پس از تصویب اصل ۸۵ شدن طرح صیانت از حقوق کاربران در فضای مجازی که سروصدای زیادی به پا کرد و البته با انتقادات بسیاری هم روبهرو شد، حالا به نظر میرسد یک طرح صیانت دیگر هم در راه است. به تازگی، ۳۱ نفر از نمایندگان مجلس شورای اسلامی، طرحی را با عنوان طرح حمایت و حفاظت از دادهها و اطلاعات شخصی کاربران امضا کردهاند و این طرح برای مطرح شدن در صحن علنی به ریاست مجلس تحویل داده شده است.
اما طرح حفاظت از دادهها و اطلاعات شخصی چیست و با تصویب آن قرار است چه اتفاقی رخ دهد؟ در ادامه نگاهی به جزئیات طرح جدید مجلسیها میاندازیم:
جزئیات طرح حفاظت از دادهها و اطلاعات شخصی
در مقدمه طرح حفاظت از دادهها و اطلاعات شخصی آمده که این طرح با هدف اجرای اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به حقوق ملت و همچنین در جهت رفع خلاءهای قانونی مربوط به دادهها و اطلاعات به ویژه آن دسته اطلاعاتی که در فضای مجازی توسط ارائه دهندگان خدمات از مردم و کسب و کارها اخذ، گردآوری و پردازش میشود، حمایت و حفاظت از اشخاصی که به نوعی دادهها و اطلاعات به او مربوط میشوند و در نهایت تکمیل سایر قوانین مرتبط با فضای مجازی ارائه شده است. از جمله قوانینی که در این طرح بر تکمیل آنها تاکید شده است میتوان به موارد زیر اشاره کرد:
قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات
قانون انتشار و دسترسی آزاد به اطلاعات
قانون تجارت الکترونیکی
قانون مجازات اسلامی – بخش تعزیرات
قانون آیین دادرسی کیفری
قانون نحوه مجازات اشخاصی که در امور سمعی و بصری فعالیت غیر مجاز میکنند
قانون برنامه ششم توسعه
قانون سلامت نظام اداری و مبارزه با فساد
طرح حفاظت از دادهها
طرح حفاظت از دادهها در حال حاضر با امضای ۳۱ نماینده در مجلس مطرح شده که این نمایندگان عبارتند از: مجتبی توانگر، جلال محمودزاده، سید محمد مولوی، جعفر قادری، محسن پیرهادی، مالک شریعتی نیاسر، نصرالله پژمان فر، علی خضریان، محمد باقری بناب، سید مجتبی محفوظی، روحالله نجابت، سید لفته احمد نژاد، محسن علیزاده سپیدان، محمد علی پور، محمد صفائی دلوئی، فریدون حسنوند، رسول فرخی میکال، شهباز حسن پوربیگلری، ابراهیم عزیزی شیراز، علی اصغر عنابستانی، موسی احمدی، محمدتقی نقدعلی، بهروز محبی نجم آبادی، مجتبی بخشی پور، جواد نیک بین، یعقوب رضازاده، غلامعلی کوهساری، عبدالجلال ایری، مجید نصیرائی، رضا آریان پور و احمد محرم زاده یخفروزان.
کلیات
هدف اصلی این قانون، صیانت از حیثیت و کرامت اشخاص موضوع دادهها و اطلاعات است که از راههای زیر تحقق مییابد:
۱. تببین حقوق اشخاص موضوع دادهها و اطلاعات به ویژه در تعامل با سایر حقوق مشروع
۲. ضابطهپذیری پردازش دادهها و اطلاعات شخصی
۳. مسئولیتپذیری کنشگران پردازش دادهها و اطلاعات شخصی
۴. همافزایی امور تنظیمی و نظارتی پردازش دادهها و اطلاعات شخصی
۵. جبرانپذیری زیانها و آسیبهای ناشی از پردازش دادهها و اطلاعات شخصی
در ادامه، نگاهی به تعاریف واژگان به کار رفته در این طرح میاندازیم:
۱. دادهها و اطلاعات شخصی عبارتند از داده و اطلاعاتی که به تنهایی یا به همراه دادههای دیگر، شخص موضوع داده را میشناساند.
