قانون حریم شخصی GDPR (General Data Protection Regulation) قانونی است که چند روز پیش تصویب شد و به سرعت به اجرا گذاشته شد. ممکن است طی چند روز گذشته متوجه شده باشید که اکثر شرکتهای اینترنتی مانند گوگل که در آنها عضو هستید در حال به روز کردن قرارداد دوطرفه خود با کاربر هستند و ممکن است چندین ایمیل از شرکتها دریافت کرده باشید.
این قانون تازه، در تاریخ 25 می 2018 مصادف با 4 خرداد 1397 شروع به کار کرده و به دنبال آن است که از اطلاعات و حریم شخصی کاربران اتحادیه اروپا حمایت کند، اما با این حال شامل دیگر کشورها به شیوههای مختلفی نیز خواهد شد و از آنجای که اکثر شرکتهای بزرگ تکنولوژی چند ملیتی هستند و در اکثر دنیا حضور دارند، این قانون بر بسیاری از فعالیتهای روزانه ممکن است تاثیرگذار باشد.
از زمان تولد اینترنت، شرکتها تا حد ممکن موفق به کسب و استخراج اطلاعات از تمامی اشخاص بودهاند. استخراج اطلاعات و آرشیو کردن آنها امر سختی برای یک کمپانی بزرگ محسوب نمیشود و به خاطر این سادگی این شرکتها دلیلی برای انجام ندادن آن پیدا نکردهاند.
چرا قانون حریم شخصی تصویب شد؟
اما یکی از دلایلی که قانون حریم شخصی به خاطر حل آن تصویب شده این است که در چندین سال اخیر بسیاری از کمپانیها در محافظت از این اطلاعات موفقیت زیادی نداشتهاند و برخی نیز در پی منافع خود از این اطلاعات استفاده کردهاند. به عنوان مثال شرکت کمبریج آنالیتیکا (The Cambridge Analytica) به عنوان یک رسوایی بزرگ یاد خواهد شد. در این مورد، یک محقق از یک سری سوال ساده در سطح فیسبوک استفاده کرد تا اطلاعات مشخصی از چندین میلیون کاربر جذب کند و آن اطلاعات را به یک شرکت مشاوره فروخت. شرکت اکویفاکس (Equifax) نیز سال پیش دچار یک هک شدید شد و اطلاعاتی که از آن درز کرد میتوانست در پی رسیدن به کاربر اعتباری کاربران منجر شود. اینها تنها مسائلی بودند که سر و صدای زیادی بر پا کردهاند و کمپانیها مدت مدیدی است که در حال فروش اطلاعات شما به کمپانیهای شخص ثالث مانند کمپانیهای تبلیغاتی هستند.
با چنین شرایطی، اتحادیه اروپا دست به کار شده و با نگاهی به شرایط و با وضع کردن قانون حریم شخصی قصد دارد تا مسائل را سامان بخشد. تحت این قانون تازه، کمپانیهایی که از اطلاعات مصرفکنندگان به خوبی حفاظت نکنند و یا به نحوی آن را در راهی غلط استفاده کنند، با جریمههای سنگینی روبرو خواهند شد.
چه چیزی اطلاعات شخصی محسوب میشود؟
قانون حریم شخصی از اطلاعات و دیتا شخصی حمایت میکند و این اطلاعات شامل تمام اطلاعاتی است که به یک شخص بازخواهد گشت. چنین دستهبندی بسیار گسترده است. در حقیقت، اطلاعات شخصی شامل این گزینهها میشود:
- اطلاعات بیوگرافیک مانند نام، آدرس، شماره تلفن، شماره ملی و…
- اطلاعات مربوط به ظاهر فیزیکی و همچنین رنگ مو، نژاد و قد
- اطلاعات در مورد تحصیلات شما علاوه بر سابقه کاری، حقوق، مدرک دانشگاهی، شماره مالیاتی و…
- هر اطلاعاتی که مربوط به سوابق پزشکی شما باشد
- همچنین تاریخچه تماس، پیامهای خصوصی و لوکیشنهای جغرافیایی
این لیست طبیعتاً لیست کاملی نیست و نیازمند کار کردن است اما مسئله اصلی شناخت یک نکته کلیدی است. هر اطلاعات و دیتایی که باعث شود شما شناخته شوید در بین این دسته محسوب میشود. در بعضی از موارد نام شما هویت شما را فاش خواهد کرد، اما گاهی اوقات نام شما ممکن است خیلی عمومی باشد و اینجا نیاز به اطلاعاتی همچون رنگ مو است.
قانون حریم شخصی چه خواهد کرد؟
قانون حریم شخصی به ساکنین اتحادیه اروپا که اطلاعاتشان توسط شرکتها ذخیره میشود هشت حق اساسی را اعطا میکند. این قوانین شامل گزینههای زیر هستند:
- حق مطلع شدن: اگر یک کمپانی اطلاعات شما را ثبت و ذخیره میکند، باید به کاربر اطلاع بدهد و دلیل این ذخیره اطلاعات را اعلام کند و همچنین باید نحوه و دلیل استفاده و زمان نگهداری اطلاعات نیز روشن باشد. اگر این اطلاعات قرار است با شرکتهای دیگری نیز به اشتراک گذاشته شود باید کاربر از این امر مطلع باشد. چنین اطلاعرسانیهایی نباید در پایینترین و ناپیداترین بخش شرایط استفاده از خدمات (Terms of Service) دفن شده باشد و باید در مکانی مجزا و به زبانی ساده عرضه شوند.
- حق دسترسی داشتن: اگر یک کاربر از شرکتی اطلاعات خود را درخواست کند، سازمان مربوطه که اطلاعات را جمعآوری کرده موظف است در طی حداکثر یک ماه اطلاعات را در اختیار کاربر قرار دهد.
