در ماه می سال جاری، اتحادیه اروپا با ارائه قوانین حفظ حریم خصوصی تحت عنوان GDPR "قوانین عمومی حفاظت از اطلاعات"، محدودیت های  جدیدی را برای سازمان ها و شرکت ها ایجاد کرده است.

در صورتی‌که به این موضوع علاقه‌مند هستید، با بررسی آنها مشاهده خواهید‌کرد که تغییرات زیاد  و متنوعی طی ماه‌های گذشته در مفاد آن ایجاد شده است. اجرای این قانون باعث شده است که از موسسه Google تا Slack همگی در متن قوانین حفظ حریم خصوصی خود بروز رسانی‌های زیادی را  انجام دهند و  مفاد  قراردادهای خود را بازنویسی کنند  و از ابزارها و نرم‌افزارهای جدیدی برای حفاظت و انتقال و به اشتراک گذاردن اطلاعات و داده‌های کاربران خود استفاده می کنند تا با قوانین  جدید ارائه شده هم‌خوانی داشته باشند. نواقص موجود در قوانین، مشکلات زیادی را برای موسسات حقوقی و قانونی ایجاد کرده بود، ولی با ایجاد تغییرات در قوانین و آیین نامه‌ها و همچنین اعلان عمومی شکایات در ارتباط با آنها، باعث شد که قوانین حفظ حریم خصوصی، حتی کاربران در سطوح متوسط اینترنت را نیز  تحت تاثیر خود قرار دهند.

این قانون جدید GDPR[1]، باعث شده است که در بسیاری از بخش های اینترنت تغییرات عمده‌ای به‌وجود آید. در این مقاله سعی خواهیم کرد که شما را با کلیات این قانون آشنا کنیم.

GDPR چیست؟

GDPR قانونی است که در سال 2016 میلادی توسط اتحادیه اروپا تصویب شده است، این قانون در موضوع نحوه مدیریت داده‌های شخصی کاربران توسط موسسات وسازمان‌ها تنظیم شده است. در تئوری، این قانون برای کاربران مستقر در کشورهای عضو اتحادیه اروپا تنظیم شده است، اما با توجه به عمومیت و فراگیری اینترنت در همه بخش‌های دنیا، باعث شده است که این قوانین علاوه بر اروپا بر روی سایر بخش‌های اینترنت  در قاره‌های مختلف دنیا و موسسات و شرکت‌های آمریکایی نیز تاثیر گذارد.

قوانین جدید از 25 ماه می 2018، اجرایی خواهند شد.

اغلب قوانین GDPR بر مبنای همان آیین نامه‌های حفظ حریم خصوصی اتحادیه اروپا نظیر Privacy Shield و Data Protection Directive نوشته شده‌اند و فقط بر روی آنها بر مبنای دو اصلی که به آنها اشاره می کنیم، تغییراتی انجام شده است. اول اینکه کنترل بیشتری در کسب اطلاعات شخصی نسبت به آنچه که تا کنون در اینترنت وجود داشت، برقرار گردیده است. در حال حاضر و به‌طور پیش فرض، هر موسسه‌ای که اقدام به جمع‌آوری اطلاعات شخصی مربوط به یک شهروند اروپایی می‌کند، باید به‌طور کاملا مشخص و به‌وضوح آن را به اطلاع فرد مذکور برساند. کاربران نیز باید قادر باشند تا آن را برای تائید بازخوانی کنند و باید ابزاری در اختیار کاربران قرار گیرد تا از موسسه مورد نظر درخواست دریافت تمامی اطلاعات مربوط به آنها را کنند تا بتوانند محتوای آنها را بازخوانی و کنترل کنند. این آیین‌نامه بسیار قدرتمندتر از فرآیندهای موجود می باشد و کلیه موسسات و شرکت های خارج از اتحادیه اروپا را نیز تحت تاثیر خود قرار خواهد داد. برای موسساتی که به فعالیت جمع‌آوری داده‌ها و به‌اشتراک گذاری آنها با حداقل و یا اعمال هیچگونه محدودیتی مشغولند، این قانون  به منزله ایجاد تغییرات اساسی در آیین‌نامه‌های نحوه  ارسال و جمع آوری داده‌ها از طریق تبلیغات آنلاین می باشد.