۲. پردازش هرگونه عملیات دستی یا خودکار بر دادهها و اطلاعات شخصی از قبیل ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه و تحلیل، طبقهبندی، ساختاربندی، تطبیق، ذخیرهسازی، اشتراکگذاری، فرستادن، توزیع و عرضه، انتشار و در دسترس قرار داده و پاک کردن آنها.
۳. کنترلگر شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگیها و ابزارهای یک یا چند عملیات پردازش دادهها و اطلاعات شخصی در اختیار پردازشگر را تعیین میکند. مصوبهها و تصمیمهای مراجع صلاحیتدار در امور تنظیمگری، نظارت، ضابطیت و دادرسی درباره پردازش دادهها و اطلاعات شخصی، جز در مواردی که جنبه فردی دارد، کنترلگری به شمار نمیآید.
۴. پردازشگر شخص ماذون کنترلگر در پردازش است. در صورت نبود کنترلگر یا عدم امکان اتصاف پردازش به آن، پردازشگر به عنوان کنترلگر نیز شناخته میشود.
۵. ناظر ویژه کسی است که پیرو حکم صادره از سوی کمیسیون، صلاحیت نظارت بر پردازش دادهها و اطلاعات شخصی را مییابد.
۶. کمیسیون به اختصار کمیسیون صیانت از دادهها و اطلاعات شخصی است.
این اشخاص مشمول قانون حفاظت از دادهها و اطلاعات شخصی میشوند:
۱. اتباع ایرانی حقیقی یا حقوقی عمومی یا خصوصی، اعم از آن که دادهها و اطلاعات شخصی آنها درون یا بیرون از ایران پردازش شود.
۲. اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که دادهها و اطلاعات شخصی آنها از سوی کنترلگر یا پردازشگر ایرانی پردازش میشود.
حقوق اشخاص موضوع دادهها و اطلاعات
بر اساس طرح حفاظت از دادهها و اطلاعات شخصی کاربران، پردازش دادهها و اطلاعات شخصی مربوط به وضعیت یا موقعیتهای غیر عمومی، منوط به رضایت شخص موضوع آنها است. اعلام رضایت اشخاص موضوع داده باید با رعایت این شرایط باشد:
۱. پیش از پردازش باشد
۲. بیانگر آگاهی شخص موضوع داده باشد
۳. استنادپذیر باشد
همچنین پردازش دادهها و اطلاعات شخصی مربوط به وضعیت یا موقعیتهای عمومی بدون رضایت اشخاص موضوع آنها در این صورت بلامانع است:
۱. خودش دادهها و اطلاعات را در معرض پردازش قرار داده باشد
۲. پردازش دادهها و اطلاعات خود را منع یا محدود نکرده باشد
علاوه بر این تبصرهای در این بخش قرار داده شده که بر اساس آن رضایت حاصل از فریب یا تهدید یا اکراه شخص موضوع داده معتبر نخواهد بود و در صورت عدم اهلیت وی، رضایت، ولی یا قیم او الزامی است.
در ماده ۶ این بخش نیز گفته شده شخص موضوع داده حق دارد هر زمان، پردازش یا عدم پردازش همه یا بخشی از دادهها و اطلاعات را بخواهد، مشروط بر آن که:
۱. دادهها و اطلاعات یا نتایج حاصل از آنها نادرست باشد
۲. دادهها و اطلاعات یا پذیرش آنها خارج از محدوده رضایت وی باشد
در ماده ۸ نیز گفته شده شخص موضوع داده در شرایط زیر حق دارد به دادهها و اطلاعات شخصی خود به منظور پردازش آنها دسترسی داشته باشد:
۱. شامل اطلاعات طبقهبندی شده عمومی یا دادهها و اطلاعات شخصی دیگران نشود
۲. استنادپذیری دادهها و اطلاعات مخدوش نشود
طبق ماده ۹، رضایت به پردازش به معنای آشکاری هویت شخصی موضوع دادهها و اطلاعات نیست و حق دارد گمنامیاش در محدوده رضایت رعایت شود. در چارچوب این قانون، آشکاری هویت به معنای آگاهی اشخاص غیر مجاز از نام و نام خانوادگی شخص موضوع داده یا شناسههای تخصیص یافته و منتسب به آن است.
