اخبار

لایحه صیانت و حفاظت از داده های شخصی

پیش از ایجاد لایحه صیانت و حفاظت از داده های شخصی؛ در اوایل ۲۰۱۸ بود که اتحادیه اروپا از تدوین نسخه اولیه قانون عمومی حفاظت از داده ها یا همان GDPR خبر داد و به طرز عجولانه ای تصریح کرد که همین نسخه اولیه در ماه می ۲۰۱۸ عملیاتی خواهد شد و تمامی شرکتهایی که در محدوده اتحادیه اروپا کسب و کار دارند یا مراوداتی با یک طرف اروپایی که به نوعی ردپایی از وی در محدوده اتحادیه باشد باید الزامات این قانون را رعایت کنند و اگر نه شامل جریمه های سنگین مالی و تجاری خواهند شد.
لذا شاهد تکاپوی تمامی بنگاه هایی که به نوعی با اطلاعات کاربران اروپایی محدوده اتحادیه سروکار داشتند بودیم. در حال حاضر اکثر بنگاه ها توانسته اند تا حد زیادی خود را با GDPR وفق دهند و برخی بنگاه های غالبا آمریکایی در تلاش برای تطبیق خود و خدمات شان با این قانون هستند.

Gdpr

این تاکتیک فشار اتحادیه اروپا باعث شد تا سایر بخشهای عالم که هر کدام به نوعی از سالها پیش درگیر مسئله خطیر حفاظت از حریم خصوصی کاربران (privacy) بوده اند به این فکر بیفتند که آنها نیز از این قافله عقب نمانند و مانند اروپا با تجمیع افکار و آراء و اجماع بین تمامی نهادهای تصمیم گیرنده و مسئول در قبال مسئله حریم خصوصی، به نوعی قانون مشابه با اتحادیه اروپا برسند تا عملا با یک تیر چند نشان زده باشند:
۱- یکبار برای همیشه بستر مناسب و بذر درست برای حفظ حریم خصوصی و حفاظت از اطلاعات شخصی کاربران در فضای سایبر را فراهم آورند. سپس با تشریک مساعی، جمع آوری آراء کارشناسان و نهادهای تصمیم گیرنده هر سال نسخه های بهتر و قوانین کارا تر و مناسب تر برای این کار را ارائه دهند.
۲- با پایبندی به قوانین دیگر کشورها و اجبار به تایید قوانین داخلی در صورت سوء استفاده از داده های کاربران در خارج کشورشان بتوانند مسئله را از طریق نهادهای بین المللی پیگیری کنند. تصور کنید در صورتی که شرکتی از داده های کاربران ایرانی سوء استفاده کند آنگاه بر اساس کدام قانون و مقررات امضاء شده ای طرف خارجی را مجبور به عذرخواهی یا جبران خسارت و لغو فعالیتش کند؟
۳- از قافله مراودات تجاری با اروپا عقب نمانند و بتوانند با یکسان سازی سطح قوانین سایبری وزنه قوانین و مقررات نظارتی را به سمت کشور خودشان نیز سنگین کنند تا در صورت بروز هر نوع مشکل مرتبط با داده های کاربران، همیشه بازنده نباشند.
کشور عزیزمان ایران سربلند نیز از این قاعده مستثنی نیست. امسال شاهد هستیم که قانونی که سالهاست مورد مناقشه غالبا سیاسی است تا بحث کارشناسی با پیگیری های وزیر جوان و خوش فکر ارتباطات و فناوری اطلاعات به منصه ظهور رسیده است.
اگر این لایحه به تصویب مجلس رسیده و تبدیل به قانون شود آقای آذری جهرمی را باید مسبب اصلی آن دانست.

آذری جهرمی
با پیگیری های ایشان و تاکید رهبری مبنی بر حفاظت و صیانت کامل از اطلاعات شخصی مردم، با تشریک مساعی بوجود آمده از طرف ایشان با سایر قوا و نهادهای مسئول مانند قوه قضائیه و خانه ملت نسخه اولیه «لایحه صیانت و حفاظت از داده های شخصی» جمهوری اسلامی ایران مورد تایید قرار گرفت و طبق گفته های جناب وزیر انشالله در شهریور ماه امسال و البته پس ار تصویب مجلس عملیاتی خواهد شد. باز هم تاکید میکنیم که طرح مذکور در حال حاضر «لایحه» است و تنها پس از تصویب مجلس به «قانون» تبدیل میشود.

