ویکی حقوق

حمایت از داده های شخصی و محدودیت های آن در حقوق ایران و اتحادیه اروپا


حمایت از داده های شخصی و محدودیت های آن در حقوق ایران و اتحادیه اروپا عنوان رساله ای است که توسط مهدیه لطیف زاده، با راهنمایی سید محمدمهدی قبولی درافشان و با مشاوره سعید محسنی و محمد عابدی در سال ۱۴۰۰ و در مقطع دکتری دانشگاه فردوسی مشهد دفاع گردید.

حمایت از داده های شخصی و محدودیت های آن در حقوق ایران و اتحادیه اروپا
عنوانحمایت از داده های شخصی و محدودیت های آن در حقوق ایران و اتحادیه اروپا
رشتهحقوق خصوصی
دانشجومهدیه لطیف زاده
استاد راهنماسید محمدمهدی قبولی درافشان
استاد مشاورسعید محسنی، محمد عابدی
مقطعدکتری
سال دفاع۱۴۰۰
دانشگاهدانشگاه فردوسی مشهد

چکیده

توسعه ی روزافزون بسترهای پردازش داده ی شخصی، ورود دستگاه های هوشمند به زندگی اشخاص، سهولت استفاده از داده های شخصی افراد و از سویی دیگر ارزشمندی داده های شخصی، ضرورت حمایت قانونی از اشخاص موضوع داده و داده های شخصی آن ها را افزایش داده است. در این راستا، در سال ۲۰۱۶ پارلمان و شورای اروپا، مقررات عمومی حفاظت از داده (GDPR) را تصویب نمودند. این مقررات در سال ۲۰۱۸ در تمامی کشورهای عضو اتحادیه اروپا لازم الاجرا شده است و جامع ترین سند قانونی، در خصوص حمایت حداکثری از داده ی شخصی است. GDPR جنبه های متفاوتی را در خصوص داده های شخصی موردتوجه قرار داده و در جهت حمایت، الزامات مختلفی را مقرر نموده است. در این پژوهش، تبیین مواد مختلف GDPR و چگونگی حمایت از داده های شخصی به موجب این مقررات، با روشی توصیفی– تحلیلی انجام شده است و جریان حمایت های GDPR در حقوق ایران، با روشی تطبیقی، امکان سنجی شده است. این امر به منظور جریان حمایت های موثر از داده های شخصی در نظام حقوقی ایران، هم چنین تدوین قانونی خاص در این زمینه است. بررسی های انجام شده در این پژوهش، حکایت از این دارد که یکی از مهم ترین جنبه های حمایت از داده های شخصی بر اساس GDPR، وجود مبانی حقوقی پردازش است. به موجب مواد مربوطه، کنترل کننده ها باید مبنای حقوقی معتبر جهت پردازش داده های شخصی داشته باشند تا تصرف در داده های شخصی مجاز باشد. در صورت فقدان این مبانی، پردازش ممنوع و غیرقانونی است. هم چنین به موجب مواد مختلفی از GDPR، اشخاص موضوع داده از حقوق متعددی برخوردار هستند. این حقوق در راستای تحقق حمایت جامع از داده های شخصی و کنترل بیشتر افراد نسبت به داده های شخصی شان است. در مقابل اشخاص پردازش کننده ی داده (کنترل کننده و پردازنده) تعهدات مختلفی را در راستای حمایت از داده های شخصی دارند. تعهدات مقرر در GDPR به طور کامل برای کنترل کننده ها، به عنوان مسیول اصلی پردازش، وجود دارند. پردازنده ها نیز که به نمایندگی از کنترل کننده ها در خصوص پردازش عمل می نمایند، ملزم به رعایت برخی از تعهدات موجود در این مقررات هستند. فارغ از اینکه GDPR نسبت به داده های شخصی و اشخاص موضوع داده حمایت های جامعی دارد، بر اساس برخی از مواد این مقررات، حقوق اشخاص موضوع داده و اصول حاکم بر پردازش محدودشده است. به دیگر سخن اشخاص پردازش کننده ی داده، از تمام یا برخی از تعهداتشان معاف شده–اند. این موارد که با عنوان محدودیت های حمایت از داده های شخصی قابل اشاره هستند، در خصوص تقابل حق بر داده های شخصی با حقوق مهمی ازجمله حقوق برخاسته از منافع جمعی و عمومی، حق آزادی بیان و اطلاعات است. درنهایت GDPR با تصریح بر ضمانت اجراهای مختلف ازجمله ضمانت اجراهای مدنی و کیفری به حمایت های همه جانبه ی خود جامه ی عمل پوشانیده است. گفتنی است در این پژوهش، چگونگی حمایت از داده های شخصی در حقوق ایران و امکان سنجی جریان حمایت های موجود در GDPR، به دلیل فقدان قانون مستقل در این زمینه، از خلال قوانین موضوعه مرتبط، نظریات دکترین، مبانی حقوقی ایران به ویژه فقه امامیه استنباط گردید. در این راستا مشخص شد، اکثر حمایت های موجود در GDPR نسبت به داده های شخصی، در حقوق ایران نیز قابلیت تحقق دارد؛ لیکن بالفعل شدن این حمایت ها و جریان کامل آن ها، منوط به تصریح قانون گذار است. درواقع نظام حقوقی ایران در صورتی می تواند به طور کامل از داده های شخصی حمایت نماید که علاوه بر بسترهای کلی موجود، به طور مستقل به این امر مهم بپردازد و قانونی دقیق را به این امر اختصاص دهد.

