتریان تعریف شده است که بر اساس آن شهروندان و مشتریان می‌توانند اطلاعات خود را از دسترس یک سازمان یا شرکت خارج نموده و آن را به طور کامل حذف نمایند که در این صورت آن سازمان یا شرکت دیگر حق نگهداری اطلاعات ایشان را نخواهد داشت.

جریمه و مجازات عدم‌ انطباق با GDPR چیست؟
منطبق نشدن با GDPR جریمه‌ای ۱۰ میلیون یورویی تا مبلغی برابر با ۴٪ ارزش معاملات جهانی سالانهٔ شرکت خاطی را به دنبال خواهد داشت (لازم به ذکر است که این درصد از درآمد سالانه برای برخی شرکت‌ها برابر با میلیاردها یورو است.) به طور کلی، مبلغ جریمه به میزان نَشت اطلاعات و اینکه آن شرکت تا چه اندازه قوانین و مقررات را در حفظ امنیت اطلاعات جدی گرفته و اجرا نموده، بستگی دارد.

منبع


رائفه خلیلی