اما از این حواشی که بگذریم میرسیم به اصل یعنی خود لایحه و بخشهای آن. نسخه اول «لایحه صیانت و حفاظت از داده های شخصی» در ۶ بخش (باب) تهیه و تنظیم شده است که باب آخر برای کنترل نسخه خود سند در نظر گرفته شده و بحث فنی در خود ندارد.
باب یکم: کلیات
باب دوم: حقوق اشخاص موضوع داده ها
باب سوم: تعهدات کنترلگران و پردازشگران
باب چهارم: تنظیم و نظارت بر پردازش داده های شخصی
باب پنجم: مسئولیتها و ضمانت اجراها

اما الان احتمالا از خودتون می پرسین که: خب که چی وحدتی جان؟! الان این همه قصه گفتی که به چی برسی؟ عارضم به حضور انور با سعادت‌تون که همونطور که مستحضرید مجموعه ما و در راس اون ایران سرور همیشه تلاش کرده ایم در عرصه خدمات هاستینگ یکی از پیشروها باشیم و اینکه همیشه تلاشمون بر این بوده که تماشاچی و ناظر اتفاقات بالادستی که فرآیندهای کسب و کار رو تغییر میده نباشیم. سعی کردیم در اینجور مواقع کنشی عمل کنیم تا واکنشی. مثل قضیه GDPR که باهاتون در مورد تغییرات نحوه کار WHOIS و سایر سرویسهای دامنه و IP صحبت کردیم. الانم حال کردیم دوباره باهاتون حرف بزنیم. کلا ما عاشق حرف زدنیم! بریم بیایم!
اجازه بدین این نکته رو دوباره یادآور بشم که این موضوع فعلا «لایحه» است و تا به تصویب مجلس محترم رسیده و قانون بشه کمی طول میکشه اما چون ما معتقدیم بالاخره بعد کمی کش و قوس «قانون» میشه پس صلاح دونستیم همین الان باهاتون در میون بذاریم.
نکته بسیار بسیار فوق فوق مهم: مجموعه ما با برخی از بندهای این لایحه مخالف است و به آن ایرادات جدی دارد و معتقد است برخی بندها باعث تخریب و اختلال فرآیند خدمت رسانی درست شرکتهای هاستینگ به مشتریان می شود و با اصل تجارت آزاد مصوب در قانون اساسی مغایر هست.
ما نظراتمون رو مستقیم به جناب آقای وزیر منتقل کرده ایم و امیدواریم نسخه نهایی تصویب شده این نگرانیها را رفع کند. البته در صورت عدم تحقق این موضوع ما دست از تلاش بر نخواهیم داشت و تا حصول نسخه ای که تمام نگرانیهای شرکتهای هاستینگ برای خدمت رسانی درست به مشتریان را رفع نکند به ارسال نظرات و پیگیری مطالبات ادامه خواهیم داد. البته ما این موضوع که نسخه حاضر نسخه اولیه است و نسخه بهینه نیست را کاملا درک میکنیم و آمادگی خود را برای همکاری با نهادهای مسئول برای بهبود تمام جوانب این لایحه مهم رسما اعلام میکنیم.

تعاریف کلی لایحه صیانت و حفاظت از داده های شخصی:

خب نیازی به تاکید نیست که تعاریف ارائه شده در جای جای این لایحه بکار رفته و اگر درک درست و شفافی نسبت به آنها نداشته باشید کل لایحه رو درک نخواهید کرد. پس تاکید میکنیم که این قسمت رو به دقت بخونید و پس از بحث و تبادل با اطرافیان و دوستان کارشناس تون حتی سعی کنید حفظش کنید! باور کنید حفظیات همیشه هم بد نیستن ;-) بیاین با هم خوب بخونیم:
الف) داده شخصی عبارت است از داده‌هایی که به تنهایی یا به همراه داده های دیگر، مستقیم یا غیر مستقیم شخص موضوع داده را از طریق ارجاع به یک شناسه میشناساند.

ب) داده شخصی حساس عبارت است از داده شخصی که ریشه قومی یا قبیله ای، نظرات سیاسی، مذهبی و فلسفی، مشخصات وراثتی یا اطلاعات سلامت شخص موضوع داده را آشکار میسازد.

