GDPR چیست؟این مقاله را به بهانه قانون حمایت از اطلاعات عمومی اتحادیه اروپا ( GDPR ) که در خرداد ماه( می 2018) امسال اجرائی گردید، به رشته تحریر درآوردم تا نسبت به مساله حریم خصوصی کمی جدی تر بیاندیشیم.
حریم خصوصی در پرتور مقرره GDPR
این روزها که فناوری هر لحظه زندگی ما را به خود وابسته تر میکند ، وسیع تر از گذشته حریم خصوصی زندگی ما مورد کنکاش قرار گرفته است .
در حال حاضر برخی سایت های اینترنتی و اپ های موبایلی حتی بهتر از نزدیکانمان به اطلاعات بانکی، هویتی و سایر اطلاعات شخصی و خانوادگی دسترسی دارند
اما سوالی که در این حین مطرح می گیردد این است که
اگر روزی حرمت راز داری توسط صاحبان این سایت ها شکسته شود،؛ چه قانونی برای مجازات آنان وجود دارد؟
چه راهکاری برای جبران حیثیت و آسیب های مادی و معنوی از دست رفته پیش روست؟!
جالب تر آنکه در ایران این فضا به قدری موضوع حفاظت از داده های شخصی مبهم است که برخی اپ ها و سایت ها برای ارائه خدمات،کلیه مشخصات شناسنامه ایی و اطلاعات بانکی ما را دریافت میکنند
درحالی که ارائه این اطلاعات ملازمه ای با دریافت این خدمات نداشته اما واقعیت آن است که این روزها بسیاری از خدمات بصورت آنلاین عرضه شده و عدم دسترسی به آن ها زندگی ما را مختل میکند ، بنابراین ظاهرا مجبور به تمکین و ارائه اطلاعات برخلاف میل باطنی خود هستیم!!
بدتر آنکه برخی از آنان از شرایط موجود سو استفاده نموده و مقررات خود ساخته شان را بصورت یکجانبه به کاربران تحمیل میکنند !
آیا الزامی برای احراز هویت در فضای اینمترنت وجود دارد؟
براساس اسناد بین المللی این حق مسلم ماست که در مواردی که خطرات امنیتی مانند تروریسم و یا پولشویی مطرح نیست برای دریافت خدمات گمنام باقی بمانیم اما چرا در ایران برای دریافت ساده ترین سرویس ها حتی باید جزیی ترین اطلاعات را در دسترس قرارداد!!
در مقررات جدید اتحادیه اروپا تغییرات بسیاری در خصوص حمایت از داده های شخصی و حفاظت از آنان بخصوص در فضای سایبری و اپ های موبایلی و سایت اینترنتی در نظر گرفته شده است .برخی ازین تغییرات اساسی را میتوان اینگونه خلاصه کرد:
بخش اول حقوق مربوط به کاربران
حدود صلاحیت حاکمیت قانون GDPR
این قانون دیگر محدود به شرکت ها و یا نهاد های داخل اتحادیه اروپا نیست بلکه شامل هر سرویس دهنده ایی می شود که محل استقرار آن خارج از اتحادیه اروپاست اما به شهروندان اروپایی سرویس میدهد .
بطور کلی دو گروه مورد خطاب این قانون است :
الف: کنترل کنندگان
ب: پردازش کنندگان
پردازش کنندگان اشخاصی هستند که اطلاعات را دریافت ، بررسی ، پردازش ، بهره برداری و غیره میکنند و کنترل کنندگان اشخاصی هستند که براین فرآند ها اشراف داشته و نظارت و دسترسی دارند.
تا پیش ازین حدود صلاحیت محلی قانون مبهم بود و به محل تاسیس اشاره داشت و در عمل محاکم قضائی دچار اختلاف بودند
اما اکنون فارغ ازینکه سرویس دهنده کجا تاسیس و یا مستقر است به صرف اینکه به شهروندان اروپایی سرویس میدهد این مقررات بر وی جاری می شود.
