حریم خصوصی
۱. مقدمه
۱.۱ هدف
سیاست نگهداری و امحای دادههای شخصی («سیاست») بهمنظور تعیین اصول و رویههای مربوط به فعالیتهای نگهداری و امحای دادههای شخصی که توسط مسئول داده انجام میشود، تهیه شده است.
عنوان مسئول داده: دکتر دانشیار آتا جان
آدرس مسئول داده: اینونو، خیابان نظامیه، شماره ۹، واحد ۱، ۳۴۳۷۳، شیشلی/استانبول
تلفن مسئول داده: ۰۵۳۶ ۵۷۶ ۶۶ ۶۶
ایمیل مسئول داده: atababay@yahoo.com
وبسایت: https://dratacan.com/
مؤسسه ما؛ در راستای مأموریت، چشمانداز و اصول اساسی منطبق با قانون، پردازش دادههای شخصی را بر اساس قانون اساسی جمهوری ترکیه، معاهدات بینالمللی، قانون شماره ۶۶۹۸ حفاظت از دادههای شخصی («قانون») و سایر مقررات مربوطه انجام داده و اولویت خود را تضمین استفاده مؤثر صاحبان داده از حقوقشان قرار داده است. فرایندهای مربوط به نگهداری و امحای دادههای شخصی مطابق با این سیاست اجرا میشوند.
۱.۲ دامنه
این سیاست شامل دادههای شخصی بیماران، همراهان، کارکنان، متقاضیان شغل و ارائهدهندگان خدمات بوده و در تمام محیطهای ثبت داده و فعالیتهایی که پردازش دادههای شخصی در آنها انجام میشود، اعمال میگردد.
۱.۳ اختصارات و تعاریف
اصطلاحات حقوقی و فنی مورد استفاده در این سیاست به شرح زیر تعریف میشوند:
گروه گیرنده: دستهای از اشخاص حقیقی یا حقوقی که دادههای شخصی به آنها منتقل میشود.
رضایت آگاهانه: رضایتی که بر اساس اطلاعرسانی مشخص و با اراده آزاد اعلام شده است.
ناشناسسازی: فرآیندی که طی آن دادههای شخصی به گونهای تغییر میکنند که حتی با تطبیق با سایر دادهها نیز به هیچ وجه قابل ارتباط با فرد مشخص یا قابل شناسایی نباشند.
کارمند: کارکنان مؤسسه.
EBYS (سیستم مدیریت اسناد الکترونیکی): سامانهای که برای ثبت و مدیریت اسناد در بستر الکترونیکی استفاده میشود.
محیط الکترونیکی: محیطهایی که دادههای شخصی از طریق ابزارهای الکترونیکی ایجاد، خوانده، تغییر و ذخیره میشوند.
محیط غیرالکترونیکی: تمامی محیطهای نوشتاری، چاپی، تصویری و مشابه خارج از محیطهای الکترونیکی.
ارائهدهنده خدمات: شخص حقیقی یا حقوقی که در چارچوب قراردادی معین به مؤسسه خدمات ارائه میدهد.
شخص مرتبط: فرد حقیقی که دادههای شخصی او پردازش میشود.
کاربر مرتبط: افرادی که در چارچوب سازمان مسئول داده یا بنا به اختیار و دستور او دادههای شخصی را پردازش میکنند (بهجز کسانی که صرفاً مسئول ذخیرهسازی فنی یا پشتیبانگیری هستند).
امحا: حذف، نابودی یا ناشناسسازی دادههای شخصی.
قانون: قانون شماره ۶۶۹۸ حفاظت از دادههای شخصی مصوب ۲۴ مارس ۲۰۱۶.
داده شخصی: هرگونه اطلاعاتی که به فرد حقیقی مشخص یا قابل شناسایی مربوط باشد.
