مقررات عمومی حفاظت از داده | GDPR

Khani · دسامبر 7, 2019, 5:50ق.ظ

منابع و مطالب مربوط به مقررات عمومی حفاظت از داده (در اتحادیه اروپا)

General Data Protection Regulation

سایت رسمی قانون:‌

صفحه ویکی‌پدیا:

مطالعه بیشتر:

حکمرانی داده - Data Governance داده‌‌ی باز

پژوهشگران سیاست‌گذاری داده در سطوح مختلف، از کسب‌وکارهای کوچک تا حکومت‌ها با مفاهیمی دست‌وپنجه نرم می‌کنند که گاها ابهامی جهان‌شمول و هم‌پوشانی نسبت به دیگر مفاهیم مطرح شده دارند. یکی از این مفاهیم «حکمرانی داده» (معادل data governance) است. در این موضوع تلاش می‌کنیم ضمن مروری بر مطالب و مقالات منتشر شده در این عرصه، به برداشت دقیق‌تری از «حکمرانی داده» برسیم. در نگاه اول حکمرانی داده، مفهوم سطح بالایی است که مفهومی مثل data trust ذیل آن می‌گنجد: پیرامون data trust پیشنهاد می‌کنم دیگر مطالب داده باز را ببینید: داده‌ باز - انجمن شفافیت برای ایران همچنین در موضوع دیگری به مرور مقالات جدید داده باز پرداخته‌ایم: منابع و مقالات پژوهشی داده باز

Khani · دسامبر 7, 2019, 5:53ق.ظ

از کانال Mojtaba In France:

قانون حفاظت از اطلاعات شخصی GDPR
قسمت اول: Telegram: Contact @MojtabaInFrance

قانون حفاظت از اطلاعات اشخاص و شرکت ها یا GDPR (General Data Protection Regulation) از ماه می ۲۰۱۸ در کل کشورهای اروپایی اجباری و لازم الاجرا شده است. تدوین این قانون ۴ سال زمان برده است و بر اساس این قانون، حفاظت از اطلاعات شخصی افراد و شرکت ها (اعم از اطلاعات دیجیتال یا اسناد پرینت شده و همچنین اعم از مشتریان شرکت ها یا حتی خود کارمندان شرکت ها) تعریف و قانونمند شده است.

این قانون در واقع جایگزین قانون قبلی ای شده است که از ۲۰ سال پیش اجرا میشده است. حتی شرکت هایی که اروپایی نیستند ولی مشتریانی در اروپا دارند هم باید از این قانون تبعیت کنند. جریمه عدم تبعیت از این قانون برای شرکت ها ۴ درصد درآمد سالانه یا ۲۰ ملیون یورو (هر کدام که بیشتر باشد) در نظر گرفته شده است.

اطلاعات اشخاص به سه دسته اطلاعات غیرشخصی، اطلاعات شخصی و اطلاعات حساس تقسیم بندی می شود. اطلاعات شخصی اطلاعاتی است که با استفاده از آن می توان به صورت مستقیم یا غیر مستقیم هویت شخص را شناسایی کرد. به صورت مستقیم یعنی مثلا اطلاعاتی که در آنها اسم شخص یا عکس یا ویدئوی شخص موجود و قابل شناسایی باشد.

به صورت غیر مستقیم یعنی مثلا اطلاعاتی که در آنها آدرس شخص یا تاریخ تولد یا شماره تلفن یا شماره حساب یا کد مشتری یا شماره گواهینامه یا موقعیت جغرافیایی یا شماره IP یا کوکی یا عادت رفتاری مشتری موجود باشد که بتوان از کنار هم قرار دادن آنها هویت شخص را شناسایی کرد. مثلا با کنار هم قرار دادن تاریخ تولد و محل تولد میتوان هویت فرد را شناسایی کرد.

