حریم خصوصی
سیاست حفظ و پردازش دادههای شخصی
١. هدف و دامنه سیاست
پردازش و حفاظت از دادههای شخصی بهصورت منطبق با قانون، برای مسئول داده اهمیت فراوانی دارد.
عنوان مسئول داده: دکتر دانشیار عطاء جان
نشانی مسئول داده: استانبول، شیشلی، محله اینونو، خیابان نظامیه، شماره ٩، واحد ١، کدپستی ٣٤٣٧٣
تلفن: ٠٥٣٦ ٥٧٦ ٦٦ ٦٦
ایمیل: atababay@yahoo.com
وبسایت: https://dratacan.com/
این سیاست بهمنظور تضمین انطباق فعالیتهای پردازش دادههای شخصی با قانون شماره ٦٦٩٨ «حفاظت از دادههای شخصی» و آییننامهها، بخشنامهها و دستورالعملهای صادره بر اساس آن تهیه شده است. هدف این سیاست هماهنگ نمودن کل مؤسسه با الزامات قانون KVKK میباشد.
همچنین با این سیاست اصول، رویهها و مبانی پردازش، ذخیرهسازی و حفاظت از امنیت دادههای شخصی تعیین میشود.
٢. تعاریف
در این سیاست، اصطلاحات حقوقی و فنی زیر بهکار میروند:
رضایت صریح: رضایتی که مربوط به موضوع مشخصی بوده، بر اساس اطلاعرسانی داده شده و با اراده آزادانه اعلام میگردد.
کاربر ذیربط: اشخاصی که در چارچوب سازمان مسئول داده یا با اختیار و دستور از سوی او، بهجز افرادی که صرفاً مسئول نگهداری و پشتیبانگیری فنی هستند، دادههای شخصی را پردازش میکنند.
امحا: حذف، نابودی یا ناشناسسازی دادههای شخصی.
قانون: قانون حفاظت از دادههای شخصی شماره ٦٦٩٨ مورخ ٢٤/٣/٢٠١٦.
محیط ثبت: هر محیطی که دادههای شخصی در آن بهصورت خودکار یا غیرخودکار (بهعنوان بخشی از یک سیستم ثبت داده) پردازش شوند.
داده شخصی: هرگونه اطلاعات مربوط به شخص حقیقی شناختهشده یا قابلشناسایی.
پردازش دادههای شخصی: هرگونه عملیات بر روی دادهها مانند جمعآوری، ثبت، ذخیره، نگهداری، تغییر، تنظیم مجدد، افشاء، انتقال، تحصیل، در دسترس قرار دادن، طبقهبندی یا جلوگیری از استفاده؛ چه بهصورت خودکار یا غیرخودکار.
حذف دادههای شخصی: غیرقابل دسترس و غیرقابل استفاده کردن دادههای شخصی برای کاربران ذیربط.
نابودی دادههای شخصی: غیرقابل دسترس، غیرقابل بازیابی و غیرقابل استفاده کردن دادهها برای هیچ فردی.
هیئت: هیئت حفاظت از دادههای شخصی.
داده شخصی ویژه: دادههایی درباره نژاد، قومیت، عقیده سیاسی، باور فلسفی، دین، مذهب، سایر اعتقادات، پوشش، عضویت در انجمنها یا اتحادیهها، سلامت، زندگی جنسی، محکومیت کیفری، اقدامات امنیتی، دادههای بیومتریک و ژنتیک.
امحای دورهای: امحای دادهها در بازههای زمانی معین، در صورتی که شرایط پردازش بر اساس قانون از بین رفته باشد.
شخص ذیربط / صاحب داده: شخص حقیقی که دادههای او پردازش میشود.
مسئول داده: شخص حقیقی یا حقوقی که اهداف و ابزار پردازش را تعیین کرده و مسئول تأسیس و مدیریت سیستم ثبت داده است.