پ) پردازش: هرگونه عملیات دستی یا خودکار بر داده های شخصی، شامل و نه محدود به ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه و تحلیل، طبقه بندی، ساختاربندی، تطبیق، ذخیره سازی، اشتراک گذاری، فرستادن، توزیع و عرضه، انتشار و در دسترس قرار دادن و پاک کردن آنها.

ج) کنترلگر شخصی است که همه یا بخشی از هدف، ساز و کار، شرایط، ویژگیها و ابزارهای یک یا چند عملیات پردازش داده های شخصی در اختیار پردازشگر را تعیین میکند. مصوبات و تصمیمات مراجع صلاحیتدار در امور تنظیم گری، نظارت، ضابطین و دادرسی درباره پردازش داده‌های شخصی، جز در مواردی که جنبه فردی دارد، کنترلگری به شمار نمیآید.

ت) پردازشگر شخص مأذون کنترلگر در پردازش است. در صورت نبود کنترلگر یا عدم امکان اتصاف پردازش به آن، پردازشگر به عنوان کنترل گر نیز شناخته میشود.

ث) ناظر ویژه کسی است که پیرو حکم صادره از سوی کمیسیون، صلاحیت نظارت بر پردازش داده های شخصی را می‌یابد.

توضیحات و ابهامات وارده به لایحه صیانت و حفاظت از داده های شخصی

همانطور که در نکته بسیار بسیار فوق فوق مهم بهش اشاره کردم ما یکسری ابهامات در این لایحه داریم که نیاز به تفسیر و تعبیر از طرف نهادهای تهیه کننده این لایحه داره و این کار رو تا احقاق کامل حقوق شما عزیزان بطور جدی پیگیری خواهیم کرد. همچنین برخی موارد ذکر شده در لایحه برای ما هم تا حد زیادی روشنه که همه این موارد توضیحات و ابهامات رو به ترتیب و بند به بند به اختصار بررسی میکنیم:

۱- در باب یکم بخش دوم

که تعاریف ارائه شده است منظور دقیق نویسندگان از کنترلگر و ناظر ویژه مشخص نشده است. بهتر بود در چند مثال از مدلهای کسب و کار مختلف موجود در کشور آورده میشد تا همه درک بهتری از تفاوت بین کنترلگر و ناظر ویژه داشته باشند. تعریف این دو در زیل آورده شده است:
ج) کنترلگر شخصی است که همه یا بخشی از هدف، ساز و کار، شرایط، ویژگیها و ابزارهای یک یا چند عملیات پردازش داده های شخصی در اختیار پردازشگر را تعیین میکند. مصوبات و تصمیمات مراجع صلاحیتدار در امور تنظیمگری، نظارت، ضابطین و دادرسی درباره پردازش داده‌های شخصی، جز در مواردی که جنبه فردی دارد، کنترلگری به شمار نمی آید.
– اینجا خیلی بهتر می بود اگر مانند تعریف پردازش عمل میشد. یعنی بجای کنترلگر، خود کنترل تعریف میشد تا بتوان به راحتی مفهوم کنترلگر را درک کرد. بهرحال بنظر میرسد منظور نویسندگان لایحه از کنترلگر نهاد یا فردیست که تعیین میکند پردازشگر چه داده هایی را حق دارد پردازش کند و چه داده هایی را خیر. به عنوان مثال در مورد هاستینگ، ایران سرور حق دارد داده های هویتی خود مالک پروفایل پرتال را نگه دارد اما اجازه مطالبه و نگهداری اطلاعات هویتی خانواده فرد مالک پروفایل را ندارد و این طرف کنترلگری که برای هاستینگها و همچنین تمامی کسب و کارها تعیین خواهد شد مشخص میشود. مثلا سازمان فناوری اطلاعات، پلیس فتا، سازمان افتا ریاست جمهوری همگی میتوانند در کسب و کار هاستینگ کنترلگر باشند. باید صبر کرد و دید کنترلگرها چگونه و بر اساس چه ضوابطی تعیین می شوند که در این زمینه نیز حرفی در لایحه به میان نیامده است.
ت) پردازشگر شخص مأذون کنترلگر در پردازش است. در صورت نبود کنترلگر یا عدم امکان اتصاف پردازش به آن، پردازشگر به عنوان کنترلگر نیز شناخته میشود.
ث) ناظر ویژه کسی است که پیرو حکم صادره از سوی کمیسیون، صلاحیت نظارت بر پردازش داده های شخصی را می‌یابد.
– در اینجا منظور از «کمیسیون» اصلا واضح نیست و مشخص نشده است دقیقا کدام کمیسیون قرار است حکم نظارت ویژه بر پردازش داده های شخصی را صادر خواهد کرد؟! آیا بر کار این کمیسیون نظارتی خواهد بود؟!