بر اساس ماده ۱۰ این بخش، پردازش دادهها و اطلاعات شخصی در چارچوب قوانین مربوط، بدون رضایت اشخاص موضوع آنها در موارد زیر بلامانع است:
۱. برای صیانت از حیثیت، جان یا مال شخص موضوع داده ضروری باشد
۲. برای صیانت از حیثیت یا جان دیگری یا پیشگیری از زیان مالی شدید به او ضروری باشد
۳. برای پیشگیری یا پایخ به تهدیدهای نظم، ایمنی و امنیت عمومی ضروری باشد
۴. برای کشف جرایم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی ضروری باشد
همچنین بهرهبرداری مالکانه از دادهها و اطلاعات شخصی، بدون رضایت شخص موضوع آنها در صورت بلامانع است که:
۱. گمنامی وی حفظ شود
۲. عرفا زیان مادی یا معنوی برای وی نداشته باشد
۳. جلب رضایت وی عملا امکانپذیر نباشد
تنظیم و نظارت بر پردازش دادهها و اطلاعات شخصی
تنظیم و نظارت بر پردازش دادهها و اطلاعات شخصی به عهده ارکان زیر خواهد بود:
۱. کمیسیون صیانت از دادهها و اطلاعات شخصی
۲. هیات نظارت
۳. کارگروههای تخصصی
۴. دبیرخانه اجرایی کمیسیون
کمیسیون صیانت از دادهها و اطلاعات شخصی از اعضای زیر تشکیل میشود:
۱. وزیر ارتباطات و فناوری اطلاعات به عنوان رئیس کمیسیون
۲. وزیر اطلاعات
۳. وزیر کشور
۴. وزیر اقتصاد و دارایی
۵. وزیر فرهنگ و ارشاد اسلامی
۶. دادستان کل کشور
۷. دبیر شورای عالی و رئیس مرکز ملی فضای مجازی
۸. معاون پیشگیری از وقوع جرم قوه قضاییه
۹. رئیس کمیسیون اصل ۹۰ مجلس شورای اسلامی
۱۰. رئیس کمیسیون حقوقی و قضایی مجلس شورای اسلامی
۱۱. دبیر شورای اجرای فناوری اطلاعات به عنوان دبیر کمیسیون
۱۲. دو نفر از صاحبنظران دارای سوابق مرتبط با مدیریت، سیاستگذاری، حکمروایی دادهها و اطلاعات به پیشنهاد دبیر و تایید رئیس کمیسیون
کمیسیون مذکور، وظایف و اختیارات زیر را بر عهده خواهد داشت:
۱. همسوسازی امور تنظیم و نظارت کارگروههای تخصصی با یکدیگر و همچنین با هیات نظارت
۲. تعدیل، تجمیع، تلفیق یا تفکیک وظایف و یا اعضای کارگروههای تخصصی بر پایه اختیارات قانونی آنها
۳. تصویب ضوابط و دستورالعملهای مربوط به صیانت از دادهها و اطلاعات شخصی و آیین نامه داخلی کمیسیون
۴. پیشنهاد مصوبههای راهبردی و تقنینی مورد نیاز به مراجع ذیربط
۵. حل و فصل اختلافات بین کارگروههای تخصصی و هیات نظارت و همچنین با سایر نهادهای حاکمیتی
۶. هماهنگی مصوبهها و تصمیمهای کمیسیون، کارگروههای تخصصی و هیات نظارت با مقررات اداری کشور
۷. صدور احکام روسای کارگروههای تخصصی و ناظران ویژه
۸. استماع گزارش هیات نظارت و ناظران ویژه درباره ماموریتهای محوله از سوی کمیسیون و تصمیمگیری درباره آنها
