قانون حفاظت از اطلاعات اشخاص و شرکت ها یا General Data Protection Regulation یا (GDPR) از ماه می ۲۰۱۸ در کل کشورهای اروپایی اجباری و لازم الاجرا شده است. تدوین این قانون ۴ سال زمان برده است و بر اساس این قانون، حفاظت از اطلاعات شخصی افراد و شرکت ها (اعم از اطلاعات دیجیتال یا اسناد پرینت شده و همچنین اعم از مشتریان شرکت ها یا حتی خود کارمندان شرکت ها) تعریف و قانونمند شده است.
این قانون در واقع جایگزین قانون قبلی ای شده است که از ۲۰ سال پیش اجرا میشده است. حتی شرکت هایی که اروپایی نیستند ولی مشتریانی در اروپا دارند هم باید از این قانون تبعیت کنند. جریمه عدم تبعیت از این قانون برای شرکت ها ۴ درصد درآمد سالانه یا ۲۰ ملیون یورو (هر کدام که بیشتر باشد) در نظر گرفته شده است.
اطلاعات اشخاص به سه دسته اطلاعات غیرشخصی، اطلاعات شخصی و اطلاعات حساس تقسیم بندی می شود. اطلاعات شخصی اطلاعاتی است که با استفاده از آن می توان به صورت مستقیم یا غیر مستقیم هویت شخص را شناسایی کرد. به صورت مستقیم یعنی مثلا اطلاعاتی که در آنها اسم شخص یا عکس یا ویدئوی شخص موجود و قابل شناسایی باشد.
به صورت غیر مستقیم یعنی مثلا اطلاعاتی که در آنها آدرس شخص یا تاریخ تولد یا شماره تلفن یا شماره حساب یا کد مشتری یا شماره گواهینامه یا موقعیت جغرافیایی یا شماره IP یا کوکی یا عادت رفتاری مشتری موجود باشد که بتوان از کنار هم قرار دادن آنها هویت شخص را شناسایی کرد. مثلا با کنار هم قرار دادن تاریخ تولد و محل تولد میتوان هویت فرد را شناسایی کرد.
اطلاعات حساس هم آن دسته از اطلاعات شخصی ای هستند که شامل وضعیت سلامتی جسمی یا روحی شخص یا عضویت در انجمن ها یا عقاید سیاسی یا مذهبی یا اطلاعات اصل و نسب یا اطلاعات ژنتیک و بیولوژیک هستند. پردازش اطلاعات حساس مشتریان توسط شرکت ها تحت نظارت شدید قوانین اروپایی قرار دارد و نیاز به درخواست مستقیم از مشتری و رضایت قطعی و شفاف وی دارد.
شرکت ما دوره آموزشی آنلاین یک ساعته ای در خصوص آموزش اصول GDPR برای کارمندانش تدارک دیده است که شامل دیدن ویدئوهای کوتاه و تست های چند گزینه ای در خصوص محتوای آن ویدئو است که شرکت در آن برای همه کارمندان اجباری است. همچنین در جلسات طراحی و پیاده سازی محصولات همیشه یکی از معیارهایی که در طراحی ها مد نظر قرار میگیرد این است که آیا این طراحی منطبق با GDPR هست یا نه که گاهی این مسأله تأثیر زیادی روی طراحی محصول می گذارد. مثلا هیچ وقت نمی توانیم اطلاعات شخصی کاربران یا مثلا پسوردهای آنها را از آنها درخواست و در یک دیتابیس ذخیره و نگهداری کنیم بلکه باید برای هویت سنجی کاربران از واحد مخصوص هویت سنجی کابران شرکت استفاده کنیم.
برخی از اصول GDPR به شرح زیر است:
- هرگونه عملیات کامپیوتری یا دستی روی اطلاعات شخصی مشتریان یا کارمندان شرکت، پردازش اطلاعات شخصی نامیده می شود که شامل جمع آوری، ذخیره، جستجو و بازیابی، ارسال و پخش و حذف می شود.