٣. پردازش دادههای شخصی
٣.١ اصول اساسی
دادههای شخصی مطابق اصول مندرج در قانون پردازش خواهند شد. در این چارچوب:
مطابق با قانون و اصل حسننیت پردازش خواهند شد.
صحیح و در صورت نیاز بهروز نگهداری خواهند شد.
برای اهداف مشخص، روشن و مشروع استفاده خواهند شد.
به شکل مرتبط، محدود و متناسب با هدف قانونی پردازش و افشاء میشوند.
برای مدت مقرر در قوانین یا مدت لازم برای هدف پردازش نگهداری خواهند شد.
٣.٢ شرایط پردازش دادههای شخصی
دادههای غیرحساس میتوانند در صورت وجود یکی از مبانی زیر یا با رضایت صریح شخص پردازش شوند:
پیشبینی در قوانین.
ضرورت برای اجرای قرارداد.
ضرورت برای انجام تعهدات قانونی مسئول داده.
ضرورت برای تأسیس، استفاده یا حفاظت از یک حق.
ضرورت برای منافع مشروع مسئول داده مشروط بر اینکه به حقوق و آزادیهای اساسی شخص آسیب نزند.
٣.٣ پردازش دادههای شخصی ویژه
روشها و اصول مربوط به پردازش دادههای ویژه در سیاست جداگانهای با عنوان «سیاست پردازش دادههای شخصی ویژه» که توسط مؤسسه ما تدوین و منتشر شده است، به تفصیل توضیح داده شده است.
این سیاست در وبسایت ما در دسترس است:
https://dratacan.com/
٣.٤ اطلاعرسانی به صاحب داده
مطابق با قانون، به صاحبان داده اطلاعرسانی میشود. در این چارچوب، هویت مسئول داده، اهداف پردازش، اشخاصی که دادهها به آنها منتقل میشوند، روش جمعآوری، مبنای حقوقی و حقوق شخص ذیربط اعلام میگردد.
حقوق صاحب داده:
آگاهی از پردازش دادهها.
درخواست اطلاعات در صورت پردازش.
آگاهی از هدف پردازش و استفاده صحیح.
آگاهی از اشخاص ثالثی که دادهها به آنها منتقل شدهاند.
درخواست اصلاح در صورت ناقص یا نادرست بودن دادهها.
درخواست حذف یا نابودی دادهها مطابق با ماده ٧ قانون.
درخواست اطلاعرسانی به اشخاص ثالث در خصوص اصلاح یا حذف دادهها.
اعتراض به نتایج تصمیمگیری خودکار بر علیه شخص.
مطالبه جبران خسارت در صورت آسیب ناشی از پردازش غیرقانونی.
درخواستها باید از طریق فرم «درخواست صاحب داده» (قابل دریافت از وبسایت یا حضوری/پستی) تکمیل و به نشانی مسئول داده ارسال شوند.
پاسخ ظرف حداکثر ٣٠ روز داده خواهد شد. در صورت ایجاد هزینه اضافی، تعرفه مصوب هیئت اعمال میشود.
٤. اهداف پردازش دادههای شخصی
دادهها مطابق با اصول مندرج در قانون و شرایط پردازش مقرر در مواد ٥ و ٦، برای اهداف زیر پردازش میشوند:
مدیریت درخواستهای شغلی.
ایفای تعهدات قراردادی و قانونی مربوط به کارکنان.
مدیریت مزایا و حقوق جانبی کارکنان.
اجرای فعالیتها مطابق مقررات.
مدیریت امور مالی و حسابداری.
تأمین امنیت مکانهای فیزیکی.
پیگیری و مدیریت امور حقوقی.
مدیریت فعالیتهای ارتباطی.
اجرای فعالیتهای بهداشت و ایمنی شغلی.
مدیریت فرایندهای قراردادی.
پیگیری درخواستها و شکایات.
حفاظت از اموال و منابع منقول.
ارائه اطلاعات به مقامات ذیصلاح.
