همه ی چیزهایی که باید در مورد GDPR بدانید !
1.GDPR برای چیست ؟
قوانینی برای حفاظت از اطلاعات عمومی
2.چگونه GDPR شکل گرفت ؟
در ژانویه 2012، کمیسیون اروپا طرح هایی را برای حفاظت از اطلاعات در اروپا در نظر گرفت تا اروپا را برای عصر دیجیتال آماده سازد.
تقریبا 4 سال بعد توافقی بر نحوه ی اجرای این طرح ها شکل گرفت .
یکی از اجزای اصلی اصلاحات، معرفی مقررات حفاظت از اطلاعات عمومی است .
این چارچوب جدید اتحادیه اروپا در سازمان های همه کشور های عضو اتحادیه اعمال می شود و بر روی شرکت ها و افراد در سراسر اروپا و فراتر از آن تاثیر جدی می گذارد .
آینده ی دیجیتالی اروپا تنها می تواند بر پایه ی اعتماد باشد .
زمانی که در دسامبر 2015 بر سر اصلاحات توافقاتی شکل گرفت ، Andrus Ansip گفت :
” با این استاندارد ها مردم می توانند مطمئن باشند که خودشان کنترل کننده اطلاعاتشان هستند “.
3.GDPR چیست؟
در واقع GDPR ، مجموعه ای جدید از قوانین است که به شهروندان اجازه ی کنترل بیشتر بر روی اطلاعات و داده های خودشان را می دهد .
هدف آن ساده سازی محیط نظارتی برای کسب و کار است، بنابراین هم شهروندان و هم کسب و کار ها در اتحادیه اروپا می توانند از اقتصاد دیجیتال به طور کامل بهره مند شوند.
این اصلاحات به منظور بازتاب جهانی که در حال حاضر در آن زندگی می کنند طراحی شده اند .
4.تطابق GDPR یا GDPR compliance چیست؟
نقض اطلاعات و داده ها معمولا اتفاق می افتد . اطلاعات گم می شوند ، به سرقت می روند یا به صورت غیرقانونی به دست افرادی که هرگز قصد نداشتن آن را می بینند می افتند ،و این افراد اغلب هدف مخربی دارند .
طبق شرایط GDPR سازمانها نه تنها باید اطمینان حاصل کنند که داده های شخصی به طور قانونی تهیه می شوند، بلکه کسانی که آن را جمع آوری و مدیریت می کنند، موظف هستند داده ها را از سوء استفاده و بهره برداری غیر قانونی از آن محافظت کنند.
5. GDPR برای چه کسانی ارائه شده است ؟
GDPR برای هر سازمانی که در اتحادیه اروپا فعالیت می کند و هر سازمانی خارج از اتحادیه اروپا که کالا یا خدمات را به مشتریان یا شرکت های تجاری در اتحادیه اروپا می شود .
بنابراین تمام سازمان های بزرگ در سراسر دنیا باید آماده باشند تا بعد از اجرایی شدن GDPR ، بر روی استراتژی انطباق GDPR کار کنند .
6. اطلاعات شخصی تحت GDPR چیست ؟
داده هایی که طبق قوانین شخصی در نظر گرفته شده ، شامل نام ، آدرس و عکس می باشد . GDPR تعریف داده ی شخصی را گسترش داده ، به طوری که آی پی هم جزء اطلاعات شخصی محسوب شده است . این قانون همچنین شامل داده های ژنتیکی و میکروبیوتیک است که می توانند بعد از بعد از پردازش موجب شناسایی کامل شخص می شود.
7. از چه تاریخی GDPR اعمال شده است ؟
GDPR از 4 خرداد 97 ( 25 می 2018 ) در سراسر اتحادیه اروپا اعمال شده است و بایستی همه کشورهای عضو تا تاریخ 16 اردیبهشت 97 ( 6 ماه می 2018) آن را به قانون ملی خود منتقل می کردند .
پس از چهار سال بحث و رایزنی ، GDPR توسط پارلمان اروپا در آوریل 2016 تصویب شد و متون و مقررات رسمی این دستورالعمل در ماه می 2016 در تمام زبان های رسمی اتحادیه اروپا منتشر شد.
8. مهلت تطابق GDPR تا چه تاریخی بوده است ؟
تا 4 خرداد 97 ( 25 می 2018 )مهلت سازگار شدن همه ی سازمان ها با GDPR بوده است .
