طرح حفاظت از دادههای شخصی اعلام وصول شد
مجلس شورای اسلامی در آستانه تصویب قانونی جامع برای حفاظت از دادههای شخصی شهروندان است.
طرح حفاظت از دادههای شخصی با امضای ۴۱ نماینده ۱۵ مهر اعلام وصول شده است.
به گزارش دنده6 : طرح حفاظت از دادههای شخصی بهدنبال ایجاد چارچوب قانونی برای تنظیم نحوه جمعآوری، پردازش و استفاده از دادههای شخصی است.
در مقدمه طرح، آمده است: «بنابر اصل ۲۲ قانون اساسی حیثیت، جان و مال و حقوق اشخاص باید از تعرض مصون بماند و بنابر اصل ۲۵ قانون اساسی بهجز در مواردی که قانون مقرر کند، استراق سمع و تجسس ممنوع بوده است. مقام معظم رهبری نیز در استفتائی تجسس در امور شخصی و خصوصی دیگران چه در فضای حقیقی و چه در فضای مجازی را جایز ندانستهاند.»
نمایندگان تهیهکننده این طرح افزودهاند: «فقدان ضمانت اجراهای انتظامی، حقوقی و کیفری در حفاظت از دادههای شخصی باعث شده اطلاعات هویتی افراد بهدلایل عمدی یا سهوی توسط کسبوکارهای مرتبط با فضای مجازی و حتی نهادهای عمومی افشا شده و مجرمان و متخلفین از طریق نقض تدابیر حفاظتی و خریدوفروش دادههای شخصی به این دادهها دسترسی یابند و نقض حقوق شهروندی افراد و هتک حیثیت، هویت و خسارت به اموال صورت پذیرد.»
در این طرح قانونی، منظور از حفاظت از دادههای اشخاص، جلوگیری از سوءاستفاده از دادههایی است که منجر به شناسایی شخص شده و توسط اشخاص ثالث برای نقض حقوق شهروندی، کلاهبرداری، هتک حیثیت، جعل هویت و سرقت دارایی و نظایر اینها مورد سوءاستفاده قرار میگیرد.
یکی از محورهای این طرح تعریف دادههای شخصی است. براساس این طرح، «هرگونه دادهای که به هر نحو، موجب شناسایی شخص موضوع داده شود» داده شخصی محسوب میشود و ازاینپس، پردازش این دادهها نیازمند رعایت قوانین و مقررات مشخصی خواهد بود.
توضیح واژه پردازش در این طرح عبارت است از: «هرگونه عملیات رقومی بر دادههای شخصی، از قبیل دسترسی، ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیهوتحلیل، طبقهبندی، ساختاربندی، تطبیق، ذخیرهسازی، اشتراکگذاری، فرستادن، توزیع، عرضه، انتشار و در دسترس قراردادن و پاککردن آنها.»
این طرح بر اهمیت رضایت صریح افراد برای پردازش دادههای شخصی نیز تأکید دارد و هیچ نهاد یا سازمانی حق ندارد بدون اجازه صریح فرد، به اطلاعات شخصی او دسترسی پیدا کند یا آنها را پردازش کند. علاوهبراین، این طرح حقوق مختلفی برای افراد قایل شده است. افراد حق دارند بدانند کدام اطلاعات شخصی آنها نگهداری میشود، اطلاعات نادرست را اصلاح کنند، در شرایط خاص درخواست حذف اطلاعات خود را بدهند و حتی دادههای شخصی خود را از سرویسی به سرویسی دیگر منتقل کنند.
در ماده ۲ طرح حفاظت از دادههای شخصی، آمده است: «بهمنظور حفاظت و حمایت از حقوق شهروندی، پردازش دادههای شخصی حریمهای خصوصی و اختصاصی، منوط به رضایت شخص موضوع آنها و عضو یا اعضای حریمها درخصوص دادههای مربوط به آن حریم است.»
برای اعلام رضایت صریح یا ضمنی افراد نیز شرایطی ذکر شده است؛ ازجمله اینکه این رضایت باید پیش از پردازش دادهها گرفته شده باشد و ضمناً استنادپذیر باشد. علاوهبراین، در ماده ۱۹ طرح نیز الزاماتی برای پردازشگران داده مشخص شده که اعلام رضایت اشخاص باید با اطمینان از اطلاع آنها از موارد مندرج در این ماده باشد.
