مقررات عمومی حفاظت از داده ها (EU) 2016/679 (GDPR) یک مقررات در قانون اتحادیه اروپا در مورد حفاظت از داده ها و حریم خصوصی در اتحادیه اروپا (EU) و منطقه اقتصادی اروپا (EEA) است. همچنین به انتقال داده های شخصی به خارج از اتحادیه اروپا و منطقه اقتصادی اروپا می پردازد. هدف اصلی GDPR این است که افراد بر داده های شخصی خود کنترل داشته باشند و با استانداردسازی مقررات در اتحادیه اروپا، محیط نظارتی برای تجارت بین المللی را ساده کند. [1] این مقررات جایگزین دستورالعمل 95/46/EC حفاظت از داده‌ها می‌شود و حاوی مقررات و الزامات مربوط به پردازش داده‌های شخصی افراد (که در GDPR به طور رسمی موضوع داده‌ها نامیده می‌شود) واقع در منطقه اقتصادی اروپا است و برای هر سازمانی قابل اعمال است. صرف نظر از موقعیت مکانی و ملیت یا محل اقامت افراد سوژه داده - یعنی پردازش اطلاعات شخصی افراد در منطقه اقتصادی اروپا

کنترل‌کنندگان و پردازش‌کنندگان داده‌های شخصی باید اقدامات فنی و سازمانی مناسبی را برای اجرای اصول حفاظت از داده‌ها اعمال کنند. فرآیندهای تجاری که با داده های شخصی سروکار دارند باید با رعایت اصول در ذهن طراحی و ساخته شوند و پادمان های حفاظتی از داده ها ارائه شوند (به عنوان مثال، استفاده از ناشناس بودن یا ناشناس بودن کامل در صورت لزوم). کنترل کننده های داده باید سیستم های اطلاعاتی را با در نظر گرفتن حریم خصوصی طراحی کنند. به عنوان مثال، استفاده از بالاترین تنظیمات حریم خصوصی ممکن به صورت پیش‌فرض، به طوری که به‌طور پیش‌فرض مجموعه‌های داده برای عموم در دسترس نیستند و نمی‌توان از آنها برای شناسایی موضوع استفاده کرد. هیچ داده شخصی قابل پردازش نیست مگر اینکه این پردازش تحت یکی از شش مبنای قانونی مشخص شده در مقررات (رضایت، قرارداد، مأموریت عمومی، منافع حیاتی، منافع مشروع یا الزامات قانونی) انجام شود. در مواردی که پردازش بر اساس رضایت باشد، موضوع داده حق دارد آن را در هر زمان لغو کند.

کنترل‌کنندگان داده‌ها باید به‌صراحت هرگونه جمع‌آوری داده‌ها را افشا کنند، مبنای قانونی و هدف پردازش داده‌ها را اعلام کنند، و مشخص کنند که داده‌ها چه مدت نگهداری می‌شوند و آیا با اشخاص ثالث یا خارج از منطقه اقتصادی اروپا به اشتراک گذاشته می‌شوند. شرکت‌ها موظفند از داده‌های کارکنان و مصرف‌کنندگان تا حدی محافظت کنند که فقط داده‌های ضروری با حداقل تداخل در حریم خصوصی داده‌ها از سوی کارمندان، مصرف‌کنندگان یا اشخاص ثالث استخراج شود. شرکت ها باید کنترل ها و مقررات داخلی برای بخش های مختلف مانند حسابرسی، کنترل های داخلی و عملیات داشته باشند. سوژه‌های داده حق دارند یک کپی قابل حمل از داده‌های جمع‌آوری‌شده توسط کنسول در قالب مشترک درخواست کنند و این حق را دارند که داده‌های آنها تحت شرایط خاص پاک شوند. مقامات دولتی و شرکت‌هایی که فعالیت‌های اولیه آنها شامل پردازش سیستماتیک یا سیستماتیک داده‌های شخصی است، ملزم به منصوب کردن یک افسر حفاظت از داده‌ها (DPO) هستند که مسئول مدیریت مطابقت با GDPR است. شرکت‌ها باید نقض داده‌ها را در عرض 72 ساعت به مقامات نظارتی ملی گزارش دهند اگر تأثیر منفی بر حریم خصوصی کاربر داشته باشند. در برخی موارد، ناقضان GDPR ممکن است تا 20 میلیون یورو یا تا 4 درصد از گردش مالی سالانه جهانی برای سال مالی قبل در صورت وجود شرکت، هر کدام بیشتر جریمه شوند.

مقررات عمومی حفاظت از داده ها (GDPR) در 14 آوریل 2016 تصویب شد و از 25 مه 2018 قابل اجرا شد. از آنجایی که GDPR یک مقررات است نه یک دستورالعمل، الزام آور و مستقیماً قابل اجرا است، اما برای جنبه های خاصی انعطاف پذیر است. مقرراتی که باید توسط افراد اصلاح شود. ایالات عضو.

این مقررات الگویی برای بسیاری از قوانین ملی خارج از اتحادیه اروپا از جمله شیلی، ژاپن، برزیل، کره جنوبی، آرژانتین و کنیا شده است. قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA) که در 28 ژوئن 2018 تصویب شد، شباهت های زیادی به مقررات حفاظت از داده های عمومی دارد. [2]

شما به دنبال