۲- باب دوم بخش یکم ماده های ۴، ۵ و ۶

باید در Terms of Service هر سرویس دهنده ایرانی لحاظ گردد.

۳- باب دوم بخش یکم ماده ۵:

اعلام رضایت اشخاص موضوع داده باید با رعایت شرایط ذیل باشد:
الف) پیش از پردازش باشد؛
ب) بیانگر آگاهی شخص موضوع داده باشد؛ و…
پ) استنادپذیر باشد.
– در این ماده از باب دوم سوالات و ابهاماتی به چشم میخورند که بنظر میرسد بار حقوقی داشته باشد. لذا ما قصد داریم با یک وکیل مجرب تک تک کلمات بکار برده شده در سه مورد مذکور را در میان گذاشته و تفسیر ایشان را در پست های بعد با شما در میان بگذاریم. اینکه اعلام رضایت چرا حتما پیش از پردازش باشد و چرا در حین یا پس از پردازش مردم نتوانند عدم رضایت خود را اعلام کنند؟ یا اینکه منظور از «بیانگر آگاهی» دقیقا یعنی چه حالتی؟ یا خود واژه استناد پذیر – چرا گفته نشده قابل استناد؟ استناد پذیر بودن به چه وضعیتی اشاره دارد؟
۳- تفاوت موارد ۵ و ۶ از بخش دوم باب دوم به شکل شفاف و قابل درک بیان نشده و مشخص نیست تفاوت بین وضعیتها یا موقعیتهای غیر عمومی با وضعیتها یا موقعیتهای عمومی در چیست؟

۴- باب دوم بخش دوم ماده ۸:

شخص موضوع داده حق دارد هر زمان، پردازش یا عدم پردازش همه یا بخشی از داده ها را از کنترلگر بخواهد، مشروط بر آنکه:
الف) داده ها یا نتایج حاصل از آنها نادرست باشد؛
ب) داده ها یا پردازش آنها خارج از محدوده رضایت وی باشد.
– این ماده نیز به خوبی نوشته نشده و ابهام آمیز هست. دو مورد شرط ذکر شده فقط برای درخواست عدم پردازشه و برای درخواست پردازش شرطی گذاشته نشده. مثلا در مورد هاستینگ، آیا این معناش این هست که در صورت عدم رضایت شما به عنوان مشتری ایران سرور باید پردازش رو برگردونه؟ مثلا اطلاعات ذخیره شده شما از روی پرتال خذف بشه؟ چکارش کنیم الان؟؟

۵- باب دوم بخش دوم ماده ۹:

بسیار گنگ و غیرقابل هضم بوده و نیت و منظور نویسندگان اصلا قابل تشخیص نیست. متاسفانه! هدف فراموشی؟؟!!!!

۶- باب دوم بخش سوم ماده ۱۰:

باز هم بسیار گنگ و سوال برانگیز است. قطعا تفکیک دسترسی به اطلاعات کاربری یکی از ابتدایی ترین ویژگی های هر سیستم اطلاعاتی مدرن است. چرا دسترسی داده های شخصی باید شامل اطلاعات طبقه بندی شده دیگران باشد؟؟

۷- باب دوم بخش سوم ماده ۱۱:

ماده مهمی بنظر میرسد. اینکه علیرغم اعلام قبلی مالک داده ها به پردازش اطلاعاتش پردازشگر حق نداشته باشد هویت وی شامل نام و نام خانوادگی و ID های تخصیص یافته به وی را در اختیار غیر قرار دهد به نوبه خود خوب است اما اینکه دیگر اجزاء اطلاعات کاربر شامل این ماده میشود یا خیر قید نشده و معلوم نیست. بعنوان مثال یک پردازشگر میتونه نام و نام خانوادگی یا ID ها رو افشاء نکنه اما با در اختیار قرار دادن اطلاعات بانکی غیرمستقیم هویت مالک داده ها رو برای دیگران مشخص کنه.