فهرست موجودی پردازش دادههای شخصی: موجودیای که توسط مسئولان داده بر اساس فرآیندهای کاری تهیه میشود و شامل جزئیات فعالیتهای پردازش دادههای شخصی، اهداف پردازش و مبانی حقوقی آن، دستهبندی دادهها، گروههای گیرندهای که دادهها به آنها منتقل میشود، گروههای افراد موضوع داده، حداکثر مدت نگهداری لازم برای اهداف پردازش، دادههای شخصی پیشبینیشده برای انتقال به خارج از کشور و تدابیر امنیتی اتخاذشده در خصوص حفاظت از دادهها است.
پردازش دادههای شخصی: هرگونه عملیات انجامشده بر دادههای شخصی که بهطور کامل یا جزئی به روشهای خودکار یا بهصورت بخشی از یک سیستم ثبت داده انجام میشود؛ شامل بهدستآوردن، ثبت، ذخیرهسازی، نگهداری، تغییر، تنظیم مجدد، افشا، انتقال، تحویل، در دسترس قرار دادن، طبقهبندی یا جلوگیری از استفاده.
هیئت: کمیته حفاظت از دادههای شخصی (KVKK).
داده شخصی با ماهیت ویژه: دادههایی که به نژاد، قومیت، دیدگاه سیاسی، باور فلسفی، دین، مذهب یا سایر اعتقادات، پوشش و لباس، عضویت در انجمنها، بنیادها یا اتحادیهها، سلامت، زندگی جنسی، محکومیتهای کیفری و اقدامات امنیتی مربوط است، همچنین دادههای بیومتریک و ژنتیکی.
امحای دورهای: فرآیند حذف، نابودی یا ناشناسسازی دادههای شخصی که در صورت از بین رفتن شرایط پردازش دادهها در قانون و بر اساس دورههای تکرارشونده مشخصشده در سیاست نگهداری و امحا، بهطور خودکار انجام میشود.
سیاست: سیاست نگهداری و امحای دادههای شخصی.
پردازشگر داده: شخص حقیقی یا حقوقی که بر اساس اختیارات اعطاشده توسط مسئول داده و بهجای او، دادههای شخصی را پردازش میکند.
سیستم ثبت داده: سیستمی که دادههای شخصی را بر اساس معیارهای خاص سازماندهی و پردازش میکند.
VERBİS: سامانه ثبت اطلاعات مسئولان داده (Veri Sorumluları Sicil Bilgi Sistemi).
مسئول داده: شخص حقیقی یا حقوقی که اهداف و ابزارهای پردازش دادههای شخصی را تعیین کرده و مسئول ایجاد و مدیریت سیستم ثبت داده است.
آییننامه: آییننامه مربوط به حذف، نابودی یا ناشناسسازی دادههای شخصی منتشرشده در روزنامه رسمی مورخ ۲۸ اکتبر ۲۰۱۷.
۲. توضیحات مربوط به نگهداری و امحا
دادههای شخصی پردازششده توسط مؤسسه ما مطابق با قانون نگهداری میشوند و پس از پایان مدت نگهداری، امحا میگردند.
۲.۱ توضیحات مربوط به نگهداری
در ماده ۳ قانون، مفهوم پردازش دادههای شخصی تعریف شده است. در ماده ۴ ذکر گردیده که دادههای شخصی باید مرتبط، محدود و متناسب با هدف پردازش باشند و تنها تا مدت زمان پیشبینیشده در قوانین مربوطه یا بهمدت لازم برای اهداف پردازش نگهداری شوند. همچنین در مواد ۵ و ۶ شرایط پردازش دادههای شخصی ذکر شده است.
بر این اساس، دادههای شخصی تا مدت زمان تعیینشده در قوانین مربوطه یا تا زمانی که برای اهداف پردازش ضروری است، نگهداری میشوند.
