دسترسی سریع

2

3

4_2

10_1

8

7

1_1

5_1

9

تاریخ های مهم همایش
زمان برگزاری همایش: »
پنجم و ششم اسفندماه سال 1396/00/00
آخرین مهلت ارسال مقالات کامل: »
1396/10/20
پوستر همایش
مجوز برگزاری

مجوز برگزاری همایش  در سطح بین المللی از سوی وزارت علوم، تحقیقات و فناوری

لایحه حمایت داده ها و حریم خصوصی در فضای مجازی
1396/11/19

 

باسمه‌تعالي

لایحه حمایت از داده و حریم خصوصی در فضای مجازی

باب اول: تعاریف

ماده 1: در این قانون اصطلاحات زیر در معانی ذیل به کار می­روند:

1- داده­ شخصی عبارت است از داده­ای که به وسیلة آن، به تنهایی یا به همراه داده­های دیگر، بتوان شخص موضوع آن را  شناسایی کرد. 

2- پردازش عبارت است از هر نوع جمع آوری، دریافت، ارسال، نگهداری، تبادل ، به اشتراک گذاشتن یا هر نوع عملیات دیگر اعم از الکترونیک یا غیر الکترونیک که بر داده انجام ­شود و بتوان آن داده را به شخص موضوع آن مرتبط کرد.

3- ایجاد داده: عبارت است از ثبت اطلاعات برای اولین بار.

4-  جمع آوری داده: عبارت است از گرد آوری داده­هایی که قبلا ایجاد شده­اند.

5- کنترل­گر عبارت است از هر شخص حقیقی یا حقوقی که بر اساس قرار داد یا قانون یا در عمل هدف و چگونگی ثبت و پردازش داده را تعیین می­کند. 

6- استفاده از داده عبارت است از به کار بردن آن در جهت کسب در آمد یا تحصیل هر نوع منفعت مادی و معنوی دیگر.

7- فضای عمومی مجازی عبارت است از فضایی است که اشخاص داده ها را برای دسترسی عمومی در آن قرار می دهند.

باب دوم: مقررات عمومی

ماده 2: به منظور محافظت از حریم داده­های شخصی و حمایت از حیثیت و کرامت هر  فرد، هر کس می تواند به داده­های شخصی خود دسترسی داشته باشد و بر هر نوع پردازش این داده­ها مطابق مقررات این قانون نظارت نماید.

ماده3:

1- ایجاد ، پردازش و استفاده از داده­های شخصی باید مبتنی بر رضایت  صریح یا ضمنی اشخاص موضوع آن باشد مگر به حکم قانون. اعلام رضایت حاصل از فریب یا تهدید یا اکراه معتبر نیست. کنترل­گر باید پیش از ایجاد، پردازش یا استفاده از این داده ها، هدف معین و قانونی خود از این امور و همچنین حسب مورد عواقب عدم ارائه این داده ها را به نحو صریح اعلام کند.

2- در صورت محجور بودن شخص موضوع داده اجازة  ولی یا قیم قانونی او ضروری  است.

3- در موارد اختلاف، اثبات اعلام رضایت شخص موضوع داده بر عهده کنترل­گر خواهد بود.

4- در جهت حمایت و محافظت متناسب با موضوع برخی از انواع داده­های شخصی به لحاظ اهمیت آنها یا نقش آن نوع داده ها در شرایط خاص سیاسی یا اجتماعی، كميسيون مركزي حمایت از داده­ها می­تواند اعلام رضایت شخص موضوع داده را از طریق الکترونیک معتبر نداند.

5- پردازش داده های حاصل از راه فریب یا تهدید یا اکراه شخص موضوع آن ممنوع است.

6- ارائه داده­های شخصی توسط شخص موضوع داده در فضای عمومی مجازی به منزلة رضایت به جمع آوری یا پردازش آنهاست .

7- در هر صورت فردی که داده های شخصی او پردازش یا استفاده می­شود نباید از این اقدام متضرر شود و در صورت ورود خسارت متعارف مادی یا معنوی، کنترل­گر مکلف به جبران متناسب با آن ضرر است مگر اینکه شخص موضوع داده رضایت صریح یا ضمنی خود را به ورود خسارت احتمالی اعلام کرده باشد. اگر ورود خسارت مستند به فعل شخصی غیر از کنترل­گر باشد در صورتی که کنترل­گر اقدامات متناسب برای محافظت از داده ها را انجام داده باشد شخص ثالث مکلف به جبران خسارت است و در غیر این صورت، کنترل­گر جبران خسارت می نماید و می­تواند خسارتی را که پرداخت نموده است از او مطالبه کند.

ماده 4: كميسيون مركزي حمایت از داده­ها نظارت بر اجرای مقررات حمایت از داده های شخصی افراد را بر عهده دارد. تصمیمات این کمیسیون قابل شکایت در دیوان عدالت اداری است.

ماده 5: پردازش داده های شخصی اشخاص حقوقی نباید موجب نقض حقوق و آزادی­های مشروع، افشای داده های شخصی یا سلب امنیت اشخاص حقیقی شود.

مادة 6: حق مالکیت فکری بر داده های شخصی نافی حقوق اشخاص موضوع داده ها نیست. در صورت تزاحم حقوق، حق اشخاص بر دادهای شخصی آنها اولویت خواهد داشت. 

 

باب دوم: پردازش مجاز داده های شخصی

بند اول: مقررات عمومی

مادة 7: پردازش داده­های شخصی در صورتی مجاز است که :

1- مطابق مادة 2 این قانون ایجادیا پردازش شده باشند. و

2 –  مطابق با اهداف اعلام شده توسط کنترل­گر، ایجاد یا جمع آوری شده یا مطابق با آن اهداف از پردازش ناشی شده باشد مگر اینکه قانونگذار پردازش یا استفاده از آن­ها را برای هدف خاص دیگری تجویز کند.

تبصره: به  جز داده های شخصی حساس، پردازش داده های شخصی جهت انجام بررسی­های آماری یا پژوهش­های علمی یا تاریخی، مجاز است .

ماده 8 : مسئولیت صحت و تمامیت و به روز بودن داده های شخصی بر عهده ثبت کننده این داده ها است مگر اینکه قانون این مسئولیت را بر عهدة شخص دیگری قرارداده باشد. 

ماده 9: کنترل­گر مکلف است اقدامات لازم جهت حذف یا اصلاح داده هایی که با توجه به هدف از بدست آوردن یا پردازش آنها نادرست یا ناکافی هستند را انجام دهد.  

ماده10:  داده­های شخصی باید به گونه­ای پردازش و استفاده شوند که شخص موضوع داده قابل شناسایی نباشد مگر اینکه شناسایی شخص موضوع داده برای اجرای قانون یا دستیابی به اهداف اعلام شده در ماده 3 ضروری باشد.

ماده 11: کنترل­گر نباید داده­هایی بیش از آنچه برای اجرای قانون یا دستیابی به اهداف اعلام شده موضوع ماده 3 لازم است ثبت کند.

مادة 12: پردازش داده های شخصی بدون تحصیل رضایت موضوع آن داده در صورتی جایز است که:

  • برای انجام تکالیفی که قانونگذار بر عهدة کنترل­گر قرار داده است ضروری باشد؛ یا
  • برای حفظ حیثیت یا جان شخص موضوع داده ضروری باشد. یا
  • برای حفظ منافع مسلم شخص موضوع داده ضروری و با آن منافع متناسب باشد و أخذ رضایت او ممکن نباشد.
  • برای حفظ امنیت عمومی ، حفظ امنیت ملی، منافع ملی ، تعقیب جرم یا حفظ سلامت و ایمنی عمومی ضروری باشد.

ماده 13: استفاده تجاری از داده شخصی به شرط آنکه هویت اشخاص موضوع داده شناسایی نشود مجاز است.

مادة 14: دادگاه صرفا می­تواند به داده های شخصی که با رعایت مقررات این قانون یا قوانین مرتبط دیگر بدست آمده باشند استناد کند. با این حال بررسی صحت و سقم محتوای داده بر عهدة دادگاه است.

بند دوم: ایجاد، پردازش و استفاده از داده های شخصی حساس

مادة 15:

1- ایجاد، پردازش یا استفاده از داده های شخصی حساس یا اجبار اشخاص به ارائه این نوع داده ها ممنوع است.

2- داده­های مرتبط با عقاید سیاسی، حزبی، فلسفی، دینی یا مذهبی، قومیت، وضعیت جسمانی، رفتارهای جنسی، اتهامات و محکومیت های کیفری داده شخصی حساس محسوب می شود.

3- در موارد ذیل ایجاد، پردازش یا استفاده از داد های شخصی حساس ممنوع نیست:

3-1- شخص موضوع داده رضایت صریح خود را به این امور بیان کرده باشد.

3-2- برای حفظ زندگی شخص موضوع داده ضروری باشد و به دلیل عدم اهلیت رضایت او فاقد اثر قانونی باشد یا تحصیل رضایت از او به دلیل دیگری عملا ممکن نباشد.

3-3- شخص موضوع داده آن داده را به طور عمومی منتشر نموده باشد.

3-4- برای کشف جرم یا اجرای مجازات ضروری باشد.

3-5- برای حفظ نظم عمومی یا امنیت ملی ضروری باشد.

3-6- قانون ایجاد یا پردازش یا استفاده از این نوع داده را بدون رضایت شخص موضوع داده مجاز نموده باشد.

ماده 16: داده هایی که برای سر شماری عمومی نفوس و مسکن توسط مرکز آمار ایران جمع آوری می شوند از ممنوعیت بند 1 ماده 16 مستنثنی هستند. با این حال این داده ها باید به گونه ای ذخیره و نگهداری شوند که نتوان دادهای شخصی را به موضوع آنها مرتبط کرد.

ماده 17: ایجاد یا پردازش داده های شخصی حساس برای حفظ سلامت عمومی جامعه یا جلوگیری از سرایت و انتشار فراگیر بیماری منحصرا توسط وزارت بهداشت، درمان و آموزش پزشکی مجاز است.

ماده 18: ایجاد یا پردازش داده های شخصی حساس برای انجام پژوهش های پزشکی، پیرا پزشکی و روانشناسی توسط دانشگاه ها و مراکز تحقیقاتی و موسسات پژوهشی و پژوهشکده ها و پژوهشگاه های کشور مجاز است. ارائه این داده ها به نهاد های علمی بین المللی تنها با تصویب هیئت وزیران مجاز است.

ماده 19: در صورتی که شخص موضوع داده از دیگری به دلیل ایجاد، پردازش یا استفاده از داده های شخصی حساس مرتبط با خود به دادگاه شکایت نماید و او نتواند اثبات کند که اقدام او منطبق بر استثنائات بند 3ماده 16 یا مواد مرتبط دیگر بوده است، بر اساس اینکه اقدام او منجر به افشای محدود یا انتشار عمومی آن داده ها شده باشد، به مجازات مقرر در این قانون محکوم خواهد شد.

باب سوم: تکالیف کنترل­گر

مادة 20:

1- در صورت درخواست شخص موضوع داد، کنترل­گر مکلف است موارد زیر را در اختیار او قرار دهد:

الف- نسخه ای از داده های شخصی ثبت شده از او یا داده های پردازش شدة مرتبط با آن داده ها که در اختیار کنترل­گر است؛  و

ب- شخص یا اشخاص حقیقی یا حقوقی که داده های شخصی او به آنها منتقل شده است یا در دسترس آنها قرار گرفته است؛ و  

ج- اطلاعات مرتبط با داده­های جمع آوری شده از او مانند منبع اطلاعات؛

د- هدف از جمع آوری داده؛

2- کنترل­گر از اجرای تکلیف بند 1 معاف است اگر:

الف- کنترل­گر در جهت اجرای تکالیف مرتبط با کشف جرم، داده را ایجاد یا جمع آوری کرده باشد و اجرای تکلیف بند1 مانعی در روند رسیدگی ایجاد کند.

ب- ارائه موارد مذکور در بند 1 :

  • خطر جانی با حیثیتی برای دیگری داشته باشد.
  • امنیت یا منافع ملی یا آسایش عمومی را به خطر اندازد.
  • منجر به افشای هویّت مامورین امنیتی، نظامی یا انتظامی گردد.

ج- موارد مذکور در بند1 موضوع اسناد طبقه بندی شده باشد.

د- سایر قوانین ارائه موارد مذکور در بند1 را ممنوع کرده باشد.

3- در مواردی که کنترل­گر از اجرای تکلیف بند 1 خودداری می کند، مراتب را به صورت کتبی همراه با دلیل خودداری از انجام این تکلیف به متقاضی اعلام می­نماید. در صورت اعتراض شخص موضوع داده، كميسيون استانی حمایت از داده­ها و آزادي اطلاعات تصمیم­گیری خواهد نمود. 

ماده 21: کنترل­گر باید داده های شخصی را پس از ثبت، پردازش یا استفاده حداقل به مدت یک­سال نگهداری نماید مگر اینکه كميسيون مركزي حمایت از داده­ها و آزادي اطلاعات زمان دیگری را مقرر نماید.

مادة 22:

1- شخص موضوع داده می­تواند از کنترل­گر موارد ذیل را مطالبه نماید:

  • حذف داده ای که مغایر با قانون از او ثبت یا پردازش شده است؛
  • عدم پردازش داده ای که پردازش آن مغایر قانون است؛
  • اصلاح یا تکمیل داده ای که از او ثبت یا به هر شکلی پردازش شده است ؛

2- در صورت استنکاف کنترل­گر، تصمیم كميسيون استانی حمایت از داده­ها و آزادي اطلاعات ملاک خواهد بود.

مادة 23: در صورتی که در ارائة داده های شخصی، قراردادی بین کنترل­گر و شخص موضوع داده وجود داشته باشد، در اجرای این قرارداد مواد 15، 16، 17 این قانون لحاظ خواهد شد. 

مادة 24: استفاده از داده های شخصی در جهت تبلیغ کالا یا خدمات تنها در صورتی مجاز است که:

  • شخص موضوع داده در هنگام ارائه داده به کنترل­گر رضایت صریح خود را به این نوع استفاده اعلام نموده باشد؛ یا
  • برای تضمین منافع  کنترل­گری که نهاد خصوصی است ضروری باشد به شرط آنکه در تضاد با منافع یا حقوق یا آزادی­های موضوع داده نباشد و شخص موضوع داده نیز از انجام این پردازش نهی نکرده باشد. در هر صورت اصل بر این است که این پردازش در تضاد با منافع یا حقوق یا آزادی های موضوع داده است مگر خلاف آن احراز شود.

 باب چهارم: نهاد نظارت کننده بر اجرای صحیح مقررات این قانون

ماده 25: به منظور رسيدگي به شكايات راجع به تخلف از مقررات اين قانون، كميسيون‌هاي استاني حمایت از داده­ها در محل استانداري‌ با تركيب زير تشكيل مي‌شود:

الف) يك قاضي به انتخاب رئيس قوة قضائيه به عنوان رئيس كميسيون؛

ب) يك خبره به انتخاب رئيس جمهور؛

پ) يك وكيل به انتخاب هيأت مديرة كانون وكلاي منطقه‌اي؛

ت) يك خبره به انتخاب شوراي عالي استان‌ها؛ و

ث) مدير ادارة كل مديريت و برنامه‌ريزي استان يا معاون ذي‌ربط وي.

تبصره 1‌ـ دبيرخانة كميسيون استاني در محل استانداري تشكيل مي‌شود.

تبصره 2: جلسات كميسيون با حضور رئيس و دو نفر از اعضاء رسميت مي‌يابد و تصميمات آن با رأي اكثريت و موافقت قاضي معتبر خواهد بود.

ماده 26: تصميمات كميسيون‌هاي استاني ظرف 20 روز از تاريخ ابلاغ، نزد كميسيون مركزي حمایت از داده­ها قابل اعتراض خواهد بود.

ماده 27: به منظور نظارت بر حسن اجراي اين قانون، تجديدنظر از آراي كميسيون‌هاي استاني، ايجاد وحدت رويه و ارائة نظرهاي مشورتي، كميسيون مركزي حمایت از داده­ها با تركيب زير تشكيل مي‌شود:

الف) يك خبره به انتخاب رئيس جمهور؛

ب) يكي از قضات ديوان عالي كشور به انتخاب هيأت عمومي ديوان؛

پ) يكي از قضات ديوان عدالت اداري به انتخاب هيأت عمومي ديوان؛

ث) دو نماينده مجلس شوراي اسلامي به انتخاب مجلس؛

ج) يكي از حقوقدانان برجستة عضو هيأت علمي به انتخاب وزير دادگستری؛

چ) نمايندة وزير ارتباطات و فناوري اطلاعات؛

ح) نمايندة‌ وزير فرهنگ و ارشاد اسلامي؛

خ) نمایندة دبیر شورای عالی فضای مجازی؛

د) يكي از وكلاي دادگستري به انتخاب هيأت مديرة اتحادية سراسري كانون وكلاي كشور.

ذ)  یکی از مدیران مسئول مطبوعات به انتخاب آنها

تبصره‌ 1: جلسات كميسيون با حضور 9 نفر از اعضاء رسميت مي‌يابد و تصميمات آن با اكثريت مطلق حاضران، معتبر خواهد بود. رأي كميسيون قطعي است.

تبصره 2: دبيرخانة كميسيون در محل مرکز ملی فضای مجازی تشكيل مي‌شود.

ماده 28: اعضاي كميسيون‌ براي مدت چهار سال انتخاب مي‌شوند. دورة تصدي كساني كه به دلايلي جانشين اعضاي شورا مي‌شوند، به ميزان بقية دورة تصدي عضو قبلي خواهد بود.

تبصره: نحوة تشكيل و ادارة جلسات و وظايف دبيرخانه‌هاي كميسيون‌هاي حمایت از داده ها به موجب شيوه‌نامه‌اي خواهد بود كه توسط كميسيون مركزي تصويب خواهد شد.

باب پنجم: ضمانت اجرا

ماده 29: هر کس به طور غیرمجاز داده­های شخصی دیگران را ایجاد، جمع­آوری، پردازش یا استفاده کند، به جزای نقدی درجه 6 محکوم خواهد شد. در صورتی که مرتکب، این اقدامات را به قصد انتفاع مالی خود یا دیگری انجام داده باشد، یا از این طریق موجب وارد شدن ضرر مالی یا حیثیتی به دیگری شده باشد، به مجازات حبس و جزای نقدی درجه 6 محکوم خواهد شد.

تبصره 1: هرگاه داده­های شخص، حساس باشند یا داده­های شخصی به طور غیرمجاز در اختیار دیگران قرار داده شده یا منتشر شده باشند، حسب مورد، مرتکب به حداکثر مجازات مقرر محکوم خواهد شد.

تبصره 2: در مواردی که ایراد ضرر مالی یا حیثیتی ناشی از تقصیر مرتکب باشد، چنانچه داده­های شخصی، حساس نباشند مرتکب به حداقل مجازات مقرر و چنانچه داده­های شخصی، حساس باشند، به حداکثر مجازات محکوم خواهد شد.

تبصره 3: در جرایم فوق چنانچه شخص حقوقی مطابق ماده 143 قانون مجازات اسلامی مسئول شناخته شود، به جزای نقدی درجه 2 تا 6 و یک یا چند ممنوعیت از ممنوعیتهای درجه 6 محکوم خواهد شد.

 فایل گزارش توجیهی و فایل لایحه از لینک های زیر قابل دسترسی است:

../uploads/%DA%AF%D8%B2%D8%A7%D8%B1%D8%B4_%D8%AA%D9%88%D8%AC%DB%8C%D9%87%DB%8C_%D9%84%D8%A7%DB%8C%D8%AD%D9%87_%D8%AD%D9%85%D8%A7%DB%8C%D8%AA_%D8%A7%D8%B2_%D8%AF%D8%A7%D8%AF%D9%87%E2%80%8F%D9%87%D8%A7.pdf

../uploads/%D9%84%D8%A7%DB%8C%D8%AD%D9%87_%D8%AD%D9%85%D8%A7%DB%8C%D8%AA_%D8%A7%D8%B2_%D8%AF%D8%A7%D8%AF%D9%87%E2%80%8F%D9%87%D8%A7_%D9%88_%D8%AD%D9%81%D8%A7%D8%B8%D8%AA_%D8%A7%D8%B2.pdf