اجرای درمانها و برنامهریزیهای دندانپزشکی.
مدیریت فعالیتهای تبلیغاتی.
٥. مدت نگهداری و امحای دادههای شخصی
دادهها مطابق قانون و آییننامه «حذف، نابودی یا ناشناسسازی دادههای شخصی» برای مدتی که برای هدف پردازش ضروری است یا در مقررات پیشبینی شده نگهداری میشوند.
اگر در مقررات مدت مشخصی تعیین شده باشد، دادهها تا پایان آن مدت نگهداری میشوند؛ در غیر این صورت، تا زمانی که برای هدف پردازش لازم باشد نگهداری خواهند شد.
پس از اتمام این مدت، دادهها در بازههای امحای دورهای (هر شش ماه یکبار) یا حداکثر ظرف سی روز پس از درخواست صاحب داده با روشهای تعیینشده نابود میشوند.
مدت نگهداری دادههای شخصی
| داده پردازششده | دسته شخص ذیربط | مدت نگهداری |
|---|---|---|
| اطلاعات هویتی | کارمند | ١٥ سال پس از پایان رابطه استخدامی فعال |
| اطلاعات هویتی | متقاضی کار | در صورت منفی بودن نتیجه درخواست، نگهداری نمیشود |
| اطلاعات هویتی | بیمار | ٢٠ سال از تاریخ پایان درمان |
| اطلاعات هویتی | همراه بیمار | در طول مدت خدمت |
| اطلاعات هویتی | اشخاص حقیقی ارائهدهنده خدمات بیرونی | ١٠ سال پس از پایان خدمت |
| اطلاعات تماس | کارمند | ١٥ سال پس از پایان رابطه استخدامی فعال |
| اطلاعات تماس | متقاضی کار | در صورت منفی بودن نتیجه درخواست، نگهداری نمیشود |
| اطلاعات تماس | بیمار | ٢٠ سال از تاریخ پایان درمان |
| اطلاعات تماس | همراه بیمار | در طول مدت خدمت |
| اطلاعات تماس | اشخاص حقیقی ارائهدهنده خدمات بیرونی | ١٠ سال پس از پایان خدمت |
| دادههای سلامت شخصی | کارمند | ١٥ سال پس از پایان رابطه استخدامی فعال |
| دادههای سلامت شخصی | متقاضی کار | در صورت منفی بودن نتیجه درخواست، نگهداری نمیشود |
| دادههای سلامت شخصی | بیمار | ٢٠ سال از تاریخ پایان درمان |
| محکومیت کیفری و تدابیر امنیتی | کارمند | ١٥ سال پس از پایان رابطه استخدامی فعال |
| محکومیت کیفری و تدابیر امنیتی | متقاضی کار | در صورت منفی بودن نتیجه درخواست، نگهداری نمیشود |
| پرونده پرسنلی | کارمند | ١٠ سال پس از پایان رابطه استخدامی فعال |
| پرونده پرسنلی | متقاضی کار | در صورت منفی بودن نتیجه درخواست، نگهداری نمیشود |
| امور حقوقی | کارمند و بیمار | ١٠ سال پس از پایان فرایند حقوقی |
| امنیت پردازش | کارمند و بیمار | ٢ سال |
| عملیات مشتری | بیمار | ٢٠ سال |
| عملیات مشتری | اشخاص حقیقی ارائهدهنده خدمات بیرونی | ١٠ سال پس از پایان خدمت |
| امور مالی | بیمار | ٢٠ سال |
| امور مالی | کارمند | ١٠ سال |
| ضبط دوربین | برای همه گروههای اشخاص | ٢ ماه |
| تجربه حرفهای | کارمند | ١٠ سال پس از پایان رابطه استخدامی فعال |
| تجربه حرفهای | متقاضی کار | در صورت منفی بودن نتیجه درخواست، نگهداری نمیشود |
| سوابق تصویری و صوتی | کارمند | ١٥ سال پس از پایان رابطه استخدامی فعال |
| سوابق تصویری و صوتی | بیمار | ٢٠ سال پس از پایان درمان |
| سوابق تصویری و صوتی | متقاضی کار | در صورت منفی بودن نتیجه درخواست، نگهداری نمیشود |
٦. انتقال دادههای شخصی
٦.١ انتقال دادههای شخصی در داخل کشور
دادههای شخصی پردازششده میتوانند به اشخاص ثالث زیر منتقل شوند:
دادههای شخصی کارکنان مؤسسه:
در صورت بروز اختلاف حقوقی، بنا به درخواست مراجع قضایی و وکلای طرفین، صرفاً در محدوده دادههای شخصی مورد نیاز.
