آنچه در این مقاله میخوانید
از ارتباطات شخصی گرفته تا کارهای تجاری، دادهها نقشی اساسی در زندگی ما ایفا میکنند. اهمیت روزافزون دادهها باعث بالارفتن آگاهی در زمینه حریم خصوصی و امنیت شده است.
مقررات عمومی حفاظت از دادهها به عنوان قانون جامع حفاظت از دادهها برای رفع نگرانیها و محافظت از حقوق حریم خصوصی افراد در اتحادیه اروپا (European Union) پدیدار شده است.
مقررات عمومی حفاظت از دادهها (GDPR) چیست؟
اتحادیه اروپا در ۲۵ مه ۲۰۱۸ مقررات عمومی حفاظت از دادهها را برای جایگزینی دستورالعمل حفاظت از دادههای ۹۵/۴۶/EC تصویب کرد. این برنامه برای محافظت از دادههای شخصی و حریم خصوصی شهروندان و کارمندان اتحادیه اروپا و همچنین هماهنگکردن قوانین حفاظت از دادهها در سراسر کشورهای عضو اتحادیه اروپا طراحی شده است.
مقررات عمومی حفاظت از دادهها نقطه عطفی در قانون حفاظت از دادههاست و استاندارد جدیدی را در اتحادیه اروپا و سایر کشورها تعیین میکند. هدف اصلی آن توانمندسازی افراد برای کنترل اطلاعات شخصی و مسئولیتپذیری بیشتر در سازمانهایی است که چنین دادههایی را پردازش میکنند.
مقررات عمومی حفاظت از دادهها برای چه کسانی اعمال میشود؟
مقررات عمومی حفاظت از دادهها برای همه ۲۷ عضو اتحادیه اروپا اعمال میشود. این مقررات نهتنها بر شرکتهای داخل اتحادیه اروپا اعمال میشود بلکه بر مشاغل خارج از اتحادیه اروپا که دادههای مربوط به شهروندان اتحادیه اروپا را پردازش میکنند نیز تأثیر میگذارد.
هر سازمانی که دادههای شخصی شهروندان اتحادیه اروپا را مدیریت میکند، صرف نظر از موقعیت مکانی آن، در صورتی که معیارهای ذکر شده در ماده سه (محدوده سرزمینی یا Territorial scope) را داشته باشد تحت صلاحیت GDPR قرار میگیرد. این دامنه فراسرزمینی برای اطمینان از محافظت از حقوق داده افراد و جدیگرفتن حریم خصوصی دادهها در سراسر جهان در نظر گرفته شده است.
در نتیجه بسیاری از مشاغل خارج از اتحادیه اروپا مجبور شدهاند شیوههای پردازش دادههای خود را ارزیابی کنند، سیاستهای حفظ حریم خصوصی خود را بهروز کنند و اقدامات لازم را برای مطابقت با الزامات GDPR اجرا کنند.
- یادآوری: حتی پس از خروج بریتانیا از اتحادیه اروپا ساکنان بریتانیا همچنان تحتپوشش GDPR هستند. با این وجود استثنائاتی وجود دارد.
- بهعنوان مثال سازمانهایی که کمتر از ۲۵۰ کارمند دارند از ثبت اکثر سوابق معاف هستند (به ماده ۳۰.۵ مراجعه شود). این معافیت در صورتی اعمال نمیشود که پردازش دادههای شخصی:
- خطرات بالقوهای را برای حقوق و آزادیهای صاحبان داده ایجاد کند
- گاهبهگاه انجام نگیرد
- شامل دستهبندیهای دادههای ویژهای باشد که در ماده ۹ ذکر شدهاند
- حاوی اطلاعات شخصی مربوط به سوابق کیفری و جرایم ذکر شده در ماده ۱۰ باشد
اصول مقررات عمومی حفاظت از دادهها چیست؟
GDPR شامل چندین اصل اساسی است که سازمانها باید هنگام پردازش دادههای شخصی به آنها پایبند باشند. این اصول منعکس کننده ارزشهای اصلی حفاظت از دادهها است و در ماده ۵ مقررات مشخص شده است.
