سیاست ذخیره و تخریب داده های شخصی
1. ورود
1.1 هدف
سیاست ذخیره و تخریب داده های شخصی ("خط مشی")،
عنوان کنترل کننده داده: دانشیار دکتر. آتا کان
آدرس کنترلر داده: İnönü، نظامی سی دی. No:9 D:No:1, 34373 Şişli/Istanbul
تلفن کنترلر داده: 0536 576 66 66
ایمیل کنترلر داده: atababay@yahoo.com
وب سایت کنترلر داده: https://dratacan.com/
برای تعیین رویه ها و اصول مربوط به کارها و تراکنش های مربوط به ذخیره سازی و تخریب داده های شخصی فعالیت های انجام شده توسط کنترل کننده داده تهیه شده است.
تجارت ما؛ پردازش دادههای شخصی را که ما در راستای مأموریت قانونی، چشمانداز و اصول اولیه پردازش میکنیم، مطابق با قانون اساسی جمهوری ترکیه، موافقتنامههای بینالمللی، قانون حفاظت از دادههای شخصی شماره 6698 (") در اولویت قرار داده است. قانون») و سایر قوانین مربوطه، و اطمینان از اینکه افراد مربوطه از حقوق خود به طور مؤثر استفاده می کنند.
کار و معاملات مربوط به ذخیره سازی و از بین بردن داده های شخصی مطابق با خط مشی تهیه شده بر این اساس انجام می شود.
1.2 محدوده
دادههای شخصی بیماران، همراهان، پرسنل، نامزدهای پرسنل و ارائهدهندگان خدمات در محدوده این خطمشی است و این خطمشی برای همه محیطهای ضبط که در آن دادههای شخصی مدیریت شده توسط کسبوکار ما پردازش میشود و فعالیتهای مربوط به پردازش دادههای شخصی اعمال میشود.
1.3 اختصارات و تعاریف
از جمله شرایط قانونی و فنی مندرج در این سیاست؛
گروه خریدار | دسته اشخاص حقیقی یا حقوقی که داده های شخصی توسط کنترل کننده داده به آنها منتقل می شود |
رضایت صریح | رضایت در مورد موضوعی خاص، بر اساس اطلاعات و با اراده آزاد بیان شده است. |
ناشناس سازی | فرآیند غیرممکن کردن ارتباط داده های شخصی با یک شخص حقیقی شناسایی شده یا قابل شناسایی به هر نحوی، حتی با تطبیق آن با سایر داده ها، |
کارگر | پرسنل تجاری، |
EBYS | سیستم مدیریت اسناد الکترونیکی، |
محیط الکترونیکی | محیط هایی که می توان داده های شخصی را با دستگاه های الکترونیکی ایجاد، خواند، تغییر داد و نوشت |
رسانه های غیر الکترونیکی | کلیه مکتوب، چاپی، تصویری و غیره به جز رسانه های الکترونیکی. محیط های دیگر، |
ارائه دهنده خدمات | شخص حقیقی یا حقوقی که در چارچوب یک قرارداد خاص با کسب و کار ما خدمات ارائه می دهد |
شخص مرتبط | شخص حقیقی که داده های شخصی او پردازش می شود، |
کاربر مرتبط | افرادی که دادههای شخصی را در سازمان کنترلکننده داده یا در راستای اختیارات و دستورالعملهای دریافتی از کنترلکننده داده پردازش میکنند، به استثنای شخص یا واحد مسئول ذخیرهسازی فنی، حفاظت و پشتیبانگیری از دادهها، |
تخریب | حذف، از بین بردن یا ناشناس سازی داده های شخصی، |
قانون | قانون حمایت از داده های شخصی شماره 6698 مورخ 1395/03/24، |
رسانه ضبط | هر محیطی که حاوی دادههای شخصی است که بهوسیلهای کاملاً یا جزئی خودکار یا غیر خودکار پردازش میشود، مشروط بر اینکه بخشی از هر سیستم ثبت داده باشد، |
اطلاعات شخصی | هر گونه اطلاعات در مورد یک شخص حقیقی شناسایی شده یا قابل شناسایی، |
فهرست پردازش داده های شخصی | فعالیت های پردازش داده های شخصی که توسط کنترل کننده های داده بسته به فرآیندهای تجاری آنها انجام می شود. با تشریح اهداف و دلیل قانونی پردازش داده های شخصی، دسته داده ها، گروه گیرنده منتقل شده و حداکثر مدت نگهداری مورد نیاز برای اهدافی که داده های شخصی برای آنها پردازش می شود با مرتبط کردن آنها با گروه موضوع داده، داده های شخصی پیش بینی شده است. به کشورهای خارجی و اقدامات انجام شده در خصوص امنیت داده ها.
