تیتر۲, سرتیتر

مقررات جدید حفاظت از داده‌ها

firewall_internet
 
منبع: نیوزکلیک
نویسنده: پاوان کولکاری

تارنگاشت عدالت

یکی از فراگیرترین مقررات داده‌های خصوصی تاکنون- «مقررات عمومی حفاظت از داده‌ها» (GDPR) – در ۲۵ مه در اتحادیۀ اروپایی به اجرا درآمد. مقررات جدید به شهروندان اتحادیۀ اروپایی بر نوع داده‌هایی که از آن‌ها جمع‌آوری می‌شود، و اهداف استفادۀ از آن‌ داده‌ها، کنترل قابل ملاحظه‌ای می‌دهد.

علاوه بر شرکت‌هایی مانند فیس‌بوک و گوگل، رعایت این مقررات همچنین برای بیمارستان‌ها، شرکت‌های بیمه، بانک‌ها و حتا فروشگاه‌های خوارباری که داده‌های شخصی شهروندان اروپایی را نگه می‌دارند، الزامی است.

قابلیت اجرای این مقررات جدید به شرکت‌های مستقر در اتحادیۀ اروپایی محدود نیست، بلکه همه شرکت‌های سراسر جهان که اطلاعات درباره شهروندان اتحادیۀ اروپایی را در اختیار داشته، و آن‌ را مدیریت و پردازش می‌کنند، مشمول آن می‌باشند. تخلف یک شرکت از احکام «مقررات عمومی حفاظت از داده‌ها» می‌تواند به جریمه‌ای معادل ۴‌ درصد درآمد جهانی سال پیش آن یا ۲۰ میلیون یورو (۲۳٫۴ میلیون دلار) هر یک که بیش‌تر باشد، بیانجامد.

بسیاری از شرکت‌های خارج از اتحادیۀ اروپایی که زیرساخت لازم برای پیروی کردن از مقررات جدید را ایجاد نکرده بودند، موقتاً خدمات خود را به اروپا متوقف ساختند. در عرض چند ساعت پس از به اجرا درآمدن مقررات جدید، علیه غول‌هایی مانند فیس‌بوک، گوگل، اینستاگرام و واتس‌آپ که می‌گفتند تغییرات لازم را برای پیروی از قانون ایجاد کرده اند، به دلیل تخلف از «مقررات عمومی حفاظت از داده‌ها» شکایت شد.

این مقررات که هفت سال در دست تهیه بوده است، جای «رهنمون حفاظت از داده‌ها»ی سال ۱۹۹۵ را گرفت که پیش از این‌که شرکت‌هایی مانند فیس‌بوک در مقیاسی بزرگ درگیر جمع‌آوری داده‌ها و سودجویی از آن شوند، تدوین شده بود. رهنمون به افراد کنترل بسیار کمی بر داده‌های آن‌لاینی آن‌ها می‌داد.

«مقررات عمومی حفاظت از داده‌ها» در سال ۲۰۱۶ تصویب شد. برای این‌که شرکت‌ها بتوانند فعالیت خود را با مقررات جدید منطبق نمایند یک دوره معافیت موقت که در ۲۵ مه خاتمه یافت، در نظر گرفته شد.

اختیار «مقررات عمومی حفاظت از داده‌ها» چیست؟
تحت مقررات جدید، یک شرکت ملزم است پیش از جمع‌آوری هر داده‌ای رضایت صریح یک مصرف‌کننده را به دست آورد. تاکنون، به کاربران فقط این گزینه داده می‌شد که با جمع‌آوری داده‌ها درباره خود مخالفت کنند، اما اکنون شرکت‌ها باید موافقت تأییدآمیز، یا رضایت صریح مصرف‌کننده را به دست آورند. به علاوه، شرکت‌ها مؤظفند کاربران را از هدف‌های استفاده از داده‌های آن‌ها مطلع نمایند.

شرکت‌‌ها برای جمع‌آوری داده درباره اشخاص زیر ۱۶ سال باید رضایت سرپرست او را به دست آوردند. شرکت‌ها هم‌چنین ملزم هستند مشتریان خود را از کل داده‌هایی که درباره آن‌ها در دست دارند، مطلع نمایند. یک بند در مقررات به نام «حق فراموش شدن» شرکت‌ها را ملزم می‌سازد در صورت تقاضای مشتری همه داده‌هایی را که در باره او در درست دارند، پاک کنند. به علاوه، یک مصرف‌کننده هم‌چنین می‌تواند داده‌های درباره خود را از یک شرکت به شرکت دیگر منتقل نماید، و به شرکت اول اطلاع دهد آن داده‌ها را حذف نماید-این به ویژه به ارايه‌دهندگان خدمات درمانی، شرکت‌های بیمه و غیره مربوط می‌شود. «مقررات عمومی حفاظت از داده‌ها» هم‌چنین شرکت‌ها را ملزم می‌نماید در صورت لو رفتن اطلاعات در عرض ۷۲ ساعت مشتری را مطلع نماید.

