قوانین محافظت از اطلاعات شخصی (GDPR) چیست و چه مزایایی دارد؟

  • نویسنده: میثم ارجمندفر
  • تاریخ انتشار: شنبه ، ۱۹ مرداد ماه ۹۸
  • تعداد بازدید: 465
  • تعداد نظرها: 0
  • دسته بندی: سیستم مدیریت امنیت اطلاعات

شاید شما هم با این چالش مواجه شده اید که برای دریافت خدمات یا امور روزمره، مجبور باشید اطلاعات شخصی خود را در اختیار شرکت‌ها یا سازمان‌ها قرار دهید. مثلاً در حین استخدام مجموعه‌ای از فرم‌ها را تکمیل کنید و اطلاعاتی شخصی نظیر نام و اطلاعات خانوادگی، کد ملی، شماره تماس، آدرس، عکس و یا حتی کپی مدارکی نظیر شناسنامه و کارت ملی را در اختیارشان قرار دهید، یا اینکه برای ثبت‌نام در یک سایت یا شبکه اجتماعی از طریق ایمیل یا شماره تماس اقدام به ثبت نام نمایید یا برای رزرو هتل، ایجاد حساب بانکی، ثبت نام در یک موسسه آموزشی یا مراجعه به مراکز درمانی بخشی از اطلاعات شخصی خود را در اختیار آنها قرار دهید. طبیعی است که در اختیار داشتن این اطلاعات برای هر فرد می‌تواند مورد سوء استفاده قرار گیرد. حال این سوال طرح می‌شود آیا قوانینی وجود دارد که از اطلاعات شخصی افراد که جزء حقوق شهروندی آنها محسوب می‌شود حمایت نماید. در این مقاله به بررسی قانون GDPR اروپا که به منظور حفظ اطلاعات شخصی افراد و حریم خصوصی آنها تدوین شده است، می پردازیم.

 

GDPR  چگونه از حفظ حریم خصوصی افراد محافظت میکند؟

قانون GDPR مخفف General Data Protection Regulation و به معنای قانون محافظت از داده‌های عمومی است که هدف آن حفظ اطلاعات شخصی افراد و حریم خصوصی آنها می‌باشد. این قانون توسط اتحادیه اروپا در 14 آوریل 2016 (26 فروردین 1395) تصویب شد و رعایت الزامات آن از تاریخ 25 می 2018 (4 خرداد 1397) در محدوده همه شرکت‌هایی که به شهروندان اروپایی خدمت می‌دهند اجرایی گردید. این شرکت‌ها در صورتیکه خود را با این قوانین وفق ندهند تا میزان 4 درصد از گردش مالی سالیانه آنها یا 20 میلیون یورو (هر کدام بیشتر باشد) جریمه خواهند شد.

محدوده این شرکت‌ها فارغ از موقعیت و تابعیتشان می‌باشد یعنی برای شرکت‌های آسیایی و آمریکایی خدمت دهنده به شهروندان اروپایی نیز الزامی است. پس در صورتیکه حتی یک شرکت ایرانی که شعبه‌ای در اتحادیه اروپا دارد یا در ایران خدمتی را به مردم اروپا ارائه می‌نماید و یا اینکه به عنوان یک زیرمجموعه از شرکت‌های اروپایی فعالیت می‌کند می‌تواند ملزم به رعایت این قوانین گردد.

"موضوع اصلی این قانون این است که شهروندان مالک داده‌ها و اطلاعات خود هستند و طبق قانون باید بدانند اطلاعات خود را چرا و به چه كسانی و برای چه هدفی و تا چه مدتی می‌سپارند و شركت مذكور باید موارد استفاده از داده‌ها و اطلاعاتشان را به شهروندان اعلام كند."

از دلایل اهمیت GDPR، افشاء برخی اطلاعات کاربران شبکه های اجتماعی است.