موجودی دقیق، |
اطلاعات شخصی
در حال پردازش |
به دست آوردن، ثبت، ذخیره، حفظ، تغییر، تنظیم مجدد، افشا، انتقال، تصاحب، در دسترس قرار دادن، طبقه بندی یا استفاده از داده های شخصی به روش های کاملاً یا جزئی خودکار یا غیر خودکار، مشروط بر اینکه بخشی از هر سیستم ثبت داده باشد. بر روی داده هایی مانند مسدود کردن، |
هیئت مدیره | هیئت حفاظت از داده های شخصی، |
شخصی واجد شرایط ویژه
داده ها |
دادههای مربوط به نژاد، منشاء قومی، اندیشه سیاسی، عقاید فلسفی، مذهب، فرقه یا سایر عقاید، ظاهر و لباس، انجمن، عضویت در بنیاد یا اتحادیه، سلامت، زندگی جنسی، محکومیت جنایی و اقدامات امنیتی، و دادههای بیومتریک و ژنتیکی، |
تخریب دوره ای | در صورت حذف کلیه شرایط پردازش داده های شخصی مندرج در قانون، فرآیند حذف، انهدام یا ناشناس سازی مندرج در خط مشی ذخیره و انهدام داده های شخصی مشخص شده و به صورت رسمی در فواصل زمانی مکرر انجام می شود. |
خط مشی | سیاست ذخیره و تخریب داده های شخصی، |
داده پرداز | شخص حقیقی یا حقوقی که داده های شخصی را از طرف کنترل کننده داده ها بر اساس اختیارات داده شده توسط کنترل کننده داده پردازش می کند. |
سیستم ثبت اطلاعات | سیستم ضبط که در آن داده های شخصی بر اساس معیارهای خاصی ساختار و پردازش می شود، |
VERBIS | سیستم اطلاعاتی رجیستری کنترلرهای داده، |
کنترل کننده داده ها | شخص حقیقی یا حقوقی که اهداف و ابزار پردازش داده های شخصی را تعیین می کند و مسئولیت ایجاد و مدیریت سیستم ثبت داده ها را بر عهده دارد. |
مقررات | مقررات حذف، تخریب یا ناشناس سازی داده های شخصی منتشر شده در روزنامه رسمی مورخ 28 اکتبر 2017، |
بیان می کند.
2. توضیحات در مورد ذخیره سازی و دفع
داده های شخصی پردازش شده توسط کسب و کار ما مطابق با قانون ذخیره می شود و در پایان دوره ذخیره سازی از بین می رود.
2.1 توضیحات در مورد ذخیره سازی
در ماده 3 قانون، مفهوم پردازش داده های شخصی تعریف شده است، در ماده 4 آمده است که داده های شخصی پردازش شده باید مرتبط با هدفی که برای آن پردازش می شوند، محدود و متناسب باشد و برای مدت زمان نگهداری شوند. طبق قوانین مربوطه و یا برای هدفی که پردازش می شوند و در مواد 5 و 6 آمده است که پردازش داده های شخصی باید محدود و متناسب باشد.شرایط ذکر شده است.
بر این اساس، داده های شخصی برای مدت مقرر در قانون مربوطه یا برای دوره مناسب با اهداف پردازش ما ذخیره می شود.
2.1.1 دلایل قانونی نیاز به ذخیره سازی داده های شخصی
اگر حداقل یکی از دلایل قانونی ذکر شده در زیر وجود داشته باشد، داده های شخصی پردازش شده پردازش و ذخیره می شود.
