طرح حفاظت از اطلاعات شخصی اعلام شد

مجلس شورای اسلامی در آستانه تصویب قانونی جامع برای حفاظت از داده‌های شخصی شهروندان است.

طرح حفاظت از داده‌های شخصی با امضای ۴۱ نماینده ۱۵ مهر اعلام وصول شده است.

به گزارش دیجیاتو، طرح حفاظت از داده‌های شخصی به‌دنبال ایجاد چارچوب قانونی برای تنظیم نحوه جمع‌آوری، پردازش و استفاده از داده‌های شخصی است.

در مقدمه طرح، آمده است: «بنابر اصل ۲۲ قانون اساسی حیثیت، جان و مال و حقوق اشخاص باید از تعرض مصون بماند و بنابر اصل ۲۵ قانون اساسی به‌جز در مواردی که قانون مقرر کند، استراق سمع و تجسس ممنوع بوده است. مقام معظم رهبری نیز در استفتائی تجسس در امور شخصی و خصوصی دیگران چه در فضای حقیقی و چه در فضای مجازی را جایز ندانسته‌اند.»

نمایندگان تهیه‌کننده این طرح افزوده‌اند: «فقدان ضمانت اجراهای انتظامی، حقوقی و کیفری در حفاظت از داده‌های شخصی باعث شده اطلاعات هویتی افراد به‌دلایل عمدی یا سهوی توسط کسب‌وکارهای مرتبط با فضای مجازی و حتی نهادهای عمومی افشا شده و مجرمان و متخلفین از طریق نقض تدابیر حفاظتی و خریدوفروش داده‌های شخصی به این داده‌ها دسترسی یابند و نقض حقوق شهروندی افراد و هتک حیثیت، هویت و خسارت به اموال صورت پذیرد.»

در این طرح قانونی، منظور از حفاظت از داده‌های اشخاص، جلوگیری از سوءاستفاده از داده‌هایی است که منجر به شناسایی شخص شده و توسط اشخاص ثالث برای نقض حقوق شهروندی، کلاهبرداری، هتک حیثیت، جعل هویت و سرقت دارایی و نظایر این‌ها مورد سوءاستفاده قرار می‌گیرد.

یکی از محورهای این طرح تعریف داده‌های شخصی است. براساس این طرح، «هرگونه داده‌ای که به هر نحو، موجب شناسایی شخص موضوع داده شود» داده شخصی محسوب می‌شود و ازاین‌پس، پردازش این داده‌ها نیازمند رعایت قوانین و مقررات مشخصی خواهد بود.

توضیح واژه پردازش در این طرح عبارت‌ است از: «هرگونه عملیات رقومی بر داده‌های شخصی، از قبیل دسترسی، ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه‌و‌تحلیل، طبقه‌بندی، ساختاربندی، تطبیق، ذخیره‌سازی، اشتراک‌گذاری، فرستادن، توزیع، عرضه، انتشار و در دسترس قراردادن و پاک‌کردن آن‌ها.»

این طرح بر اهمیت رضایت صریح افراد برای پردازش داده‌های شخصی نیز تأکید دارد و هیچ نهاد یا سازمانی حق ندارد بدون اجازه صریح فرد، به اطلاعات شخصی او دسترسی پیدا کند یا آن‌ها را پردازش کند. علاوه‌براین، این طرح حقوق مختلفی برای افراد قایل شده است. افراد حق دارند بدانند کدام اطلاعات شخصی آن‌ها نگهداری می‌شود، اطلاعات نادرست را اصلاح کنند، در شرایط خاص درخواست حذف اطلاعات خود را بدهند و حتی داده‌های شخصی خود را از سرویسی به سرویسی دیگر منتقل کنند.

در ماده ۲ طرح حفاظت از داده‌های شخصی، آمده است: «به‌منظور حفاظت و حمایت از حقوق شهروندی، پردازش داده‌های شخصی حریم‌های خصوصی و اختصاصی، منوط به رضایت شخص موضوع آن‌ها و عضو یا اعضای حریم‌ها درخصوص داده‌های مربوط به آن حریم است.»

برای اعلام رضایت صریح یا ضمنی افراد نیز شرایطی ذکر شده است؛ ازجمله اینکه این رضایت باید پیش از پردازش داده‌ها گرفته شده باشد و ضمناً استنادپذیر باشد. علاوه‌براین، در ماده ۱۹ طرح نیز الزاماتی برای پردازشگران داده مشخص شده که اعلام رضایت اشخاص باید با اطمینان از اطلاع آن‌ها از موارد مندرج در این ماده باشد.

