GDPR و تاثیر آن بر کسب و کارهای ایرانی

پایگاه خبری روز داغ البرز_ افسانه شوشتری

در دنیای امروز تعداد زیادی از مردم روزانه به طور مستقیم با اینترنت سرو کار دارند و از سایت های مختلف بازدید می نمایند. و در واقع اینترنت نحوه برقراری ارتباط را در دنیای امروز به طور کلی تغییر داده است.

ما در فضای اینترنت از طریق ایمیل اسناد جابجا می کنیم، پرداخت های خود را به صورت اینترنتی پرداخت می کنیم. و برای تمام این امور از اطلاعات شخصی بهره می‌بریم.

روزانه چه میزان از " اطلاعات شخصی" را به صورت مجازی توزیع می‌کنیم؟بر سر اطلاعات شخصی ارائه شده ما چه می آید؟ (اسم، اطلاعات بانکی، آدرس و آدرس های آی پی)

تقریبا همه ما از استفاده از خدمات رایگان از قبیل گوگل، فیس‌بوک و توییتر در ازای طیف گسترده‌ای از اطلاعات شخصی از اسم و آدرس گرفته تا گرایش‌های سیاسی لذت می‌بریم. شرکت‌ها این اطلاعات را با هدف ارائه بهتر خدمات برای افراد جمع‌آوری می‌کنند، ولیکن وجود شرایط و ضوابط نامشخص این امر را برای کاربران سخت می کند که متوجه باشند موافق دادن چه اطلاعاتی به این قببیل فناوری‌ها هستند. و در برخی موارد شاهد لطمه زیادی به حریم شخصی افراد بوده ایم، به عنوان مثال آن زمان که اطلاعات تعداد زیادی از کاربران شرکت فیس‌بوک توسط شخص ثالثی مورد استفاده قرار گرفت.

پس از رخداد این چنین وقایع و سواستفاده از حریم شخصی افراد،اتحادیه اروپا با تضمین این که که این اطلاعات صرفا برای ارائه بهتر خدمات است، باعث تصویب مقررات حفظ حریم خصوصی جدیدی در می ۲۰۱۸ تحت عنوان GDPR شد که به طور کلی نحوه جمع‌آوری، ذخیره و استفاده از داده‌های مشتریان را توسط کسب و کارها و شرکت‌ها تغییر داد. ظی آمار کسب شده، در میان شرکت‌هایی که با اطلاعات کاربران از اتحادیه اروپا سر و کار داشتند، نشان داده شد که ۸۰ درصد کسب و کارها اطلاعات بسیار کم و حتی ناچیزی در مورد این مقرره جدید دارند.   

GDPR

GDPR که مخفف شده General data protection regulation است، در واقع سلسله قواعدی است که برای ایجاد کنترل بیشتر بر روی اطلاعات شخصی مردم در اتحادیه اروپا توسط شورای اروپا و پارلمان اروپا به تصویب رسیده است. با این هدف که مقررات قانونی را برای کسب و کارها ساده‌تر کند تا از این طریق هم شهرویندادن و هم کسب و کارها در اتحادیه اروپا از عصر دیجیتال بهره لازم را ببرند.

این مقرره تمام شرکت‌هایی را که با اطلاعات شخصی کاربران اتحادیه اروپا در ارتباط هستند شامل می‌شود و تضمین کننده حفاظت از اطلاعات کاربران آن‌ها است حتی اگر آن شرکت ها خارج از اتحادیه اروپا باشند ولی با اطلاعات مردم این منطقه در ارتباط باشند مشمول این مقرره خواهند بود.  

حال نه تنها شرکت‌ها موظف هستند از اطلاعات شخصی افراد که به صورت قانونی و با شرایط دقیق و سختی جمع‌آوری می‌کنند، حمایت کنند بلکه کسانی که این اطلاعات را جمع‌آوری و مدیریت می‌کنند موظف و متعهد هستند که در برابر هر نوع سو استفاده و بهره‌برداری از آن حفاظت کنند در غیر این صورت با جرایم سنگینی روبه‌رو می‌شوند.

تعریف اطلاعات شخصی در این مقرره

قبلا اطلاعات شخصی عبارت بود از: اسم، آدرس و عکس، اما در مقرره فعلی این تعریف و مصادیق آن گسترده‌تر شده و در واقع تمام مواردی که مرتبط با فرد باشد، اطلاعات شخصی تلقی می‌شود. از جمله نام، عکس، آدرس، ایمیل، اطلاعات بانکی، اطلاعات مکانی، اطلاعات درمانی و حتی آدرس آی پی. هم چنین شامل اطلاعات شخصی حساس نظیر اطلاعات ژنتیکی نیز می‌شود که می‌تواند به صورت منحصر به فرد یک فرد را شناسایی کند.

و اما حقوقی  در این مقرره برای کاربر در نطر گرفته شده است:

–       حق دسترسی: افراد حق دارند درخواست دسترسی به اطلاعات شخصی خود را داشته باشند و هم‌چنین حق دارند که بدانند این اطلاعات توسط آن وبسایت چگونه مورد استفاده قرار می‌گیرد.

–       حق پاک شدن اطلاعات: اگر کاربران فعلی بعد از گذشت مدت زمان طولانی دیگر کاربر آن سایت نبودند این حق را دارند که بتوانند اطلاعات خود را محو کنند.

–       حق دسترسی به داده‌ها: کاربران این حق را دارند که بتوانند اطلاعاتشان را از یک ارائه دهنده خدمات به یک ارائه دهنده دیگر انتقال دهند.

