همه چیز در مورد قانون GDPR

همه چیز در مورد قانون GDPR

قانون GDPR مخفف General Data Protection Requlation (مقررات عمومی حفاظت از داده) است. این عنوان هسته اصلی قانون حریم خصوصی در حوزه دیجیتالی، در اتحادیه اروپا به‌شمار می‌آید.

در ژانویه 2012، کمیسیون اروپا برنامه‌هایی را برای اصلاح حفاظت از داده‌ها در سراسر اروپا تعیین کرد تا اروپا را “متناسب با عصر دیجیتال” پیش ببرد. تقریبا چهارسال بعد، توافقنامه‌ای در مورد این موضوع و نحوه اجرای آن حاصل شد. یکی از مولفه‌های اصلی اصلاحات، معرفی آیین‌نامه عمومی حفاظت از داده‌ها (GDPR) است. این چارچوب جدید اتحادیه اروپا برای سازمان‌ها در تمام کشورهای عضو اعمال می‌شود و روی کسب و کارها و افراد در سراسر اروپا و حتی جهان، تاثیراتی می‌گذارد.

دید اعضای اتحادیه به این صورت بود که آینده دیجیتالی اروپا تنها می‌تواند بر روی اعتماد ساخته شود. با استانداردهای مشترک اعمال شده برای محافظت از داده‌ها، مردم می‌توانند مطمئن باشند که کنترل اطلاعات شخصی خود را در دست دارند.

GDPR چیست؟

دراصل GDPR مجموعه جدیدی از قوانین است که برای کنترل بیشتر شهروندان اتحادیه اروپا بر داده‌های شخصی‌شان، طراحی شده است. هدف این قانون ساده‌سازی محیط نظارتی برای کسب و کار است تا هم شهروندان و هم کسب و کارها در اتحادیه اروپا بطور کامل از اقتصاد دیجیتالی بهره‌مند شوند.

انطباق با GDPR چیست؟

نشت اطلاعات به ناچار اتفاق می‌افتد و گریزی از آن نیست. اطلاعات از دست می‌روند، سرقت می‌شوند و یا در غیراین صورت به دست افرادی می‌رسند که غالبا قصد سواستفاده از آن را دارند.

براساس شرایط قانون GDPR، نه تنها سازمان‌ها باید اطمینان حاصل کنند که داده‌های شخصی از نظر قانونی و تحت شرایط سخت‌گیرانه جمع‌آوری می‌شوند، بلکه کسانی که آن را جمع‌آوری و مدیریت می‌کنند، موظفند از آن در برابر سواستفاده و بهره‌برداری محافظت کنند و همچنین به حقوق صاحبان اطلاعات احترام بگذارند، درغیر این صورت با مجازات‌های سنگینی روبرو می‌شوند.

قانون GDPR برروی چه کسانی اعمال می‌شود؟

GDPR برای هر سازمانی که در داخل اتحادیه اروپا فعالیت می‌کند و همچنین هر سازمان خارج از اتحادیه اروپا که کالا یا خدمات به مشتریان یا مشاغل اتحادیه اروپا ارائه می‌دهند، اعمال می‌شود. در نهایت این بدان معنی است که تقریباً هر شرکت بزرگ در جهان به یک استراتژی انطباق با GDPR نیاز دارد.

قانون‌گذار برای اعمال داده‌ها دو نوع مختلف دارد: “پردازنده‌ها” و “کنترل‌کننده‌ها”. تعاریف هریک از این موارد، در ماده 4 آیین‌نامه عمومی حفاظت از داده‌ها بیان شده است.

کنترل‌کننده یک شخص، مقام دولتی، نمایندگی یا ارگان دیگری است که به‌تنهایی یا به‌طور مشترک با دیگران اهداف و روش پردازش اطلاعات شخصی را تعیین می‌کند، درحالی که پردازنده شخص، مقامات عمومی، نمایندگی یا ارگان‌های دیگری است که اطلاعات شخصی را از طرف کنترل‌کننده پردازش می‌کند. بعنوان مثال اگر شما تحت قانون محافظت از داده‌های انگلستان قرار دارید، به احتمال زیاد باید با GDPR نیز مطابقت داشته باشید.