۲.۱.۱ دلایل حقوقی نگهداری دادههای شخصی
دادههای شخصی در صورت وجود حداقل یکی از دلایل حقوقی زیر پردازش و نگهداری میشوند:
پیشبینی صریح در قوانین،
ضرورت پردازش دادهها برای اجرای قرارداد،
لزوم پردازش جهت انجام تعهدات قانونی مسئول داده،
ضرورت پردازش برای ایجاد، استفاده یا حفظ یک حق،
ضرورت پردازش برای منافع مشروع مسئول داده، مشروط بر اینکه به حقوق و آزادیهای اساسی فرد آسیب نرساند،
ارائه خدمات پیشگیرانه پزشکی، تشخیص، درمان و مراقبت،
وجود رضایت آگاهانه.
۲.۱.۲ اهداف پردازش و نگهداری
دادههای شخصی برای اهداف زیر پردازش و نگهداری میشوند:
مدیریت فرآیندهای درخواست شغلی متقاضیان،
اجرای قرارداد کاری و انجام تعهدات قانونی مربوط به کارکنان،
مدیریت فرآیندهای حقوق و مزایای کارکنان،
اجرای فعالیتهای آموزشی،
مدیریت سطوح دسترسی،
انجام فعالیتها مطابق با الزامات قانونی،
مدیریت امور مالی و حسابداری،
تأمین امنیت مکانهای فیزیکی،
مدیریت فرآیندهای مأموریت،
پیگیری و اجرای امور حقوقی،
مدیریت فعالیتهای ارتباطی،
برنامهریزی فرآیندهای منابع انسانی،
اجرای فعالیتهای بهداشت و ایمنی شغلی،
دریافت و ارزیابی پیشنهادات برای بهبود فرآیندهای کاری،
اجرای فرآیندهای ارزیابی عملکرد،
مدیریت فعالیتهای بایگانی و نگهداری،
مدیریت فرآیندهای قراردادی،
پیگیری درخواستها و شکایات،
تأمین امنیت اموال منقول و منابع،
تأمین امنیت عملیات مسئول داده،
ارائه اطلاعات به اشخاص، نهادها و سازمانهای ذیصلاح،
اجرای فعالیتهای تبلیغاتی.
۲.۲ دلایل امحا
دادههای شخصی در موارد زیر حذف، نابود یا ناشناسسازی میشوند:
تغییر یا لغو مقررات قانونی که مبنای پردازش دادهها هستند،
از بین رفتن هدفی که موجب پردازش یا نگهداری دادهها شده است،
در مواردی که پردازش دادهها تنها بر اساس رضایت آگاهانه انجام میشود، با پسگرفتن رضایت فرد،
زمانی که فرد موضوع داده مطابق ماده ۱۱ قانون، درخواست حذف یا نابودی دادهها را ارائه داده و مؤسسه ما آن را پذیرفته باشد،
در صورتی که مؤسسه ما درخواست فرد را رد کند، پاسخ ناکافی دهد یا در مهلت مقرر پاسخ ندهد و کمیته حفاظت از دادهها (هیئت) پس از شکایت فرد، این درخواست را مناسب تشخیص دهد،
پایان یافتن مدت زمان حداکثر نگهداری دادههای شخصی و نبود هیچ شرطی که نگهداری طولانیتر را توجیه کند.
در چنین شرایطی دادههای شخصی بنا به درخواست فرد یا رأساً توسط مؤسسه ما حذف، نابود یا ناشناسسازی میشوند.
۳.۱ اقدامات فنی
اقدامات فنی اتخاذشده در خصوص دادههای شخصی پردازششده عبارتاند از:
امنیت شبکه و امنیت نرمافزار برقرار است.
اقدامات امنیتی لازم در چارچوب تأمین، توسعه و نگهداری سیستمهای فناوری اطلاعات انجام میشود.
دسترسی کارکنانی که دچار تغییر وظیفه یا پایان همکاری میشوند لغو میگردد.
از سیستمهای ضدویروس بهروز استفاده میشود.
دیوارهای آتش (Firewall) فعال است.
دسترسی کارکنان دارای مجوز به دادههای شخصی با ماهیت ویژه بهطور دورهای کنترل میشود.
