سیاست حریم خصوصی

کنترل‌کننده داده

کنترل‌کننده طبق ماده ۴(۷) GDPR: پس از تصمیم نهایی درباره شخصیت حقوقی تکمیل می‌شود (در انتظار — Marco).

مسئول حفاظت از داده

مسئول حفاظت از داده: در حال حاضر منصوب نشده؛ درخواست‌ها باید به کنترل‌کننده ارجاع داده شوند.

دامنه

این سیاست حریم خصوصی برای پلتفرم آنلاین MindCova در mindcova.com و تمام خدمات مرتبط (سیستم رزرو، حساب کاربری، وبلاگ) اعمال می‌شود. این سیاست برای بیماران و بازدیدکنندگان پلتفرم است.

پردازش داده‌های شخصی دسته ویژه (ماده ۹ GDPR)

استفاده از حمایت روان‌شناختی از طریق MindCova شامل داده‌های بهداشتی می‌شود که طبق ماده ۹ GDPR به عنوان دسته ویژه‌ای از داده‌های شخصی طبقه‌بندی می‌شوند و مشمول بالاترین سطح حفاظت هستند.

مبنای قانونی برای پردازش این داده‌ها رضایت صریح صاحب داده طبق ماده ۹(۲)(الف) GDPR در ارتباط با ماده ۶(۱)(الف) GDPR است. رضایت هنگام ایجاد حساب جمع‌آوری می‌شود؛ نسخه و زمان رضایت ثبت می‌شود.

برای محافظت از این داده‌ها از کاهش هویت، رمزنگاری در حالت ذخیره و در حین انتقال، و کنترل‌های دسترسی سختگیرانه استفاده می‌کنیم. تمام دسترسی‌ها به داده در AWS CloudWatch ثبت می‌شود. محتوای جلسات (محتوای تماس‌های تصویری) در زیرساخت ما ذخیره نمی‌شود.

مبنای قانونی پردازش

ما داده‌های شخصی شما را بر اساس مبانی قانونی زیر طبق ماده ۶ و ماده ۹ GDPR پردازش می‌کنیم:

• ماده ۹(۲)(الف) GDPR (رضایت صریح) — برای پردازش داده‌های ویژه سلامت روان که در چرخه رزرو و جلسه مبادله می‌شوند. رضایت در زمان ثبت‌نام از طریق یک کادر انتخابی صریح اخذ می‌شود؛ نسخه و زمان‌بند رضایت ثبت می‌شود.
• ماده ۶(۱)(ب) GDPR (اجرای قرارداد) — برای رزرو، پردازش پرداخت، برنامه‌ریزی جلسه و مدیریت حساب. بدون این پردازش، ارائه خدمات رزرو امکان‌پذیر نیست.
• ماده ۶(۱)(ج) GDPR (تعهد قانونی) — برای نگهداری سوابق رزرو و فاکتور طبق §۲۵۷ HGB (۱۰ سال) و برای رسیدگی به درخواست‌های حقوق موضوع داده.
• ماده ۶(۱)(و) GDPR (منافع مشروع) — برای نظارت امنیتی (هشدارهای CloudWatch، فیلتر regex PII، گزارش حسابرسی) و جلوگیری از تقلب؛ در تراز با حقوق و آزادی‌های اشخاص ذی‌نفع.

محل داده و انتقال به کشورهای ثالث

تمام داده‌های شخصی صرفاً در منطقه AWS eu-central-1 (فرانکفورت، آلمان) ذخیره و پردازش می‌شوند. هیچ انتقالی به کشورهای ثالث خارج از منطقه اقتصادی اروپا (EEA) انجام نمی‌شود.

پردازش‌کنندگان فرعی

ما از پردازش‌کنندگان فرعی زیر استفاده می‌کنیم. با هر پردازش‌کننده فرعی یک قرارداد پردازش داده (DPA) طبق ماده ۲۸ GDPR منعقد شده است:

• Amazon Web Services EMEA SARL (AWS) — زیرساخت ابری (Amazon Cognito، DynamoDB، SES، S3، CloudFront، CloudWatch) — صرفاً منطقه eu-central-1؛ مبنای قانونی: الحاقیه پردازش داده GDPR از AWS و بندهای قراردادی استاندارد اتحادیه اروپا (SCC) طبق ماده ۴۶(۲)(ج) GDPR.
• Google Meet (Google LLC) — ما فقط لینک دعوت‌نامه جلسه را ذخیره می‌کنیم؛ اتصال تصویری مستقیماً بین کاربر و روان‌شناس از طریق زیرساخت Google انجام می‌شود. MindCova محتوای جلسات را پردازش نمی‌کند. شرایط حریم خصوصی Google برای استفاده از Google Meet اعمال می‌شود.
• Stripe Payments Europe Limited (ایرلند) — پردازش پرداخت آنلاین (Stripe Checkout) برای کارمزد جلسات به یورو؛ رابطه پردازنده-مسئول پردازش مستقر در اتحادیه اروپا طبق ماده ۲۸ GDPR. Stripe داده‌های دارندگان کارت را در سیستم‌های خود پردازش می‌کند؛ MindCova هیچ‌گاه شماره کارت خام دریافت نمی‌کند (محدوده PCI از طریق Stripe Checkout به حداقل رسیده است). شرایط استاندارد پردازش داده Stripe اعمال می‌شود: https://stripe.com/legal/dpa.
• CCM19 (Papoo Software & Media GmbH) — پلتفرم مدیریت رضایت — نصب خودمیزبان EU در consent.blencode.com؛ مبنای قانونی: DPA طبق ماده ۲۸ GDPR.