اطلاعات هویتی و تماس به حسابدار رسمی برای پیگیری تعهدات قانونی.
اطلاعات هویتی و مالی به بانک طرف قرارداد برای پرداخت حقوق.
اطلاعات هویتی، تماس، سلامت، عکس، مدرک تحصیلی و محکومیت کیفری به اداره بهداشت شهرستان/استان برای صدور گواهی اشتغال.
اطلاعات هویتی و سمت به «سامانه پیگیری کارکنان سلامت» در وزارت بهداشت.
اطلاعات هویتی به سازمان تأمین اجتماعی برای اعلام شروع به کار.
اطلاعات هویتی و مالی به اداره مالیات برای اظهارنامه مالیاتی.
اطلاعات هویتی و خانوادگی به اداره مالیات برای اعمال معافیت حداقل معیشت.
برای آرشیو به شرکت نرمافزاری توسعهدهنده برنامههای رایانهای محل کار.
دادههای شخصی بیماران دریافتکننده خدمات:
در صورت بروز اختلاف حقوقی، بنا به درخواست مراجع قضایی و وکلای طرفین، صرفاً در محدوده دادههای شخصی مورد نیاز.
اطلاعات هویتی، سلامت و بیمه بیماران مشمول بیمه خصوصی به شرکتهای بیمه خصوصی.
اطلاعات هویتی، تماس، سلامت و همراه بیمار به مرکز درمانی مقصد در صورت ارجاع بیمار.
به موجب آییننامه بیمارستانهای خصوصی، پروندههای بیمار برای آرشیو به شرکت نرمافزاری توسعهدهنده سیستم ثبت بیماران.
دادههای شخصی اشخاص حقیقی ارائهدهنده خدمات:
در صورت بروز اختلاف حقوقی، بنا به درخواست مراجع قضایی و وکلای طرفین.
به حسابدار رسمی طبق تعهدات قانونی.
به بانک طرف قرارداد برای پرداختها.
به شرکت نرمافزاری توسعهدهنده سیستمهای محل کار برای آرشیو.
دادههای شخصی سایر گروههای افراد:
در صورت بروز اختلاف حقوقی، بنا به درخواست مراجع قضایی و وکلای طرفین منتقل خواهند شد.
٧. حفاظت از دادههای شخصی
مؤسسه ما مطابق ماده ١٢ قانون موظف است:
از پردازش غیرقانونی دادههای شخصی جلوگیری کند.
از دسترسی غیرقانونی به دادههای شخصی جلوگیری کند.
برای حفاظت از دادهها، سطح امنیتی مناسب را از طریق اتخاذ تدابیر فنی و اداری لازم تأمین کند و اجرای این تدابیر را کنترل یا کنترل آنها را واگذار نماید.
٧.١ تدابیر اداری
وجود مقررات انضباطی شامل مفاد امنیت داده برای کارکنان.
برگزاری دورههای آموزشی و آگاهیرسانی در زمینه امنیت داده برای کارکنان.
تدوین و اجرای سیاستها و رویههای سازمانی در زمینه دسترسی، امنیت اطلاعات، استفاده، ذخیره و امحا.
اخذ تعهدنامههای محرمانگی.
گنجاندن مقررات امنیت داده در قراردادهای امضاءشده.
