حریم خصوصی در پرتو مقرره اروپایی ( GDPR)

حریم خصوصی در پرتور مقرره GDPR

این مقاله را به بهانه قانون حمایت از اطلاعات عمومی اتحادیه اروپا( GDPR ) که در خرداد ماه( می 2018) امسال اجرائی گردید، به رشته تحریر درآوردم تا نسبت به مساله حریم خصوصی کمی جدی تر بیاندیشیم.
این روزها که فناوری هرلحظه زندگی ما را به خود وابسته تر میکند ، وسیع تر از گذشته حریم خصوصی زندگی ما مورد کنکاش قرار گرفته است .

در حال حاضر برخی سایت های اینترنتی و اپ های موبایلی حتی بهتر از نزدیکانمان به اطلاعات بانکی، هویتی و سایر اطلاعات شخصی و خانوادگی دسترسی دارند

و اگر روزی حرمت راز داری توسط صاحبان این سایت ها شکسته شود،؛ چه قانونی برای مجازات آنان وجود دارد؟ چه راهکاری برای جبران حیثیت

و آسیب های مادی و معنوی از دست رفته پیش روست؟!
جالب تر آنکه در ایران این فضا بقدری مبهم است که برخی اپ ها و سایت ها بی آنکه نیاز باشد ،کلیه  مشخصات شناسنامه ایی و اطلاعات بانکی ما را دریافت میکنند .

واقعیت آن است که  این روزها بسیاری از خدمات بصورت آنلاین عرضه شده و عدم دسترسی به آن ها زندگی ما را مختل میکند ،

بنابراین ظاهرا مجبور به تمکین و ارائه اطلاعات برخلاف میل باطنی خود هستیم!!
بدتر آنکه برخی از آنان از شرایط موجود سو استفاده نموده و مقررات خود ساخته شان را بصورت یکجانبه به کاربران تحمیل میکنند !

آیا با نفوذ و گسترده شدن روز به روز اینگونه خدمات همچنان باید شاهد بی تدبیری در این زمینه باشیم؟!
چه نهادی قرار است جلوی این سرکشی و نقض حقوق ابتدایی ما را بگیرد؟!
لازم به ذکر است براساس اسناد بین المللی این حق مسلم ماست که در مواردی که خطرات امنیتی مانند تروریسم و یا پولشویی مطرح نیست

برای دریافت خدمات گمنام باقی بمانیم اما چرا در ایران برای دریافت ساده ترین سرویس ها حتی باید جزیی ترین اطلاعات را در دسترس قرارداد!!
در مقررات جدید اتحادیه اروپا تغییرات بسیاری در خصوص حمایت از داده های شخصی و حفاظت از آنان بخصوص در فضای سایبری و اپ های موبایلی

و سایت اینترنتی در نظر گرفته شده است .برخی ازین تغییرات اساسی را میتوان اینگونه خلاصه کرد:

حقوق مربوط به کاربران

حدود صلاحیت حاکمیت قانون

این قانون دیگر محدود به شرکت هاو یا نهاد های داخل اتحادیه اروپا نیست بلکه شامل هر سرویس دهنده ایی می شود

که محل استقرار آن خارج از اتحادیه اروپاست اما به شهروندان اروپایی سرویس میدهد .
بطور کلی دو گروه مورد خطاب این قانون است :

کنترل کنندگان و پردازش کنندگان .

پردازش کنندگان اشخاصی هستند که اطلاعات را دریافت ، بررسی ، پردازش ، بهره برداری و غیره میکنند و کنترل کنندگان اشخاصی هستند

که براین فرآند ها اشراف داشته و نظارت و دسترسی دارند.
تا پیش ازین حددود صلایحت محلی قانون مبهم بود و به محل تاسیس اشاره داشت و در عمل محاکم قضائی دچار اختلاف بودند

اما اکنون فارغ ازینکه سرویس دهنده کجا تاسیس و یا مستقر است به صرف اینکه به شهروندان اروپایی سرویس میدهد این مقررات بر وی جاری می شود.

