مقررات عمومی حفاظت از داده اتحادیه اروپا
مقررات عمومی حفاظت از داده اتحادیه اروپا (The General Data Protection Regulation (GDPR) (EU) 2016/679) مقرراتی است که در مورد حفاظت از داده و محرمانگی همه اشخاص و خروج داده در اتحادیه اروپا و منطقه اقتصادی اروپا وضع شدهاست. هدف این مقررات اساساً، برای اعطای کنترل داده ها به شهروندان و ساکنان این منطقه و سادهسازی محیط مقررات گذاری برای کسب و کارهای بینالمللی از طریق یکسانسازی مقررات است.[1]
European Union regulation | |
عنوان | مقررات عمومی حفاظت از داده اتحادیه اروپا |
---|---|
تصویب | پارلمان اروپا و شورای اتحادیه اروپا |
رفرنس در ژورنال اتحادیه اروپا | L119, 4 May 2016, p. 1–88 |
تاریخچه | |
تاریخ تصویب | ۱۴ آوریل ۲۰۱۶ |
تاریخ اجرا | ۲۵ مه ۲۰۱۸ |
پیشنویسها | |
پیشنهاد کمیسیون | COM/2012/010 final – 2012/0010 (COD) |
طرح دیگر | |
جایگزینها | Data Protection Directive |
طرح کنونی |
این مقررات جایگزین قانون حفاظت از داده اتحادیه اروپا (95/46/EC) شدهاست و شامل احکام و الزاماتی مرتبط با پردازش اطلاعات شخصی قابل تشخیص در اتحادیه اروپا میشود و در خصوص همه کسب و کارهایی که با این منطقه اقتصادی مراوده کاری دارند، صرفنظر از مکان استقرارشان، میشود. بدین ترتیب، فرایندهای کسب و کار که اطلاعات شخصی را اداره میکنند، باید مبتنی بر «حفاظت اطلاعات از طریق طراحی و بهطور پیش فرض» باشند؛ یعنی اطلاعات شخصی باید با استفاده از مستعارسازی یا بینام سازی ذخیره شود و و حداکثر محرمانگی بهطور پیش فرض در نظر گرفته شود، به گونه ای که دادهها بدون رضایت صریح بهطور عمومی در دسترس نباشد و بدون اطلاعات اضافی جداگانه برای تعیین هویت اشخاص قابل استفاده نباشد. هیچ اطلاعات شخصی نمیتواند پردازش شود، مگر آنکه تحت مبنای قانونی که به وسیله مقررات مشخص شده، انجام شود یا آنکه کنترلکننده یا پردازنده دادهها اجازه صریح مختارانه صاحب دادهها را دریافت کرده باشد. صاحب دادهها میتواند در هر زمانی این اجازه را لغو کند.
این قانون در ۱۴ آوریل ۲۰۱۶ وضع شد.[2] و بعد از سپری شدن دو سال به عنوان دوره گذار، از ۲۵ مه ۲۰۱۸ به اجرا درآمد.[3] اعمال این قانون نیازمند تصویب قانون جداگانه در کشورهای عضو اتحادیه نمیباشد و بهطور خودکار در همه آنها لازمالاجراست.[4]
محتوای قانون
دامنه قانون
در صورتی که کنترلکننده (سازمانی که دادهها را از افراد مقیم اروپا گردآوری میکند)، یا پردازنده (سازمانی که داده را به نمایندگی از کنترلکننده پردازش میکند مانند فراهمکننده خدمات ابری)، یا موضوع داده (شخص) در اروپا باشد، مقررات قانون نافذ خواهد بود. اگر سازمانی خارج از اتحادیه اروپا دادههای شخصی افراد درون اروپا را گردآوری یا پردازش کند، تحت برخی شرایط مقررات قانون بر آن سازمان نیز قابل اعمال است.
دلایل موجه پردازش دادهها
جز با رضایت شخص موضوع داده و تنها در یک یا دو موردی که او اجازه داده نباید دادههای شخصی پردازش شوند مگر حداقل یکی از مقدمات قانونی زیر فراهم باشد:
- برای منافع مشروع کنترلکننده داده یا یک شخص ثالث، مگر اینکه این منافع با منشور حقوق بنیادی اتحادیه اروپا در تعارض باشد. (به ویژه در مورد کودکان)
- برای اجرای وظیفه ای در خدمت عموم یا یک مرجع رسمی
- برای رعایت تکالیف قانونی کنترلکننده داده
- برای تحقق الزامات قراردادی با شخص موضوع داده
- برای ایفای تعهداتی که به واسطه درخواست شخص موضوع داده که در فرایند عقد قرارداد یا کنترلکننده داده قراردارد.
- برای حفاظت از منافع حیاتی شخص موضوع داده یا یک شخص دیگر
جریمه تخلف از GDPR
اگر شرکتها قوانین GDPR را بهدرستی رعایت نکنند و مشخص شود قوانین را بهدرستی اجرا نکرده یا تخلفی داشتهاند و دادههایشان به صورت غیرقانونی درز کرده باشد، بین ۲ الی ۵ درصد درآمد سالیانهشان یا تا سقف ۲۰ میلیون یورو جریمه خواهند پرداخت.
پانویس
- Presidency of the Council: "Compromise text. Several partial general approaches have been instrumental in converging views in Council on the proposal for a General Data Protection Regulation in its entirety. The text on the Regulation which the Presidency submits for approval as a General Approach appears in annex," 201 pages, 11 June 2015, PDF
- "GDPR Portal: Site Overview". General Data Protection Regulation (GDPR). Retrieved 3 May 2018.
- "Art. 99 GDPR – Entry into force and application | General Data Protection Regulation (GDPR)". General Data Protection Regulation (GDPR). Retrieved 3 May 2018.
- Blackmer, W.S. (5 May 2016). "GDPR: Getting Ready for the New EU General Data Protection Regulation". Information Law Group. InfoLawGroup LLP. Archived from the original on 14 May 2018. Retrieved 22 June 2016.
منابع
- مشارکتکنندگان ویکیپدیا. «General Data Protection Regulation». در دانشنامهٔ ویکیپدیای انگلیسی، بازبینیشده در ۲۹ مه ۲۰۱۸.