در ماه می سال جاری، اتحادیه اروپا با ارائه قوانین حفظ حریم خصوصی تحت عنوان GDPR "قوانین عمومی حفاظت از اطلاعات"، محدودیت های جدیدی را برای سازمان ها و شرکت ها ایجاد کرده است.
در صورتیکه به این موضوع علاقهمند هستید، با بررسی آنها مشاهده خواهیدکرد که تغییرات زیاد و متنوعی طی ماههای گذشته در مفاد آن ایجاد شده است. اجرای این قانون باعث شده است که از موسسه Google تا Slack همگی در متن قوانین حفظ حریم خصوصی خود بروز رسانیهای زیادی را انجام دهند و مفاد قراردادهای خود را بازنویسی کنند و از ابزارها و نرمافزارهای جدیدی برای حفاظت و انتقال و به اشتراک گذاردن اطلاعات و دادههای کاربران خود استفاده می کنند تا با قوانین جدید ارائه شده همخوانی داشته باشند. نواقص موجود در قوانین، مشکلات زیادی را برای موسسات حقوقی و قانونی ایجاد کرده بود، ولی با ایجاد تغییرات در قوانین و آیین نامهها و همچنین اعلان عمومی شکایات در ارتباط با آنها، باعث شد که قوانین حفظ حریم خصوصی، حتی کاربران در سطوح متوسط اینترنت را نیز تحت تاثیر خود قرار دهند.
این قانون جدید GDPR[1]، باعث شده است که در بسیاری از بخش های اینترنت تغییرات عمدهای بهوجود آید. در این مقاله سعی خواهیم کرد که شما را با کلیات این قانون آشنا کنیم.
GDPR چیست؟
GDPR قانونی است که در سال 2016 میلادی توسط اتحادیه اروپا تصویب شده است، این قانون در موضوع نحوه مدیریت دادههای شخصی کاربران توسط موسسات وسازمانها تنظیم شده است. در تئوری، این قانون برای کاربران مستقر در کشورهای عضو اتحادیه اروپا تنظیم شده است، اما با توجه به عمومیت و فراگیری اینترنت در همه بخشهای دنیا، باعث شده است که این قوانین علاوه بر اروپا بر روی سایر بخشهای اینترنت در قارههای مختلف دنیا و موسسات و شرکتهای آمریکایی نیز تاثیر گذارد.
قوانین جدید از 25 ماه می 2018، اجرایی خواهند شد.
اغلب قوانین GDPR بر مبنای همان آیین نامههای حفظ حریم خصوصی اتحادیه اروپا نظیر Privacy Shield و Data Protection Directive نوشته شدهاند و فقط بر روی آنها بر مبنای دو اصلی که به آنها اشاره می کنیم، تغییراتی انجام شده است. اول اینکه کنترل بیشتری در کسب اطلاعات شخصی نسبت به آنچه که تا کنون در اینترنت وجود داشت، برقرار گردیده است. در حال حاضر و بهطور پیش فرض، هر موسسهای که اقدام به جمعآوری اطلاعات شخصی مربوط به یک شهروند اروپایی میکند، باید بهطور کاملا مشخص و بهوضوح آن را به اطلاع فرد مذکور برساند. کاربران نیز باید قادر باشند تا آن را برای تائید بازخوانی کنند و باید ابزاری در اختیار کاربران قرار گیرد تا از موسسه مورد نظر درخواست دریافت تمامی اطلاعات مربوط به آنها را کنند تا بتوانند محتوای آنها را بازخوانی و کنترل کنند. این آییننامه بسیار قدرتمندتر از فرآیندهای موجود می باشد و کلیه موسسات و شرکت های خارج از اتحادیه اروپا را نیز تحت تاثیر خود قرار خواهد داد. برای موسساتی که به فعالیت جمعآوری دادهها و بهاشتراک گذاری آنها با حداقل و یا اعمال هیچگونه محدودیتی مشغولند، این قانون به منزله ایجاد تغییرات اساسی در آییننامههای نحوه ارسال و جمع آوری دادهها از طریق تبلیغات آنلاین می باشد.
