حق فراموش شدن

دایرکتوری حذف حساب‌های کاربری

rtbf.ir

قانون جی‌دی‌پی‌آر یا همان آیین نامه عمومی حفاظت از داده‌ها چیست؟

تاریخ: 26 خرداد 1400   امیر

قانون جدید جی‌دی‌پی‌آر حریم‌خصوصی و امنیتی اروپا شامل صدها صفحه مورد نیاز جدید سازمان‌ها در سراسر جهان است.

آیین نامه عمومی حفاظت از داده‌ها یا همان جی‌دی‌پی‌آر سخت‌ترین قانون حفظ حریم‌خصوصی و امنیتی در جهان است. اگرچه این قانون توسط اتحادیه اروپا تهیه و تصویب شده است ، اما تعهداتی را به سازمان‌ها در هرجایی از این جهان تحمیل می‌کند، به شرطی که آن‌ها اطلاعات مربوط به افراد در اتحادیه اروپا را هدف قرار دهند یا آن‌ها را جمع‌آوری کنند.

این قانون جریمه‌های سنگینی را علیه افرادی که اصول حریم‌خصوصی و امنیتی آن را نقض می‌کنند، اعمال می‌کند و مجازات‌های آن به ده‌ها میلیون یورو می‌رسد!

با اروپا موضع قاطع خود را در مورد حریم‌خصوصی و امنیت داده‌ها در زمانی نشان می‌دهد که افراد بیشتری داده‌های شخصی خود را به سرویس‌های ابری می سپارند. این مقررات به خودی خود بزرگ، گسترده و همچنین نسبتاً جزئی است.

تاریخچه GDPR

حق حریم‌شخصی بخشی از کنوانسیون اروپایی حقوق بشر در سال 1950 است که می‌گوید: "هر کس حق دارد به زندگی خصوصی و خانوادگی، خانه و مکاتبات خود احترام بگذارد." از این اساس اتحادیه اروپا تلاش کرده است تا از طریق قانونگذاری از حمایت از این حق اطمینان حاصل کند.

با پیشرفت تکنولوژی و اختراع اینترنت، اتحادیه اروپا نیاز به حمایت‌های مدرن را تشخیص داد. بنابراین در سال 1995 با استفاده از دستورالعمل حفاظت از داده‌های اروپا، حداقل استانداردهای حریم‌خصوصی و امنیتی داده‌ها را تعیین کرد که هر کشور عضو قانون اجرایی خود را بر اساس آن تأسیس کرد.

از کجا نیاز به این قانون احساس شد؟

در سال 1994، اولین بنر تبلیغاتی بصورت آنلاین ظاهر شد. در سال 2000، اکثر موسسات مالی بانک‌داری آنلاین ارائه دادند. در سال 2006، فیس‌بوک برای عموم افتتاح شد. در سال 2011، یک کاربر گوگل از این شرکت به دلیل اسکن ایمیل‌های خود شکایت کرد. دو ماه پس از آن، مرجع حفاظت از داده‌های اروپا اعلام كرد كه اتحادیه اروپا به "یک رویكرد جامع در مورد حفاظت از اطلاعات‌شخصی" نیاز دارد و كار برای به‌روز كردن بخشنامه 1995 آغاز شد.

جی‌دی‌پی‌آر پس از تصویب پارلمان اروپا در سال 2016 به اجرا درآمد و از 25 مه 2018، همه سازمان‌ها ملزم به رعایت این قوانین بودند.

دامنه این قانون، مجازات‌ها و تعاریف کلیدی

اگر اطلاعات‌شخصی شهروندان یا ساکنان اتحادیه اروپا را پردازش کنید، یا کالاهایی یا خدماتی را به چنین افرادی ارائه دهید برای شما اعمال می‌شود حتی اگر در اتحادیه اروپا نباشید.

این قانون مجموعه ای از اصطلاحات حقوقی را به طور طولانی تعریف می‌کند. در ادامه برخی از مهم‌ترین آورده شده است:

داده‌های شخصی

داده‌های شخصی هر اطلاعاتی است که مربوط به فردی است که می‌تواند به طور مستقیم یا غیرمستقیم شناسایی شود. نام‌ها و آدرس‌های ایمیل بدیهی است که داده‌های شخصی هستند. اطلاعات مکان، قومیت، جنسیت، داده‌های بیومتریک، عقاید مذهبی، کوکی های وب و نظرات سیاسی نیز می‌تواند داده‌های شخصی باشد. اگر شناسایی شخصی از آن نسبتاً آسان باشد، داده‌های مستعار نیز می‌توانند تحت این تعریف قرار بگیرند.

پردازش داده

هر عملی که روی داده انجام می‌شود، چه خودکار و چه دستی را پردازش داده می نامیم. مثال‌های ذکر شده در متن این قانون شامل جمع‌آوری، ضبط، سازماندهی، ساختار، ذخیره سازی، استفاده، پاک کردن و غیره است، در واقع به ظور خلاصه باید گفت اساساً هر چیزی.

