مقررات حفاظت از اطلاعات عمومی GDPR

مقررات حفاظت از اطلاعات عمومیGDPR  که در آوریل 2016 توسط پارلمان و شورای اروپا تصویب شد، جایگزین دستورالعمل حفاظت از داده 95/46/ec  در بهار 2018 به‌عنوان «قانون اولیه تنظیم‌کننده نحوه محافظت شرکت‌ها از داده‌های شخصی شهروندان اتحادیه اروپا» شد. شرکت‌هایی که استانداردهای امنیت اطلاعات را برمبنای دستورالعمل‌های قبلی اجرا می‌کردند، باید اطمینان حاصل کنند که با الزامات جدید سند GDPR قبل از اجرایی‌شدن آن در 25 مه 2018 مطابقت دارند یا نه؟

GDPR چیست؟

GDPR مخفف عبارت General Data Protection Regulation است. در سال 2012، اتحادیه اروپا (EU) اصلاحات دیجیتال را برای ایجاد استانداردهای جدید و به‌منظور پیشرفت و توسعه امن اینترنت و فناوری آغاز کرد. بر همین اساس در سال 2018، اتحادیه اروپا، مقررات حفاظت از اطلاعات عمومی GDPR، را برای محافظت از اطلاعات شخصی افراد ایجاد کرد.

GDPR هسته اصلی قانون حفظ حریم خصوصی دیجیتال اروپا در نظر گرفته می‌شود. الزامات GDPR بر اساس جمع‌آوری، پردازش، رضایت و توزیع اطلاعات شخصی تنظیم شده است تا اطمینان حاصل شود که شهروندان اتحادیه اروپا کنترل بیشتری بر داده‌های خود دارند.

سیاست‌های حفاظت از داده‌های ایجاد‌شده توسط GDPR برای این بوده است که مصرف‌کنندگان در اولویت قرار داده شوند. رعایت مقررات هم کاملاً بر عهده مشاغل و سازمان‌هاست. همچنین باید بدانید که گستره تأثیر GDPR در خارج از اتحادیه اروپا هم عملی است و کل دنیا از مقررات حفاظت از اطلاعات عمومی GDPR تاثیر خواهند پذیرفت چون هر کالا یا خدمات ارائه‌شده به شهروندان اتحادیه اروپا مشمول GDPR است. شما می‌توانید برای دیدن جزئیات این سند به وبسایت مرتبط با حفاظت از اطلاعات عمومی GDPR، مراجعه کنید.

الزامات کلیدی مقررات حفاظت از اطلاعات عمومی GDPR چیست؟

الزامات GDPR برای هر کشور عضو اتحادیه اروپا، با هدف ایجاد حفاظت بیشتر از مصرف‌کننده و داده‌های شخصی در سراسر کشورهای اتحادیه اروپا اعمال می‌شود. برخی از الزامات کلیدی مقررات حفاظت از اطلاعات عمومی GDPR عبارتند از:

• نیاز به رضایت افراد برای پردازش داده‌ها
• ناشناس‌کردن داده‌های جمع‌آوری‌شده برای محافظت از حریم خصوصی
• ارائه اعلان نقض اطلاعات
• مدیریت ایمن انتقال داده‌ها در سراسر مرزها
• الزام برخی شرکت‌ها به منصوب‌کردن یک افسر حفاظت از داده‌ برای نظارت بر رعایت مقررات حفاظت از اطلاعات عمومی GDPR

به بیان ساده، مقررات حفاظت از اطلاعات عمومی GDPR، مجموعه‌ای بنیادین از استانداردها را برای شرکت‌هایی که داده‌های شهروندان اتحادیه اروپا را مدیریت می‌کنند، الزامی می‌کند.

