سیاست حریم خصوصی و امنیت داده‌ها

آخرین به‌روزرسانی: ۹ تیر ۱۴۰۵ (۳۰ ژوئن ۲۰۲۶)

۱. مقدمه و تعهد به حفاظت از حریم خصوصی

موسسه پژوهشی تزنویسه (که از این پس «ما» یا «موسسه» نامیده می‌شود) به حریم خصوصی شما احترام می‌گذارد و متعهد به حفاظت از داده‌های شخصی شماست. حفاظت از هویت شخصی و علمی متقاضیان، یکی از اصول بنیادین تزنویسه است و موسسه ساختار فنی و عملیاتی خود را به‌گونه‌ای طراحی نموده که محرمانگی مطلق متقاضیان تضمین گردد.

از آنجا که زیرساخت میزبانی این وب‌سایت در اتحادیه اروپا (آلمان) قرار دارد، این سیاست در انطباق کامل با مقررات عمومی حفاظت از داده اروپا (GDPR) تدوین شده است. این سند را در کنار سیاست کوکی‌های ما مطالعه فرمایید.

۲. مسئول پردازش داده (Data Controller)

مسئول جمع‌آوری و پردازش داده‌های شخصی در این وب‌سایت، موسسه پژوهشی تزنویسه است. برای هرگونه پرسش درباره حریم خصوصی یا اعمال حقوق خود، می‌توانید از طریق صفحه تماس با ما با ما در ارتباط باشید.

۳. مدل ارتباطی دو سوکور (Double-Blind)

به منظور پیش‌گیری از افشای ناخواسته یا نقض سیاست‌ها، موسسه از مدل ارتباطی دو سوکور پیروی می‌کند:

  • تفکیک هویت: اطلاعات شخصی متقاضی (نام، ایمیل، شماره تماس، نام دانشگاه) از دستورالعمل‌های پروژه به‌صورت کامل تفکیک می‌گردد و در دسترس تیم پژوهشی قرار نمی‌گیرد.
  • انزوای داشبورد: کلیه تعاملات، تبادل پیش‌نویس‌ها و درخواست‌های توضیح، صرفاً از طریق داشبورد رمزنگاری‌شده داخلی موسسه انجام می‌گیرد.
  • پاک‌سازی متادیتا: متقاضیان موظفند پیش از بارگذاری فایل‌های مرجع، متادیتای شخصی، واترمارک‌های دانشگاهی و نام‌های قابل شناسایی را حذف نمایند.

۴. داده‌هایی که جمع‌آوری می‌کنیم

۴.۱. داده‌هایی که شما مستقیماً ارائه می‌دهید

هنگامی که از طریق فرم‌های تماس، دکمه شناور ارتباط، فرم درخواست مشاوره یا هنگام ثبت سفارش با ما ارتباط برقرار می‌کنید، اطلاعات زیر را جمع‌آوری می‌کنیم:

  • نام و نام خانوادگی
  • شماره تماس (تلفن همراه)
  • آدرس ایمیل (برای ایجاد حساب کاربری و پردازش تراکنش)
  • محتوای پیام یا درخواستی که ارسال می‌کنید

۴.۲. داده‌های ضروری برای پیشبرد پروژه

به منظور تطبیق دقیق خروجی پژوهشی با چارچوب‌های آکادمیک مدنظر متقاضی، موسسه ناگزیر است برخی اطلاعات تخصصی پروژه را در زمان ثبت سفارش دریافت نماید. این اطلاعات شامل نام دانشگاه یا موسسه آموزشی، رشته تحصیلی، مقطع تحصیلی، گرایش تخصصی، استانداردهای نگارشی مورد تأیید گروه آموزشی، قالب استناد مدنظر و سایر داده‌های فنی مرتبط با اجرای پروژه می‌گردد. این اطلاعات صرفاً برای تخصیص پژوهشگر متخصص همان حوزه، تنظیم خروجی متناسب با سطح علمی متقاضی و رعایت قالب‌های نگارشی نهاد آموزشی هدف مورد استفاده قرار می‌گیرد و خارج از این چارچوب، در هیچ زمینه‌ای به اشتراک گذاشته نخواهد شد.

عدم ارائه این اطلاعات یا ارائه اطلاعات نادرست توسط متقاضی، می‌تواند منجر به عدم تطابق خروجی نهایی با انتظارات نهاد آموزشی گردد و در این صورت، مسئولیت آن صرفاً بر عهده متقاضی خواهد بود.