- قانونی، منصف و شفاف
سازمانها موظفاند دادههای شخصی را بهطور قانونی پردازش کنند و اطمینان حاصل کنند که انجام این کار مبنای قانونی دارد. آنها باید در مورد فعالیتهای پردازش دادههای خود شفاف باشند و به افراد خود در مورد اهداف و زمینههای قانونی پردازش دادههای خود اطلاع دهند.
- هدف محدود
دادههای شخصی باید برای اهداف مشخص، صریح و قانونی جمعآوری شوند. سازمانها نمیتوانند دادهها را به دلایلی پردازش کنند که با هدف اصلی ناسازگار است.
- به حداقلرساندن دادهها
GDPR از به حداقلرساندن دادهها حمایت میکند، به این معنی که سازمانها فقط باید دادههای شخصی مرتبط، کافی و ضروری برای هدف مورد نظر را جمعآوری و پردازش کنند. جمعآوری دادههای غیر ضروری ممنوع است.
- دقت
سازمانها باید اقدامات معقولی را برای اطمینان از صحت دادههای شخصی انجام دهند و در صورت لزوم آنها را بهروز کنند. دادههای نادرست باید بدون تأخیر، اصلاح یا پاک شوند.
- ذخیرهسازی محدود
دادههای شخصی نباید بیش از حد نیاز نگهداری شوند. سازمانها موظفاند دورههای نگهداری دادهها را بر اساس معیارهای خاص و الزامات قانونی تعیین کنند.
- صادق و محرمانه
مقررات عمومی حفاظت از دادهها بر لزوم محافظت از دادههای شخصی در برابر دسترسی، تغییر یا افشای غیرمجاز تأکید میکند. سازمانها باید اقدامات فنی و سازمانی مناسب را برای محافظت از یکپارچگی و محرمانهبودن دادهها اجرا کنند.
- پاسخگو
شاید پاسخگویی از مهمترین اصول مقررات عمومی حفاظت از دادهها باشد. سازمانها مسئول انطباق با مقررات هستند و ملزم به نگهداری سوابق فعالیتهای پردازش دادههای هستند.
الزامات مقررات عمومی حفاظت از دادهها چیست؟
GDPR شامل ۱۱ فصل است که سازمانها باید هنگام پردازش دادههای شخصی به آنها پایبند باشند. این اصول منعکسکننده ارزشهای اصلی حفاظت از دادهها است.
فصل ۱: مقررات عمومی (ماده یک تا چهار)
- فصل اول اهداف مقررات و همچنین تعاریف اصطلاحات کلیدی مورد استفاده در GDPR را ارائه میدهد.
فصل ۲: اصول (ماده ۵ تا ۱۱)
- فصل دو اصولی را که باید بر پردازش دادههای شخصی حاکم باشد تشریح میکند.
فصل ۳: حقوق صاحبان داده (ماده ۱۲ تا ۲۳)
- فصل سه حقوق افراد را در مورد دادههای شخصی خود، از جمله حق اطلاعرسانی، دسترسی، اصلاح، پاککردن (حق فراموششدن)، محدودیت پردازش، قابلیت انتقال دادهها و اعتراض به آن تعیین میکند.
فصل ۴: کنترلکننده و پردازشگر (ماده ۲۴ تا ۴۳)
- فصل چهار مسئولیتهای کنترلکنندههای داده و پردازشگرهای داده را تعریف میکند. در صورت نقض اطلاعات شخصی، کنترلکننده باید حداکثر ۷۲ ساعت پس از اطلاع از آن به مقامات نظارتی اطلاع دهد. این فصل همچنین اجرای اقدامات مناسب برای اطمینان از حفاظت از دادهها و حریم خصوصی را پوشش میدهد.
فصل ۵: انتقال دادههای شخصی به کشورهای ثالث یا سازمانهای بینالمللی (ماده ۴۴ تا ۵۰)
- فصل پنج شرایط انتقال دادههای شخصی به خارج از اتحادیه اروپا برای اطمینان از سطح کافی حفاظت را پوشش میدهد.
