دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع آوری، پردازش و نگهداری اطلاعات کاربران در سامانه ها و سکوهای فضای مجازی
کلیه دستگاه های اجرایی
به پیوست دستورالعمل اجرایی «بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع آوری، پردازش و نگهداری اطلاعات کاربران در سامانه ها و سکوهای فضای مجازی» که در یکصد و بیست و هفتمین جلسه مورخ ۱۴۰۲/۱۰/۱۱ کمیسیون عالی تنظیم مقررات فضای مجازی کشور و بر اساس وظایف و اختیارات مصرّح در بندهای “۳ـ۲ـ۱ـ” و “۳ـ۲ـ۱۲ـ” آیین نامه آن کمیسیون (مصوب هشتاد و یکمین جلسه مورخ ۱۴۰۱/۰۲/۲۷ شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران و نیز الزام اشخاص حقوقی غیردولتی و دستگاه های اجرایی کشور (دستگاه های اجرایی موضوع ماده (۲۹) قانون برنامه پنج ساله ششم توسعه اقتصادی، اجتماعی و فرهنگی جمهوری اسلامی ایران) به رعایت شرایط مرتبط با شیوه های جمع آوری، پردازش و نگهداری داده های کاربران در سامانه ها و سکوهای فضای مجازی، مصوب شده است، برای اجرا ابلاغ می شود.
دبیر شورای عالی و رئیس مرکز ملی فضای مجازی ـ سید محمدامین آقامیری
بخش اول از سند سیاستها و الزامات حفاظت از دادهها
مصوب یکصد و بیست و هفتمین جلسه مورخ ۱۴۰۲/۱۰/۱۱ کمیسیون عالی تنظیم مقررات فضای مجازی کشور
براساس وظایف و اختیارات مصرّح در بندهای “۳ـ۲ـ۱ـ” و “۳ـ۲ـ۱۲ـ” آیین نامه کمیسیون عالی تنظیم مقررات فضای مجازی کشور (مصوب هشتاد و یکمین جلسه مورخ ۱۴۰۱/۰۲/۲۷ شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران و نیز الزام اشخاص حقوقی غیردولتی و دستگاههای اجرایی کشور (دستگاههای اجرایی موضوع ماده (۲۹) قانون برنامه پنجساله ششم توسعه اقتصادی، اجتماعی و فرهنگی جمهوری اسلامی ایران) به رعایت شرایط مرتبط با شیوههای جمع آوری، پردازش و نگهداری دادههای کاربران در سامانهها و سکوهای فضای مجازی، تکالیف اجرایی زیر ابلاغ میشود:
۱ـ کلیه ارائه دهندگان خدمات از طریق سامانه ها و سکوهای فضای مجازی موظف اند حداکثر ظرف مدت دو ماه (۲ماه) از تاریخ ابلاغ این دستورالعمل:
۱ـ۱ـ سیاستهای حفظ حریم خصوصی مرتبط با جمع آوری، پردازش و نگهداری داده های کاربران را به صورت شفاف شامل موارد زیر اعلام و رضایت صریح آنان مبنی بر پذیرش شرایط را اخذ نمایند:
۱ـ۱ـ۱ـ کدام اقلام دادهای را و برای چه منظوری از کاربران دریافت و یا جمع آوری میکنند. در این زمینه و در زمان دریافت و جمع آوری، اقلام ضروری را از اقلام اختیاری تفکیک نموده و قابلیت انتخاب را برای کاربر در ارائه اطلاعات اختیاری فراهم کنند؛
۱ـ۱ـ۲ـ شیوه دریافت و جمع آوری اعم از دریافت مستقیم از کاربران و یا به صورت غیرمستقیم و از طریق مشخصات تجهیزات و سامانه های در اختیار کاربران را مشخص کنند؛
۱ـ۱ـ۳ـ نحوه و ابزار اطلاع رسانی تغییر سیاستها را مشخص نموده و مجدداً رضایت صریح کاربران را اخذ و تغییرات لازم را اعمال نمایند؛
تبصره: هرگونه تغییر در شرایط و سیاستها باید حداقل دو ماه (۲ ماه) قبل از اعمال، به کاربران اعلام شود.
دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع آوری، پردازش و نگهداری اطلاعات کاربران در سامانه ها و سکوهای فضای مجازی
۱ـ۲ـ دادهها باید صرفاً درحد اقلام مورد نیاز برای انجام تکالیف قانونی یا ادامه کسب وکار و متناسب با اهدافی که در بند “۱ـ۱ـ” برای کاربر شرح داده شده و اجازه و رضایت صریح وی اخذ گردیده است، جمعآوری، پردازش و ذخیره سازی شود؛
۱ـ۳ـ درصورت درخواست کاربران برای حذف دادههای مرتبط از قبیل حذف حساب کاربری، تمام و یا بخشی از داده های مرتبط با فعالیت آنان در سامانه و سکو (مشروط به عدم مغایرت با قوانین و مقررات کشور و مأموریت ها و تکالیف دستگاههای اجرایی)، بلافاصله انجام پذیرفته و دادههای حذف شده از سامانه و سکوی برخط، به منظور رعایت مقررات قانونی ازجمله مقررات مواد (۶۶۷) تا (۶۷۰) قانون آیین دادرسی کیفری (دادرسی جرایم رایانه ای) به پایگاههای داده پشتیبان مستقر در بخش غیربرخط و منفصل از شبکه های ارتباطی عمومی منتقل و تنها برای انجام تکالیف مقرر در قانون، نگهداری یا پردازش شود و پس از خاتمه مواعد قانونی یا قضایی، به طور کامل امحاء شود؛
۱ـ۴ـ داده های مربوط به هویت و اطلاعات شخصی کاربران که منجر به شناسایی هویت ایشان میشود، صرفاً باید به صورت رمزنگاری شده ذخیره شود. دستورالعملهای مرتبط با سطوح و شیوه های رمزنگاری براساس وظایف تعیین شده در اسناد مصوب شورای عالی فضای مجازی کشور، توسط دستگاههای مسئول ابلاغ میشود؛
تبصره۱: مسئولیتهای حقوقی و قضایی نقض حریم خصوصی ناشی از عدم رعایت مقررات بند یک این دستورالعمل، برعهده ارائه دهنده خدمت مربوط است؛
تبصره۲: تمامی اشخاص مشمول مکلف اند ظرف مدت سه ماه (۳ماه) از تاریخ ابلاغ این مصوبه، مقررات بند یک این دستورالعمل را برای داده هایی که پیش از تصویب این مقررات جمع آوری، ذخیره یا پردازش نموده اند، اعمال کرده و درخصوص درخواست حذف، براساس بند “۱ـ۳ـ” عمل نمایند.
بخشنامه حریم خصوصی
۲ـ تنظیم گران بخشی یا مراجع صدور مجوز موظف اند استمرار ارائه خدمات یا تمدید مجوزها به سامانه ها و سکوهای موضوع این دستورالعمل را منوط به حصول اطمینان از رعایت این مقررات تعیین نموده و در غیر این صورت، اقدامات قانونی لازم را بعملآوردند؛
۳ـ ارائه دهندگان خدمات موظف اند از طریق سامانه ها و سکوهای فضای مجازی، ضمن پیاده سازی شرایط این دستورالعمل در زمان تعیین شده براساس بند یک، پساز فراهم شدن سازوکار ارائه خدمات احراز هویت کاربران براساس قابلیت «زیست بوم هویت معتبر» (مبتنی بر نظام هویت معتبر مصوب پنجاه و نهمین جلسه شورای عالی فضای مجازی کشور) توسط سازمان ثبت احوال کشور، باهدف به حداقل رساندن جمع آوریاطلاعات هویتی، حداکثر پس از یکماه (۱ماه)، سامانه های خود را با فرآیندهای مربوط منطبق نمایند؛
۴ـ سازوکار نظارت بر حسن اجرای این مصوبه، توسط مرکز ملی فضای مجازی کشور به دستگاههای نظارتی مرتبط ابلاغ میشود. کلیه دستگاههای اجرایی، مراجع قانونی عهدهدار نظارت یا صدور مجوز و تنظیم گران بخشی، مکلف اند با دستگاههای نظارتی که در این خصوص تعیین میشوند، همکاری نمایند.
تعیین وقت مشاوره با هماهنگی قبلی
جهت اخذ مشاوره در مورد این موضوع با ما تماس بگیرید
تلفن همراه : ۰۹۱۲۲۰۹۱۵۷۵
تلفن ثابت : ۸۸۰۷۱۵۱۹
آرش علیزاده نیری
وکیل پایه یک دادگستری
متخصص در زمینه جرایم رایانه ای
عضو کانون وکلای دادگستری مرکز ( تهران )
