سیاست حفظ حریم خصوصی TGV (منطبق با مقررات عمومی حفاظت از داده‌های اتحادیه اروپا)

تاریخ اجرا: 25 ژانویه 2023

دامنه کاربرد: این سیاست حفظ حریم خصوصی برای تمام خدمات پروکسی MTProto، وب‌سایت‌ها و کلاینت‌های تحت TGV (tgvpn.io) اعمال می‌شود. برای ساکنان اتحادیه اروپا و کاربرانی که در داخل اتحادیه اروپا به خدمات ما دسترسی دارند، ما کاملاً با مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) (مقررات (EU) 2016/679) برای حفظ حریم خصوصی کاربر و حقوق قانونی داده‌ها مطابقت داریم.

1. اطلاعات کنترل‌کننده داده (افشای اجباری GDPR)

به عنوان کنترل‌کننده داده، TGV اطلاعات زیر را افشا می‌کند تا به کاربران در اعمال حقوق GDPR خود کمک کند:

• کنترل‌کننده داده: TGV VPN Services
• آدرس ثبت‌شده: دوبلین، ایرلند (اتحادیه اروپا). آدرس دقیق با درخواست از طریق ایمیل حریم خصوصی در دسترس است.
• مسئول حفاظت از داده (DPO): تماس از طریق ایمیل اختصاصی حریم خصوصی: privacy@tgvpn.io
• مرجع نظارتی اتحادیه اروپا: کمیسیون حفاظت از داده (DPC)، ایرلند. کانال رسمی شکایت: https://www.dataprotection.ie
• تماس: برای سوالات حریم خصوصی، درخواست‌های حقوق داده و شکایات، لطفاً به privacy@tgvpn.io ایمیل بزنید. ما ظرف مدت 30 روز مورد نیاز GDPR به صورت رایگان پاسخ خواهیم داد.

2. اصول اساسی انطباق با GDPR (ماده 5)

TGV به شدت به هفت اصل اساسی تحت ماده 5 GDPR پایبند است. تمام فعالیت‌های پردازش داده به طور کامل با استانداردهای زیر مطابقت دارد:

• قانونمندی، انصاف و شفافیت: تمام پردازش‌های داده دارای مبنای قانونی واضح هستند. ما اهداف، دامنه و روش‌های پردازش را به طور کامل بدون پنهان‌کاری یا اظهارات گمراه‌کننده افشا می‌کنیم.
• محدودیت هدف: داده‌ها فقط برای اهداف مشخص شامل ارائه خدمات، مدیریت حساب، حفاظت امنیتی و عیب‌یابی پردازش می‌شوند. هیچ استفاده غیرمرتبط مجاز نیست.
• به حداقل رساندن داده: ما فقط حداقل داده لازم برای ارائه خدمات را جمع‌آوری می‌کنیم. هیچ داده شخصی یا حساس غیرضروری جمع‌آوری نمی‌شود.
• دقت: داده‌های کاربر به روز نگهداری می‌شوند با کانال‌های اصلاحی قابل دسترس برای اطمینان از کامل بودن و دقت.
• محدودیت ذخیره‌سازی: داده‌ها فقط برای کوتاه‌ترین مدت ضروری نگهداری می‌شوند و پس از عدم نیاز، به طور دائم حذف می‌شوند.
• یکپارچگی و محرمانگی: اقدامات رمزگذاری و کنترل دسترسی برای جلوگیری از نشت داده، دستکاری و سوء استفاده اجرا می‌شود.
• مسئولیت‌پذیری: ما سوابق پردازش کامل را برای اثبات انطباق با GDPR نگهداری می‌کنیم و بازرسی‌های نظارتی را می‌پذیریم.

3. داده‌های شخصی جمع‌آوری‌شده (جزئیات ویژه حوزه)

3.1 داده‌های ضروری خدمات (جمع‌آوری کمینه)

برای ارائه خدمات پروکسی MTProto، ما فقط داده‌های ضروری زیر را بدون هیچ جمع‌آوری اضافی جمع‌آوری می‌کنیم:

• فراداده اتصال: ثبت موقت آدرس IP سرور، زمان‌مهر اتصال، زمان قطع و استفاده از ترافیک برای نظارت بر پایداری و عیب‌یابی. آدرس IP واقعی کاربر، محتوای مرور و داده‌های چت Telegram هرگز ثبت نمی‌شوند.
• اطلاعات دستگاه: مدل دستگاه، نسخه سیستم و نسخه کلاینت برای تطبیق خدمات و بهینه‌سازی اتصال.
• داده‌های حساب (فقط برای کاربران پولی): ایمیل ثبت‌شده، شناسه سفارش و وضعیت پرداخت. تمام اطلاعات پرداخت کامل صرفاً توسط ارائه‌دهندگان پرداخت شخص ثالث پردازش می‌شوند و هرگز توسط TGV ذخیره نمی‌شوند.