GDPR درنهایت وظایف قانونی را به‌عهده پردازنده می‌گذارد تا سوابق داده‌های شخصی و نحوه پردازش آنها را حفظ و نگهداری کند. باید این نکته را هم گفت که درصورت نقض سازمان، مسئولیت حقوقی بسیار بالاتری بر عهده خواهد داشت. همچنین کنترل‌کننده‌ها مجبور هستند اطمینان حاصل کنند که کلیه قراردادهای با پردازنده‌ها، با GDPR مطابقت دارد.

داده‌های شخصی تحت GDPR چیست؟

انواع داده‌هایی که طبق قانون موجود، شخصی در نظر گرفته شده‌اند، شامل نام، آدرس و عکس هستند. GDPR تعریف داده‌های شخصی را گسترش داده است تا چیزی مانند آدرس IP نیز بتواند داده‌های شخصی باشد. همچنین اطلاعاتی حساسی ماننده داده‌های ژنتیکی و بیومترک هم بعلت منحصربه‌فرد بودن در زمره این اطلاعات قرار گرفته‌اند.

قانون GDPR از چه زمانی لازم الاجرا شد؟

پس از چهارسال آماده‌سازی و بحث‌وبررسی، GDPR در آوریل 2016 توسط پارلمان اروپا تصویب شد و متون رسمی و مقررات بخش‌نامه در ماه می 2016 به تمام زبان‌های رسمی اتحادیه اروپا منتشر شد. این قانون در سراسر اتحادیه اروپا از 25 می 2018 به اجرا درآمد.

برگزیت چگونه بر GDPR تاثیر می‌گذارد؟

انگلیس در تاریخ 31 اکتبر 2019 اتحادیه اروپا را ترک کرد. روند این جداشدن در عوام با عنوان برگزیت شناخته می‌شود. دولت انگلیس گفته است که این موضوع تاثیری بر روند GDPR در این کشور نخواهد داشت و GDPR با وجود جدایی این کشور از اتحادیه اروپا، برای تحقق منافع انگلیس به روند خود ادامه خواهد داد. بنابراین برگزیت بعید است تاثیری در الزامات انطباق با GDPR یک سازمان داشته باشد.

GDPR برای مشاغل به چه معناست؟

آنچه مشخص است GDPR یک قانون واحد در سراسر قاره اروپا وضع می‌کند که برای سازمان‌هایی که در کشورهای عضو اتحادیه اروپا تجارت می‌کنند، اعمال می شود. این بدان معناست که دامنه این قانون فراتر از مرزهای اروپا است، زیرا سازمان‌های بین المللی مستقر در “خاک اروپا” هم باید تمام تلاش خود را به‌منظور انطباق‌پذیری با این قانون رو انجام دهند درغیراین صورت با مشکلات حقوقی بزرگی روبرو خواهند شد.

یکی از امیدها این است که با محدود کردن قوانین محدود داده‌ها با GDPR، می‌توان مزایایی را برای مشاغل کسب کرد. کمیسیون اروپا ادعا می‌کند که با داشتن یک مقام ناظر واحد برای کل اتحادیه اروپا، فعالیت برای تجارت در منطقه را ساده و ارزان می‌کند. درحقیقت، کمیسیون ادعا می‌کند GDPR در سراسر اروپا 2.3 میلیارد یورو در سال صرفه‌جویی خواهد کرد. کمیسیون می‌گوید: “با یکسان‌سازی قوانین اروپا در مورد حفاظت از داده‌ها، قانون‌گذاران در حال ایجاد یک فرصت تجاری و تشویق به نوآوری هستند.”

GDPR برای مصرف کنندگان/شهروندان به چه معناست؟

به دلیل تعداد زیادی از نشت داده‌ها و هک‌های رخ‌داده، واقعیت تأسف‌آور برای بسیاری این است که برخی از داده‌های آنها، اعم از آدرس ایمیل، گذرواژه، شماره تأمین‌اجتماعی یا سوابق محرمانه بهداشتی، در اینترنت و دردسترس عموم است.

یکی از مهمترین تغییراتی که GDPR ایجاد می‌کند این است که این امکان را به مصرف‌کنندگان می‌دهد تا بدانند چه اطلاعاتی از آنها هک و نشت پیدا کرده است. سازمان‌ها موظفند در اسرع وقت مراتب را به نهادهای ملی مناسب اطلاع دهند تا اطمینان حاصل شود كه شهروندان اتحادیه اروپا می‌توانند اقدامات مناسب را برای جلوگیری از سواستفاده از داده‌های خود انجام دهند.