۹- باب دوم بخش دوم ماده ۱۲:

تبصره ب) قید شده:
ب) برای صیانت از حیثیت یا جان دیگری یا پیشگیری از زیان مالی شدید به او ضروری باشد؛
– اینجا منظور از زیان مالی شدید دقیق ذکر نشده. شدید دقیقا یعنی چقدر؟ چه ساز و کار و فرمولی برای برآورد درست زیان مالی شدید وجود داره؟ به نظر میرسه همه کسب و کارها برای این کار باید اول برآورد دقیقی از ارزش کلیه اموال خود داشته باشند؟ پس در مورد هاستینگ، ارزش واقعی یک IP یا یک دامنه دقیقا چطوری باید سنجیده بشه؟ اینها مواردی هست که اگر بهش پرداخته نشه قطعا در صورت بروز شکایت یا پیگیری های قضایی کسب و کارها رو با دردسر مواجه خواهد کرد.

۱۰- باب سوم بخش دوم ماده ۲۲:

هرگونه واگذاری شغلی یا حرفهای داده های شخصی، علاوه بر رعایت سایر مقررات، مستلزم ثبت در ۲ سامانه مرجع صلاحیتدار ذیربط است.
– اینجا مشخص نشده منظور از واگذاری شغلی یا حرفه ای داده های شخصی واگذاری خود کسب و کار است یا چیز دیگری در ذهن نویسندگان لایحه بوده است؟

۱۱- در ماده ۳۲ همین بند نیز این ابهام وجود دارد و مشخص نیست کنترلگر چگونه باید مکلف نبودنش در ایفای حق اشخاص را ثابت کند.

۱۲ – بخش چهارم:

استناد پذیری پردازش ماده ۳۳ یک تبصره آورده شده که به شرح زیر است:

تبصره- کمیسیون میتواند زمان نگهداری و حفاظت از اطلاعات و داده های موضوع این ماده را حسب مورد تا دو سال افزایش دهد.
– در اینجا مشخص نشده این موضوع افزایش مدت نگهداری داده های شخصی پاک شده از ۶ ماه به ۲ سال، یعنی ۴ برابر میزان تعیین شده، چگونه به اطلاع پردازشگر خواهد رسید؟ چرا که نگهداری داده هایی که پاک شده اند اصولا هزینه بر است چه برسد برای مدت طولانی که خود به زیرساخت و فرآیندهای تطبیقی خاصی نیاز دارد. بعضی از پردازشگران شاید اصلا توانایی و ظرفیت چنین امری را در موقع اطلاع رسانی نداشته باشند. در این صورت تکلیف چیست؟

۱۳- بخش چهارم: پردازشهای فرامرزی؛ ماده ۳۸ قسمت پ)
پ) بر روی شبکه ارتباطی مطمئن جابجا شوند؛
– تعریف نویسندگان یا منظور آنها از شبکه ارتباطی مطمئن چیست؟

۱۴- بخش چهارم: پردازشهای فرامرزی؛ ماده ۳۸ قسمت ث)
ث) پردازشهای فرامرزی بر پایه ضوابط مقرر به ثبت برسد.
– بسیار گنگ و مبهم؛ در کجا ثبت بشوند؟ کدام ضوابط مقرر وقتی خود این لایحه هنوز تصویب نشده؟!

۱۵- باب چهارم بند یکم: اعضای کمیسیون.
– ذیل بخش یکم ماده ۴۰ هیچ نامی از سازمان نظام صنفی رایانه ای کشور به عنوان متولی اصلی راهبری و نظارت بر عملکرد فعالین حوزه IT، کامپیوتر و ماشینهای اداری نیامده است که بسی جای تعجب دارد. بنابراین کمیسیون صیانت و حفاظت از داده های شخصی بدون حضور سازمان نظام صنفی رایانه ای به وظایف و اختیارات خود که ذیل ماده ۴۱ همین بخش قید شده عمل خواهد کرد.