دوم اینکه، جرائم در نظر گرفته شده در GDPR به اندازه کافی سخت و فراگیر در نظر گرفته شده‌اند تا بتوانند به عنوان اهرم اجرایی مناسبی برای اجرای آنها در تمام موسسات و سازمان‌های دینفع مورد استفاده قرار گیرند. حداکثر جریمه مربوط به ارتکاب جرائم در این حوزه برابر با 4 درصد مبلغ گردش مالی شرکت (یا 20 میلیون دلار) تعیین شده است. این مبلغ به مراتب بیشتر از جرائمی است که قبلا برای آیین نامه های Data Protection Directive در نظر گرفته شده بود، و این نکته میزان اهمیتی که اتحادیه اروپا برای حفظ حریم خصوصی شهروندان خود قائل می باشد را نشان می‌دهد. این میزان جریمه نه تنها برای موسساتی نظیر گوگل و فیسبوک، بلکه برای شرکت‌ها و موسسات کوچک‌تر هم به اندازه کافی زیاد می‌باشد که باعث شود، آنها هم از این آیین‌نامه‌ها و قوانین جدید پیروی کنند.

یکی از سخت ترین بخش های در نظر گرفته شده در قانون GDPR این است که کلیه موسسات و شرکت های موضوع قانون GDPR موظف هستند تا حداکثر 25 ماه می 2018 این قانون را در کلیه فعالیت‌های‌شان اجرایی کنند.

چه تغییراتی ایجاد خواهد شد؟

آشکارترین و سریع‌ترین تغییر در آیین‌نامه‌های ارائه خدمات (Terms of Services) و موضوعات مرتبط با آن می‌باشد. برای بر‌آورده کردن شروط مندرج در قانون GDPR (اهم آنها عبارتند از: دریافت به اختیار اطلاعات، مشخص و بر حسب مورد، کسب با اطلاع و اعلان صریح مورد استفاده) برای کسب اطلاعات شخصی افراد و کاربران، موسسات و شرکت ها باید درخواست مجوزهای بیشتری را برای کسب اطلاعات کاربران کنند. این بدان معنا است که در مراحل دریافت و جمع آوری اطلاعات با استفاده از صفحات بیشتر و توضیحات واضح تر از کاربران برای ادامه مراحل بعدی تائیدیه دریافت شود (افزایش تعداد پنجره‌های دریافت تائیدیه و ارائه توضیحات به کاربران).

البته بیشترین تغییرات به صورت مخفی از دید کاربران رخ می دهند.

بر اساس این قانون، امکان اینکه موسسه قابلیت دانلود کردن کلیه داده‌ها و اطلاعاتی را که از شما در اختیار دارند را به شما بدهند، بسیار بیشتر شده است و در حال حاضر برخی از موسسات و شرکت برای انجام اینکار اقدام کرده‌اند. موسسات بزرگی همچون گوگل و موسساتی کوچکی نظیر Slack انجام این کار را بر اساس قانون GDPR در اختیار کاربران‌شان قرار داده‌اند. این قابلیت به دو روش می تواند به کاربران کمک کند، اول اینکه هر کاربری می‌تواند مشاهده کند که موسسه مورد نظر چه اطلاعاتی را از آنها در اختیار دارد و ثانیا از جابجایی  و انتقال داده‌ها  واطلاعات شخصی شما بدون اطلاع و نظارت شما جلوگیری می‌کند. به طور مثال اگر فیسبوک بخواهد امکان برون‌ریزی[2] پیام‌های مربوط به شما را برای شبکه اجتماعی Ello فراهم کند، موظف است که ابزار مناسبی منطبق بر قانون GDPR در اختیارتان قرار دهد.

بیشترین بخش تغییرات به صورت پنهان از دیدکاربران انجام می‌شوند. در قانون GDPR بخشی برای نحوه عملکرد مجاز موسسات پس از جمع‌آوری داده‌های کاربران در نظر گرفته شده است. به عبارت دیگر باید به طور صریح و روشن مشخص کنند که از این اطلاعات چگونه می‌توانند در مواردی نظیر آنالیز و تحلیل و یا ورود به نرم‌افزارهای دیگر و حتی ارسال تبلیغات استفاده کنند. یک سایت می‌تواند دارای پیام تبلیغاتی از موسسات مختلف باشد که اغلب آنها از دید کاربری که داده‌های مربوط به آن به اشتراک گذاشته شده است، مخفی می باشند. در قانون GDPR دستورالعمل‌های سخت‌گیرانه‌تری برای چگونگی استفاده از این اطلاعات توسط موسسه دیگر در نظر گرفته شده است. این قانون جدید باعث گردیده است که کلیه شرکت ها در قراردادهای همکاری خود به منظور تبلیغات و به اشتراک گذاشتن داده‌های کاربران خود بازنگری کنند.