همچنین به مصرف‌کنندگان و شهروندان وعده داده شده‌است که از طریق نحوه پردازش داده‌های شخصی خود، دسترسی آسان‌تری به داده‌های شخصی خود خواهند داشت و سازمان‌ها باید نحوه استفاده از اطلاعات مشتری را به روشی روشن و قابل فهم توضیح دهند.

البته برخی از سازمان‌ها ازقبل به‌منظور اطمینان مشتریان، چنین اقدامی را انجام داده‌اند، هرچند اینکار در حد ارسال ایمیل به مشتریان بوده است. برخی نیز با تماس با مشتریان، به آنها هشدار داده‌اند که مراقب اطلاعات شخصی خود باشند.

آیا ایمیل حفظ حریم خصوصی از طرف یک شرکت واقعی است؟ آیا ممکن است کلاه‌برداری باشد؟

سازمان‌ها درهر اندازه‌ای در تمام بخش‌ها به متشتریان خود ایمیل ارسال می‌کنند و از آنها می‌خواهند برای ادامه دریافت پیام و سایر مطالب بازاریابی، شرکت داشته باشند. در بیشتر موارد اگر مشتری بخواهد در لیست ارسالی باقی بماند فقط لازم است روی بخشی از ایمیل که به شرکت می‌گوید که می‌خواهند در تماس باشند، کلیک کنند.

با این حال، با ارسال ایمیل‌های بسیاری از سازمان‌ها براساس GDPR، مجرمان و کلاه‌برداران این فرصت را برای ارسال ایمیل‌های فیشینگ به‌منظور جلب توجه مردم نسبت به آن درنظر گرفته‌اند. به‌ویژه باتوجه به اینکه مردم بیش از حد معمول از سازمان‌ها ایمیل دریافت می‌کنند.

محققان در Redscan یکی از این کلاه‌برداری‌ها را کشف کردند که مجرمان خود را نماینده Airbnb معرفی می‌کنند و ادعا می‌کنند که کاربر تا پذیرش سیاست حفظ حریم خصوصی جدید، قادر به پذیرش رزروهای جدید یا ارسال پیام به مهمانان احتمالی نخواهد بود. مهاجمان به‌طور خاص سیاست حفظ حریم خصوصی اتحادیه اروپا را به عنوان دلیل ارسال پیام ذکر می‌کنند.

با این حال، افراد پشت این کلاه‌برداری برای سرقت اطلاعات، از قانون GDPR سواستفاده می‌کردند، زیرا درحالی که پیام واقعی Airbnb هیچ اطلاعاتی را درخواست نمی‌کرد، از کسانی که پیام جعلی را دریافت می‌کنند اطلاعات شخصی آنها از جمله اعتبار حساب و کارت پرداخت درخواست می‌شود.

اعلام نشت اطلاعات در GDPR چگونه است؟

قانون GDPR وظیفه‌ای را برای کلیه سازمان‌ها تعیین می‌کند که انواع خاصی از نشت داده‌ها را که شامل دسترسی غیرمجاز یا ازبین رفتن اطلاعات شخصی است را به مقام نظارت مربوطه گزارش دهند. دربرخی موارد، سازمان‌ها همچنین باید افراد تحت‌تاثیر این تخلف و نشت را نیز مطلع کنند.

سازمان‌ها موظفند هرگونه نشت احتمالی مربوط به قرار گرفتن حقوق و آزادی‌های افراد و یا مربوط به تبعیض، آسیب رساندن به اعتبار، ضرر مالی، از دست دادن اطلاعات خصوصی یا هرگونه آسیب اقتصادی و اجتماعی را گزارش دهند.

به‌عبارت دیگر اگر نام، آدرس، اطلاعات مربوط به تولد، سوابق بهداشتی، مشخصات بانکی یا هرگونه اطلاعات خصوصی یا شخصی در مورد مشتریان نشت پیدا کند، سازمان موظف است به افرد آسیب‌دیده و همچنین نهاد تنظیم‌کننده مربوطه اطلاع دهد تا تمام موارد مربوط به محدود کردن آسیب انجام شود.