- حق اصلاح کردن: اگر یک کاربر مطلع شود که اطلاعات او در سیستمی به غلط ثبت شده است و نادرست است، میتواند از شرکت درخواست کند تا اطلاعات او را اصلاح کند و سازمان نیز یک ماه فرصت دارد تا این کار را انجام دهد.
- حق پاک کردن: یک کاربر میتواند در شرایطی خاصی از سازمان درخواست کند که اطلاعات جمعآوری شده را تماماً پاک کند. به عنوان مثال اگر دیگر جمعآوری اطلاعات نیاز نیست و اگر کاربر قرارداد استفاده خود را لغو میکند.
- حق محدود کردن استفاده: اگر یک شرکت به دلایل قانونی مانند نیاز به ارائه اطلاعات شما به دادگاه قانون عاجز از پاک کردن آن باشد، میتوانید درخواست کنید که محدوده استفاده از اطلاعات شما را کوچکتر کند و اطلاعات شما در سطح کوچکتری مورد مصرف قرار گیرد.
- حق جابهجایی: کاربر حق این را دارد که اطلاعات شخصی خود را از روی یک سرویس بردارد و آن را بر روی سرویس دیگری استفاده کند.
- حق اعتراض: اگر دادهای بدون اطلاع و برای اهداف تجاری، بهبود جامعه و یا درخواست یک شخص اجرایی رسمی دریافت و ذخیره شود، کاربر میتواند اعتراض داشته باشد. در این صورت سازمان باید پردازش دادهها را متوقف کند و این توقف تا زمانی ادامه پیدا میکند که شرکت بتواند دلیلی منطقی و قانع کننده برای کار خود پیدا کند.
- حق اعتراض به تصمیمات اتوماتیک: با قانون حریم شخصی، کاربر میتواند به برخی تصمیمات اتوماتیک سیستم در رابطه با اطلاعات شما اعتراض کند و خواستار توضیحات کافی باشد.
بخش دیگری از این قانون این است که کمپانیها علاوه بر اینکه باید دلیل قانونی داشته باشند بلکه باید مسیر قانونی را طی کنند تا داده شما را جمعآوری و پردازش کنند. یکی از راههای قانونی جمعآوری و استفاده از داده این است که رضایت شما را جلب کردهاند. اما در بسیاری از موارد باید مراحل قانونی طی شود و یا اینکه جمعآوری اطلاعات هدف کمک به اجتماع را داشته باشد.
همانطور که مشاهده کردید حقوقی که به شهروندان اروپایی تعلق میگیرد بسیار زیاد و گسترده است و این باعث شده تا شرکتهایی که تا پیش از این بی هدف داده جمعآوری میکردند به خود بیایند و از خود بپرسند که چرا این اطلاعات را ذخیره میکنند. روزهایی که یک شرکت بی هیچ دلیل مشخصی داده شما را ذخیره میکرد تا روزی شاید به کارش بیاید دیگر تمام شده است. حداقل میتوان این را در مورد اروپا مطمئن بود.
در پی تصویب این قانون، کمپانیها همگی شروع به کار کردهاند و در حال ایمیل رساندن و اطلاع رسانی به کاربران از سیاستهای جدید خود هستند. ترسی بین شرکتها به وجود آمده، چون پیروی نکردن از این قوانین جریمه سختی را دارد. در بعضی موارد یک سازمان تا 20 میلیون پوند یا 4 درصد از درآمد سالانه (هر کدام که بیشتر باشد) خود را باید صرف پرداخت جریمه کند. اگر شرکتی مانند آمازون یا گوگل درگیر این جریمه شود ممکن است میلیاردها دلار جریمه پرداخت کند.
قانون حریم شخصی چه کار برای کاربران غیراروپایی خواهد کرد؟
در کل مطلب به این اشاره شد که کاربران اروپایی چه منفعتی از این قانون خواهند دارد. این قانون در حال حاضر برای شهروندان دیگر کشورها مانند آمریکا تصویب نشده و شما نیز اگر شهروند اروپا نباشید به صورت قانونی نمیتوانید از این قوانین بهره ببرید. اما اگر ایمیلی مبنی بر به روز شدن سیاست جمع آوری اطلاعات گوگل دریافت کردهاید بدین خاطر است که یک سازمان نمیتواند بفهمد شما شهروند اروپا هستید یا خیر! بدین ترتیب ممکن است شما مراحل قانونی را نتوانید طی کنید اما همچنان بسیاری از شرکتها مجبور میشوند سیاست خود را به صورت کلی تغییر دهند که این کل جهان را شامل میشود. همچنین صحبتهایی برای دریافت این حقوق برای شهروندان غیراروپایی نیز شروع شده است. برای یک شرکت راحتتر نیز خواهد بود که یک مجموعه قوانین را برای کل مردم جهان اتخاذ کند.
همین چند روز پیش اپل یک پرتال حریم شخصی را راهاندازی کرده که کاربران میتوانند تمامی داده خود را دانلود کنند و حتی از حساب خود پاک کنند. فعلا تنها کاربران اروپایی از این سیستم استفاده میکنند اما اپل قصد دارد تا سرویس به سرتاسر جهان تا ماههای آینده عرضه کند. همچنین فیسبوک نیز میخواهد قانون حریم شخصی را در سیستم کاری خود اجرا کند و به همه کاربران دنیا این حقوق را عرضه کند.
به این ترتیب شما لازم نیست کار خاصی انجام دهید و ایمیلهایی که احتمالاً از طرف سرویسهای مختلف برای شما ارسال شده است تنها برای اطلاعرسانی اعمال قوانین GDPR در آن سرویسهاست.