9. چگونه خروج بریتانیا از اتحادیه اروپا (برکسیت) بر GDPR تاثیر می گذارد ؟
بریتانیا قرار است در روز 9 فروردین 98 ( 29 مارس 2019 ) ، کمی بیش از ده ماه پس از اعمال GDPR، از اتحادیه اروپا خارج شود. دولت بریتانیا گفته است که این امر بر GDPR ی که در کشور اجرا می شود تأثیر نخواهد گذاشت و GDPR به نفع بریتانیا کار خواهد کرد.
10. معنی GDPR برای کسب و کار ها چیست ؟
GDPR یک قانون را در سراسر قاره ایجاد می کند و مجموعه ای از قوانینی را که برای شرکت هایی که در کشورهای عضو اتحادیه اروپا فعالیت می کنند، ایجاد می کند. به این معنی که دسترسی به این قانون بیشتر از مرزهای خود اروپا است. کمیسیون اروپا ادعا می کند که با داشتن یک مقام نظارتی برای کل اتحادیه اروپا، کسب و کار در منطقه ساده تر و ارزان تر است . در واقع، کمیسیون ادعا می کند که GDPR در طول سال 2/3 میلیارد یورو صرفه جویی خواهد کرد.
کمیسیون می گوید، با ادغام قوانین مربوط به حفاظت از داده های اروپا، قانون گذاران در حال ایجاد فرصت های تجاری هستند .
11. GDPR برای مصرف کنندگان / شهروندان چیست؟
با توجه به حجم بسیار زیاد نقض اطلاعات کاربران و هک هایی که در طول این سالها رخ داده ، واقعیت تاسف آور این است که برخی از داده های آن مانند آدرس ایمیل ، رمز عبور ، شماره امنیت اجتماعی و …. در معرض اینترنت قرار گرفته است .
یکی از مهم ترین تغییرات GDPR این بوده است که مصرف کنندگان حق دارند بدانند اطلاعات آنها در چه زمانی هک شده است .
سازمان ها باید در اسرع وقت به سازمان های دولتی مناسب اطلاع دهند تا شهروندان اتحادیه اروپا بتوانند اقدامات لازم را برای جلوگیری از سوء استفاده از اطلاعاتشان را انجام دهند .
بسیاری از سازمانها، مانند کسانی که در بخش خرده فروشی و بازاریابی هستند، با مشتریان تماس گرفته اند تا بپرسند آیا می خواهند بخشی از پایگاه داده آنها باشند .
12. آیا این ایمیل حریم خصوصی واقعا از یک شرکت واقعی است؟ می تواند یک کلاهبرداری باشد؟
سازمان هایی که در هر بخش در تمام بخش ها ایمیل ها را برای مشتریان ارسال می کنند، از آنها درخواست می کنند تا از دریافت پیام ها و دیگر موارد بازاریابی مطلع شوند. برای اکثر موارد، اگر مشتری بخواهد در لیست بماند، فقط باید بر روی بخشی از ایمیل که به شرکتی که مایل به برقراری ارتباط با آن می رود، کلیک کند.
با این حال، با وجود بسیاری از سازمان های ارسال ایمیل در GDPR، جنایتکاران و ناظران آن را به عنوان یک فرصت بزرگ برای فرستادن ایمیل های فیشینگ به منظور گرفتن مردم تلقی می کنند .
محققان در Redscan یکی از این طرح ها را کشف کردند که جنایتکاران را به عنوان Airbnb می بینند و ادعا می کنند که کاربر نمی تواند رزرو های جدید را بپذیرد یا پیام هایی را برای مهمانان احتمالی ارسال کند تا زمانی که یک سیاست حفظ حریم خصوصی جدید پذیرفته شود.
مهاجمان به طور خاص سیاست جدید حفظ حریم خصوصی EY را به عنوان دلیل پیام ارسال می کنند.
با این حال، افرادی که پشت این طرح هستند به شدت از GDPR استفاده می کنند تا اطلاعات را سرقت کنند؛ چرا که پیام واقعی Airbnb از مشتری هیچ اطلاعاتی درخواست نمی کند، پیام های تقلبی از افراد اطلاعاتی از قبیل اعتبار نامه ، اطلاعات کارت پرداخت و … را دریافت می کند.
13. اطلاعیه ی نقض GDPR چیست ؟
بعد از تصویب شدن این قانون ، این وظیفه برای تمام سازمان ها تعریف شد که در صورت مشاهده ی نقض اطلاعات ، دسترسی غیر مجاز به اطلاعات ، از دست رفتن اطلاعات شخصی ، به واحد نظارتی مربوطه گزارش دهد .
سازمان ها همچنین باید افرادی که تحت تاثیر نقض قانون قرار گرفته اند را اطلاع دهند .