۹. گزارش به مراجع بالادستی درباره وضعیت صیانت از دادهها و اطلاعات شخصی و تنظیم و نظارت بر پردازش آنها
۱۰. تصویب شیوهنامه انتخاب ناظران ویژه و نظارت کلان بر امور و فعالیتهای آنها
۱۱. تصویب تخلفات و ضمانت اجراییهای انتظامی
جلسههای کمیسیون با حضور دو سوم اعضا به رسمیت میرسد و مصوبههای آن با رای اکثریت حضار به تصویب خواهد رسید. ضوابط مقرر از سوی کارگروههای تخصصی در هر یک از امور تنظیمی و نظارتی، پس از تایید کمیسیون لازمالاجرا است. اعضای هیات نظارت نیز شامل دادستان کل کشور به عنوان رئیس هیات، رئیس کمیسیون اصل ۹۰ مجلس و دبیر کمیسیون میشود. هیات نظارت در محل دادستانی کل کشور تشکیل میشود و آییننامه تشکیل و طرز کار هیات و دبیرخانه آن به تصویب کمیسیون میرسد.
تعهدات کنترلگران و پردازشگران
بر اساس ماده ۲۷ طرح حفاظت از دادهها و اطلاعات شخصی، همه کارکردهای فرایند پردازش دادهها و اطلاعات شخصی باید بر پایه دستور یا درخواست مستند کنترلگر باشد. در غیر این صورت، پردازشگر به عنوان کنترلگر پردازش هم شناخته میشود. چنانچه هر یک از کارکردهای پردازش، کنترلگر یا پردازشگر مختص به خود را داشته باشند، تنها نسبت به همان کارکرد تعهد خواهند داشت.
فراهم کردن همه امکانات، تجهیزات و نیروی انسانی مورد نیاز برای نظارت بر پردازش، حسب مورد بر عهده کنترلگر یا پردازشگر است. توافق کنترلگر یا پردازشگر با اشخاص موضوع داده یا دیگران درباره نظارت آنها بر پردازش، تا جایی معتبر است که به تمهیدات نظارتی این قانون خدشهای وارد نکند.
در ماده ۲۹ این طرح گفته شده در جایی که دریافت رضایت از شخص موضوع داده الزامی است، متناسب با نوع و میزان پردازش، فراوانی اشخاص موضوع داده، شیوه اعلام رضایت از سوی آنها، رضایتنامه مربوط تدوین و به عنوان جزو لاینفک توافق پردازش لحاظ میشود. همچنین نقشآفرینی پردازشگر دادهها و اطلاعات شخصی به عنوان یک شغل یا حرفه مستقل، ولو به شکل موردی یا موقت، اعم از انتفاعی یا غیر انتفاعی، مستلزم دارا بودن پروانه یا گواهی از مرجع صلاحیتدار مربوط است. دارا بودن پروانه یا گواهی موضوع این ماده، به منزله معافیت از سایر الزامات این قانون به ویژه اخذ رضایت از اشخاص موضوع داده نیست و رعایت آنها الزامی است.
بر اساس ماده ۳۱، هرگونه واگذاری شغلی یا حرفهای دادهها و اطلاعات شخصی، علاوه بر رعایت سایر مقررات، مستلزم ثبت در سامانه مرجع صلاحیتدار ذیربط است. همچنین هرگونه توافق میان کنترلگران، پردازشگران، اشخاص موضوع داده و سایر ذینفعان که مغایر با احکام و ضوابط الزامی این قانون باشد فاقد اعتبار و باطل است.