- به وضوح در قانون پیش بینی شده است
- پردازش داده های طرفین برای اجرای قرارداد ضروری است
- برای کنترل کننده داده ها الزامی است که به تعهدات قانونی خود عمل کند
- پردازش داده ها برای ایجاد، اعمال یا حمایت از یک حق اجباری است
- پردازش داده ها برای منافع مشروع کنترل کننده داده اجباری است، مشروط بر اینکه به حقوق و آزادی های اساسی موضوع داده لطمه ای وارد نشود.
- انجام خدمات پیشگیرانه، تشخیص پزشکی، درمان و مراقبت
- رضایت صریح
2.1.2 اهداف پردازشی که نیاز به ذخیره سازی دارند
داده های شخصی برای اهداف ذکر شده در زیر پردازش و ذخیره می شود.
- انجام فرآیندهای درخواست داوطلبان کارمند
- انجام تعهدات ناشی از قراردادهای کار و قوانین برای کارکنان
- انجام فرآیندهای مزایا و مزایای جانبی برای کارکنان
- انجام فعالیت های آموزشی
- اجرای مجوزهای دسترسی
- انجام فعالیت ها بر اساس قانون
- انجام امور مالی و حسابداری
- تامین امنیت فضای فیزیکی
- انجام فرآیندهای واگذاری
- پیگیری و اجرای امور حقوقی
- انجام فعالیت های ارتباطی
- برنامه ریزی فرآیندهای منابع انسانی
- انجام فعالیت های ایمنی و بهداشت حرفه ای
- دریافت و ارزیابی پیشنهادات برای بهبود فرآیندهای کسب و کار
- انجام فرآیندهای ارزیابی عملکرد
- انجام فعالیت های ذخیره سازی و بایگانی
- اجرای فرآیندهای قرارداد
- پیگیری درخواست ها و شکایات
- تضمین امنیت کالاها و منابع منقول
- تضمین امنیت عملیات کنترلر داده ها
- ارائه اطلاعات به اشخاص، موسسات و سازمان های مجاز
- انجام فعالیت های تبلیغاتی
2.2 دلایلی که نیاز به تخریب دارند
اطلاعات شخصی؛
- اصلاح یا لغو مقررات قانونی مربوطه که مبنای پردازش را تشکیل می دهد،
- هدفی که نیاز به پردازش یا ذخیره سازی دارد حذف می شود،
- در مواردی که پردازش داده های شخصی فقط بر اساس رضایت صریح صورت می گیرد، مربوطه
انصراف از رضایت صریح فرد،
- کسب و کار ما درخواست ارائه شده توسط شخص مربوطه را برای حذف و از بین بردن داده های شخصی وی در چارچوب حقوق وی مطابق با ماده 11 قانون می پذیرد.
- در مواردی که کسب و کار ما درخواست ارائه شده توسط شخص مربوطه را که درخواست حذف، از بین بردن یا ناشناس سازی داده های شخصی را دارد رد کند، پاسخ داده شده را ناکافی بداند یا در بازه زمانی مقرر در قانون پاسخ ندهد؛ شکایت به هیأت مدیره و تأیید این درخواست توسط هیأت،
- حداکثر دوره ای که نیاز به ذخیره داده های شخصی دارد گذشته است و هیچ شرایطی وجود ندارد که ذخیره داده های شخصی را برای مدت طولانی تر توجیه کند.
در چنین مواردی، بنا به درخواست شخص مربوطه، توسط کسب و کار ما حذف، از بین می رود یا به صورت رسمی حذف، از بین می رود یا ناشناس می شود.
3. اقدامات فنی و اداری
به منظور ذخیره ایمن دادههای شخصی، جلوگیری از پردازش و دسترسی غیرقانونی به دادههای شخصی و از بین بردن دادههای شخصی طبق قانون، اقدامات فنی و اداری در چارچوب اقدامات کافی تعیین و اعلام شده توسط هیئت برای دادههای شخصی خاص در کشور انجام میشود. مطابق ماده 12 قانون و بند چهارم ماده 6 قانون اقدامات لازم انجام می شود.