اطلاعات حساس هم آن دسته از اطلاعات شخصی ای هستند که شامل وضعیت سلامتی جسمی یا روحی شخص یا عضویت در انجمن ها یا عقاید سیاسی یا مذهبی یا اطلاعات اصل و نسب یا اطلاعات ژنتیک و بیولوژیک هستند. پردازش اطلاعات حساس مشتریان توسط شرکت ها تحت نظارت شدید قوانین اروپایی قرار دارد و نیاز به درخواست مستقیم از مشتری و رضایت قطعی و شفاف وی دارد.

شرکت ما دوره آموزشی آنلاین یک ساعته ای در خصوص آموزش اصول GDPR برای کارمندانش تدارک دیده است که شامل دیدن ویدئوهای کوتاه و تست های چند گزینه ای در خصوص محتوای آن ویدئو است که شرکت در آن برای همه کارمندان اجباری است. همچنین در جلسات طراحی و پیاده سازی محصولات همیشه یکی از معیارهایی که در طراحی ها مد نظر قرار میگیرد این است که آیا این طراحی منطبق با GDPR هست یا نه که گاهی این مسأله تأثیر زیادی روی طراحی محصول می گذارد. مثلا هیچ وقت نمی توانیم اطلاعات شخصی کاربران یا مثلا پسوردهای آنها را از آنها درخواست و در یک دیتابیس ذخیره و نگهداری کنیم بلکه باید برای هویت سنجی کاربران از واحد مخصوص هویت سنجی کابران شرکت استفاده کنیم.

قانون حفاظت از اطلاعات شخصی GDPR
قسمت دوم: Telegram: Contact @MojtabaInFrance

برخی از اصول GDPR به شرح زیر است:

هرگونه عملیات کامپیوتری یا دستی روی اطلاعات شخصی مشتریان یا کارمندان شرکت، پردازش اطلاعات شخصی نامیده می شود که شامل جمع آوری، ذخیره، جستجو و بازیابی، ارسال و پخش و حذف می شود.

افراد باید از هر گونه پردازش اطلاعاتشان مطلع شوند و باید امکان عدم رضایت داشته باشند.

فرم ها و رضایت نامه ها باید ساده و قابل فهم برای همه باشد و نباید لزوما شخص متخصص امور قانونی و یا کارشناس حقوقی باشد تا بتواند آنها را بفهمد. همچنین در رضایت نامه ها نباید گزینه رضایتمندی به صورت پیش فرض تیک خورده باشد.

قبل از ارسال هر گونه پیامک یا ایمیل تبلیغاتی باید از تک تک افراد رضایت گرفته شده باشد.

وقتی یک نفر یک سازمانی را ترک می کند باید اطلاعات شخصی او هم پاک شوند.

بر اساس اصل شفافیت باید به افراد گفته شود که چه اطلاعاتی از آنها و چطور جمع آوری می شود. هدف از جمع آوری این اطلاعات چیست و چه استفاده هایی قرار است از آنها صورت پذیرد.

هدف از جمع آوری اطلاعات شخصی باید مشخص، دقیق، تعریف شده و قانونی باشد.

استفاده از اطلاعات شخصی باید به صورت حداقلی و فقط به میزان کافی در راستای هدف مشخص شده باشد و نه بیشتر.

فقط میزان اطلاعات شخصی ای که برای هدف مورد نظر نیاز است باید جمع آوری شود و نه بیشتر.

مدت زمان نگهداری اطلاعات شخصی باید برای هر هدف و هر کاربردی مشخصا تعریف شده باشد و باید بعد از دوره تعریف شده پاک شود.

باید تمهیدات لازم برای امن نگه داشتن اطلاعات شخصی افراد در نظر گرفته شود تا از هر گونه نفوذ و یا نشط اطلاعات و یا سرقت آنها جلوگیری شود.

