قانون حریم شخصی GDPR چیست؟ و شما چه کاری باید انجام دهید؟

قانون حریم شخصی GDPR (General Data Protection Regulation) قانونی است که چند روز پیش تصویب شد و به سرعت به اجرا گذاشته شد. ممکن است طی چند روز گذشته متوجه شده باشید که اکثر شرکت‌های اینترنتی مانند گوگل که در ‌آن‌ها عضو هستید در حال به روز کردن قرارداد دوطرفه خود با کاربر هستند و ممکن است چندین ایمیل از شرکت‌ها دریافت کرده باشید.

این قانون تازه، در تاریخ 25 می 2018 مصادف با 4 خرداد 1397 شروع به کار کرده و به دنبال آن است که از اطلاعات و حریم شخصی کاربران اتحادیه اروپا حمایت کند، اما با این حال شامل دیگر کشورها به شیوه‌های مختلفی نیز خواهد شد و از آن‌جای که اکثر شرکت‌های بزرگ تکنولوژی چند ملیتی هستند و در اکثر دنیا حضور دارند، این قانون بر بسیاری از فعالیت‌های روزانه ممکن است تاثیرگذار باشد.

از زمان تولد اینترنت، شرکت‌ها تا حد ممکن موفق به کسب و استخراج اطلاعات از تمامی اشخاص بوده‌اند. استخراج اطلاعات و آرشیو کردن آن‌ها امر سختی برای یک کمپانی بزرگ محسوب نمی‌شود و به خاطر این سادگی این شرکت‌ها دلیلی برای انجام ندادن آن پیدا نکرده‌اند.

چرا قانون حریم شخصی تصویب شد؟

اما یکی از دلایلی که قانون حریم شخصی به خاطر حل آن تصویب شده این است که در چندین سال اخیر بسیاری از کمپانی‌ها در محافظت از این اطلاعات موفقیت زیادی نداشته‌اند و برخی نیز در پی منافع خود از این اطلاعات استفاده کرده‌اند. به عنوان مثال شرکت کمبریج آنالیتیکا (The Cambridge Analytica) به عنوان یک رسوایی بزرگ یاد خواهد شد. در این مورد، یک محقق از یک سری سوال ساده در سطح فیسبوک استفاده کرد تا اطلاعات مشخصی از چندین میلیون کاربر جذب کند و آن اطلاعات را به یک شرکت مشاوره فروخت. شرکت اکویفاکس (Equifax) نیز سال پیش دچار یک هک شدید شد و اطلاعاتی که از آن درز کرد می‌توانست در پی رسیدن به کاربر اعتباری کاربران منجر شود. این‌ها تنها مسائلی بودند که سر و صدای زیادی بر پا کرده‌اند و کمپانی‌ها مدت مدیدی است که در حال فروش اطلاعات شما به کمپانی‌های شخص ثالث مانند کمپانی‌های تبلیغاتی هستند.

با چنین شرایطی، اتحادیه اروپا دست به کار شده و با نگاهی به شرایط و با وضع کردن قانون حریم شخصی قصد دارد تا مسائل را سامان بخشد. تحت این قانون تازه، کمپانی‌هایی که از اطلاعات مصرف‌کنندگان به خوبی حفاظت نکنند و یا به نحوی آن را در راهی غلط استفاده کنند، با جریمه‌های سنگینی روبرو خواهند شد.

چه چیزی اطلاعات شخصی محسوب می‌شود؟

قانون حریم شخصی از اطلاعات و دیتا شخصی حمایت می‌کند و این اطلاعات شامل تمام اطلاعاتی است که به یک شخص بازخواهد گشت. چنین دسته‌بندی بسیار گسترده است. در حقیقت، اطلاعات شخصی شامل این گزینه‌ها می‌شود:

• اطلاعات بیوگرافیک مانند نام، آدرس، شماره تلفن، شماره ملی و…
• اطلاعات مربوط به ظاهر فیزیکی و همچنین رنگ مو، نژاد و قد
• اطلاعات در مورد تحصیلات شما علاوه بر سابقه کاری، حقوق، مدرک دانشگاهی، شماره مالیاتی و…
• هر اطلاعاتی که مربوط به سوابق پزشکی شما باشد
• همچنین تاریخچه تماس، پیام‌های خصوصی و لوکیشن‌های جغرافیایی

این لیست طبیعتاً لیست کاملی نیست و نیازمند کار کردن است اما مسئله اصلی شناخت یک نکته کلیدی است. هر اطلاعات و دیتایی که باعث شود شما شناخته شوید در بین این دسته محسوب می‌شود. در بعضی از موارد نام شما هویت شما را فاش خواهد کرد، اما گاهی اوقات نام شما ممکن است خیلی عمومی باشد و اینجا نیاز به اطلاعاتی همچون رنگ مو است.

قانون حریم شخصی چه خواهد کرد؟

قانون حریم شخصی به ساکنین اتحادیه اروپا که اطلاعاتشان توسط شرکت‌ها ذخیره می‌شود هشت حق اساسی را اعطا می‌کند. این قوانین شامل گزینه‌های زیر هستند:

• حق مطلع شدن: اگر یک کمپانی اطلاعات شما را ثبت و ذخیره می‌کند، باید به کاربر اطلاع بدهد و دلیل این ذخیره اطلاعات را اعلام کند و همچنین باید نحوه و دلیل استفاده و زمان نگه‌داری اطلاعات نیز روشن باشد. اگر این اطلاعات قرار است با شرکت‌های دیگری نیز به اشتراک گذاشته شود باید کاربر از این امر مطلع باشد. چنین اطلاع‌رسانی‌هایی نباید در پایین‌ترین و ناپیداترین بخش شرایط استفاده از خدمات (Terms of Service) دفن شده باشد و باید در مکانی مجزا و به زبانی ساده عرضه شوند.
• حق دسترسی داشتن: اگر یک کاربر از شرکتی اطلاعات خود را درخواست کند، سازمان مربوطه که اطلاعات را جمع‌آوری کرده موظف است در طی حداکثر یک ماه اطلاعات را در اختیار کاربر قرار دهد.
• حق اصلاح کردن: اگر یک کاربر مطلع شود که اطلاعات او در سیستمی به غلط ثبت شده است و نادرست است، می‌تواند از شرکت درخواست کند تا اطلاعات او را اصلاح کند و سازمان نیز یک ماه فرصت دارد تا این کار را انجام دهد.
• حق پاک کردن: یک کاربر می‌تواند در شرایطی خاصی از سازمان درخواست کند که اطلاعات جمع‌آوری شده را تماماً پاک کند. به عنوان مثال اگر دیگر جمع‌آوری اطلاعات نیاز نیست و اگر کاربر قرارداد استفاده خود را لغو می‌کند.
• حق محدود کردن استفاده: اگر یک شرکت به دلایل قانونی مانند نیاز به ارائه اطلاعات شما به دادگاه قانون عاجز از پاک کردن آن باشد، می‌توانید درخواست کنید که محدوده استفاده از اطلاعات شما را کوچک‌تر کند و اطلاعات شما در سطح کوچک‌تری مورد مصرف قرار گیرد.
• حق جا‌به‌جایی: کاربر حق این را دارد که اطلاعات شخصی خود را از روی یک سرویس بردارد و آن را بر روی سرویس دیگری استفاده کند.
• حق اعتراض: اگر داده‌ای بدون اطلاع و برای اهداف تجاری، بهبود جامعه و یا درخواست یک شخص اجرایی رسمی دریافت و ذخیره شود، کاربر می‌تواند اعتراض داشته باشد. در این صورت سازمان باید پردازش داده‌ها را متوقف کند و این توقف تا زمانی ادامه پیدا می‌کند که شرکت بتواند دلیلی منطقی و قانع کننده برای کار خود پیدا کند.
• حق اعتراض به تصمیمات اتوماتیک: با قانون حریم شخصی، کاربر می‌تواند به برخی تصمیمات اتوماتیک سیستم در رابطه با اطلاعات شما اعتراض کند و خواستار توضیحات کافی باشد.