تحت قانون GDPR، چه زمانی یک سازمان نیاز به اطلاع‌رسانی در مورد نشت اطلاعات دارد؟

نشت اطلاعات باید ظرف مدت 72 ساعت از زمانی که سازمان برای اولین بار از آن مطلع شده است، به نهاد نظارتی مربوطه گزارش شود. در همین حال، اگر این تخلف به اندازه کافی جدی باشد که باید مشتریان نیز مطلع شوند، GDPR می‌گوید که مشتریان نیز باید بدون تاخیر از این مسئله آگاه شوند.

درصورت عدم رعایت قوانین GDPR چه جریمه‌ها و مجازات‌هایی پیش‌بینی شده است؟

عدم رعایت GDPR می‌تواند منجر به جریمه‌ای از 10 میلیون یورو تا چهاردرصد گردش مالی سالانه شرکت شود، رقمی که برای برخی شرکت‌ها می‌تواند میلیاردها دلار باشد. جریمه‌ها به شدت تخلف و اینکه آیا شرکت مقررات مربوط به امنیت را رعایت کرده است یا خیر بستگی دارد، اما امکان جریمه تا حداکثر 20 میلیون یورو نیز وجود دارد.

همچنین جریمه کمتر از 10 میلیون یورو یا دو درصد از گردش مالی در سراسر جهان برای شرکت‌هایی اعمال می‌شود که داده‌ها را به طرق دیگر به اشتباه مدیریت می‌کنند.

بزرگترین جریمه‌های GDPR تاکنون چه مواردی بوده است؟

از ماه می 2019، بیشترین جریمه GDPR صادر شده 50 میلیون یورو بوده است. ناظر محافظت از داده‌های فرانسه (CNIL)، در ژانویه پس از اینکه به این نتیجه رسید که غول موتور جست‌وجو گوگل در حال نقض قوانین GDPR در مورد شفافیت و داشتن یک مبنای قانونی معتبر هنگام پردازش داده‌های افراد برای اهداف تبلیغاتی است، جریمه سنگینی را صادر کرد.

قبل از جریمه گوگل، بالاترین میزان جریمه 400.000 یورو بود که یک بیمارستان به دلیل اقدامات ناکارآمد مدیریت حساب، جریمه شد. البته این احتمال وجود دارد که جریمه‌های بیشتری همچنان در دسترس باشد زیرا ناظران محافظت از داده‌ها در سراسر اروپا در حال بررسی هزاران پرونده هستند.

آیا ما باید یک مسئول حفاظت از داده‌ها تعیین کنیم؟

طبق شرایط GDPR، اگر سازمان پردازش گسترده‌ای از دسته‌های خاص داده‌ها، نظارت گسترده در افراد مانند پیگیری رفتار یک مرجع عمومی را انجام دهد، باید یک مدیر حفاظت از داده (DPO) را منصوب کند.

لازم به ذکر است هیچ معیار مشخصی برای اینکه چه کسی باید DPO باشد یا چه صلاحیت‌هایی باید داشته باشد وجود ندارد، اما طبق دفتر کمیساری اطلاعات، آنها باید تجربه حرفه‌ای و قانون محافظت از داده‌ها متناسب با آنچه سازمان انجام می‌دهد را داشته باشند. همچنین عدم تعیین مامور حفاظت از داده‌ها درصورتی که GDPR آن نیاز دانسته است، می‌تواند به عنوان عدم رعایت قانون و جریمه آن محسوب می‌شود.

انطباق با GDPR چگونه انجام می‌شود؟

ممکن است GDPR پیچیده به نظر برسد اما حقیقت ماجرا این است که در بیشتر موارد این قانون درحال تلفیق اصولی است که در حال حاضر بخشی از قانون محافظت از داده‌های انگلستان است. در این قانون هر مشاغلی باید بداند که دقیقا چه مواردی باید رعایت شود و چه کسی کنترل‌کننده اطلاعاتی است که مسئولیت اطمینان از وقوع آن را برعهده گرفته است.

سازمان ICO انگلیس می‌گوید: از شما انتظار می‌رود اقدامات حاکمیتی جامع اما متناسبی را اعمال کنید. درنهایت، این اقدامات باید خطر نشت و به‌حداقل رساندن حفاظت از اطلاعات شخصی را به حداقل برسانند. عملا این موضوع به معنای سیاست‌ها و رویه‌های بیشتر برای سازمان‌ها است، اگرچه بسیاری از سازمان‌ها از قبل اقدامات حکمرانی خوبی را اعمال می‌کنند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *