GDPR مخفف عبارت General Data Protection Regulation است. GDPR یک مقررات حفاظتی اتحادیه اروپا است که در 25 مه 2018 لازم‌الاجرا شد. این مقررات برای همه سازمان‌هایی که داده‌های شخصی ساکنان اتحادیه اروپا را پردازش می‌کنند اعمال می‌شود. این بدان معناست که شرکت های اتحادیه اروپا و خارج از آن تحت تأثیر قرار می گیرند. GDPR سخت ترین و پیچیده ترین مقررات حفاظت از داده های شخصی در جهان است.

انواع داده ها

دو نوع داده وجود دارد – شخصی و غیر شخصی.

اطلاعات شخصی

داده های شخصی هر گونه اطلاعاتی است که می تواند به طور مستقیم یا غیرمستقیم به یک شخص حقیقی شناسایی شده یا قابل شناسایی منجر شود. مقررات عمومی حفاظت از داده ها از اصطلاح «اطلاعات» به جای «داده» استفاده می کند زیرا داده ها دارای ارزش اطلاعاتی هستند. هر نوع اطلاعات شخصی را می توان به یک فرد زنده خاص مرتبط کرد.

داده های غیر شخصی

داده های غیر شخصی هرگز به یک شخص حقیقی شناسایی شده یا قابل شناسایی مرتبط نمی شوند. این دسته شامل داده‌هایی است که قبلاً به‌عنوان شخصی طبقه‌بندی شده‌اند، اگرچه ارتباط با یک شخص طبیعی حذف شده است.

پردازش اطلاعات شخصی چیست

انواع مختلفی از اقدامات با داده های شخصی به عنوان پردازش داده های شخصی در نظر گرفته می شود: جمع آوری، ثبت، سازماندهی، ساختار، ذخیره سازی، تطبیق یا تغییر، بازیابی، مشاوره، استفاده، افشا از طریق انتقال، انتشار یا در دسترس قرار دادن، تراز یا ترکیب، محدودیت، پاک کردن یا تخریب

قوانین GDPR برای شرکت‌هایی اعمال می‌شود که داده‌های شخصی را به طور کامل یا جزئی، به صورت خودکار یا دستی پردازش می‌کنند، یا اگر داده‌ها بخشی از یک سیستم بایگانی ساختاریافته باشند.

نمونه هایی از داده های شخصی

مقررات عمومی حفاظت از داده ها در مورد پردازش داده های شخصی اعمال می شود. شرکت ها باید از داده های شخصی زیر محافظت کنند:

• اطلاعات شخصی کارکنان (نام، آدرس، تاریخ تولد و غیره)
• اطلاعات در مورد مشتریان / بیماران / ساکنان (پایگاه های اطلاعاتی بازاریابی، سوابق پزشکی، لیست تماس)
• داده های شخصی غیر عمومی شرکای تجاری و ارائه دهندگان
• داده های شخصی که به اشخاص ثالث منتقل و پردازش می شوند (دفترهای حسابداری، ثبت اعتبار، بازاریابی مستقیم)
• تصاویر و صداهای ضبط شده
• داده های رمزگذاری شده (آدرس های IP، آدرس های MAC، کوکی ها در صورتی که بتوان آنها را به یک شخص حقیقی مرتبط کرد)
• عکس افراد
• ضبط های ویدئویی

در مورد حفاظت از داده‌ها بیشتر بخوانید

هدف از GDPR

هدف از مقررات عمومی حفاظت از داده ها، حفظ حریم خصوصی شهروندان است. بنابراین، شرکت‌ها موظف به حفاظت از اطلاعات شخصی این شهروندان هستند و نمی‌توانند بدون رضایت آنها، آن‌ها را پردازش یا به اشخاص ثالث بفروشند.

در گذشته، شرکت‌ها داده‌ها را بدون رضایت سوژه‌های داده به یکدیگر می‌فروختند. هدف GDPR ایجاد یک استاندارد یکسان برای حفاظت از داده های شخصی در اتحادیه اروپا است.

یکی دیگر از اهداف GDPR مدرن کردن قوانین قبلی است تا آنها را با جامعه دیجیتال مدرن هماهنگ کند.

حقوق فرد

GDPR برای کمک به شهروندان اتحادیه اروپا در درک نحوه استفاده از داده های آنها و نحوه ثبت شکایات در نظر گرفته شده است. هدف این است که افراد بر داده های شخصی خود کنترل داشته باشند. شهروندان از حقوق زیر برخوردارند:

• حق مطلع شدن
• حق دسترسی
• حق اصلاح
• حق پاک کردن/فراموش شدن
• حق محدود کردن پردازش
• حق انتقال داده ها
• حق اعتراض و حقوق در رابطه با تصمیم گیری و پروفایل خودکار

محدوده GDPR

مقررات عمومی حفاظت از داده‌ها بر همه سازمان‌هایی که داده‌های شخصی شهروندان اتحادیه اروپا را پردازش می‌کنند، از جمله هر شرکتی که کالا و خدمات ارائه می‌دهد یا افرادی را در اتحادیه اروپا استخدام می‌کند، حتی اگر یک نهاد در خارج از اتحادیه اروپا مستقر باشد، تأثیر می‌گذارد.

GDPR برای شرکت ها، انجمن ها، سازمان ها، مقامات و در برخی موارد افراد خصوصی اعمال می شود.

GDPR کل اتحادیه اروپا را پوشش می دهد و برای همه کشورهای عضو اعمال می شود و کشورهای منطقه اقتصادی اروپا مانند ایسلند، لیختن اشتاین، نروژ و بریتانیا را پوشش می دهد.

هفت اصل GDPR

GDPR بر پایه هفت اصل برای پردازش داده های شخصی است.

• قانونمندی، انصاف و شفافیت
• محدودیت هدف
• به حداقل رساندن داده ها
• دقت
• محدودیت ذخیره سازی
• صداقت و رازداری (امنیت)
• مسئوليت

نقض GDPR – جریمه

در صورت نقض GDPR، دو نوع جریمه وجود دارد که ممکن است شرکت ها مجبور به پرداخت آن باشند.

سطح پایین تر تا 10 میلیون یورو یا 2 درصد از درآمد سالانه جهانی از سال قبل است، بسته به اینکه کدامیک بیشتر باشد. تخلفات مرتبط با نگهداری سوابق، امنیت داده ها و غیره
سطح بالا تا 20 میلیون یورو یا 4 درصد از کل درآمد جهانی سال مالی قبل است، بسته به اینکه کدامیک بیشتر باشد. این جریمه‌ها معمولاً برای نقض‌های مربوط به اصول حفاظت از داده‌ها، مبنای قانونی پردازش، ممنوعیت پردازش داده‌های حساس، محرومیت از حقوق موضوع داده‌ها یا انتقال داده‌ها به کشورهای غیر اتحادیه اروپا صادر می‌شوند.
جریمه های GDPR برای همه انواع مشاغل، از بزرگ تا کوچک اعمال می شود.

جریمه ها برای هر مورد جداگانه تعیین می شوند و باید مؤثر، متناسب و بازدارنده باشند. یک کاتالوگ از معیارها وجود دارد که برای تعیین جریمه مناسب بالا استفاده می شود. معیارهای زیر در نظر گرفته شده است:

• آیا تخلف عمدی بوده است
• تعداد افراد تحت تاثیر
• این شرکت چه نوع اقداماتی را برای کاهش خسارت انجام داده است
• سطح همکاری با مقامات و غیره

تفاوت در GDPR در اتحادیه اروپا

BDSG آلمان

زمانی که GDPR لازم الاجرا شد، قانون جدید حفظ حریم خصوصی آلمان (BDSG-new) نیز اعمال شد. GDPR را تکمیل، مشخص و اصلاح می کند و بر موضوعات خاص تمرکز می کند. BDSG-new برای شرکت‌های خصوصی که در آلمان مستقر هستند و داده‌های شخصی را در آلمان پردازش می‌کنند، اعمال می‌شود، اما همچنین برای شرکت‌هایی که کالاها و خدماتی را در آلمان ارائه می‌کنند یا بر رفتار سوژه‌های داده در آلمان نظارت می‌کنند.

پنج قانون حفظ حریم خصوصی در جهان مشابه GDPR

برزیل

برزیل LGPD را در سپتامبر 2020، درست پس از GDPR راه اندازی کرد. از نظر وسعت و کاربرد بسیار شبیه هم هستند. شرکت هایی که می خواهند در اقتصاد برزیل تجارت کنند باید LGPD را رعایت کنند.

آفریقای جنوبی

قانون حفاظت از اطلاعات شخصی آفریقای جنوبی (POPIA) از ژوئیه 2020 قابل اجرا است. چند تفاوت بین GDPR و POPIA در مورد سخت گیرانه بودن قوانین وجود دارد. GDPR جریمه های بالاتری دارد، اما POPIA شامل اتهامات جنایی نیز می شود.

ترکیه

قانون ترکیه در مورد حفاظت از داده های شخصی (LPDP) از سال 2016 چندین بار اصلاح شده است و به GDPR نزدیک می شود، به خصوص در مورد پردازش داده های شخصی.

ایالات متحده آمریکا

هر ایالت قوانین حریم خصوصی خود را دارد. در ایالت نیویورک 23 NYCRR 500 وجود دارد که برای مؤسسات مالی فعال در نیویورک اعمال می شود. در کالیفرنیا، قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA) وجود دارد که بسیار شبیه GDPR است.