–       حق آگاهی داشتن: هر جمع‌آوری اطلاعاتی باید با آگاهی قبلی کاربران صورت بگیرد و نکنه مهم این است که اعلام رضایت باید به صورت صریح باشد نه ضمنی.

–       حق تصحیح اطلاعات: در صورتی که اطلاعات ناقص، غلط یا قدیمی باشد، کاربران می‌توانند اطلاعاتشان را بروز‌رسانی کنند.

–       محدودیت پردازش: کاربران حق دارند برای پردازش اطلاعاتشان محدودیت ایجاد کنند.

–       حق اعتراض: کاربران حق دارند پردازش اطلاعاتشان را با اعتراض به آن متوقف کنند. این حق هیج استثنایی ندارد.

–       حق دریافت اطلاع: اگر نقص اطلاعاتی وجود داشته باشد که اطلاعات فردی را نیز مختل کند، ظرف ۷۲ ساعت از آگاه شدن از نقص باید به اطلاع کاربران برسد.

در این مقرره مشخص شده است که جریمه عدم مطابقت این مقررات با قوانین داخلی کشورها از ۴ درصد گردش مالی جهانی سالانه شرکت تا سقف ۲۰ میلیون یورو تعیین می شود.  

تاثیر GDRP بر کسب و کارها

با اجرایی شدن این مقرره به دست آوردن رضایت کاربران سخت‌تر از قبل شده است و برای فعالیت‌های مختلف باید اعلام رضایت جداگانه‌ای (نه اعلام رضایت کلی) وجود داشته باشد. این امر باعث تغییرات زیادی در حورزه کسب و کار نظیر نحوه تعیین چشم انداز تیم فروش یک شرکت و یا  نحوه مدیریت فعالیت‌های بازاریابی شده است. هم‌چنین وی سایت ها می بایست برای دسترسی به اطلاعات کاربران دلایل قوی حقوقی ارائه کنند. در حالی که بلا این چنین نبود.

لازم بذکر است که اجرایی کردن این مقرره در عین حال برای شرکت ها پر هزینه می باشد. البته تامین این هزینه‌ها برای شرکت‌های بزرگی مانند گوگل و فیس‌بوک به راحتی امکان پذیر است ، اما چون برای شرکت های کوچک اینچنین نیست اغلب آنها دسترسی کاربران اروپایی را به وبسایت‌های خود مسدود نمایند و به عبارتی  GDPRبه همان نسبت که برای کسب و کارها چالش ایجاد می‌کند در عین حال برای آن‌ها فرصت‌هایی را هم به وجود می‌آورد و شرکت‌هایی که ارزش‌گذاری خود را بر روی حریم خصوصی افراد نشان می‌دهند، نسبت به نحوه استفاده از اطلاعات شفاف هستند و راه‌های جدید و پیشرفته‌ای را برای مدیریت اطلاعات کاربران طراحی و اجرا می‌کنند اعتماد عمیق‌تری را ایجاد و نسبت به کاربران خود وفادارتر جلوه می‌کنند.

سیاست‌های حریم خصوصی در ایران

مطابق ماده ۷ آیین نامه جمع‌آوری و استنادپذیری ادله الکترونیکی، داده‌های محتوا و ترافیک و اطلاعات کاربران باید مطابق مقررات این آیین نامه به نحوی نگه‌داری، حفاظت، توقیف و ارائه شود که صحت و تمامیت، محرمانگی، اعتبار و انکارناپذیری آن‌ها محفوظ بماند.

مطابق ماده۱ بند الف و ب  قانون انتشار و دسترسی آزاد به اطلاعات، اطلاعات و اطلاعات شخصی به طور دقیق تعریف شده‌اند.

الف) اطلاعات: هر نوع داده که در اسناد مندرج باشد یا به صورت نرم افزاری ذخیره گردیده و یا با هر وسیله دیگری ضبط شده باشد.

ب)  اطلاعات شخصی: اطلاعات فردی نظیر نام و نام خانوادگی، نشانی‌های محل سکونت و محل کار، وضعیت زندگی خانوادگی، عادت‌های فردی، ناراحتی‌های جسمی، شماره حساب بانکی و رمز عبور است.

ماده ۱۴ در راستای حمایت از حریم خصوصی بیان می‌دارد که:

چنانچه اطلاعات درخواست شده مربوط به حریم خصوصی اشخاص باشد و یا در زمره اطلاعاتی باشد که با نقض احکام مربوط به حریم خصوصی تحصیل شده است، درخواست دسترسی باید رد شود.

در این قوانین صرفا به برخی تعاریف و قواعد کلی بسنده شده و نکته مهم‌تر آن‌که با توجه به گسترش فعالیت‌های کسب و کارهای نوین در حوزه اینترنت، حفاظت و حمایت از حریم خصوصی افراد به وسیله قانون باید بیشتر تامین بشود تا اعتماد سازنده‌ای در این میان برای کاربران به وجود بیاید.

در این راستا هر چند که این مقرره برای کاربران اتحادیه اروپا و شرکت هایی که با اطلاعات مردم اروپا سر و کار دارند، طراحی شده است با این حال به جهت کامل بودن و جامع بودن آن می توان از آن برای تمام کسب و کارهایی که با اطلاعات شخصی همه افراد سر و کار دارند به کار برد. این امر برای ایران هم ضروری به نظر می رسد و تمامی کسب و کارها باید این موضوع را در نظر بگیرند که حفظ حریم خصوصی کاربران و شفاف سازی همه امور در این زمینه از جمله آگاهی دادن در مورد نحوه استفاده از اطلاعات شخصی و علت آن می تواند باعث اعتماد هر چه بیشتر کاربران به آن ها و خدماتشان شود.