اتخاذ تدابیر امنیتی اضافی برای دادههای منتقلشده روی کاغذ و ارسال اسناد با درجه محرمانه.
تعیین سیاستها و رویههای امنیت داده.
گزارش سریع مشکلات امنیت داده.
پیگیری امنیت دادهها.
کنترل ورود و خروج به محیطهای فیزیکی حاوی دادههای شخصی.
حفاظت از محیطهای فیزیکی در برابر خطرات بیرونی (آتشسوزی، سیل و غیره).
تأمین امنیت محیطهای حاوی دادههای شخصی.
به حداقل رساندن دادههای شخصی.
انجام بازرسیهای دورهای یا تصادفی درونسازمانی.
تعیین و اجرای پروتکلها و رویههای مربوط به حفاظت از دادههای شخصی ویژه.
ارسال دادههای شخصی ویژه از طریق ایمیل فقط بهصورت رمزگذاریشده و با استفاده از KEP یا حساب رسمی سازمانی.
تعریف دقیق محدوده و مدت مجوز کاربران دارای دسترسی به دادههای شخصی ویژه.
بازپسگیری تجهیزات اختصاصدادهشده به کارکنانی که سمتشان تغییر کرده یا از کار خارج شدهاند.
تهیه موجودی دادههای شخصی.
اجرای عملیات دورهای حذف، نابودی یا ناشناسسازی.
٧.٢ تدابیر فنی
تأمین امنیت شبکه و برنامهها.
اتخاذ تدابیر امنیتی در تهیه، توسعه و نگهداری سیستمهای فناوری اطلاعات.
ایجاد ماتریس دسترسی برای کارکنان.
نگهداری منظم لاگهای دسترسی.
لغو مجوزهای دسترسی کارکنانی که سمتشان تغییر کرده یا از کار خارج شدهاند.
استفاده از سیستمهای ضدویروس بهروز.
استفاده از دیوار آتش.
اجرای سیستم مدیریت حساب کاربری و کنترل دسترسی و پیگیری آن.
نگهداری لاگها بدون دخالت کاربر.
استفاده از رمزنگاری ایمن/کلیدهای رمزنگاری برای دادههای شخصی ویژه که توسط واحدهای مختلف مدیریت میشوند.
اتخاذ تدابیر امنیت سایبری و نظارت بر اجرای آنها.
انتقال دادههای شخصی ویژه از طریق حافظههای قابلحمل (USB، CD، DVD) فقط بهصورت رمزگذاریشده.
بررسی دورهای مجوزهای کاربران دارای دسترسی به دادههای شخصی ویژه.
پیگیری بهروزرسانیهای امنیتی محیطهای حاوی دادهها، انجام یا واگذاری تستهای امنیتی منظم و ثبت نتایج.
انجام تستهای امنیتی نرمافزارهای دسترسی به دادههای شخصی ویژه و ثبت نتایج.
استفاده از سیستم احراز هویت دو مرحلهای در دسترسیهای راه دور به دادههای شخصی ویژه.
در صورت انتقال دادههای سلامت شخصی میان سرورها در مکانهای فیزیکی مختلف، استفاده از VPN یا sFTP.
اجرای عملیات دورهای حذف، نابودی یا ناشناسسازی برای دادههای ذخیرهشده در محیط دیجیتال.
٧.٢ اقدامات در صورت وقوع نقض داده
در صورتی که دادههای شخصی پردازششده توسط کلینیک/مطب ما بهصورت غیرقانونی توسط اشخاص ثالث بهدست آید، مؤسسه ما بلافاصله پس از اطلاع از نقض، این موضوع را در سریعترین زمان ممکن به صاحب داده و هیئت حفاظت از دادههای شخصی اطلاع خواهد داد.
پس از شناسایی افراد تحت تأثیر این نقض، اطلاعرسانی مستقیم به نشانی ارتباطی اشخاص مربوطه در کوتاهترین زمان معقول انجام خواهد شد.
