جای خالی قانون GDPR در حفاظت از داده‌های کاربران ایرانی

| هوش مصنوعی، علم و فناوری | اخبار علم و فناوری

۱۴۰۴/۰۲/۲۵

۲۰:۰۵:۵۵

| کد خبر: ۲۲۱۸۳۹۳

برنا - گروه علمی و فناوری: یک کارشناس حقوق فناوری اطلاعات در یادداشتی برای برنا از جای خالی قانون GDPR در حفاظت از داده‌های کاربران ایرانی نوشت.

بهروز شریفی، کارشناس حقوق فناوری اطلاعات در یادداشتی برای برنا نوشت: قانون «GDPR» یا «General Data Protection Regulation» (مقررات عمومی حفاظت از داده‌ها)، که از سال ۲۰۱۸ توسط اتحادیه اروپا اجرایی شد، به عنوان استانداردی جهانی برای حفظ حریم خصوصی و امنیت داده‌های شخصی شناخته می‌شود.

به گزارش برنا، این قانون، مالکیت داده‌های کاربران (از جمله اطلاعات هویتی، رفتاری، مکانی و حتی جستجوهای آنلاین) را به خود افراد بازمی‌گرداند و سازمان‌ها را موظف به رعایت حقوق دیجیتال کاربران می‌کند.

تصور کنید هرگونه اطلاعات شخصی‌ ما مثل نام و نام خانوادگی، ایمیل، شماره‌تلفن، آدرس، آدرس ایمیل، شماره ملی یا پاسپورت، آدرس آی‌پی (IP)، موقعیت مکانی GPS، کوکی‌های مرورگر، عکس‌ها، صدا و رفتار آنلاین (مثل کلیک‌های ما) یا حتی اینکه چه چیزهایی در اینترنت جستجو می‌کنیم، مثل دارایی‌های ما هستند. قانون GDPR قانونی است که از این دارایی‌ها محافظت می‌کند.

اهداف اصلی:

افزایش کنترل کاربران بر داده‌های شخصی‌شان: افراد حق دارند بدانند چه داده‌هایی از آن‌ها جمع‌آوری می‌شود، چرا، و چگونه پردازش و استفاده می‌شود و افراد حق اصلاح، انتقال، یا حذف دائمی داده‌ها دارند.

هماهنگ‌سازی قوانین حفاظت از داده‌ها در سراسر اتحادیه اروپا: قبلاً هر کشور قوانین متفاوتی داشت؛ GDPR این قوانین را یکپارچه کرده است.

اصول کلیدی:

رضایت صریح (Explicit Consent): شرکت‌ها باید قبل از جمع‌آوری داده، رضایت شفاف و قابل‌اثبات از کاربر بگیرند، مثال: پیام «اجازه فعال‌سازی کوکی» در وبسایت‌ها.

حق دسترسی (Right to Access): کاربران حق دارند بدانند چه داده‌هایی از آن‌ها نگهداری می‌شود، مثال: اطلاعات هویتی، موقعیت مکانی، رفتار آنلاین.

حق فراموش‌شدن (Right to be Forgotten): کاربران می‌توانند درخواست حذف کامل داده‌های خود را بدهند، مثال: درخواست حذف حساب کاربری در یک سرویس آنلاین.

قابلیت انتقال داده (Data Portability): کاربران می‌توانند داده‌های خود را در قالبی قابل‌استفاده به سرویس دیگری منتقل کنند.

گزارش‌دهی نقض داده (Data Breach Notification): شرکت‌ها موظف‌اند نقض داده را ظرف حداکثر ۷۲ ساعت اطلاع دهند.

چه کسانی باید از GDPR پیروی کنند؟

هر سازمان یا شرکتی (حتی خارج از اروپا) که با داده‌های افراد مقیم اتحادیه اروپا سروکار دارد. شامل شرکت‌های آنلاین، فروشگاه‌های اینترنتی، اپلیکیشن‌ها و شبکه‌های اجتماعی.

جریمه‌ نقض GDPR چیست؟

نقض این قانون می‌تواند منجر به جریمه‌هایی تا ۲۰ میلیون یورو یا ۴٪ از گردش مالی سالانه جهانی شرکت (هرکدام که بیشتر باشد) شود، مثال: جریمه ۲۰۰ میلیون یورویی British Airways در سال ۲۰۱۹.

قانون GDPR با ایجاد مکانیزم‌های نظارتی سختگیرانه، تحولی اساسی در حفاظت از حقوق دیجیتال کاربران ایجاد کرده است. با این حال، کاربران ایرانی به دلیل عدم وجود قوانین مشابه داخلی و عدم شمول GDPR (مگر در موارد خاص)، در معرض خطر نقض حریم خصوصی و سوءاستفاده از داده‌های شخصی قرار دارند.

برای پر کردن این خلأ، ضروری است ایران با الگوبرداری از اصولی مانند «رضایت آگاهانه، شفافیت، حق مالکیت داده و الزام به گزارش‌دهی نقض داده» چارچوب حقوقی منسجمی تدوین کند. تا آن زمان، آگاهی فردی کاربران و رفتار امن آنها در فضای سایبری می‌تواند تا حدی از ریسک‌ها بکاهد.