top of page

خط مشی- سیاست حفاظت از داده های GDPR

 

شما باید این خط مشی را بخوانید زیرا اطلاعات مهمی در مورد:

 

  • اصول حفاظت از داده ها که شرکت باید از آنها پیروی کند؛

  • منظور از اطلاعات شخصی (یا داده ها) و اطلاعات شخصی حساس (یا داده ها) چیست؟

  • نحوه جمع آوری، استفاده و (در نهایت) حذف اطلاعات شخصی و اطلاعات شخصی حساس مطابق با اصول حفاظت از داده ها؛

  • جایی که می توان اطلاعات حریم خصوصی دقیق تری پیدا کرد، به عنوان مثال در مورد اطلاعات شخصی که ما در مورد شما جمع آوری می کنیم و استفاده می کنیم، نحوه استفاده، ذخیره و انتقال آن، برای چه اهدافی، اقدامات انجام شده برای ایمن نگه داشتن آن اطلاعات و مدت نگهداری آن ها.

  • حقوق و تعهدات شما در رابطه با حفاظت از داده ها؛ و

  • پیامدهای عدم رعایت این سیاست

 

  1. معرفی

 

  1. شرکت اطلاعات شخصی (که به عنوان داده نیز نامیده می شود) در مورد متقاضیان کار و در مورد کارکنان فعلی و سابق، کارگران موقت و نمایندگی، پیمانکاران، کارورزان، داوطلبان و کارآموزان برای تعدادی اهداف قانونی خاص، به دست می آورد، و استفاده می کند. اعلامیه های حریم خصوصی حفاظت از داده های شرکت مربوط به استخدام و استخدام.

 

  1. این خط‌مشی نحوه رعایت تعهدات حفاظت از داده‌هایمان را مشخص می‌کند و به دنبال محافظت از اطلاعات شخصی مربوط به نیروی کارمان است. هدف آن همچنین اطمینان از این است که کارکنان قوانین مربوط به جمع آوری، استفاده و حذف اطلاعات شخصی را که ممکن است در جریان کار خود به آنها دسترسی داشته باشند، درک کرده و از آنها پیروی می کنند.

 

  1. ما متعهد هستیم که از تعهدات حفاظت از داده خود پیروی کنیم و در مورد نحوه به دست آوردن و استفاده از اطلاعات شخصی مربوط به نیروی کارمان مختصر، واضح و شفاف باشیم، و چگونه (و چه زمانی) آن اطلاعات را زمانی که دیگر مورد نیاز نیست حذف کنیم.

 

  1. افسر حفاظت از داده های شرکت، مسئول اطلاع رسانی و مشاوره به شرکت و کارکنان آن در مورد تعهدات حفاظت از داده ها و نظارت بر رعایت این تعهدات و سیاست های شرکت است. اگر سؤال یا نظری در مورد محتوای این خط‌مشی دارید یا اگر به اطلاعات بیشتری نیاز دارید، باید با ایمیل افسر حفاظت از داده‌ها تماس بگیرید:dpo@confirmsend.co.

 

  1. محدوده

 

  1. این سیاست در مورد اطلاعات شخصی متقاضیان کار و کارکنان فعلی و سابق، از جمله کارمندان، کارگران موقت و آژانس، کارآموزان، داوطلبان و کارآموزان اعمال می شود.

 

  1. کارکنان باید به اطلاعیه حریم خصوصی حفاظت از داده‌های شرکت و در صورت لزوم به سایر سیاست‌های مربوطه از جمله در رابطه با اینترنت، ایمیل و ارتباطات، نظارت، رسانه‌های اجتماعی، امنیت اطلاعات، نگهداری داده‌ها و اطلاعات سوابق جنایی مراجعه کنند که حاوی اطلاعات بیشتر در مورد حفاظت از اطلاعات شخصی در آن زمینه ها

 

  1. ما این خط مشی را به طور منظم مطابق با تعهدات حفاظت از داده خود بررسی و به روز خواهیم کرد. این بخشی از قرارداد استخدام کارمند نیست و ممکن است هر از چند گاهی آن را اصلاح، به روز یا تکمیل کنیم. ما هر خط مشی جدید یا اصلاح شده را قبل از اتخاذ آن به کارکنان ابلاغ خواهیم کرد.

 

  1. تعاریف

 

  1. اطلاعات سوابق کیفری

به معنی اطلاعات شخصی مربوط به محکومیت ها و جرایم جنایی، ادعاها، دادرسی ها و اقدامات امنیتی مرتبط؛

 

  1. نقض داده ها

به معنای نقض امنیت است که منجر به تخریب تصادفی یا غیرقانونی، از دست دادن، تغییر، افشای غیرمجاز یا دسترسی به اطلاعات شخصی می شود.

