GDPR چیست؟
GDPR،
قانونی است که بسیار مورد توجه وزیر ارتباطات قرار گرفت و محمد جواد آذری
جهرمی در روز اجرای آن در قالب یک توئیت نوشت: به اتحادیه اروپا برای اجرای
قانون GDPR تبریک
میگویم، یک قانون جامع برای حفاظت از اطلاعات، من نیز در ماههای آتی
منتظر تصویب لایحه حفاظت از اطلاعات و مذاکرات سازنده با اتحادیه اروپا
درباره کمکهای متقابل قانونی و فنی هستم.
اما قانون GDPR چیست و چه کاربردی دارد که وزیر ارتباطات و فناوری اطلاعات نیز بهدنبال تصویب لایحهای در این زمینه است؟ قانون کلی حفاظت از اطلاعات(GDPR) درواقع بخشی از قوانین اتحادیه اروپا درباره حمایت از حریم شخصی تمام افراد ساکن در این اتحادیه محسوب میشود. همچنین این قانون در زمینه انتشار اطلاعات شخصی در خارج از اتحادیه اروپا و حوزه اقتصادی اروپا نیز کاربرد دارد. موضوعی که از روز ابتدایی اجرای این قانون دردسرهایی را بویژه برای کمپانیهای بزرگی همچون گوگل، فیسبوک اینستاگرام واتساپ ایجاد کرد و«مکس شرمز» وکیل و منتقد معروف، با حضور در دادگاه اروپایی در اتریش شکایت 8.8 میلیارد دلاری را به اتهام نقض GDPR علیه آنها به جریان انداخت.
وی عنوان کرده است این شرکتها در 18 ماه گذشته باید سیاستهای خود را با این قانون منطبق و هماهنگ میکردند ولی این شرکتها از این زمان هیچ استفادهای نکرده و به قانون اتحادیه اروپا اهمیتی ندادهاند. البته بجز فیسبوک سه شرکت دیگر هیچ واکنشی نشان ندادند و تنها مارک زوکربرگ مدیرعامل فیسبوک نوشت: این شکایت از اساس بیمورد است چرا که در این مدت با وسواس بهدنبال فراهم کردن زمینه و بستر اجرای این قانون بودهایم.
البته در این میان اتفاقات دیگری هم افتاد و سایتهایی که هرگز نمیخواستند در اروپا مسدود شوند نیز برای مدتی از دسترس خارج شدند. از این موارد میتوان به برخی سایتهای خبری امریکایی اشاره کرد. بهعنوان مثال وبسایتهای خبری لسآنجلس تایمز، شیکاگو تریبون، «نیویورک دیلی نیوز» برای کاربران اروپایی از دسترس خارجشده و روی صفحه اول برخی از آنها نوشته شده بود ما مشغول تهیه نسخه دیجیتالی توصیهشده برای بازار اتحادیه اروپایی هستیم. این موضوع البته انتقادات گستردهای را به همراه داشت زیرا کاربران معتقد بودند این بهمعنای نقض آزادی بیان و ممانعت از گردش آزاد اطلاعات است.
ممانعت از نقض حریم خصوصیدرواقع قانون حفاظت از دادههای عمومی(GDPR)
بهمنظور حفاظت از اطلاعات کاربران و ممانعت از سرقت یا هرگونه
سوءاستفاده از آن در اروپا به تصویب رسید و به این ترتیب کمپانیهای بزرگ
دیگر نمیتوانند براحتی اطلاعات کاربران استفاده کرده یا آن را در اختیار
شرکتهای واسط تبلیغاتی قرار دهند. به بیان دیگر طبق این قانون مشخص، کاربر
باید از تمام مراحل گردش اطلاعات خود مطلع شود تا فضای مجازی امنتر از
گذشته شود هرچند به این ترتیب، کار برای شرکتهای بزرگ بسیار سخت میشود.