۴.۳. داده‌هایی که به‌صورت خودکار جمع‌آوری می‌شوند

برای امنیت، تحلیل و بهبود خدمات، هنگام ارسال فرم یا بازدید از سایت، برخی داده‌های فنی به‌صورت خودکار ثبت می‌شوند:

  • نشانی IP (برای امنیت و جلوگیری از ارسال اسپم)
  • آدرس صفحه‌ای (URL) که از آن درخواست ارسال شده است
  • مدت زمان حضور در صفحه و منبع ورود (Referrer)
  • نوع دستگاه و مرورگر (User Agent)
  • تاریخ و زمان ارسال درخواست

۴.۴. داده‌های رفتاری و تحلیلی

از طریق ابزارهای شخص ثالث، الگوهای استفاده شما از سایت (مانند کلیک‌ها، پیمایش صفحه و حرکت نشانگر) به‌صورت تجمیعی جمع‌آوری می‌شود. جزئیات این موارد در بخش ۶ توضیح داده شده است.

۵. اصل حداقل‌سازی داده و هدف پردازش

حداقل‌سازی داده (Data Minimisation): موسسه صرفاً حداقل اطلاعات لازم برای ایجاد حساب کاربری و پردازش تراکنش را گردآوری می‌کند. هدف و مبنای قانونی هر دسته از داده‌ها در جدول زیر آمده است:

نوع داده هدف پردازش مبنای قانونی (GDPR)
نام، شماره و ایمیل پاسخ به درخواست، ایجاد حساب و ارائه خدمات رضایت و اجرای قرارداد — ماده ۶(۱)(الف) و (ب)
اطلاعات تخصصی پروژه تخصیص پژوهشگر و تطبیق خروجی اجرای قرارداد — ماده ۶(۱)(ب)
IP و داده‌های فنی امنیت و جلوگیری از اسپم و تقلب منافع مشروع — ماده ۶(۱)(و)
داده‌های تحلیلی و بازاریابی تحلیل، بهبود خدمات و تبلیغات رضایت — ماده ۶(۱)(الف)

۶. خدمات شخص ثالث

ما از خدمات معتبر زیر برای عملکرد و بهبود سایت استفاده می‌کنیم. این ابزارها (به‌جز موارد ضروری) تنها پس از اعلام رضایت شما از طریق پنجره مدیریت کوکی فعال می‌شوند:

  • Google Analytics 4 (GA4) — تحلیل ترافیک و رفتار کاربران.
  • Google Tag Manager — مدیریت ابزارهای ردیابی به‌همراه فناوری حالت رضایت گوگل (Consent Mode v2)؛ تا پیش از دریافت رضایت شما، ابزارهای گوگل در حالت «رد شده» بارگذاری می‌شوند.
  • Microsoft Clarity — ما با همکاری Microsoft Clarity و Microsoft Advertising نحوه استفاده و تعامل شما با وب‌سایت را از طریق معیارهای رفتاری، نقشه‌های حرارتی (Heatmaps) و بازپخش جلسات (Session Replay) ثبت می‌کنیم تا محصولات و خدمات خود را بهبود داده و بازاریابی کنیم. اطلاعات حساس به‌صورت خودکار پنهان (Masked) می‌شوند. برای جزئیات بیشتر، بیانیه حریم خصوصی مایکروسافت را مطالعه کنید.
  • Google Ads و Microsoft Advertising — سنجش تبدیل و بازاریابی مجدد.
  • Cloudflare Turnstile — تأیید امنیتی فرم‌ها و جلوگیری از ربات‌ها.

۷. رعایت چارچوب‌های بین‌المللی و قانونی

ساختار داده‌ای موسسه با چارچوب‌ها و قوانین زیر سازگار است:

  • مقررات عمومی حفاظت از داده اروپا (GDPR)
  • قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا (CCPA)
  • قانون حمایت حقوق مولفان و مصنفان و هنرمندان
  • قانون حمایت از حقوق پدیدآورندگان نرم‌افزارهای رایانه‌ای
  • اصول ۲۲، ۴۶ و ۴۷ قانون اساسی

۸. انتقال داده به خارج از اتحادیه اروپا

برخی از ارائه‌دهندگان خدمات ما (مانند Google و Microsoft) ممکن است داده‌ها را در سرورهایی خارج از اتحادیه اروپا، از جمله ایالات متحده آمریکا، پردازش کنند. این انتقال‌ها بر اساس سازوکارهای قانونی مورد تأیید کمیسیون اروپا، از جمله چارچوب حریم خصوصی داده اتحادیه اروپا–ایالات متحده (EU-U.S. Data Privacy Framework) و بندهای قراردادی استاندارد (SCCs)، انجام می‌شوند تا سطح حفاظتی معادل GDPR تضمین گردد.