 

  1. موضوع داده

به معنای فردی است که اطلاعات شخصی به او مربوط می شود.

 

  1. اطلاعات شخصی

(گاهی اوقات به عنوان داده های شخصی شناخته می شود) به اطلاعات مربوط به فردی است که می تواند (مستقیم یا غیر مستقیم) از آن اطلاعات شناسایی شود.

 

  1. پردازش اطلاعات

به معنای به دست آوردن، ثبت، سازماندهی، ذخیره، اصلاح، بازیابی، افشا و/یا از بین بردن اطلاعات، یا استفاده یا انجام هر کاری با آن است.

 

  1. نام مستعار

به معنای فرآیندی است که طی آن اطلاعات شخصی به گونه‌ای پردازش می‌شود که نمی‌توان از آن برای شناسایی یک فرد بدون استفاده از اطلاعات اضافی استفاده کرد که به طور جداگانه نگهداری می‌شود و مشروط به اقدامات فنی و سازمانی است تا اطمینان حاصل شود که اطلاعات شخصی نمی‌تواند به آن نسبت داده شود. یک فرد قابل شناسایی؛

 

  1. اطلاعات شخصی حساس

(گاهی به عنوان «دسته‌های ویژه داده‌های شخصی» یا «داده‌های شخصی حساس» شناخته می‌شود) به اطلاعات شخصی در مورد نژاد، منشأ قومی، عقاید سیاسی، اعتقادات مذهبی یا فلسفی، عضویت در اتحادیه‌های کارگری (یا عدم عضویت)، اطلاعات ژنتیکی، اطلاعات بیومتریک (در مواردی که برای شناسایی یک فرد استفاده می شود) و اطلاعات مربوط به سلامت، زندگی جنسی یا گرایش جنسی یک فرد.

 

  1. اصول حفاظت از داده ها

 

  1. این شرکت هنگام پردازش اطلاعات شخصی از اصول حفاظت از داده های زیر پیروی می کند:

 

  1. ما اطلاعات شخصی را به صورت قانونی، منصفانه و شفاف پردازش خواهیم کرد.

 

  1. ما اطلاعات شخصی را فقط برای اهداف مشخص، صریح و مشروع جمع‌آوری می‌کنیم و آن‌ها را به گونه‌ای پردازش نمی‌کنیم که با آن اهداف قانونی سازگار نباشد.

 

  1. ما فقط اطلاعات شخصی را پردازش خواهیم کرد که برای اهداف مربوطه کافی، مرتبط و ضروری باشد.

 

  1. ما اطلاعات شخصی دقیق و به روز را حفظ خواهیم کرد و اقدامات منطقی را برای اطمینان از حذف یا تصحیح اطلاعات شخصی نادرست بدون تاخیر انجام خواهیم داد.

 

  1. ما اطلاعات شخصی را به شکلی نگه می داریم که امکان شناسایی افراد موضوع داده را برای اهدافی که اطلاعات برای آنها پردازش می شود لازم نباشد. و

 

  1. ما اقدامات فنی و سازمانی مناسبی را انجام خواهیم داد تا اطمینان حاصل شود که اطلاعات شخصی در برابر پردازش غیرمجاز یا غیرقانونی و در برابر از دست دادن، تخریب یا آسیب تصادفی محافظت می شود.

 

  1. مبنای پردازش اطلاعات شخصی

 

  1. در رابطه با هر فعالیت پردازشی، قبل از شروع پردازش برای اولین بار، و سپس به طور منظم در حالی که ادامه دارد، انجام می دهیم:

 

  1. اهداف فعالیت پردازشی خاص را بررسی کنید و مناسب ترین مبنای قانونی (یا مبانی) را برای آن پردازش انتخاب کنید، به عنوان مثال:

 

  1. اینکه موضوع داده با پردازش موافقت کرده است؛

 

  1. اینکه پردازش برای اجرای قراردادی که موضوع داده طرف آن است یا به منظور انجام اقداماتی بنا به درخواست موضوع داده قبل از انعقاد قرارداد ضروری است.

 

  1. اینکه پردازش برای انطباق با تعهد قانونی که شرکت مشمول آن است ضروری است.

 

  1. اینکه پردازش برای حفاظت از منافع حیاتی موضوع داده یا شخص حقیقی دیگر ضروری است.