3.2 داده‌هایی که هرگز جمع‌آوری نمی‌کنیم (خط قرمز GDPR)

برای حداکثر حفاظت از حریم خصوصی کاربر، TGV به شدت جمع‌آوری داده‌های زیر را برای از بین بردن خطرات نشت ممنوع می‌کند:

• آدرس IP واقعی کاربر و داده‌های موقعیت جغرافیایی؛
• جزئیات حساب Telegram، تاریخچه چت، مخاطبین و سیاهه تماس‌ها؛
• داده‌های برنامه‌های شخص ثالث، سوابق مرور و اطلاعات شناسایی صادر شده توسط دولت؛
• بدون ابزارهای تحلیل یا تبلیغاتی شخص ثالث. ردیابی رفتار کاربر به طور کامل غیرفعال است.

4. مبنای قانونی برای پردازش داده (ماده 6 GDPR)

• اجرای قرارداد (ماده 6(1)(b)): پردازش داده برای ارائه خدمات پروکسی MTProto، پردازش سفارشات و مدیریت حساب‌های کاربر برای اجرای قرارداد ضروری است.
• منافع مشروع (ماده 6(1)(f)): پردازش برای جلوگیری از تقلب، کاهش حملات سایبری و تضمین پایداری خدمات. ارزیابی منافع مشروع (LIA) تکمیل شده است تا تضمین شود با حقوق اساسی کاربر در تضاد نیست.
• تکلیف قانونی (ماده 6(1)(c)): افشای داده ممکن است برای رعایت تعهدات قانونی و درخواست‌های معتبر اجرای قانون مورد نیاز باشد.
• رضایت صریح (ماده 6(1)(a)): پردازش داده‌های غیرضروری تنها با رضایت داوطلبانه، خاص و قابل لغو کاربر انجام خواهد شد. ارتباطات بازاریابی به طور پیش‌فرض غیرفعال هستند.

5. ذخیره‌سازی داده و انتقال فرامرزی (انطباق با GDPR)

5.1 دوره نگهداری

• فراداده اتصال: به طور موقت به مدت 72 ساعت برای عیب‌یابی نگهداری می‌شود، سپس بدون هیچ نسخه پشتیبانی به طور دائم حذف می‌شود.
• داده‌های حساب (برای کاربران پولی): به مدت 30 روز پس از لغو حساب برای تسویه مالی و پشتیبانی پس از فروش نگهداری می‌شود، سپس به طور کامل پاک می‌شود.
• داده‌های مورد نیاز قانونی: برای حداقل مدت مورد نیاز قانون اتحادیه اروپا و قوانین محلی نگهداری می‌شود.

5.2 مکان ذخیره‌سازی و انتقال فرامرزی

• ذخیره‌سازی داده: تمام داده‌های کاربر بر روی سرورهای واقع در داخل اتحادیه اروپا (مانند AWS Frankfurt) میزبانی می‌شوند. هیچ داده‌ای خارج از حوزه قضایی اتحادیه اروپا ذخیره نمی‌شود.
• انتقال فرامرزی: انتقال به مناطق غیر از اتحادیه اروپا مگر برای عملکرد سرویس اجباری باشد، به شدت ممنوع است. برای هر جریان داده فرامرزی ضروری، بندهای قراردادی استاندارد (SCCs) و ارزیابی‌های تأثیر انتقال (TIA) اجرا خواهند شد.

6. حقوق داده کاربر (مواد 12-23 GDPR)

• حق دسترسی: درخواست کپی از داده‌های شخصی و جزئیات کامل فعالیت‌های پردازش.
• حق تصحیح: درخواست تصحیح یا تکمیل داده‌های شخصی نادرست یا ناقص.
• حق پاک شدن (حق فراموش شدن): درخواست حذف دائمی داده‌ها زمانی که داده دیگر ضروری نیست، رضایت لغو می‌شود یا پردازش غیرقانونی است.
• حق محدودیت پردازش: تعلیق پردازش داده در طول حل و فصل اختلافات در مورد دقت داده یا قانونی بودن پردازش.
• حق انتقال داده: صادرات داده‌های شخصی به فرمت CSV/JSON برای انتقال به کنترل‌کننده داده دیگر.
• حق اعتراض: اعتراض به پردازش مبتنی بر منافع مشروع، از جمله فعالیت‌های بازاریابی مستقیم.
• حق لغو رضایت: لغو رضایت قبلی در هر زمان بدون تأثیر بر قانونی بودن پردازش قبلی.
• حق ثبت شکایت: ارائه شکایت به مقامات حفاظت از داده اتحادیه اروپا (مانند DPC ایرلند) در مورد نقض GDPR.

