۲۵ می سال ۲۰۱۸ روزی بود که همهی شرکتهایی که اطلاعات شهروندان اروپایی را جمعآوری می کردند، باید از قوانین جدیدی پیروی می کردند که قواعد حفاظت از اطلاعات مشتریان را کنترل میکند. مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا یا همان قوانین GDPR استانداردهای جدیدی برای مصرف کنندگانی که اطلاعتشان در سراسر اینترنت ثبت میشود ارائه کرده است.
GDPR که مخفف کلمه های “General Data Protection Regulations” می باشد، قوانینی عمومی و الزام آور برای حفظ حریم خصوصی کاربران توسط کسب و کار ها در اتحادیه اروپا می باشد
چه این اطلاعات شامل دادههای شخصی که برخی شرکتها از آن برای فروش محصولات یا خدمات استفاده میکنند باشد یا دادههایی که برای ورود به برنامه یا گوشی هوشمند در اینترنت وارد میکنند، همه و همه شامل مقررات حفاظت از اطلاعات عمومی اتحادیه اروپا میشود.
برای تطبیق با مقررات جدید تیمهای امنیتی حسابی به چالش کشیده میشوند چرا که باید در نحوه بررسی اطلاعات شناسایی فردی بازنگری کنند و سطح امنیتی برابر با دادههای کوکیهای شخصی یا آدرس آیپی مورد نیاز برای نام، شماره ملی و آدرس را در نظر بگیرند.
کسب و کار هایی که قوانین GDPR را رعایت نکنند، جریمه ای سنگین (معادل ۲۰ میلیون یورو و یا ۴ درصد درامد سالانه شرکت) را پرداخت خواهند کرد.
در سال ۱۹۹۵، نخستین پیشنویس این سیاست (دستورالعمل حفاظت از داده) به اجرا گذاشته شد که به جمعآوری قوانین و مقررات استفاده از دادههای آنلاین از ۲۸ کشور عضو اتحادیه اروپا کمک کرد. در راستای پیشبرد این هدف، GDPR بر موافقت شرکتها برای دسترسی به اطلاعات کاربر و مالکیت دادههای کاربران تأکید بیشتری میکند.
به عبارتی، بعید است که شرکتها برای فریب سیستم، رضایت صوری دهند تا سیستم را گیج کنند و نقاط ضعفی را برای سواستفاده از داده کاربر توسط سازمانها ایجاد کنند.
- نفوذ در داده، طبق مقررات حفاظت کلی دادهها، شرکتها طی ۷۲ ساعت فرصت دارند نفوذ در دادهها را به اطلاع کاربران و / یا عموم برسانند.
- کاربران زیر ۱۶ سال، افراد زیر سن قانونی، قبل از به اشتراک گذاشتن اطلاعات، نیاز به رضایت یا موافقت والدین دارند.
- بیان واضح جهت درک آسان، باید با سیاستهای ساده و قابل درک رضایت کاربر دریافت شود. همچنین باید در صورت نیاز، روش کارآمدی برای کاربران جهت لغو رضایتشان در نظر گرفته شود.
- حق استفاده از دادههای کاربر، مقررات جدید همچنین به کاربران اجازه میدهد که خودشان دربارهی درخواستهای دسترسی به اطلاعاتشان تصمیم بگیرند و حق میدهند که آنها بدانند سازمانها تا چه اندازه از اطلاعاتشان استفاده میکنند.
- حفاظت سیستم قوی. این قانون مستلزم آن است که ابتدا به جای در نظر گرفتن سود و نیازهای سازمانها، سیستمهای حفاظتی قویتری را برای کاربران و مشتریان در نظر گیرد.
انواع دادههای شخصی که توسط GDPR محافظت میشوند
- اطلاعات شخصی اولیه مانند نام، آدرس و شماره شناسایی
- اطلاعات ژنتیکی و سلامت
- دادههای بیومتریک
- جهتگیری جنسی
- دادههای قومی یا اطلاعات نژادی
- دادههای وب مانند آدرس IP، موقعیت مکانی و دادههای کوکی
- اطلاعات بهداشتی و ژنتیکی
- دادههای بیومتریک
- دادههای قومی یا نژادی
- نظرات سیاسی
بعد از اجرایی شدن قانون GDPR نمایش whois دامنه های عمومی نظیر com و net و org نیز مخفی شد.
تغییر نحوه نمایش Whois
براساس قوانین ICANN و استاندارد GDPR، در خصوص اطلاعات کاربری “Contact Data” در بخش Whois Domain تنها اطلاعات ثبت کننده دامنه شامل موارد زیر نمایش داده خواهد شد:
Registrant Organization
نام سازمانی که دامنه را ثبت کرده است.
Registrant State (if available)
کشور ثبت شده
Registrant Country
کشور ثبت کننده دامنه
Registrant Email (only as a link to a web form – no address shown)
ایمیل ثبت کننده دامنه به صورت لینک نمایش داده می شود که به نوعی فرمی ساده است و ایمیل نمایش داده نمی شود.
شرکتهای تحت تاثیر قوانین GDPR
این قانون به شرکتهایی اطلاق می شود که اطلاعات مربوط به شهروندان اتحادیه اروپا را پردازش یا ذخیره میکنند (حتی اگر مکان فیزیکی آنها در داخل اتحادیه اروپا نباشد). شرکتهایی با ویژگیهای زیر باید از GDPR تبعیت کنند.