بهروزرسانیهای امنیتی محیطهایی که دادهها در آنها نگهداری میشوند بهطور مستمر پیگیری شده و آزمونهای امنیتی لازم بهطور منظم انجام یا سفارش داده میشود و نتایج ثبت میگردد.
نرمافزارهایی که برای دسترسی به دادههای شخصی با ماهیت ویژه استفاده میشوند بهطور منظم آزمون امنیتی میشوند و نتایج ثبت میگردد.
برای دادههای شخصی ذخیرهشده در محیط دیجیتال، بهطور دورهای عملیات حذف، نابودسازی یا ناشناسسازی انجام میشود.
۳.۲ اقدامات اداری
اقدامات اداری اتخاذشده در خصوص دادههای شخصی پردازششده عبارتاند از:
برای کارکنان، مقررات انضباطی شامل احکام مربوط به امنیت داده وجود دارد.
آموزشها و فعالیتهای آگاهیبخشی در زمینه امنیت داده برای کارکنان در فواصل زمانی مشخص برگزار میشود.
سیاستهای نهادی در زمینه دسترسی، امنیت اطلاعات، استفاده، نگهداری و امحا تدوین و اجرا شده است.
تعهدنامههای محرمانگی تنظیم میگردد.
قراردادهای امضا شده شامل احکام مربوط به امنیت داده هستند.
برای دادههای شخصی منتقلشده از طریق کاغذ، تدابیر امنیتی اضافی اتخاذ شده و اسناد بهصورت محرمانه ارسال میگردند.
سیاستها و رویههای امنیت داده شخصی مشخص شدهاند.
مشکلات امنیتی دادههای شخصی بهسرعت گزارش میشوند.
پیگیری امنیت دادههای شخصی انجام میشود.
برای ورود و خروج به محیطهای فیزیکی حاوی دادههای شخصی، تدابیر امنیتی لازم اتخاذ میشود.
امنیت محیطهای فیزیکی حاوی دادههای شخصی در برابر خطرات خارجی (آتشسوزی، سیل و غیره) تضمین میشود.
امنیت محیطهای حاوی دادههای شخصی برقرار است.
دادههای شخصی تا حد امکان به حداقل رسانده میشوند.
بازرسیهای داخلی بهصورت دورهای و/یا تصادفی انجام یا سفارش داده میشود.
پروتکلها و رویههای ویژهای برای امنیت دادههای شخصی با ماهیت ویژه مشخص و اجرا شدهاند.
در صورت ارسال دادههای شخصی با ماهیت ویژه از طریق پست الکترونیکی، انتقال حتماً بهصورت رمزگذاریشده و از طریق حساب پست الکترونیکی شرکتی یا KEP انجام میشود.
حوزه و مدت اختیارات کاربران دارای دسترسی به دادههای شخصی با ماهیت ویژه بهطور شفاف تعیین شده است.
تجهیزات اختصاصیافته به کارکنانی که تغییر وظیفه داده یا از کار خارج میشوند پس گرفته میشود.
موجودی دادههای شخصی تهیه شده است.
عملیات حذف، نابودسازی یا ناشناسسازی دادهها در فواصل زمانی مشخص انجام میشود.
۴. مدتهای نگهداری و امحا
مؤسسه ما در چارچوب فعالیتهای خود، مدتهای نگهداری مربوط به دادههای شخصی را در سیاست نگهداری و امحا مشخص کرده است.
در صورت لزوم، این مدتها بهروزرسانی میشوند.
