GDPR, قانون جدید حفاظت از داده اتحادیه اروپا

GDPR مخفف چیست؟, قانون جدید حفاظت از داده اتحادیه اروپا

GDPR چیست؟ قانون جدید حفظ حریم خصوصی و امنیت داده اروپا شامل صدها صفحه از الزامات جدید برای سازمان ها در سراسر جهان است. این بررسی اجمالی GDPR به شما کمک می کند قانون را درک کنید و تعیین کنید که چه بخش هایی از آن برای شما اعمال می شود.

GDPR، قانون جدید حفاظت از داده اتحادیه اروپا چیست؟, شرح در تصویر

GDPR مخفف چیست؟

GDPR مخفف عبارت General Data Protection Regulation یعنی “مقررات عمومی حفاظت از داده ها” است. این یک مقررات اروپایی است که در سال 2018 برای افزایش کنترل شهروندان اتحادیه اروپا بر داده‌های شخصی که شرکت‌ ها می‌توانند از نظر قانونی نگهداری کنند، اجرا شد.

مقررات عمومی حفاظت از داده ها (GDPR) سخت ترین قانون حفظ حریم خصوصی و امنیت در جهان است. اگرچه این پیش‌ نویس توسط اتحادیه اروپا (EU) تهیه و تصویب شد، اما تعهداتی را بر سازمان‌ ها در هر کجا تحمیل می‌کند، تا زمانی که داده‌ های مربوط به افراد در اتحادیه اروپا را هدف قرار داده یا جمع‌ آوری کنند. این مقررات در 25 مه 2018 به اجرا گذاشته شد. GDPR جریمه های سنگینی را علیه افرادی که استانداردهای حریم خصوصی و امنیتی آن را نقض می کنند وضع خواهد کرد که مجازات آن به ده ها میلیون یورو می رسد.

با GDPR، اروپا موضع قاطع خود را در مورد حفظ حریم خصوصی و امنیت داده ها نشان می دهد، در زمانی که افراد بیشتری داده های شخصی خود را به سرویس های ابری می سپارند و نقض ها یک اتفاق روزمره است. این مقررات به خودی خود بزرگ، گسترده و نسبتاً سبک است و مطابق با GDPR را به چشم اندازی دلهره آور تبدیل می کند، به ویژه برای شرکت های کوچک و متوسط (SMEs).

سازمان بین المللی استاندارد (ISO) توسط استاندارد ISO/IEC 27701 در مورد حریم خصوصی داده ها مربوط به حوزه قانونی (مانند GDPR) توضیحاتی ارائه داده است. پیشنهاد می شود مقاله “کنترلر داده در مقایسه با پردازشگر داده و ISO/IEC 27701” را مطالعه بفرمایید.

تاریخچه GDPR

حق حفظ حریم خصوصی بخشی از کنوانسیون اروپایی حقوق بشر 1950 است که می گوید: “هر کس حق دارد به زندگی خصوصی و خانوادگی، خانه و مکاتباتش احترام بگذارد.” بر این اساس، اتحادیه اروپا به دنبال تضمین حمایت از این حق از طریق قوانین بوده است.

کنترلر داده در مقایسه با پردازشگر داده و ISO/IEC 27701, شرح در تصویر

با پیشرفت تکنولوژی و اختراع اینترنت، اتحادیه اروپا نیاز به حفاظت های مدرن را تشخیص داد. بنابراین در سال 1995 دستورالعمل حفاظت از داده های اروپا را تصویب کرد که حداقل استانداردهای حفظ حریم خصوصی و امنیت داده ها را ایجاد کرد، که هر کشور عضو قانون اجرایی خود را بر اساس آن استوار کرد.

