۱) قوانین GDPR چه کارکردی دارد؟

شرکت‌ها باید اعلان‌های صریح و صحیحی برای کاربران ارسال کنند و به جای آنکه دکمه‌هایی نظیر موافقم، اوکی یا هر چیز دیگری را در لابه‌لای پیام‌های خود مستتر کنند، رضایت «بی‌ابهام» آنها را برای جمع‌آوری داده‌هایشان کسب کنند. این قوانین اساسا به آن معنی است که اتحادیه اروپا دیگر موقعیت‌ها و شرایط گیج‌کننده و پیچیده را برای شهروندانش تحمل نمی‌کند و تمام شرکت‌ها اعم از سفارش غذا یا تناسب اندام و ... موظفند در زمان ثبت نام، تمام موارد لازم را به‌طور شفاف برای کاربران بیان کنند (البته اینکه آیا شما واقعا همه آنها را مطالعه می‌کنید یا خیر دیگر مطمئنا به خودتان بستگی دارد). قوانین جدید همچنین بیان می‌کند که شرکت‌ها نمی‌توانند اطلاعات مشتریان خود را فارغ از اینکه به‌دست آورده یا خود داده باشند، به شرکت‌ها و کسب و کارهای دیگر بفروشند. همچنین جمع‌آوری اطلاعات در مورد کودکان زیر ۱۶ سال بدون اجازه والدین آنها اکیدا ممنوع شده است.

۲) درخصوص چه نوع اطلاعاتی صحبت می‌کنیم؟

هرچیزی که اتحادیه اروپا به‌عنوان «اطلاعات شخصی» تعیین کرده است تحت این قانون قرار می‌گیرد. به این معنی که اساسا هر آنچه می‌توان به شخصی خاص نسبت داد تحت چتر این مجموعه قوانین قرار می‌گیرند. این شامل شماره کارت اعتباری، پرونده سفر، اعتقادات مذهبی، نتایج جست‌وجوی وب، اطلاعات بیومتریک حاصل از استفاده از تکنولوژی‌های پوشیدنی و اینترنت (IP) و آدرس‌های رایانه شخصی می‌شود. این قوانین شامل مقالات خبری، اقدامات قانونی یا پرونده‌های عمومی نمی‌شود.

۳) چه کسی باید از این قوانین تبعیت کند؟

هر شخصی که از طریق جمع‌آوری اطلاعات شخصی به پردازش، ذخیره‌سازی یا انتشار آن می‌پردازد ملزم به رعایت این قوانین است. بدین معنی که فقط سایت‌های شبکه‌های اجتماعی، موتورهای جست‌وجو و خرده‌فروشان بزرگ آنلاین شامل این قوانین نمی‌شوند و طیف وسیعی از کسب و کارها را تحت تاثیر قرار می‌دهد. این قوانین همچنین به اطلاعات جمع‌آوری شده توسط مدارس، اتاق‌های چت و شرکت‌های مدیریت دارایی هم مرتبط می‌شود.

۴) چه هزینه‌هایی به شرکت‌ها تحمیل می‌شود؟

یک نظرسنجی از سوی Fortune ۵۰۰ نشان می‌دهد که شرکت‌ها به‌طور متوسط یک میلیون دلار برای هزینه‌های فناوری‌های جدید در نظر می‌گیرند. بیش از یک‌سوم کسانی که در نظرسنجی شرکت کردند، ۵۰۱ هزار دلار برای کارکنان دائمی جدید در نظر گرفتند. پیتر فلیشر، مشاور حریم خصوصی گوگل، روز ۱۴ مه گفت این موتور جست‌وجوگر باید حدود ۵/ ۱۲ میلیون قرارداد را به‌روزرسانی کند. این شرکت بیش از یک سال روی قوانین جدید کار کرده‌است.

۵) شرکت‌ها باید چه کارهایی انجام دهند؟

شرکت‌ها و سازمان‌هایی که بیش از ۲۵۰ کارمند دارند، باید یک افسر حفاظت از داده‌ها استخدام کنند که مسوولیت اطمینان از آموزش قوانین به کارکنان و بازرسی‌های مربوط به آن را پیگیری کند. همچنین اگر یک شرکت پرسنلی کمتر از ۲۵۰ نفر دارد، اما مقادیر زیادی اطلاعات حساس را جمع‌آوری می‌کند، او هم نیاز به چنین فردی دارد که به او DPO اطلاق می‌شود. در صورتی که نقض اطلاعات وجود داشته باشد، مقامات باید ظرف ۷۲ ساعت مطلع شوند و اگر این موضوع برای آنها خطر ایجاد کند، ملزم به اطلاع‌رسانی هستند. به این ترتیب مواردی نظیر تلاش شرکت اوبر برای پوشاندن خبر هک شدن اطلاعاتش در سال ۲۰۱۶ یا انتشار تدریجی اطلاعات مربوط به نقض گسترده یاهو در سال ۲۰۱۳، با جریمه‌هایی سنگین مواجه خواهند شد.