بخش دیگری از این قانون این است که کمپانی‌ها علاوه بر اینکه باید دلیل قانونی داشته باشند بلکه باید مسیر قانونی را طی کنند تا داده شما را جمع‌آوری و پردازش کنند. یکی از راه‌های قانونی جمع‌آوری و استفاده از داده این است که رضایت شما را جلب کرده‌اند. اما در بسیاری از موارد باید مراحل قانونی طی شود و یا اینکه جمع‌آوری اطلاعات هدف کمک به اجتماع را داشته باشد.

همانطور که مشاهده کردید حقوقی که به شهروندان اروپایی تعلق می‌گیرد بسیار زیاد و گسترده است و این باعث شده تا شرکت‌هایی که تا پیش از این بی هدف داده جمع‌آوری می‌کردند به خود بیایند و از خود بپرسند که چرا این اطلاعات را ذخیره می‌کنند. روزهایی که یک شرکت بی هیچ دلیل مشخصی داده شما را ذخیره می‌کرد تا روزی شاید به کارش بیاید دیگر تمام شده است. حداقل می‌توان این را در مورد اروپا مطمئن بود.

در پی تصویب این قانون، کمپانی‌ها همگی شروع به کار کرده‌اند و در حال ایمیل رساندن و اطلاع رسانی به کاربران از سیاست‌های جدید خود هستند. ترسی بین شرکت‌ها به وجود آمده، چون پیروی نکردن از این قوانین جریمه سختی را دارد. در بعضی موارد یک سازمان تا 20 میلیون پوند یا 4 درصد از درآمد سالانه (هر کدام که بیشتر باشد) خود را باید صرف پرداخت جریمه کند. اگر شرکتی مانند آمازون یا گوگل درگیر این جریمه شود ممکن است میلیاردها دلار جریمه پرداخت کند.

قانون حریم شخصی چه کار برای کاربران غیراروپایی خواهد کرد؟

در کل مطلب به این اشاره شد که کاربران اروپایی چه منفعتی از این قانون خواهند دارد. این قانون در حال حاضر برای شهروندان دیگر کشورها مانند آمریکا تصویب نشده و شما نیز اگر شهروند اروپا نباشید به صورت قانونی نمی‌توانید از این قوانین بهره ببرید. اما اگر ایمیلی مبنی بر به روز شدن سیاست جمع آوری اطلاعات گوگل دریافت کرده‌اید بدین خاطر است که یک سازمان نمی‌تواند بفهمد شما شهروند اروپا هستید یا خیر! بدین ترتیب ممکن است شما مراحل قانونی را نتوانید طی کنید اما همچنان بسیاری از شرکت‌ها مجبور می‌شوند سیاست خود را به صورت کلی تغییر دهند که این کل جهان را شامل می‌شود. همچنین صحبت‌هایی برای دریافت این حقوق برای شهروندان غیراروپایی نیز شروع شده است. برای یک شرکت راحت‌تر نیز خواهد بود که یک مجموعه قوانین را برای کل مردم جهان اتخاذ کند.

همین چند روز پیش اپل یک پرتال حریم شخصی را راه‌اندازی کرده که کاربران می‌توانند تمامی داده خود را دانلود کنند و حتی از حساب خود پاک کنند. فعلا تنها کاربران اروپایی از این سیستم استفاده می‌کنند اما اپل قصد دارد تا سرویس به سرتاسر جهان تا ماه‌های آینده عرضه کند. همچنین فیس‌بوک نیز می‌خواهد قانون حریم شخصی را در سیستم کاری خود اجرا کند و به همه کاربران دنیا این حقوق را عرضه کند.

به این ترتیب شما لازم نیست کار خاصی انجام دهید و ایمیل‌هایی که احتمالاً از طرف سرویس‌های مختلف برای شما ارسال شده است تنها برای اطلاع‌رسانی اعمال قوانین GDPR در آن سرویس‌هاست.