طرح جنجالی و جدید مجلس درباره اینترنت

گجت نیوز: طرح حفاظت از داده‌ها و اطلاعات شخصی کاربران به مجلس رفته است. اما این طرح چیست و آیا پس از طرح صیانت فضای مجازی، طرح صیانت دیگری در راه است؟

پس از تصویب اصل ۸۵ شدن طرح صیانت از حقوق کاربران در فضای مجازی که سروصدای زیادی به پا کرد و البته با انتقادات بسیاری هم روبه‌رو شد، حالا به نظر می‌رسد یک طرح صیانت دیگر هم در راه است. به تازگی، ۳۱ نفر از نمایندگان مجلس شورای اسلامی، طرحی را با عنوان طرح حمایت و حفاظت از داده‌ها و اطلاعات شخصی کاربران امضا کرده‌اند و این طرح برای مطرح شدن در صحن علنی به ریاست مجلس تحویل داده شده است.

طرح جنجالی و تازه مجلس درباره اینترنت از راه رسید

اما طرح حفاظت از داده‌ها و اطلاعات شخصی چیست و با تصویب آن قرار است چه اتفاقی رخ دهد؟ در ادامه نگاهی به جزئیات طرح جدید مجلسی‌ها می‌اندازیم:

جزئیات طرح حفاظت از داده‌ها و اطلاعات شخصی

در مقدمه طرح حفاظت از داده‌ها و اطلاعات شخصی آمده که این طرح با هدف اجرای اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به حقوق ملت و همچنین در جهت رفع خلاء‌های قانونی مربوط به داده‌ها و اطلاعات به ویژه آن دسته اطلاعاتی که در فضای مجازی توسط ارائه دهندگان خدمات از مردم و کسب و کار‌ها اخذ، گردآوری و پردازش می‌شود، حمایت و حفاظت از اشخاصی که به نوعی داده‌ها و اطلاعات به او مربوط می‌شوند و در نهایت تکمیل سایر قوانین مرتبط با فضای مجازی ارائه شده است. از جمله قوانینی که در این طرح بر تکمیل آن‌ها تاکید شده است می‌توان به موارد زیر اشاره کرد:

قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات
قانون انتشار و دسترسی آزاد به اطلاعات
قانون تجارت الکترونیکی
قانون مجازات اسلامی – بخش تعزیرات
قانون آیین دادرسی کیفری
قانون نحوه مجازات اشخاصی که در امور سمعی و بصری فعالیت غیر مجاز می‌کنند
قانون برنامه ششم توسعه
قانون سلامت نظام اداری و مبارزه با فساد
طرح حفاظت از داده‌ها

طرح حفاظت از داده‌ها در حال حاضر با امضای ۳۱ نماینده در مجلس مطرح شده که این نمایندگان عبارتند از: مجتبی توانگر، جلال محمودزاده، سید محمد مولوی، جعفر قادری، محسن پیرهادی، مالک شریعتی نیاسر، نصرالله پژمان فر، علی خضریان، محمد باقری بناب، سید مجتبی محفوظی، روح‌الله نجابت، سید لفته احمد نژاد، محسن علیزاده سپیدان، محمد علی پور، محمد صفائی دلوئی، فریدون حسنوند، رسول فرخی میکال، شهباز حسن پوربیگلری، ابراهیم عزیزی شیراز، علی اصغر عنابستانی، موسی احمدی، محمدتقی نقدعلی، بهروز محبی نجم آبادی، مجتبی بخشی پور، جواد نیک بین، یعقوب رضازاده، غلامعلی کوهساری، عبدالجلال ایری، مجید نصیرائی، رضا آریان پور و احمد محرم زاده یخفروزان.

کلیات

هدف اصلی این قانون، صیانت از حیثیت و کرامت اشخاص موضوع داده‌ها و اطلاعات است که از راه‌های زیر تحقق می‌یابد:

۱. تببین حقوق اشخاص موضوع داده‌ها و اطلاعات به ویژه در تعامل با سایر حقوق مشروع

۲. ضابطه‌پذیری پردازش داده‌ها و اطلاعات شخصی

۳. مسئولیت‌پذیری کنشگران پردازش داده‌ها و اطلاعات شخصی

۴. هم‌افزایی امور تنظیمی و نظارتی پردازش داده‌ها و اطلاعات شخصی

۵. جبران‌پذیری زیان‌ها و آسیب‌های ناشی از پردازش داده‌ها و اطلاعات شخصی

در ادامه، نگاهی به تعاریف واژگان به کار رفته در این طرح می‌اندازیم:

۱. داده‌ها و اطلاعات شخصی عبارتند از داده و اطلاعاتی که به تنهایی یا به همراه داده‌های دیگر، شخص موضوع داده را می‌شناساند.