برای دادههای شخصی که مدت نگهداری آنها به پایان رسیده، عملیات حذف، نابودی یا ناشناسسازی در نخستین فرآیند امحای دورهای انجام میشود.۴.۱ جدول مدتهای نگهداری
نوع داده پردازششده دسته فرد مرتبط مدت نگهداری اطلاعات هویتی کارمند ۱۵ سال پس از پایان رابطه کاری فعال متقاضی کار در صورت رد درخواست شغلی نگهداری نمیشود بیمار ۲۰ سال پس از پایان درمان همراه بیمار تا مدت ارائه خدمت ارائهدهندگان خدمات حقیقی خارج از سازمان ۱۰ سال پس از پایان خدمت اطلاعات تماس کارمند ۱۵ سال پس از پایان رابطه کاری فعال متقاضی کار در صورت رد درخواست شغلی نگهداری نمیشود بیمار ۲۰ سال پس از پایان درمان همراه بیمار تا مدت ارائه خدمت ارائهدهندگان خدمات حقیقی ۱۰ سال پس از پایان خدمت دادههای سلامت شخصی کارمند ۱۵ سال پس از پایان رابطه کاری فعال متقاضی کار در صورت رد درخواست شغلی نگهداری نمیشود بیمار ۲۰ سال پس از پایان درمان اطلاعات محکومیت کیفری و تدابیر امنیتی کارمند ۱۰ سال پس از پایان رابطه کاری فعال متقاضی کار در صورت رد درخواست شغلی نگهداری نمیشود پرونده پرسنلی کارمند ۱۰ سال پس از پایان رابطه کاری فعال متقاضی کار در صورت رد درخواست شغلی نگهداری نمیشود امور حقوقی کارمند و بیمار ۱۰ سال پس از پایان روند حقوقی امنیت تراکنشها کارمند و بیمار ۲ سال تراکنش مشتری بیمار ۲۰ سال ارائهدهندگان خدمات حقیقی ۱۰ سال پس از پایان خدمت مالی بیمار ۲۰ سال کارمند ۱۰ سال تصاویر دوربین (CCTV) همه گروههای افراد ۲ ماه تجربه کاری/سوابق حرفهای کارمند ۱۰ سال پس از پایان رابطه کاری فعال متقاضی کار در صورت رد درخواست شغلی نگهداری نمیشود دادههای دیداری و شنیداری کارمند ۱۵ سال پس از پایان رابطه کاری فعال بیمار ۲۰ سال پس از پایان درمان متقاضی کار در صورت رد درخواست شغلی نگهداری نمیشود ۴.۲ مدتهای امحا
مطابق قانون و آییننامه، مؤسسه ما دادههای شخصی را از تاریخ ایجاد الزام قانونی برای حذف، نابودی یا ناشناسسازی در نخستین فرآیند امحای دورهای و بر اساس اصول و رویههای ذکرشده در این سیاست، رأساً حذف، نابود یا ناشناسسازی میکند.
چنانچه فرد مرتبط مطابق ماده ۱۳ قانون، حق درخواست حذف دادههای شخصی خود را اعمال کند و درخواست بهطور صحیح به ما برسد:
اگر تمامی شرایط پردازش داده از بین رفته باشد؛ دادههای موضوع درخواست ظرف ۳۰ روز از تاریخ دریافت، با روش مناسب حذف، نابود یا ناشناسسازی میشوند.
اگر تمامی شرایط پردازش داده از بین نرفته باشند، درخواست میتواند با ذکر دلایل مستند مطابق ماده ۱۳ بند ۳ قانون رد شود و پاسخ رد ظرف حداکثر ۳۰ روز بهصورت کتبی یا الکترونیکی به فرد مرتبط اعلام میگردد.
۵. مدتهای امحای دورهای
مطابق ماده ۱۱ آییننامه، مدت امحای دورهای ۶ ماه تعیین شده است.روشهای امحا
مطابق مدتهای پیشبینیشده در قوانین یا مدتهای لازم برای اهداف پردازش، پس از پایان دوره نگهداری، دادههای شخصی رأساً یا بنا به درخواست فرد مرتبط، مطابق مقررات مربوطه و با استفاده از روشهای زیر حذف، نابود یا ناشناسسازی میشوند.