بازنویسی این قراردادها به سادگی افزودن چند صفحه جدید و گرفتن تائید‌های بیشتر از کاربران برای استفاده از داده‌های شخصی مربوط به آنها نمی‌باشد، بلکه نیاز به بررسی‌ها قانونی و حقوقی زیادی در این باب می‌باشند. در قراردادها، یکی از مهمترین مواردی که می بایست به آن توجه خاص و ویژه‌ای شود، این است که در صورت انتشار اطلاعات شخصی کاربران توسط همکاران شریک، چه کسی به طور مستقیم مسئول این رخداد و تبعات مربوط به آن خواهد بود. نکته مهم در این بخش این است که در حال حاضر برای این موضوع استاندارد و قراردادی عمومی پذیرفته شده‌ای ارائه نشده است.

آیا این قانون می تواند باعث جلوگیری از جمع آوری حجیم و نامحسوس داد‌ه‌های کاربران شود؟

برای اظهار نظر در این مورد زود می‌باشد. در حال حاضر قوانین و آیین‌نامه‌های مورد نظر به‌طور واضح و صریح ارائه شده‌اند، اما در عمل باید دید که مجریان قانونن و حقوقی چگونه از آنها استفاده می کنند. آنچه که به‌صراحت می توان در مورد آن اظهار نظر کرد، این است که قانون جدید برای انتشار غیرمجاز اطلاعات کاربران جریمه بیشتری در نظر گرفته است که ساده‌ترین تاثیر آن کاهش موسسات و شرکت‌هایی خواهند بود که اقدام به جمع‌آوری و انتشار این داده‌ها و اطلاعات می‌کردند و این خود یک پیروزی در حفظ بیشتر حریم خصوصی کاربران خواهد بود. جرائم در نظر گرفته شده در قانون GDPR قطعا نقش بازدارندگی برای موسسات و شرکت‌های کوچک را دارد، اما باید ببینیم که می تواند در چگونگی جمع‌آوری و انتشار داده‌های کاربران در موسسات و شرکت های بزرگی نظیر گوگل و فیسبوک نیز تاثیر گذارد، یا خیر.

در قانون GDPR بین اتحادیه اروپا و سایر بخش‌های دیگر موجود در اینترنت تفکیک در نظر گرفته شده است. این باعث شده است که همگی موسسات و شرکت‌های مستقر در اتحادیه اروپا اقدام به استفاده از یک مجموعه قوانین مشترک در حفظ حریم خصوصی کاربران کنند و به همین دلیل است که به کاربران آمریکایی (غیر اروپایی) این موسسات و شرکت‌ها، اعلان‌هایی از طرق مختلف (ایمیل و ... ) ارسال می‌شود تا به آنها این تغییرات اطلاع داده شوند. البته در برخی موارد نیز موسسات و شرکت‌ها ترجیح می‌دهندکه کاربران خود را به دو بخش اروپایی و غیر اروپایی تقسیم کنند و فقط آنهایی که در گروه اروپایی قرار دارند را در منطقه هدف قانون GDPR قرار دهند.

اجرایی شدن قانون GDPR، باعث می گردد که جمع‌آوری مخفیانه داده‌های کاربران سخت تر شود. البته باید به این نکته توجه داشته باشیم که اینترنت بر مبنای انتشار آزاد اطلاعات پایه‌گذاری شده است، با استفاده از همین سیاست، موسسه NSA اطلاعات کاربران را در اینترنت رهگیری می‌کند و یا موسسه Cambridge Analytica اقدام به آنالیز و تحلیل داده‌های کاربران می‌کند. از ابتدای ظهور اینترنت همواره سعی بر این بود که روش هایی رابر مبنای امکان اشتراک آزاد داده‌های کاربران در اینترنت ارائه کنیم، اما اکنون بر این عقیده هستیم که قانون GDPR می‌تواند نقطه‌ای برای ایجاد تغییرات جدی در این موارد محسوب گردد.

راسل برندوم. مارچ 2018.