اما اینترنت در حال تبدیل شدن به داده های هوور امروزی بود. در سال 1994 اولین بنر تبلیغاتی به صورت آنلاین ظاهر شد. در سال 2000، اکثر موسسات مالی بانکداری آنلاین را ارائه کردند. در سال 2006، فیس بوک به روی عموم باز شد. در سال 2011، یکی از کاربران گوگل از این شرکت به دلیل اسکن ایمیل هایش شکایت کرد. دو ماه پس از آن، مرجع حفاظت از داده های اروپا اعلام کرد که اتحادیه اروپا به “رویکردی جامع در مورد حفاظت از داده های شخصی” نیاز دارد و کار برای به روز رسانی دستورالعمل 1995 آغاز شد.

GDPR در سال 2016 پس از تصویب پارلمان اروپا لازم الاجرا شد و از 25 می 2018، همه سازمان ها ملزم به رعایت آن بودند.

GDPR, محدوده، مجازات ها، و تعاریف کلیدی

ابتدا، اگر داده‌ های شخصی شهروندان یا ساکنان اتحادیه اروپا را پردازش می‌ کنید، یا کالاها یا خدماتی را به این افراد ارائه می‌دهید، حتی اگر در اتحادیه اروپا نباشید، GDPR برای شما اعمال می‌شود.

بازسازی بخش ها در استاندارد ایزو 27001, شرح در تصویر

دوم، جریمه های نقض GDPR بسیار بالاست. دو سطح جریمه وجود دارد که حداکثر به 20 میلیون یورو یا 4 درصد از درآمد جهانی (هر کدام بالاتر است) می رسد، به علاوه افراد سوژه داده حق دارند برای جبران خسارت درخواست غرامت کنند. ما همچنین بیشتر در مورد جریمه های GDPR صحبت می کنیم.

GDPR مجموعه ای از اصطلاحات حقوقی را به طور طولانی تعریف می کند. در زیر به برخی از مهم ترین آنها اشاره می کنیم که در این مقاله به آنها اشاره می کنیم:

داده های شخصی

داده های شخصی هر گونه اطلاعاتی است که به فردی مربوط می شود که به طور مستقیم یا غیرمستقیم قابل شناسایی است. نام ها و آدرس های ایمیل آشکارا داده های شخصی هستند. اطلاعات مکان، قومیت، جنسیت، داده‌های بیومتریک، اعتقادات مذهبی، کوکی‌های وب و نظرات سیاسی نیز می‌توانند داده‌ های شخصی باشند. اگر شناسایی شخصی از آن نسبتاً آسان باشد، داده‌ های مستعار نیز می‌توانند تحت این تعریف قرار گیرند.

پردازش داده

هر اقدامی که روی داده‌ ها انجام می‌شود، خواه خودکار یا دستی. مثال‌ های ذکر شده در متن شامل جمع‌ آوری، ضبط، سازمان‌ دهی، ساختاردهی، ذخیره‌ سازی، استفاده، پاک کردن… بنابراین اساساً هر چیزی است.

موضوع داده

شخصی که داده های او پردازش می شود. اینها مشتریان یا بازدیدکنندگان سایت شما هستند.

کنترل کننده داده

شخصی که تصمیم می گیرد چرا و چگونه داده های شخصی پردازش شوند. اگر مالک یا کارمندی در سازمان خود هستید که داده ها را مدیریت می کند، این شما هستید.

پردازشگر داده

شخص ثالثی که داده های شخصی را از طرف یک کنترل کننده داده پردازش می کند. GDPR قوانین خاصی برای این افراد و سازمان ها دارد. آنها می توانند شامل سرورهای ابری مانند Tresorit یا ارائه دهندگان خدمات ایمیل مانند Proton Mail باشند.

شخص ثالثی که داده های شخصی را از طرف یک کنترل کننده داده پردازش می کند. GDPR قوانین خاصی برای این افراد و سازمان ها دارد. آنها می توانند شامل سرورهای ابری مانند Tresorit یا ارائه دهندگان خدمات ایمیل مانند Proton Mail باشند.

