کنترل کننده

داده های شخصی اهمیت اقتصادی فراوانی دارند، به طوری که آن ها را پول آینده نامیده اند. در عین حال، محیط هایی که اشخاص در آن ها زندگی می کنند و به طور مداوم با آن ها سروکار دارند، داده های اشخاص را جمع آوری و پردازش کرده و به شیوه های مختلف از داده ها استفاده می کنند. بنابراین، ضرورت وجود قوانینی که از این امر ارزشمند در مقابلِ استفاده های فراوان حفاظت کند، احساس می شود. مهم ترین بستر قانونی برای حمایت از داده شخصی، مقررات عمومی حفاظت از داده (GDPR) است. این مقررات در سال ۲۰۱۶ توسط پارلمان و شورای اروپا تصویب و از سال ۲۰۱۸ در تمامی کشورهای عضو اتحادیه اروپا لازم الاجرا شده است و به دلیل ویژگی ها و حمایت های بدیع و دقیق خود، جامع ترین بستر قانونی در خصوص حمایت از داده است. به جهت اهمیت GDPR در خصوص حفاظت از داده های شخصی، معرفی این بستر قانونی، پرداختن به مفاهیم اساسی، دامنه اعمال و بیان نقاط قوت این مقررات به منظور درک بهتر حمایت های مندرج در GDPR ضروری است. پژوهش حاضر با تتبع در مقررات مذکور و منابع مرتبط، به این مهم می پردازد و در جهت شفاف سازی این مقررات برای کمک به تدوین بستر قانونی مناسب، در خصوص حمایت از داده شخصی در نظام حقوقی ایران گام برمی دارد.

با تصویب مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) ، تمامی کشورهای عضو اتحادیه اروپا، ملزم به حمایت حداکثری نسبت به داده های شخصی هستند. در راستای تحقق کامل این حمایت ها، اشخاص پردازش کننده داده، ملزم به رعایت تعهدات مختلفی به موجب این مقررات هستند. این تعهدات در مواد مختلف GDPR به هدف حفاظت مؤثر از داده های شخصی و اشخاص موضوع داده بیان شده اند. با تبیین تعهدات مذکور از نگاه مقررات اروپاییِ مربوط به داده شخصی، مشخص شد که نظام حقوقی ایران چنین تعهداتی را مورد تصریح قرار نداده است و صرفاً کلیات این تعهدات از منابع مختلف حقوق ایران مانند قوانین موضوعه، مبانی حقوق ایران و فقه امامیه قابل استنباط است. باید گفت که این اشارات ضمنی در جهت تبیین دقیق تعهدات مختلفِ اشخاص پردازش کننده داده کافی نیست و شفافیت جزئیات این امر نیاز به تصریح قانون گذار دارد. در این راستا، این پژوهش مفاد پیشنهادی در خصوص تعهدات مختلف اشخاص پردازش کننده داده، از جمله در خصوص مسئولیت کنترل کننده نسبت به فرایند پردازش، تعهد کنترل کننده نسبت به انتخاب پردازنده مناسب، حفظ سوابق فعالیت های پردازش، همکاری با مراجع نظارتی، تضمین امنیت پردازش، اطلاع رسانی و ابلاغ نقض داده شخصی به مراجع نظارتی و اشخاص موضوع داده و انتصاب مأمور حفاظت از داده، ارائه نموده است.

پیشگیری از نقض امنیت شبکه های تبادل اطلاعات، امری است که همواره مورد توجه قانون گذاران بوده است. این موضوع از  آن جهت اهمیت دارد که در عصر حاضر به عنوان عصر الکترونیک، نقض امنیت شبکه های تبادل اطلاعات منجر به نشت اطلاعات و ایجاد زمینه سوءاستفاده می گردد که سوء استفاده از اطلاعات شخصی افراد می تواند، گاه حتی اثرات مخرب بر امنیت زیستی یا ترور شخصیتی اتباع یک کشور را موجب گردد. نظام حقوقی اتحادیه اروپا در این زمینه دربردارنده مقررات مفصلی می باشد که از جمله آنها می توان به مقررات عمومی حفاظت از داده ها مصوب سال 2016 اشاره نمود. این مقررات دربردارنده قواعد مفصلی در زمینه حفظ و پیشگیری از نقض امنیت اطلاعات می باشد.  سوال اصلی که این پژوهش به دنبال پاسخگویی به آن می باشد این است که ماده 32 این مقررات دربردارنده چه سازوکارهایی در جهت پیشگیری از نقض امنیت شبکه های تبادل اطلاعات است؟ برای پاسخگویی به سوال فوق، پژوهش حاضر به روش اسنادی با ارائه مفاد ماده فوق الذکر و تحلیل بند های آن، سازوکارهای تعیین شده در این ماده را در چهار دسته مستعارسازی و رمزگذاری داده های شخصی، اطمینان از محرمانه بودن، یکپارچگی، دردسترس بودن و انعطاف پذیری سیستم ها و خدمات پردازشی، خطرات (ریسک) مرتبط با پردازش اطلاعات و رعایت الزامات شکلی قرار داده و در قسمت نتیجه گیری نیز مبادرت به ارائه برخی توصیه های سیاستگذارانه از جمله نحوه اصلاح قوانین و مقررات مصوب در نظام حقوقی ایران، آگاهی بخشی به مردم از طریق رسانه های ارتباط جمعی و نظام مند نمودن اعطای مجوز به فعالیت شرکت های فراملی به عنوان نتایج حاصل از بررسی ماده 32 مقررات مصوب سال 2016 اتحادیه اروپا نموده است.