ساختار و فهرست رساله

مقدمه

الف– تبیین مسیله

ب– ضرورت و هدف پژوهش

ج– پیشینه پژوهش

د– سوالات پژوهش

ه–– فرضیات پژوهش

و– روش شناسی پژوهش

ز– کاربردهای پژوهش

ح– ساختار کلی پژوهش

فصل نخست – شناسایی مفاهیم و معرفی بسترهای حمایت از داده ی شخصی

مبحث نخست– شناسایی مفاهیم اصلی و مقایسه آن ها با اصطلاحات مشابه

گفتار نخست– شناسایی مفاهیم اصلی

بند نخست– داده ی شخصی

بند دوم – پردازش

بند سوم – کنترل کننده

بند چهارم – پردازنده

بند پنجم– سایر واژگان پرکاربرد

گفتار دوم– مقایسه مفاهیم اصلی با اصطلاحات مشابه

بند نخست– حمایت از داده ی شخصی و حریم خصوصی

بند دوم– حمایت از داده ی شخصی و امنیت اطلاعات

مبحث دوم – اسناد قانونی حمایت از داده ی شخصی در حقوق اتحادیه اروپا و ایران

گفتار نخست– اسناد قانونی حمایت از داده ی شخصی در حقوق اتحادیه اروپا

بند نخست– معرفی مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)

بند دوم – قلمرو مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)

الف– دامنه ی ایجابی مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)

ب – دامنه ی سلبی مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)

بند سوم– وجوه امتیاز مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)

گفتار دوم– اسناد قانونی حمایت از داده ی شخصی در حقوق ایران

بند نخست– قانون اساسی

بند دوم– سیاست های کلی ابلاغی از سوی مقام معظم رهبری

بند سوم– قوانین عادی

بند چهارم– منشورها و مصوبات دولت

بند پنجم– پیش نویس لایحه ی صیانت و حفاظت از داده های شخصی و طرح حمایت و حفاظت از داده و اطلاعات شخصی

مبحث سوم– معرفی بستر حقوقی مناسب جهت حمایت از داده ی شخصی در نظام حقوقی ایران، از طریق شناسایی ماهیت داده ی شخصی و شفاف سازی حق بر آن

گفتار نخست– شناسایی ماهیت داده ی شخصی

گفتار دوم– شفاف سازی حق بر داده ی شخصی

بند نخست– حمایت از داده ی شخصی بر اساس حقوق مالکیت معنوی

الف– حق بر داده ی شخصی و حق پایگاه داده

ب– حق بر داده ی شخصی و حقوق پدیدآورنده ی آثار ادبی و هنری

ج– حق بر داده ی شخصی و حقوق مالکیت صنعتی

بند دوم– حمایت از داده ی شخصی بر اساس حق مالکیت ویژه

فصل دوم– الزامات پردازش داده ی شخصی در جهت حمایت

مبحث نخست – اصول کلی مربوط به پردازش داده ی شخصی

گفتار نخست– اصل مشروعیت پردازش (مبانی حقوقیِ پردازش داده ی شخصی)

بند نخست– پردازش بر اساس رضایت شخص موضوع داده

الف– تبیین رضایت به عنوان مبنای حقوقی پردازش به موجب GDPR

ب– بررسی رضایت به عنوان مبنای حقوقی پردازش در نظام حقوقی ایران

بند دوم– پردازش بر اساس سایر مبانی حقوقی

الف– پردازش به دلیل ضرورت قراردادی به موجب GDPR و بررسی آن در نظام حقوقی ایران

ب– پردازش بر اساس تعهد قانونی کنترل کننده، جهت انجام وظیفه به نفع عموم یا اِعمال اختیارات رسمی واگذارشده به کنترل کننده به موجب GDPR و بررسی آن در نظام حقوقی ایران

ج– پردازش به دلیل حفاظت از منافع حیاتی افراد به موجب GDPR و بررسی آن در نظام حقوقی ایران

د –پردازش به دلیل منافع مشروع کنترل کننده یا شخص ثالث به موجب GDPR و بررسی آن در نظام حقوقی ایران

گفتار دوم– سایر اصول حاکم بر پردازش

بند نخست– تبیین سایر اصول حاکم بر پردازش به موجب GDPR

الف– اصل محدودیت هدف

ب– اصل حداقل سازی داده ها

ج– اصل صحت داده ها

د– اصل محدودیت ذخیره سازی داده ها

ه– اصل تمامیت و محرمانگی داده ها

بند دوم– بررسی سایر اصول حاکم بر پردازش در نظام حقوقی ایران

مبحث دوم – پردازش داده ی شخصی خاص

گفتار نخست– پردازش داده ی شخصی حساس

بند نخست– تبیین پردازش داده ی شخصی حساس به موجب GDPR

بند دوم– بررسی پردازش داده ی شخصی حساس در نظام حقوقی ایران

گفتار دوم– پردازش داده ی شخصی مربوط به محکومیت و جرایم کیفری

بند نخست– تبیین پردازش داده ی شخصی مربوط به محکومیت و جرایم کیفری به موجب GDPR

بند دوم– بررسی پردازش داده ی شخصی مربوط به محکومیت و جرایم کیفری در نظام حقوقی ایران

گفتار سوم– پردازش داده ی شخصی مربوط به کودکان

بند نخست– تبیین پردازش داده ی شخصی مربوط به کودکان به موجب GDPR

بند دوم– بررسی پردازش داده ی شخصی مربوط به کودکان در نظام حقوقی ایران

فصل سوم– حقوق شخص موضوع داده و تعهدات کنترل کننده و پردازنده

مبحث نخست – حقوق شخص موضوع داده

گفتار نخست– تبیین حقوق شخص موضوع داده به موجب GDPR

بند نخست– حق دریافت اطلاعات از کنترل کننده

بند دوم – دسترسی به داده های شخصی

بند سوم– حق تصحیح، حق حذف (فراموش شدن) و حق محدودیت پردازش

الف– حق تصحیح

ب– حق حذف (فراموش شدن)

ج– حق محدودیت پردازش

بند چهارم– حق انتقال داده

بند پنجم– حق اعتراض

بند ششم – عدم ارزیابی با تصمیمات خودکار

گفتار دوم– بررسی حقوق اشخاص موضوع داده در نظام حقوقی ایران

مبحث دوم– تعهدات کنترل کننده و پردازنده

گفتار نخست– تبیین تعهدات کنترل کننده و پردازنده به موجب GDPR

بند نخست– کنترل کننده پاسخ گو و مسیول اصلی پردازش

بند دوم– تعهد کنترل کننده به انتخاب پردازنده ی مناسب

بند سوم– حفظ سوابق فعالیت های پردازش

بند چهارم– همکاری با مراجع نظارتی

بند پنجم– تضمین امنیت پردازش (اجرای اقدامات فنی و سازمانی مناسب)

بند ششم– اطلاع رسانی و ابلاغ نقض داده ی شخصی به مراجع نظارتی و اشخاص موضوع داده

الف– تعهد اطلاع رسانی به مرجع نظارتی

ب– تعهد ابلاغ به شخص موضوع داده

بند هفتم– انتصاب مامور حفاظت از داده

بند هشتم– جمع آوری تعهدات پردازنده

گفتار دوم– بررسی تعهدات کنترل کننده و پردازنده در نظام حقوقی ایران

فصل چهارم – محدودیت های حمایت از اشخاص موضوع داده و ضمانت اجرای نقض حمایت از داده ی شخصی

مبحث نخست– محدودیت های حمایت از اشخاص موضوع داده

گفتار نخست– محدودیت حمایت در جهت حفاظت از حقوق و آزادی های بنیادین

بند نخست– تبیین محدودیت حمایت در جهت حفاظت از حقوق و آزادی های بنیادین (موضوع ماده

GDPR)

بند دوم– بررسی محدودیت حمایت در جهت حفاظت از حقوق و آزادی های بنیادین در نظام حقوقی ایران

گفتار دوم– محدودیت های حمایت جهت پردازش در خصوص حق آزادی بیان و اطلاعات

بند نخست– تبیین محدودیت های حمایت جهت پردازش در خصوص حق آزادی بیان و اطلاعات (موضوع ماده

GDPR)