۹. امنیت ارتباطی و مالی

کلیه ارتباطات و تراکنش‌ها با رمزنگاری SSL با کلید ۲۵۶ بیتی محافظت می‌گردند. اطلاعات کارت بانکی به‌صورت محلی در سرورهای موسسه ذخیره نمی‌شود و صرفاً از طریق درگاه‌های پرداخت سازگار با استاندارد PCI-DSS پردازش می‌گردد. علاوه بر این، تأیید امنیتی Cloudflare Turnstile و محدودسازی دسترسی برای حفاظت از داده‌ها در برابر دسترسی، افشا یا تغییر غیرمجاز به‌کار گرفته می‌شود.

محرمانگی صورت‌حساب مالی

سیستم صورت‌حساب موسسه از شناسه‌های تجاری محتاطانه (Discreet Billing Descriptors) استفاده می‌کند تا حریم مالی متقاضی محفوظ بماند. تراکنش‌ها در صورت‌حساب بانکی متقاضی، تحت نام شرکت مادر اداری ثبت می‌گردند، نه با اشاره مستقیم به خدمات پژوهشی.

۱۰. اصل تقابل حقوقی و حق دفاع متعارف موسسه

موسسه تزنویسه به‌عنوان اصل پایه، تعهد می‌دهد که اطلاعات قراردادی، مکاتبات و خروجی‌های پروژه را تحت هیچ شرایطی به‌صورت یک‌جانبه افشا ننماید. با این حال، چنانچه متقاضی به اختیار خود تصمیم بگیرد قرارداد منعقدشده، خروجی‌های دریافتی، مکاتبات یا هر بخشی از سوابق همکاری را به یک مرجع ثالث (اعم از مراجع قضایی، نهادهای آکادمیک، کمیته‌های انضباطی، نهادهای نظارتی یا سایر مراجع رسمی) ارائه دهد، بر اساس اصل تقابل حقوقی و حق طبیعی دفاع از خود، موسسه نیز این اختیار را برای خود محفوظ می‌دارد که در همان مرجع و در پاسخ به همان موضوع، مستندات کامل قرارداد، شرح خدمات ارائه‌شده، سوابق مکاتبات، مفاد توافق‌نامه‌های پذیرفته‌شده توسط متقاضی و هرگونه مدرک مرتبط را به‌منظور روشن شدن کامل واقعیت موضوع و دفاع از حقوق قانونی خود ارائه نماید.

این رویه، صرفاً در چارچوب پاسخ متقابل به اقدام آغازین متقاضی و در محدوده همان مرجعی که موضوع در آن مطرح شده، اعمال می‌گردد و به‌هیچ‌وجه به معنای حق افشای عمومی یا اطلاع‌رسانی به اشخاص ثالث خارج از فرآیند رسیدگی نخواهد بود. این بند، متقابلاً برای موسسه و متقاضی، تضمین‌کننده شفافیت، انصاف و امکان دفاع برابر در هرگونه فرآیند رسیدگی است.

۱۱. حفاظت‌های پیشرفته: قرارداد عدم افشا (NDA)

برای پروژه‌های پیشرفته نظیر رساله‌های دکتری، پروتکل‌های دستیار پزشکی یا پژوهش‌های سفارشی سازمانی، متقاضی می‌تواند درخواست انعقاد قرارداد عدم افشای دوجانبه (Bilateral NDA) نماید. این قرارداد تضمین می‌کند:

  • داده‌ها، طرح روش‌شناسی، شاخص‌های کارآزمایی بالینی و ایده‌های مفهومی، مالکیت انحصاری متقاضی باقی می‌مانند.
  • خروجی هرگز با اشخاص ثالث به اشتراک گذاشته نخواهد شد.
  • خروجی هرگز به‌عنوان نمونه کار یا تبلیغ موسسه منتشر نمی‌گردد.

۱۲. مدت نگهداری داده‌ها

  • داده‌های فرم تماس (نام، شماره، ایمیل): حداکثر تا ۲۴ ماه نگهداری می‌شوند؛ پس از این مدت، داده‌های قابل شناسایی شخصی به‌صورت خودکار ناشناس‌سازی (Anonymisation) می‌گردند تا صرفاً برای تحلیل روندها و بهبود خدمات به‌صورت تجمیعی و بدون امکان شناسایی فرد، قابل استفاده باشند.
  • سوابق سفارش و مکاتبات: تا پایان دوره همکاری و الزامات قانونی مرتبط.
  • داده‌های تحلیلی: مطابق با تنظیمات GA4 (حداکثر تا ۲ سال) و Microsoft Clarity (حداکثر تا ۱ سال).
  • داده‌های مالی: مطابق با الزامات قانونی و مالیاتی.