۲. پردازش هرگونه عملیات دستی یا خودکار بر داده‌ها و اطلاعات شخصی از قبیل ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه و تحلیل، طبقه‌بندی، ساختاربندی، تطبیق، ذخیره‌سازی، اشتراک‌گذاری، فرستادن، توزیع و عرضه، انتشار و در دسترس قرار داده و پاک کردن آنها.

۳. کنترل‌گر شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگی‌ها و ابزار‌های یک یا چند عملیات پردازش داده‌ها و اطلاعات شخصی در اختیار پردازشگر را تعیین می‌کند. مصوبه‌ها و تصمیم‌های مراجع صلاحیت‌دار در امور تنظیم‌گری، نظارت، ضابطیت و دادرسی درباره پردازش داده‌ها و اطلاعات شخصی، جز در مواردی که جنبه فردی دارد، کنترل‌گری به شمار نمی‌آید.

۴. پردازشگر شخص ماذون کنترل‌گر در پردازش است. در صورت نبود کنترل‌گر یا عدم امکان اتصاف پردازش به آن، پردازشگر به عنوان کنترل‌گر نیز شناخته می‌شود.

۵. ناظر ویژه کسی است که پیرو حکم صادره از سوی کمیسیون، صلاحیت نظارت بر پردازش داده‌ها و اطلاعات شخصی را می‌یابد.

۶. کمیسیون به اختصار کمیسیون صیانت از داده‌ها و اطلاعات شخصی است.

طرح جنجالی و تازه مجلس درباره اینترنت از راه رسید

این اشخاص مشمول قانون حفاظت از داده‌ها و اطلاعات شخصی می‌شوند:

۱. اتباع ایرانی حقیقی یا حقوقی عمومی یا خصوصی، اعم از آن که داده‌ها و اطلاعات شخصی آن‌ها درون یا بیرون از ایران پردازش شود.

۲. اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که داده‌ها و اطلاعات شخصی آن‌ها از سوی کنترل‌گر یا پردازشگر ایرانی پردازش می‌شود.

حقوق اشخاص موضوع داده‌ها و اطلاعات

بر اساس طرح حفاظت از داده‌ها و اطلاعات شخصی کاربران، پردازش داده‌ها و اطلاعات شخصی مربوط به وضعیت یا موقعیت‌های غیر عمومی، منوط به رضایت شخص موضوع آن‌ها است. اعلام رضایت اشخاص موضوع داده باید با رعایت این شرایط باشد:

۱. پیش از پردازش باشد

۲. بیانگر آگاهی شخص موضوع داده باشد

۳. استنادپذیر باشد

همچنین پردازش داده‌ها و اطلاعات شخصی مربوط به وضعیت یا موقعیت‌های عمومی بدون رضایت اشخاص موضوع آن‌ها در این صورت بلامانع است:

۱. خودش داده‌ها و اطلاعات را در معرض پردازش قرار داده باشد

۲. پردازش داده‌ها و اطلاعات خود را منع یا محدود نکرده باشد

علاوه بر این تبصره‌ای در این بخش قرار داده شده که بر اساس آن رضایت حاصل از فریب یا تهدید یا اکراه شخص موضوع داده معتبر نخواهد بود و در صورت عدم اهلیت وی، رضایت، ولی یا قیم او الزامی است.