3.1 فنی موارد احتیاط
اقدامات فنی انجام شده در مورد داده های شخصی پردازش شده در زیر ذکر شده است:
- امنیت شبکه و امنیت برنامه تضمین شده است.
- اقدامات امنیتی در محدوده تامین، توسعه و نگهداری سیستم های فناوری اطلاعات انجام می شود.
- اختیارات کارمندانی که در این زمینه تغییر وظیفه کرده یا شغل خود را ترک می کنند، حذف می شود.
- از سیستم های ضد ویروس به روز استفاده می شود.
- فایروال ها استفاده می شود.
- بررسی های دوره ای مجوز برای کارمندانی که به داده های شخصی حساس دسترسی دارند انجام می شود.
- بهروزرسانیهای امنیتی برای محیطهایی که دادهها در آن ذخیره میشوند دائماً نظارت میشوند، آزمایشهای امنیتی لازم به طور منظم انجام یا انجام میشوند و نتایج آزمایش ثبت میشوند.
- تست های امنیتی نرم افزارهایی که به داده های شخصی حساس دسترسی دارند به طور منظم انجام می شود و نتایج آزمایش ثبت می شود.
- برای داده های شخصی ذخیره شده در محیط دیجیتال، فرآیندهای حذف، تخریب یا ناشناس سازی دوره ای انجام می شود.
3.2 اقدامات اداری
اقدامات اداری انجام شده در مورد داده های شخصی پردازش شده به شرح زیر است:
- مقررات انضباطی برای کارکنان وجود دارد که شامل مقررات امنیت داده ها می شود.
- فعالیتهای آموزشی و آگاهیبخشی در فواصل منظم برای کارکنان در رابطه با امنیت دادهها انجام میشود.
- سیاست های شرکت در زمینه دسترسی، امنیت اطلاعات، استفاده، ذخیره سازی و تخریب تهیه و اجرا شده است.
- تعهدات محرمانه انجام می شود.
- قراردادهای امضا شده حاوی مفاد امنیت داده است.
- اقدامات امنیتی اضافی برای داده های شخصی که از طریق کاغذ منتقل می شود و اسناد مربوطه در قالب اسناد محرمانه ارسال می شود.
- خط مشی ها و رویه های امنیت داده های شخصی تعیین شده است.
- مسائل مربوط به امنیت داده های شخصی به سرعت گزارش می شود.
- امنیت داده های شخصی نظارت می شود.
- اقدامات امنیتی لازم در خصوص ورود و خروج به محیط های فیزیکی حاوی اطلاعات شخصی انجام می شود.
- امنیت محیط های فیزیکی حاوی داده های شخصی در برابر خطرات خارجی (آتش سوزی، سیل و غیره) تضمین می شود.
- امنیت محیط های حاوی داده های شخصی تضمین می شود.
- داده های شخصی تا حد امکان کاهش می یابد.
- ممیزی های دوره ای و/یا تصادفی در داخل موسسه انجام می شود.
- پروتکل ها و رویه هایی برای امنیت داده های شخصی خاص تعیین و اجرا شده است.
- اگر قرار است دادههای شخصی خاصی از طریق ایمیل ارسال شوند، باید به صورت رمزگذاری شده و با استفاده از یک KEP یا حساب پستی شرکتی ارسال شوند.
- دامنه مجوز و مدت زمان کاربرانی که مجاز به دسترسی به داده های شخصی حساس هستند به وضوح تعریف شده است.
- موجودی تخصیص یافته به کارکنانی که موقعیت خود را تغییر داده یا شغل خود را ترک می کنند، برگردانده می شود.
- فهرستی از اطلاعات شخصی تهیه شده است.
- فرآیندهای حذف، تخریب یا ناشناس سازی به صورت دوره ای انجام می شود.
4. دوره ذخیره سازی و دفع
با توجه به داده های شخصی پردازش شده توسط کسب و کار ما در محدوده فعالیت های آن؛ دوره های نگهداری در سیاست ذخیره و تخریب داده های شخصی گنجانده شده است.