۱۶- باب چهارم بند سوم: جلسات و مصوبات کمیسیون
ماده ۴۴٫ حضور اعضاء و کارشناسان کارگروه های تخصصی و همچنین سایر مقامات، خبرگان و کارشناسان با حق اظهارنظر در جلسات کمیسیون به تشخیص رئیس کمیسیون بلامانع است.- یعنی هر کسی که رئیس کمیسیون صلاح بداند میتواند در جلسات حاضر شود، صحبت کند و اظهار نظر کند؟! آیا نباید بیشتر روی چنین موضوعاتی حساسیت به خرج داد تا مبادا خدای ناکرده جامعه IT کشور دچار مفسده، تبانی و زد و بندهای داخلی و سیاسی نشود؟!

۱۷- باب چهارم بخش سوم بند سوم: ناظر ویژه ذیل ماده ۵۴
پ) زیانها و آسیبهای جدی یا پرشمار بالقوه و بالفعل پردازشها به داده های شخصی؛
– تعریف دقیقی در هیچ جای لایحه برای نحوه ارزیابی زیان و آسیب ارائه نشده است.

۱۸- باب پنجم بخش دوم: مسئولیتهای مدنی:
ماده ۶۱٫ کنترلگر موظف است حسب درخواست زیاندیده تمامی ضرر و زیان وارده به شخص موضوع داده را جبران کند. در صورت عدم جبران ضرر و زیان، موضوع حسب شکایت زیان دیده از طریق مراجع قضائی پیگیری خواهد شد.
– در اینجا میزان جبران خسارت مشخص نشده است. آیا صرف قرارداد کفایت میکند یا فاکتورهای دیگری نیز باید ارزیابی شوند؟
خب این از برخی ایراداتی که به چشم ما خورد. شاید بازم بشه ازش ایراد گرفت اما به نظر ما دیگه مته به خشخاش گذاشتنه. اما لایحه همش ایراد نیست و بخشهای مهم و بعضا جالبی داره که بیانگر نگاه کلی مثبت نویسندگان به موضوع هست. مثلا موارد زیر رو در نظر بگیرید:
۱- باب دوم بخش یکم: رضایت به پردازش:
– مواد ۴ و ۵ قطعا منتج به تغییر آنی Terms of Service تمامی سرویس دهندگان خواهد شد. چرا که صراحتا قید شده بدون جلب رضایت هیچ پردازشی نباید انجام شود. بعنوان مثال در ماجرای استفاده شرکت اسنپ از داده های موجود در تلفنهای مشتریان برای تشخیص اپلیکیشن های مشابه با اسنپ، شرکت اسنپ کاملا خلاف این دو ماده از لایحه عمل کرده است و اگر الان این لایحه قانون شده بود حتی یک مشتری میتوانست با استناد به همین دو ماده شرکت فوق را به سادگی محکوم نماید. البته هدف ما از ذکر این مثال اصلا قضاوت نیست و قضاوت در چنین مواردی حق قانونی مقام محترم قضایی است.
متن پیام اسنپ:

متن اسنپ درباره لایحه صیانت و حفاظت از داده های شخصی

لینک برخی خبرگزاریها درباره این موضوع:
زومیت: https://www.zoomit.ir/2018/8/27/286033/snapp-application-similar/
خبر فوری: https://bit.ly/2RODnyz
بی شک در ماجرای اسنپ، خلاء یک قانون حمایتی سفت و محکم حس شد. این موضوع فقط از ناحیه کاربران قابل بحث نیست بلکه شاید اگر چنین قانونی وجو میداشت خود اسنپ نیز از انجام چنین کاری اجتناب میکرد.
۲- باب دوم بخش دوم: درخواست پردازش یا توقف آن
– این بخش از این جهت اهمیت دارد که در صورت اعلام شخص مبنی بر عدم رضایت در پردازش اطلاعاتش، پردازشگر موظف به حذف اطلاعات وی شامل اطلاعات پروفایل کاربری، اطلاعات SOAS و سایر زیرمجموعه ها میباشد. پس عملا پس از اعلام عدم رضایت کاربر، پردازشگر به هیچ روی نباید بتواند پردازش اطلاعات وی را پردازش کند.
۳- باب دوم بخش دوم ماده ۱۱ موضوع مهمی را متضمن میشود. اینکه اعلام رضایت به پردازش به معنای آشکاری هویت شخصی نیست و شخص هنوز حق دارد هویتش را گمنام نگه دارد. این ویژگی مهمی برای تحقق privacy واقعیست که باید در سیستمهای اطلاعاتی مستقر در کشور لحاظ گردد.
۴- باب دوم بخش دوم ماده ۱۲ یکی از بخشهای مهم تحقق privacy کاربران است؛ اینکه در چه مواردی بدون رضایت شخص داده هایش پردازش شوند. موارد این ماده را فهرست میکنیم:
الف) برای صیانت از حیثیت، جان یا مال شخص موضوع داده ضروری باشد؛
ب) برای صیانت از حیثیت یا جان دیگری یا پیشگیری از زیان مالی شدید به او ضروری باشد؛
پ) برای پیشگیری یا پاسخ به تهدیدهای نظم، ایمنی و امنیت عمومی ضروری باشد؛
ت) برای کشف جرایم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی ضروری باشد.
خوب دقت کنید. این ماده سرویس دهندگان ایرانی را ملزم میکند در شرایط خاصی که بحث تهدید جانی یا پیشگیری و کشف جرم مطرح است با نهادهای زیربط همکاری داشته باشند. منتها یکسری نکات باریک از مو اینجاست! اینکه این ماده چه تعارضاتی با تعریف «داده های شخصی حساس» ذیل باب یکم بخش یکم که میتواند رنگ و بوی مذهبی، فلسفی و سیاسی داشته باشد ایجاد خواهد کرد؟ صادقانه و رک بگویم در واقع اینجا نگرانی هایی بین اقشار مختلف جامعه بوجود خواهد آمد مبنی بر اینکه دایره آزادیهای مدنی و آزادی بیان تا حدی رعایت خواهد شد که در صورت عدم تهدید جانی-مالی برای شهروندان یا عدم تهدید نظم، ایمنی و امنیت عمومی پردازش اطلاعات شخصی با مداخله مواجه نگردد؟ این قسمت کار قطعا یکی از چالشهای نظام در پیاده سازی و پیشبرد این لایحه فعلی و قانون آینده خواهد بود.
۵- در باب پنجم بخش سوم بند یکم ذیل ماده ۶۸ درباره انواع محکومیتهای نقض قانون صیانت آمده است:
تبصره ۱٫ دادگاه میتواند مرتکب را به گذراندن دوره های ویژه صیانت و حفاظت از داده های شخصی و دریافت گواهی های مربوط، پیرو شیوه‌نامه مصوب کمیسیون ملزم نماید.
– چنین مجازات هایی می تواند نقطه شروع تغییر نگرش دستگاه های ذیربط در برخورد با مجرمان فضای تبادل اطلاعات قلمداد شود. ما ضمن قدردانی و استقبال از این نوع تغییر مثبت خواستار تدوین روشهای اجرایی این نگرش توسط دستگاه های ذیربط هستیم.

آخر داستان اینکه ابتدا ببخشید طولانی شد. شرمنده. این گمونم اولین باره اینقدر مطول مینویسم. چاره ای نبود موضوع خودش مطول بود. دوم اینکه ما آمادگی خودمون رو برای همکاری در بهبود هر چه بهتر این لایحه به نهادهای زیربط و نویسندگان آن اعلام میکنیم. سوم اینکه چه مشتری مونین چه همکارامون و حتی رقیب مون، حواستون به جوانب متفاوت این لایحه باشه. هر چقدرم به مشتری خودتون جملاتی مانند: «ما در قبال هر گونه فلان و بهمان نسبت به داده های شما مسئولیتی نداریم» و ازین دست گفته باشین بازم مفاد این قانون آینده براتون الزام آوره و با توجه به بالادستی بودنش و قدرت اجرایی در سطح دولت و حتی بالاتر از دولت باید رعایتش کنید وگرنه دیگه نگم چی میشه!
چهارم اینکه تا حصول بهترین شرایط برای مشتری های باحال و مشتی مون یعنی خود شما دست از سر این لایحه برنمیداریم! (آقای آذری جهرمی شما این تیکشو نخون برادر!) و آخر اینکه دوستون داریم و همه دغدغه هاتون برامون خیلی خیلی مهمه.یا حق.
دانلود متن لایحه صیانت و حفاظت از داده های شخصی 

3+

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ثبت و انتقال دامنه .Com فقط با 117 هزار تومان! #بهترین قیمت در ایران مشاهده قیمت های باورنکردنی
+
بستن