 

  1. که پردازش برای انجام وظیفه ای که به نفع عمومی انجام می شود ضروری است

 

  1. که پردازش برای اهداف مشروع شرکت یا شخص ثالث ضروری است، به استثنای مواردی که این منافع تحت تأثیر منافع حقوق اساسی و آزادی های موضوع داده قرار گرفته باشد - به بند 5.2 زیر مراجعه کنید.

 

  1. به جز در مواردی که پردازش مبتنی بر رضایت است، خودمان را قانع کنیم که پردازش برای هدف مبنای قانونی مربوطه ضروری است (یعنی هیچ راه معقول دیگری برای دستیابی به آن هدف وجود ندارد).

 

  1. برای کمک به نشان دادن انطباق ما با اصول حفاظت از داده، تصمیم خود را در مورد اینکه کدام مبنای قانونی اعمال می شود، مستند کنید.

 

 

  1. شامل اطلاعاتی در مورد اهداف پردازش و مبنای قانونی آن در اعلامیه(های) حریم خصوصی مربوطه ما باشد.

 

  1. در جایی که اطلاعات شخصی حساس پردازش می شود، شرایط ویژه قانونی برای پردازش آن اطلاعات را نیز شناسایی کنید (به بند 6.2.2 زیر مراجعه کنید)، و آن را مستند کنید. و

 

  1. در جایی که اطلاعات جرم کیفری پردازش می شود، شرایط قانونی برای پردازش آن اطلاعات را نیز شناسایی کنید و آن را مستند کنید.

 

  1. هنگام تعیین اینکه آیا منافع مشروع شرکت مناسب ترین مبنای برای پردازش قانونی است، ما موارد زیر را انجام خواهیم داد:

 

  1. ارزیابی منافع مشروع (LIA) را انجام دهید و سابقه آن را نگه دارید تا اطمینان حاصل شود که می توانیم تصمیم خود را توجیه کنیم.

 

  1. اگر LIA تأثیر قابل توجهی بر حفظ حریم خصوصی را شناسایی کند، در نظر بگیرید که آیا ما نیز نیاز به انجام ارزیابی تأثیر حفاظت از داده (DPIA) داریم یا خیر.

 

  1. LIA را تحت بررسی نگه دارید و در صورت تغییر شرایط آن را تکرار کنید. و

 

  1. اطلاعات مربوط به منافع مشروع ما را در اعلامیه(های) حریم خصوصی مربوطه ما لحاظ کنید.

 

  1. اطلاعات شخصی حساس

 

  1. اطلاعات شخصی حساس گاهی اوقات به عنوان "دسته های ویژه داده های شخصی" یا "داده های شخصی حساس" نامیده می شود.

 

  1. شرکت ممکن است هر از گاهی نیاز به پردازش اطلاعات شخصی حساس داشته باشد. ما فقط اطلاعات شخصی حساس را پردازش خواهیم کرد در صورتی که:

 

  1. ما یک مبنای قانونی برای انجام این کار داریم که در بند 5.1.1 در بالا ذکر شده است، به عنوان مثال برای اجرای قرارداد کار، پیروی از تعهدات قانونی شرکت یا برای اهداف منافع قانونی شرکت ضروری است. و

 

  1. یکی از شرایط ویژه برای پردازش اطلاعات شخصی حساس اعمال می شود، به عنوان مثال:

 

  1. موضوع داده رضایت صریح داده است.

 

  1. پردازش برای اهداف اعمال حقوق یا تعهدات قانون استخدام شرکت یا موضوع داده ضروری است.

 

  1. پردازش برای حفاظت از منافع حیاتی موضوع داده ضروری است و موضوع داده از نظر فیزیکی قادر به دادن رضایت نیست.

 

  1. پردازش به داده‌های شخصی مربوط می‌شود که آشکارا توسط موضوع داده‌ها عمومی شده است.

 

  1. رسیدگی برای ایجاد، اعمال یا دفاع از دعاوی قانونی ضروری است. یا

 

  1. پردازش به دلایل منافع عمومی اساسی ضروری است.

 

  1. قبل از پردازش هر گونه اطلاعات شخصی حساس، کارکنان باید به افسر حفاظت از داده ها از پردازش پیشنهادی اطلاع دهند تا افسر حفاظت از داده ها ارزیابی کند که آیا پردازش با معیارهای ذکر شده در بالا مطابقت دارد یا خیر.

 

  1. اطلاعات شخصی حساس تا زمانی که:

 

  1. ارزیابی ذکر شده در بند 6.3 انجام شده است. و

 

  1. فرد به درستی (از طریق اعلامیه حفظ حریم خصوصی یا موارد دیگر) از ماهیت پردازش، اهدافی که برای آن انجام می شود و مبنای قانونی آن مطلع شده است.