اطلاعرسانی به شخص ذیربط شامل موارد زیر خواهد بود:
زمان وقوع نقض،
دادههای شخصی تحت تأثیر نقض،
پیامدهای احتمالی نقض،
تدابیر اتخاذشده یا پیشنهادشده برای کاهش اثرات نقض،
نام و اطلاعات تماس فرد مسئول پاسخگویی به نقض داده.
٨. حقوق صاحبان دادههای شخصی و نحوه استفاده از آنها
٨.١ حقوق صاحب داده
صاحبان دادههای شخصی دارای حقوق زیر میباشند:
آگاهی از اینکه آیا دادههای شخصی پردازش شدهاند یا خیر.
درخواست اطلاعات در صورت پردازش دادهها.
آگاهی از هدف پردازش و استفاده صحیح از دادهها.
اطلاع از اشخاص ثالثی که دادهها به آنها منتقل شدهاند، چه در داخل کشور و چه در خارج.
درخواست اصلاح دادههای ناقص یا نادرست و درخواست اطلاعرسانی این اصلاحات به اشخاص ثالثی که دادهها به آنها منتقل شدهاند.
درخواست حذف یا نابودی دادههای شخصی، حتی اگر مطابق قانون پردازش شده باشند، در صورتی که دلایل پردازش از بین رفته باشد، و درخواست اطلاعرسانی این حذف یا نابودی به اشخاص ثالثی که دادهها به آنها منتقل شدهاند.
اعتراض به تصمیماتی که صرفاً بر اساس تحلیل خودکار دادهها صورت گرفته و منجر به نتیجهای بر علیه فرد شود.
مطالبه جبران خسارت در صورت وارد آمدن زیان ناشی از پردازش غیرقانونی دادهها.
٨.٢ اعمال حقوق صاحب داده
صاحبان داده میتوانند فرم «درخواست صاحب داده» را از کلینیک ما یا از طریق وبسایت https://dratacan.com دریافت کرده، آن را تکمیل و با امضاء دستی بهصورت حضوری، پستی یا از طریق دفتر اسناد رسمی به نشانی مسئول داده ارسال کنند و بدین ترتیب از حقوق مندرج در ماده ١١ قانون استفاده نمایند.
٨.٣ پاسخ به درخواستها
در صورتی که صاحب داده درخواست خود را مطابق با رویه مقرر به کلینیک ما ارائه دهد، کلینیک بسته به ماهیت درخواست، در کوتاهترین زمان و حداکثر ظرف ٣٠ روز درخواست را بهصورت رایگان پاسخ خواهد داد. اما در صورت ایجاد هزینه اضافی، تعرفه مصوب هیئت حفاظت از دادههای شخصی اعمال خواهد شد.
٩. هماهنگی فرآیندهای حفاظت و پردازش دادههای شخصی
هماهنگی فرآیندهای حفاظت و پردازش دادههای شخصی توسط مسئول داده یا کارکنان مجاز انجام میشود.
١٠. بهروزرسانیهای سیاست
کلینیک ما در صورت تغییر قوانین، تصمیمات هیئت یا تحولات بخش و فناوری، حق تغییر این سیاست را برای خود محفوظ میدارد. تغییرات بلافاصله در متن اعمال شده و توضیحات مربوط به تغییرات در جدول بهروزرسانیها درج خواهد شد.
جدول بهروزرسانیها:
سیاست پردازش و حفاظت از دادههای شخصی لازمالاجرا شده است.
١١. احکام نهایی
این «سیاست نگهداری و امحای دادههای شخصی» توسط مسئول داده تهیه شده و:
در مکانهای مناسب داخل مؤسسه
و از طریق وبسایت ما: https://www.dratacan.com/
منتشر و به اطلاع اشخاص ذیربط رسانده شده است.
- Kisisel-Verileri-Koruma-Ve-Isleme-Politikasi (2)