طبق ماده ۳۳، کنترلگر یا پردازشگر موظف است اطلاعات زیر را در اختیار یا در دسترس اشخاص موضوع داده قرار دهد:
۱. هدف پردازش، از قبیل امنیتی، اقتصادی، اجتماعی، فرهنگی، سلامت و رفاه و حقوقی و قضایی
۲. نوع و نحوه پردازش، از قبیل تجمیع، تغییر، تجزیه و تحلیل، اشتراکگذاری، نگهداری و پاک کردن دادهها و اطلاعات
۳. هویت، ماهیت و فعالیت کنترلگران یا پردازشگران اصلی و مرتبط
۴. موقعیتها و وضعیتهای پردازش، اعم از عمومی و غیر عمومی
۵. منابع پردازش، از قبیل پایگاههای اطلاعات موسسههای عمومی یا خصوصی یا برگزاری آمایشها و پیمایشهای گوناگون
۶. ویژگیها و شرایط فنی پردازش به ویژه از لحاظ بومیگزینی دادهها و اطلاعات شخصی اتباع ایرانی موضوع ماده ۴۴ این قانون
۷. گواهیها یا پروانههای دریافت شده از مراجع صلاحیتدار
۸. سطح ایمنی و امنیت پردازش و دانش و هزینه مترتب بر آن
۹. حقها اشخاص موضوع داده نسبت به پردازش دادهها و اطلاعات شخصیشان و چگونگی استیفای آنها
۱۰. ناظر ویژه پردازش و سایر مراجع صلاحیتدار نظارتی و رسیدگی کننده به شکایات اشخاص موضوع داده
کنترلگر یا پردازشگر موظف است ظرف یک ماه از تاریخ دریافت دادهها و اطلاعات شخصی، مطابق این ماده اطلاعرسانی کند. همچنین هر یک از کارکردها و مراحل پردازش باید از تمهیدات ایمنی و امنیتی ویژه خود برخوردار باشند. این تمهیدات باید هر سه سطح زیر را در بر بگیرند:
۱. ایمنی و امنیت فیزیکی، شامل زیرساختها، سازهها و سامانههای سخت افزاری مرتبط
۲. ایمنی و امنیت اطلاعات، شامل انواع پردازندههای سخت افزاری و نرم افزاری
۳. ایمنی و امنیت انسانی، شامل همه کنترلگران و پردازشگران اصلی و مرتبط
در ماده ۳۸ گفته شده، کنترلگران و پردازشگران در برابر اشخاص موضوع داده از پاسخگویی کامل برخوردارند؛ اعم از آن که تهداتشان با آنها پیرو عقد لازم، منعقد شده یا در تفاهمنامه یا اسنادی مانند خطمشیهای حریم خصوصی مندرج باشد. همچنین بر اساس ماده ۳۹، فرض بر عدم اعراض حق اشخاص موضوع دادهها و اطلاعات است و کنترلگر یا پردازشگر موظف به ایفای همگی آنها است، مگر این که بتواند خلاف آن را ثابت کند.