براین‌اساس، افراد باید از هدف، نوع و نحوه پردازش، هویت، ماهیت و فعالیت پردازشگران اصلی و مرتبط؛ گواهی‌ها یا پروانه‌های دریافت‌شده از مراجع ذی‌صلاح؛ حریم پردازش داده‌ها، اعم از اختصاصی و خصوصی؛ فضای عمومی؛ ویژگی‌ها و شرایط فنی پردازش؛ حقوق‌ اشخاص موضوع داده درخصوص پردازش داده‌های شخصی و چگونگی استیفای آن‌ها؛ منشأ داده‌ها و نحوه دسترسی به آن و مراجع ذی‌صلاح نظارت‌کننده و رسیدگی‌کننده به شکایات اطلاع داشته باشند.

پردازشگران همچنین موظف‌اند در قالب مستنداتی از قبیل «شرایط و ضوابط پردازش داده‌های شخصی» این اطلاعات را در اختیار اشخاص موضوع داده قرار دهند.

مسئولیت‌پذیری پردازشگران داده‌ها نیز یکی دیگر از محورهای مهم این طرح است. پردازشگرانی که به‌نوعی با داده‌های شخصی افراد سروکار دارند، موظف به رعایت اصول امنیتی و حفاظتی هستند تا از سوءاستفاده از این داده‌ها جلوگیری کنند.

براساس مواد دیگری از این طرح،‌ شخص موضوع داده حق دارد توقف پردازش داده‌های شخصی خود را با هدف پاک‌کردن، فراموشی یا تعلیق موقت از پردازشگر درخواست کند؛ مشروط بر آنکه ذی‌نفع دیگری وجود نداشته باشد. درصورت ارائه چنین درخواستی، پردازشگر مکلف است حداکثر در ۷۲ ساعت این خواسته را اجرا کند اما اگر اجرای این درخواست امکان‌پذیر نباشد،‌ پردازشگر موظف است دلایل و مستندات رد درخواست را به شخص اعلام کند.

برای نظارت بر اجرای قانون نیز پیشنهاد تشکیل کمیسیون ویژه پیش‌بینی شده که دبیرخانه آن در وزارت ارتباطات خواهد بود. این کمیسیون با حضور وزرای ارتباطات (رئیس کمیسیون)، دادگستری، فرهنگ و ارشاد اسلامی و معاونان آن‌ها، معاون علمی و فناوری ریاست‍‌!جمهوری، دادستان کل کشور و رئیس مرکز ملی فضای مجازی یا معاونان آن‌ها و یک نفر صاحب‌نظر در زمینه فناوری اطلاعات و هوش مصنوعی تشکیل می‌شود و مسئولیت نظارت بر اجرای قانون، رسیدگی به شکایات شهروندان و تعیین ضوابط و مقررات لازم برای حفاظت از داده‌های شخصی را برعهده خواهد داشت.

به‌منظور رسیدگی به تخلفات مرتبط نیز تشکیل هیئت بدوی و هیئت تجدیدنظر پیش‌بینی شده است. هیئت بدوی متشکل از یک نفر به انتخاب وزیر ارتباطات، یک نفر حقوق‌دان آگاه و نماینده سازمان نظام صنفی رایانه‌ای کشور است. هیئت تجدیدنظر نیز با حضور نماینده رئیس مرکز ملی فضای مجازی، یک نفر قاضی آگاه به امور مرتبط با این قانون به انتخاب رئیس قوه قضائیه و رئیس سازمان نظام صنفی رایانه‌ای کشور شکل خواهد گرفت.

این طرح به موضوع انتقال داده‌ها به خارج از کشور پرداخته و شرایط و محدودیت‌های آن را مشخص کرده است.

براساس ماده ۲۵ طرح، اگر پردازشگر تابعیت خارجی داشته باشد یا مرکز پردازش داده‌ها بیرون از قلمروِ حاکمیتی کشور باشد، پردازش کلان‌داده‌های شخصی، فرامرزی تلقی می‌شود.

ازجمله الزامات مطرح‌شده این است که داده‌ها باید صرفاً در مراکز داده واقع در قلمروِ حاکمیتی کشور یا مراکز داده خارجی تأییدشده ذخیره شوند. همچنین مراجع مربوط باید صلاحیت پردازشگران خارجی دارای سمت‌های مدیریتی در بخش پردازش داده‌ها را تأیید کنند.

دادگاه می‌تواند پردازشگر فرامرزی را علاوه‌بر مجازات‌ها و جبران خسارات مادی و معنوی ناشی از نقض تعهدات مندرج در این قانون، به پرداخت جریمه تا سقف ۴ درصد از درآمد پردازشگر به نفع دولت محکوم کند.

در این طرح، برای تخلف از مسئولیت‌ها یا پردازش غیرقانونی داده‌ها نیز مجازات‌هایی در نظر گرفته شده است.

جزئیات این طرح را می‌توانید در این آدرس بخوانید.