به احتمال زیاد شما هم از کسانی هستید که در روزهای اخیر ایمیل های زیادی با موضوع GDPR از سرویس های خارجی که استفاده می کنید دریافت می کنید! و به احتمال زیاد اولین سوالی که به ذهن شما می رسه اینه که این "مقررات عمومی حمایت از داده" تاثیرش بر شما و کسب و کار شما چیه؟ در این نوشتار کوتاه سعی می کنم خیلی مختصر و مفید جواب این سوال رو بدم البته توجه کنید این نوشتار صرفا یک خلاصه ناقص هست و نباید به عنوان مشاوره در نظر گرفته شه. همچنین هیچ مسئولیتی هم متوجه نگارنده نیست:) بفرمایید:
با 99 ماده و تعداد زیادی بند و تبصره، هدف GDPR حفاظت از حریم خصوصی شهروندان اتحادیه اروپا از طریق ایجاد قواعد لازم الاجرا در مورد حفاظت از داده های شخصی است. همه آنچه در GDPR وجود دارد جدید نیست و بسیاری موارد اون پیشتر در قانون داخلی کشورهای اروپایی وجود داشت (مثل آلمان که عمده GDPR از قوانین آن کپی شده) و بیشتر هدف اون یکسان سازی قوانین مربوط به حفاظت از داده های شخصی در سراسر اتحادیه اروپاست. GDPR مقررات سختی در رابطه با کسب رضایت از کاربر در رابطه با پردازش اطلاعات شخصیش ایجاد کرده و همزمان حقوق کاربران مربوط به داده های شخصی شان را به صورت منسجم بیان کرده است.
هرگونه اطلاعاتی که به نحوی بتونه در شناسایی یک فرد حقیقی قابل استفاده باشد در GDPR داده شخصی تلقی می گردد. با این تعریف ازآدرس IP فرد گرفته (که سابقه داده شخصی محسوب نمی گردید) تا کوکی ها داده شخصی هستند و محدودیتهای مربوط به پردازش داده در مورد آنها اعمال می گردد.
پردازش داده شخصی می بایست شفاف، با هدف مشخص و مطابق با سرویس ارائه شده، به میزان و مدت محدود و امن باشد. برای مثال اگر شما یک بازی موبایلی با مدل فریمیوم ارائه می دهید جمع آوری اطلاعات داده های شخصی صرفاً می تواند در جهت ارائه خدمت (بازی) باشه و اطلاعات گردآوری شده می بایست محدود به داده هایی باشد که الزاماً جهت خدمت رسانی به کاربران به آن نیاز خواهید داشت. همچنین مدتی که می تواند این داده ها را ذخیره کنید نیز می بایست محدود باشد. در همه این موارد هم رضایت صریح کاربر شرط لازم برای جمع آوری و پردازش داده شخصی است.
یکی از موارد اساسی در GDPR تغییرات ایجاد شده در مفهوم رضایت کاربران نسبت به جمع آوری و پردازش داده های شخصی است. اولین تغییر در مورد متونی است که شرکت ها از آنها برای دریافت رضایت کاربر استفاده می کنند (Terms of service). مطابق با مقررات وضع شده متون مذکور ازاین پس باید کاملا روشن، ساده و شفاف باشند و به زبان آسان که کاربر متوجه آن شوند نوشته شوند. همچنین هرگونه بندی که در این اسناد مخالف مقررات GDPR باشد باطل خواهد بود. همچنین این امکان باید برای کاربر فراهم باشد که در هرزمان رضایت خود را پس گرفته و ازاین زمان شرکت خدمات دهنده حق جمع آوری و پردازش داده شخصی کاربر مذکور را نخواهد داشت. مورد آخر هم اینکه برای افراد زیر 16 سال رضایت والدین نیز اخذ شود(بهتر قید سرویس دهی به این رده سنی را کلا بزنید)
پیش از پردازش هرگونه داده شخصی شما می بایست اطلاعات ذیل رو در اختیار کاربر قرار بدین:
هرگونه پردازش داده های مربوطه هویت نژادی، دینی، عقدتی، سیاسی، زندگی جنسی فرد و … ممنوع است
ذیل GDPR حقوقی برای کاربر در نظر گرفته شده که اهم آنها شامل موارد ذیل خواهد بود:
*برای لیست کاملتر به مواد 12 الی 23 مراجعه کنید
یک کسب و کار ایرانی در ۳ صورت ممکن موضوع GDPR قرار بگیره:
اولاْ اگر یک شرکت زیرمجموعه دارین که در اتحادیه اروپا مستقر هست و پردازش داده شخصی انجام میده.
ثانیاْ اگر مجموعه شما به شهروندان اتحادیه اروپا خدمات می ده و یا کالا میفروشه
ثالثاْ اگر به صورت غیر مستقیم داده شخصی شهروندان اتحادیه اروپا رو پردازش می کنید.
اگر شرکت شما خیلی بزرگه (که بعید بدونم باشید) و همزمان GDPR بر شما اعمال میشه باید یه کارمند جدید به تیم تون اضافه کنید تا در مورد حریم خصوصی کاربرهاتون بهتون توصیه های (دستور) لازم رو بده!
اولا به نزدیکترین باغچه مراجعه و یک سطل خاک بر سرتون بریزید چرا که در صورت عدم رعایت ضوابط تا 20 میلیون یورو ( ویا درصدی از درآمدتون) جریمه می شید. در مرحله دوم یک وکیل آشنا به قضیه (ترجیحاً آلمانی) پیدا کنید تا رستگار شوید.
متن مقررات ازینجا قابل دسترس هست:https://gdpr-info.eu/art-20-gdpr/