در ماده ۴۰ طرح حفاظت از دادهها آمده کنترلگر یا پردازشگر موظف است اطلاعات زیر را تا ۱۸ ماه پس از پردازش دادهها و اطلاعات شخصی نگهداری کند:
۱. دادهها و اطلاعات رخدادنگار (Log Files) و دادهها و اطلاعات ترافیک خاصل از پردازش دادهها و اطلاعات شخصی
۲. اطلاعات هویتی اشخاص موضوع دادهها و اطلاعات
۳. انواع پردازشهای انجام شده بر روی داده مورد نظر و هدف یا اهداف آن
۴. اطلاعات هویتی کنترلگران یا پردازشگران اصلی و مرتبط با پردازش مورد نظر
چنانچه صحت و تمامیت دادهها و اطلاعات شخصی اصلی مخدوش شده باشد، کنترلگر یا پردازشگر موظف است همه نسخههای اصلی و مخدوش شده دادهها و اطلاعات را به مدت شش ماه از تاریخ آخرین پردازش موجب خدشه نگهداری کند. طبق ماده ۴۳ این طرح، پردازش دادهها و اطلاعات شخصی در موارد زیر، فرامرزی انگاشته میشود:
۱. هر یک از کنترلگران یا پردازشگران تابعیت خارجی داشته باشند
۲. سامانههای پردازنده دادهها و اطلاعات در بیرون از قلمرو حاکمیتی جمهوری اسلامی ایران قرار داشته باشد
۳. پردازندههای نرم افزاری در ایران ثبت نشده باشد
در خصوص پردازش دادهها و اطلاعات شخصی اتباع ایرانی، رعایت شرایط زیر الزامی است:
۱. تنها در مراکز داده واقع در قلمرو حاکمیتی جمهوری اسلامی ایران یا مراکز داده خارجی مورد تایید مراجع صلاحیتدار ذخیره شوند
۲. همه پردازندههای سخت افزاری و نرم افزاری از گواهی مراجع صلاحیتدار ذیربط برخوردار باشند
۳. بر روی شبکه ارتباطی مطمئن جابهجا شوند
۴. صلاحیت کنترلگران و پردازشگران خارجی مورد تایید مراجع ذیربط قرار گرفته باشد
۵. پردازشهای فرامرزی بر پایه ضوابط مقرر به ثبت برسد
مسئولیتها و ضمانت اجراها
کنترلگر و پردازشگر در برابر تعهدات خود مسئولیت مستقل دارند و زیاندیده میتواند همزمان به کنترلگر یا پردازشگر مراجعه و جبران همه زیانها را مطالبه کند. پردازشگر در صورتی معاف از مسئولیت است که:
۱. اقدام وی با دستور یا درخواست کنترلگر مغایرت نداشته باشد
۲. در صورت غیر قانونی دانستن دستور یا درخواست مورد نظر، هشدار لازم را به کنترلگر داده باشد
۳. در صورت زیانبار دانستن پردازش، از ناظر ویژه کسب تکلیف کرده باشد
چنانچه شخص موضوع داده حقوق خود را به طور ناروا استیفا و به دیگری زیانی وارد کند، مسئول جبران آن خواهد بود. همچنین در صورت ورود آسیب معنوی ناشی از پردازش یا عدم پردازش دادهها و اطلاعات شخصی، متناسب با شرایط و اوضاع و احوال آسیبدیده و اطمینان از عدم ورود آسیبهای بیشتر یا دیگر به او یا به دیگران، از وی اعاده حیثیت به عمل میآید. از جمله:
۱. الزام مرتکب به پردازش دادهها و اطلاعات یا فراهم کردن زمینه انجام آن برای آسیب دیده
۲. عذرخواهی در وضعیت و موقعیت مشابه
۳. کمک به آسیب دیده برای بازیابی بالینی یا روانی یا موقعیت اجتماعی خود
در ماده ۴۹ طرح حفاظت از دادهها و اطلاعات شخصی گفته شده مرجع صلاحیتدار قضایی یا انتظامی میتواند متناسب با نوع و گستره آسیب حیثیتی وارد شده، میزان جبرانپذیری و زیانهای مادی ناشی از آن، مرتکب را به پرداخت جریمه تنبیهی در حق آسیبدیده محکوم کند. میزان جریمه با کسب نظر از کمیسیون یا کارگروههای تخصصی تعیین و اعمال میشود.