این قوانین در 11 بخش و 99 فصل دسته‌بندی شده‌اند. که هر فصل خود دارای چندین بند می‌باشد.

 

اطلاعات شخصی در GDPR شامل چه اطلاعاتی می‌شود؟

بنا به تعریف GDPR، اطلاعات شخصی شامل هرگونه اطلاعات شخصی یا عمومی یک فرد است. این اطلاعات می تواند: نام، آدرس، عکس، ایمیل، اطلاعات بانکی، یادداشتی در شبکه اجتماعی، اطلاعات پزشکی و یا آدرس IP کامپیوتر شخص باشد. این تعاریف به صراحت در بخش چهارم قانون آورده شده‌است.

 

 چه قوانین مهمی در GDPR وجود دارد؟

در بخش 3  قوانین GDPR حقوقی برای مالکان اطلاعات در نظرگرفته شده است که به چند مورد اشاره می‌نماییم:

  • حق دسترسی به اطلاعات: مالکان حق دارند میزان سطح دسترسی به اطلاعات را تعیین نمایند. به عنوان مثال فرد می‌تواند از بیمارستانی که در آن بستری است درخواست نمایند که صرفاً پزشک شخصی او صرفاً به سوابق بیماری و درمانیش‌ دسترسی داشته باشد
  • حق اصلاح اطلاعات: مالکان حق دارند از شرکت‌ها درخواست نمایند که اطلاعات آنها را اصلاح نمایند.
  • حق حذف و پاک کردن اطلاعات: مالکان حق دارند از نهادهایی اطلاعاتشان در اختیار آنهاست بخواهند که این اطلاعات را حذف نمایند.
  • حق محدود کردن پردازش اطلاعات: مالکان حق دارند که شرکت‌ها را از پردازش اطلاعاتشان در امور بازیابی و تبلیغات منع نمایند یا صرفاً اجازه پردازش اطلاعات خود در امور تحقیق و توسعه یا بشردوستانه مجاز نمایند.
  • حق جابجایی اطلاعات: مالکان حق دارند شرکت‌ها را از جایجایی و انتقال اطلاعات به دیگر شرکت‌ها یا کشورها منع نمایند.

 

همچنین شرکت‌ها نیز طبق GDPR ملزم به رعایت قوانینی می‌باشند که به چند مورد اشاره می‌نماییم:

  • شرکت‌ها موظف هستند هرگونه استفاده از اطلاعات شخصی را طبق تایید مالک آن انجام دهند. این تایید باید به صورت شفاف و مشخص باشد و مالک اطلاعات حق لغو آن را در هر زمان داشته باشد.
  • شرکت ها موظف هستند اطلاعات کاربران را تا حد نیاز جمع آوری کنند و همچنین اطلاعات غیرضروری موجود را حذف نمایند.
  • شرکت ها باید دلیل شفاف برای چرایی نیاز به اخذ اطلاعات از کاربر ارائه نمایند.
  • شرکت‌ها موظف هستند یک کارمند با عنوان مسئول حفاظت از اطلاعات "Data protection officer" استخدام نمایند تا از رعایت استانداردها و قوانین موجود در این زمینه اطمینان حاصل نماید.

 

مسئول حفاظت از اطلاعات "Data protection officer" کیست؟

در نهادهایی که با پردازش اطلاعات سروکار دارند و نیاز است پایش منظم و سیستماتیکی از داده‌ها‌ی شخصی در مقیاس بزرگ انجام شود می‌بایست از یک شخص آگاه و متخصص از قوانین و شیوه‌های محافظت از اطلاعات شخصی جهت سنجش انطباق این شرکت‌ها با قوانین GDPR  استفاده گردد.

درصورتی‌که طبق قوانین GDPR وجود مسئول حفاظت اطلاعات ضروری باشد و فردی برای این کار انتخاب‌نشده باشد، یک نوع تخلف محسوب شده و شرکت مشمول جریمه خواهد شد.