 

  1. شرکت تصمیم گیری خودکار (از جمله نمایه سازی) را بر اساس اطلاعات شخصی حساس هیچ فردی انجام نخواهد داد.

 

  1. اعلامیه حریم خصوصی حفاظت از داده‌های شرکت انواع اطلاعات شخصی حساسی را که شرکت پردازش می‌کند، موارد استفاده از آن و مبنای قانونی برای پردازش را مشخص می‌کند.

 

  1. در رابطه با اطلاعات شخصی حساس، شرکت از رویه‌های مندرج در پاراگراف‌های 6.8 و 6.9 زیر پیروی می‌کند تا مطمئن شود که با اصول حفاظت از داده‌های مندرج در بند 4 بالا مطابقت دارد.

 

  1. در طول فرآیند استخدام: مدیر افسر، با راهنمایی افسر حفاظت از داده ها، اطمینان حاصل می کند که (به استثنای مواردی که قانون اجازه دهد):

 

  1. در طی مراحل فهرست کوتاه، مصاحبه و تصمیم گیری، هیچ سوالی در رابطه با اطلاعات شخصی حساس، مانند نژاد یا منشاء قومی، عضویت در اتحادیه کارگری یا سلامتی پرسیده نمی شود.

 

  1. در صورت دریافت اطلاعات شخصی حساس، به عنوان مثال، متقاضی آن را بدون درخواست در رزومه خود یا در طول مصاحبه ارائه می دهد، هیچ سابقه ای از آن نگهداری نمی شود و هر گونه اشاره به آن بلافاصله حذف یا ویرایش می شود.

 

  1. هر فرم تکمیل شده نظارت بر فرصت های برابر جدا از فرم درخواست فرد نگهداری می شود و توسط فردی که در فهرست نهایی، مصاحبه یا تصمیم گیری استخدام می شود دیده نمی شود.

 

  1. بررسی های «حق کار» قبل از ارائه بدون قید و شرط پیشنهاد کار انجام می شود و نه در مراحل اولیه فهرست کوتاه، مصاحبه یا تصمیم گیری؛

 

  1. ما سؤالات بهداشتی را در رابطه با استخدام نخواهیم پرسید یا فقط زمانی که پیشنهاد استخدام ارائه شد سؤالات بهداشتی را مطرح نمی کنیم.

 

  1. در طول اشتغال: مدیر دفتر، با راهنمایی افسر حفاظت از داده ها، موارد زیر را پردازش خواهد کرد:

 

  1. اطلاعات بهداشتی به منظور اجرای دستمزد بیماری، نگهداری سوابق غیبت بیماری، نظارت بر حضور و غیاب کارکنان و تسهیل مزایای سلامت و بیماری مرتبط با شغل؛

 

  1. اطلاعات شخصی حساس به منظور نظارت بر فرصت های برابر و گزارش برابری پرداخت. در صورت امکان، این اطلاعات ناشناس خواهد بود. و

 

  1. اطلاعات عضویت در اتحادیه کارگری برای اهداف مدیریت کارکنان و اداره "چک آف".

 

 

  1. اطلاعات سوابق کیفری

 

  1. اطلاعات سوابق کیفری مطابق با خط مشی اطلاعات سوابق کیفری شرکت پردازش خواهد شد.

 

  1. ارزیابی تاثیر حفاظت از داده ها (DPIA)

 

  1. در مواردی که پردازش احتمالاً منجر به خطر بالایی برای حقوق حفاظت از داده‌های یک فرد می‌شود (مثلاً جایی که شرکت در حال برنامه‌ریزی برای استفاده از شکل جدیدی از فناوری است)، ما قبل از شروع پردازش، یک DPIA برای ارزیابی انجام خواهیم داد:

 

  1. آیا پردازش در رابطه با هدف آن ضروری و متناسب است.

 

  1. خطرات برای افراد؛ و

 

  1. چه اقداماتی را می توان برای مقابله با این خطرات و محافظت از اطلاعات شخصی انجام داد.

 

  1. بنابراین قبل از معرفی هر نوع فناوری جدید، مدیر مسئول باید با افسر حفاظت از داده ها تماس بگیرد تا بتوان DPIA را انجام داد.

 

  1. در طول هر گونه DPIA، شریک از مشاوره افسر حفاظت از داده ها و نظرات و سایر ذینفعان مربوطه استفاده خواهد کرد.