در صورت لزوم، بهروزرسانیهایی برای این دورههای نگهداری انجام میشود.
برای داده های شخصی که دوره ذخیره سازی آنها منقضی شده است، حذف، تخریب یا ناشناس سازی به طور رسمی در اولین دوره تخریب دوره ای پس از پایان دوره ذخیره سازی انجام می شود.
4.1 جدول دوره های نگهداری
داده های پردازش شده | رده تماس | دوره ذخیره سازی |
اطلاعات شناسنامه | کارگر | 15 سال پس از خاتمه رابطه استخدامی فعال |
کاندیدای کارمند | در صورت رد درخواست کار ذخیره نمی شود. | |
صبور | 20 سال از پایان درمان | |
همراه و همدم | در حین خدمت | |
اشخاص حقیقی ارائه دهنده خدمات خارجی | 10 سال از پایان خدمت | |
اطلاعات تماس | کارگر | 15 سال پس از خاتمه رابطه استخدامی فعال |
کاندیدای کارمند | در صورت رد درخواست کار ذخیره نمی شود. | |
صبور | 20 سال از پایان درمان | |
همراه و همدم | در حین خدمت | |
اشخاص حقیقی ارائه دهنده خدمات خارجی | 10 سال از پایان خدمت | |
داده های سلامت شخصی | کارگر | 15 سال پس از خاتمه رابطه استخدامی فعال |
کاندیدای کارمند | در صورت رد درخواست کار ذخیره نمی شود. | |
صبور | 20 سال از پایان درمان | |
اطلاعات محکومیت کیفری و اقدامات امنیتی | کارگر | 10 سال پس از خاتمه رابطه استخدامی فعال |
کاندیدای کارمند | در صورت رد درخواست کار ذخیره نمی شود. | |
پرسنل | کارگر | 10 سال پس از خاتمه رابطه استخدامی فعال |
کاندیدای کارمند | در صورت رد درخواست کار ذخیره نمی شود. | |
اقدام قانونی | کارمند و بیمار | 10 سال از پایان مراحل قانونی |
امنیت معاملات | کارمند و بیمار | 2 سال |
معامله مشتری | صبور | 20 سال |
اشخاص حقیقی ارائه دهنده خدمات خارجی | 10 سال از پایان خدمت | |
دارایی، مالیه، سرمایه گذاری | صبور | 20 سال |
کارگر | 10 سال | |
ضبط های دوربین | برای همه گروه های مردم | 2 ماه |
تجربه حرفه ای | کارگر | 10 سال پس از خاتمه رابطه استخدامی فعال |
کاندیدای کارمند | اگر فرآیند درخواست شغل منفی باشد، ذخیره نمی شود | |
سوابق سمعی و بصری
|
کارگر | 15 سال پس از خاتمه رابطه استخدامی فعال |
صبور | 20 سال از پایان درمان | |
کاندیدای کارمند | اگر فرآیند درخواست شغل منفی باشد، ذخیره نمی شود |
4.2 دوره های تخریب
کسب و کار ما به صورت رسمی، داده های شخصی را مطابق با اصول و رویه های تعیین شده در این خط مشی، در اولین فرآیند تخریب دوره ای پس از تاریخی که تعهد به حذف، از بین بردن یا ناشناس کردن داده های شخصی مطابق با مفاد است، حذف، از بین می برد یا ناشناس می کند. قانون و مقررات مطرح می شود.
اگر کنترلکننده دادهها با استفاده از حق درخواست حذف دادههای شخصی مندرج در ماده 13 قانون، از ما درخواست کند؛
- اگر تمام شرایط برای پردازش داده های شخصی حذف شده باشد. داده های شخصی موضوع درخواست با روش تخریب مناسب ظرف 30 (سی) روز از روز دریافت درخواست حذف، نابود یا ناشناس می شود.
- در صورتی که تمامی شرایط پردازش داده های شخصی برطرف نشده باشد، ممکن است با توضیح دلیل درخواست مطابق بند سوم ماده 13 قانون، درخواست رد شود و پاسخ رد به اطلاع شخص مربوطه خواهد رسید. کتبی یا الکترونیکی حداکثر ظرف 30 (سی) روز.