چه کسانی مشمول انطباق با GDPR هستند؟

هدف از مقررات حفاظت از اطلاعات عمومی GDPR، اجرای یک قانون یکسان امنیت داده برای همه اعضای اتحادیه اروپاست، به‌طوری‌که هر کشور عضو، دیگر نیازی به نوشتن قوانین حفاظت از داده خود را نداشته باشد و قوانین در سراسر اتحادیه اروپا کارا باشد. علاوه بر اعضای اتحادیه اروپا، توجه به این نکته ضروری است که هر شرکتی که کالا یا خدماتی را برای ساکنان اتحادیه اروپا عرضه می‌کند، صرف‌نظر از موقعیت مکانی آن، مشمول این مقررات است. در نتیجه،GDPR  بر الزامات حفاظت از داده در سطح جهانی تأثیر خواهد داشت.

الزامات مقررات عمومی حفاظت از داده‌ها

خود GDPR شامل 11 فصل و 91 مقاله است. در ادامه خلاصه و مضمون برخی از فصول و موادی که بیشترین تأثیر بالقوه را بر عملیات امنیتی دارند، آورده‌ایم:

مواد 17 و 18 – مواد 17 و 18 مقررات حفاظت از اطلاعات عمومی GDPR، امکان کنترل بیشتری را بر داده‌های شخصی که به طور خودکار پردازش می‌شوند، می‌دهد. نتیجه این است که افراد ممکن است بخواهند داده‌های شخصی خود را به‌راحتی بین ارائه‌دهندگان خدمات انتقال دهند (که «حق حمل‌پذیری» نیز نامیده می‌شود)، و ممکن است کنترل‌کننده را مجاب کنند تا داده‌های شخصی‌شان را تحت شرایط خاص پاک کند (که «حق پاک‌کردن» نیز نامیده می‌شود).

مواد 23 و 30 – مواد 23 و 30 شرکت‌ها را ملزم می‌کنند تا اقدامات معقول حفاظت از داده‌ها را برای محافظت از داده‌های شخصی و حریم خصوصی مصرف‌کنندگان به کار گیرند.

مواد 31 و 32 – اعلان‌های نقض داده‌ها نقش زیادی در متن GDPR دارند. ماده 31، الزامات مربوط به نقض داده‌ها را مشخص می‌کند: کنترل‌کننده‌ها باید مقامات ناظر (SA) را در مورد نقض بهره‌گیری از داده‌های شخصی ظرف 72 ساعت مطلع کنند و باید جزئیات خاصی از نقض، مانند ماهیت و تعداد تقریبی آن را، ارائه دهند. ماده 32، کنترل‌کنندگان داده‌ها را ملزم می‌کند که در زمانی که عواملی، نقض حقوق و آزادی‌های آنها را در معرض خطر قرار می‌دهند، در اسرع وقت موارد نقض را به اطلاع برسانند.

مواد 33 و 33 الف – مواد 33 و 33 الف، شرکت‌ها را ملزم می‌کنند تا ارزیابی‌های تأثیر حفاظت از داده‌ها را به‌منظور شناسایی خطرات تهدید‌کنندۀ داده‌های مصرف‌کننده، بررسی کنند و بررسی‌های لازم را با حفاظت از داده‌ها انجام دهند تا اطمینان حاصل شود که به این خطرات رسیدگی می‌شود.

ماده 35 – ماده 35 ایجاب می‌کند که شرکت‌های خاصی، مأموران حفاظت از داده‌ها را تعیین کنند. به طور خاص، هر شرکتی که داده‌هایی مثل داده‌های ژنتیکی، حوزه سلامت، منشاء نژادی یا قومی، اعتقادات مذهبی و غیره را پردازش می‌کند، باید یک افسر حفاظت از داده‌ها را تعیین کند. این افسران به شرکت‌ها در مورد رعایت مقررات مشاوره می‌دهند و به‌عنوان نقطه تماس با SA عمل می‌کنند. برخی از شرکت‌ها ممکن است تنها به‌این‌دلیل که اطلاعات شخصی کارکنان خود را به عنوان بخشی از فرآیندهای منابع انسانی جمع‌آوری می‌کنند، مشمول این جنبه از GDPR شوند.

مواد 36 و 37 – مواد 36 و 37 موقعیت افسر حفاظت از داده‌ها و مسئولیت‌های آن در حصول اطمینان از انطباق با GDPR و همچنین گزارش به مقامات نظارتی و موضوع داده‌ها را مشخص می‌کند.