آنچه باید در مورد نظارت بر GDPR بدانید

اصول حفاظت از داده ها

اگر داده‌ها را پردازش می‌کنید، باید طبق هفت اصل حفاظتی و پاسخگویی که در ماده 5.1-2 ذکر شده است، این کار را انجام دهید:

  1. قانونمندی، انصاف و شفافیت: پردازش باید برای موضوع داده قانونی، منصفانه و شفاف باشد.
  2. محدودیت هدف: شما باید داده ها را برای اهداف قانونی که به صراحت برای موضوع داده در هنگام جمع آوری آنها مشخص شده است پردازش کنید.
  3. به حداقل رساندن داده ها: شما باید تنها به اندازه ای که برای اهداف مشخص شده ضروری است، جمع آوری و پردازش کنید.
  4. دقت: شما باید داده های شخصی را دقیق و به روز نگه دارید.
  5. محدودیت ذخیره سازی: شما فقط می توانید داده های شناسایی شخصی را تا زمانی که برای هدف مشخص شده لازم است ذخیره کنید.
  6. صداقت و محرمانه بودن: پردازش باید به گونه ای انجام شود که امنیت، یکپارچگی و محرمانه بودن مناسب را تضمین کند (مثلاً با استفاده از رمزگذاری).
  7. پاسخگویی: کنترل کننده داده مسئول این است که بتواند مطابقت GDPR را با همه این اصول نشان دهد.

مسئولیت

GDPR می گوید که کنترل کننده های داده باید بتوانند نشان دهند که مطابق با GDPR هستند. و این کاری نیست که بتوانید بعد از این واقعیت انجام دهید: اگر فکر می کنید با GDPR مطابقت دارید اما نمی توانید نحوه انجام آن را نشان دهید، پس مطابق با GDPR نیستید. از جمله راه هایی که می توانید این کار را انجام دهید:

  • مسئولیت های حفاظت از داده ها را برای تیم خود تعیین کنید.
  • اسناد و مدارک دقیق داده هایی را که جمع آوری می کنید، نحوه استفاده از آن، محل ذخیره آن، کارمندی که مسئول آن است و غیره نگهداری کنید.
  • کارکنان خود را آموزش دهید و اقدامات امنیتی فنی و سازمانی را اجرا کنید.
  • قراردادهای توافقنامه پردازش داده را با اشخاص ثالثی که قرار دادید تا داده ها را برای شما پردازش کنند، داشته باشید.
  • یک افسر حفاظت از داده ها را منصوب کنید (اگرچه همه سازمان ها به یک افسر نیاز ندارند – در این مقاله بیشتر در مورد آن توضیح داده شده است).

امنیت داده ها

شما باید با اجرای “اقدامات فنی و سازمانی مناسب” داده ها را به طور ایمن مدیریت کنید.

اقدامات فنی به معنای هر چیزی است، از الزام کارمندان به استفاده از احراز هویت دو مرحله‌ای در حساب‌ هایی که داده‌ های شخصی در آن‌ ها ذخیره می‌شود تا قرارداد با ارائه‌ دهندگان ابری که از رمزگذاری سرتاسر استفاده می‌کنند.

اقدامات سازمانی مواردی مانند آموزش کارکنان، افزودن خط مشی حفظ حریم خصوصی داده ها به کتابچه راهنمای کارمندان یا محدود کردن دسترسی به داده های شخصی فقط برای آن دسته از کارمندان سازمان شما است که به آن نیاز دارند.

در صورت نقض داده‌ ها، 72 ساعت فرصت دارید تا به افراد داده‌ ها اطلاع دهید یا با جریمه مواجه خواهید شد. (اگر از حفاظت های فنی مانند رمزگذاری برای بی فایده کردن داده ها برای مهاجم استفاده می کنید، ممکن است از این الزام اعلان صرفنظر شود.)