5. دوره تخریب دوره ای
بر اساس ماده 11 آیین نامه مدت انهدام دوره ای 6 ماه تعیین شده است.
روش های دفع
در پایان دوره مقرر در قانون مربوطه یا دوره ذخیره سازی مورد نیاز برای هدفی که آنها پردازش می شوند، داده های شخصی به طور رسمی یا بنا به درخواست شخص مربوطه با استفاده از تکنیک های مشخص شده در زیر، مطابق با مفاد قانون مربوطه
5.1 حذف داده های شخصی
داده های شخصی با روش های زیر حذف می شوند.
محیط ثبت داده ها | توضیح |
داده های شخصی روی سرورها | برای داده های شخصی روی سرورهایی که دوره نگهداری آنها به پایان رسیده است، مدیر سیستم مجوز دسترسی کاربران مربوطه را حذف و آنها را حذف می کند. |
داده های شخصی در رسانه های الکترونیکی | از میان داده های شخصی موجود در محیط الکترونیکی، مواردی که مدت نگهداری آنها به پایان رسیده است، به هیچ وجه برای سایر کارکنان (کاربران مربوطه) به جز مدیر پایگاه غیرقابل دسترس و غیرقابل استفاده می شوند. |
داده های شخصی در محیط فیزیکی | دادههای شخصی که در محیط فیزیکی نگهداری میشوند، برای کسانی که مدت نگهداری آنها به پایان رسیده است، برای همه کارکنان غیر از مدیر واحد مسئول بایگانی اسناد غیرقابل دسترس و غیرقابل استفاده میشود. علاوه بر این، سیاهکردن نیز با کشیدن/رنگآمیزی/پاک کردن سطح انجام میشود تا قابل خواندن نباشد. |
داده های شخصی موجود در رسانه های قابل حمل | از میان دادههای شخصی که در رسانههای ذخیرهسازی مبتنی بر فلش نگهداری میشوند، آنهایی که منقضی شدهاند در محیطهای امن با کلیدهای رمزنگاری ذخیره میشوند و توسط مدیر سیستم رمزگذاری میشوند و مجوز دسترسی فقط به مدیر سیستم داده میشود. |
5.2 تخریب داده های شخصی
داده های شخصی با روش های زیر از بین می روند.
محیط ثبت داده ها | توضیح |
داده های شخصی در محیط فیزیکی | اطلاعات شخصی ذخیره شده روی کاغذ که تاریخ مصرف آنها تمام شده است به طور غیر قابل برگشتی در دستگاه های کاغذ خردکن از بین می روند. |
داده های شخصی موجود در رسانه های نوری / مغناطیسی | دادههای شخصی موجود در رسانههای نوری و رسانههای مغناطیسی که دوره ذخیرهسازی آنها منقضی شده است، از نظر فیزیکی از بین میروند، مانند ذوب، سوزاندن یا پودر شدن. علاوه بر این، داده های موجود در رسانه مغناطیسی با عبور از یک دستگاه خاص و قرار دادن آن در معرض میدان مغناطیسی بالا، غیرقابل خواندن می شوند. |
داده های شخصی در محیط دیجیتال |
دادههای شخصی در محیط دیجیتالی که دوره ذخیرهسازی آنها به پایان رسیده است، به همراه تمام گزارشها و سوابق تراکنشهای پسزمینه و پشتیبانگیریها، بهطور برگشتناپذیر از بین میروند. |
5.3 ناشناس سازی داده های شخصی
ناشناس سازی داده های شخصی به معنای غیرممکن کردن مرتبط کردن داده های شخصی با یک شخص حقیقی شناسایی شده یا قابل شناسایی به هر نحوی است، حتی اگر با داده های دیگر مطابقت داشته باشد.
