قانون GDPR چیست و چرا حریم خصوصی کاربران در فضای آنلاین مهم است؟

امروزه بسیاری از فرآیندهای معمول در یک کسب‌وکار آنلاین، مبتنی بر داده جلو می‌رود. آنقدرها هم مهم نیست که یک کسب‌وکار در چه سایزی مشغول به فعالیت است؛ یک مجموعه کوچک و تازه‌کار است یا شرکتی بزرگ و چندمجموعه‌ای. داده در جهان کسب‌وکار امروز و صدالبته در بسیاری از حوزه‌های دیگر نقشی پررنگ و کاربردی دارد و کم‌کم دارد به عضوی جدایی‌ناپذیر از جهان ما تبدیل می‌شود.

یکی از موضوعاتی که مخصوصا از 10 سال گذشته در میان صحبت‌های محافل مختلف جا گرفته است، مشکلاتی است که تقاطع داده و حریم خصوصی افراد به وجود می‌آورد. به قولی Data-Driven (داده‌محور) شدن با خودش اصول و چالش‌هایی را به همراه می‌آورد که اگر همگام با آن‌ها پیش نروید، شکست‌تان حتمی خواهد بود! در این مطلب می‌خواهیم به قوانین جدید اروپا در خصوص حفاظت از حریم خصوصی کاربر و اهمیت این حریم بپردازیم و کمی از راه‌های ساده‌ای بگوییم که زیست آنلاین شما را سالم‌تر و شخصی‌تر می‌سازند.

قانون GDPR چیست؟

علامت اختصاری GDPR درواقع به عبارت چهارکلمه‌ای General Data Protection Regulations اطلاق می‌شود و به معنی «مقررات حفاظت از داده‌های عمومی» است. از آنجایی که این مقررات مختص اتحادیه اروپاست و در همانجا هم به تصویب رسیده است، معمولا از آن به شکل GDPR (EU) هم یاد می‌شود. حالا اصلا چرا و از چه زمانی چنین مقرراتی به وجود آمد؟

قانون GDPR یکی از قوانین جالب و سختگیرانه موجود در زمینه حفاظت از داده‌های خصوصی کاربران در فضای عمومی اینترنت است. این قانون که حاصل مذاکرات چندین و چندساله در پارلمان اتحادیه اروپاست برای ایجاد چارچوبی مشخص برای شرکت‌ها و سازمان‌هایی به وجود آمد که به هر نحوی، دسترسی خوبی به داده‌های افراد داشتند. سند GDPR برای اولین بار در سال 2012 در پارلمان اتحادیه اروپا ارائه شد و پس از تغییرات، گفت‌وگوها و مذاکراتی گسترده، بالاخره پس از 6 سال در گستره کشورهای عضو اتحادیه اروپا لازم‌الاجرا اعلام شد. از تاریخ 25 می 2018 معادل مرداد 1397، GDPR با مفادی طولانی، سختگیرانه و البته مهم برای کاربر اینترنت امروز، به شرکت‎ها و سازمان‌های اروپایی اعلام شد.

هدف اروپا از تصویب قانون GDPR

اتحادیه اروپا که پیش از این هم اهمیت زیادی به این حوزه می‌داد و قوانین مختلفی را در پارلمان به تصویب رسانده بود، با GDPR همه این قوانین را یکسره کرد و جلوی هرگونه سواستفاده شرکت‌ها از داده‌های کاربران را گرفت. این قانون تا حد بسیار خوبی راه را برای تجاوز به حریم خصوصی کاربران بسته است و طبق این قانون، شهروندان اروپایی نه‌تنها مالکیت داده‌های خود را در دست دارند، بلکه در صورت مشاهده نقض این حق مالکیت توسط شرکت‌های کوچک و بزرگ، به صورت کاملا رسمی و سریع می‌توانند در محضر قانون از شرکت‌ها شکایت کنند.

درواقع هدف اصلی از به تصویب رساندن این مقررات افزایش کنترل شهروندان اروپایی بر اطلاعاتی بود که آن‌ها در زیست آنلاین خود به اشتراک می‌گذاشتند. داشتن حریم خصوصی در اروپا یک حق اساسی محسوب می‌شود و از آنجایی که قسمت مهمی از زندگی هر فردی در جهان امروز، زندگی آنلاین اوست، این حق اساسی به فعالیت آنلاین هم تعلق می‌گیرد.