فصل ۶: مراجع نظارتی مستقل (ماده ۵۱ تا ۵۹)
- فصل شش نقش و اختیارات مقامات مستقل حفاظت از دادهها در هر کشور عضو اتحادیه اروپا را تشریح میکند. این مقامات مسئول نظارت و اجرای کاربرد GDPR در حوزههای قضایی مرتبط هستند.
فصل ۷: همکاری و ثبات (ماده ۶۰ تا ۷۶)
- فصل هفت همکاری بین مقامات نظارتی را ترویج میکند و تضمین میکند که حفاظت از دادهها به شیوهای هماهنگ اجرا میشود بهویژه در مواردی که شامل چندین کشور عضو اتحادیه اروپا با فعالیتهای فراتر از مرزهای ملی است.
فصل ۸: جبران خسارت، مسئولیتها و مجازاتها (ماده ۷۷ تا ۸۴)
- فصل هشت پیامدها و اقداماتی را که میتوان در صورت عدم رعایت مقررات عمومی حفاظت از دادهها انجام داد، همچنین حقوق صاحبان دادهها برای درخواست جبران خسارت و جبران خسارت برای نقض حقوق حفاظت از دادههای خود را تشریح میکند.
فصل ۹: موقعیتهای خاص پردازش دادهها (ماده ۸۵ تا ۹۱)
- فصل نه به موقعیتهای خاص پردازش دادهها از جمله پردازش برای اهداف روزنامهنگاری و استثنائات برای قوانین خاص ملی میپردازد.
فصل ۱۰: تفویض و اجرای قوانین (مادههای ۹۲ و ۹۳)
- فصل ده به امکان تصویب قوانین تفویضشده و اجرایی کمیسیون اروپا برای تکمیل مقررات عمومی حفاظت از دادهها میپردازد.
فصل ۱۱: مقررات نهایی (ماده ۹۴ تا ۹۹)
- فصل آخر شامل مقررات متفرقهای مانند تفویض قدرت به کمیسیون اروپا، رویههای کمیته و مجوز اعضای اتحادیه اروپا برای حفظ یا معرفی شرایط بیشتر برای موقعیتهای خاص پردازش دادهها است.
عواقب عدم انطباق چیست؟
ردیف اول: جریمههای GDPR به گونهای طراحی شدهاند که تأثیر قابلتوجهی بر عدم رعایت قوانین داشته باشند. این جریمهها بر اساس شدت تخلف به دو سطح طبقهبندی میشوند.
ردیف دوم: جریمه برای تخلفات با شدت کمتر میتواند ۱۰ میلیون یورو یا دو درصد از درآمد سالانه شرکت از سال مالی قبل، هر کدام که بیشتر بود، باشد.
در موارد تخلفات جدیتر جریمه میتواند به حداکثر ۲۰ میلیون یورو یا چهار درصد از درآمد سالانه شرکت از سال قبل برسد باز هم بسته به اینکه کدام مبلغ بیشتر است.
بزرگترین جریمههای GDPR
در اینجا سه جریمه برتر GDPR آورده شده است. تأکید آنها بر اهمیت شیوههای قوی حفظ حریم خصوصی دادهها، انطباق با مقررات بینالمللی حفاظت از دادهها و نیازمندی کسبوکارها در هنگام رسیدگی به دادههای مربوط به گروههای آسیبپذیر است.
۱. ۱.۲ میلیارد یورو – جریمه Meta GDPR
سازمان حفاظت از دادههای ایرلند (Irish Data Protection Authority) پس از بررسی سرویس فیسبوک خود جریمه ۱.۲ میلیارد یورویی علیه Meta Platforms Ireland Limited (Meta IE) وضع کرده است. این مجازات که مهمترین مجازات تحت GDPR تا به امروز است برای انتقال دادههای شخصی متا به ایالات متحده با استفاده از بندهای قراردادی استاندارد (Standard Contractual Clauses) از ۱۶ ژوئیه ۲۰۲۰ به بعد بود. متا اکنون ملزم است انتقال دادههای خود را با مقررات GDPR هماهنگ کند.