دوم اینکه، جرائم در نظر گرفته شده در GDPR به اندازه کافی سخت و فراگیر در نظر گرفته شدهاند تا بتوانند به عنوان اهرم اجرایی مناسبی برای اجرای آنها در تمام موسسات و سازمانهای دینفع مورد استفاده قرار گیرند. حداکثر جریمه مربوط به ارتکاب جرائم در این حوزه برابر با 4 درصد مبلغ گردش مالی شرکت (یا 20 میلیون دلار) تعیین شده است. این مبلغ به مراتب بیشتر از جرائمی است که قبلا برای آیین نامه های Data Protection Directive در نظر گرفته شده بود، و این نکته میزان اهمیتی که اتحادیه اروپا برای حفظ حریم خصوصی شهروندان خود قائل می باشد را نشان میدهد. این میزان جریمه نه تنها برای موسساتی نظیر گوگل و فیسبوک، بلکه برای شرکتها و موسسات کوچکتر هم به اندازه کافی زیاد میباشد که باعث شود، آنها هم از این آییننامهها و قوانین جدید پیروی کنند.
یکی از سخت ترین بخش های در نظر گرفته شده در قانون GDPR این است که کلیه موسسات و شرکت های موضوع قانون GDPR موظف هستند تا حداکثر 25 ماه می 2018 این قانون را در کلیه فعالیتهایشان اجرایی کنند.
چه تغییراتی ایجاد خواهد شد؟
آشکارترین و سریعترین تغییر در آییننامههای ارائه خدمات (Terms of Services) و موضوعات مرتبط با آن میباشد. برای برآورده کردن شروط مندرج در قانون GDPR (اهم آنها عبارتند از: دریافت به اختیار اطلاعات، مشخص و بر حسب مورد، کسب با اطلاع و اعلان صریح مورد استفاده) برای کسب اطلاعات شخصی افراد و کاربران، موسسات و شرکت ها باید درخواست مجوزهای بیشتری را برای کسب اطلاعات کاربران کنند. این بدان معنا است که در مراحل دریافت و جمع آوری اطلاعات با استفاده از صفحات بیشتر و توضیحات واضح تر از کاربران برای ادامه مراحل بعدی تائیدیه دریافت شود (افزایش تعداد پنجرههای دریافت تائیدیه و ارائه توضیحات به کاربران).
البته بیشترین تغییرات به صورت مخفی از دید کاربران رخ می دهند.
بر اساس این قانون، امکان اینکه موسسه قابلیت دانلود کردن کلیه دادهها و اطلاعاتی را که از شما در اختیار دارند را به شما بدهند، بسیار بیشتر شده است و در حال حاضر برخی از موسسات و شرکت برای انجام اینکار اقدام کردهاند. موسسات بزرگی همچون گوگل و موسساتی کوچکی نظیر Slack انجام این کار را بر اساس قانون GDPR در اختیار کاربرانشان قرار دادهاند. این قابلیت به دو روش می تواند به کاربران کمک کند، اول اینکه هر کاربری میتواند مشاهده کند که موسسه مورد نظر چه اطلاعاتی را از آنها در اختیار دارد و ثانیا از جابجایی و انتقال دادهها واطلاعات شخصی شما بدون اطلاع و نظارت شما جلوگیری میکند. به طور مثال اگر فیسبوک بخواهد امکان برونریزی[2] پیامهای مربوط به شما را برای شبکه اجتماعی Ello فراهم کند، موظف است که ابزار مناسبی منطبق بر قانون GDPR در اختیارتان قرار دهد.
بیشترین بخش تغییرات به صورت پنهان از دیدکاربران انجام میشوند. در قانون GDPR بخشی برای نحوه عملکرد مجاز موسسات پس از جمعآوری دادههای کاربران در نظر گرفته شده است. به عبارت دیگر باید به طور صریح و روشن مشخص کنند که از این اطلاعات چگونه میتوانند در مواردی نظیر آنالیز و تحلیل و یا ورود به نرمافزارهای دیگر و حتی ارسال تبلیغات استفاده کنند. یک سایت میتواند دارای پیام تبلیغاتی از موسسات مختلف باشد که اغلب آنها از دید کاربری که دادههای مربوط به آن به اشتراک گذاشته شده است، مخفی می باشند. در قانون GDPR دستورالعملهای سختگیرانهتری برای چگونگی استفاده از این اطلاعات توسط موسسه دیگر در نظر گرفته شده است. این قانون جدید باعث گردیده است که کلیه شرکت ها در قراردادهای همکاری خود به منظور تبلیغات و به اشتراک گذاشتن دادههای کاربران خود بازنگری کنند.