مجازات

سازمان هایی که نقض مقررات GDPR نمایند، تا 4٪ از گردش مالی سالانه یا 20 میلیون یورو جریمه می شوند (هر کدام که بیشترباشد.)

البته این حداکثر جریمه ای است که می تواند برای جدی ترین نقض ها اعمال شود.

رضایت کاربران

شرایط رضایتمندی سختگیرانه تر شده است و شرکت ها دیگر قادر به استفاده از شرایط و ضوابط طولانی و مبهم نیستند.

درخواست رضایت باید در یک فرم مشخص و بسهولت قابل دسترس باشد. اهداف پرداش اطلاعات تصریح گردد ،

از زبان ساده و قابل فهم استفاده شود و به همان سهولت که اجازه دسترسی به اطلاعات داده میشود ، اتمام دسترسی اعمال گردد.

حقوق مربوط به داده ها

هشدار نقض

پردازش کنندگان و کنترل کنندگان میبایست بلافاصله پس از اطلاع از وقوع نقض اطلاعات در سامانه ها و حداکثر ظرف 72 ساعت به کاربران هشدار

و اطلاع بدهند تا اقدامات تامینی مناسبی صورت پذیرد.

حق دسترسی

یکی از حقوق گسترش یافته در این مقررات حق دسترسی کاربران به داده ای شخصی خود میباشد چه آنکه بر روی این اطلاعات پردازشی صورت گرفته باشد

و چه بصورت خام باقی مانده باشد در این موارد باید نسخه ایی الکترونیکی بصورت رایگان در اختیار کاربران قرار گیرد.

قابل بهره برداری بودن

اطلاعات شخصی اشخاص میبایست بصورت قابل حمل و یا قابل خوانش توسط ماشین ها و ابزار های مربوط در هر زمانی باشد ازهمین رو باید در این خصوص رضایت کاربر تامین گردد.

حفظ حریم خصوصی در طراحی سامانه ها

سامانه های نرم افزاری و اینرنتی باید به گونه ایی طراحی و برنامه ریزی شود که کمترین امکان نفوذ و دسترسی غیر مجاز به آن وجود داشته باشد

هرچند اینم مقررات از قبل وجود داشته اما شرایط و استاندارد خاصی برای طراحی سامانه ها درنظر گرفته شده است.

افسران حفظ حریم خصوصی

در مقررات جدید نیاز نیست که هر گونه داده و یا ثبت اطلاعاتی به اطلاع نهاد ذیربط برسد ، اما در خصوص شرکت و سازمان هایی که با کنترل و یا پردازش دائم

و سیستماتیک داده ها بصورت عمده سرو کار دارند،  ممکن است نیرو هایی جهت کنترل و نظارت برآنان تعیین گردد.
مقررات و نهاد های مختلفی در اروپا جهت نظارت بر حفظ حریم خصوصی شهروندان وجود دارد سازمان انیسا ( ENISA) یکی از نهاد های اتحادیه اروپاست

که در زمینه امنیت شبکه و اطلاعات فعالیت میکند و کنترل ها و آموزش و توصیه های لازم را به سایت ها و اپ های موبایلی که داده های کاربران را جمع آوری مکند ارائه می دهد.
در ایران مقرراتی جسته و گریخته در خصوص حریم خصوصی وجود دارد مانند قانون تجارت الکترونیکی و یا قانون جرایم رایانه ایی که در دهه های گذشته به تصویب رسیده

و با شرایط کنونی به هیچ وجه مطابقت ندارد .
برای اینکه جلوی هرج و مرج کنونی ، چه در خصوص اپ های خارجی و چه اپ های داخلی گرفته شود تدوین مقررات خاص

و پگیری آن توسط یک نهاد تخصصی بسیار ضروری است که متاسفانه تاکنون اقدام قابل تاملی صورت نگرفته است.