۲. ۷۴۶ میلیون یورو – آمازون
وبسایت آمازون در ۱۶ ژوئیه ۲۰۲۱ از کمیسیون ملی حفاظت از دادههای لوکزامبورگ (Luxembourg National Commission for Data Protection) به دلیل نقض GDPR جریمه ۷۴۶ میلیون یورویی (۸۸۸ میلیون دلار) دریافت کرد. این مجازات پس از شکایت جمعی ۱۰۰۰۰ نفر علیه آمازون که در ماه مه ۲۰۱۸ از طریق سازمان حقوق دیجیتال فرانسوی La Quadrature du Net آغاز شد، اعمال شد.
۳. ۴۰۵ میلیون یورو – جریمه Meta GDPR
متا در ۳ سپتامبر ۲۰۲۲ پس از تحقیقات دو ساله ناظران ایرلندی به دلیل اجازهدادن به نوجوانان برای راهاندازی حسابهایی که شماره تلفن و آدرس ایمیل آنها را به صورت عمومی نمایش میداد ۴۰۵ میلیون یورو جریمه شد.
۸ مرحله برای تطبیق با مقررات عمومی حفاظت از دادهها
۱. آگاهی
اطمینان حاصل کنید که تصمیمگیرندگان و افراد کلیدی از جزئیات GDPR و پیامدهای آن آگاه هستند.
۲. ممیزی دادهها
مستند کنید که چه اطلاعات شخصی در اختیار دارید، از کجا آمده است و با چه کسی آن را به اشتراک میگذارید.
۳. اعلامیههای حریم خصوصی
اعلامیههای حریم خصوصی و رویههای رسیدگی به درخواستها را مرور و بهروز کنید.
۴. مبنای قانونی پردازش
مبنای قانونی پردازش دادههای شخصی را شناسایی کرده و آن را مستند کنید.
۵. رضایت
نحوه جستجو، ثبت و مدیریت رضایتها را مرور کنید.
۶. نقض دادهها
مطمئن شوید که رویههای مناسبی برای شناسایی، گزارش و بررسی نقض دادههای شخصی دارید.
۷. افسران حفاظت از دادهها (Data Protection Officers)
افسران حفاظت از دادههایی را مشخص کنید تا اطمینان حاصل شود که سازمان به اصول و قوانین مشخص شده در GDPR پایبند است.
۸. ملاحظات بینالمللی
اگر در بیش از یک کشور عضو اتحادیه اروپا فعالیت میکنید مرجع نظارتی حفاظت از دادههای اصلی خود را تعیین کنید.
- مقررات عمومی حفاظت از دادهها (GDPR) برای چه سازمانهایی اعمال میشود؟
مقررات عمومی حفاظت از دادهها برای تمامی سازمانهایی اعمال میشود که دادههای شخصی شهروندان اتحادیه اروپا را پردازش میکنند، صرفنظر از اینکه در داخل یا خارج از اتحادیه اروپا مستقر باشند. حتی مشاغل خارج از اتحادیه اروپا نیز باید با این مقررات سازگار شوند، در صورتی که دادههای شهروندان اتحادیه اروپا را پردازش کنند یا کالا و خدماتی به این افراد ارائه دهند.
- چه مجازاتی برای عدم انطباق با GDPR در نظر گرفته شده است؟
عدم انطباق با GDPR میتواند منجر به جریمههای سنگین شود. این جریمهها به دو سطح تقسیم میشوند: سطح اول شامل جریمههایی تا ۱۰ میلیون یورو یا ۲ درصد درآمد سالانه شرکت است، هرکدام که بیشتر باشد. سطح دوم شامل جریمههایی تا ۲۰ میلیون یورو یا ۴ درصد درآمد سالانه شرکت میشود، باز هم هرکدام که بیشتر باشد.
- اصول اساسی GDPR چیست؟
اصول GDPR شامل پردازش دادهها به شکلی قانونی، منصفانه و شفاف است. همچنین دادهها باید برای اهداف مشخص و قانونی جمعآوری شوند و تنها اطلاعات مرتبط و ضروری پردازش شود. دقت و صحت دادهها باید تضمین شود و دادههای شخصی تنها به مدت موردنیاز نگهداری شوند. همچنین، سازمانها باید اطمینان حاصل کنند که دادهها از دسترسی یا افشای غیرمجاز محافظت میشوند.
این مقاله را به اشتراک بگذارید
