تاریخ اجرا: ۲۵ ژانویه ۲۰۲۳
دامنه کاربرد: این سیاست حفظ حریم خصوصی برای تمام خدمات پروکسی MTProto، وبسایتها و کلاینتهای تحت TGV (tgvpn.io) اعمال میشود. برای ساکنان اتحادیه اروپا و کاربرانی که در داخل اتحادیه اروپا به خدمات ما دسترسی دارند، ما کاملاً از مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) (مقررات (EU) 2016/679) پیروی میکنیم تا از حریم خصوصی کاربران و حقوق قانونی داده محافظت کنیم.
1. اطلاعات کنترلکننده داده (افشای اجباری GDPR)
به عنوان کنترلکننده داده، TGV اطلاعات زیر را برای کمک به کاربران در اعمال حقوق GDPR خود افشا میکند:
- کنترلکننده داده: خدمات VPN TGV
- آدرس ثبتشده: دوبلین، ایرلند (اتحادیه اروپا). آدرس دقیق از طریق ایمیل حریم خصوصی قابل درخواست است.
- مسئول حفاظت از داده (DPO): تماس از طریق ایمیل اختصاصی حریم خصوصی: privacy@tgvpn.io
- نهاد نظارتی اتحادیه اروپا: کمیسیون حفاظت از داده (DPC)، ایرلند. کانال رسمی شکایت: https://www.dataprotection.ie
- تماس: برای سوالات حریم خصوصی، درخواستهای حقوق داده و شکایات، لطفاً به privacy@tgvpn.io ایمیل بزنید. ما ظرف دوره ۳۰ روزه مورد نیاز GDPR به صورت رایگان پاسخ خواهیم داد.
2. اصول اصلی انطباق با GDPR (ماده ۵)
TGV به شدت به هفت اصل اصلی تحت ماده ۵ GDPR پایبند است. تمام فعالیتهای پردازش داده به طور کامل با استانداردهای زیر مطابقت دارند:
- قانونمندی، انصاف و شفافیت: تمام پردازشهای داده دارای مبنای قانونی واضح است. ما اهداف، دامنه و روشهای پردازش را به طور کامل افشا میکنیم بدون پنهانکاری یا اظهارات گمراهکننده.
- محدودیت هدف: دادهها فقط برای اهداف صریح شامل ارائه خدمات، مدیریت حساب، حفاظت از امنیت و عیبیابی پردازش میشوند. هیچ استفاده نامرتبطی مجاز نیست.
- حداقلسازی داده: ما فقط حداقل داده لازم برای ارائه خدمات را جمعآوری میکنیم. هیچ داده شخصی یا حساس غیرضروری جمعآوری نمیشود.
- دقت: دادههای کاربران به روز نگهداری میشوند با کانالهای اصلاح قابل دسترسی برای اطمینان از کامل بودن و دقت.
- محدودیت ذخیرهسازی: دادهها فقط برای کوتاهترین مدت لازم نگهداری میشوند و پس از عدم نیاز به طور دائمی حذف میشوند.
- یکپارچگی و محرمانگی: اقدامات رمزگذاری و کنترل دسترسی برای جلوگیری از نشت، دستکاری و سوءاستفاده داده اجرا میشود.
- پاسخگویی: ما سوابق پردازش کامل را برای اثبات انطباق با GDPR نگهداری میکنیم و بازرسیهای نظارتی را میپذیریم.
3. دادههای شخصی جمعآوری شده (جزئیات حوزههای خاص)
3.1 دادههای ضروری خدمات (جمعآوری حداقلی)
برای ارائه خدمات پروکسی MTProto، ما فقط دادههای ضروری زیر را با هیچ جمعآوری اضافی جمعآوری میکنیم:
- فراداده اتصال: سوابق موقت آیپی سرور، زمانمهر اتصال، زمان قطع و مصرف ترافیک برای نظارت بر پایداری و عیبیابی. آیپی واقعی کاربر، محتوای مرور و دادههای چت تلگرام هرگز ثبت نمیشوند.
- اطلاعات دستگاه: مدل دستگاه، نسخه سیستم و نسخه کلاینت برای تطبیق خدمات و بهینهسازی اتصال.