 

  1. اسناد و مدارک

 

  1. ما سوابق کتبی فعالیت‌های پردازشی را که ریسک بالایی دارند، یعنی ممکن است منجر به خطراتی برای حقوق و آزادی‌های افراد شود یا شامل اطلاعات حساس شخصی یا اطلاعات سوابق جنایی باشد، حفظ خواهیم کرد، از جمله:

 

  1. نام و مشخصات سازمان کارفرما (و در صورت لزوم، سایر کنترل کنندگان، نماینده کارفرما و DPO)

 

  1. اهداف پردازش؛

 

  1. شرح دسته بندی افراد و دسته های داده های شخصی؛

 

  1. دسته بندی گیرندگان داده های شخصی؛

 

  1. در صورت لزوم، جزئیات نقل و انتقالات به کشورهای ثالث، از جمله اسناد پادمان سازوکار انتقال موجود؛

 

  1. در صورت امکان، برنامه های نگهداری. و

 

  1. در صورت امکان، شرح اقدامات امنیتی فنی و سازمانی.

 

  1. به‌عنوان بخشی از سابقه فعالیت‌های پردازشی، ما مستندسازی می‌کنیم، یا به اسناد پیوند می‌دهیم، در موارد زیر:

 

  1. اطلاعات مورد نیاز برای اعلامیه های حفظ حریم خصوصی؛

 

  1. سوابق رضایت؛

 

  1. قراردادهای کنترل کننده-پردازنده؛

 

  1. مکان اطلاعات شخصی؛

 

  1. DPIA ها؛ و

 

  1. سوابق نقض داده ها

 

  1. اگر اطلاعات حساس شخصی یا اطلاعات سوابق جنایی را پردازش کنیم، سوابق کتبی از موارد زیر را حفظ خواهیم کرد:

 

  1. هدف(های) مربوطه ای که پردازش برای آنها انجام می شود، از جمله (در صورت لزوم چرا برای آن منظور ضروری است؛

 

  1. مبنای قانونی برای پردازش ما؛ و

 

  1. آیا ما اطلاعات شخصی را مطابق با سند خط مشی خود حفظ و پاک می کنیم و در غیر این صورت، دلایل پیروی نکردن از خط مشی ما.

 

  1. ما به طور منظم اطلاعات شخصی را که پردازش می کنیم بررسی می کنیم و اسناد خود را بر اساس آن به روز می کنیم. این ممکن است شامل موارد زیر باشد:

 

  1. انجام ممیزی اطلاعات برای یافتن اطلاعات شخصی که شرکت در اختیار دارد.

 

  1. توزیع پرسشنامه و گفتگو با کارکنان در سراسر شرکت برای دریافت تصویر کامل تری از فعالیت های پردازشی ما؛ و

 

  1. بررسی خط‌مشی‌ها، رویه‌ها، قراردادها و توافق‌های ما برای رسیدگی به حوزه‌هایی مانند حفظ، امنیت و اشتراک‌گذاری داده‌ها.

 

  1. اطلاعیه حریم خصوصی

 

  1. شرکت گهگاه اخطارهای حفظ حریم خصوصی صادر می‌کند و به شما اطلاع می‌دهد که اطلاعات شخصی‌ای را که در رابطه با شما جمع‌آوری و نگهداری می‌کنیم، نحوه استفاده از اطلاعات شخصی‌تان و برای چه اهدافی را به شما اطلاع می‌دهد.

 

  1. ما اقدامات مناسبی را برای ارائه اطلاعات در اعلامیه های حریم خصوصی به شکل مختصر، شفاف، قابل فهم و به راحتی با استفاده از زبانی واضح و ساده انجام خواهیم داد.

 

  1. حقوق فردی

 

  1. شما (به طور مشترک با سایر موضوعات داده ها) در رابطه با اطلاعات شخصی خود از حقوق زیر برخوردار هستید:

 

  1. برای اطلاع از نحوه، چرایی و بر چه اساسی این اطلاعات پردازش می‌شوند - به اطلاعیه حریم خصوصی حفاظت از داده‌های شرکت مراجعه کنید.

 

  1. برای به دست آوردن تأییدیه که اطلاعات شما در حال پردازش است و برای دسترسی به آن و برخی اطلاعات دیگر، با درخواست دسترسی موضوعی - به خط مشی درخواست دسترسی موضوع شرکت مراجعه کنید.

 

  1. تصحیح داده ها در صورت نادرست یا ناقص بودن؛

 

  1. اگر داده‌ها دیگر برای هدفی که در ابتدا جمع‌آوری/فرآوری شده‌اند ضروری نباشد، یا اگر دلایل قانونی اساسی برای پردازش وجود نداشته باشد، پاک شود (این گاهی اوقات به عنوان «حق فراموش شدن» شناخته می‌شود).