موضوع داده

شخصی که داده‌های او پردازش می‌شود. این‌ها مشتریان یا بازدید کنندگان سایت شما هستند.

کنترل کننده داده

شخصی که تصمیم می‌گیرد چرا و چگونه داده‌های شخصی پردازش شود. اگر شما یک مالک یا کارمند در سازمان خود هستید که داده‌ها را اداره می‌کند، این فرد از نظر حقوقی و قانونی شما هستید.

پردازشگر داده

شخص ثالثی که اطلاعات‌شخصی را از طرف کنترل کننده داده پردازش می‌کند .

اصول محافظت از داده‌ها

اگر داده‌ها را پردازش می‌کنید، باید طبق هفت اصل حفاظت و پاسخگویی ذکر شده در ماده 5.1-2 قانون جی‌دی‌پی‌آر این کار را انجام دهید:

قانونمندی، انصاف و شفافیت

پردازش باید برای موضوع داده قانونی، منصفانه و شفاف باشد.

محدودیت هدف

هنگام جمع‌آوری اطلاعات، باید داده‌ها را برای اهداف قانونی مشخص شده صریحاً برای موضوع داده پردازش کنید.

به حداقل رساندن داده‌ها

شما باید فقط به اندازه لازم برای اهداف تعیین شده داده جمع‌آوری و پردازش کنید.

دقت

شما باید اطلاعات‌شخصی را دقیق و به‌روز نگه دارید.

محدودیت ذخیره سازی

شما فقط می‌توانید داده‌های شناسایی شخصی را برای مدت زمان لازم برای هدف تعیین شده ذخیره کنید.

یکپارچگی و رازداری

پردازش باید به گونه‌ای انجام شود که امنیت، صداقت و رازداری مناسب را تضمین کند.

مسئولیت پذیری

مسئولیت‌های محافظت از داده‌ها را برای تیم خود تعیین کنید. اسناد دقیق اطلاعاتی را که جمع‌آوری می‌کنید، نحوه استفاده، مکان ذخیره سازی، کدام کارمند مسئول آن است و غیره حفظ کنید.

کارکنان خود را آموزش دهید و اقدامات امنیتی و فنی سازمانی را اجرا کنید.

قراردادهای توافق نامه پردازش داده را با اشخاص ثالثی که برای پردازش داده‌ها برای شما منعقد می‌کنید منعقد کنید. یک مسئول حفاظت از داده تعیین کنید.

امنیت داده‌ها

اقدامات فنی به معنای نیاز به کارمندان شما برای استفاده از احراز‌هویت دو عاملی در حساب‌هایی است که داده‌های شخصی در آن‌ها ذخیره می‌شود تا قرارداد با ارائه‌دهندگان ابری که از رمزگذاری انتها استفاده می‌کنند.

اقدامات سازمانی مواردی مانند آموزش كاركنان، افزودن سیاست حفظ حریم‌خصوصی داده‌ها به دفترچه راهنمای كارمندان شما یا محدود كردن دسترسی به داده‌های شخصی فقط به كاركنان سازمان شما است كه به آن‌ها احتیاج دارند.

رضایت

قوانین جدید سختگیرانه ای در مورد رضایت یک شخص داده برای پردازش اطلاعات وی وجود دارد.

رضایت باید آزادانه، مشخص، آگاهانه و بدون ابهام باشد.

درخواست‌های رضایت باید "به وضوح از سایر موارد قابل تفکیک باشد" و به "زبان شفاف و روشن" ارائه شود.

افراد می‌توانند رضایت داده شده قبلی را هر زمان که بخواهند پس بگیرند و شما باید از تصمیم آن‌ها احترام بگذارید. شما نمی‌توانید به راحتی مبانی قانونی پردازش را به یکی از توجیهات دیگر تغییر دهید.

کودکان زیر 13 سال فقط می‌توانند با اجازه والدین خود رضایت دهند.

شما باید مدارک مستند رضایت را نگه دارید.

حقوق حریم‌خصوصی افراد

شما یک کنترل کننده داده و / یا پردازشگر داده هستید. اما به عنوان شخصی که از اینترنت استفاده می‌کند، شما نیز یک سوژه داده هستید. تعداد زیادی از حقوق حفظ حریم‌خصوصی افراد مورد داده را به رسمیت می شناسد که هدف آن‌ها کنترل بیشتر افراد بر داده‌هایی است که به سازمان‌ها می‌دهند. هستید.

در آخر برای پایان دادن به این نوشته باید گفت که صحبت درمورد این قانون تنها به یک نوشته چنذ هزار کلمه ای ختم نخواهد شد و این رشته سر دراز دارد. اما برای پایان خلاصه‌ای از حقوق حریم‌خصوصی داده افراد در این جا وجود دارد:

  • حق مطلع شدن
  • حق دسترسی
  • حق اصلاح
  • حق پاک‌کردن
  • حق محدود کردن پردازش
  • حق قابلیت انتقال داده
  • حق اعتراض
  • حقوق مربوط به تصمیم گیری