جرایم و مجازات ها در GDPR
سازمان هایی که نقض مقررات GDPR نمایند، تا 4٪ از گردش مالی سالانه یا 20 میلیون یورو جریمه می شوند (هر کدام که بیشترباشد.)
البته این حداکثر جریمه ای است که می تواند برای جدی ترین موارد نقض مقررات در نظر گرفت .
رضایت کاربران
شرایط رضایتمندی سختگیرانه تر شده است و شرکت ها دیگر قادر به استفاده از شرایط و ضوابط طولانی و مبهم نیستند.
درخواست رضایت باید در یک فرم مشخص و بسهولت قابل دسترس باشد. اهداف پرداش اطلاعات تصریح گردد ،
از زبان ساده و قابل فهم استفاده شود و به همان سهولت که اجازه دسترسی به اطلاعات داده میشود ، اتمام دسترسی اعمال گردد.
بخش دوم حقوق مربوط به داده ها
هشدار نقض
پردازش کنندگان و کنترل کنندگان میبایست بلافاصله پس از اطلاع از وقوع نقض اطلاعات در سامانه ها و حداکثر ظرف 72 ساعت به کاربران هشدار
و اطلاع بدهند تا اقدامات تامینی مناسبی صورت پذیرد.
حق دسترسی
یکی از حقوق گسترش یافته در این مقررات حق دسترسی کاربران به داده ای شخصی خود میباشد چه آنکه بر روی این اطلاعات پردازشی صورت گرفته باشد و چه بصورت خام باقی مانده باشد در این موارد باید نسخه ایی الکترونیکی بصورت رایگان در اختیار کاربران قرار گیرد.
قابل بهره برداری بودن
اطلاعات شخصی اشخاص میبایست بصورت قابل حمل و یا قابل خوانش توسط ماشین ها و ابزار های مربوط در هر زمانی باشد ازهمین رو باید در این خصوص رضایت کاربر تامین گردد.
حفظ حریم خصوصی در طراحی سامانه ها
سامانه های نرم افزاری و اینرنتی باید به گونه ایی طراحی و برنامه ریزی شود که کمترین امکان نفوذ و دسترسی غیر مجاز به آن وجود داشته باشد
هرچند اینم مقررات از قبل وجود داشته اما شرایط و استاندارد خاصی برای طراحی سامانه ها درنظر گرفته شده است.
افسران حفظ حریم خصوصی
در مقررات جدید نیاز نیست که هر گونه داده و یا ثبت اطلاعاتی به اطلاع نهاد ذیربط برسد ، اما در خصوص شرکت و سازمان هایی که با کنترل و یا پردازش دائم و سیستماتیک داده ها بصورت عمده سر و کار دارند، ممکن است نیرو هایی جهت کنترل و نظارت بر آنان تعیین گردد.
مقررات و نهاد های مختلفی در اروپا جهت نظارت بر حفظ حریم خصوصی شهروندان وجود دارد
سازمان انیسا ( ENISA) یکی از نهاد های اتحادیه اروپاست که در زمینه امنیت شبکه و اطلاعات فعالیت میکند و کنترل ها و آموزش و توصیه های لازم را به سایت ها و اپ های موبایلی که داده های کاربران را جمع آوری مکند ارائه می دهد.
در ایران مقرراتی جسته و گریخته در خصوص حریم خصوصی وجود دارد مانند قانون تجارت الکترونیکی و یا قانون جرایم رایانه ایی که در دهه های گذشته به تصویب رسیده و با شرایط کنونی به هیچ وجه مطابقت ندارد .
برای اینکه جلوی هرج و مرج کنونی ، چه در خصوص اپ های خارجی و چه اپ های داخلی گرفته شود تدوین مقررات خاص
و پیگیری آن توسط یک نهاد تخصصی بسیار ضروری است که متاسفانه تاکنون اقدام قابل تاملی صورت نگرفته است.
