GDPR چیست و چه تاثیری بر کسب و کارهای ایرانی دارد؟

در دنیای امروز تعداد زیادی از مردم با اینترنت در ارتباط هستند و از سایت‌های مختلف بازدید کرده یا از محصولات و خدمات آن‌ها استفاده می‌کنند. در واقع اینترنت نحوه برقراری ارتباط را در دنیای امروز به طور وسیعی تغییر داده است.

ما در فضای اینترنت ایمیل ارسال می‌کنیم، اسنادی را جابه‌جا می‌کنیم، مبالغی را برای استفاده از کالاها و خدمات مختلف پرداخت می‌کنیم و برای این امور از اطلاعات شخصی بهره می‌بریم بدون اینکه لحظه‌ای درنگ کنیم.

تا به حال به این فکر کرده‌اید که چه میزان از اطلاعات شخصی خود را به صورت مجازی توزیع می‌کنید؟

و یا اینکه برای این اطلاعات شخصی چه اتفاقی می‌افتد؟

منظور از اطلاعات شخصی مواردی نظیر اسم، اطلاعات بانکی، آدرس و حتی آدرس آی پی شما می‌باشد.

شرکت‌ها این اطلاعات را با هدف ارائه بهتر خدمات برای افراد جمع‌آوری می‌کنند. به موازات این موضوع حفظ حریم خصوصی افراد از مهم‌ترین دغدغه‌های عصر جدید می‌باشد. عصر ارتباطات دنیا را کوچک‌تر، مرزها را گسترده‌تر و افراد را به یک‌دیگر بیش از پیش نزدیک کرده است. با این حال این امر نباید لطمه‌ای به حریم خصوصی افراد وارد کند.

تقریبا همه ما از استفاده از خدمات رایگان از قبیل گوگل، فیس‌بوک و توییتر در ازای طیف گسترده‌ای از اطلاعات شخصی از اسم و آدرس گرفته تا گرایش‌های سیاسی لذت می‌بریم. وجود شرایط و ضوابط نامشخص این امر را برای کاربران سخت می کند که متوجه باشند موافق دادن چه اطلاعاتی به این قببیل فناوری‌ها هستند. این امر زمانی که اطلاعات تعداد زیادی از کاربران شرکت فیس‌بوک توسط شخص ثالثی مورد استفاده قرار گرفت، به طور جدی‌تری تبدیل به یک دغدغه جهانی شد.

تضمین این امر توسط اتحادیه اروپا که این اطلاعات صرفا برای ارائه بهتر خدمات است، باعث تصویب مقررات حفظ حریم خصوصی جدیدی در می 2018 تحت عنوان GDPR شد که به طور کلی نحوه جمع‌آوری، ذخیره و استفاده از داده‌های مشتریان را توسط کسب و کارها و شرکت‌ها تغییر داد. در تحقیقی در میان شرکت‌هایی که با اطلاعات کاربران از اتحادیه اروپا سر و کار داشتند، نشان داده شد که 80 درصد کسب و کارها اطلاعات بسیار کم و حتی ناچیزی در مورد این مقرره جدید دارند.   

GDPR چیست؟

GDPR که مخفف شده General data protection regulation می‌باشد، در واقع سلسله قواعدی است که برای ایجاد کنترل بیشتر بر روی اطلاعات شخصی مردم در اتحادیه اروپا توسط شورای اروپا و پارلمان اروپا به تصویب رسیده است. هدف این مقرره این است که مقررات قانونی را برای کسب و کارها ساده‌تر کند تا از این طریق هم شهرویندادن و هم کسب و کارها در اتحادیه اروپا از عصر دیجیتال بهره لازم را ببرند.

این مقره تمام شرکت‌هایی را که با اطلاعات شخصی کاربران اتحادیه اروپا در ارتباط هستند شامل می‌شود و تضمین کننده حفاظت از اطلاعات کاربران آن‌ها است حتی اگر آن شرکت ها خارج از اتحادیه اروپا باشند ولی با اطلاعات مردم این منطقه در ارتباط باشند مشمول این مقرره خواهند بود.  