در ماده ۶ این بخش نیز گفته شده شخص موضوع داده حق دارد هر زمان، پردازش یا عدم پردازش همه یا بخشی از داده‌ها و اطلاعات را بخواهد، مشروط بر آن که:

۱. داده‌ها و اطلاعات یا نتایج حاصل از آن‌ها نادرست باشد

۲. داده‌ها و اطلاعات یا پذیرش آن‌ها خارج از محدوده رضایت وی باشد

در ماده ۸ نیز گفته شده شخص موضوع داده در شرایط زیر حق دارد به داده‌ها و اطلاعات شخصی خود به منظور پردازش آن‌ها دسترسی داشته باشد:

۱. شامل اطلاعات طبقه‌بندی شده عمومی یا داده‌ها و اطلاعات شخصی دیگران نشود

۲. استنادپذیری داده‌ها و اطلاعات مخدوش نشود

طبق ماده ۹، رضایت به پردازش به معنای آشکاری هویت شخصی موضوع داده‌ها و اطلاعات نیست و حق دارد گمنامی‌اش در محدوده رضایت رعایت شود. در چارچوب این قانون، آشکاری هویت به معنای آگاهی اشخاص غیر مجاز از نام و نام خانوادگی شخص موضوع داده یا شناسه‌های تخصیص یافته و منتسب به آن است.

بر اساس ماده ۱۰ این بخش، پردازش داده‌ها و اطلاعات شخصی در چارچوب قوانین مربوط، بدون رضایت اشخاص موضوع آن‌ها در موارد زیر بلامانع است:

۱. برای صیانت از حیثیت، جان یا مال شخص موضوع داده ضروری باشد

۲. برای صیانت از حیثیت یا جان دیگری یا پیشگیری از زیان مالی شدید به او ضروری باشد

۳. برای پیشگیری یا پایخ به تهدید‌های نظم، ایمنی و امنیت عمومی ضروری باشد

۴. برای کشف جرایم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی ضروری باشد

همچنین بهره‌برداری مالکانه از داده‌ها و اطلاعات شخصی، بدون رضایت شخص موضوع آن‌ها در صورت بلامانع است که:

۱. گمنامی وی حفظ شود

۲. عرفا زیان مادی یا معنوی برای وی نداشته باشد

۳. جلب رضایت وی عملا امکان‌پذیر نباشد

طرح جنجالی و تازه مجلس درباره اینترنت از راه رسید

تنظیم و نظارت بر پردازش داده‌ها و اطلاعات شخصی

تنظیم و نظارت بر پردازش داد‌ه‌ها و اطلاعات شخصی به عهده ارکان زیر خواهد بود:

۱. کمیسیون صیانت از داده‌ها و اطلاعات شخصی

۲. هیات نظارت

۳. کارگروه‌های تخصصی

۴. دبیرخانه اجرایی کمیسیون

کمیسیون صیانت از داده‌ها و اطلاعات شخصی از اعضای زیر تشکیل می‌شود:

۱. وزیر ارتباطات و فناوری اطلاعات به عنوان رئیس کمیسیون

۲. وزیر اطلاعات

۳. وزیر کشور

۴. وزیر اقتصاد و دارایی

۵. وزیر فرهنگ و ارشاد اسلامی

۶. دادستان کل کشور

۷. دبیر شورای عالی و رئیس مرکز ملی فضای مجازی

۸. معاون پیشگیری از وقوع جرم قوه قضاییه

۹. رئیس کمیسیون اصل ۹۰ مجلس شورای اسلامی

۱۰. رئیس کمیسیون حقوقی و قضایی مجلس شورای اسلامی

۱۱. دبیر شورای اجرای فناوری اطلاعات به عنوان دبیر کمیسیون

۱۲. دو نفر از صاحب‌نظران دارای سوابق مرتبط با مدیریت، سیاست‌گذاری، حکمروایی داده‌ها و اطلاعات به پیشنهاد دبیر و تایید رئیس کمیسیون

کمیسیون مذکور، وظایف و اختیارات زیر را بر عهده خواهد داشت:

۱. همسوسازی امور تنظیم و نظارت کارگروه‌های تخصصی با یکدیگر و همچنین با هیات نظارت

۲. تعدیل، تجمیع، تلفیق یا تفکیک وظایف و یا اعضای کارگروه‌های تخصصی بر پایه اختیارات قانونی آن‌ها

۳. تصویب ضوابط و دستورالعمل‌های مربوط به صیانت از داده‌ها و اطلاعات شخصی و آیین نامه داخلی کمیسیون