۶) جریمه عدم تبعیت شرکت‌ها چیست؟

در شرایط غفلت یا نقض نادانسته، جریمه تا ۴/ ۱۲ میلیون دلار (۱۰ میلیون یورو) یا ۲ درصد درآمد سالانه در سراسر جهان، هر کدام از آنها بالاتر باشد و در شرایط نقض شرایط رضایت و نقض حقوق مربوط به داده‌ها، جریمه می‌تواند به میزان ۸/ ۲۴ میلیون دلار یا ۴ درصد درآمد سالانه در سراسر جهان، هر کدام از آنها بالاتر باشد. این قوانین تا جایی پیش می‌رود که در برخی موارد، افرادی که مسوول هستند می‌توانند مجازات‌های زندان را هم متحمل شوند. تنظیم‌کنندگان قوانین حفظ حریم خصوصی در اتحادیه اروپا برای مدتی طولانی ابزاری کنترلی در اختیار نداشته‌اند، اما اینک برخی از تهاجمی‌ترین آنها وعده داده‌اند که در استفاده کامل از قدرت جدید برای جریمه شرکت‌های متخلف هیچ‌گونه مماشاتی را نخواهند پذیرفت. با وجود این، آیا شاهد بالاترین حد ممکن مجازات‌ها خواهیم بود؟ بعید نیست که در سال‌های آینده شاهد برخی از این موارد باشیم.

۷) این قوانین چه تاثیری بر زندگی مشتریان خواهد داشت؟

از زمان اجرای این قانون، شهروندان اتحادیه اروپا دسترسی آزادانه‌ای به داده‌های جمع‌آوری شده در رابطه با خود و استفاده‌هایی که از آن شده خواهند داشت. ضمن اینکه داده‌ها زمانی که دیگر برای هدف اصلی مورد نیاز نبودند، باید نابود شوند. افراد برای پیگیری این موضوع می‌توانند با کنترل‌کننده اطلاعات تماس بگیرند، ضمن اینکه اطلاعات تماس آنها باید هر زمان که اطلاعات جمع‌آوری می‌شود ارائه شود. از آنجا که مصرف‌کنندگان در حال حاضر به اطلاعات خود دسترسی دارند، آنها می‌توانند از مزایای انتشار اطلاعاتشان ذی‌نفع باشند و خودشان از این مساله استفاده کنند.

۸) چه نوع اطلاعاتی قابلیت پاک شدن دارند؟

شهروندان از طریق «حق فراموش شدن» می‌توانند سازمان‌ها را مجبور کنند تا اطلاعاتی را که به‌طور غیرقانونی به دست آورده‌اند پاک کنند. داده‌هایی که برای اهداف فعلی در دسترس نیستند یا برای بازاریابی مستقیم استفاده می‌شوند نیز می‌توانند به نوعی تخطی از قانون جدید باشند. همچنین در برخی موارد، مصرف‌کنندگان این اختیار را دارند که به وب‌سایت‌ها اجازه ندهند از اطلاعاتشان استفاده کنند، همچنین شرکت‌ها مجاز نیستند این اطلاعات را در اختیار سایر سایت‌ها یا رسانه‌های اجتماعی قرار دهند.

۹) آیا آمریکا هم نسخه‌ای از GDPR را اجرا خواهد کرد؟

هرچند مارک زاکربرگ، مدیر عامل فیس بوک، در ۲۲ مه در جلسه مشترک با نمایندگان پارلمان اتحادیه اروپا گفته بود که شرکت‌های رسانه‌های اجتماعی، «روح» این قوانین را در سطح جهان اعمال خواهند کرد، اما او در مصاحبه دیگری که با قانون‌گذاران ایالات متحده درخصوص مسائل مربوط به حفظ حریم خصوصی در ماه آوریل داشت، در مواجهه با پرسش‌های مربوط به امنیت اطلاعات کاربران گفته بود که احتمال ایجاد اصلاحاتی جامع نظیر آنچه در اتحادیه اروپا تصویب شده را بعید می‌داند.