مقررات عمومی حفاظت از داده ها (EU) 2016/679 (GDPR) یک مقررات در قانون اتحادیه اروپا در مورد حفاظت از داده ها و حریم خصوصی در اتحادیه اروپا (EU) و منطقه اقتصادی اروپا (EEA) است. همچنین به انتقال داده های شخصی به خارج از اتحادیه اروپا و منطقه اقتصادی اروپا می پردازد. هدف اصلی GDPR این است که افراد بر داده های شخصی خود کنترل داشته باشند و با استانداردسازی مقررات در اتحادیه اروپا، محیط نظارتی برای تجارت بین المللی را ساده کند. [1] این مقررات جایگزین دستورالعمل 95/46/EC حفاظت از دادهها میشود و حاوی مقررات و الزامات مربوط به پردازش دادههای شخصی افراد (که در GDPR به طور رسمی موضوع دادهها نامیده میشود) واقع در منطقه اقتصادی اروپا است و برای هر سازمانی قابل اعمال است. صرف نظر از محل آن ملیت یا محل اقامت افراد موضوع داده - یعنی پردازش اطلاعات شخصی افراد در منطقه اقتصادی اروپا کنترلکنندگان و پردازشکنندگان دادههای شخصی باید اقدامات فنی و سازمانی مناسبی را برای اجرای اصول حفاظت از دادهها انجام دهند. فرآیندهای تجاری که با داده های شخصی سروکار دارند باید با رعایت اصول در ذهن طراحی و ساخته شوند و پادمان های حفاظتی از داده ها ارائه شوند (به عنوان مثال، استفاده از ناشناس بودن یا ناشناس بودن کامل در صورت لزوم). کنترل کننده های داده باید سیستم های اطلاعاتی را با در نظر گرفتن حریم خصوصی طراحی کنند. به عنوان مثال، استفاده از بالاترین تنظیمات حریم خصوصی ممکن به صورت پیشفرض، به طوری که بهطور پیشفرض مجموعههای داده برای عموم در دسترس نیستند و نمیتوان از آنها برای شناسایی موضوع استفاده کرد. هیچ داده شخصی قابل پردازش نیست مگر اینکه این پردازش تحت یکی از شش مبنای قانونی مشخص شده در مقررات (رضایت، قرارداد، مأموریت عمومی، منافع حیاتی، منافع مشروع یا الزامات قانونی) انجام شود. در مواردی که پردازش بر اساس رضایت باشد، موضوع داده حق دارد آن را در هر زمان لغو کند. کنترلکنندگان دادهها باید بهصراحت هرگونه جمعآوری دادهها را افشا کنند، مبنای قانونی و هدف پردازش دادهها را اعلام کنند، و مشخص کنند که دادهها چه مدت نگهداری میشوند و آیا با اشخاص ثالث یا خارج از منطقه اقتصادی اروپا به اشتراک گذاشته میشوند. شرکتها موظفند از دادههای کارکنان و مصرفکنندگان تا حدی محافظت کنند که فقط دادههای ضروری با حداقل تداخل در حریم خصوصی دادهها از سوی کارمندان، مصرفکنندگان یا اشخاص ثالث استخراج شود. شرکت ها باید کنترل ها و مقررات داخلی برای بخش های مختلف مانند حسابرسی، کنترل های داخلی و عملیات داشته باشند. سوژههای داده حق دارند یک کپی قابل حمل از دادههای جمعآوریشده توسط کنسول در قالب مشترک درخواست کنند و این حق را دارند که دادههای آنها تحت شرایط خاص پاک شوند. مقامات دولتی و شرکتهایی که فعالیتهای اولیه آنها شامل پردازش سیستماتیک یا سیستماتیک دادههای شخصی است، ملزم به منصوب کردن یک افسر حفاظت از دادهها (DPO) هستند که مسئول مدیریت مطابقت با GDPR است. شرکتها باید نقض دادهها را در عرض 72 ساعت به مقامات نظارتی ملی گزارش دهند اگر تأثیر منفی بر حریم خصوصی کاربر داشته باشند. در برخی موارد، ناقضان GDPR ممکن است تا 20 میلیون یورو یا تا 4 درصد از گردش مالی سالانه جهانی برای سال مالی قبل در صورت وجود شرکت، هر کدام بیشتر جریمه شوند. مقررات عمومی حفاظت از داده ها (GDPR) در 14 آوریل 2016 تصویب شد و از 25 مه 2018 قابل اجرا شد. از آنجایی که GDPR یک مقررات است نه یک دستورالعمل، الزام آور و مستقیماً قابل اجرا است، اما برای جنبه های خاصی انعطاف پذیر است. مقرراتی که باید توسط افراد اصلاح شود. ایالات عضو. این مقررات الگویی برای بسیاری از قوانین ملی خارج از اتحادیه اروپا از جمله شیلی، ژاپن، برزیل، کره جنوبی، آرژانتین و کنیا شده است. قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA) که در 28 ژوئن 2018 تصویب شد، شباهت های زیادی به مقررات عمومی حفاظت از داده ها دارد. [2]