۵.۱ حذف دادههای شخصی
روشهای حذف دادهها به شرح زیر است:
محیط ذخیرهسازی توضیح سرورها دادههای شخصی که مدت نگهداری آنها به پایان رسیده، توسط مدیر سیستم حذف شده و دسترسی کاربران مربوطه لغو میشود. محیطهای الکترونیکی دادههای شخصی که مدت نگهداری آنها تمام شده، برای کاربران عادی (بهجز مدیر پایگاه داده) غیرقابل دسترس و استفاده میشوند. محیطهای فیزیکی دادههای شخصی نگهداریشده در محیطهای کاغذی پس از پایان مدت نگهداری برای همه کارکنان (بهجز مدیر بایگانی) غیرقابل دسترس شده و امکان استفاده مجدد ندارند. علاوه بر این، با روشهای خطکشیدن، رنگآمیزی یا محوکردن بهگونهای که غیرقابل خواندن باشند، بیاثر میشوند. رسانههای قابل حمل دادههای شخصی موجود در رسانههای فلش پس از پایان مدت نگهداری، توسط مدیر سیستم رمزگذاری شده و دسترسی فقط برای او ممکن است. کلیدهای رمز در محیطی ایمن نگهداری میشوند. ۵.۲ نابودسازی دادههای شخصی
روشهای نابودسازی به شرح زیر است:
محیط ذخیرهسازی توضیح محیطهای فیزیکی دادههای شخصی روی کاغذ پس از پایان مدت نگهداری با دستگاه خردکن بهطور غیرقابل بازیابی نابود میشوند. محیطهای نوری / مغناطیسی دادههای شخصی روی رسانههای نوری یا مغناطیسی (CD, DVD, HDD و غیره) با روشهایی چون ذوبکردن، سوزاندن یا پودرکردن نابود میشوند. همچنین رسانههای مغناطیسی با عبور از دستگاههای مخصوص و قرارگرفتن در معرض میدان مغناطیسی قوی غیرقابل خواندن میشوند. محیطهای دیجیتال دادههای شخصی موجود در محیطهای دیجیتال پس از پایان مدت نگهداری همراه با تمامی لاگها و سوابق پشتیبان بهطور کامل و غیرقابل بازگردانی نابود میشوند. ۵.۳ ناشناسسازی دادههای شخصی
ناشناسسازی به معنای تبدیل دادههای شخصی به شکلی است که حتی با تطبیق با سایر دادهها، به هیچ وجه نتوان آنها را به فرد مشخص یا قابل شناسایی مرتبط کرد.
برای ناشناسسازی معتبر باید:
دادههای شخصی بهگونهای پردازش شوند که امکان بازیابی آنها توسط مسئول داده یا اشخاص ثالث وجود نداشته باشد،
و حتی در صورت ترکیب با سایر دادهها، قابل ارتباط با فرد مشخص نباشند.
مؤسسه ما در فرآیند ناشناسسازی از روشهای مطابق با استانداردها استفاده میکند. پس از ناشناسسازی، دادههای شخصی به هیچ وجه قابل ارتباط با فرد مشخص یا قابل شناسایی نخواهند بود.
۶. تدابیر برای اطمینان از قانونی بودن امحا
عملیات امحا که هم بنا به درخواست افراد و هم در فرآیندهای دورهای رأساً انجام میشوند، مطابق با قانون، آییننامه و این سیاست انجام میگردند. در این چارچوب تدابیر فنی و اداری زیر اتخاذ شده است:
۶.۱ تدابیر فنی
سطح دسترسی کارکنان بخش فناوری اطلاعات به دادههای شخصی تحت کنترل دقیق قرار دارد.
عملیات نابودسازی دادهها بهگونهای انجام میشود که دادهها بهطور غیرقابل بازیابی از بین بروند و هیچ ردپای نظارتی باقی نماند.
۶.۲ تدابیر اداری
کارکنان در زمینه قوانین حفاظت از دادههای شخصی، امنیت داده و فرآیندهای امحا آموزش میبینند.