بازنویسی این قراردادها به سادگی افزودن چند صفحه جدید و گرفتن تائیدهای بیشتر از کاربران برای استفاده از دادههای شخصی مربوط به آنها نمیباشد، بلکه نیاز به بررسیها قانونی و حقوقی زیادی در این باب میباشند. در قراردادها، یکی از مهمترین مواردی که می بایست به آن توجه خاص و ویژهای شود، این است که در صورت انتشار اطلاعات شخصی کاربران توسط همکاران شریک، چه کسی به طور مستقیم مسئول این رخداد و تبعات مربوط به آن خواهد بود. نکته مهم در این بخش این است که در حال حاضر برای این موضوع استاندارد و قراردادی عمومی پذیرفته شدهای ارائه نشده است.
آیا این قانون می تواند باعث جلوگیری از جمع آوری حجیم و نامحسوس دادههای کاربران شود؟
برای اظهار نظر در این مورد زود میباشد. در حال حاضر قوانین و آییننامههای مورد نظر بهطور واضح و صریح ارائه شدهاند، اما در عمل باید دید که مجریان قانونن و حقوقی چگونه از آنها استفاده می کنند. آنچه که بهصراحت می توان در مورد آن اظهار نظر کرد، این است که قانون جدید برای انتشار غیرمجاز اطلاعات کاربران جریمه بیشتری در نظر گرفته است که سادهترین تاثیر آن کاهش موسسات و شرکتهایی خواهند بود که اقدام به جمعآوری و انتشار این دادهها و اطلاعات میکردند و این خود یک پیروزی در حفظ بیشتر حریم خصوصی کاربران خواهد بود. جرائم در نظر گرفته شده در قانون GDPR قطعا نقش بازدارندگی برای موسسات و شرکتهای کوچک را دارد، اما باید ببینیم که می تواند در چگونگی جمعآوری و انتشار دادههای کاربران در موسسات و شرکت های بزرگی نظیر گوگل و فیسبوک نیز تاثیر گذارد، یا خیر.
در قانون GDPR بین اتحادیه اروپا و سایر بخشهای دیگر موجود در اینترنت تفکیک در نظر گرفته شده است. این باعث شده است که همگی موسسات و شرکتهای مستقر در اتحادیه اروپا اقدام به استفاده از یک مجموعه قوانین مشترک در حفظ حریم خصوصی کاربران کنند و به همین دلیل است که به کاربران آمریکایی (غیر اروپایی) این موسسات و شرکتها، اعلانهایی از طرق مختلف (ایمیل و ... ) ارسال میشود تا به آنها این تغییرات اطلاع داده شوند. البته در برخی موارد نیز موسسات و شرکتها ترجیح میدهندکه کاربران خود را به دو بخش اروپایی و غیر اروپایی تقسیم کنند و فقط آنهایی که در گروه اروپایی قرار دارند را در منطقه هدف قانون GDPR قرار دهند.
اجرایی شدن قانون GDPR، باعث می گردد که جمعآوری مخفیانه دادههای کاربران سخت تر شود. البته باید به این نکته توجه داشته باشیم که اینترنت بر مبنای انتشار آزاد اطلاعات پایهگذاری شده است، با استفاده از همین سیاست، موسسه NSA اطلاعات کاربران را در اینترنت رهگیری میکند و یا موسسه Cambridge Analytica اقدام به آنالیز و تحلیل دادههای کاربران میکند. از ابتدای ظهور اینترنت همواره سعی بر این بود که روش هایی رابر مبنای امکان اشتراک آزاد دادههای کاربران در اینترنت ارائه کنیم، اما اکنون بر این عقیده هستیم که قانون GDPR میتواند نقطهای برای ایجاد تغییرات جدی در این موارد محسوب گردد.
راسل برندوم. مارچ 2018.