ماده 45 – ماده 45 الزامات حفاظت از داده‌ها را به شرکت‌های بین المللی که داده‌های شخصی شهروندان اتحادیه اروپا را جمع‌آوری یا پردازش می‌کنند، گسترش می‌دهد و آنها را مشمول الزامات و مجازات‌های مشابه شرکت‌های مستقر در اتحادیه اروپا می‌کند.

 ماده 79 – ماده 79 جریمه‌هایی را برای عدم رعایت GDPR بیان می‌کند که بسته به ماهیت نقض می‌تواند تا 4 درصد از درآمد جهانی سالانه شرکت متخلف، باشد.

اجرای GDPR و مجازات‌ها برای عدم رعایت اجرای آن

در مقایسه با دستورالعمل سابق حفاظت از داده‌ها، GDPR جریمه‌های عدم انطباق را افزایش داده است و SAها نسبت به قانون قبلی دارای اختیارات بیشتری هستند چون GDPR استانداردی را در سراسر اتحادیه اروپا برای همه شرکت‌هایی که داده‌های شخصی شهروندان اتحادیه اروپا را مدیریت می‌کنند، تعیین می‌کند.

SAها دارای اختیارات تحقیق و اصلاح هستند و ممکن است اخطارهایی را در مورد عدم انطباق صادر کنند، ممیزی را برای اطمینان از انطباق انجام دهند، از شرکت‌ها بخواهند تا در مهلت‌های تعیین شده اصلاحات مشخصی را انجام دهند، دستور حذف داده‌ها را صادر و شرکت‌ها را از انتقال داده‌ها به کشورهای دیگر بازدارند. کنترل‌کننده‌ها و پردازش‌گرهای داده، مشمول اختیارات و مجازات‌های SAs هستند.

GDPR همچنین به شرکت‌های SA اجازه می‌دهد تا جریمه‌های بیشتری نسبت به دستورالعمل حفاظت از داده‌ها صادر کنند. جریمه‌ها بر اساس شرایط هر مورد تعیین می‌شود و SA ممکن است تصمیم بگیرد که آیا باید اختیارات اصلاحی خود را اعمال کند یا نه. برای شرکت‌هایی که از برخی الزامات GDPR پیروی نمی‌کنند، جریمه ممکن است تا 2٪ یا 4٪ از کل گردش مالی سالانه جهانی یا 10 یا 20 میلیون یورو باشد.

راهنمای انطباق با GDPR

GDPR برای همه کسانی که به شهروندان اروپایی دسترسی دارند، اعمال می‌شود.

علاوه‌بر اعضای اتحادیه اروپا، توجه به این نکته ضروری است که هر شرکتی که کالا یا خدماتی را برای ساکنان اتحادیه اروپا عرضه می‌کند، صرف‌نظر از موقعیت مکانی آن، مشمول این مقررات است. با رعایت الزامات GDPR، کسب‌وکارها از پرداخت جریمه‌های پرهزینه اجتناب می‌کنند و در‌عین‌حال حفاظت از داده‌های مشتری و وفاداری و اعتمادکردن آن‌ها را بهبود می‌بخشند.

اکنون که این مقررات حفظ حریم خصوصی فعال است، وب‌سایت‌هایی که با قوانین اتحادیه اروپا مطابقت ندارند در کشورهای اروپایی غیرقابل‌دسترس خواهند بود. در میان لیست سایت‌هایی که به‌طور‌موقت مسدود شده‌اند، شیکاگو تریبون و LA Times از برجسته‌ترین موارد بودند. اگر سایت سازمان شما هر یک از داده‌های تنظیم‌شده را از کاربران اروپایی جمع‌آوری می‌کند – موظف است از GDPR پیروی کند.

آیا ایالات متحده قوانین حفظ حریم خصوصی داده‌ها را پذیرفته است؟

در حال حاضر، هیچ قانون فدرال حفظ حریم خصوصی داده‌ها وجود ندارد. با این حال، بحث‌های فزاینده‌ای در مورد این موضوع وجود داشته است. این گفتگو با جلسات استماع مارک زاکربرگ، بنیانگذار فیس بوک، در کنگره بسیار پررنگ شد. بسیاری از ایالت‌ها قوانینی برای خود وضع کرده‌اند که قابل‌توجه‌ترین آن‌ها تا به امروز قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا است.

