کسب‌وکار چه تکالیفی در حفاظت از داده‌های هویتی دارد؟

پاسخ کلی و کاربردی (با ارجاع به مقررات داخلی مرتبط): 1) اصل مشروعیت و ضرورت جمع‌آوری - مبنای قانونی: قانون تجارت الکترونیکی 1382 (مواد 58 تا 67 درباره حمایت از داده‌ها و حریم خصوصی)، مقررات مبارزه با پولشویی و آیین‌نامه‌های احراز هویت مشتریان (برای کسب‌وکارهای مشمول)، و اصول مندرج در قانون اساسی (اصل 22 و 25) و مصوبات شورای عالی فضای مجازی/وزارت ارتباطات درباره صیانت از داده. - تکلیف: کسب‌وکار فقط در حد ضرورت برای ارائه خدمت/انجام معامله، داده‌های هویتی را جمع‌آوری کند (اصل حداقل‌گرایی داده). درخواست داده‌های مازاد یا نامرتبط می‌تواند خلاف اصل ضرورت و نقض حریم خصوصی باشد. 2) شفافیت و اطلاع‌رسانی به کاربر - مواد 58 و 61 قانون تجارت الکترونیکی بر لزوم اعلام سیاست‌های حفظ حریم خصوصی و امنیت تاکید دارند. - تکلیف: پیش از اخذ داده، هدف، مبنای حقوقی/الزام قانونی، دامنه داده‌های درخواستی، مدت نگهداری، گیرندگان/اشتراک‌گذاری احتمالی، حقوق کاربر (دسترسی، اصلاح، حذف در حدود قانون) و راه ارتباطی مسئول حفاظت داده اعلام شود (Privacy Notice). پذیرش آگاهانه کاربر لازم است، مگر جایی که قانون الزام کند. 3) اخذ رضایت معتبر (در صورت اتکا به رضایت) - رضایت باید آگاهانه