حفاظت از داده ها توسط طراحی و به طور پیش فرض

از این پس، هر کاری که در سازمان خود انجام می دهید، باید «به صورت طراحی و پیش فرض»، حفاظت از داده ها را در نظر بگیرد. از نظر عملی، این بدان معنی است که شما باید اصول حفاظت از داده ها را در طراحی هر محصول یا فعالیت جدید در نظر بگیرید. GDPR این اصل را در ماده 25 پوشش می دهد.

برای مثال، فرض کنید که در حال راه اندازی یک برنامه جدید برای شرکت خود هستید. باید به این فکر کنید که برنامه چه داده‌های شخصی می‌تواند از کاربران جمع‌ آوری کند، سپس راه‌ هایی را برای به حداقل رساندن حجم داده‌ ها و نحوه ایمن‌ سازی آن‌ ها با جدیدترین فناوری در نظر بگیرید.

چه زمانی شما مجاز به پردازش داده ها هستید؟

ماده 6 مواردی را فهرست می کند که در آنها پردازش داده های افراد قانونی است. این ماده مکتوب کرده است که حتی به لمس کردن اطلاعات شخصی یک نفر فکر نکنید، آن را جمع آوری نکنید، ذخیره نکنید، به تبلیغ کنندگان نفروشید مگر اینکه بتوانید آن را با یکی از موارد زیر توجیه کنید:

ایزو 27002 چه تاثیری بر ایزو 27001 دارد؟, شرح در تصویر
  1. موضوع داده به شما رضایت مشخص و بدون ابهام برای پردازش داده ها داده است. (به عنوان مثال، آنها در لیست ایمیل بازاریابی شما شرکت کرده اند.)
  2. پردازش برای اجرا یا آماده شدن برای انعقاد قراردادی که موضوع داده یکی از طرفین آن است، ضروری است. (به عنوان مثال، قبل از اجاره ملک به مستاجر احتمالی، باید یک بررسی پیشینه انجام دهید.)
  3. شما باید آن را پردازش کنید تا از تعهدات قانونی خود پیروی کنید. (به عنوان مثال، شما از دادگاه در حوزه قضایی خود دستور دریافت می کنید.)
  4. برای نجات جان کسی باید داده ها را پردازش کنید. (به عنوان مثال، شما احتمالاً متوجه خواهید شد که چه زمانی این مورد اعمال می شود.)
  5. پردازش برای انجام یک وظیفه در جهت منافع عمومی یا انجام برخی وظایف رسمی ضروری است. (به عنوان مثال، شما یک شرکت خصوصی جمع آوری زباله هستید.)
  6. شما علاقه مشروعی به پردازش داده های شخصی یک نفر دارید. این انعطاف‌ پذیرترین مبنای قانونی است، اگرچه «حقوق و آزادی‌ های اساسی موضوع داده‌ ها» همیشه بر منافع شما غلبه می‌کند، به خصوص اگر داده‌ های یک کودک باشد. (ارائه مثال در اینجا دشوار است زیرا عوامل مختلفی وجود دارد که باید برای پرونده خود در نظر بگیرید. دفتر کمیسر اطلاعات بریتانیا در اینجا راهنمایی مفیدی ارائه می دهد.)

هنگامی که مبنای قانونی برای پردازش داده های خود را مشخص کردید، باید این مبنای را مستند کنید و موضوع داده ها را مطلع کنید (شفافیت!). و اگر بعداً تصمیم به تغییر توجیه خود گرفتید، باید دلیل موجهی داشته باشید، این دلیل را مستند کنید و موضوع داده را مطلع کنید.

رضایت طرف مقابل

قوانین سختگیرانه جدیدی در مورد رضایت یک موضوع داده برای پردازش اطلاعات آنها وجود دارد.

