لایحه «صیانت و حفاظت از داده‌های شخصی» رونمایی شد

نخستین روز نمایشگاه الکامپ ۲۴، با حضور وزیر ارتباطات و فناوری اطلاعات، رییس مرکز پژوهشهای مجلس و رییس کمیته ارتباطات و فناوری اطلاعات مجلس از پیش‌نویس لایحه «صیانت و حفاظت از داده‌های شخصی» رونمایی شد.

به گزارش وبنا متن این لایحه به شرح زیر است:

به نام خدا

پیش‌نویس لایحه

«صیانت و حفاظت از داده‌های شخصی»

(تیرماه یک هزار و سیصد ونود و هفت)

فهرست عناوین

مقدمه توجیهی

باب یکم: کلیات

بخش یکم: هدف قانون

بخش دوم: تعاریف

بخش سوم: دامنه شمول قانون

باب دوم: حقوق اشخاص موضوع داده‌ها

بخش یکم: رضایت به پردازش

بخش دوم: درخواست پردازش یا توقف آن

بخش سوم: انجام پردازش

بخش چهارم: گمنامی در پردازش

بخش پنجم: تعارض با حقوق دیگران

باب سوم: تعهدات کنترل‌گران و پردازشگران

بخش یکم: دامنه تعهدات کنترل‌گران و پردازشگران

بخش دوم: اعتبارپذیری پردازش

بند یکم: مجازبودن

بند دوم: نظارت‌پذیری

بخش سوم: اعتمادپذیری پردازش

بند یکم: شفافیت

بند دوم: تهدیدناپذیری

بند سوم: پاسخگویی

بخش چهارم: استنادپذیری پردازش

بخش پنجم: پردازش‌های فرامرزی

باب چهارم: تنظیم و نظارت بر پردازش داده‌های شخصی

بخش یکم: کمیسیون صیانت از داده‌های شخصی

بند یکم: اعضای کمیسیون

بند دوم: وظایف و اختیارات کمیسیون

بند سوم: جلسات و مصوبات کمیسیون

بند چهارم: دبیرخانه کمیسیون

بخش دوم: کارگروه‌های تخصصی صیانت از داده‌های شخصی

بند یکم: تشکیل کارگروه‌ها

بند دوم: وظایف و اختیارات کارگروه‌ها

بخش سوم: هیئت نظارت بر داده‌های شخصی

بند یکم: اعضای هیئت نظارت

بند دوم: وظایف و اختیارات هیئت نظارت

بند سوم: ناظر ویژه

بخش چهارم: بودجه تنظیم و نظارت بر داده‌های شخصی

باب پنجم: مسؤولیت‌ها و ضمانت اجراها

بخش یکم: دامنه مسؤولیت کنترل‌گران و پردازشگران

بخش دوم: مسؤولیت‌های مدنی

بند یکم: جبران‌های مادی

بند دوم: جبران‌های معنوی

بخش سوم: مسؤولیت‌های کیفری

بند یکم: جرائم و مجازات

بند دوم: تشدید مجازات

بخش چهارم: مسؤولیت‌های انتظامی

بند یکم: تخلفات انتظامی

بند دوم: ضمانت اجراهای انتظامی

بخش پنجم: ضمانت اجراهای قراردادی

بخش ششم: پیشگیری از تخلفات و جرائم

بخش هفتم: آمار و اطلاعات

باب ششم: نسخ قوانین

 

مقدمه توجیهی

 

در اجرای:

 

الف)اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به «حقوق ملت»، به‌ویژه اصول نوزدهم، بیستم، بیست‌ودوم، بیست‌وسوم، بیست‌وپنجم، بیست‌وششم، سی‌وهشتم و سی‌ونهم؛ و

 

ب) سیاست‌های کلی نظام، ابلاغی مقام معظم رهبری مدظله‌العالی درباره:

 

1. شبکه‌های اطلاع‌رسانی رایانه‌ای (به‌ویژه بندهای ۱ و ۷)؛

 

2. نظام اداری (به‌ویژه بند ۲۳)؛

 

3. پدافند غیرعامل (به‌ویژه بند ۱۱)؛

 

4. امنیت فضای تولید و تبادل اطلاعات و ارتباطات (به‌ویژه بند ۱)؛ و

 

5. برنامه ششم توسعه (به‌ویژه بندهای ۳۶ و ۵۳-۳)، و

 

پ)سایر قوانین مربوط، ازجمله و به‌ویژه:

 

1. قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات؛

 

۲.قانون انتشار و دسترسی آزاد به اطلاعات؛

 

3. قانون تجارت الکترونیکی؛

 

4. قانون مجازات اسلامی ـ بخش تعزیرات؛

 

۵.قانون آیین دادرسی کیفری؛

 

۶.قانون نحوه مجازات اشخاصی که در امور سمعی و بصری فعالیت غیرمجاز می‌نمایند؛

 

7. قانون برنامه ششم توسعه؛

 

8. قانون مطبوعات؛

 

۹.قانون اهداف و وظایف وزارت فرهنگ و ارشاد اسلامی؛

 

۱۰.قانون سلامت نظام اداری و مبارزه با فساد؛

 

11. قانون ثبت اختراعات، طرح‌های صنعتی و علائم تجاری؛

 

12. قانون تجارت؛

 

13. قانون حمایت از حقوق مصرف‌کنندگان؛ و

 

14. قانون نظام صنفی.

 

و در عمل به فتوای مقام معظم رهبری مبنی بر حرام شرعی بودن نقض حریم خصوصی

 

«قانون صیانت و حفاظت از داده‌های شخصی»به تصویب می‌رسد.

 

 

 

 

 

باب یکم: کلیات

 

بخش یکم: هدف قانون

 

ماده ۱.هدف اصلی این قانون صیانت از حیثیت و کرامت اشخاص موضوع داده‌ها از راه‌های ذیل است که قواعد و احکام آن‌ها در بخش‌های مربوط آمده است:

 

الف)تبیین حقوق اشخاص موضوع داده‌ها، به‌ویژه در تعامل با سایر حق‌های مشروع؛

 

ب)ضابطه‌مندی فرایند پردازش داده‌های شخصی؛

 

پ) مسئولیت‌پذیریپردازش؛

 

ت)هم‌افزایی امور تنظیمی و نظارتی پردازش؛ و

 

ث)جبران‌پذیری زیان‌ها و آسیب‌های پردازش.