 

  1. برای محدود کردن پردازش اطلاعات شخصی در مواردی که صحت اطلاعات مورد بحث است، یا پردازش غیرقانونی است (اما شما نمی خواهید داده ها پاک شوند)، یا جایی که کارفرما دیگر به اطلاعات شخصی نیاز ندارد، اما شما به داده ها نیاز دارید تا ایجاد، اعمال یا دفاع از یک ادعای قانونی؛ و

 

  1. برای محدود کردن موقت پردازش اطلاعات شخصی در جایی که فکر می کنید دقیق نیست (و کارفرما در حال بررسی دقیق بودن آن است)، یا جایی که شما به پردازش اعتراض کرده اید (و کارفرما در حال بررسی است که آیا دلایل قانونی سازمان بر منافع شما غلبه می کند یا خیر. ).

 

  1. اگر می خواهید از هر یک از حقوق مندرج در بندهای 11.1.3 تا 11.1.6 استفاده کنید، لطفاً با افسر حفاظت از داده ها تماس بگیرید.

 

  1. تعهدات فردی

 

  1. افراد مسئول کمک به شرکت برای به روز نگه داشتن اطلاعات شخصی خود هستند. اگر اطلاعاتی که به شرکت ارائه کرده‌اید تغییر می‌کند، برای مثال اگر خانه‌تان را تغییر دهید یا جزئیات حساب بانک یا جامعه ساختمانی را تغییر دهید، باید به مدیر دفتر اطلاع دهید.

 

  1. شما ممکن است به اطلاعات شخصی سایر اعضای کارکنان، تامین کنندگان و مشتریان شرکت در دوره استخدام یا تعهد خود دسترسی داشته باشید. در این صورت، شرکت از شما انتظار دارد که در انجام تعهدات حفاظت از داده های خود در قبال آن افراد کمک کنید. برای مثال، باید توجه داشته باشید که آنها ممکن است از حقوق مندرج در بند 11.1 بالا نیز برخوردار شوند

 

 

  1. اگر به اطلاعات شخصی دسترسی دارید، باید:

 

  1. فقط به اطلاعات شخصی که اختیار دسترسی به آنها را دارید و فقط برای اهداف مجاز دسترسی داشته باشید.

 

  1. فقط در صورت داشتن مجوز مناسب به سایر کارکنان شرکت اجازه دسترسی به اطلاعات شخصی را بدهید.

 

  1. فقط به افرادی که کارکنان شرکت نیستند اجازه دسترسی به اطلاعات شخصی را بدهید در صورتی که اختیار خاصی برای این کار از طرف افسر حفاظت از داده ها دارید.

 

  1. اطلاعات شخصی را ایمن نگه دارید (مثلاً با رعایت قوانین دسترسی به محل، دسترسی به رایانه، حفاظت از رمز عبور و ذخیره سازی و تخریب امن فایل و سایر اقدامات احتیاطی که در خط مشی امنیت اطلاعات شرکت تعیین شده است).

 

  1. اطلاعات شخصی یا دستگاه های حاوی اطلاعات شخصی (یا که می توان از آنها برای دسترسی به آن استفاده کرد) را از محل شرکت حذف نکنید، مگر اینکه اقدامات امنیتی مناسب (مانند نام مستعار، رمزگذاری یا محافظت از رمز عبور) برای ایمن سازی اطلاعات و دستگاه وجود داشته باشد. و

 

  1. اطلاعات شخصی را در درایوهای محلی یا دستگاه های شخصی که برای اهداف کاری استفاده می شود ذخیره نکنید.

 

  1. اگر نگران هستید یا مشکوک هستید که یکی از موارد زیر رخ داده است (یا در حال وقوع است یا احتمال وقوع دارد)، باید با افسر حفاظت از داده ها تماس بگیرید:

 

  1. پردازش داده های شخصی بدون مبنای قانونی برای پردازش آن یا در مورد اطلاعات شخصی حساس، بدون رعایت یکی از شرایط بند 6.2.2.

 

  1. هرگونه نقض داده همانطور که در پاراگراف 15.1 در زیر آمده است؛

 

  1. دسترسی به اطلاعات شخصی بدون مجوز مناسب؛

 

  1. اطلاعات شخصی به طور ایمن نگهداری یا حذف نشده است.

