مقررات عمومی حفاظت از داده اتحادیه اروپا

مقررات عمومی حفاظت از داده اتحادیه اروپا (The General Data Protection Regulation (GDPR) (EU) 2016/679) مقرراتی است که در مورد حفاظت از داده و محرمانگی همه اشخاص و خروج داده در اتحادیه اروپا و منطقه اقتصادی اروپا وضع شده‌است. هدف این مقررات اساساً، برای اعطای کنترل داده ها به شهروندان و ساکنان این منطقه و ساده‌سازی محیط مقررات گذاری برای کسب و کارهای بین‌المللی از طریق یکسان‌سازی مقررات است.[1]

Regulation (EU) 2016/679
European Union regulation
عنوانمقررات عمومی حفاظت از داده اتحادیه اروپا
تصویبپارلمان اروپا و شورای اتحادیه اروپا
رفرنس در ژورنال اتحادیه اروپاL119, 4 May 2016, p. 1–88
تاریخچه
تاریخ تصویب۱۴ آوریل ۲۰۱۶
تاریخ اجرا۲۵ مه ۲۰۱۸
پیش‌نویس‌ها
پیشنهاد کمیسیونCOM/2012/010 final – 2012/0010 (COD)
طرح دیگر
جایگزین‌هاData Protection Directive
طرح کنونی

این مقررات جایگزین قانون حفاظت از داده اتحادیه اروپا (95/46/EC) شده‌است و شامل احکام و الزاماتی مرتبط با پردازش اطلاعات شخصی قابل تشخیص در اتحادیه اروپا می‌شود و در خصوص همه کسب و کارهایی که با این منطقه اقتصادی مراوده کاری دارند، صرفنظر از مکان استقرارشان، می‌شود. بدین ترتیب، فرایندهای کسب و کار که اطلاعات شخصی را اداره می‌کنند، باید مبتنی بر «حفاظت اطلاعات از طریق طراحی و به‌طور پیش فرض» باشند؛ یعنی اطلاعات شخصی باید با استفاده از مستعارسازی یا بی‌نام سازی ذخیره شود و و حداکثر محرمانگی به‌طور پیش فرض در نظر گرفته شود، به گونه ای که داده‌ها بدون رضایت صریح به‌طور عمومی در دسترس نباشد و بدون اطلاعات اضافی جداگانه برای تعیین هویت اشخاص قابل استفاده نباشد. هیچ اطلاعات شخصی نمی‌تواند پردازش شود، مگر آنکه تحت مبنای قانونی که به وسیله مقررات مشخص شده، انجام شود یا آنکه کنترل‌کننده یا پردازنده داده‌ها اجازه صریح مختارانه صاحب داده‌ها را دریافت کرده باشد. صاحب داده‌ها می‌تواند در هر زمانی این اجازه را لغو کند.

این قانون در ۱۴ آوریل ۲۰۱۶ وضع شد.[2] و بعد از سپری شدن دو سال به عنوان دوره گذار، از ۲۵ مه ۲۰۱۸ به اجرا درآمد.[3] اعمال این قانون نیازمند تصویب قانون جداگانه در کشورهای عضو اتحادیه نمی‌باشد و به‌طور خودکار در همه آن‌ها لازم‌الاجراست.[4]

محتوای قانون

دامنه قانون

در صورتی که کنترل‌کننده (سازمانی که داده‌ها را از افراد مقیم اروپا گردآوری می‌کند)، یا پردازنده (سازمانی که داده را به نمایندگی از کنترل‌کننده پردازش می‌کند مانند فراهم‌کننده خدمات ابری)، یا موضوع داده (شخص) در اروپا باشد، مقررات قانون نافذ خواهد بود. اگر سازمانی خارج از اتحادیه اروپا داده‌های شخصی افراد درون اروپا را گردآوری یا پردازش کند، تحت برخی شرایط مقررات قانون بر آن سازمان نیز قابل اعمال است.

دلایل موجه پردازش داده‌ها

جز با رضایت شخص موضوع داده و تنها در یک یا دو موردی که او اجازه داده نباید داده‌های شخصی پردازش شوند مگر حداقل یکی از مقدمات قانونی زیر فراهم باشد:

  • برای منافع مشروع کنترل‌کننده داده یا یک شخص ثالث، مگر اینکه این منافع با منشور حقوق بنیادی اتحادیه اروپا در تعارض باشد. (به ویژه در مورد کودکان)
  • برای اجرای وظیفه ای در خدمت عموم یا یک مرجع رسمی
  • برای رعایت تکالیف قانونی کنترل‌کننده داده
  • برای تحقق الزامات قراردادی با شخص موضوع داده
  • برای ایفای تعهداتی که به واسطه درخواست شخص موضوع داده که در فرایند عقد قرارداد یا کنترل‌کننده داده قراردارد.
  • برای حفاظت از منافع حیاتی شخص موضوع داده یا یک شخص دیگر

جریمه تخلف از GDPR

اگر شرکت‌ها قوانین GDPR را به‌درستی رعایت نکنند و مشخص شود قوانین را به‌درستی اجرا نکرده یا تخلفی داشته‌اند و داده‌هایشان به صورت غیرقانونی درز کرده باشد، بین ۲ الی ۵ درصد درآمد سالیانه‌شان یا تا سقف ۲۰ میلیون یورو جریمه خواهند پرداخت.

پانویس

منابع

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.