پیش نویس لایحه حمایت از داده ها و حریم خصوصی در فضای مجازی جهت نظرخواهی از کارشناسان و فعالان این حوزه منتشر شد.
این پیش نویس را سازمان فناوری اطلاعات با همکاری پژوهشگاه قوه قضاییه و بر مبنای ۸ اصل شامل اصل محدودیت در جمعآوری اطلاعات، اصل کیفیت جمع آوری و استفاده از دادهها و اطلاعات، اصل مشخص بودن هدف از جمع آوری و استفاده از داده ها و اطلاعات، اصل محدودیت در استفاده و عدم افشا (مگر به حکم قانون یا رضایت فرد)، اصل تضمین های حفاظت از داده ها و اطلاعات، اصل شفافیت اقدامات–ابزارها و ماهیت داده های هدف، اصل لزوم جلب مشارکت فردی و اصل پاسخگویی در قبال اجرای سایر اصول تدوین کرده است.
براساس این قانون داده شخصی عبارت است از داده ای که به وسیله آن، به تنهایی یا به همراه داده های دیگر، بتوان شخص موضوع آن را شناسایی کرد.
پردازش نیز عبارت است از هر نوع جمع آوری، دریافت، ارسال، نگهداری، تبادل، به اشتراک گذاشتن یا هر نوع عملیات دیگر اعم از الکترونیکی یا غیر الکترونیکی که بر داده انجام شود و بتوان آن داده را به شخص موضوع آن مرتبط کرد.
کنترل گر نیز عبارت است از هر شخص حقیقی یا حقوقی که بر اساس قرار داد یا قانون یا در عمل هدف و چگونگی ثبت و پردازش داده را تعیین می کند.
استفاده از دادهها، به شرط رضایت صاحب آن
براساس این قانون به منظور محافظت از حریم داده های شخصی و حمایت از حیثیت و کرامت هر فرد، هر کس می تواند به داده های شخصی خود دسترسی داشته باشد و بر هر نوع پردازش این داده ها مطابق مقررات این قانون نظارت کند.
همچنین ایجاد، پردازش و استفاده از داده های شخصی باید مبتنی بر رضایت صریح یا ضمنی اشخاص موضوع آن باشد مگر به حکم قانون. اعلام رضایت حاصل از فریب یا تهدید یا اکراه معتبر نیست. کنترل گر باید پیش از ایجاد، پردازش یا استفاده از این داده ها، هدف معین و قانونی خود از این امور و همچنین حسب مورد عواقب عدم ارایه این داده ها را به نحو صریح اعلام کند.
در جهت حمایت و محافظت متناسب با موضوع برخی از انواع داده های شخصی به لحاظ اهمیت آنها یا نقش آن نوع داده ها در شرایط خاص سیاسی یا اجتماعی، کمیسیون مرکزی حمایت از داده ها و آزادی اطلاعات می تواند اعلام رضایت شخص موضوع داده را از طریق الکترونیکی معتبر نداند. همچنین پردازش داده های حاصل از راه فریب یا تهدید یا اکراه شخص موضوع آن ممنوع است.
انتشار عمومی دادهها، به معنی رضایت از پردازش آنها
ارایه داده های شخصی توسط شخص موضوع داده در فضای عمومی مجازی به منزله رضایت به جمع آوری یا پردازش آنهاست.
در هر صورت فردی که داده های شخصی او پردازش یا استفاده می شود نباید از این اقدام متضرر شود و در صورت ورود خسارت متعارف مادی یا معنوی، کنترل گر مکلف به جبران متناسب با آن ضرر است مگر اینکه شخص موضوع داده رضایت صریح یا ضمنی خود را به ورود خسارت احتمالی اعلام کرده باشد. اگر ورود خسارت مستند به فعل شخصی غیر از کنترل گر باشد در صورتیکه کنترل گر اقدامات متناسب برای محافظت از داده ها را انجام داده باشد شخص ثالث مکلف به جبران خسارت است و در غیر این صورت، کنترل گر جبران خسارت می کند و می تواند خسارتی را که پرداخت کرده است از او مطالبه کند.
ایجاد کمیسیون برای حمایت از دادهها
کمیسیون مرکزی حمایت از داده ها نظارت بر اجرای مقررات حمایت از داده های شخصی افراد را بر عهده دارد. تصمیمات این کمیسیون قابل شکایت در دیوان عدالت اداری است.
پردازش داده های شخصی اشخاص حقوقی نباید موجب نقض حقوق و آزادی های مشروع، افشای داده های شخصی یا سلب امنیت اشخاص حقیقی شود.
اولویت حق شخص بر دادههایش نسبت به حق مالکیت فکری
همچنین حق مالکیت فکری بر داده های شخصی نافی حقوق اشخاص موضوع داده ها نیست. در صورت تزاحم حقوق، حق اشخاص بر دادهای شخصی آنها اولویت خواهد داشت.
پردازش مجاز دادههای شخصی
براساس این قانون پردازش داده های شخصی در صورتی مجاز است که موارد گفته شده در این قانون را رعایت کرده و مطابق با اهداف اعلام شده توسط کنترل گر، ایجاد یا جمع آوری شده یا مطابق با آن اهداف از پردازش ناشی شده باشد مگر این که قانون گذار پردازش یا استفاده از آن ها را برای هدف خاص دیگری تجویز کند.
البته به جز داده های شخصی حساس، پردازش داده های شخصی جهت انجام بررسی های آماری یا پژوهش های علمی یا تاریخی، مجاز است .
مسوولیت صحت و تمامیت و به روز بودن داده های شخصی بر عهده ثبت کننده این داده ها است مگر اینکه قانون این مسوولیت را بر عهده شخص دیگری قرارداده باشد.
کنترل گر نیز مکلف است اقدامات لازم جهت حذف یا اصلاح داده هایی که با توجه به هدف از بدست آوردن یا پردازش آنها نادرست یا ناکافی هستند را انجام دهد.
داده های شخصی باید به گونه ای پردازش و استفاده شوند که شخص موضوع داده قابل شناسایی نباشد مگر اینکه شناسایی شخص موضوع داده برای اجرای قانون ضروری باشد.
شرایط مجاز بودن پردازش دادهها بدون رضایت شخص
پردازش داده های شخصی بدون تحصیل رضایت موضوع آن داده در صورتی جایز است که برای انجام تکالیفی که قانونگذار بر عهده کنترل گر قرار داده است ضروری باشد، یا برای حفظ حیثیت یا جان شخص موضوع داده ضروری باشد، یا برای حفظ منافع مسلم شخص موضوع داده ضروری و با آن منافع متناسب باشد و أخذ رضایت او ممکن نباشد.
همچنین برای حفظ امنیت عمومی، حفظ امنیت ملی، منافع ملی، تعقیب جرم یا حفظ سلامت و ایمنی عمومی ضروری باشد.
همچنین براساس ماده دیگری در این قانون استفاده تجاری از داده شخصی به شرط آنکه هویت اشخاص موضوع داده شناسایی نشود مجاز است.
دادگاه صرفا می تواند به داده های شخصی که با رعایت مقررات این قانون یا قوانین مرتبط دیگر به دست آمده باشند استناد کند. با این حال بررسی صحت و سقم محتوای داده بر عهده دادگاه است.
نحوه ایجاد، پردازش و استفاده از دادههای شخصی حساس
براساس این پیش نویس ایجاد، پردازش یا استفاده از داده های شخصی حساس یا اجبار اشخاص به ارایه این نوع داده ها ممنوع است.
داده های مرتبط با عقاید سیاسی، حزبی، فلسفی، دینی یا مذهبی، قومیت، وضعیت جسمانی، رفتارهای جنسی، اتهامات و محکومیت های کیفری داده شخصی حساس محسوب می شود.
در موارد ذیل ایجاد، پردازش یا استفاده از داده های شخصی حساس ممنوع نیست:
۱- شخص موضوع داده رضایت صریح خود را به این امور بیان کرده باشد.
۲- برای حفظ زندگی شخص موضوع داده ضروری باشد و به دلیل عدم اهلیت رضایت او فاقد اثر قانونی باشد یا تحصیل رضایت از او به دلیل دیگری عملا ممکن نباشد.
۳- شخص موضوع داده آن داده را به طور عمومی منتشر کرده باشد.
۴- برای کشف جرم یا اجرای مجازات ضروری باشد.
۵- برای حفظ نظم عمومی یا امنیت ملی ضروری باشد.
۶- قانون ایجاد یا پردازش یا استفاده از این نوع داده را بدون رضایت شخص موضوع داده مجاز نموده باشد.
داده هایی که برای سر شماری عمومی نفوس و مسکن توسط مرکز آمار ایران جمع آوری می شوند از ممنوعیت های این قانون مستنثنی هستند. با این حال این داده ها باید به گونه ای ذخیره و نگهداری شوند که نتوان دادهای شخصی را به موضوع آنها مرتبط کرد.
همچنین ایجاد یا پردازش داده های شخصی حساس برای حفظ سلامت عمومی جامعه یا جلوگیری از سرایت و انتشار فراگیر بیماری منحصرا توسط وزارت بهداشت، درمان و آموزش پزشکی مجاز است.
ایجاد یا پردازش داده های شخصی حساس برای انجام پژوهش های پزشکی، پیرا پزشکی و روانشناسی توسط دانشگاه ها و مراکز تحقیقاتی و موسسات پژوهشی و پژوهشکده ها و پژوهشگاه های کشور مجاز است. اما ارایه این داده ها به نهادهای علمی بین المللی تنها با تصویب هیات وزیران مجاز است.
تکالیف کنترلگر
براساس این قانون در صورت درخواست شخص موضوع داده، کنترل گر مکلف است موارد زیر را در اختیار او قرار دهد:
الف- نسخه ای از داده های شخصی ثبت شده از او یا داده های پردازش شده مرتبط با آن داده ها که در اختیار کنترل گر است؛ و
ب- شخص یا اشخاص حقیقی یا حقوقی که داده های شخصی او به آنها منتقل شده است یا در دسترس آنها قرار گرفته است؛ و
ج- اطلاعات مرتبط با داده های جمع آوری شده از او مانند منبع اطلاعات؛
د- هدف از جمع آوری داده؛
کنترل گر از اجرای این تکلیف معاف است اگر: کنترل گر در جهت اجرای تکالیف مرتبط با کشف جرم، داده را ایجاد یا جمع آوری کرده باشد و اجرای تکلیف بند ۱ مانعی در روند رسیدگی ایجاد کند. یا آن که خطر جانی با حیثیتی برای دیگری داشته باشد، امنیت یا منافع ملی یا آسایش عمومی را به خطر اندازد و منجر به افشای هویّت مامورین امنیتی، نظامی یا انتظامی شود. در مواردی که کنترل گر از اجرای تکلیف خودداری می کند، مراتب را به صورت کتبی همراه با دلیل خودداری از انجام این تکلیف به متقاضی اعلام می کند. در صورت اعتراض شخص موضوع داده، کمیسیون استانی حمایت از داده ها و آزادی اطلاعات تصمیم گیری خواهد کرد.
استفاده از دادههای شخصی برای تبلیغ کالا
استفاده از داده های شخصی در جهت تبلیغ کالا یا خدمات تنها در صورتی مجاز است که:
– شخص موضوع داده در هنگام ارایه داده به کنترل گر رضایت صریح خود را به این نوع استفاده اعلام کرده باشد؛ یا
– برای تضمین منافع کنترل گری که نهاد خصوصی است ضروری باشد به شرط آنکه در تضاد با منافع یا حقوق یا آزادی های موضوع داده نباشد و شخص موضوع داده نیز از انجام این پردازش نهی نکرده باشد. در هر صورت اصل بر این است که این پردازش در تضاد با منافع یا حقوق یا آزادی های موضوع داده است مگر خلاف آن احراز شود.
ضمانت اجرا
براساس این قانون هر کس به طور غیرمجاز داده های شخصی دیگران را ایجاد، جمع آوری، پردازش یا استفاده کند، به جزای نقدی درجه ۶ محکوم خواهد شد. در صورتیکه مرتکب، این اقدامات را به قصد انتفاع مالی خود یا دیگری انجام داده باشد، یا از این طریق موجب وارد شدن ضرر مالی یا حیثیتی به دیگری شده باشد، به مجازات حبس و جزای نقدی درجه ۶ محکوم خواهد شد.
هرگاه داده های شخص، حساس باشند یا داده های شخصی به طور غیرمجاز در اختیار دیگران قرار داده شده یا منتشر شده باشند، حسب مورد، مرتکب به حداکثر مجازات مقرر محکوم خواهد شد.
در مواردی که ایراد ضرر مالی یا حیثیتی ناشی از تقصیر مرتکب باشد، چنانچه داده های شخصی، حساس نباشند مرتکب به حداقل مجازات مقرر و چنانچه داده های شخصی، حساس باشند، به حداکثر مجازات محکوم خواهد شد.
در جرایم فوق چنانچه شخص حقوقی مطابق ماده ۱۴۳ قانون مجازات اسلامی مسئول شناخته شود، به جزای نقدی درجه ۲ تا ۶ و یک یا چند ممنوعیت از ممنوعیت های درجه ۶ محکوم خواهد شد.