دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع آوری، پردازش و نگهداری اطلاعات کاربران در سامانه ها و سکوهای فضای مجازی
(بخش اول از سند سیاست ها و الزامات حفاظت از داده ها)
مصوب یکصد و بیست و هفتمین جلسه مورخ ۱۴۰۲/۱۰/۱۱ کمیسیون عالی تنظیم مقررات فضای مجازی کشور
براساس وظایف و اختیارات مصرح در بندهای “۳-۲-۱-” و “۳-۲-۱۲-” آیین نامه کمیسیون عالی تنظیم مقررات فضای مجازی کشور (مصوب هشتاد و یکمین جلسه مورخ ۱۴۰۱/۰۲/۲۷ شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران و نیز الزام اشخاص حقوقی غیر دولتی و دستگاه های اجرایی کشور (دستگاه های اجرایی موضوع ماده (۲۹) قانون برنامه پنج ساله ششم توسعه اقتصادی، اجتماعی و فرهنگی جمهوری اسلامی ایران) به رعایت شرایط مرتبط با شیوه های جمع آوری، پردازش و نگهداری داده های کاربران در سامانه ها و سکوهای فضای مجازی تکالیف اجرایی زیر ابلاغ می شود:
۱- کلیه ارائه دهندگان خدمات از طریق سامانه ها و سکوهای فضای مجازی موظف اند حداکثر ظرف مدت دو ماه (۲ ماه) از تاریخ ابلاغ این دستور العمل:
۱-۱- سیاست های حفظ حریم خصوصی مرتبط با جمع آوری، پردازش و نگهداری داده های کاربران را به صورت شفاف شامل موارد زیر اعلام و رضایت صریح آنان مبنی بر پذیرش شرایط را اخذ نمایند:
۱-۱-۱- کدام اقلام داده ای را و برای چه منظوری از کاربران دریافت و یا جمع آوری می کنند. در این زمینه و در زمان دریافت و جمع آوری، اقلام ضروری را از اقلام اختیاری تفکیک نموده و قابلیت انتخاب را برای کاربر در ارائه اطلاعات اختیاری فراهم کنند؛
-۲-۱-۱- شیوه دریافت و جمع آوری اعم از دریافت مستقیم از کاربران و یا به صورت غیر مستقیم و از طریق مشخصات تجهیزات و سامانه های در اختیار کاربران را مشخص کنند؛
۳-۱-۱- نحوه و ابزار اطلاع رسانی تغییر سیاست ها را مشخص نموده و مجدداً رضایت صریح کاربران را اخذ و تغییرات لازم را اعمال نمایند؛
تبصره: هرگونه تغییر در شرایط و سیاستها باید حداقل دو ماه ۲ ماه قبل از اعمال به کاربران اعلام شود.
۲-۱- داده ها باید صرفاً در حد اقلام مورد نیاز برای انجام تکالیف قانونی یا ادامه کسب و کار و متناسب با اهدافی که در بند “۱-۱-” برای کاربر شرح داده شده و اجازه و رضایت صریح وی اخذ گردیده است، جمع آوری، پردازش و ذخیره سازی شود؛
۳-۱- در صورت درخواست کاربران برای حذف داده های مرتبط از قبیل حذف حساب کاربری، تمام و یا بخشی از داده های مرتبط با فعالیت آنان در سامانه و سکو (مشروط به عدم مغایرت با قوانین و مقررات کشور و مأموریت ها و تکالیف دستگاه های اجرایی)، بلافاصله انجام پذیرفته و داده های حذف شده از سامانه و سکوی برخط، به منظور رعایت مقررات قانونی از جمله مقررات مواد (۶۶۷) تا (۶۷۰) قانون آیین دادرسی کیفری (دادرسی جرایم رایانه ای) به پایگاه های داده پشتیبان مستقر در بخش غیر بر خط و منفصل از شبکه های ارتباطی عمومی منتقل و تنها برای انجام تکالیف مقرر در قانون نگهداری یا پردازش شود و پس از خاتمه مواعد قانونی یا قضایی، به طور کامل امحاء شود؛
-۴-۱ داده های مربوط به هویت و اطلاعات شخصی کاربران که منجر به شناسایی هویت ایشان می شود، صرفاً باید به صورت رمزنگاری شده ذخیره شود. دستورالعمل های مرتبط با سطوح و شیوه های رمزنگاری بر اساس وظایف تعیین شده در اسناد مصوب شورای عالی فضای مجازی کشور، توسط دستگاه های مسئول ابلاغ می شود؛
تبصره ۱: مسئولیت های حقوقی و قضایی نقض حریم خصوصی ناشی از عدم رعایت مقررات بند یک این دستور العمل بر عهده ارائه دهنده خدمت مربوط است؛
تبصره ۲: تمامی اشخاص مشمول مکلف اند ظرف مدت سه ماه (۳ ماه) از تاریخ ابلاغ این مصوبه، مقررات بند یک این دستور العمل را برای داده هایی که پیش از تصویب این مقررات جمع آوری، ذخیره یا پردازش نموده اند، اعمال کرده و در خصوص درخواست حذف، بر اساس بند “۱-۳-” عمل نمایند.
۲- تنظیم گران بخشی یا مراجع صدور مجوز موظف اند استمرار ارائه خدمات یا تمدید مجوزها به سامانه ها و سکوهای موضوع این دستور العمل را منوط به حصول اطمینان از رعایت این مقررات تعیین نموده و در غیر این صورت، اقدامات قانونی لازم را بعمل آوردند؛
۳- ارائه دهندگان خدمات موظف اند از طریق سامانه ها و سکوهای فضای مجازی ضمن پیاده سازی شرایط این دستورالعمل در زمان تعیین شده بر اساس بند یک، پس از فراهم شدن سازوکار ارائه خدمات احراز هویت کاربران بر اساس قابلیت (زیست بوم هویت معتبر) (مبتنی بر نظام هویت معتبر مصوب پنجاه و نهمین جلسه شورای عالی فضای مجازی کشور) توسط سازمان ثبت احوال کشور، با هدف به حداقل رساندن جمع آوری اطلاعات هویتی، حداکثر پس از یک ماه (۱ماه)، سامانه های خود را با فرآیندهای مربوط منطبق نمایند؛
۴- ساز و کار نظارت بر حسن اجرای این مصوبه، توسط مرکز ملی فضای مجازی کشور به دستگاه های نظارتی مرتبط ابلاغ می شود. کلیه دستگاه های اجرایی، مراجع قانونی عهده دار نظارت یا صدور مجوز و تنظیم گران بخشی، مکلف اند با دستگاه های نظارتی که در این خصوص تعیین می شوند، همکاری نمایند.