General Data Protection Regulation به معنای " مقررات حفاظت از اطلاعات عمومی" می‌باشد. در ژانویه 2012، اتحادیه‌ی اروپا درخصوص حفاظت از داده‌های دیجیتالی اصلاحاتی را مطرح کرد که یکی از اجزای اصلی این اصلاحات مربوط به GDPR بود؛ تقریبا چهار سال بعد از آن، چگونگی اجرای این اصلاحات تصویب و در تمام ادارات اعلام عمومی شد. این چارچوب جدید، شامل تمام افراد و سازمانها در سراسر اتحادیه اروپا و یا کسانی است که قصد ارائه‌ی خدمات یا انجام معاملات با شهروندان اروپایی را دارند؛ در نتیجه GDPR به خودی خود در خارج از مرزهای قاره اروپا نیز گسترده می‌شود. این قوانین از 25 مه 2018 در اروپا به اجرا درآمده و تمامی اعضای زیرمجموعه آن، GDPR را به عنوان قانون ملی خود تلقی کرده و ملزم به رعایت آن هستند. قوانین و تعهدات این طرح در راستای امنیت و رضایت شهروندان اروپایی بوده و تمامی جنبه‌های زندگی افراد را دربر می‌گیرد. از خرده‌فروشان و شرکت‌های فعال در رسانه‌های اجتماعی گرفته تا بانک‌ها و دولت‌ها.

تحت قوانین GDPR، نه تنها شرکت‌ها و سازمان‌ها نسبت به نگهداری اطلاعات شخصی اعضای خود به طور قانونی و تحت شرایط سخت اطمینان حاصل می‌کنند. بلکه شرکتهای مسئول نیز ملزم به محافظت اطلاعات در برابر تخریب و سرقت خواهند بود.

داده‌های فردی در GDPR شامل چیست؟

قوانین این طرح تعریف گسترده‌ای را در مورد داده‌های شخصی دربرمیگیرد که علاوه بر انواع اطلاعات فردی مانند نام، نشانی، تلفن، عکس‌ و غیره شامل آدرس‌های Ip،اطلاعات محرمانه مانند داده‌های ژنتیکی و بیومتریکی نیز می‌شود که در شناسایی افراد به کار می‌روند.

جریمه‌ی نقض قوانین GDPR از10 میلیون یورو تا 4درصد سود حاصل از گردش مالی جهانی شرکتهای ذینفع خواهد بود. این رقم برای برخی می‌تواند میلیون‌ها دلار باشد.

به گفته‌ی کمیسیون اتحادیه اروپا، GDPR منجر به ایجاد فرصت‌های مناسب کسب و کارو صرفه جویی سالانه‌ی 2.3 میلیارد یورو برای این قاره خواهد شد.

برخی مفاد GDPR عبارتند از:

• سازمان‌ها در حفظ و تامین امنیت داده‌های کاربران مسئول بوده و هرگونه انتقال اطلاعات فردی را با اجازه وی انجام دهند.

• GDPR این حق را برای ذی نفعان ایجاد میکند که در مورد هک شدن داده‌هایشان اطلاعات داشته باشند و هرزمان که بخواهند اطلاعات لازم در زمینه سوء استفاده از داده های شخصی خود را از شرکت‌ها دریافت کنند. یکی از کاربردها در این زمینه، ردیابی ایمیلهای مشکوک بوده و اینکه آیا این ایمیل‌ها از طرف شرکت معتبر است یا جعلی ؟

• همچنین درصورت سرقت هرنوع اطلاعات شخصی ، سازمان یا شرکت مرتبط، موظف است جهت محافظت بیشتر و محدود کردن آسیب‌ها، موضوع نقض GDPR را به خود شخص قربانی و سایر دستگاه‌های مربوطه به صورت کاملا مستقیم اطلاع دهد.

• شرکت‌ها و سازمان‌ها موظفند ظرف مدت 72 ساعت بعد از اطلاع از اولین قانون شکنی GDPR و یا فقدان اطلاعات خود که ممکن است در نتیجه حمله سایبری، خطای انسانی و یا مورد دیگر باشد سریعا این موضوع را گزارش دهند. این گزارش باید شامل دسته‌بندی اطلاعات، تعداد تقریبی رکوردهای مربوط به داده‌های شخصی و تعداد افرادی که به علت این رویداد مورد تهدید قراردارند باشد.

• طبق این قانون نگهداری اطلاعات شخصی کاربر در سیستم‌های مختلف به اختیار وی بوده و هرزمان که مایل باشد می‌تواند دستور حذف اطلاعات خود را به شرکت اعلام دارد.

• کاربر این حق را دارد تا در مورد روند ذخیره و پردازش و همچنین موارد استفاده از اطلاعات شخصی خود در سیستم سازمان اطلاع کامل داشته باشد.

موارد ذکر شده در این قسمت تنها بخشی از مصوبات GDPR می‌باشد.