برایناساس، افراد باید از هدف، نوع و نحوه پردازش، هویت، ماهیت و فعالیت پردازشگران اصلی و مرتبط؛ گواهیها یا پروانههای دریافتشده از مراجع ذیصلاح؛ حریم پردازش دادهها، اعم از اختصاصی و خصوصی؛ فضای عمومی؛ ویژگیها و شرایط فنی پردازش؛ حقوق اشخاص موضوع داده درخصوص پردازش دادههای شخصی و چگونگی استیفای آنها؛ منشأ دادهها و نحوه دسترسی به آن و مراجع ذیصلاح نظارتکننده و رسیدگیکننده به شکایات اطلاع داشته باشند.
پردازشگران همچنین موظفاند در قالب مستنداتی از قبیل «شرایط و ضوابط پردازش دادههای شخصی» این اطلاعات را در اختیار اشخاص موضوع داده قرار دهند.
مسئولیتپذیری پردازشگران دادهها نیز یکی دیگر از محورهای مهم این طرح است. پردازشگرانی که بهنوعی با دادههای شخصی افراد سروکار دارند، موظف به رعایت اصول امنیتی و حفاظتی هستند تا از سوءاستفاده از این دادهها جلوگیری کنند.
براساس مواد دیگری از این طرح، شخص موضوع داده حق دارد توقف پردازش دادههای شخصی خود را با هدف پاککردن، فراموشی یا تعلیق موقت از پردازشگر درخواست کند؛ مشروط بر آنکه ذینفع دیگری وجود نداشته باشد. درصورت ارائه چنین درخواستی، پردازشگر مکلف است حداکثر در ۷۲ ساعت این خواسته را اجرا کند اما اگر اجرای این درخواست امکانپذیر نباشد، پردازشگر موظف است دلایل و مستندات رد درخواست را به شخص اعلام کند.
برای نظارت بر اجرای قانون نیز پیشنهاد تشکیل کمیسیون ویژه پیشبینی شده که دبیرخانه آن در وزارت ارتباطات خواهد بود. این کمیسیون با حضور وزرای ارتباطات (رئیس کمیسیون)، دادگستری، فرهنگ و ارشاد اسلامی و معاونان آنها، معاون علمی و فناوری ریاست!جمهوری، دادستان کل کشور و رئیس مرکز ملی فضای مجازی یا معاونان آنها و یک نفر صاحبنظر در زمینه فناوری اطلاعات و هوش مصنوعی تشکیل میشود و مسئولیت نظارت بر اجرای قانون، رسیدگی به شکایات شهروندان و تعیین ضوابط و مقررات لازم برای حفاظت از دادههای شخصی را برعهده خواهد داشت.
بهمنظور رسیدگی به تخلفات مرتبط نیز تشکیل هیئت بدوی و هیئت تجدیدنظر پیشبینی شده است. هیئت بدوی متشکل از یک نفر به انتخاب وزیر ارتباطات، یک نفر حقوقدان آگاه و نماینده سازمان نظام صنفی رایانهای کشور است. هیئت تجدیدنظر نیز با حضور نماینده رئیس مرکز ملی فضای مجازی، یک نفر قاضی آگاه به امور مرتبط با این قانون به انتخاب رئیس قوه قضائیه و رئیس سازمان نظام صنفی رایانهای کشور شکل خواهد گرفت.
این طرح به موضوع انتقال دادهها به خارج از کشور پرداخته و شرایط و محدودیتهای آن را مشخص کرده است.
براساس ماده ۲۵ طرح، اگر پردازشگر تابعیت خارجی داشته باشد یا مرکز پردازش دادهها بیرون از قلمروِ حاکمیتی کشور باشد، پردازش کلاندادههای شخصی، فرامرزی تلقی میشود.
ازجمله الزامات مطرحشده این است که دادهها باید صرفاً در مراکز داده واقع در قلمروِ حاکمیتی کشور یا مراکز داده خارجی تأییدشده ذخیره شوند. همچنین مراجع مربوط باید صلاحیت پردازشگران خارجی دارای سمتهای مدیریتی در بخش پردازش دادهها را تأیید کنند.
دادگاه میتواند پردازشگر فرامرزی را علاوهبر مجازاتها و جبران خسارات مادی و معنوی ناشی از نقض تعهدات مندرج در این قانون، به پرداخت جریمه تا سقف ۴ درصد از درآمد پردازشگر به نفع دولت محکوم کند.
در این طرح، برای تخلف از مسئولیتها یا پردازش غیرقانونی دادهها نیز مجازاتهایی در نظر گرفته شده است.