طبق این قانون باید مشخص شود همه اطلاعات شخصی کاربران چه مدت توسط کمپانیها نگهداری شده و این دیتا(Data)
با چه کسانی یا شرکتهایی به اشراک گذاشته میشود. در واقع طبق این قانون،
رضایت کاربر در همه این موارد یک اصل ضروری و اساسی محسوب میشود و
شرکتها بدون اخذ رضایت صریح و آگاهانه از کاربر، حق جمعآوری اطلاعات از
او را ندارند. ازسوی دیگر کاربران شاهد افزایش پیغامهای هشداری هستند و
حالا دیگر کاربران برای دسترسی به سایت باید پیامهای زیادی را تأیید کنند.
کاربران
طبق این قانون حق دارند درخواست یک کپی از اطلاعات خود را داشته باشند و
همچنین در صورت نیاز تقاضا کنند که در یک دوره زمانی مشخص، اطلاعات آنها
پاک شود. شرکتهایی هم که هسته و مبنای کار آنها بهطور سیستماتیک بر اساس
پردازش اطلاعات کاربران است، باید به این خواسته کاربران احترام گذاشته و
به آن پاسخ بدهند. همچنین طبق قانونGDPR، این شرکتها باید یک متخصص حفاظت از اطلاعات و دادهها(DPO) را به استخدام خود درآورند که مسئولیت مدیریت و هماهنگی با قانون حفاظت از اطلاعات GDPR را
به عهده داشته باشد. درواقع میتوان گفت که این شخص رابط قانونگذاران و
کمپانیهای تجاری خواهد بود تا حریم خصوصی کاربران دیگر نقض نشود.
نگرانی شرکتهای کوچک
گفتنی
است کمپانیها و پلتفرمهای تجاری موظف هستند هرگونه نشت اطلاعات که منجر
به نقض حریم خصوصی کاربران شود را حداکثر تا 72ساعت بعد از این اتفاق اعلام
کنند. در قانونGDPR مجازاتهایی
هم برای متخلفان و همچنین کسانی که به مفاد آن احترام نگذاشته و همچنان به
ردیابی اطلاعات کاربران میپردازند درنظر گرفته است. بهعنوان مثال در این
قانون آمده است: اگر سایتی بر خلاف قانون، GDPRاطلاعات
کاربران اروپایی را ردیابی کند، به منزله نقض حریم خصوصی تلقی شده و سایت
مربوطه موظف خواهد شد که معادل 4 درصد از درآمد کل خود یا۲۰ میلیون دلار
(هر کدام بیشتر باشد) را بهعنوان جریمه به اتحادیه اروپا بپردازد؛ رقمی که
اصلاً کم نیست و حتی میتواند یک شرکت تجاری را از پای دربیاورد. این رقم
نشان میدهد که شرکتهای کوچک بیشتر در معرض تهدید قرار دارند و به همین
دلیل هم بسیاری از آنها در واکنش به این موضوع، تصمیم گرفتهاند دسترسی
کاربران اروپایی را به سایتها و خدمات خود محدود کنند که نمونه آن
شرکتهای کوچک سازنده بازیهای آنلاین هستند. برخی نیز معتقدند با حذف
شرکتهای کوچکتر فقط کمپانیهای بزرگ به کار خود ادامه خواهند داد. حال
باید منتظر ماند و دید این قانون بر تعادل بازارهای تجاری چه تأثیری خواهد
گذاشت.
گفتنی است که این قانون از سال 2016 تصویب شد و با تلاشهای مستمر سرانجام پس از 2 سال در 25ماه مه سالجاری میلادی به مرحله اجرایی رسید. البته برای این قانون نیازی نیست که هریک از کشورها برای آن مصوبه داشته باشند و در سرتاسر اروپا اجرای آن الزامی است. لازم به ذکر است که چون بریتانیا در سال 2019 اتحادیه اروپا را ترک خواهد کرد، بنابراین با یک موافقت سلطنتی به این قانون پیوست تا در حفاظت از دادههای کاربران، از همتایان اروپایی خود عقب نماند.
بسیاری معتقدند همین بازوهای اجرایی قوی، تضمینکننده موفق این قانون و کاهش چشمگیر نقض حریم خصوصی در اتحادیه اروپا و حتی فراتر از آن در جهان خواهد شد. برخی نیز چشم انتظار این موضوع هستند که اندکی پس از اجرای این قانون در اروپا، سایر نقاط جهان هم به آن بپیوندند تا شاهد اجرای یک قانون هماهنگ در سراسر دنیا باشیم.