قانون GDPR با فراهم کردن یک محیط قانونی برای کسب‌وکارها و فضایی سالم برای افراد، سعی در حفاظت از همین حق دارد. اتحادیه اروپا از سال 1995 تاکید زیادی بر روی این قوانین حفاظتی داشته‌اند و به نوعی سعی کرده‌اند با این قوانین، راه‌های سواستفاده از حق حریم خصوصی افراد را در جهانی که بیشتر از همیشه متکی بر داده است، ببندند. GDPR هم همچون مقررات سال‌هاي گذشته اروپا، هدفی جز این ندارد.

مفاد، جریمه‌ها و تعاریف موجود در سند GDPR

به صورت کلی، اطلاعات مهمی در سند GDPR وجود دارد که دانستنش حتی برای ما شهروندان ایرانی هم واجب است. این اطلاعات به جزئیاتی اشاره دارند که سند GDPR را نزد همگان و خصوصا پارلمان اتحادیه اروپا معتبر کرده است.

مفاد

در مفاد سند، هرگونه نقض حقوق حریم خصوصی کاربر با مجازات همراه شده است؛ همین مسئله هم به‌تنهایی، دست شرکت‌ها را در استفاده غیرقانونی از داده‌ها بسته است. مثلا هیچ شرکتی در گسترده اروپا نمی‌تواند بدون گرفتن رضایت شفاف کاربر، اطلاعات او را جمع‌آوری کند. مبنی بر همین مورد، هر کاربری می‌تواند درخواست استعلام موارد جمع‌آوری شده را بدهد و از نحوه استفاده از داده‌هایش آگاه شود. یکی از موارد اصلی در مفاد GDPR، ارسال پیام‌های هشدار به کاربران است تا صراحتا از کاربر اجازه دسترسی بخواهد.

در این مفاد پردازش داده‌ها هم ممنوع شمرده شده است. درباره اشتراک داده‎‌ها هم قوانینی تعیین شده است که هر شرکت باید به آن عمل کند. مثلا اگر شرکتی بخواهد داده‌هایی که جمع‌آوری کرده است را به شرکت‌های دیگری بفروشد، طبق مفاد GDPR، کاربران صاحب داده باید از این فروش، اسم شرکت خریدار و نحوه استفاده از داده خبردار شود. از دیگر موارد که اتفاقا گوگل هم دارد روی آن کار می‌کند، حق پاکسازی داده‌هاست. هر کاربری باید بتواند داده‌ها و پروفایلی را که از خود در یک سایت ساخته است، حذف کند.

یکی از عناوینی که در این مفاد بارها آورده شده است، DOP یا «مسئول حفاظت از داده» است. این عنوان به همه سازمان‌های و شرکت‌هایی منصوب می‌شود که بیشتر از 250 پرسنل در آن مشغول به کارند. درواقع مسئولان حفاظت از داده در سطح بالاتری به رعایت مفاد GDPR می‌پردازند.

در مفاد این سند از یک مسئول حفاظت داده انتظار می‌رود که:

• در مدیریت فرآیندها و منابع فناوری اطلاعات دانش و مهارت کافی را داشته باشد.
• درک و توانایی لازم را در فرآیندهای ذخیره‌سازی، پردازش اطلاعات حساس و در نتیجه تداوم کسب‌‌وکار داشته باشد.
• در امنیت اطلاعات، به‌خصوص در زمینه امنیت سایبری (حملات سایبری، محافظت از داده‌ها و اطلاعات در مقابل هکرهای سایبری و دیگر موارد) مهارت کافی داشته باشد.

جریمه شرکت‌های ناقض مفاد

در GDPR طیف مختلفی از جریمه‌ها برای هر شرکت یا سازمانی که از مفاد مشخص سند پیرامون داده‌های کاربران تخطی کند تعیین شده است. جریمه‌ها شامل موارد زیر می‌شوند:

• برای بار اول: هشدار کتبی به دلیل بروز ناهماهنگی‌های غیرعمدی با مفاد.
• برای بار دوم: بازرسی از داده‌ها و توبیخ رسمی.
• برای بار سوم: بازرسی مجدد و تعلیق پردازش داده‌ها.
• در صورت تکرار یا مشاهده نقض صریح مفاد: تنظیم جریمه تا ۲۰ میلیون یورو / گرفتن ۴ درصد از گردش مالی سالانه سازمان.

داده‌های شخصی دقیقا شامل چه چیزهایی است؟

سوال مهم در این میان، این است که داده شخصی یا آنچه که در سند GDPR با عنوان Personal Data از آن یاد می‌شود چیست. به عبارت بهتر، شرکت‌ها باید از استفاده از کدام داده‌ها اجتناب کنند؟ داده‌های شخصی در این سند به معنای هرگونه اطلاعات خصوصی است که می‌توان از آن‌ها، چه به صورت مستقیم و چه به صورت غیرمستقیم، برای شناسایی یک فرد استفاده کرد.

 این داده‌ها شامل «نام، آدرس محل سکونت، محل کار یا محل تحصیل، اطلاعات محلی و جغرافیایی در مجموع، IPها و اطلاعات شناسایی آنلاین، اطلاعات سلامت همچون ویژگی‌های فیزیکی خاص یا ویژگی‌های منحصربه‌فرد روانشناختی، درآمد، اطلاعات فرهنگی فرد همچون ملیت، مذهب، رنگ پوست یا دیدگاه او به مسائل سیاسی» می‌شود. همه این موارد در دسته Personal Data قرار می‌گیرد.

چرا فهم اهمیت GDPR و حریم خصوصی داده برای ما مهم است؟

داده‌هایی که ما در اینترنت از خودمان به جا می‌گذاریم، قسمتی از هویت ما هستند. اگر کسی وارد خانه شما شود و از شما پول بدزد، مرتکب جرم شده است. اگر کسی با نام شما در یک کتابخانه ثبت نام کند، باز هم مرتکب جرم شده است. تجاوز و دزدی هویت شما از تجاوز به دارایی‌هایی شما جرم کمتری نیست. امروزه شرکت‌های زیادی با داده‌های کاربران اینترنت و فروختنش به شرکت‌های مختلف از جمله شرکت‌های تبلیغاتی، کسب درآمد می‌کنند و استراتژی‌های هدفمندی می‌چینند. مهم است که در این بازار، شما قربانی یک دزدی هویتی نشوید.

برای مثال گوگل چندین و چند بار در سال‌های اخیر متهم به استفاده از اطلاعات شخصی کاربران خود شده است. قانون GDPR با سروصداهایی که کرد، آگاهی را هم نسبت به اهمیت حفاظت از داده‌ها بالا برد. به طوری که حالا بسیاری از شرکت‌های بزرگ مانند گوگل و فیسبوک، با وجود اینکه شامل قانون GDPR نمی‌شوند، اما در مظان اتهام قرار می‌گیرند و جریمه می‌پردازند. درواقع در پی همین افزایش آگاهی‌ها و دادخواهی‌ها هم بود که استفاده از هرگونه کوکی شخص ثالث از اعتبار افتاد چرا که عملا به ردیابی کاربران و رفتارهای آنان در سطح وب می‌پرداخت.

پس زیست آنلاین هر فرد، اگر بیشتر از زندگی آفلاین او مهم نباشد، حداقل به همان اندازه مهم است. امروزه با اینکه فقط در اروپا شاهد این مقررات مهم و حفاظتی هستیم، اما بعید نیست که این مقررات در همین سال‌ها به کشورهای دیگر هم راه پیدا کنند. هرچند که قانون GDPR آنچنان نمی‌تواند شرکت‌های بزرگی که ناقض حریم خصوصی افراد هستند را زمین بزند و آن‌ها به دلیل دسترسی به منابع مالی گسترده توان پرداخت جریمه را دارند، اما با این همه، GDPR از هر زاویه‌ای که به آن نگاه کنیم، به نفع کاربران فعال در اینترنت است. البته ما هم به موازات رگولاسیون‌ها و مقررات رسمی‌ای که انتظار می‌رود فعالیت‌های مشکوک شرکت‌ها را محدود کنند باید از اطلاعات و داده‌های خود محافظت کنیم و کمال رعایت را در خصوص فعالیت آنلاین خود داشته باشیم. اما چگونه باید این کار را کنیم؟

چگونه از حریم داده‌های آنلاین خود محافظت کنیم؟

حجم بسیار وسیعی از ارتباطات، تعاملات و رفتارهای ما انسان‌های قرن بیست‌ویکم در سطح وب انجام می‌شود. در چنین شرایطی، مراقبت‌ها و مراعات‌های ساده نقش بسیار مهمی در حفاظت از اطلاعات ما بازی می‌کنند؛ شاید جالب باشد که بدانید این مسئله به قدری مهم است که ما در تقویم میلادی، 28 ژانویه را به روز «حریم خصوصی اطلاعات» می‌شناسیم!