باید مشتریان بتوانند به راحتی سرویس دهنده خود را تغییر دهند و شرکت رقیب را برای سرویس دهی انتخاب کنند. در این صورت مشتری می تواند تمام اطلاعات شخصی خود را از شرکت سرویس دهنده اول پس بگیرد و به شرکت رقیب منتقل کند. این انتقال اطلاعات مشتری بین دو شرکت رقیب می تواند توسط خود مشتری انجام شود یا مستقیما شرکت سرویس دهنده اول می تواند اطلاعات مشتری را با درخواست وی به شرکت دوم منتقل کند. این اطلاعات شامل تمام ایمیل های ارسالی و دریافتی، اطلاعات تماس، تمام عکس ها و ویدئوها و دیگر اطلاعات می باشد. سرویس دهنده ها شامل بانک ها،‌ شبکه های اجتماعی،‌ موتورهای جستجو، سرویس دهنده های مخابراتی،‌ اپراتورهای تلفن همراه یا دیگر سرویس دهنده ها هستند.

هرکس حق دارد یک کپی از تمام اطلاعات شخصی اش را که در یک شرکت ذخیره شده است دریافت کند. مثلا در یک شبکه اجتماعی یا بانک یا اداره دولتی یا یک موتور جستجو.

هرکس حق دارد در صورتی که اطلاعات شخصی اش به اشتباه ذخیره شده است یا تغییر کرده است از شرکت مربوطه درخواست اصلاح و به روزرسانی اطلاعات شخصی اش کند.

هرکس حق دارد از یک شرکت درخواست کند که تمام اطلاعات شخصی اش را پاک کند.

هرکس حق دارد در صورت استفاده نامناسب از اطلاعات شخصی اش شکایت کند.

هرکس حق دارد در صورتی که آسیبی از جانب عدم رعایت محرمانگی اطلاعات شخصی اش دیده است ادعای خسارت کند.

حفاظت از اطلاعات شخصی افراد نباید در مرحله آخر طراحی و پیاده سازی پروژه باشد بلکه باید از ابتدای آغاز طراحی پروژه مد نظر قرار گیرد و اعمال شود. (Privacy by design)

Yakhchali · دسامبر 7, 2019, 6:59ق.ظ

در همین رابطه:

Jamali · مارس 12, 2020, 7:32ب.ظ

گزارش تحلیلی مرکز ماهر در خصوص GDPR و نقش آن در صیانت از حریم خصوصی کاربران شبکه‌های اجتماعی

970730 - معرفی GDPR و نقش آن در صیانت از حریم خصوصی کاربران شبکه های اجتماعی.pdf (362.7 کیلوبایت)

فهرست خلاصه مطالب:

فصل 1 مقدمه
GDPR چیست؟
ساختار و برخی از مواد قانونی سند GDPR
اثرات GDPR بر روی تجارت
اهرمهای قانونی و حفاظتی GDPR
اقدامات اولیه در ارتباط با GDPR

فصل 2 ارائه یک چارچوب برای سازگاری و تطبیق با GDPR
فاز یک: ایجاد اجماع و ساخت یک تیم
فاز دوم: ارزیابی ریسکها و ایجاد خودآگاهی

تحلیل دادههای موجود و نگاشت دادهها
ارزیابی شکافهای موجود و مشخص کردن سطح لازم برای تلاش
توسعه سیاستها، روالها و فرایندها
تعامل و تبادل نظر
به اشتراکگذاری دلایل با ذینفعان اصلی
آموزش

فازسوم: طراحی، پیادهسازی و کنترل‌های عملیاتی

مکانیسم‌های اخذ رضایت و مدیریت آن
محقق کردن شروط لازم جهت تبادل بین‌المللی داده و استانداردهای محافظت از داده
حقوق افراد در ارتباط با محافظت از داده‌های شخصی
حفاظتهای فیزیکی، فنی و مدیریتی

فاز چهارم: مدیریت، حفظ و ارتقاء کنترل‌ها
فاز پنجم: نشان دادن سازگاری و انطباق به شکل مستمر

فصل 3: بررسی اقدامات انجام شده توسط برخی شرکتهای مطرح فضای مجازی در راستای سازگاری با GDPR

Facebook
Telegram
Matomo