 

  1. حذف اطلاعات شخصی یا دستگاه‌های حاوی اطلاعات شخصی (یا که می‌توان برای دسترسی به آن‌ها مورد استفاده قرار داد) از محل شرکت بدون اتخاذ تدابیر امنیتی مناسب؛

 

  1. هر گونه نقض دیگری از این خط مشی یا هر یک از اصول حفاظت از داده ها که در بند 4.1 بالا ذکر شده است.

 

  1. امنیت اطلاعات

 

  1. شرکت از تدابیر فنی و سازمانی مناسب مطابق با خط مشی امنیت اطلاعات شرکت برای حفظ امنیت اطلاعات شخصی و به ویژه برای محافظت در برابر پردازش غیرمجاز یا غیرقانونی و در برابر از دست دادن، تخریب یا آسیب تصادفی استفاده خواهد کرد. اینها ممکن است شامل موارد زیر باشد:

 

  1. اطمینان از اینکه، در صورت امکان، اطلاعات شخصی مستعار یا رمزگذاری شده است.

 

  1. اطمینان از محرمانه بودن، یکپارچگی، در دسترس بودن و انعطاف پذیری سیستم ها و خدمات پردازشی؛

 

  1. حصول اطمینان از اینکه در صورت بروز یک حادثه فیزیکی یا فنی، در دسترس بودن و دسترسی به اطلاعات شخصی می تواند به موقع بازیابی شود. و

 

  1. فرآیندی برای آزمایش منظم، ارزیابی و ارزیابی اثربخشی اقدامات فنی و سازمانی برای اطمینان از امنیت پردازش.

 

  1. در مواردی که شرکت از سازمان‌های خارجی برای پردازش اطلاعات شخصی از طرف خود استفاده می‌کند، باید ترتیبات امنیتی بیشتری در قراردادهایی با آن سازمان‌ها اجرا شود تا از امنیت اطلاعات شخصی محافظت شود. به ویژه، قرارداد با سازمان های خارجی باید موارد زیر را فراهم کند:

 

  1. سازمان می تواند فقط بر اساس دستورالعمل های کتبی شرکت عمل کند.

 

  1. کسانی که داده‌ها را پردازش می‌کنند، مشمول وظیفه حفظ اعتماد هستند؛

 

  1. اقدامات مناسب برای اطمینان از امنیت پردازش انجام می شود.

 

  1. پیمانکاران فرعی فقط با رضایت قبلی شرکت و تحت یک قرارداد کتبی درگیر هستند.

 

  1. سازمان به شرکت در ارائه دسترسی موضوع و اجازه دادن به افراد برای اعمال حقوق خود در رابطه با حفاظت از داده ها کمک خواهد کرد.

 

  1. سازمان به شرکت در انجام تعهدات خود در رابطه با امنیت پردازش، اطلاع رسانی در مورد نقض داده ها و ارزیابی تأثیر حفاظت از داده کمک خواهد کرد.

 

  1. سازمان طبق درخواست در پایان قرارداد، تمام اطلاعات شخصی را حذف یا به شرکت بازگرداند. و

 

  1. سازمان به ممیزی ها و بازرسی ها تسلیم می شود، هر گونه اطلاعاتی را که نیاز دارد در اختیار شرکت قرار می دهد تا اطمینان حاصل شود که هر دو به تعهدات حفاظت از داده های خود عمل می کنند و اگر از او خواسته شد کاری انجام دهد که قانون حفاظت از داده ها را نقض می کند، فوراً به شرکت اطلاع می دهد.

 

  1. قبل از اینکه هر قرارداد جدیدی که شامل پردازش اطلاعات شخصی توسط یک سازمان خارجی منعقد شود، یا توافقنامه موجود تغییر کند، کارکنان مربوطه باید به دنبال تایید شرایط آن توسط افسر حفاظت از داده ها باشند.

 

  1. ذخیره و نگهداری اطلاعات شخصی

 

  1. اطلاعات شخصی (و اطلاعات شخصی حساس) مطابق با خط مشی امنیت اطلاعات شرکت به صورت ایمن نگهداری می شود.

 

  1. اطلاعات شخصی (و اطلاعات شخصی حساس) نباید بیش از زمان لازم حفظ شود. مدت زمانی که داده ها باید نگهداری شوند به شرایط، از جمله دلایل به دست آوردن اطلاعات شخصی بستگی دارد. کارکنان باید از خط مشی نگهداری سوابق شرکت پیروی کنند که دوره نگهداری مربوطه را مشخص می کند، یا معیارهایی را که باید برای تعیین دوره نگهداری استفاده شود. در صورت عدم قطعیت، کارکنان باید با [افسر حفاظت از داده ها] مشورت کنند.