فرآیندهای امحا بهطور منظم مورد بازرسی قرار میگیرند.
شکافها و نقاط ضعف امنیتی شناساییشده اصلاح و تدابیر لازم برای رفع آنها اتخاذ میشود.
۷. محیطهای ثبت داده
دادههای شخصی مطابق با قانون، آییننامه و سایر مقررات مرتبط نگهداری میشوند. در این راستا، محیطهای ثبت دادههای شخصی به شرح جدول زیر است:
محیطهای الکترونیکی
سرورها (دامنه، پشتیبانگیری، ایمیل، پایگاه داده، وب، اشتراک فایل و غیره)
نرمافزارها (نرمافزار Meddata، نرمافزارهای اداری، پرتال)
تجهیزات امنیت اطلاعات (دیوار آتش، سامانههای تشخیص و جلوگیری از حمله، فایلهای لاگ، آنتیویروس و غیره)
رایانهها (رومیزی و لپتاپ)
دستگاههای همراه (تلفن همراه، تبلت و غیره)
دیسکهای نوری (CD، DVD و غیره)
حافظههای قابل حمل (USB، کارت حافظه و غیره)
چاپگر، اسکنر، دستگاه فتوکپی، تجهیزات پزشکی
محیطهای غیرالکترونیکی
کاغذ
سیستمهای ثبت دستی
محیطهای نوشتاری، چاپی و تصویری
۸. تدابیر امنیت دادههای شخصی
برای نگهداری ایمن دادههای شخصی، جلوگیری از پردازش و دسترسی غیرقانونی و همچنین امحای قانونی دادهها، مطابق با ماده ۱۲ قانون و ماده ۶ بند چهارم همان قانون، تدابیر فنی و اداری لازم اتخاذ میگردد. برای دادههای شخصی با ماهیت ویژه، تدابیر کافی تعیینشده و اعلامشده توسط هیئت نیز اجرا میشود.
۸.۱ تدابیر فنی
امنیت شبکه و امنیت نرمافزار برقرار است.
اقدامات امنیتی در فرآیند تأمین، توسعه و نگهداری سیستمهای فناوری اطلاعات انجام میشود.
از آنتیویروسهای بهروز استفاده میشود.
دیوارهای آتش (Firewall) فعال است.
عملیات حذف، نابودسازی یا ناشناسسازی دادهها انجام میشود.
از نرمافزارهای پیشگیری از ازدسترفتن داده (Data Loss Prevention) استفاده میشود.
۸.۲ تدابیر اداری
برای کارکنان، مقررات انضباطی شامل احکام مربوط به امنیت داده وجود دارد.
آموزشها و فعالیتهای آگاهیبخشی در زمینه امنیت داده بهطور منظم برای کارکنان برگزار میشود.
سیاستهای نهادی در زمینه دسترسی، امنیت اطلاعات، استفاده، نگهداری و امحا تدوین و اجرا شده است.
دسترسی کارکنانی که تغییر وظیفه داده یا همکاریشان پایان یافته است لغو میشود.
سیاستها و رویههای امنیت دادههای شخصی تعیین شدهاند.
نظارت بر امنیت دادههای شخصی انجام میشود.
برای ورود و خروج به محیطهای فیزیکی حاوی دادههای شخصی، تدابیر امنیتی لازم اتخاذ میشود.
امنیت محیطهای فیزیکی در برابر خطرات خارجی (مانند آتشسوزی، سیل و غیره) تضمین میگردد.
امنیت کلی محیطهای حاوی دادههای شخصی برقرار است.
دادههای شخصی تا حد امکان به حداقل رسانده میشوند.
بازرسیهای داخلی بهصورت دورهای و/یا تصادفی انجام یا سفارش داده میشود.
