August 9, 2025
2 min read
مقررات عمومی حفاظت از داده (GDPR) یک کنترلکننده داده را اینگونه تعریف میکند: «یک شخص، مقام دولتی، آژانس یا نهاد دیگری که به تنهایی یا به طور مشترک با دیگران، اهداف و ابزارهای پردازش دادههای شخصی را تعیین میکند» (پارلمان و شورای اروپا، 2016). این نقش مستلزم مسئولیت تصمیمگیری در مورد چرایی و چگونگی پردازش دادههای شخصی است. کنترلکننده داده نه تنها هدف استفاده از داده را مشخص میکند، بلکه محدوده دادههای لازم برای دستیابی به آن هدف را نیز تعیین مینماید.
برای مثال، یک کسبوکار کوچک که اطلاعات مشتریان را برای انجام سفارشهای ارسال مدیریت میکند، به عنوان یک کنترلکننده داده شناخته میشود. در چنین مواردی، کسبوکار هدف (ارسال محصولات) را تعیین میکند و مشخص مینماید که چه دادههایی (مثلاً نام، آدرس) ضروری است. زمانی که این کسبوکار ارسال را به شخص ثالثی برونسپاری میکند، آن شخص ثالث به عنوان یک پردازشگر داده عمل میکند و وظایف را به نمایندگی از کنترلکننده، بدون تصمیمگیری در مورد هدف یا ابزارهای داده، انجام میدهد.
GDPR الزام میکند که کنترلکنندگان داده باید یک مبنای قانونی برای پردازش دادههای شخصی داشته باشند، مانند:
کنترلکنندگان موظفند اطمینان حاصل کنند که پردازش قانونی، منصفانه و شفاف است. علاوه بر این، آنها باید اقدامات فنی و سازمانی مناسبی را برای محافظت از دادههای شخصی در برابر دسترسی غیرمجاز، سوءاستفاده یا افشا پیادهسازی کنند. این مسئولیتها بر پاسخگویی و حفاظت از دادهها به صورت پیشفرض و در طراحی تأکید دارند (Voigt & von dem Bussche, 2017).
مسئولیتهای کلیدی یک کنترلکننده داده عبارتند از:
عدم انجام صحیح این وظایف میتواند منجر به جریمههای سنگین تحت اجرای GDPR شود.
این چارچوب به وضوح نقش کنترلکننده داده را به عنوان محور انطباق با GDPR مشخص میکند و کنترل بر پردازش دادههای شخصی را ضمن حفاظت از حقوق حریم خصوصی افراد تضمین مینماید.
منابع:
پارلمان و شورای اروپا. (2016). مقررات (EU) 2016/679 (مقررات عمومی حفاظت از داده). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
Voigt, P., & von dem Bussche, A. (2017). مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR): یک راهنمای عملی. Springer. https://link.springer.com/book/10.1007/978-3-319-57959-7