  1. رضایت باید “آزادانه، مشخص، آگاهانه و بدون ابهام داده شود.”
  2. درخواست‌های رضایت باید «به وضوح از سایر موضوعات قابل تشخیص باشند» و به «زبان روشن و واضح» ارائه شوند.
  3. سوژه های داده می توانند هر زمان که بخواهند رضایت قبلی خود را پس بگیرند و شما باید به تصمیم آنها احترام بگذارید. شما نمی توانید به سادگی مبنای قانونی پردازش را به یکی از دلایل دیگر تغییر دهید.
  4. کودکان زیر 13 سال فقط می توانند با اجازه والدین خود رضایت دهند.
  5. شما باید مدارک مستند رضایت را نگه دارید.

افسران حفاظت از داده ها

برخلاف تصور رایج، هر کنترل کننده یا پردازشگر داده نیازی به تعیین یک افسر حفاظت از داده (DPO) ندارد. سه شرط وجود دارد که تحت آنها باید یک DPO تعیین کنید:

  1. شما یک مقام عمومی غیر از دادگاهی هستید که در مقام قضایی عمل می کند.
  2. فعالیت های اصلی شما مستلزم نظارت سیستماتیک و منظم مردم در مقیاس بزرگ است. (به عنوان مثال شما گوگل هستید.)
  3. فعالیت‌های اصلی شما پردازش در مقیاس بزرگ دسته‌ بندی‌ های خاص داده‌ های فهرست‌ شده در ماده 9 GDPR یا داده‌های مربوط به محکومیت‌ها و جرایم جنایی ذکر شده در ماده 10 است. (مثلاً شما یک مطب پزشکی هستید.)

شما همچنین می توانید انتخاب کنید که یک DPO تعیین کنید، حتی اگر لازم نیست. داشتن فردی در این نقش مزایایی دارد. وظایف اصلی آنها شامل درک GDPR و نحوه اعمال آن در سازمان، مشاوره به افراد در سازمان در مورد مسئولیت های خود، انجام آموزش های حفاظت از داده ها، انجام ممیزی و نظارت بر رعایت GDPR و خدمت به عنوان رابط با تنظیم کننده ها است.

حقوق حریم خصوصی افراد

شما یک کنترل کننده داده و یا یک پردازشگر داده هستید. اما به عنوان فردی که از اینترنت استفاده می کند، شما نیز یک موضوع داده هستید. GDPR مجموعه ای از حقوق حریم خصوصی جدید را برای سوژه های داده به رسمیت می شناسد، که هدف آن کنترل بیشتر افراد بر داده هایی است که به سازمان ها قرض می دهند. به عنوان یک سازمان، درک این حقوق برای اطمینان از مطابقت با GDPR مهم است.

در زیر خلاصه ای از حقوق حریم خصوصی افراد داده است:

  1. حق اطلاع.
  2. حق دسترسی.
  3. حق اصلاح.
  4. حق پاک کردن.
  5. حق محدود کردن پردازش.
  6. حق انتقال داده ها.
  7. حق اعتراض.
  8. حقوق در رابطه با تصمیم گیری و پروفایل خودکار.

GDPR مخفف چیست؟

GDPR مخفف عبارت General Data Protection Regulation است. این یک مقررات اروپایی است که در سال 2018 برای افزایش کنترل شهروندان اتحادیه اروپا بر داده‌های شخصی که شرکت‌ها می‌توانند از نظر قانونی نگهداری کنند، اجرا شد.

تاریخچه GDPR چیست؟

حق حفظ حریم خصوصی بخشی از کنوانسیون اروپایی حقوق بشر 1950 است که می گوید: “هر کس حق دارد به زندگی خصوصی و خانوادگی، خانه و مکاتباتش احترام بگذارد.” بر این اساس، اتحادیه اروپا به دنبال تضمین حمایت از این حق از طریق قوانین بوده است. GDPR در سال 2016 پس از تصویب پارلمان اروپا لازم الاجرا شد و از 25 می 2018، همه سازمان ها ملزم به رعایت آن بودند.

برای امتیاز به این نوشته کلیک کنید!
[کل: 1 میانگین: 5]

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا