دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمعآوری، پردازش و نگهداری اطلاعات کاربران در سامانهها و سکوهای فضای مجازی در سایت شورای عالی فضای مجازی منتشر شد.
آیتیمن- متن دستورالعمل اجرایی بهبود حفاظت دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاری و شیوه جمعآوری، پردازش و نگهداری اطلاعات کاربران در سامانهها و سکوهای فضای مجازی که در واقع بخش اول از سند سیاستها و الزامات حفاظت از دادهها (مصوب یکصد و بیست و هفتمین جلسه مورخ 11/10/1402) کمیسیون عالی تنظیم مقررات فضای مجازی کشور محسوب میشود، به این شرح است:
«براساس وظایف و اختیارات مصرّح در بندهای 3-2-1- و 3-2-12- آییننامه کمیسیون عالی تنظیم مقررات فضای مجازی کشور (مصوب هشتاد و یکمینجلسه مورخ 27/2/1402 شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران و نیز الزام اشخاص حقوقی غیردولتی و دستگاههای اجرایی کشور (دستگاههای اجرایی موضوع ماده 22 قانون برنامه پنج ساله ششم توسعه اقتصادی، اجتماعی و فرهنگی جمهوری اسلامی ایران) به رعایت شرایط مرتبط با شیوههای جمعآوری، پردازش و نگهداری دادههای کاربران در سامانهها و سکوهای فضای مجازی، تکالیف اجرایی زیر ابلاغ میشود:
-1 کلیه ارایهدهندگان خدمات از طریق سامانهها و سکوهای فضای مجازی موظفاند حداکثر ظرف مدت دو ماه (2ماه) از تاریخ ابلاغ این دستورالعمل:
-1-1 سیاستهای حفظ حریم خصوصی مرتبط با جمعآوری، پردازش و نگهداری دادههای کاربران را بهصورت شفاف شامل موارد زیر اعلام و رضایت صریح آنان مبنی بر پذیرش شرایط را اخذ نمایند:
-1-1-1 کدام اقلام دادهای را و برای چه منظوری از کاربران دریافت و یا جمعآوری میکنند. در این زمینه و در زمان دریافت و جمعآوری، اقلام ضروری را از اقلام اختیاری تفکیک نموده و قابلیت انتخاب را برای کاربر در ارائه اطلاعات اختیاری فراهم کنند؛
-2-1-1 شیوه دریافت و جمعآوری اعم از دریافت مستقیم از کاربران و یا بهصورت غیرمستقیم و از طریق مشخصات تجهیزات و سامانههای در اختیار کاربران را مشخص کنند؛
-3-1-1 نحوه و ابزار اطلاعرسانی تغییر سیاستها را مشخص نموده و مجدداً رضایت صریح کاربران را اخذ و تغییرات الزم را اعمال نمایند؛
تبصره: هرگونه تغییر در شرایط و سیاستها باید حداقل دو ماه (2 ماه) قبل از اعمال، به کاربران اعلام شود.
-2-1 دادهها باید صرفاً درحد اقلام مورد نیاز برای انجام تکالیف قانونی یا ادامه کسب وکار و متناسب با اهدافی که دربند 1-1- برای کاربر شرح داده شده و اجازه و رضایت صریح وی اخذ گردیده است، جمعآوری، پردازش و ذخیرهسازی شود؛
-3-1 درصورت درخواست کاربران برای حذف دادههای مرتبط از قبیل حذف حساب کاربری، تمام و یا بخشی از دادههای مرتبط با فعالیت آنان در سامانه و سکو (مشروط به عدم مغایرت با قوانین و مقررات کشور و مأموریتها و تکالیف دستگاههای اجرایی)، بلافاصله انجام پذیرفته و دادههای حذف شده از سامانه و سکوی برخط، به منظور رعایت مقررات قانونی ازجمله مقررات مواد 662 تا 622 قانون آیین دادرسی کیفری (دادرسی جرایم رایانهای) به پایگاههای داده پشتیبان مستقر در بخش غیربرخط و منفصل از شبکههای ارتباطی عمومی منتقل و تنها برای انجام تکالیف مقرر در قانون، نگهداری یا پردازش شود و پس از خاتمه مواعد قانونی یا قضایی، بهطور کامل امحا شود؛
-4-1 دادههای مربوط به هویت و اطلاعات شخصی کاربران که منجر به شناسایی هویت ایشان میشود، صرفاً باید به صورت رمزنگاری شده ذخیره شود. دستورالعملهای مرتبط با سطوح و شیوههای رمزنگاری براساس وظایف تعیین شده در اسناد مصوب شورایعالی فضای مجازی کشور، توسط دستگاههای مسوول ابلاغ میشود؛
تبصره 1: مسوولیتهای حقوقی وقضایی نقض حریم خصوصی ناشی از عدم رعایت مقررات بند یک این دستورالعمل، بر عهده ارایهدهنده خدمت مربوط است؛
تبصره 2: تمامی اشخاص مشمول مکلفند ظرف مدت سه ماه (3 ماه) از تاریخ ابلاغ این مصوبه، مقررات بند یک این دستورالعمل را برای دادههایی که پیش از تصویب این مقررات جمعآوری، ذخیره یا پردازش نمودهاند، اعمال کرده و درخصوص درخواست حذف، براساس بند 1-3- عمل نمایند.
-2 تنظیمگران بخشی یا مراجع صدور مجوز موظفند استمرار ارائه خدمات یا تمدید مجوزها به سامانهها و سکوهای موضوع این دستورالعمل را منوط به حصول اطمینان از رعایت این مقررات تعیین نموده و در غیراین صورت، اقدامات قانونی الزم را بعمل آوردند؛
-3 ارایهدهندگان خدمات موظفند از طریق سامانهها و سکوهای فضای مجازی، ضمن پیادهسازی شرایط این دستورالعمل در زمان تعیین شده براساس بند یک، پس از فراهم شدن سازوکار ارائه خدمات احراز هویت کاربران براساس قابلیت «زیست بوم هویت معتبر» (مبتنی برنظام هویت معتبر مصوب پنجاه ونهمین جلسه شورای عالی فضای مجازی کشور) توسط سازمان ثبت احوال کشور، با هدف به حداقل رساندن جمعآوری اطلاعات هویتی، حداکثر پس از یکماه (1 ماه) سامانههای خود را با فرآیندهای مربوط منطبق نمایند؛
-4 سازوکار نظارت بر حسن اجرای این مصوبه، توسط مرکز ملی فضای مجازی کشور به دستگاههای نظارتی مزتبط ابلاغ میشود. کلیه دستگاههای اجرایی، مراجع قانونی عهدهدار نظارت یا صدور مجوز و تنظیمگران بخشی، مکلفاند با دستگاههای نظارتی که در این خصوص تعیین میشوند، همکاری نمایند.»