 

بخش دوم: تعاریف

 

ماده ۲.تعاریف واژگان ذیل عبارت‌اند از:

 

الف) داده­ شخصی عبارت است از داده ­ای که به‌ تنهایی یا به همراه داده­ های دیگر،مستقیم یا غیر مستقیم شخص موضوع داده را از طریق ارجاع به یک شناسه می‌شناساند.

 

ب) داده شخصی حساس عبارت است از داده شخصی که ریشه قومییا قبیله ای، نظرات سیاسی، مذهبی وفلسفی، مشخصات وراثتی یا اطلاعات سلامت شخص موضوع داده را آشکار می سازد.

 

ب)پردازش هرگونه عملیات دستی یا خودکار بر داده‌های شخصی،شامل و نه محدود به ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه‌ و تحلیل، طبقه‌بندی، ساختاربندی، تطبیق، ذخیره‌سازی، اشتراک‌گذاری، فرستادن، توزیع و عرضه، انتشار و در دسترس قرار دادن و پاک کردن آن‌ها.

 

پ)کنترل‌گرشخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگی‌ها و ابزارهای یک یا چند عملیات پردازش داده‌های شخصی در اختیار پردازشگر را تعیین می‌کند. مصوبات و تصمیمات مراجع صلاحیت‌داردر امور تنظیم‌گری، نظارت، ضابطین و دادرسیدربارهپردازش داده‌های شخصی، جز در مواردی که جنبه فردی دارد، کنترل‌گریبه شمار نمی‌آید.

 

ت) پردازشگرشخص مأذون کنترل‌گردر پردازش است.در صورت نبود کنترل‌گریا عدم امکان اتصاف پردازش به آن، پردازشگر به‌عنوانکنترل‌گر نیز شناخته می‌شود.

 

ث) ناظر ویژه کسی است که پیرو حکم صادره از سوی کمیسیون، صلاحیت نظارت بر پردازش داده‌های شخصی را می‌یابد.

 

بخش سوم: دامنه شمول قانون

 

ماده ۳.اشخاص مشمول این قانون عبارت‌اند از:

 

الف) اتباع ایرانی حقیقی یا حقوقی عمومی یا خصوصی، اعم از آنکه داده‌های شخصی آن‌ها درون یا بیرون از ایران پردازش ‌شود.

 

ب) اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که داده‌های شخصی آن‌ها از سوی کنترل‌گر یا پردازشگر ایرانی پردازش می‌شود.

 

باب دوم: حقوق اشخاص موضوع داده‌ها

 

بخش یکم: رضایت به پردازش

 

ماده ۴.پردازش داده‌های شخصی مربوط به وضعیت‌ها یا موقعیت‌های غیرعمومی، منوط به رضایت شخص موضوع آن‌هاست.

 

ماده ۵.اعلام رضایت اشخاص موضوع داده باید با رعایت شرایط ذیل باشد:

 

الف) پیش از پردازش باشد؛

 

ب)بیانگر آگاهی شخص موضوع داده باشد؛ و

 

پ)استنادپذیر باشد.

 

ماده ۶.پردازش داده‌های شخصی مربوط به وضعیت‌ها یا موقعیت‌های عمومی، بدون رضایت شخص یا اشخاص موضوع آن‌ها در صورتی بلامانع است که:

 

الف)خودش داده‌ها را در معرض پردازش قرار داده باشد؛ یا

 

ب)پردازش داده‌های خود را منع یا محدود نکرده باشد.

 

ماده ۷. رضایت حاصل از فریب یا تهدید یا اکراه شخص موضوع داده معتبر نیست و در صورت عدم اهلیت وی، رضایت ولی یا قیم او الزامی‌ است. حالات اغما و مانند آن‌که بر نبود قصد و ارادهوی دلالت دارند، موجب عدم اهلیت‌اند.

 

 

 

 

 

بخش دوم: درخواست پردازش یا توقف آن

 

ماده ۸. شخص موضوع داده حق دارد هر زمان،پردازش یا عدم‌پردازش همه یا بخشی از داده‌هارا از کنترل‌گربخواهد، مشروط بر آنکه:

 

الف)داده‌ها یا نتایج حاصل از آن‌هانادرست باشد؛

 

ب)داده‌ها یا پردازش آن‌هاخارج از محدوده رضایت وی باشد.

 

ماده ۹.درخواست انجام یا توقف پردازش داده‌های شخصی می‌تواند باهدف فراموشی مطرح شود، مشروط بر آنکه ذی‌نفع دیگری نباشد.

 

بخش سوم: انجام پردازش

 

ماده ۱۰.در شرایط ذیل،شخص موضوع داده حق دارد به داده‌های شخصی خود به‌منظور پردازش آن‌ها دسترسی یابد:

 

الف)شامل اطلاعات طبقه‌بندی‌شده عمومی یا داده‌های شخصی دیگران نشود؛

 

ب)استنادپذیری داده‌ها مخدوش نشود.

 

بخش چهارم: گمنامی در پردازش

 

ماده ۱۱. رضایت به پردازش، به معنای آشکاری هویت شخص موضوع داده‌ها نیست و حق دارد گمنامی‌اش در محدوده رضایت رعایتگردد.

 

تبصره-آشکاری هویت به معنای آگاهی اشخاص غیرمجاز از نام و نام خانوادگی شخص موضوع داده یا شناسه‌های تخصیص‌یافته و منتسب به آن است.

 

بخش پنجم: تعارض با حقوق دیگران

 

ماده ۱۲. در موارد ذیل، پردازش داده‌های شخصی در چارچوب قوانین مربوط، بدون رضایت اشخاص موضوع آن‌ها بلامانع است:

 

الف) برای صیانت از حیثیت، جان یا مال شخص موضوع داده ضروری باشد؛

 

ب)برای صیانت از حیثیت یا جان دیگری یا پیشگیری از زیان مالی شدید به او ضروری باشد؛

 

پ)برای پیشگیری یا پاسخ به تهدیدهای نظم، ایمنی و امنیت عمومی ضروری باشد؛

 

ت) برای کشف جرائم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی ضروری باشد.