حال ذیل این مقرره نه تنها شرکت‌ها موظف هستند از اطلاعات شخصی افراد که به صورت قانونی و با شرایط دقیق و سختی جمع‌آوری می‌کنند، حمایت کنند بلکه کسانی که این اطلاعات را جمع‌آوری و مدیریت می‌کنند موظف و متعهد هستند که در برابر هر نوع سو استفاده و بهره‌برداری از آن حفاظت کنند در غیر این صورت با جرایم سنگینی روبه‌رو می‌شوند.

منظور از اطلاعات شخصی در این مقرره چیست؟

اطلاعاتی که در ذیل مقررات قبلی شخصی تلقی می‌شد، عبارت بود از اسم، آدرس و عکس. در مقرره فعلی این تعریف و مصادیق آن گسترده‌تر شده و در نتیجه آن تمام مواردی که مرتبط با فرد باشد، اطلاعات شخصی تلقی می‌شود. از جمله نام، عکس، آدرس، ایمیل، اطلاعات بانکی، اطلاعات مکانی، اطلاعات درمانی و حتی آدرس آی پی. هم چنین شامل اطلاعات شخصی حساس نظیر اطلاعات ژنتیکی نیز می‌شود که می‌تواند به صورت منحصر به فرد یک فرد را شناسایی کند.

در ذیل این مقرره چندین حق برای کاربران در نظر گرفته شده است:

–       حق دسترسی: افراد حق دارند درخواست دسترسی به اطلاعات شخصی خود را داشته باشند و هم‌چنین حق دارند که بدانند این اطلاعات توسط آن وبسایت چگونه مورد استفاده قرار می‌گیرد.

–       حق پاک شدن اطلاعات: اگر کاربران فعلی بعد از گذشت مدت زمان طولانی دیگر کاربر آن سایت نبودند این حق را دارند که بتوانند اطلاعات خود را محو کنند.

–       حق دسترسی به داده‌ها: کاربران این حق را دارند که بتوانند اطلاعاتشان را از یک ارائه دهنده خدمات به یک ارائه دهنده دیگر انتقال دهند.

–       حق آگاهی داشتن: هر جمع‌آوری اطلاعاتی باید با آگاهی قبلی کاربران صورت بگیرد و نکنه مهم این است که اعلام رضایت باید به صورت صریح باشد نه ضمنی.

–       حق تصحیح اطلاعات: در صورتی که اطلاعات ناقص، غلط یا قدیمی باشد، کاربران می‌توانند اطلاعاتشان را بروز‌رسانی کنند.

–       محدودیت پردازش: کاربران حق دارند برای پردازش اطلاعاتشان محدودیت ایجاد کنند.

–       حق اعتراض: کاربران حق دارند پردازش اطلاعاتشان را با اعتراض به آن متوقف کنند. این حق هیج استثنایی ندارد.

–       حق دریافت اطلاع: اگر نقص اطلاعاتی وجود داشته باشد که اطلاعات فردی را نیز مختل کند، ظرف 72 ساعت از آگاه شدن از نقص باید به اطلاع کاربران برسد.

در این مقرره مشخص شده است که جریمه عدم مطابقت این مقررات با قوانین داخلی کشورها از 4 درصد گردش مالی جهانی سالانه شرکت تا سقف 20 میلیون یورو تعیین می شود.  

تاثیر GDRP بر کسب و کارها

با اجرایی شدن این مقرره به دست آوردن رضایت کاربران سخت‌تر از قبل شده است و برای فعالیت‌های مختلف باید اعلام رضایت جداگانه‌ای وجود داشته باشد. اعلام رضایت کلی به هیچ وجه معتبر نیست. این امر باعث تغییرات زیادی در حورزه کسب و کار نظیر نحوه تعیین چشم انداز تیم فروش یک شرکت و یا  نحوه مدیریت فعالیت‌های بازاریابی شده است. هم‌چنین در این مقرره معین شده است که برای دسترسی به اطلاعات کاربران دلایل قوی حقوقی از طرف وبسایت ارائه شود. در حالی که در مقررات قبلی این قاعده وجود نداشت.

