Abstract:
در راستای حمایت موثر از دادههای شخصی و اشخاص موضوع داده، مقررات اروپایی حفاظت از داده (GDPR) جنبههای حمایتی مختلفی را موردتوجه قرار داده است. یکی از این حمایتها، چگونگی انتقال بینالمللی دادههای شخصی است. از منظر قانونگذار اتحادیه اروپا حق بر دادهی اشخاص موضوع داده حتی در صورت انتقال دادهای افراد به کشورهای ثالث یا سازمانها بینالمللی نباید تضعیف شود. بدینجهت در چند ماده الزامات متفاوتی را در این خصوص مقرر نموده است. پژوهش حاضر با روش توصیفی و تحلیلی ابزارهای متنوعی که بهعنوان الزامات مربوط به انتقال بینالمللی دادههای شخصی در اتحادیه اروپا قابل اشارهاند را تبیین نموده است. این ابزارها وجود سطح کافی حفاظت از داده (تصمیم کفایت)، شروط قراردادی استاندارد، قواعد الزامی شرکتی، مکانیسم گواهینامه، منشورهای رفتاری و وجود موقعیتهای ویژه ماده 49 GDPR است. با شفافسازی این ابزارها و چگونگی تحقق آنها بهموجب حقوق اتحادیه اروپا، جریان الزامات پیشگفته با روش تطبیقی در نظام حقوقی ایران موردبررسی قرار گرفت. بررسیهای انجامشده حکایت از این دارد که در حقوق ایران به دلیل فقدان قانون خاص نسبت به دادههای شخصی و بالتبع مواد مصرح در خصوص انتقال بینالمللی دادههای شخصی، صرفا برخی الزامات برای انتقال - موقعیتهای مقرر در ماده 49 GDPR - از مسیر دکترین حقوقی و مبانی حقوق ایران قابل جریان است. بدینجهت بهموجب حقوق ایران رضایت شخص موضوع داده، ضرورت قراردادی، وجود منافع حیاتی، جریان منافع عمومی و همچنین غلبه منافع مشروع کنترلکننده میتواند مجوزی برای انتقال بینالمللی دادههای شخصی تلقی شود. باوجوداین توجه قانونگذار به مسئله حیاتی حمایت از دادهی شخصی بهطورکلی و انتقال بینالمللی دادههای شخصی بهطور خاص ضروری است.
In order to fully protect personal data and data subjects, the European Union Data Protection Regulation (GDPR) addresses various aspects of such protection. One of these is the international transfer of personal data. From the point of view of the EU legislature, the rights of data subjects should not be undermined, even if their data is transferred to third countries or international organizations. Therefore, in several articles, it has set different requirements in this regard. In this research, it has been explained by a descriptive method and analysis of various tools that can be mentioned as requirements related to the transfer of personal data in accordance with EU law. These tools are the existence of Adequacy decision, Standard Contractual Clauses, Binding Corporate Rules, Certification mechanism, Codes of Conduct and specific situations of Article 49. Also, the existence of these requirements in the Iranian legal system has been studied in a comparative way. The result is that in Iranian law, due to the lack of specific legislation on personal data and, consequently, the articles authorizing the international transfer of personal data, only some of the requirements mentioned in the European regulation, especially the situations of Article 49, can be applied through the legal doctrine and principles of Iranian law. Therefore, according to Iranian law, the consent of the data subject, the contractual necessity, the existence of vital interests and the public interest, as well as the overriding legitimate interests of the controller can be considered a reason for the international transfer of personal data. However, the legislature's attention to the important issue of personal data protection in general and the international transfer of personal data in particular is essential.