۴. پیشنهاد مصوبه‌های راهبردی و تقنینی مورد نیاز به مراجع ذی‌ربط

۵. حل و فصل اختلافات بین کارگروه‌های تخصصی و هیات نظارت و همچنین با سایر نهاد‌های حاکمیتی

۶. هماهنگی مصوبه‌ها و تصمیم‌های کمیسیون، کارگروه‌های تخصصی و هیات نظارت با مقررات اداری کشور

۷. صدور احکام روسای کارگروه‌های تخصصی و ناظران ویژه

۸. استماع گزارش هیات نظارت و ناظران ویژه درباره ماموریت‌های محوله از سوی کمیسیون و تصمیم‌گیری درباره آن‌ها

۹. گزارش به مراجع بالادستی درباره وضعیت صیانت از داده‌ها و اطلاعات شخصی و تنظیم و نظارت بر پردازش آن‌ها

۱۰. تصویب شیوه‌نامه انتخاب ناظران ویژه و نظارت کلان بر امور و فعالیت‌های آن‌ها

۱۱. تصویب تخلفات و ضمانت اجرایی‌های انتظامی

جلسه‌های کمیسیون با حضور دو سوم اعضا به رسمیت می‌رسد و مصوبه‌های آن با رای اکثریت حضار به تصویب خواهد رسید. ضوابط مقرر از سوی کارگروه‌های تخصصی در هر یک از امور تنظیمی و نظارتی، پس از تایید کمیسیون لازم‌الاجرا است. اعضای هیات نظارت نیز شامل دادستان کل کشور به عنوان رئیس هیات، رئیس کمیسیون اصل ۹۰ مجلس و دبیر کمیسیون می‌شود. هیات نظارت در محل دادستانی کل کشور تشکیل می‌شود و آیین‌نامه تشکیل و طرز کار هیات و دبیرخانه آن به تصویب کمیسیون می‌رسد.

طرح جنجالی و تازه مجلس درباره اینترنت از راه رسید

تعهدات کنترلگران و پردازشگران

بر اساس ماده ۲۷ طرح حفاظت از داده‌ها و اطلاعات شخصی، همه کارکرد‌های فرایند پردازش داده‌ها و اطلاعات شخصی باید بر پایه دستور یا درخواست مستند کنترلگر باشد. در غیر این صورت، پردازشگر به عنوان کنترلگر پردازش هم شناخته می‌شود. چنانچه هر یک از کارکرد‌های پردازش، کنترلگر یا پردازشگر مختص به خود را داشته باشند، تنها نسبت به همان کارکرد تعهد خواهند داشت.

فراهم کردن همه امکانات، تجهیزات و نیروی انسانی مورد نیاز برای نظارت بر پردازش، حسب مورد بر عهده کنترلگر یا پردازشگر است. توافق کنترلگر یا پردازشگر با اشخاص موضوع داده یا دیگران درباره نظارت آن‌ها بر پردازش، تا جایی معتبر است که به تمهیدات نظارتی این قانون خدشه‌ای وارد نکند.

در ماده ۲۹ این طرح گفته شده در جایی که دریافت رضایت از شخص موضوع داده الزامی است، متناسب با نوع و میزان پردازش، فراوانی اشخاص موضوع داده، شیوه اعلام رضایت از سوی آنها، رضایت‌نامه مربوط تدوین و به عنوان جزو لاینفک توافق پردازش لحاظ می‌شود. همچنین نقش‌آفرینی پردازشگر داده‌ها و اطلاعات شخصی به عنوان یک شغل یا حرفه مستقل، ولو به شکل موردی یا موقت، اعم از انتفاعی یا غیر انتفاعی، مستلزم دارا بودن پروانه یا گواهی از مرجع صلاحیت‌دار مربوط است. دارا بودن پروانه یا گواهی موضوع این ماده، به منزله معافیت از سایر الزامات این قانون به ویژه اخذ رضایت از اشخاص موضوع داده نیست و رعایت آن‌ها الزامی است.

بر اساس ماده ۳۱، هرگونه واگذاری شغلی یا حرفه‌ای داده‌ها و اطلاعات شخصی، علاوه بر رعایت سایر مقررات، مستلزم ثبت در سامانه مرجع صلاحیت‌دار ذی‌ربط است. همچنین هرگونه توافق میان کنترلگران، پردازشگران، اشخاص موضوع داده و سایر ذی‌نفعان که مغایر با احکام و ضوابط الزامی این قانون باشد فاقد اعتبار و باطل است.