- شرکتهایی که در کشورهای عضو اتحادیه اروپا فعالیت میکنند.
- بیش از ۲۵۰ کارمند دارد.
- فرآیندهای شخصی اقامت در اتحادیه اروپا را انجام میدهند حتی اگر این مکان فیزیکی شرکت دراتحادیه اروپا نباشد.
- شرکتهایی که کمتر از ۲۵۰ کارمند دارند اما پردازش دادههایشان با کسب اجازهی قانونی از افراد نیست و شامل انواع از اطلاعات خاص و حساس شخصی ساکنان اتحادیه اروپا است.
نظرسنجی جدیدی که توسط Propeller Insights انجام گرفته، نشان میدهد، صنایعی همانند بخش فناوری، خرده فروشان آنلاین، شرکتهای نرم افزاری، خدمات مالی، خدمات آنلاین و کالاهای بسته بندی شدهی خرده فروشی یا مشتری تحت تأثیر این قانون قرار میگیرند.
الزامات GDPR که بر شرکت شما تأثیر میگذارد
شرکتهای آمریکایی باید نحوه ذخیره سازی، پردازش و محافظت از اطلاعات کاربران خود را تغییر دهند. تحت GDPR، شرکتها تنها زمانی که از اشخاص رضایت داشته باشند و فقط در حد نیازشان، مجاز به ذخیره و پردازش دادهها هستند. شرکتها همچنین باید به محض خواست مشتری، اطلاعات شخصی را پاک کنند و دادهها باید از یک شرکت به دیگری قابل انتقال باشند.
با این حال، در بعضی از موارد استثنائات هم وجود دارد. GDPR هیچ الزامات قانونی برای سازمانی که اطلاعات خاصی مانند پروندههای بهداشت IPAA را نگهداری میکند، در نظر نمیگیرد.
چگونه میتوان گفت که آیا GDPR برای شما هم اعمال میشود
GDPR به منظور حافظت از شهروندان اتحادیه اروپا، همه صنایع را در بر میگیرد. شرکتهای ایالات متحده در صورتی که به کاربران اتحادیه اروپا خدمت میکنند، باید با قوانین جدید تطابق یابند. حتی اگر افراد از وب سایت شما بازدید کنند یا از از برنامه شما به صورت تصادفی استفاده کنند، محافظت میشوند. زمانی که دادههای یک مخاطب ساکن در اتحادیه اروپا را جمعآوری میکنید چه از طریق اشتراک خبرنامه و چه هنگام توسعه یک نرم افزار شرکت شما باید از GDPR پیروی کند. این موضوع برای کسب و کارها ضروری است و کمک میکند تا قوانین لازم را در اسرع وقت به کار گیرد.
بنابراین، باید قراردادهای موجود با پردازندهها (به عنوان مثال، ارائه دهندگان خدمات پرداخت حقوق، ارائه دهندگان فضای ابری و یا فروشندگان خدمات آنلاین) بررسی شوند تا اطمینان حاصل گردد که مطابق با GDPR هستند. قراردادها نیز باید منعکس کنندهی تغییرات قانونی، نحوه محافظت و مدیریت دادهها و گزارش نحوهی نفوذها باشد.
تیمهای امنیتی، فعالیتهای تجاری و رهبران فناوری اطلاعات باید در مورد نحوهی ذخیرهسازی، پردازش و افشای دادهها و گزارش تبعیت از GDPR، آگاهی داشته باشند. هنگامی که این موارد کلیدی درک شود و تاثیر آن بر روی شرکت شما به رسمیت شناخته شود، متوجه شیوهی مدیریت بهتر ارتباط با فروشندگان شخص ثالث میشوید و فروشندگانی که نیاز به تمرکز بیشتری دارند، شناسایی میکنید.
مذاکرهای با شرکای شخص ثالث داشته باشید و بررسی کنید که کدام گواهینامهها را به کار میگیرند و آیا آنها مطابق با مقررات GDPR هستند یا خیر. آیا آنها ابزار لازم را برای بازیابی، پاک کردن یا اصلاح دادهها دارند؟ شما در ارتباط باهم هستید حفظ رابطه خوب باهم، در داشتن همکاری آزادانهتر کمک میکند.
قانون GDPR چه تاثیراتی خواهد داشت؟
هرچند این قانون کار شرکتهای بزرگی مانند گوگل و فیسبوک را از گذشته سختتر میکند، اما در حقیقت این شرکتهای کوچک هستند که برای تبعیت از این قانون با مشکلات بسیار بزرگتری مواجه میشوند؛ زیرا تبعیت از این قوانین هزینههای زیادی را بر شرکتها تحمیل میکند. در این میان غولهای بزرگ تکنولوژی مشکلی در این زمینه ندارند، اما شرکتهای کوچک نمیتوانند از پس این هزینهها بربیایند. برخی از سازندههای بازیهای آنلاین اعلام کردهاند که برای جلوگیری از دردسرهای متعدد، دسترسی کاربران اروپایی به بازیهای خود را مسدود میکنند. بر اساس نظر بسیاری از متخصصین، چنین قوانینی هرچند بهنفع کاربران اروپایی است، اما منجر به حذف شدن تعداد بسیاری زیادی از شرکتهای کوچک و قدرتمندتر شدن شرکتهای بزرگ میشود.