 

تبصره ـ استناد به هریک از معاذیر بالا تنها در صورتی موجه است که گزینه دیگری امکان‌پذیرنباشد.

 

ماده ۱۳.بهره‌برداری مالکانه از داده‌های شخصی،بدون رضایت شخص موضوع آن‌هادر صورتی بلامانع است که:

 

الف)گمنامی وی حفظ شود؛

 

ب)عرفا زیان مادی یا معنوی برای وی نداشته باشد؛

 

پ) جلب رضایت وی عملاً امکان‌پذیر نباشد.

 

ماده ۱۴.در صورت تزاحم حق‌های دو یا چند شخص موضوع داده با یکدیگر،اولویت‌های ذیل رعایت گردد:

 

الف)آسیب‌های حیثیتی بر زیان‌های مالی؛

 

ب)اشخاص دارای ویژگی‌های فردی شامل سن و جنسیت یا دارای ویژگی‌های اجتماعی، مانند شغل، قومیت و مذهب که عرفا آسیب‌پذیرند بر سایر اشخاص؛

 

پ)عدم رضایت بر رضایت ضمنی و هر دو آن‌ ها بر رضایت صریح اشخاص موضوع داده؛

 

ت)وضعیت‌ها یا موقعیت‌های غیرعمومی بر وضعیت‌ها یا موقعیت‌های عمومی.

 

باب سوم: تعهدات کنترل‌گران و پردازشگران

 

بخش یکم: دامنه تعهدات کنترل‌گران و پردازشگران

 

ماده ۱۵. تعهدات مقرر در این باب به عهده کنترل‌گر است، مگر اینکه به‌موجب قانون یا توافق یا قرارداد، پردازشگر عهده‌دار آن‌ها شود.

 

ماده ۱۶.همه کارکردهای فرایند پردازش داده‌های شخصی باید برپایهدستور یا درخواست مستندکنترل‌گر باشد. در غیر این صورت، پردازشگر به‌عنوانکنترل‌گر پردازش هم شناخته می‌شود.

 

ماده ۱۷. چنانچه هریک از کارکردهای پردازش، کنترل‌گر یا پردازشگر مختص به خود را داشته باشد، تنها نسبت به همان کارکرد تعهد خواهند داشت.

 

ماده ۱۸. در صورت تعدد کنترل‌گران یا پردازشگران در هر کارکرد، فرض بر تعهد برابر آن‌هاست. مگر اینکه خلاف آن ثابت شود.

 

 

 

 

 

بخش دوم: اعتبارپذیری پردازش

 

بند یکم: مجازبودن

 

ماده ۱۹.در جایی که اخذ رضایت از شخص موضوع داده الزامی است، متناسب با نوع و میزان پردازش، فراوانی اشخاص موضوع داده، شیوه اعلام رضایت از سوی آن‌هاو هزینه‌های مترتبه، رضایت‌نامه مربوط تدوین و به‌عنوان جزء لاینفک توافق پردازش لحاظ می‌گردد.

 

ماده ۲۰.نقش‌آفرینی در هریک از کارکردهای پردازش داده‌های شخصی به‌عنوان یک شغل یا حرفه مستقل، ولو به شکل موردی یا موقت،اعم از انتفاعی یا غیرانتفاعی، مستلزم دارابودن پروانه یا گواهی از مرجع صلاحیت‌دارمربوط است.

 

تبصره ـدارابودن پروانه یا گواهی موضوع این ماده به‌منزله معافیت از سایر الزامات این قانون، به‌ویژه اخذ رضایت از اشخاص موضوع داده نیست و رعایت آن‌ها الزامی است.

 

ماده ۲۱.مشاغل کنترل‌گر یا پردازشگر داده‌های شخصی، در صورتی از الزام مقرر در ماده بالا معاف‌اند که صرفاً داده‌های شخصی مشتریان بالقوه یا بالفعل خود را تنها برای موضوع فعالیت خود پردازش نمایند.

 

ماده ۲۲.هرگونه واگذاری شغلی یا حرفه‌ای داده‌های شخصی، علاوه بر رعایت سایر مقررات، مستلزم ثبت در سامانه مرجع صلاحیت‌دار ذی‌ربط است.

 

بند دوم: نظارت‌پذیری

 

ماده ۲۳. نظارت از نگاه این قانون، شامل هرگونه اقدام مراجع صلاحیت‌دار نظارتی برای تأیید اعتبارپذیری، اعتمادپذیری،استنادپذیری یا الزامات پردازش فرامرزی داده‌های شخصی می‌شود، ازجمله مصاحبه، بررسی،بازرسی یا حسابرسی، رصد، ردیابی، پایش یا کنترل حضوری یا برخط موارد ذیل:

 

الف)مدیران، متصدیان و بهره‌برداران مستقیم یا مرتبط با پردازش داده‌های شخصی؛

 

ب)زیرساخت‌ها، سازه‌هاو سامانه‌های سخت‌افزاری و نرم‌افزاری، اعم از اختصاصی یا مشترک فراهم آمده برای پردازش داده‌های شخصی؛و

 

پ) اسناد، اطلاعات و داده‌های کاغذی یا دیجیتالی راجع و مرتبط با پردازش داده‌های شخصی.

 

ماده ۲۴.فراهم آوردن همه امکانات، تجهیزات و نیروی انسانی موردنیاز برای حسن ایفای تعهدات نظارت‌ پذیری پردازش، حسب مورد به عهده کنترل‌گر یا پردازشگر است.

 

ماده ۲۵. توافق کنترل‌گر یا پردازشگر با اشخاص موضوع داده یا دیگران درباره نظارت آن‌ها بر پردازش، تا جایی معتبر است که به تعهدات نظارتی این قانون خدشه وارد نیاورد.

 

بخش سوم: اعتمادپذیری پردازش

 

بند یکم: شفافیت

 

ماده ۲۶.کنترل‌گر یا پردازشگر موظف است اطلاعات ذیل را در اختیار یا در دسترس اشخاص موضوع داده قرار دهد:

 

الف) هدف پردازش، از قبیل ، اقتصادی، اجتماعی، فرهنگی، سلامت و رفاه و حقوقی و قضایی وامنیتی ؛

 

ب)نوع و نحوه پردازش، از قبیل تجمیع، تغییر، تجزیه‌وتحلیل، اشتراک‌گذاری، نگهداری و پاک کردن داده‌ها؛

 

پ)هویت، ماهیت و فعالیت کنترل‌گران یا پردازشگران اصلی و مرتبط؛

 

ت) موقعیت‌ها و وضعیت‌های پردازش، اعم از عمومی و غیرعمومی؛

 

ث) منابع پردازش، از قبیل پایگاه‌های اطلاعات مؤسسات عمومی یا خصوصی یا برگزاری آمایش‌ها و پیمایش‌های گوناگون؛

 

ج) ویژگی‌ها و شرایط فنی پردازش، به‌ویژه از لحاظ بر می‌گزینی داده‌های شخصی اتباع ایرانی موضوع بخش پنجم این قانون؛

 

چ) گواهی‌ها یا پروانه‌های دریافت شده از مراجع صلاحیت‌دار؛

 

ح) سطح ایمنی و امنیت پردازش و دانش و هزینه مترتب بر آن؛

 

خ) حق‌های اشخاص موضوع داده نسبت به پردازش داده‌های شخصی‌شان و چگونگی استیفا آن‌ها؛

 

د)ناظر ویژه پردازش و سایر مراجع صلاحیت‌دار نظارتی و رسیدگی‌کننده به شکایات اشخاص موضوع داده.

 

تبصره ـکنترل‌گر یا پردازشگر موظف است ظرف یک ماه از تاریخ دریافت داده‌های شخصی، مطابق این ماده اطلاع‌رسانی کند.

 

ماده ۲۷.اطلاع‌رسانی به اشخاص موضوع داده باید با شرایط و ویژگی‌های فردی و اجتماعی و امکانات در اختیار و سطح فراگیری آن‌ها سازگاری داشته باشد و علاوه بر پیام‌رسانی‌های همگانی و اختصاصی، در قالب مستنداتی از قبیل «شرایط و ملاحظات پردازش» به انجام رسد، تا آنجا که از آگاهی آن‌ها اطمینان حاصل شود.

 

بند دوم: تهدیدناپذیری

 

ماده ۲۸.هریک از کارکردها و مراحل پردازش، باید از تمهیدات ایمنی و امنیتی ویژه خود برخوردار باشد. این تمهیدات باید هر سه سطح ذیل را دربرگیرنده:

 

الف)ایمنی و حفاظت فیزیکی، شامل زیرساخت‌ها، سازه‌ها و سامانه‌های سخت‌افزاری مرتبط؛

 

ب) ایمنی و حفاظت اطلاعات، شامل انواع پردازنده‌های سخت‌افزاری و نرم‌افزاری؛ و

 

پ) ایمنی و حفاظت انسانی، شامل همه کنترل‌گران و پردازشگران اصلی و مرتبط.

 

ماده ۲۹.سازوکارها و ابزارهای سخت‌افزاری و نرم‌افزاری ایمنی و حفاظتی مقرر یا پیشنهادی باید با شرایط ذیلسازگار باشد:

 

الف) نوع و میزان آسیب‌زایی تهدیدهای بالقوه و بالفعل از نگاه اشخاص موضوع داده؛

 

ب)تأمینپذیریآن‌ها؛ و

 

پ)توانمندی فنی و اجرایی.

 

ماده ۳۰.اشخاص موضوع داده تنها در صورتی می‌توانند کنترل‌گر یا پردازشگر را به رعایت تمهیدات ایمنی و حفاظتی فراتر از ضوابط مراجع صلاحیت‌دارملزم کنند که اجرای آن تمهیدات ایفای تعهدات آن‌ها را مختل نکرده و هزینه‌های آن را نیز عهده‌دار شوند.

 

بند سوم: پاسخگویی

 

ماده ۳۱.کنترل‌گراندربرابر اشخاص موضوع داده از پاسخگویی کامل برخوردارند؛ اعم از آنکه تعهداتشانبا آن‌هاپیرو عقد لازم،منعقدشدهیا در تفاهم‌نامه یا اسنادی مانند خط‌مشی‌های حریم خصوصی مندرج باشد.

 

ماده ۳۲. فرض بر عدم اعراض حق اشخاص موضوع داده‌ها است و کنترل‌گرمکلف به ایفای همگی آن‌ها بوده، مگر اینکه بتوانند خلاف آن را ثابت کنند.

 

بخش چهارم: استنادپذیری پردازش

 

ماده ۳۳.کنترل‌گر یا پردازشگر موظف است همه یا هر یک ازداده‌ها و اطلاعات ذیل را تا حداقل تا شش ماهپس از پاکشدنداده‌های شخصی نگهداری کند:

 

الف) داده‌های رخدادنگار(Log Files)و داده‌های ترافیک حاصل از پردازش داده‌های شخصی؛

 

ب)اطلاعات هویتی اشخاص موضوع داده‌ها؛

 

پ) انواع پردازش‌های انجام‌شده بر روی داده موردنظر و هدف یا اهداف آن؛

 

ت) اطلاعات هویتی کنترل‌گران یا پردازشگران مرتبط با پردازش موردنظر.

 

تبصره-کمیسیون می‌تواند زمان نگهداری و حفاظت از اطلاعات و داده‌های موضوع این ماده را حسب مورد تا دو سال افزایش دهد.

 

ماده ۳۴.چنانچه صحت و تمامیت داده‌های شخصی اصلی مخدوش شده باشد، کنترل‌گر یا پردازشگر موظف است همه نسخه‌های اصلی و مخدوش شده داده‌ها را به مدت شش ماه از تاریخ آخرین پردازش موجب خدشه نگهداری نماید.

 

ماده ۳۵.داده‌ها و اطلاعات موضوع این بخش علیه کنترل‌گر و پردازشگر آن قابل استناد است.

 

ماده ۳۶.در صورت ابلاغ رویه‌ها ودستورالعمل‌های حفاظتی عمومی از سوی مراجع صلاحیت‌دار، اجرای آن در پردازش داده‌های شخصی الزامی و هزینه آن به عهده کنترل‌گر یا پردازشگر مربوط است.

 

تبصره ۱.اجرای رویه‌ها و دستورالعمل‌های خصوصی زنجیره حفاظتی،منوط به تأمین هزینه آن‌ها از سوی درخواست‌کننده و عدم مغایرت با رویه‌های عمومی است.

 

تبصره ۲.کنترل‌گرمی‌تواند در صورت تعارض رویه‌ها ودستورالعمل‌ها  از کمیسیون درخواست تعیین ارجحیت و اولویت کند.

 

بخش چهارم: پردازش‌های فرامرزی

 

ماده ۳۷.در موارد ذیل، پردازش داده‌های شخصی، فرامرزی انگاشته می‌شود:

 

الف) هریک از کنترل‌گران یا پردازشگران تابعیت خارجی داشته باشند؛

 

ب) سامانه‌های پردازنده داده‌ها در بیرون از قلمرو حاکمیتی جمهوری اسلامی ایران قرار داشته باشد؛

 

ماده ۳۸.درخصوص پردازش داده‌های شخصی اتباع ایرانی، رعایت شرایط ذیل الزامی است:

 

الف) تنها در مراکز داده واقع در قلمرو حاکمیتی جمهوری اسلامی ایران یا مراکز داده خارجی مورد تأیید مراجع صلاحیت‌دارذخیره شوند؛

 

ب)همه پردازنده‌های سخت‌افزاری و نرم‌افزاری از گواهی مراجع صلاحیت‌دار ذی‌ربط برخوردار باشند؛

 

پ) بر روی شبکه ارتباطی مطمئن جابه‌جا شوند؛

 

ت)صلاحیت کنترل‌گران و پردازشگران خارجی مورد تأیید مراجع ذی‌ربط قرارگرفته باشد؛

 

ث) پردازش‌های فرامرزی برپایه ضوابط مقرر به ثبت برسد.

 

باب چهارم: تنظیم و نظارت بر پردازش داده‌های شخصی

 

ماده ۳۹. تنظیم و نظارت بر پردازش داده‌های شخصی به عهده ارکان ذیل است:

 

الف) کمیسیون صیانت از داده‌های شخصی؛

 

ب)هیئت نظارت؛

 

پ)کارگروه‌های تخصصی؛ و

 

پ) دبیرخانه‌ اجرایی کمیسیون.

 

بخش یکم: کمیسیون صیانت از داده‌های شخصی

 

بند یکم: اعضای کمیسیون

 

ماده۴۰.کمیسیون از اعضای ذیل تشکیل می‌شود:

 

1. وزیر ارتباطات و فناوری اطلاعات به‌عنوان رئیس کمیسیون؛

 

2. وزیر اطلاعات؛

 

3. وزیر کشور؛

 

4. وزیر دادگستری؛

 

5. وزیر فرهنگ و ارشاد اسلامی؛

 

6. وزیر اقتصاد و امور دارایی؛

 

7. دبیر شورای عالی و رئیس مرکز ملی فضای مجازی؛

 

8. معاون پیشگیری از وقوع جرم قوه قضائیه؛

 

9. رئیس کمیسیون اصل نودم مجلس شورای اسلامی؛

 

۱۰.دادستان کل کشور؛ و

 

11. دبیر شورای اجرایی فناوری اطلاعات به‌عنوان دبیر کمیسیون.

 

تبصره ۱.به تشخیص رئیس کمیسیون، جلسات در سطح اعضا یا معاونین ذی‌ربط آن‌هابا دعوت‌نامه رسمی تشکیل می‌شود.

 

تبصره ۲. احکام عضویت نمایندگان اعضاء از سوی رئیس کمیسیون صادر می‌شود.

 

بند دوم: وظایف و اختیارات کمیسیون

 

ماده۴۱.کمیسیون وظایف و اختیارات ذیل را به عهده دارد:

 

الف) همسوسازی امور تنظیم و نظارت کارگروه‌های تخصصیبا یکدیگر و همچنین با هیئت نظارت؛

 

ب)تعدیل، تجمیع، تلفیق یا تفکیک وظایفویا اعضای کارگروه‌های تخصصیبرپایه اختیارات قانونی آن‌ها؛

 

پ)تصویب آیین‌نامه داخلی و دبیرخانه کمیسیون؛

 

ت) حل‌وفصل اختلافات بین کارگروه‌های تخصصی و هیئت نظارت و همچنین با سایر نهادهای حاکمیتی؛

 

ث) پیشنهاد مصوبات راهبردی و تقنینی موردنیاز به مراجع ذی‌ربط؛

 

ج)هماهنگی مصوبات و تصمیمات کمیسیون،کارگروه‌های تخصصی و هیئت نظارت با مقررات اداری کشور؛

 

چ) صدور احکام رؤسای کارگروه‌های تخصصی و ناظران ویژه؛

 

ح) استماع گزارش هیئت نظارت و ناظران ویژه درباره مأموریت‌های محوله از سوی کمیسیون و تصمیم‌گیری درباره آن‌ها؛ و

 

خ) گزارش به مراجع بالادستی درباره وضعیت صیانت از داده‌های شخصی و تنظیم و نظارت بر پردازش آن‌ها.

 

ماده ۴۲.مصوبات و تصمیمات کمیسیون برای کارگروه‌های تخصصی و هیئت نظارت لازم‌الاتباع است.

 

بند سوم: جلسات و مصوبات کمیسیون

 

ماده ۴۳.جلسات کمیسیون با حضور دوسوم اعضاء و مصوبات آن با رأی اکثریت حاضران رسمیت می‌یابد.

 

ماده۴۴. حضور اعضاء و کارشناسان کارگروه‌های تخصصی و همچنین سایر مقامات، خبرگان و کارشناسان با حق اظهارنظر در جلسات کمیسیون به تشخیص رئیس کمیسیون بلامانع است.

 

بند چهارم: دبیرخانه کمیسیون

 

ماده ۴۵. دبیرخانه کمیسیون در محل وزارت ارتباطات و فناوری اطلاعات تشکیل می‌شود.

 

ماده ۴۶. وظایف دبیر کمیسیون عبارت‌اند از:

 

الف) انجام امور دبیرخانه‌ای کمیسیون؛

 

ب) هماهنگی و نظارت بر دبیرخانه‌های اجرایی کارگروه‌های تخصصی و هیئت نظارت؛

 

پ)اطلاع‌رسانی و ابلاغ مصوبات و تصمیمات کمیسیون؛

 

ت)برگزاری و تنظیم دستور جلسات، دعوت از اعضاء و سایرین و هماهنگی امور آن؛

 

ث) پیشنهاد آیین‌نامه اجرایی دبیرخانه جهت تصویب در کمیسیون.

 

بخش دوم: کارگروه‌های تخصصی صیانت از داده‌های شخصی

 

بند یکم: تشکیل کارگروه‌ها

 

ماده ۴۷. کارگروه‌های تخصصی، متشکل از نمایندگان نهادهای متولی امور حاکمیتی مرتبط با صیانت از داده‌های شخصی هستند که به وظایف مقرر در این قانون می‌پردازند.

 

ماده ۴۸. در نخستین جلسه کمیسیون، آیین‌نامه تشکیل کارگروه‌ها مشتمل بر بخش‌ها و  حیطه کارآن‌ها، ریاست، دبیر و محل دبیرخانه،اعضاء، تکالیف و مأموریت‌ها،چگونگی اداره ورسمیتیافتن جلسات و مصوبات، تعامل کارگروه‌ها، گزارش به کمیسیون و سایر مراجع صلاحیت‌داربه تصویب می‌رسد.

 

بند دوم: وظایف و اختیارات کارگروه‌ها

 

ماده۴۹.آیین‌نامه نحوه تشکیل و تعیین وظایف وا ختیارات کارگروه‌های تخصصی ظرف ۳ماه توسط کمیسیون تدوین و به تصویب هیئت‌وزیران خواهد رسید.

 

ماده ۵۰. ضوابط مقرر از سوی کارگروه‌های تخصصی در هریک از امور تنظیمی و نظارتی، پس از تأیید و تصویب کمیسیون لازم‌الاجراست.

 

بخش سوم: هیئت نظارتبر داده‌های شخصی

 

بند یکم: اعضای هیئت نظارت

 

ماده ۵۱. اعضای هیئت نظارت عبارت‌اند از:

 

۱.وزیر دادگستریبه‌عنوان رئیس هیئت؛

 

۲.رئیس کمیسیون اصل نودم مجلس شورای اسلامی؛

 

۳.رئیس مرکز ملی فضای مجازی؛

 

4. دبیر کمیسیون.

 

ماده ۵۲.هیئت نظارت در محل وزارت دادگستری تشکیل می‌شود. آیین‌نامه تشکیل و طرز کار هیئتو دبیرخانه آن به تصویب کمیسیون می‌رسد.

 

بند دوم: وظایف هیئت نظارت

 

ماده ۵۳. وظایف هیئت نظارت عبارت‌اند از:

 

الف) نظارت بر حسن اجرای امور نظارتی کارگروه‌های تخصصی؛

 

ب)دریافت و رسیدگی به شکایات ذی‌نفعان صیانت از داده‌های شخصی؛

 

پ)شناسایی و معرفی ناظران ویژه به کمیسیون و نظارت بر امور و فعالیت‌های آن‌هابرپایه شیوه‌نامه مصوب کمیسیون؛

 

ت)نظارت بر تدوین شیوه‌نامه‌های اختصاصی‌ استنادپذیری ادله ناظر به داده‌های شخصی از سوی کارگروه‌های تخصصی، تصویب در کمیسیون و ابلاغ پس از تأیید رئیس کمیسیون؛

 

ث) ایفای سایر امور محوله از سوی کمیسیون.

 

بند سوم: ناظر ویژه

 

ماده ۵۴.در موارد ذیل، ناظر ویژه تعیین می‌شود:

 

الف) پردازشداده‌های شخصی حیاتی و حساس؛

 

ب)پردازش‌کلانداده‌های شخصی؛

 

پ) زیان‌ها و آسیب‌های جدی یا پرشماربالقوه و بالفعل پردازش‌ها به داده‌های شخصی؛

 

ت) سایر موارد به تشخیص هیئت نظارت و تأیید کمیسیون.

 

ماده ۵۵.شرایط احراز صلاحیت ناظر ویژه عبارت‌اند از:

 

الف) نداشتن سوءپیشینه کیفری و انتظامی؛

 

ب)داشتن حسن شهرت؛

 

پ)دارابودن تجربه و تخصص لازم؛

 

ت)نداشتن تعارض منافع با موضوع نظارت.

 

ماده ۵۶.مدت فعالیت ناظر ویژه به دو شکل تعیین می‌شود:

 

الف)موردی متناسب با موضوع نظارت واگذارشده به وی؛

 

ب) دوره‌ای برای مدت سه سال و قابل تمدید برای دوره‌های مشابه.

 

ماده ۵۷.شرایط فعالیت ناظر ویژهعبارت‌اند از:

 

الف)تکالیف و مأموریت‌های وی به پیشنهاد هیئت نظارت به تصویب کمیسیون رسیده و به وی ابلاغ ‌می‌شود.

 

ب)حیطه کار ناظر ویژه به‌طور معین و مشخص تعریف ‌می‌شود و امور نظارتی مبهم و مجمل اعتبار ندارد.

 

پ) کنترل‌گران و پردازشگران موظف‌اندبه هزینه خود نیازمندی‌های نظارتی متعارف ناظر ویژه را فراهم آورند.

 

ت) هیئت نظارت موظف است حمایت‌های قانونی و تسهیلات لازم را برای حسن ایفای تعهدات ناظر ویژه فراهم آورد.

 

ث) نظارت ویژه قائم به شخص است و حق واگذاری همه یا بخشی از آن به دیگری را ندارد.

 

ج)توقف یا تعلیق فعالیت، برکناری یا قبول استعفای وی تنها از سوی کمیسیون امکان‌پذیر است.

 

چ) در دوره تصدی نظارت ویژه، حق پذیرشنظارت‌های بیرون از چارچوب مقرر از سوی کمیسیون، اعم از انتفاعی یا غیرانتفاعی را ندارد.

 

 

 

بخش چهارم: بودجه تنظیم و نظارت بر داده‌های شخصی

 

ماده۵۸. بودجه موردنیاز این قانون به نحو متمرکز در ذیل ردیف بودجه دبیرخانه کمیسیون و مستقل درقوانین بودجه سنواتی پیش‌بینی می‌شود.

 

باب پنجم: مسؤولیت‌ها و ضمانت اجراها

 

بخش یکم: دامنه مسؤولیت کنترل‌گران و پردازشگران

 

ماده ۵۹.کنترل‌گر و پردازشگر دربرابر تعهدات خود مسؤولیت مستقل دارند.

 

ماده ۶۰. پردازشگر در صورتی معاف از مسؤولیت‌ است که:

 

الف) اقدام وی با دستور یا درخواست کنترل‌گر مغایرت نداشته باشد؛

 

ب) در صورت غیرقانونیدانستن دستور یا درخواست موردنظر، آگاهی لازم را به کنترل‌گر داده باشد؛ و

 

بخش دوم: مسؤولیت‌های مدنی

 

ماده ۶۱.کنترل‌گر موظف است حسب درخواست زیان‌دیده تمامی ضرر و زیان وارده به شخص موضوع داده را جبران کند.در صورت عدم جبران ضرر و زیان، موضوع حسب شکایت زیان‌دیده از طریق مراجع قضائی پیگیری خواهد شد.

 

بند یکم: جبران‌های مادی

 

ماده ۶۲.درجایی که شخص حقیقی وابسته به شخص حقوقی به دیگری زیان می‌رساند، مسؤولیت جبران با شخص حقوقی خواهد بود. مگر اینکه بتواند ثابت کند شخص حقیقی فراتر از اختیارات خود عمل نموده و شخص حقوقی نیز در نظارت بر حسن ایفای تعهدات وی مرتکب قصور نشده است.

 

ماده ۶۳. چنانچه شخص موضوع داده حقوق خود را به‌طور ناروا استیفا و به دیگریزیانی وارد کند، مسئول جبران آن خواهد بود.

 

ماده ۶۴. مرجع صلاحیت‌دار قضایی یا انتظامی می‌تواند متناسب با نوع و گستره آسیب حیثیتی وارده،میزان جبران‌پذیریو زیان‌های مادی ناشی ازآن، مرتکب را به پرداخت جریمه تنبیهی یا محدودیت‌های اجتماعیدر حق آسیب‌دیده محکوم نماید. شیوه‌نامه تعیین و تقویم زیان‌های مادی ناشی از پردازش غیرمجاز داده‌های شخصی و نحوه اعاده حیثیت ناشی از ورود آسیب‌های معنوی و جریمه به پیشنهاد کارگروه‌های تخصصی به تصویب کمیسیون می‌رسد.

 

بخش سوم: مسؤولیت‌های کیفری

 

بند یکم: جرائم و مجازات

 

ماده ۶۵.مجازات مقرر در این قانون در صورتی اعمال می‌شود که در قوانین دیگر مجازات شدیدتری برای جرم موردنظر پیش‌بینی‌نشده باشد.

 

ماده ۶۶. هرگونه استناد به داده‌ها و نتایج حاصل از نقض مقررات این قانون ممنوع و مرتکب به مجازات درجه ۵ محکوم می‌شود.

 

ماده ۶۷. هریک از کارکردهای پردازش که برای آن‌ها جرم و مجازات مستقلی در دیگر قوانین تعریف‌شده است، به همان ترتیب وبرپایه ضوابط مربوط به تعدد جرائملحاظ خواهند شد.

 

ماده ۶۸.مرتکبان ذیل به مجازات مقرر محکوم می‌شوند:

 

الف)نقض حق رضایت شخص موضوع داده، چنانچه داده‌های وضعیت‌ها و موقعیت‌های غیرعمومی پردازش شود، به مجازات درجه ۵ و چنانچه داده‌های وضعیت‌ها و موقعیت‌های عمومی پردازش شود، به مجازات درجه ۶؛

 

ب)ممانعت ازاستیفای همه یا بخشی از حق درخواست شخص موضوع داده درباره پردازش یا توقف آن یا انجام پردازش داده‌های شخصیبه‌وسیله خود وییا نقض حق گمنامی،به یک یا هر دو مجازات درجه ۶؛

 

پ) نقض تعهدات اعتبارپذیری، اعتمادپذیری یا استنادپذیری پردازش داده‌های شخصی، به یک یا هر دو مجازات درجه ۵؛

 

ت)استیفای ناروای حقوق مندرج در این قانون از سوی شخص موضوع داده، با توجه به‌شدت جرم و زیان‌ها و آسیب‌های وارده به یک یا هر دو مجازات‌ درجه‌ ۶؛

 

ث) کنترل غیرمجاز پردازش از سوی مقام صلاحیت‌دار دستگاه اجرایی، علاوه بر مجازات مقرر برای جرم موردنظر به انفصال‌ازخدمت از شش ماه تا سه سال؛

 

ج) امتناع از اجرا یا اجرای نادرست یا اقدام به‌نحوی‌که اجرای همه یا بخشی از ضوابط این قانون یا دستور کمیسیون یا هیئت نظارت یا ناظر ویژه منتفی گردد، مانند عدم نگهداری همه یا بخشی از داده‌ها، حسب مورد یک یا هر دو مجازات درجه ۵.

 

تبصره ۱. دادگاه می‌تواند مرتکب را به گذراندن دوره‌های ویژه صیانت از داده‌های شخصی و دریافت گواهی‌های مربوط، پیرو شیوه‌نامه مصوب کمیسیون ملزم نماید.

 

تبصره ۲.چنانچه اشخاص حقوقی موضوع ماده (۷۴۷) قانون مجازات اسلامی مرتکب جرائممقرر در مواد (۶۹)، (۷۰) و (۷۱) شوند، مطابق ماده (۷۴۸) آن قانون مجازات خواهند شد.

 

بند دوم: تشدید مجازات

 

ماده ۶۹. در صورت وجود یک یا چند شرط ذیل، مجازات مرتکب یک یا دو درجه بالاتر تعیین می‌شود:

 

الف)به‌واسطه شغل یا حرفه خود مرتکب جرم شده باشد؛

 

ب)نسبت به گستره و دامنه فعالیت خود، شمار قابل‌توجهی از اشخاص را هدف قرار داده باشد؛

 

پ)زیان مادی یا آسیب معنوی قابل‌توجه یا جبران‌ناپذیری را وارد آورده باشد؛

 

ت)داده‌های شخصی حیاتی یا حساس، ابزار یا نتیجه جرم باشند؛ و

 

ث)به شکل گروهی یا سازمان‌یافته مرتکب شده باشد.

 

ماده ۷۰.چنانچه عواید مالی حاصل از ارتکاب جرائم این قانون بیشتر از جزای نقدی مقرر برای آن‌ها باشد، همان مبنا قرار می‌گیرد. در صورت اعمال حبس به‌جای جزای نقدی، تفاضل عواید مالی مذکور در این ماده  نیز باید به‌عنوان جزای نقدی اعمال گردد.

 

 

 

بخش چهارم: مسؤولیت‌های انتظامی

 

بند یکم: تخلفات انتظامی

 

ماده ۷۱.تخلفات انتظامی پیشنهادی از سوی کارگروه‌های تخصصی جهت تصویب در کمیسیون، موارد ذیل را دربرمی‌گیرد:

 

الف) همه جرائم مقرر در این قانون؛

 

ب) نقض تعهدات کنترل‌گران و پردازشگران، اعم از اعتبارپذیری، اعتمادپذیری،استنادپذیری و پردازش‌های فرامرزی؛

 

پ)نقض تعهدات اشخاص موضوع دادهدربرابر سایر ذی‌نفعان؛

 

ت) نقض تعهدات قراردادی یا سایر اسناد تعهدآور.

 

بند دوم: ضمانت اجراهای انتظامی

 

ماده ۷۲. ضمانت اجراهای انتظامی قابل تصویب در کمیسیون وبه پیشنهادکارگروه‌های تخصصی برای تخلفات برپایه معیارهای بازدارندگی، تناسب و اثربخشی می‌تواند یک یا چند گزینه زیر باشد:

 

الف) جریمه نقدی؛

 

ب) منع فعالیت یا بهره‌برداری یا انفصال‌ازخدمت در یک یا چند رده حرفه‌ای یا تخصصی برای مدت معین؛

 

پ) منع فعالیت یا بهره‌برداری یا انفصال‌ازخدمت در همه یا برخی نهادها یا اشخاص موضوع این قانون برای مدت معین؛

 

ج) کاهش مدت اعتبار پروانه یا گواهی یا قرارداد فعالیت یا بهره‌برداری یا سنوات خدمت یا تعلیق آن برای مدت معین؛

 

چ) منع تمدید اعتبار پروانه یا گواهی یا قرارداد فعالیت یا بهره‌برداری یا دریافت پروانه یا گواهی فعالیت یا بهره‌برداری یا احراز سمت دیگر برای مدت معین؛

 

ح) لغو اعتبار پروانه یا گواهی یا قرارداد فعالیت یا بهره‌برداری یا انفصال‌ازخدمت برای مدت معین.

 

تبصره ۱.کارگروه‌های تخصصیموظف‌اند ضمانت اجراهای انتظامی خود را برپایهضوابط قانون مجازات اسلامی طبقه‌بندی نمایند.

 

تبصره ۲. احراز شرایط تخلف و مسائل مربوط به معاونت، مشارکت، تعدد و تکرار، مسؤولیت اشخاص حقوقی متخلف و مانند آن و همچنین عوامل رافع، مانع، مخففه و مشدده مسؤولیت، برپایه قانون مجازات اسلامی خواهد بود.

 

بخش پنجم: ضمانت اجراهای قراردادی

 

ماده ۷۳. هرگونه توافق مغایر با احکام و ضوابط الزامی این قانون فاقد اعتباراست و موجب بطلان آن می‌شود.

 

ماده ۷۴. طرفین توافق‌های موضوع این قانون موظف‌اند ارتکاب تخلفات و جرائمآن را نقض توافق بدانند و ضمانت اجراهای قراردادی متناسب، اثربخش و بازدارنده پیش‌بینی نمایند.

 

بخش ششم: پیشگیری از تخلفات و جرائم

 

ماده ۷۵. مسؤولیت تدوین برنامه‌های پیشگیرانه از تخلفات و جرائم این قانون به عهده کارگروه‌های تخصصی است که به تأیید کمیسیون می‌رسد.

 

بخش هفتم: آمار و اطلاعات

 

ماده ۷۶. هریک از کارگروه‌های تخصصی موظف به فراهم‌سازی و روزآمدنگاه‌داشتن آمار و اطلاعات راجع به مسؤولیت‌های مدنی، کیفری، انتظامی و قراردادی بخش خودبرپایه شیوه‌نامه مصوب کمیسیون هستند.

 

 

 

باب ششم: نسخ قوانین و تدوین مقررات لازم

 

ماده۷۷.از تاریخ تصویب این قانون کلیه قوانین و مقررات مغایر با آن نسخ می‌‌گردد و مادام که در قوانین بعدی نسخ و یا اصلاح مواد و مقررات این قانون صریحاً و با ذکر نام این قانون و ماده موردنظر قید نشود، معتبر خواهد بود.

 

ماده۷۸ . آیین‌نامه اجرایی این قانون  ظرف ۳ ماه پس از تشکیل کمیسیون توسط اعضاءتهیه وبه تصویب هیئت‌وزیران خواهد رسید.