طبق ماده ۳۳، کنترلگر یا پردازشگر موظف است اطلاعات زیر را در اختیار یا در دسترس اشخاص موضوع داده قرار دهد:

۱. هدف پردازش، از قبیل امنیتی، اقتصادی، اجتماعی، فرهنگی، سلامت و رفاه و حقوقی و قضایی

۲. نوع و نحوه پردازش، از قبیل تجمیع، تغییر، تجزیه و تحلیل، اشتراک‌گذاری، نگهداری و پاک کردن داده‌ها و اطلاعات

۳. هویت، ماهیت و فعالیت کنترل‌گران یا پردازشگران اصلی و مرتبط

۴. موقعیت‌ها و وضعیت‌های پردازش، اعم از عمومی و غیر عمومی

۵. منابع پردازش، از قبیل پایگاه‌های اطلاعات موسسه‌های عمومی یا خصوصی یا برگزاری آمایش‌ها و پیمایش‌های گوناگون

۶. ویژگی‌ها و شرایط فنی پردازش به ویژه از لحاظ بومی‌گزینی داده‌ها و اطلاعات شخصی اتباع ایرانی موضوع ماده ۴۴ این قانون

۷. گواهی‌ها یا پروانه‌های دریافت شده از مراجع صلاحیت‌دار

۸. سطح ایمنی و امنیت پردازش و دانش و هزینه مترتب بر آن

۹. حق‌ها اشخاص موضوع داده نسبت به پردازش داده‌ها و اطلاعات شخصی‌شان و چگونگی استیفای آن‌ها

۱۰. ناظر ویژه پردازش و سایر مراجع صلاحیت‌دار نظارتی و رسیدگی کننده به شکایات اشخاص موضوع داده

کنترل‌گر یا پردازشگر موظف است ظرف یک ماه از تاریخ دریافت داده‌ها و اطلاعات شخصی، مطابق این ماده اطلاع‌رسانی کند. همچنین هر یک از کارکرد‌ها و مراحل پردازش باید از تمهیدات ایمنی و امنیتی ویژه خود برخوردار باشند. این تمهیدات باید هر سه سطح زیر را در بر بگیرند:

۱. ایمنی و امنیت فیزیکی، شامل زیرساخت‌ها، سازه‌ها و سامانه‌های سخت افزاری مرتبط

۲. ایمنی و امنیت اطلاعات، شامل انواع پردازنده‌های سخت افزاری و نرم افزاری

۳. ایمنی و امنیت انسانی، شامل همه کنترل‌گران و پردازشگران اصلی و مرتبط

در ماده ۳۸ گفته شده، کنترل‌گران و پردازشگران در برابر اشخاص موضوع داده از پاسخگویی کامل برخوردارند؛ اعم از آن که تهداتشان با آن‌ها پیرو عقد لازم، منعقد شده یا در تفاهم‌نامه یا اسنادی مانند خط‌مشی‌های حریم خصوصی مندرج باشد. همچنین بر اساس ماده ۳۹، فرض بر عدم اعراض حق اشخاص موضوع داده‌ها و اطلاعات است و کنترل‌گر یا پردازشگر موظف به ایفای همگی آن‌ها است، مگر این که بتواند خلاف آن را ثابت کند.

در ماده ۴۰ طرح حفاظت از داده‌ها آمده کنترل‌گر یا پردازشگر موظف است اطلاعات زیر را تا ۱۸ ماه پس از پردازش داده‌ها و اطلاعات شخصی نگهداری کند:

۱. داده‌ها و اطلاعات رخدادنگار (Log Files) و داده‌ها و اطلاعات ترافیک خاصل از پردازش داده‌ها و اطلاعات شخصی

۲. اطلاعات هویتی اشخاص موضوع داده‌ها و اطلاعات

۳. انواع پردازش‌های انجام شده بر روی داده مورد نظر و هدف یا اهداف آن

۴. اطلاعات هویتی کنترل‌گران یا پردازشگران اصلی و مرتبط با پردازش مورد نظر

چنانچه صحت و تمامیت داده‌ها و اطلاعات شخصی اصلی مخدوش شده باشد، کنترلگر یا پردازشگر موظف است همه نسخه‌های اصلی و مخدوش شده داده‌ها و اطلاعات را به مدت شش ماه از تاریخ آخرین پردازش موجب خدشه نگهداری کند. طبق ماده ۴۳ این طرح، پردازش داده‌ها و اطلاعات شخصی در موارد زیر، فرامرزی انگاشته می‌شود:

۱. هر یک از کنترلگران یا پردازشگران تابعیت خارجی داشته باشند

۲. سامانه‌های پردازنده داده‌ها و اطلاعات در بیرون از قلمرو حاکمیتی جمهوری اسلامی ایران قرار داشته باشد

۳. پردازنده‌های نرم افزاری در ایران ثبت نشده باشد

در خصوص پردازش داده‌ها و اطلاعات شخصی اتباع ایرانی، رعایت شرایط زیر الزامی است:

۱. تنها در مراکز داده واقع در قلمرو حاکمیتی جمهوری اسلامی ایران یا مراکز داده خارجی مورد تایید مراجع صلاحیت‌دار ذخیره شوند

۲. همه پردازنده‌های سخت افزاری و نرم افزاری از گواهی مراجع صلاحیت‌دار ذی‌ربط برخوردار باشند

۳. بر روی شبکه ارتباطی مطمئن جابه‌جا شوند

۴. صلاحیت کنترل‌گران و پردازشگران خارجی مورد تایید مراجع ذی‌ربط قرار گرفته باشد

۵. پردازش‌های فرامرزی بر پایه ضوابط مقرر به ثبت برسد

طرح جنجالی و تازه مجلس درباره اینترنت از راه رسید

مسئولیت‌ها و ضمانت اجرا‌ها

کنترلگر و پردازشگر در برابر تعهدات خود مسئولیت مستقل دارند و زیان‌دیده می‌تواند همزمان به کنترلگر یا پردازشگر مراجعه و جبران همه زیان‌ها را مطالبه کند. پردازشگر در صورتی معاف از مسئولیت است که:

۱. اقدام وی با دستور یا درخواست کنترلگر مغایرت نداشته باشد

۲. در صورت غیر قانونی دانستن دستور یا درخواست مورد نظر، هشدار لازم را به کنترلگر داده باشد

۳. در صورت زیان‌بار دانستن پردازش، از ناظر ویژه کسب تکلیف کرده باشد

چنانچه شخص موضوع داده حقوق خود را به طور ناروا استیفا و به دیگری زیانی وارد کند، مسئول جبران آن خواهد بود. همچنین در صورت ورود آسیب معنوی ناشی از پردازش یا عدم پردازش داده‌ها و اطلاعات شخصی، متناسب با شرایط و اوضاع و احوال آسیب‌دیده و اطمینان از عدم ورود آسیب‌های بیشتر یا دیگر به او یا به دیگران، از وی اعاده حیثیت به عمل می‌آید. از جمله:

۱. الزام مرتکب به پردازش داده‌ها و اطلاعات یا فراهم کردن زمینه انجام آن برای آسیب دیده

۲. عذرخواهی در وضعیت و موقعیت مشابه

۳. کمک به آسیب دیده برای بازیابی بالینی یا روانی یا موقعیت اجتماعی خود

در ماده ۴۹ طرح حفاظت از داده‌ها و اطلاعات شخصی گفته شده مرجع صلاحیت‌دار قضایی یا انتظامی می‌تواند متناسب با نوع و گستره آسیب حیثیتی وارد شده، میزان جبران‌پذیری و زیان‌های مادی ناشی از آن، مرتکب را به پرداخت جریمه تنبیهی در حق آسیب‌دیده محکوم کند. میزان جریمه با کسب نظر از کمیسیون یا کارگروه‌های تخصصی تعیین و اعمال می‌شود.