CCPA در نظر گرفته شده است تا با ارائه روشی مؤثر برای کنترل اطلاعات شخصی مصرف‌کنندگان، حق قانونی را برای حفظ حریم خصوصی مصرف‌کنندگان افزایش دهد. این لایحه توسط قانونگذار ایالتی کالیفرنیا تصویب شد و در ژانویه 2020 لازم الاجرا شد.

تایلند

در فوریه 2019، قانون حفاظت از داده های شخصی تایلند (PDPA) تصویب شد، اما تاریخ اجرای آن به تعویق افتاد. این قانون از 1 ژوئن 2022 لازم الاجرا خواهد بود. PDPA مانند GDPR است که شامل تعریف گسترده ای از داده های شخصی، الزام ایجاد مبنای قانونی برای جمع آوری و استفاده از داده های شخصی، و مجازات های بالا برای نقض است. . جریمه ها کمتر است، هرچند امکان حبس وجود دارد.

3 جریمه بزرگ GDPR

شماره 1 آمازون – جریمه 746 میلیون یورویی

یک جریمه 746 میلیون یورویی توسط کمیسیون ملی حفاظت از داده لوکزامبورگ (CNDP) برای Amazon.com Inc صادر شد. تحقیقات به دلیل شکایتی که 10000 نفر علیه آمازون در ماه می 2018 ارائه کردند، آغاز شد. CNPD دریافت که آمازون GDPR را نقض کرده است. زمانی که سیستم هدف گذاری تبلیغاتی آن موفق به کسب رضایت مناسب از کاربران نشد.

شماره 2 WhatsApp – جریمه 225 میلیون یورویی

کمیسیون حفظ حریم خصوصی داده های ایرلند (DPC) در 2 سپتامبر 2021 یک جریمه GDPR برای WhatsApp Ireland صادر کرد. اصل شفافیت توسط WhatsApp Ireland Ltd نقض شد و این شرکت اطلاعات مناسبی را به کاربران ارائه نکرد. در سال 2021، واتس اپ اعلامیه حریم خصوصی کاربران خود را برای افزایش شفافیت در مورد پردازش داده های شخصی کاربران به روز کرد.

شماره 3 Google LLC – جریمه 90 میلیون یورویی

CNIL (کمیسیون ملی اطلاعات و آزادی‌ها) 90 میلیون یورو جریمه برای Google LLC صادر کرد. کاربران یوتیوب در فرانسه اجازه نداشتند به راحتی کوکی ها را قبول کنند. وقتی کاربران از امتناع کوکی ها منصرف شوند، شرکت سود می برد و این یک نقض GDPR محسوب می شود.

5 مرحله برای ایمن سازی داده ها برای انطباق با GDPR

1. انجام ممیزی داده ها

شما باید بدانید که شرکت شما چه نوع داده های شخصی تولید می کند و اطلاعات در کجا ذخیره می شود.

2. اجرای دستورالعمل های رسیدگی به اسناد

مجموعه ای از قوانین را ایجاد کنید که مشخص می کند چگونه می توان از داده های شخصی استفاده کرد.

3. کارمندان خود را آموزش دهید

هر کارمند باید از نحوه مدیریت داده های شخصی آگاه باشد.

4. داده های خود را رمزگذاری کنید

GDPR توصیه می کند که همه رسانه ها و دستگاه های خارجی باید رمزگذاری شوند.

5. از داده های خود در برابر نشت و تهدیدات داخلی محافظت کنید

پیشگیری از از دست دادن داده ها یک استراتژی جامع است که نه تنها به دلیل GDPR بلکه باید اجرا شود زیرا داده ها یکی از با ارزش ترین دارایی های شرکت ها هستند. داده ها و روش های ارتباطی خود مانند ایمیل، فضای ذخیره سازی ابری، پیام رسان های فوری، چاپ، درایوهای USB، دستگاه های تلفن همراه و غیره را ایمن کنید.

چگونه با Safetica با GDPR هماهنگ شویم

Safetica به شما کمک می کند تا جریان داده را در محیط IT خود و همچنین زمانی که از محیط شرکت شما خارج می شود نظارت کنید. می توانید قوانین خاصی را تنظیم کنید که به شما کمک می کند تا از GDPR پیروی کنید. شما می‌توانید ببینید که کارمندان چگونه با داده‌های شخصی و سایر داده‌های حساس کار می‌کنند و به شما امکان می‌دهد خطر سوءاستفاده یا نقض تصادفی خط‌مشی را از بین ببرید. این سیستم در صورت تهدید امنیتی به صورت لحظه ای به شما اطلاع می دهد.

در مورد Safetica بیشتر بخوانید.