- دادههای حساب (فقط کاربران پولی): ایمیل ثبتشده، شناسه سفارش و وضعیت پرداخت. اعتبارهای کامل پرداخت تنها توسط ارائهدهندگان پرداخت شخص ثالث پردازش میشوند و هرگز توسط TGV ذخیره نمیشوند.
3.2 دادههایی که هرگز جمعآوری نمیکنیم (خط قرمز GDPR)
برای به حداکثر رساندن حفاظت از حریم خصوصی کاربران، TGV به شدت جمعآوری دادههای زیر را ممنوع میکند تا خطرات نشت را از بین ببرد:
- آدرس آیپی واقعی کاربر و دادههای موقعیت جغرافیایی؛
- جزئیات حساب تلگرام، تاریخچه چت، مخاطبین و گزارش تماس؛
- دادههای برنامههای شخص ثالث، سوابق مرور و اطلاعات شناسایی دولتی؛
- بدون SDKهای تحلیل یا تبلیغاتی شخص ثالث. ردیابی رفتار کاربر کاملاً غیرفعال است.
4. مبنای قانونی برای پردازش داده (ماده ۶ GDPR)
- اجرای قرارداد (ماده ۶(۱)(ب)): پردازش داده برای ارائه خدمات پروکسی MTProto، پردازش سفارشات و مدیریت حسابهای کاربری برای اجرای قرارداد ضروری است.
- منافع مشروع (ماده ۶(۱)(ف)): پردازش برای جلوگیری از تقلب، کاهش حملات سایبری و پایداری خدمات. ارزیابی منافع مشروع (LIA) تکمیل شده است تا اطمینان حاصل شود با حقوق اساسی کاربران مغایرت ندارد.
- تعهد قانونی (ماده ۶(۱)(ج)): افشای داده ممکن است برای رعایت تعهدات قانونی و درخواستهای معتبر اجرای قانون ضروری باشد.
- رضایت صریح (ماده ۶(۱)(الف)): پردازش داده غیرضروری تنها با رضایت داوطلبانه، خاص و قابل لغو کاربر انجام میشود. ارتباطات بازاریابی به طور پیشفرض غیرفعال هستند.
5. ذخیرهسازی داده و انتقال فرامرزی (انطباق با GDPR)
5.1 دوره نگهداری
- فراداده اتصال: به طور موقت به مدت ۷۲ ساعت برای عیبیابی نگهداری میشود، سپس به طور دائمی بدون هیچ پشتیبانی حذف میشود.
- دادههای حساب (کاربران پولی): به مدت ۳۰ روز پس از لغو حساب برای تطبیق مالی و پشتیبانی پس از فروش نگهداری میشود، سپس به طور کامل پاک میشود.
- دادههای مورد نیاز قانونی: برای حداقل مدت زمان لازم توسط قوانین اتحادیه اروپا و محلی نگهداری میشود.
5.2 مکان ذخیرهسازی و انتقال فرامرزی
- ذخیرهسازی داده: تمام دادههای کاربر روی سرورهایی واقع در داخل اتحادیه اروپا (مانند AWS فرانکفورت) میزبانی میشوند. هیچ دادهای در خارج از حوزه قضایی اتحادیه اروپا ذخیره نمیشود.
- انتقال فرامرزی: انتقال به مناطق غیر اتحادیه اروپا به شدت ممنوع است مگر اینکه برای عملکرد سرویس اجباری باشد. برای هر جریان داده فرامرزی لازم، بندهای قراردادی استاندارد (SCCs) و ارزیابیهای تأثیر انتقال (TIA) اجرا خواهد شد.
6. حقوق داده کاربر (مواد ۱۲-۲۳ GDPR)
- حق دسترسی: درخواست کپی از دادههای شخصی خود و جزئیات کامل فعالیتهای پردازش.
- حق تصحیح: درخواست اصلاح یا تکمیل دادههای شخصی نادرست یا ناقص.
- حق پاک شدن (حق فراموش شدن): درخواست حذف دائمی دادهها زمانی که دادهها دیگر ضروری نیستند، رضایت لغو میشود یا پردازش غیرقانونی است.
- حق محدودیت پردازش: توقف پردازش داده در حین حل اختلاف در مورد دقت داده یا قانونی بودن پردازش.