به منظور ناشناس ماندن اطلاعات شخصی؛ دادههای شخصی باید توسط کنترلکننده داده یا اشخاص ثالث بازگردانده شوند و/یا ارتباط با شخص حقیقی شناسایی شده یا قابل شناسایی غیرممکن شود، حتی از طریق استفاده از تکنیکهای مناسب از نظر محیط ضبط و زمینه فعالیت مرتبط، مانند تطبیق با داده ها با داده های دیگر
در حالی که شرکت ما اطلاعات شخصی را ناشناس می کند، این کار را مطابق با استانداردهای ذکر شده در بالا انجام می دهد. پس از ناشناس شدن داده های شخصی، داده های شخصی را نمی توان به هیچ وجه با یک شخص حقیقی شناسایی شده یا قابل شناسایی مرتبط کرد.
6. اقدامات انجام شده برای اطمینان از قانونی بودن فرآیند دفع
عملیات تخریب که به صورت رسمی بنا به درخواست و طی فرآیندهای تخریب دوره ای انجام می شود، طبق قانون، مقررات و این سیاست انجام می شود. اقدامات فنی و اداری انجام شده در این زمینه به طور جداگانه در زیر نشان داده شده است.
6.1 اقدامات فنی
- حقوق دسترسی به داده های شخصی کارکنان در واحدهای فناوری اطلاعات تحت کنترل است.
- از بین رفتن داده های شخصی به گونه ای تضمین می شود که داده ها قابل بازیافت نباشند و رد پای حسابرسی باقی نماند.
6.2 اقدامات اداری
- به کارکنان در مورد قوانین حفاظت از داده های شخصی، امنیت داده ها و تخریب آموزش داده می شود.
- فرآیندهای تخریب در فواصل زمانی منظم بررسی می شوند. اقدامات لازم برای رفع آسیب پذیری های امنیتی شناسایی شده انجام می شود.
7. رسانه ضبط
داده های شخصی مطابق با مفاد قانون، مقررات و سایر قوانین مربوطه ذخیره می شود. رسانه ضبط اطلاعات شخصی ذخیره شده در این زمینه در جدول زیر نشان داده شده است.
رسانه الکترونیکی | رسانه های غیر الکترونیکی |
سرورها (دامنه، پشتیبان گیری، ایمیل، پایگاه داده، وب، اشتراک گذاری فایل و غیره)
ü نرم افزار (نرم افزار مدتا، نرم افزار آفیس، پورتال.) ü دستگاه های امنیت اطلاعات (فایروال، تشخیص و پیشگیری از نفوذ، فایل لاگ، آنتی ویروس و ...) ü کامپیوتر (رومیزی، لپ تاپ) ü دستگاه های تلفن همراه (تلفن، تبلت و ...) ü دیسک های نوری (CD، DVD و ...) ü حافظه های قابل جابجایی (USB، کارت حافظه و غیره) ü پرینتر، اسکنر، دستگاه فتوکپی، تجهیزات پزشکی |
ü کاغذ
ü سیستم های ثبت دستی داده ها ü رسانه های مکتوب، چاپی و تصویری
|
8. اقدامات انجام شده برای امنیت داده های شخصی
به منظور ذخیره ایمن دادههای شخصی، جلوگیری از پردازش و دسترسی غیرقانونی به دادههای شخصی و از بین بردن دادههای شخصی طبق قانون، اقدامات فنی و اداری در چارچوب اقدامات کافی تعیین و اعلام شده توسط هیئت برای دادههای شخصی خاص در کشور انجام میشود. مطابق ماده 12 قانون و بند چهارم ماده 6 قانون اقدامات لازم انجام می شود.
8.1 اقدامات فنی
اقدامات فنی انجام شده در مورد داده های شخصی پردازش شده در زیر ذکر شده است:
- امنیت شبکه و امنیت برنامه تضمین شده است.
- اقدامات امنیتی در محدوده تامین، توسعه و نگهداری سیستم های فناوری اطلاعات انجام می شود.
- از سیستم های ضد ویروس به روز استفاده می شود.
- فایروال ها استفاده می شود.
- حذف، تخریب یا ناشناس سازی انجام می شود
- از نرم افزارهای پیشگیری از دست دادن داده ها استفاده می شود.
