GDPR

قوانین مقررات عمومی حفاظت از داده در اروپا

این که در اروپا این قانون وضع شده و از ماه مِی سال ۲۰۱۸ لازم به اجرا شده داستانی طولانی تر از تصویب یک قانون در اتحادیه اروپا داره. اروپایی ها اتحادیه اروپا را تشکیل داده اند که با‌هم و به کمک‌هم جای بهتری برای زندگی درست کنند. اروپایی ها به اصلاح Consumer First  هستند در حالی آمریکا Producer First هست. یعنی سیاست دول اروپایی ارجحیت مصرف کننده ها نسبت به تولید کننده هاست. به زبان ساده در اروپا مصرف کننده ها که مردم عادی هستند که مالیات می پردازند و به همین علت باید سهم بیشتری از رفاه اجتماعی رو به خودشون اختصاص بدهند این درحالیست که در آمریکا تولید کنندگان به رشد اقتصادی کمک میکنند بنابراین باید مورد حمایت قوانین قرار بگیرند تا بتوانند بیشتر کسب ثروت کنند. در این مطلب در مورد اینکه کدام سیاست بهتر است صحبت نمی‌کنیم. در این مورد صحبت میکنیم که حریم خصوصی ما در فضای مجازی چطور مورد حمایت دول اروپایی قرار میگیرد.

قانون قبلی اتحادیه اروپا در سال ۱۹۹۵ به تصویب رسیده بود که با توجه به رشد قابل ملاحظه در صنعت فناوری اطلاعات نیاز به باز‌بینی اساسی داشته است.

قانون جدید به در چهاردهم ماه آوریل سال ۲۰۱۶به  تصویب اتحادیه اروپا میرسد که تا آخر ماه می سال ۲۰۱۸ لازم الاجرا میشود. به همین دلیل در اوایل سال ۲۰۱۸ ما بارها ایمیلهای متعددی از سایتها و شرکتهای عضوشان بودیم دریافت کردیم.

اجرای این قانون شامل چه شرکتهای می‌شود؟

• شرکتهایی که در اروپا کار می‌کنند
• شرکتهایی که دیتا‌های اروپایی‌ها را نگه می‌دارند و بیشتر از ۲۵۰ نفر کارمند دارند.
• شرکتهایی که دیتا‌های حساس اروپایی‌ها را نگه می‌دارند – حتی اگر کمتر از ۲۵۰ نفر کارمند دارند

سایت GDRP از عبارت Compliance استفاده کرده. که به نقل از یک منبع غیر موثق شرکتهای آمریکایی میبایست بین یک تا ده میلیون دلار برای منطبق شدن با GDPR هزینه می‌کردند.

حریم خصوص یا Privacy چیست که همچون قانونی در موردش به تصویب رسیده؟

به نقل از سایت Digitalgaurdian  حریم خصوص در فضای مجازی به معنی دموکراسی در نگهداری، آنالیز و سرنوشت داده ‌های افرد و شفافیت در آن.

مثالهای واقعی از عدم انطباق با GDPR

• چه موقع، چرا، به چه کسی و چند مرتبه ایمیل ارسال و یا دریافت کرده‌ایم. صاحبت این دیتا شخص حقیقی یا حقوقی مربوط به آن است ونه شرکت ارائه دهنده سرویس ایمیل. بنابر‌این اگر دولت آمریکا/جمهوری غیر اسلامی به شرکت ذی‌ربط درخواست داد تا اطلاعات مربوط به شخص و یا اشخاصی جهت بررسی امنیتی در اختیارشان بگذارند، بر خلاق قوانین GDPR.
  نکته تاریخی: در جریان حوادث ۸۸ دولت ایران با پرداخت هزینه زیاد به یکی Certificate Authority ها کلید خصوص سایتها شبکه اجتماعی را خریداری کرده و بشنود اطلاعات شخصی افراد پرداخته است. متاسفانه منبع رسمی براین این خبر در دست ندارم و این اتفاق فقط یک بار در تاریخ روی داده است که افتخارش برای ما ایرانی هاست.
• افراد با گرایشات جنسی مختلف این حق را دارند که اطلاعاتشان مخفی بماند. شخصی دگرباش اگر از سرویسی استفاده میکند برای دوست یابی این اطلاعات برای فروش نیست! که مثلا شرکت ایکس بگوید ما که گذشته این فرد که امروز رئیس جمهوری شده مطلعیم و این هم اسنادش.
• در خانمها جستجوی اسباب‌بازی های جنسی و در آقایون داروی افزایش قوای جنسی و یا افزایش سایز آلت تناسلی جستجو میکنیم، شرکت موتور‌جستجو می‌تواند این اطلاعات در قبال مبلغی به شرکتهای بازاریابی و یا سایتهای فروشگاه آنلاین و یا حتی به شرکتهای تولید کنند این محصولات بفروشد. این در حالیست که من این حق را دارم که در اینترنت به‌صورت آزادانه جستجو کنم بدون اینکه احساس کنم، فرد یا افرادی فعالیتهای من را رصد میکنند.

بعدهای گسترده تری از حریم خصوصی

پرایوسی برای حکومتها از حائز اهمیت است. علی الخصوص حکومتها مطلقه(دیکتاتور) از وجود حریم خصوص امن حراس دارند. مثال واقعی در دهه‌های بین ۵۰ تا ۹۰ میلادی سازمان NSA و FBI در آمریکا ساده ترین مکالمات خصوص افراد را شنود می کردند با این بهانه که اگر روزی مثلا قرار است یک سرقت مسلحانه صورت بگیرد بتوانند پیشگیری کنند. این در حالیست در برابر باند‌های مافیایی موفقیت چندانی نداشته‌اند. این سبک از سرقت اطلاعات خصوصی نمونه ‌های شکست خورده دیگری هم دارد. مثلا شوروی.

حکومتهای اروپایی ولی به این دلیل که قبلا اشاره کردیم، قدردان مصرف کننده و مالیات دهنده هستند معتقند که جامعه‌ای که در ان حریم خصوص نباشد دچار مشکلات متعدد دیگری میشود. تحقیقات در اروپا بر روی میمونها نشان داده است که رفتار شامپانزه‌ها وگوریل‌ها در حالی که در حال تماشا شدن هستند کاملا متفاوت است با رفتار عادیشان. Intimacy در اروپا به عنوان یک مثال انسانی نام برده میشه و تقریبا هیچ انسانی دوست نداره هنگام معاشقه مورد رصد قرار بگیره، از همین رو هیچ انسانی دوست نداره اطلاعات شخصیش مورد بررسی قرار بگیره.

قوانین مقررات عمومی حفاظت از اطلاعات به زبان ساده

چونکه در وب سایت GDPR به طور کامل توضیح داده شده و در صورت علاقه میشه بهش مراجعه کرد و با جزئیات بیشتری مطالعه کرد در بطور خلاصه به بندهایی از این موضوع اشاره می‌کنیم:

1. کاربر حق دارد که License Agreement را بفهمد و متعاقبا قبول و یا ردش بکند:
   1. توضیحات فنی و تخصصی حذف و بجای آن توضیحات ساده و شفاف در مورد سرنوشت اطلاعات نوشته شوند بطوری که برای همه قابل فهم باشد.
   2. توضیحات طولانی چندین صفحه ای درمورد قوانین و مقررات حذف و بجای توضیحات مختصر در باره باید و نبایدها نوشته شود.
2. کاربر حق دارد دیتاهای مربوط به خودش را پرتابل و در هر زمان که بخواهد داشته باشد و این اطلاعات باید Cross Platform قابل استفاده باشد
   1. مثال: از اینستاگرام درخواست می‌کنیم که تمام عکسها را دانلود کنیم و این عکسها باید با فرمت دیجیتال قابل اجرا بر روی همه ابزارها باشند(لب‌تاپ، موبایل‌، تبلت و …)  و نه اینکه مثلا یک فایل SVG دانلود بشود که ندانیم با چه ابزاری قابل باز شدن است
   2. مثال: از گیت‌هاب بخواهیم تمام لاگ پول ریکوئست های Fetch و یا API دانلودهای به فرمت ZIP را در اختیارمان قرار دهد، و این اطلاعات قابل خواندن باشد و نه اینکه یک فایل csv ارسال کنند که برای افراد عادی قابل خواندن نیست.
3. طراحی شده برای حریم خصوصی(Designed by Policy)
   1. سرویسها و ابزارها باید جوری طراحی شده باشند که از بطور پیش‌فرض از دیتاها محافظ کنند، به این معنی که کاربر نیاز نباشد برای حفظ حریم خصوص خود اقدام بیشتر کند.
   2. دیتاهایی که میشود HASH بشوند باید HASH بشود
   3. دیتا‌هایی که لازم نیست به کاربر ربط داشته باشد نباید ربط داشته باش. مثلا اگر عکسی آپلود میکنید برای پروفایلات لازم نیست اسم عکس اسمه خودتان باقی بماند و شرکت موظف است مکانیزمی طراحی کند که عکس مورد نظر به یک اسم یونیک دیگر که مشخص کننده اطلاعات شخصی شما نباشد تغییر دهد.
4. حق فراموش
   1. کاربر حق دارد حساب خود را هر زمان که بخواد حذف کند.
   2. مکانیزمی طراحی شود که حساب کاربری بعد از شش ماه عدم استفاده حذف شود – به تصویب رسیده و بعد اصلاح شده.
5. ریزش اطلاعات(Data Breach)
   1. ریزش اطلاعات امنیتی(Security Breach): مصداقش این است که فرض بر مثال پی‌پال هک شده و فرد و یا افرادی امکان دسترسی به حساب شما را دارند. باید بلافاصله اطلاع رسانی بشه و نسبت به مسدود کردن موقت حساب اقدام بشه تا زمانی که امنیت مالی شما تضمین بشه، مثال اطلاعات طبقه بندی مهم دیگر هم در ریزش اطلاعات امنیتی تصدیق پیدا میکنه. همانطور که بارها اشاره کردیم سایت GPDR خیلی روی اطلاعات مربوط به گرایشات جنسی تاکید دارد. ضمن اینکه قانون به کاربر حق میده که در صورت لزوم دادخواست به مقامات قضایی ببره.
   2. ریزش اطلاعات(Information Breach): اطلاعات شما به نحوی در ریزش کرده و فرد یا افرادی به اون دسترسی دارند. حتی اگر این اطلاعات حیاتی نباشند ولی شرکت موظف است که ظرف ۷۲ ساعت اطلاع رسانی کنه. همچنان شانس بردن دادخواست به مقامات قضایی در صورت ادعای ضرر و زیان در نظر گرفته شده.
6. شرکتها موظفند که Data Protection Office داشته باشند
   این شخص بالاترین رده سازمانی برای کنترل و بررسی انطباق با GDPR و همچنین مسئول آموزش به کارمندان و همچنین اطلاع رسانی در مورد قوانین و دستورالعمل های جدید. این پوزیشن برای این در نظر گرفته شده که شرکتها به صورت پیش‌گیرانه نسبت به حریم خصوص افراد تعهد داشته باشند.