با استفاده از نکات کاربردی و ساده زیر، فعالیت محافظت‌شده‌تری در سطح اینترنت داشته باشید و مانع از سواستفاده‌های شرکتی و تجاوز به حریم خصوصی‌تان شوید. توجه داشته باشید که با وجود اینکه این موارد بسیار ساده هستند، بسیاری از افراد از انجام دادن آن‌ها غافل می‌شوند و البته ضربه هم می‌بینند.

1. رمزهای طولانی، سخت و قوی انتخاب کنید! از گذاشتن نام خود، عزیزان یا حیوان خانگی‌تان یا حتی تاریخ‌های مهم زندگی خود اجتناب کنید. این رمزها قابل حدس و قابل دسترسی هستند.
2. از داده‌های خود بک‌آپ بگیرید.
3. مطمئن شوید دستگاه‌های مورد استفاده‌تان ویروسی نیستند و از سطح حفاظتی نرمال برخوردارند.
4. اگر می‌خواهید با سیستم فرد دیگری چیزی را سرچ کنید، مطلقا از پنجره معمولی مروگر استفاده نکنید. درعوض، یک پنجره ناشناس (Private Window یا Incognito Window) باز کنید. به تبع همین نکته، هیچوقت در سیستم فرد دیگری، اکانت گوگل کروم یا فایرفاکس خود را وارد نکنید. هردوی این نکات برای عدم ایجاد دسترسی فردی دیگر به سابقه سرچ شما انجام می‌شود.
5. ایمیل‌های مشکوک یا ایمیل‌هایی که از یک فرستنده ناشناس با اسم و آدرس مجهول فرستاده می‌شوند را باز نکنید.
6. اطلاعات خود را در سیستم و خصوصا مرورگرها ذخیره نکنید. اگر از شما پرسیده شد که «نام کاربری و پسورد ذخیره شود؟»، همیشه گزینه «هرگز» را انتخاب کنید.
7. پیام‌ها یا نوتیفیکشن‌ها را با دقت بخوانید و پیش از خواندن دقیق، اصلا گزینه «اوکی» را نزنید و روی آن‌ها کلیک نکنید.
8. در خیلی از مواقع فقط بستن و خروج از برنامه‌هایی همچون ایمیل، تلگرام، اینستاگرام یا توییتر کافی نیست. سعی کنید به log out کردن یا همان خروج از اکانت عادت کنید.
9. خرید اینترنتی را هیچوقت نه با یک کامپیوتر غیرامن انجام ندهید و نه از یک فروشگاه نامطمئن. حتما از اعتبار فروشگاه و البته اینترنت بانک‌ها مطمئن شوید؛ چرا که ممکن است اطلاعات شخصی شما و شماره‌های مهم کارت بانکی‌تان ذخیره شود.
10. از داشتن یک آنتی‌ویروس فعال غافل نشوید.
11. در صورت عدم استفاده از سیستم خود، حتما آن را قفل کنید؛ چه گوشی و چه رایانه شخصی.
12. سعی کنید نرم‌افزارهای خود را آپدیت‌شده نگه دارید. به هیچ عنوان نرم‌افزارهای مشکوک نصب نکنید.
13. از وای‌فای‌های عمومی استفاده نکنید و به هر وای‌فای بدون رمزی متصل نشوید.
14. احتمالا گوگل، مرورگر منتخب شما هم هست. برای فهم نحوه کار داده‌ها، ترجیحا درباره انواع کوکی‌ها، خصوصا کوکی شخص اول و شخص ثالث دانش کسب کنید.
15. نهایتا، اگر شما هم مثل کثیری از افراد فکر می‌کنید در امان ماندن از ردیابی‌های گوگل ممکن نیست، می‌توانید به مرورگرهایی با حریم خصوصی و امنیت بهتر کوچ کنید. پیشنهاد ما مرورگر Tor، مروگر DuckDuckGo و مرورگر Brave است.

اگر موارد دیگری را برای حفظ حریم خصوصی می‌شناسید، حتما با ما و خوانندگان دی‌ام برد آن‌ها را به اشتراک بگذارید.