«مقررات عمومی حفاظت از داده‌ها» هم‌چنین داده‌هایی را که توسط شرکت‌ها می‌تواند جمع‌آوری شود فقط به اطلاعاتی محدود می‌نماید که شرکت‌ها برای ارايه خدمات خود به آن نیاز دارند. بنا به گزارش نیویورک تایمز دنی اُبرایان مدیر «بنیاد سر حد الکترونیک»، این قانون را با یک مقایسه توضیح می‌دهد: «یک شرکت کیک تولد، لازم دارد نام شما را روی کیک تولد قرار دهد. اگر این اطلاعات اساسی نباشد، شما می‌توانید به استفاده از آن داده توسط آن‌ها رضایت ندهید و هنوز باید سرویس را دریافت کنید.»

غول‌های تکنولوژیک در جایگاه متهم
این بند است که به شکایت علیه فیس‌بوک، گوگل، اینستاگرام و واتس‌آپ انجامیده است. یک گروه حریم خصوصی، به نام noyb.eu به رهبری ماکس شریمس که یک کنشگر است اقامه دعوا کرده است. شکایت می‌گوید این شرکت‌ها از «رویکرد می‌خواهی بخواه، نمی‌خواهی نخواه» استفاده کرده و از کاربران خود خواسته اند اگر می‌خواهند حساب‌های خود را نگه دارند، با جمع‌آوری داده‌های خود و در میان گذاشتن آن با شرکت‌های تبلیغاتی مخالفت نکنند.

این گروه گفته است: «مقررات عمومی حفاظت از داده‌ها صریحاً به پردازش هر داده‌ای که صرفاً برای ارايه سرویس لازم باشد اجازه می‌دهد، اما استفاده اضافی از داده‌ها برای تبلیغات یا فروش آن رضایت صریح کاربر را لازم دارد. بی‌. ‌بی. سی از قول ماکس شریمس گفته است: «بسیاری از کاربران هنوز با این شیوۀ آزاردهندۀ فشار بر مردم برای دادن رضایت به اکثر مواردی که به وسيلۀ مقررات عمومی حفاظت از داده‌ها ممنوع شده هنوز آشنا نیستند.»

با این وصف، قانون جدید در معرض تعبیرهای متفاوت قرار دارد. به عنوان مثال، هواداران شرکت‌ها می‌توانند بگویند برای این‌که فیس‌بوک و دیگر شرکت‌ها بتوانند درآمدهای تبلیغاتی خود را داشته باشند این داده‌ها ضروری است. در صورت اقامه این استدلال حکم نهایی روشن خواهد کرد که آیا حفظ سطح کنونی سود یک شرکت می‌تواند براساس این مقررات برای ارايه سرویس ضروری شمرده شود.

حکم به سود شرکت‌ها به غول‌های تکنولوژیک اجازه خواهد داد از ارايه خدمات به کسانی که با دادن داده‌های شخصی معینی موافق نیستند، امتناع کنند. در حالی‌که این انحصارات ممکن است بتوانند رضایت را به دست آورند، بنگاه‌های کوچک‌تر یا نوپا ممکن است نتوانند، و این موانع قابل توجهی در برابر فعالیت آن‌ها به وجود خوهد آورد، به ویژه این‌که طبق «مقررات عمومی حفاظت از داده‌ها» نشانی «آی. پی. (IP)» نیز یک داده شخصی کاربر به حساب می‌آید.

تأثیر بر شرکت‌های کوچک‌تر چیست؟
به علاوه، تغییرات الزامی که یک شرکت باید در فعالیت خود ایجاد کند و مشاوره‌های حقوقی که برای منطیق ساختن خود با مقرات جدید باید به دست آورد ممکن است هزنیه اضافی را تحمیل کند که بسیاری ازشرکت‌های کوچک ممکن است نتوانند آن‌را تأمین کنند.

براساس گزارش «پیش‌بینی‌ها فورستر ۲۰۱۸: سال تسویه حساب»، «۸۰ درصد شرکت‌های مشمول مقررات عمومی حفاظت از داده‌ها تا مه ۲۰۱۸ از مقررات پیروی نخواهند کرد.» هزینه‌های ایجاد مکانیسم‌های لازم برای این‌کار بسیار بالاست، و شرکت‌ها هزینه‌های اضافی رعایت مقررات را با ریسک عدم رعایت آن مقایسه خواهند کرد.

پنجاه درصد آن‌هایی که مقررات را رعایت نخواهند کرد، پس از بررسی این‌که هزینه‌های رعایت سنگین‌تر از ریسک عدم رعایت خواهد بود، دانسته تصمیم خواهند گرفت. گزارش پیش‌بینی می‌کند که ۵۰ درصد دیگر، سعی‌خواهند کرد مقرات را رعایت کنند ولی شکست خواهند خورد. گزارش می‌افزاید: «این محیط سیالی خواهد بود؛ هر مورد موفق علیه یک غول معروف، توازن ریسک/هزینه را تغییر خواهد داد.»