- افراد باید از هر گونه پردازش اطلاعاتشان مطلع شوند و باید امکان عدم رضایت داشته باشند.
- فرم ها و رضایت نامه ها باید ساده و قابل فهم برای همه باشد و نباید لزوما شخص متخصص امور قانونی و یا کارشناس حقوقی باشد تا بتواند آنها را بفهمد. همچنین در رضایت نامه ها نباید گزینه رضایتمندی به صورت پیش فرض تیک خورده باشد.
- قبل از ارسال هر گونه پیامک یا ایمیل تبلیغاتی باید از تک تک افراد رضایت گرفته شده باشد.
- وقتی یک نفر یک سازمانی را ترک می کند باید اطلاعات شخصی او هم پاک شوند.
- بر اساس اصل شفافیت باید به افراد گفته شود که چه اطلاعاتی از آنها و چطور جمع آوری می شود. هدف از جمع آوری این اطلاعات چیست و چه استفاده هایی قرار است از آنها صورت پذیرد.
- هدف از جمع آوری اطلاعات شخصی باید مشخص، دقیق، تعریف شده و قانونی باشد.
- استفاده از اطلاعات شخصی باید به صورت حداقلی و فقط به میزان کافی در راستای هدف مشخص شده باشد و نه بیشتر.
- فقط میزان اطلاعات شخصی ای که برای هدف مورد نظر نیاز است باید جمع آوری شود و نه بیشتر.
- مدت زمان نگهداری اطلاعات شخصی باید برای هر هدف و هر کاربردی مشخصا تعریف شده باشد و باید بعد از دوره تعریف شده پاک شود.
- باید تمهیدات لازم برای امن نگه داشتن اطلاعات شخصی افراد در نظر گرفته شود تا از هر گونه نفوذ و یا نشط اطلاعات و یا سرقت آنها جلوگیری شود.
- باید مشتریان بتوانند به راحتی سرویس دهنده خود را تغییر دهند و شرکت رقیب را برای سرویس دهی انتخاب کنند. در این صورت مشتری می تواند تمام اطلاعات شخصی خود را از شرکت سرویس دهنده اول پس بگیرد و به شرکت رقیب منتقل کند. این انتقال اطلاعات مشتری بین دو شرکت رقیب می تواند توسط خود مشتری انجام شود یا مستقیما شرکت سرویس دهنده اول می تواند اطلاعات مشتری را با درخواست وی به شرکت دوم منتقل کند. این اطلاعات شامل تمام ایمیل های ارسالی و دریافتی، اطلاعات تماس، تمام عکس ها و ویدئوها و دیگر اطلاعات می باشد. سرویس دهنده ها شامل بانک ها، شبکه های اجتماعی، موتورهای جستجو، سرویس دهنده های مخابراتی، اپراتورهای تلفن همراه یا دیگر سرویس دهنده ها هستند.
- هرکس حق دارد یک کپی از تمام اطلاعات شخصی اش را که در یک شرکت ذخیره شده است دریافت کند. مثلا در یک شبکه اجتماعی یا بانک یا اداره دولتی یا یک موتور جستجو.
- هرکس حق دارد در صورتی که اطلاعات شخصی اش به اشتباه ذخیره شده است یا تغییر کرده است از شرکت مربوطه درخواست اصلاح و به روزرسانی اطلاعات شخصی اش کند.
- هرکس حق دارد از یک شرکت درخواست کند که تمام اطلاعات شخصی اش را پاک کند.
- هرکس حق دارد در صورت استفاده نامناسب از اطلاعات شخصی اش شکایت کند.
- هرکس حق دارد در صورتی که آسیبی از جانب عدم رعایت محرمانگی اطلاعات شخصی اش دیده است ادعای خسارت کند.
- حفاظت از اطلاعات شخصی افراد نباید در مرحله آخر طراحی و پیاده سازی پروژه باشد بلکه باید از ابتدای آغاز طراحی پروژه مد نظر قرار گیرد و اعمال شود. (Privacy by design)