بند دوم– بررسی محدودیت های حمایت جهت پردازش در خصوص حق آزادی بیان و اطلاعات در نظام حقوقی ایران

گفتار سوم– محدودیت های حمایت به جهت پردازش برای اهداف بایگانی به نفع عموم، اهداف تحقیقات علمی، تاریخی یا آماری

بند نخست– تبیین محدودیت های حمایت به جهت پردازش برای اهداف بایگانی به نفع عموم (موضوع ماده

GDPR) و بررسی آن در نظام حقوقی ایران

بند دوم– تبیین محدودیت های حمایت به جهت پردازش برای اهداف تحقیقات علمی، تاریخی و آماری (موضوع ماده

GDPR) و بررسی آن در نظام حقوقی ایران

مبحث دوم– ضمانت اجرای نقض حمایت از داده ی شخصی

گفتار نخست– اعمال اختیارات تادیبی (اصلاحی) مراجع نظارتی

بند نخست– چگونگی اعمال اختیارات تادیبی (اصلاحی) مراجع نظارتی به موجب GDPR

بند دوم– بررسی اختیارات تادیبی (اصلاحی) مراجع نظارتی در نظام حقوقی ایران

گفتار دوم– حق طرح دعوی برای اطراف دخیل در پردازش

بند نخست– تبیین حق طرح دعوی به موجب GDPR

الف– طرح دعوی به مرجع نظارتی (مرجع غیر قضایی)

ب– طرح دعوی به دادگاه

۱– طرح دعوی توسط اشخاص پردازش کننده داده علیه مرجع نظارتی

۲– طرح دعوی توسط اشخاص موضوع داده علیه مرجع نظارتی و اشخاص پردازش کننده داده

بند دوم– بررسی حق طرح دعوی در نظام حقوقی ایران

گفتار سوم– حق جبران خسارت (ضمانت اجرای مدنی)

بند نخست – تبیین حق جبران خسارت در صورت پردازش توسط هوش انسانی

الف– تبیین حق جبران خسارت در صورت پردازش توسط هوش انسانی به موجب GDPR

ب– بررسی حق جبران خسارت در صورت پردازش توسط هوش انسانی در نظام حقوقی ایران

بند دوم – جبران خسارت در صورت پردازش توسط هوش مصنوعی به موجب GDPR و بررسی آن در نظام حقوقی ایران

گفتار چهارم– جزای نقدی (ضمانت اجرای کیفری)

بند نخست– چگونگی اعمال جزای نقدی به موجب GDPR

بند دوم– بررسی جزای نقدی در نظام حقوقی ایران

نتیجه گیری و پیشنهادها

۱– نتایج حاصله از تبیین GDPR و امکان سنجی جریان این نتایج در نظام حقوقی ایران ۳۸۹ ۱–۱– نتایج ۳۸۹ ۱–۲– پیشنهادها

۲– نتایج بررسی پیش نویس لایحه ی صیانت و حفاظت از داده های شخصی و طرح حمایت و حفاظت از داده و اطلاعات شخصی و پیشنهاد هایی در جهت اصلاح

۲–۱– بررسی باب یکم پیش نویس و بخش یکم طرح (کلیات) همراه با مفاد پیشنهادی

۲–۲ بررسی باب دوم پیش نویس و بخش دوم طرح (حقوق اشخاص موضوع داده ها) همراه با مفاد پیشنهادی

۲–۳– بررسی باب سوم پیش نویس و بخش چهارم طرح (تعهدات کنترل گران و پردازشگران) همراه با مفاد پیشنهادی

۲–۴– بررسی باب چهارم پیش نویس و بخش سوم طرح (تنظیم و نظارت بر پردازش داده های شخصی) همراه با مفاد پیشنهادی

۲–۵– بررسی باب پنجم پیش نویس و بخش پنجم طرح (مسیولیت ها و ضمانت اجراها)

۲–۶– مفاد پیشنهادی در خصوص سایر جنبه های حمایت از داده ی شخصی، غیر موجود در پیش نویس لایحه ی صیانت و حفاظت از داده های شخصی و طرح حمایت و حفاظت از داده و اطلاعات شخصی

منابع

چکیده انگلیسی

کلیدواژه ها

  • اشخاص موضوع داده
  • پردازش داده ی شخصی
  • پردازنده
  • حریم خصوصی اطلاعاتی
  • کنترل کننده
  • مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)
  • حقوق ایران
برگرفته از «https://wikihoghoogh.net/w/index.php?title=حمایت_از_داده_های_شخصی_و_محدودیت_های_آن_در_حقوق_ایران_و_اتحادیه_اروپا&oldid=344468»