مجازاتهای مقرر در این قانون در صورتی اعمال میشود که در قوانین دیگر مجازات شدیدتری برای جرم مورد نظر پیشبینی نشده باشد. رسیدگی به اتهامات جرایم و تخلفات انتظامی این قانون در صورتی مشروعیت دارد که ضوابط حاکم بر استنادپذیری ادله در هر یک از مراحل پردازش، مستندسازی و ارائه آنها رعایت شده باشد. طبق ماده ۵۱ این قانون، مرتکبان زیر به مجازات مقرر محکوم میشوند:
۱. نقض حق رضایت شخص موضوع داده، چنانچه دادهها و اطلاعات وضعیتها و موقعیتهای غیر عمومی پردازش شود به مجازات درجه ۵ و چنانچه دادهها و اطلاعات وضعیتها و موقعیتهای عمومی پردازش شود به مجازات درجه ۶،
۲. ممانعت از استیفای همه یا بخشی از حق درخواست شخص موضوع داده درباره پردازش یا توقف آن یا انجام پردازش دادهها و اطلاعات شخصی به وسیله خود وی یا نقض حق گمنامی، به یک یا هر دو مجازات درجه ۶،
۳. نقض تعهدات اعتبارپذیری، اعتمادپذیری یا استنادپذیری پردازش دادهها و اطلاعات شخصی، به یک یا هر دو مجازات درجه ۵،
۴. استیفای ناروای حقوق مندرج در این قانون از سوی شخص موضوع داده، با توجه به شدت جرم و زیانها و آسیبهای وارده به یک یا هر دو مجازات درجه ۶،
۵. کنترل غیر مجاز پردازش از سوی مقاوم صلاحیتدار دستگاه اجرایی، علاوه بر مجازات مقرر برای جرم مورد نظر به انفصال از خدمت از شش ماه تا سه سال
۶. امتناع از اجرا یا اجرای نادرست یا اقدام به نحوی که اجرای همه یا بخشی از ضوابط این قانون با دستور کمیسیون یا هیات نظارت یا ناظر ویژه منتفی گردد، مانند نگهداری همه یا بخشی از دادهها و اطلاعات، حسب مورد یک یا هر دو مجازات درجه ۵
دادگاه میتواند مرتکب را به گذراندن دورههای ویژه صیانت از دادهها و اطلاعات شخصی و دریافت گواهیهای مربوط، پیرو شیوهنامه مصوب کمیسیون ملزم کند. در صورت وجود یک یا چند شرط زیر، مجازات مرتکب یک یا دو درجه بالاتر تعیین میشود:
۱. به واسطه شغل یا حرفه خود مرتکب جرم شده باشد
۲. نسبت به گستره و دامنه فعالیت خود شمار قابل توجهی از اشخاص را هدف قرار داده باشد
۳. زیان مادی یا آسیب معنوی قابل توجه یا جبرانناپذیری را وارد کرده باشد
۴. دادهها و اطلاعات شخصی حیاتی یا حساس، ابزار یا نتیجه جرم باشند
۵. به شکل گروهی یا سازمان یافته مرتکب شده باشد
بر اساس ماده ۵۳، تخلفات انتظامی مقرر از سوی کمیسیون، موارد زیر را در برمیگیرد:
۱. همه جرایم مقرر در این قانون
۲. نقض تعهدات کنترلگران و پردازشگران، اعم از اعتبارپذیری، اعتمادپذیری، استنادپذیری و پردازشهای فرامرزی
۳. نقض تعهدات اشخاص موضوع داده در برابر سایر ذینفعان
۴. نقض تعهدات اشخاص موضوع داده در برابر سایر ذینفعان
۵. نقض تعهدات قراردادی یا سایر اسناد تعهدآور
سایر مقررات
اعتبارات هزینهای مورد نیاز این قانون به نحو متمرکز در ردیف بودجه دبیرخانه و به پیشنهاد وزارت ارتباطات و فناوری اطلاعات در لایحه بودجه سالیانه درج و به تصویب میرسد.
در ماده ۵۶ نیز گفته شده از تاریخ تصویب این قانون، کلیه قوانین و مقررات مغایر با آن نسخ میگردد و مادام که در قوانین بعدی نسخ و یا اصلاح مواد و مقررات این قانون صریحا و با ذکر نام این قانون و ماده مورد نظر قید نشود، معتبر خواهد بود.