۹. عناوین پرسنل، واحدها و تقسیم وظایف
تمامی واحدها و کارکنان موظفاند در چارچوب سیاست، اقدامات فنی و اداری لازم را بهطور کامل اجرا کنند. این شامل آموزش و افزایش آگاهی کارکنان، نظارت و بازرسی مستمر، جلوگیری از پردازش غیرقانونی دادههای شخصی، جلوگیری از دسترسی غیرمجاز به دادههای شخصی و اطمینان از نگهداری قانونی دادهها در تمام محیطهایی است که دادههای شخصی در آنها پردازش میشوند. واحدهای مسئول موظفاند از این اقدامات حمایت فعال داشته باشند.
وظایف و مسئولیتها
| مسئول | شرح وظایف |
|---|---|
| پزشک صاحب مطب | اطمینان از انجام فرآیندهای نگهداری و امحای دادههای شخصی مطابق با این سیاست، ایجاد هماهنگی میان واحدها، انجام بازرسیهای لازم، بهروزرسانی و توسعه سیاست و انتشار آن در محیطهای مربوطه. |
| منشی / دستیار | اطمینان از پایبندی کارکنان به سیاست، انجام بازرسیهای لازم و اجرای سایر وظایف محوله توسط پزشک صاحب مطب. همچنین ارائه راهکارهای فنی موردنیاز برای اجرای سیاست. |
۹. عناوین پرسنل، واحدها و تقسیم وظایف
تمامی واحدها و کارکنان موظفاند در چارچوب سیاست، اقدامات فنی و اداری لازم را بهطور کامل اجرا کنند. این شامل آموزش و افزایش آگاهی کارکنان، نظارت و بازرسی مستمر، جلوگیری از پردازش غیرقانونی دادههای شخصی، جلوگیری از دسترسی غیرمجاز به دادههای شخصی و اطمینان از نگهداری قانونی دادهها در تمام محیطهایی است که دادههای شخصی در آنها پردازش میشوند. واحدهای مسئول موظفاند از این اقدامات حمایت فعال داشته باشند.
وظایف و مسئولیتها
| مسئول | شرح وظایف |
|---|---|
| پزشک صاحب مطب | اطمینان از انجام فرآیندهای نگهداری و امحای دادههای شخصی مطابق با این سیاست، ایجاد هماهنگی میان واحدها، انجام بازرسیهای لازم، بهروزرسانی و توسعه سیاست و انتشار آن در محیطهای مربوطه. |
| منشی / دستیار | اطمینان از پایبندی کارکنان به سیاست، انجام بازرسیهای لازم و اجرای سایر وظایف محوله توسط پزشک صاحب مطب. همچنین ارائه راهکارهای فنی موردنیاز برای اجرای سیاست. |
۱۱. احکام نهایی
این سیاست بهعنوان سندی رسمی توسط مسئول داده تهیه و تأیید شده و هدف آن ایجاد چارچوبی شفاف، منسجم و کارآمد برای حفاظت از دادههای شخصی در تمامی فرآیندهای سازمانی است.
بهمنظور تضمین آگاهی تمامی افراد ذیربط، این سیاست:
در محلهای مناسب داخل مؤسسه (مانند تابلوهای اطلاعرسانی، اتاقهای اداری و بخشهای خدماتی) نصب گردیده است،
و همزمان در وبسایت رسمی مؤسسه به نشانی https://dratacan.com/ منتشر شده است تا دسترسی عمومی و آزاد برای بیماران، همراهان، کارکنان و تمامی اشخاص ذینفع فراهم باشد.
این سیاست برای تمامی واحدها و کارکنان لازمالاجرا است و پایبندی به مفاد آن بخشی جداییناپذیر از مسئولیت حرفهای و وظایف اداری به شمار میرود. هرگونه نقض یا عدم رعایت مفاد این سیاست، طبق مقررات داخلی و قوانین مرتبط، مورد پیگیری قرار خواهد گرفت.
نسخه نهایی سیاست حاضر از تاریخ انتشار لازمالاجرا است و تمامی بهروزرسانیهای آتی نیز بلافاصله اعمال و ابلاغ خواهند شد.