حقوق صاحبان داده

به عنوان صاحب داده، در برابر کنترل‌کننده از حقوق زیر برخوردار هستید:

• ماده ۱۵ GDPR — حق دسترسی: شما حق دارید اطلاعاتی درباره داده‌های شخصی که درباره شما نگهداری می‌کنیم دریافت کنید.
• ماده ۱۶ GDPR — حق تصحیح: شما حق دارید داده‌های نادرست را تصحیح کنید.
• ماده ۱۷ GDPR — حق پاک‌سازی: شما حق دارید حذف داده‌های خود را درخواست کنید، به شرطی که تعهدات نگهداری قانونی مانع نشوند.
• ماده ۱۸ GDPR — حق محدودیت پردازش: شما حق دارید درخواست کنید که پردازش داده‌های شما محدود شود.
• ماده ۲۰ GDPR — حق انتقال داده: شما حق دارید داده‌های خود را در قالبی قابل خواندن توسط ماشین دریافت کنید.
• ماده ۲۱ GDPR — حق اعتراض: شما حق دارید به پردازش داده‌های خود اعتراض کنید.
• ماده ۷۷ GDPR — حق شکایت: شما حق دارید به مرجع نظارتی حفاظت از داده شکایت کنید، به‌ویژه در کشور عضوی که در آن اقامت عادی دارید.

برای اعمال حقوق دسترسی، انتقال داده و پاک‌سازی، منطقه خودسرویس ما در دسترس است: حساب کاربری من. برای سایر درخواست‌ها لطفاً با آدرس ذکر شده در بخش ۱۱ تماس بگیرید.

پس‌گرفتن رضایت (ماده ۷(۳) GDPR)

شما می‌توانید در هر زمان رضایت خود را برای پردازش داده‌های شخصی‌تان با اثر آتی پس بگیرید. پس‌گرفتن رضایت بر مشروعیت پردازشی که قبل از آن انجام شده تأثیری ندارد.

رضایت پلتفرم: از طریق بخش 'حذف حساب' در حساب کاربری‌تان پس بگیرید. رضایت کوکی (TTDSG §۲۵): از طریق دکمه تنظیمات کوکی در پاورقی یا با باز کردن مجدد بنر رضایت در هر زمان قابل تنظیم است.

دوره نگهداری

• داده‌های رزرو و فاکتور: ۱۰ سال طبق §۲۵۷ HGB (تعهد نگهداری قانونی برای اسناد تجاری).
• داده‌های حساب: تا زمان حذف توسط کاربر؛ پس از درخواست حذف، غیرفعال‌سازی فوری و حذف دائمی پس از انقضای هر دوره نگهداری قانونی قابل اعمال.
• محتوای جلسات (محتوای تماس‌های تصویری): در زیرساخت ما ذخیره نمی‌شود. Google Meet مستقیماً اتصال را میزبانی می‌کند.

کوکی‌ها و ذخیره‌سازی محلی

پلتفرم ما از کوکی‌ها و فناوری‌های ذخیره‌سازی مشابه استفاده می‌کند. رضایت از طریق CCM19 جمع‌آوری و مدیریت می‌شود.

کوکی‌های ضروری (احراز هویت، ذخیره رضایت) بدون رضایت قبلی تنظیم می‌شوند زیرا برای عملکرد پلتفرم ضروری هستند (TTDSG §۲۵(۲)).

کوکی‌های تحلیلی و بازاریابی فقط با رضایت صریح تنظیم می‌شوند (TTDSG §۲۵(۱)). در حال حاضر هیچ کوکی تحلیلی یا بازاریابی فعالی وجود ندارد. این چارچوب برای هر خدماتی که در آینده اضافه می‌شود اعمال می‌شود.

تماس برای استعلامات حفاظت از داده

برای استعلامات حفاظت از داده، اعمال حقوق خود، یا هر موضوع مرتبط با حفاظت از داده، لطفاً با آدرس زیر تماس بگیرید. آدرس پستی: پس از تصمیم نهایی درباره شخصیت حقوقی تکمیل می‌شود.

ایمیل: datenschutz@mindcova.com

تغییرات در این سیاست حریم خصوصی

ما حق داریم این سیاست حریم خصوصی را برای انعکاس تغییرات در چارچوب قانونی، پیشرفت‌های فنی، یا خدمات جدید به‌روز کنیم. در صورت تغییرات اساسی، از طریق ایمیل به شما اطلاع خواهیم داد. نسخه فعلی همیشه اینجا در دسترس است: mindcova.com/datenschutz

نسخه سند: 2026-05-31