 

  1. اطلاعات شخصی (و اطلاعات شخصی حساس) که دیگر مورد نیاز نیستند برای همیشه از سیستم های اطلاعاتی ما حذف می شوند و هر گونه نسخه چاپی به طور ایمن از بین می رود.

 

  1. نقض داده ها

 

  1. نقض داده ممکن است اشکال مختلفی داشته باشد، به عنوان مثال:

 

  1. از دست دادن یا سرقت داده ها یا تجهیزاتی که اطلاعات شخصی در آنها ذخیره شده است.

 

  1. دسترسی غیرمجاز یا استفاده از اطلاعات شخصی توسط یکی از کارکنان یا شخص ثالث؛

 

  1. از دست دادن داده های ناشی از خرابی تجهیزات یا سیستم ها (از جمله سخت افزار و نرم افزار).

 

  1. خطای انسانی، مانند حذف یا تغییر تصادفی داده ها؛

 

  1. شرایط پیش بینی نشده مانند آتش سوزی یا سیل؛

 

  1. حملات عمدی به سیستم های فناوری اطلاعات، مانند هک، ویروس یا کلاهبرداری فیشینگ؛ و

 

  1. جرایم «تهم»، که در آن اطلاعات با فریب سازمانی که آن را در اختیار دارد به دست می‌آید.

 

  1. شرکت انجام خواهد داد:

 

  1. گزارش مورد نیاز در مورد نقض داده ها را بدون تأخیر بی مورد به دفتر کمیسر اطلاعات ارائه دهید و در صورت امکان در عرض 72 ساعت پس از اطلاع از آن، اگر احتمال دارد که منجر به خطری برای حقوق و آزادی های افراد شود. و

 

  1. در صورتی که نقض داده ها به احتمال زیاد منجر به خطرات زیادی برای حقوق و آزادی های آنها شود، به افراد آسیب دیده اطلاع دهید و این اطلاع رسانی طبق قانون الزامی است.

 

  1. نقل و انتقالات بین المللی

 

  1. شرکت ممکن است اطلاعات شخصی خود را به خارج از منطقه اقتصادی اروپا (EEA) (که شامل کشورهای اتحادیه اروپا و ایسلند، لیختن اشتاین و نروژ می شود) بر اساس این که آن کشور، قلمرو یا سازمان به عنوان دارای سطح کافی حفاظت یا حفاظت تعیین شده است، منتقل کند. سازمانی که اطلاعات را دریافت می‌کند، از طریق قوانین الزام‌آور شرکت یا بندهای استاندارد حفاظت از داده‌ها یا مطابق با آیین‌نامه رفتاری تأیید شده یا با رضایت صریح مشتری، تدابیر لازم را فراهم کرده است.

 

  1. آموزش

 

  1. شرکت اطمینان حاصل خواهد کرد که کارکنان به اندازه کافی در رابطه با مسئولیت های حفاظت از داده های خود آموزش دیده اند. افرادی که نقش آنها مستلزم دسترسی منظم به اطلاعات شخصی است، یا مسئول اجرای این خط مشی یا پاسخگویی به درخواست های دسترسی موضوعی تحت این خط مشی هستند، آموزش های بیشتری دریافت خواهند کرد تا به آنها در درک وظایف خود و نحوه رعایت آنها کمک کند.

 

  1. عواقب عدم رعایت

 

  1. شرکت رعایت این سیاست را بسیار جدی می گیرد. عدم رعایت سیاست:

 

  1. افرادی که اطلاعات شخصی آنها در حال پردازش است را در معرض خطر قرار می دهد. و

 

  1. خطر تحریم های مدنی و کیفری قابل توجهی را برای فرد و شرکت به همراه دارد. و

 

  1. ممکن است در برخی شرایط به عنوان یک جرم مجرمانه از سوی فرد باشد.

 

  1. به دلیل اهمیت این خط‌مشی، عدم رعایت هر یک از الزامات آن توسط کارمند ممکن است منجر به اقدامات انضباطی تحت رویه‌های ما شود و این اقدام ممکن است منجر به اخراج به دلیل سوء رفتار فاحش شود. اگر غیرکارمندی این سیاست را نقض کند، ممکن است قرارداد خود را با اثر فوری فسخ کند.

 

  1. اگر سؤال یا نگرانی در مورد هر چیزی در این سیاست دارید، در تماس با افسر حفاظت از داده ها تردید نکنید.

 

 

 

من این خط مشی را خوانده و درک کرده ام و موافقت می کنم که از شرایط آن تبعیت کنم.

 

امضاء شده................................................. ................................................ .

bottom of page