8.2 اقدامات اداری
اقدامات اداری انجام شده در مورد داده های شخصی پردازش شده به شرح زیر است:
- مقررات انضباطی برای کارکنان وجود دارد که شامل مقررات امنیت داده ها می شود.
- فعالیتهای آموزشی و آگاهیبخشی در فواصل منظم برای کارکنان در رابطه با امنیت دادهها انجام میشود.
- سیاست های شرکت در زمینه دسترسی، امنیت اطلاعات، استفاده، ذخیره سازی و تخریب تهیه و اجرا شده است.
- اختیارات کارمندانی که در این زمینه تغییر وظیفه کرده یا شغل خود را ترک می کنند، حذف می شود.
- خط مشی ها و رویه های امنیت داده های شخصی تعیین شده است.
- امنیت داده های شخصی نظارت می شود.
- اقدامات امنیتی لازم در خصوص ورود و خروج به محیط های فیزیکی حاوی اطلاعات شخصی انجام می شود.
- امنیت محیط های فیزیکی حاوی داده های شخصی در برابر خطرات خارجی (آتش سوزی، سیل و غیره) تضمین می شود.
- امنیت محیط های حاوی داده های شخصی تضمین می شود.
- داده های شخصی تا حد امکان کاهش می یابد.
- ممیزی های دوره ای و/یا تصادفی در داخل موسسه انجام می شود.
9. عنوان پرسنل، واحد و توزیع وظیفه
کلیه واحدها و کارکنان موظفند اطمینان حاصل کنند که اقدامات فنی و اداری واحدهای مسئول در محدوده خط مشی به درستی اجرا می شود، آموزش و آگاهی کارکنان واحد افزایش می یابد، نظارت و نظارت مستمر آنها تضمین می شود و داده های شخصی انجام می شود. از پردازش غیرقانونی، دسترسی غیرقانونی به دادههای شخصی جلوگیری میشود و اطلاعات شخصی در برابر قانون محافظت میشود و فعالانه از واحدهای مسئول در انجام اقدامات فنی و اداری برای اطمینان از امنیت دادهها در تمام محیطهایی که دادههای شخصی پردازش میشوند، حمایت میکند تا اطمینان حاصل شود. ذخیره سازی مناسب
توزیع عناوین و شرح وظایف افراد درگیر در فرآیندهای ذخیره و تخریب داده های شخصی در جدول زیر آورده شده است.
افسر | شرح شغل |
پزشک مالک تمرین کنید | مسئولیت حصول اطمینان از انجام فرآیندهای ذخیره سازی و تخریب داده های شخصی پردازش شده مطابق با این خط مشی، اطمینان از هماهنگی بین واحدها، انجام بازرسی های لازم، تدوین خط مشی، انتشار و به روز رسانی آن در رسانه های مربوطه را بر عهده دارد.
|
منشی/دستیار | اطمینان حاصل شود که کارکنان مطابق با خط مشی عمل می کنند، بازرسی های لازم را انجام می دهند و سایر وظایف محول شده توسط پزشک صاحب مطب را انجام می دهند.
مسئول ارائه راه حل های فنی مورد نیاز در اجرای خط مشی است. |
10. به روز رسانی به سیاست
ممکن است تغییراتی در این خطمشی ذخیرهسازی و تخریب دادههای شخصی به دلیل تغییر در قوانین، مطابق با تصمیمات هیئت مدیره یا در راستای تحولات در بخش یا حوزه انفورماتیک ایجاد شود. تغییرات ایجاد شده در این زمینه بلافاصله در متن ثبت می شود و توضیحات مربوط به تغییرات به جدول به روز رسانی زیر اضافه می شود.
جدول به روز رسانی
……………………………. | سیاست پردازش و تخریب داده های شخصی لازم الاجرا شده است. |
11. مقررات نهایی
این خط مشی ذخیره و تخریب داده های شخصی توسط کنترل کننده داده تهیه شده است.
- در مکان های مناسب در کسب و کار
- https://dratacan.com/ از وب سایت ما
اعلام و به افراد مربوطه ابلاغ شد.