بر اساس گزارش Ovum، حدود دو سوم از شرکت‌ها در ایالات متحده ممکن است در نتیجه مقررات حفاظت از اطلاعات عمومی GDPR در حال بازنگری روی بحث حفاظت حریم حضوصی باشند. با این حال، از‌آنجایی‌که شرکت‌ها افزایش مقررات حفظ حریم خصوصی داده‌ها در ایالات متحده را پیش‌بینی می‌کنند، برخی متوجه می‌شوند که ممکن است زمان اجرای اقدامات سختگیرانه‌تر حفاظت از داده‌ها در سراسر جهان فرا رسیده باشد.

چند نکته در مورد اجرای مقررات حفاظت از اطلاعات عمومی GDPR  

همه سازمان‌ها، از کسب‌وکارهای کوچک گرفته تا شرکت‌های بزرگ، باید از همه الزامات GDPR آگاه و برای پیروی از آن‌ها در آینده آماده باشند. برای بسیاری از شرکت‌ها، اولین گام برای رعایت GDPR، تعیین یک افسر حفاظت از داده‌ است که برنامه حفاظت از داده‌ها را برای برآورده‌کردن الزامات GDPR ایجاد کند. در ادامه چند نکته در مورد اجرای مقررات حفاظت از اطلاعات عمومی GDPR ارائه خواهیم کرد.

یک.GDPR  را بخوانید

ساده‌ترین کار این است که بندبه‌بند اجرای مقررات حفاظت از اطلاعات عمومی GDPR را بخوانید هرچند در این سند بخش‌هایی وجود دارد که رمزگشایی از آنها دشوار است چون دارای زبان قانونی است پس سعی کنید برای فهم این بخش‌ها از متخصصان مشاوره بگیربد. خلاصه حرف ما این است: هر فردی که تحت تأثیر GDPR قرار می‌گیرد باید سعی کند این قانون مهم را بخواند و درک کند.

دو. به سازمان‌های دیگر نگاه کنید

کسب‌وکارها نه‌فقط در اتحادیه اروپا بلکه در سراسر جهان تحت‌تأثیر GDPR هستند. اگر شما یا کسانی که در سازمانتان هستند هنوز در مورد مراحل مورد نیاز برای رسیدن به انطباق، آگاهی کافی ندارید، بهتر است با کسانی که با این قوانین مطابقت دارند، تماس بگیرید و از آن‌ها راهنمایی بخواهید. بسیاری از کسب‌و‌کارها احتمالاً گام‌های برداشته‌شده برای رسیدن به انطباق با «اجرای مقررات حفاظت از اطلاعات عمومی GDPR» را به اشتراک خواهند گذاشت.

سه. به تنظیمات وب‌سایتتان خیلی توجه کنید

کوکی‌ها و ذخیره‌سازی داده‌ها و این‌گونه تنظیمات، مواردی هستند که می‌توانند به‌راحتی در یک وب‌سایت تنظیم شوند. انطباق آنها با GDPR اما موضوع دیگری است. از طرفی می‌دانیم که بسیاری از ابزارهایی که برای جمع‌آوری و ذخیره داده‌ها مورد‌استفاده قرار می‌گیرند، امکان انطباق را فراهم کرده‌اند اما در نهایت این به شما بستگی دارد که از مطابقت با اجرای مقررات حفاظت از اطلاعات عمومی GDPR اطمینان حاصل کنید.

 چهار. به داده‌های خود بیشتر توجه کنید

اگر در اتحادیه اروپا (به‌صورت دیجیتال یا فیزیکی) حضور دارید، همه داده‌های موجود سازمان شما باید با GDPR مطابقت داشته باشند پس قبل از هر چیز نحوه ورود، ذخیره و/یا انتقال و حذف داده‌ها را به‌دقت ترسیم کنید. کسب اطلاع درباره هر مسیری که اطلاعات شخصی شما می‌تواند طی کند برای جلوگیری از نقض قوانین حیاتی است.