چکیده:
با تصویب مقررات عمومی حفاظت از دادۀ اتحادیه اروپا (GDPR)، تمامی کشورهای عضو اتحادیه اروپا، ملزم به حمایت حداکثری نسبت به دادههای شخصی هستند. در راستای تحقق کامل این حمایتها، اشخاص پردازشکنندۀ داده، ملزم به رعایت تعهدات مختلفی به موجب این مقررات هستند. این تعهدات در مواد مختلف GDPR به هدف حفاظت موثر از دادههای شخصی و اشخاص موضوع داده بیان شدهاند. با تبیین تعهدات مذکور از نگاه مقررات اروپایی مربوط به دادۀ شخصی، مشخص شد که نظام حقوقی ایران چنین تعهداتی را مورد تصریح قرار نداده است و صرفا کلیات این تعهدات از منابع مختلف حقوق ایران مانند قوانین موضوعه، مبانی حقوق ایران و فقه امامیه قابل استنباط است. باید گفت که این اشارات ضمنی در جهت تبیین دقیق تعهدات مختلف اشخاص پردازشکنندۀ داده کافی نیست و شفافیت جزئیات این امر نیاز به تصریح قانونگذار دارد. در این راستا، این پژوهش مفاد پیشنهادی در خصوص تعهدات مختلف اشخاص پردازشکنندۀ داده، از جمله در خصوص مسئولیت کنترلکننده نسبت به فرایند پردازش، تعهد کنترلکننده نسبت به انتخاب پردازنده مناسب، حفظ سوابق فعالیتهای پردازش، همکاری با مراجع نظارتی، تضمین امنیت پردازش، اطلاعرسانی و ابلاغ نقض دادۀ شخصی به مراجع نظارتی و اشخاص موضوع داده و انتصاب مامور حفاظت از داده، ارائه نموده است.
مع المصادقه علی اللايحه العامه لحمایه البیانات فی الاتحاد الاوروبی (GDPR) یتعین علی جمیع الدول الاعضاء فی الاتحاد الاوروبی توفیر اقصی قدر من الحمایه للبیانات الشخصیه. من اجل تحقیق تلک الحمایه بشکل کامل یتعین علی معالجی البیانات الامتثال للالتزامات المختلفه وفقا لتلک اللوايح. تم تحدید هذه الالتزامات فی مواد مختلفه GDPR بهدف الحمایه الموثره للبیانات الشخصیه والاشخاص الذین هم موضوع البیانات. من خلال شرح الالتزامات المذکوره اعلاه من وجهه نظر اللوايح الاوروبیه المتعلقه بالبیانات الشخصیه وجد ان النظام القانونی لایران فانه لم یتم النص علی مثل تلک الالتزامات ویمکن فقط استنباط العمومیات لهذه الالتزامات من مصادر مختلفه من القانون الایرانی مثل القوانین الوضعیه واسس القانون الایرانی وفقه الامامیه. وتجدر الاشاره الی ان هذه الاشارات الضمنیه لا تکفی لشرح الالتزامات المختلفه لمعالجی البیانات کما ان شفافیه تفاصیل هذا الامر تتطلب تصریح من المشرع. فی هذا السیاق یقترح هذا البحث احکاما تتعلق بالالتزامات المختلفه لمعالجی البیانات، بما فی ذلک مسوولیه وحده التحکم تجاه عملیه المعالجه، والتزام المراقب تجاه اختیار المعالج المناسب، والاحتفاظ بسجلات انشطه المعالجه، التعاون مع السلطات التنظیمیه، وضمان امن المعالجه، والابلاغ عن انتهاکات البیانات الشخصیه وابلاغها الی السلطات التنظیمیه واصحاب البیانات، وتعیین مسوول حمایه البیانات.
All EU member states are required to have maximum protection over personal data by ratifying the EU General Data Protection Regulation (GDPR). Data processors in order to fully realize these protections are required to comply with various obligations according to these regulations. These obligations are expressed in various GDPR articles for the purpose of effective protection of personal data and data subject persons. It became clear by explaining these obligations from the point of view of European regulations relating to personal data that the Iranian Legal System did not stipulate such obligations and that only the generalities of these obligations can be inferred from various sources of Iranian law, such as the statute laws, the fundamentals of Iranian law, and Jaʿfari Jurisprudence. It should be noted that these implied significations are insufficient to accurately explain the various obligations of data processors and the transparency of the details of this matter needs to be clarified by the legislator. This research in this regard has provided the proposed provisions regarding various obligations of data processors, including the controller’s liability towards the processing process, the controller’s commitment towards choosing the appropriate processor, keeping records of processing activities, cooperating with supervisory authorities, ensuring the security of processing, informing and servicing the breach of personal data to supervisory authorities and the data subject (relevant persons of data), and appointing data protection officers (DPOs).
خلاصه ماشینی:
در این راستا، این پژوهش مفاد پیشنهادی در خصوص تعهدات مختلف اشخاص پردازشکنندۀ داده، از جمله در خصوص مسئولیت کنترلکننده نسبت به فرایند پردازش، تعهد کنترلکننده نسبت به انتخاب پردازنده مناسب، حفظ سوابق فعالیتهای پردازش، همکاری با مراجع نظارتی، تضمین امنیت پردازش، اطلاعرسانی و ابلاغ نقض دادۀ شخصی به مراجع نظارتی و اشخاص موضوع داده و انتصاب مأمور حفاظت از داده، ارائه نموده است.
مطابق ماده 28(1) GDPR: «در صورتی که قرار است پردازش از طرف کنترلکننده انجام شود، کنترلکننده باید تنها از پردازندههایی استفاده کند که ضمانتهای کافی برای اجرایاقدامات فنی و سازمانی مناسب را ارائه میدهند، به گونهای که پردازش مطابق با الزامات این مقررات باشد و حفاظت از حقوق اشخاص موضوع داده تضمین شود»(EUR-Lex, 2016: 49).
در خصوص دو استثنای اخیر بر اصل مسئولیت کنترلکننده که در GDPR وجود ندارد باید گفت که گرچه این دو استثنا با افزایش دامنۀ تعهدات پردازندهها موجب تقویت حمایت از دادههای شخصی و اشخاص موضوع داده است، لیکن در بند ت ماده 2، فرض دقیقی بیان نشده است؛ چرا که کنترلکننده در اصل، مسئول پردازش است و نمیتوان حالتی را فرض کرد که پردازش متصف به کنترلکننده نباشد؛ زیرا کنترلکننده شخصی است که پردازش را به پردازنده واگذار کرده است و پردازنده نماینده کنترلکننده است، مگر اینکه عدم اتصاف پردازش به کنترلکننده به دلیل این باشد که پردازنده بر خلاف یا بدون دستور کنترلکننده عمل کرده است که این امر در ماده 16 پیشنویس مورد تصریح قرار گرفته و در این بند نیاز به اشاره به آن با عبارات دیگر نیست.