7. اقدامات امنیت داده (ماده 32 GDPR)

• رمزگذاری انتقال: رمزگذاری سرتاسر TLS 1.3 برای تمام ارتباطات سرویس برای جلوگیری از رهگیری و دستکاری.
• رمزگذاری ذخیره‌سازی: رمزگذاری AES-256 برای تمام داده‌های کاربر ذخیره‌شده برای محافظت در برابر دسترسی غیرمجاز.
• کنترل دسترسی: مدیریت مجوز مبتنی بر نقش با سیاهه‌های حسابرسی کامل برای تمام عملیات دسترسی به داده.
• بازرسی‌های امنیتی: اسکن آسیب‌پذیری منظم، تست نفوذ و بررسی‌های امنیتی برای کاهش خطرات.
• اطلاع‌رسانی نقض داده: در صورت وقوع نقض داده تأیید شده، کاربران آسیب‌دیده و نهادهای نظارتی اتحادیه اروپا ظرف 72 ساعت مطلع خواهند شد.
• آموزش کارکنان: آموزش منظم GDPR و امنیت داده برای همه پرسنل برای اعمال تعهدات محرمانگی.

8. اشتراک‌گذاری داده با شخص ثالث (به شدت محدود)

• ارائه‌دهندگان پرداخت: فقط شناسه سفارش، مبلغ تراکنش و وضعیت پرداخت برای تکمیل پردازش پرداخت به اشتراک گذاشته می‌شود. جزئیات پرداخت حساس به طور کامل توسط فروشندگان شخص ثالث مدیریت می‌شود.
• ارائه‌دهندگان زیرساخت ابری: فقط داده‌های عملیاتی غیرمرتبط با کاربر برای نگهداری سرور به اشتراک گذاشته می‌شود. به ارائه‌دهندگان مستقر در اتحادیه اروپا اولویت داده می‌شود.
• اجرای قانون: حداقل افشای داده فقط در پاسخ به احکام قانونی معتبر. تمام درخواست‌ها قبل از افشا به صورت قانونی بررسی می‌شوند.

ما هرگز داده‌های شخصی کاربر را برای اهداف تجاری به اشخاص ثالث غیرمجاز نمی‌فروشیم، معامله نمی‌کنیم یا افشا نمی‌کنیم.

9. حفاظت از افراد زیر سن قانونی (ماده 8 GDPR)

• ما عمداً داده‌های شخصی افراد زیر سن قانونی را جمع‌آوری نمی‌کنیم. داده‌های مرتبط با افراد زیر سن قانونی به محض کشف استفاده غیرمجاز حذف می‌شوند.
• سرپرستان قانونی می‌توانند با تیم حریم خصوصی ما تماس بگیرند تا با تأیید صحیح، حذف داده‌های کاربر زیر سن قانونی را درخواست کنند.

10. به‌روزرسانی‌های سیاست و اعلان‌ها

• این سیاست حفظ حریم خصوصی ممکن است برای انعکاس به‌روزرسانی‌های نظارتی یا تنظیمات خدمات تجدید نظر شود. تغییرات اساسی حداقل 30 روز قبل از طریق اعلان وب‌سایت و ایمیل کاربر اعلام خواهد شد.
• استفاده مستمر از خدمات پروکسی MTProto TGV به منزله پذیرش شرایط سیاست به‌روز شده است.
• نسخه‌های قبلی سیاست نگهداری می‌شوند و با درخواست ایمیل در دسترس هستند.

11. اطلاعات تماس

• سوالات حریم خصوصی و درخواست‌های حقوق داده: privacy@tgvpn.io
• پشتیبانی مشتری: support@tgvpn.io
• آدرس ثبت‌شده: دوبلین، ایرلند (اتحادیه اروپا)
• شکایات نظارتی: کمیسیون حفاظت از داده (DPC) - ایرلند: https://www.dataprotection.ie