در این میان نمی‌توان انکار کرد که اجرایی کردن این مقرره در عین حال می‌تواند هزینه‌های سنگینی را برای شرکت‌ها به وجود بیاورد. البته تامین این هزینه‌ها برای شرکت‌های بزرگی مانند گوگل و فیس‌بوک به راحتی امکان پذیر است در صورتی که ممکن است شرکت‌های کوچک در این زمینه دچار مشکل بشوند و برای رفع این مشکلات شاید اولین راه این باشد که دسترسی کاربران اروپایی را به وبسایت‌های خود مسدود نمایند.

GDPR  به همان نسبت که برای کسب و کارها چالش ایجاد می‌کند در عین حال برای آن‌ها فرصت‌هایی را هم به وجود می‌آورد.

شرکت‌هایی که ارزش‌گذاری خود را بر روی حریم خصوصی افراد نشان می‌دهند، نسبت به نحوه استفاده از اطلاعات شفاف هستند و راه‌های جدید و پیشرفته‌ای را برای مدیریت اطلاعات کاربران طراحی و اجرا می‌کنند اعتماد عمیق‌تری را ایجاد و نسبت به کاربران خود وفادارتر جلوه می‌کنند.

بازتاب سیاست‌های حریم خصوصی در ایران

مطابق ماده 7 آیین نامه جمع‌آوری و استنادپذیری ادله الکترونیکی، داده‌های محتوا و ترافیک و اطلاعات کاربران باید مطابق مقررات این آیین نامه به نحوی نگه‌داری، حفاظت، توقیف و ارائه شود که صحت و تمامیت، محرمانگی، اعتبار و انکارناپذیری آن‌ها محفوظ بماند.

مطابق ماده1 بند الف و ب  قانون انتشار و دسترسی آزاد به اطلاعات، اطلاعات و اطلاعات شخصی به طور دقیق تعریف شده‌اند.

الف) اطلاعات: هر نوع داده که در اسناد مندرج باشد یا به صورت نرم افزاری ذخیره گردیده و یا با هر وسیله دیگری ضبط شده باشد.

ب)  اطلاعات شخصی: اطلاعات فردی نظیر نام و نام خانوادگی، نشانی‌های محل سکونت و محل کار، وضعیت زندگی خانوادگی، عادت‌های فردی، ناراحتی‌های جسمی، شماره حساب بانکی و رمز عبور است.

ماده 14 در راستای حمایت از حریم خصوصی بیان می‌دارد که:

چنانچه اطلاعات درخواست شده مربوط به حریم خصوصی اشخاص باشد و یا در زمره اطلاعاتی باشد که با نقض احکام مربوط به حریم خصوصی تحصیل شده است، درخواست دسترسی باید رد شود.

در این قوانین صرفا به برخی تعاریف و قواعد کلی بسنده شده و نکته مهم‌تر آن‌که با توجه به گسترش فعالیت‌های کسب و کارهای نوین در حوزه اینترنت، حفاظت و حمایت از حریم خصوصی افراد به وسیله قانون باید بیشتر تامین بشود تا اعتماد سازنده‌ای در این میان برای کاربران به وجود بیاید.

در این راستا هر چند که این مقرره برای کاربران اتحادیه اروپا و شرکت هایی که با اطلاعات مردم اروپا سر و کار دارند، طراحی شده است با این حال به جهت کامل بودن و جامع بودن آن می توان از آن برای تمام کسب و کارهایی که با اطلاعات شخصی همه افراد سر و کار دارند به کار برد. این امر برای ایران هم ضروری به نظر می رسد و تمامی کسب و کارها باید این موضوع را در نظر بگیرند که حفظ حریم خصوصی کاربران و شفاف سازی همه امور در این زمینه از جمله آگاهی دادن در مورد نحوه استفاده از اطلاعات شخصی و علت آن می تواند باعث اعتماد هر چه بیشتر کاربران به آن ها و خدماتشان شود.

لازم به ذکر است که برای بازبینی سیاست های حریم خصوصی وبسایت خود می توانید از طریق ارسال فرم درخواست از خدمات حقوقی وینداد بهره مند شوید.