۱۳. حقوق شما

بر اساس GDPR، شما در هر زمان از حقوق زیر برخوردارید:

  • حق دسترسی: درخواست اطلاعات درباره داده‌های شخصی نگهداری‌شده.
  • حق اصلاح: درخواست تصحیح داده‌های نادرست.
  • حق حذف (فراموش‌شدن): درخواست حذف کامل داده‌ها.
  • حق محدودسازی پردازش: محدود کردن نحوه استفاده از داده‌ها.
  • حق قابلیت انتقال داده: انتقال داده‌ها به سرویس ثالث در قالب استاندارد.
  • حق اعتراض: اعتراض به پردازش داده‌ها.
  • حق لغو رضایت: لغو رضایت در هر زمان از طریق دکمه شناور «تنظیمات کوکی 🍪».
  • حق شکایت: ارائه شکایت به مرجع نظارتی حفاظت از داده.

۱۴. درخواست حذف داده‌ها (حق فراموش‌شدن)

بر اساس ماده ۱۷ مقررات عمومی حفاظت از داده اروپا (GDPR)، شما حق دارید درخواست حذف کامل داده‌های شخصی خود را ارائه دهید. این شامل حساب کاربری، تاریخچه مکاتبات، سوابق سفارش، پیش‌نویس‌های مرتبط و داده‌های فرم‌های تماس (نام، شماره تماس و اطلاعات فنی) می‌گردد.

نحوه ثبت درخواست

برای اعمال این حق، کافی است درخواست خود را از یکی از مسیرهای زیر ارسال کنید:

  • از طریق صفحه تماس با ما با موضوع «درخواست حذف داده‌ها».
  • ارسال درخواست کتبی به نشانی ایمیل رسمی موسسه.
مرحله شرح بازه زمانی
۱. ثبت درخواست دریافت درخواست شما از طریق فرم تماس یا ایمیل فوری
۲. احراز هویت تأیید هویت درخواست‌دهنده برای جلوگیری از سوءاستفاده تا ۳ روز کاری
۳. اجرای حذف حذف یا ناشناس‌سازی دائمی داده‌ها حداکثر ۳۰ روز
۴. تأیید نهایی ارسال تأییدیه کتبی مبنی بر تکمیل فرآیند پس از اجرا

استثناهای قانونی: در مواردی که نگهداری برخی داده‌ها بر اساس الزامات قانونی (مانند سوابق مالی و مالیاتی) یا برای دفاع از حقوق قانونی موسسه در یک فرآیند رسیدگی فعال (موضوع بخش ۱۰) ضروری باشد، حذف کامل ممکن است تا پایان دوره الزام قانونی به تعویق بیفتد. در این صورت، داده‌ها صرفاً برای همان هدف محدود نگهداری شده و از دسترس عمومی خارج می‌مانند.

توجه: داده‌های تحلیلی جمع‌آوری‌شده توسط Google Analytics و Microsoft Clarity به‌صورت تجمیعی و ناشناس هستند و معمولاً به فرد خاصی قابل انتساب نیستند؛ با این حال می‌توانید جمع‌آوری آن‌ها را در هر زمان از طریق دکمه «تنظیمات کوکی 🍪» متوقف کنید.

۱۵. حریم خصوصی کودکان

خدمات ما برای افراد زیر ۱۶ سال طراحی نشده است و ما آگاهانه داده‌های شخصی کودکان را جمع‌آوری نمی‌کنیم. در صورت اطلاع از چنین موردی، داده‌ها در اسرع وقت حذف خواهند شد.

۱۶. تغییرات در این سیاست

ما ممکن است این سیاست را به‌صورت دوره‌ای به‌روزرسانی کنیم. در صورت ایجاد تغییرات اساسی، نسخه پنجره رضایت کوکی به‌روزرسانی شده و مجدداً از شما کسب رضایت خواهد شد. تغییرات از زمان انتشار در این صفحه نافذ خواهند بود و تاریخ آخرین به‌روزرسانی در بالای این سند درج می‌شود.

۱۷. ارتباط با ما

در صورت داشتن هرگونه پرسش درباره این سیاست حریم خصوصی یا برای اعمال حقوق خود، می‌توانید از طریق صفحه تماس با ما با ما در ارتباط باشید.