مجازات‌های مقرر در این قانون در صورتی اعمال می‌شود که در قوانین دیگر مجازات شدیدتری برای جرم مورد نظر پیش‌بینی نشده باشد. رسیدگی به اتهامات جرایم و تخلفات انتظامی این قانون در صورتی مشروعیت دارد که ضوابط حاکم بر استنادپذیری ادله در هر یک از مراحل پردازش، مستندسازی و ارائه آن‌ها رعایت شده باشد. طبق ماده ۵۱ این قانون، مرتکبان زیر به مجازات مقرر محکوم می‌شوند:

۱. نقض حق رضایت شخص موضوع داده، چنانچه داده‌ها و اطلاعات وضعیت‌ها و موقعیت‌های غیر عمومی پردازش شود به مجازات درجه ۵ و چنانچه داده‌ها و اطلاعات وضعیت‌ها و موقعیت‌های عمومی پردازش شود به مجازات درجه ۶،

۲. ممانعت از استیفای همه یا بخشی از حق درخواست شخص موضوع داده درباره پردازش یا توقف آن یا انجام پردازش داده‌ها و اطلاعات شخصی به وسیله خود وی یا نقض حق گمنامی، به یک یا هر دو مجازات درجه ۶،

۳. نقض تعهدات اعتبارپذیری، اعتمادپذیری یا استنادپذیری پردازش داده‌ها و اطلاعات شخصی، به یک یا هر دو مجازات درجه ۵،

۴. استیفای ناروای حقوق مندرج در این قانون از سوی شخص موضوع داده، با توجه به شدت جرم و زیان‌ها و آسیب‌های وارده به یک یا هر دو مجازات درجه ۶،

۵. کنترل غیر مجاز پردازش از سوی مقاوم صلاحیت‌دار دستگاه اجرایی، علاوه بر مجازات مقرر برای جرم مورد نظر به انفصال از خدمت از شش ماه تا سه سال

۶. امتناع از اجرا یا اجرای نادرست یا اقدام به نحوی که اجرای همه یا بخشی از ضوابط این قانون با دستور کمیسیون یا هیات نظارت یا ناظر ویژه منتفی گردد، مانند نگهداری همه یا بخشی از داده‌ها و اطلاعات، حسب مورد یک یا هر دو مجازات درجه ۵

دادگاه می‌تواند مرتکب را به گذراندن دوره‌های ویژه صیانت از داده‌ها و اطلاعات شخصی و دریافت گواهی‌های مربوط، پیرو شیوه‌نامه مصوب کمیسیون ملزم کند. در صورت وجود یک یا چند شرط زیر، مجازات مرتکب یک یا دو درجه بالاتر تعیین می‌شود:

۱. به واسطه شغل یا حرفه خود مرتکب جرم شده باشد

۲. نسبت به گستره و دامنه فعالیت خود شمار قابل توجهی از اشخاص را هدف قرار داده باشد

۳. زیان مادی یا آسیب معنوی قابل توجه یا جبران‌ناپذیری را وارد کرده باشد

۴. داده‌ها و اطلاعات شخصی حیاتی یا حساس، ابزار یا نتیجه جرم باشند

۵. به شکل گروهی یا سازمان یافته مرتکب شده باشد

بر اساس ماده ۵۳، تخلفات انتظامی مقرر از سوی کمیسیون، موارد زیر را در برمی‌گیرد:

۱. همه جرایم مقرر در این قانون

۲. نقض تعهدات کنترل‌گران و پردازشگران، اعم از اعتبارپذیری، اعتمادپذیری، استنادپذیری و پردازش‌های فرامرزی

۳. نقض تعهدات اشخاص موضوع داده در برابر سایر ذی‌نفعان

۴. نقض تعهدات اشخاص موضوع داده در برابر سایر ذی‌نفعان

۵. نقض تعهدات قراردادی یا سایر اسناد تعهدآور

سایر مقررات

اعتبارات هزینه‌ای مورد نیاز این قانون به نحو متمرکز در ردیف بودجه دبیرخانه و به پیشنهاد وزارت ارتباطات و فناوری اطلاعات در لایحه بودجه سالیانه درج و به تصویب می‌رسد.

در ماده ۵۶ نیز گفته شده از تاریخ تصویب این قانون، کلیه قوانین و مقررات مغایر با آن نسخ می‌گردد و مادام که در قوانین بعدی نسخ و یا اصلاح مواد و مقررات این قانون صریحا و با ذکر نام این قانون و ماده مورد نظر قید نشود، معتبر خواهد بود.