- حق انتقال داده: خروجی دادههای شخصی خود در قالب CSV/JSON برای انتقال به کنترلکننده داده دیگر.
- حق اعتراض: اعتراض به پردازش مبتنی بر منافع مشروع، از جمله فعالیتهای بازاریابی مستقیم.
- حق لغو رضایت: لغو رضایت قبلی در هر زمان بدون تأثیر بر قانونی بودن پردازش قبلی.
- حق شکایت: ارائه شکایات به مقامات حفاظت از داده اتحادیه اروپا (مانند DPC ایرلند) در مورد نقض GDPR.
7. اقدامات امنیتی داده (ماده ۳۲ GDPR)
- رمزگذاری انتقال: رمزگذاری سرتاسری TLS 1.3 برای تمام ارتباطات خدمات برای جلوگیری از رهگیری و دستکاری.
- رمزگذاری ذخیرهسازی: رمزگذاری AES-256 برای تمام دادههای ذخیرهشده کاربر برای محافظت در برابر دسترسی غیرمجاز.
- کنترل دسترسی: مدیریت مجوز مبتنی بر نقش با لاگهای حسابرسی کامل برای تمام عملیات دسترسی به داده.
- حسابرسی امنیتی: اسکن آسیبپذیری منظم، تست نفوذ و بررسیهای امنیتی برای کاهش ریسکها.
- اطلاعرسانی نقض داده: کاربران تحت تأثیر و تنظیمکنندگان اتحادیه اروپا ظرف ۷۲ ساعت در صورت وقوع نقض داده تأیید شده مطلع خواهند شد.
- آموزش کارکنان: آموزش منظم GDPR و امنیت داده برای تمام پرسنل برای اعمال تعهدات محرمانگی.
8. اشتراکگذاری داده با شخص ثالث (به شدت محدود)
- ارائهدهندگان پرداخت: فقط شناسه سفارش، مبلغ تراکنش و وضعیت پرداخت برای تکمیل پردازش پرداخت به اشتراک گذاشته میشود. جزئیات حساس پرداخت به طور کامل توسط فروشندگان شخص ثالث مدیریت میشود.
- ارائهدهندگان زیرساخت ابری: فقط دادههای عملیاتی غیرکاربر برای نگهداری سرور به اشتراک گذاشته میشود. ارائهدهندگان مستقر در اتحادیه اروپا در اولویت هستند.
- اجرای قانون: حداقل افشای داده فقط در پاسخ به احکام قانونی معتبر. تمام درخواستها قبل از افشا از نظر قانونی بررسی میشوند.
ما هرگز دادههای شخصی کاربران را برای اهداف تجاری به اشخاص ثالث غیرمجاز نمیفروشیم، معامله نمیکنیم یا افشا نمیکنیم.
9. حفاظت از خردسالان (ماده ۸ GDPR)
- ما آگاهانه دادههای شخصی خردسالان را جمعآوری نمیکنیم. دادههای مربوط به خردسالان به محض کشف استفاده غیرمجاز حذف خواهد شد.
- سرپرستان قانونی میتوانند با تیم حریم خصوصی ما تماس بگیرند تا با تأیید معتبر، حذف دادههای کاربر خردسال را درخواست کنند.
10. بهروزرسانیهای سیاست و اطلاعرسانی
- این سیاست حفظ حریم خصوصی ممکن است برای انعکاس بهروزرسانیهای نظارتی یا تنظیمات خدمات تجدید نظر شود. تغییرات ماهوی حداقل ۳۰ روز قبل از طریق اطلاعیه وبسایت و ایمیل کاربر اعلام خواهد شد.
- ادامه استفاده از خدمات پروکسی MTProto TGV به منزله پذیرش شرایط سیاست بهروز شده است.
- نسخههای تاریخی سیاست نگهداری میشوند و در صورت درخواست ایمیل در دسترس هستند.
11. اطلاعات تماس
- سوالات حریم خصوصی و درخواستهای حقوق داده: privacy@tgvpn.io
- پشتیبانی مشتریان: support@tgvpn.io
- آدرس ثبتشده: دوبلین، ایرلند (اتحادیه اروپا)
- شکایات نظارتی: کمیسیون حفاظت از داده (DPC) - ایرلند: https://www.dataprotection.ie