سازمان ها موظف به گزارش هر گونه نقضی منجر به رعایت حقوق و آزادی افراد و منجر به تبعیض، آسیب رسیدن به شهرت، زیان مالی، از دست دادن اطلاعات محرمانه یا هرگونه عیب اقتصادی یا اجتماعی می شوند.
به عبارت دیگر، اگر نام، آدرس، اطلاعات تولد، پرونده های سلامتی، جزئیات بانکی یا هر گونه اطلاعات خصوصی یا شخصی در مورد مشتریان نقض شود، سازمان موظف است افراد خاطی را تعقیب کرده تا آسیب ها به حداقل برسد .
14. براساس GDPR چه موقع یک سازمان باید اطلاعیه ای در مورد نقض ارائه کند ؟
در صورت نقض قانون تا 72 ساعت بعد از مطلع شدن سازمان از این مورد باید به هیئت نظارتی مربوطه گزارش کند .
15. جریمه ی عدم پیروی از GDPR چیست ؟
جریمه ی عدم رعایت این قانون چیزی بین 10 میلیون یورو و چهار درصد از درآمد سالانه ی سرکت است ، رقمی که برایبرخی افراد میلیاردها دلار می باشد .
جریمه به شدت نقض قانون بستگی دارد .
حداکثر جریمه 20 میلیون یورو یا چهار درصد از حجم معاملات در سراسر جهان – هر کدام از این موارد که مبلغ بیشتری است – برای نقض حقوق افراد به صورت انقال بین المللی اطلاعات و روش هایی از این قبیل در نظر گرفته شده است .
جریمه کمتر از 10 میلیون یورو یا دو درصد از حجم معاملات در سراسر جهان برای شرکت هایی که اطلاعات را با شیوه های دیگر خراب می کنند، اعمال خواهد شد.
16. اطلاعیه ی نقض سازگار GDPR چیست ؟
در صورت بروز از بین رفتن داده های یک شرکت ،شرکت موظف به ارائه ی اطلاعیه ی نقض به عنوان نتیجه ی یک حمله سایبری، خطای انسانی یا هر چیز دیگری است .
این اطلاعیه باید شامل اطلاعات تقریبی در مورد نقض باشد ، از جمله دسته بندی اطلاعات و تعداد افرادی که به دلیل حادثه به خطر افتاده اند ، و دسته ها و تعداد تقریبی پرونده های مربوط به اطلاعات شخصی باید در اطلاعیه ذکر شوند .
سازمانها همچنین باید توصیفی از عواقب احتمالی نقض اطلاعات، مانند سرقت پول یا تقلب هویت انجام دهند و اقداماتی که برای مقابله با نقض اطلاعات انجام می شود را توصیف کنند تا با تاثیرات منفی این اتفاق مقابله کنند .
17. چه موقع ما باید یک افسر حفاظت از اطلاعات تعیین کنیم ؟
طبق شرایط GDPR، سازمان باید یک افسر حفاظت از داده (DPO) را درصورتی که پردازش گسترده داده در مقیاس های خاص داده ها را انجام می دهد،برای نظارت بر افراد و اعمالشان تعیین کند .
در مورد مقامات دولتی، یک DPO را می توان در یک گروه از سازمان ها منصوب کرد. درحالی که برای سازمان های خارج از این موارد اجباری برای DPO اجباری نیست، همه سازمان ها باید اطمینان حاصل کنند که مهارت ها و کارکنان لازم را دارند تا با قوانین سازگار باشند .
18. GDPR شبیه به چیست؟
GDPR ممکن است به نظر پیچیده باشد، اما حقیقت این است که در بیشتر موارد،این قانون، اصولی را که در حال حاضر بخشی از قانون حفاظت از داده های انگلستان است را تثبیت می کند.
رویکرد “یک اندازه برای همه” در GDPR وجود ندارد. بلکه هر کسب و کار باید بررسی کند که دقیقا چه چیزی باید به دست آید و چه کسی داده ها را کنترل کند و چه کسی مسئولیت تأمین آن را بر عهده گرفته است.
19. GDPR چه تغییراتی ایجاد کرده است ؟
از تاریخ 25 می ، این قانون تصویب شده و از روزهای قبل سازمان ها و شرکت های بسیاری ایمیل هایی به مشتریانشان ارسال کرده اند و از انها خواسته اند محدوده ی حفظ حریم خصوصی شان را انتخاب کنند .
پیش از این، بعضی از سازمانها و سیستم عاملها، از جمله وب سایت سایتهای اجتماعی سایت Klout، به سادگی این قوانین را رعایت میکردند ، Klout به صراحت به GDPR اشاره نمیکرد.
این سرویس تنها برای تعطیل کردن عملیات یا محدود کردن دسترسی به کاربران اروپایی نیست.