Ülke:
Türkiye
Dil:

Partner Portal

AJAX GDPR SSS

Temel Bilgiler 

GDPR nedir?

Genel Veri Koruma Yönetmeliği (2016/679 sayılı Yönetmelik (AB) veya “GDPR” olarak da bilinir), AB ve Avrupa Ekonomik Alanı'nda (AEA) verilerin korunması ve gizliliğe ilişkin AB hukukunda yer alan bir yönetmeliktir. Avrupa Birliği (AB) tarafından hazırlanıp kabul edilmiş olsa da bu yönetmelik, AB'deki kişileri hedefledikleri veya onlarla ilgili verileri topladıkları sürece her yerdeki kuruluşlara veri koruma yükümlülükleri getirmektedir.

Kişisel veri nedir?

Kişisel veri, doğrudan veya dolaylı olarak tanımlanabilen bir bireyle ilgili her türlü bilgidir. Bir araya getirilen farklı bilgi parçaları, belirli bir kişinin kimliğinin belirlenmesine neden olabilir ve aynı zamanda kişisel veri niteliği taşır.

Kimliksizleştirilmiş, şifrelenmiş veya takma ad verilmiş ancak bir kişiyi yeniden tanımlamak için kullanılabilecek kişisel veriler, kişisel veri olarak kalarak kanun kapsamına girer. 

Kişisel verilere ilişkin bazı örnekler aşağıda yer almaktadır: 

  • ad ve soyad;
  • adres;
  • e-posta adresi;
  • Kimlik kartı numarası;
  • konum verileri;
  • IP adresi;
  • çerez tanımlayıcıları;
  • telefonun reklam tanımlayıcısı.

Veri işlemek ne anlama geliyor?

Veri işleme tanımı, manuel veya otomatik yöntemler de dâhil olmak üzere kişisel veriler üzerinde gerçekleştirilen çok çeşitli işlemleri kapsar. Kişisel verilerin toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, depolanması, uyarlanması veya değiştirilmesi, geri alınması, danışılması, kullanılması, iletim yoluyla ifşa edilmesi, yayılması veya başka bir şekilde kullanıma sunulması, sıralanması veya birleştirilmesi, kısıtlanması, silinmesi veya imha edilmesini içerir. Verilerle yukarıda belirtilen şekilde bir işlem yaparsanız verileri işlemiş olursunuz.

Veri işleyici ile veri sorumlusu arasındaki fark nedir?

Veri sorumlusu, kişisel verilerin işlenmesine ilişkin standartları ve kuralları belirleyen bir kuruluş, kurum veya bireyi ifade eder. Uygulamada bu, bir veri sorumlusunun kişisel verilerin bir kuruluş tarafından nasıl ve neden kullanılacağını belirlemekten sorumlu olduğu anlamına gelir. Çoğu zaman bir veri sorumlusu, verileri toplayan ve daha sonra nasıl kullanılacağını belirleyen bir kişi veya kuruluştur.

Bu, veri işleyicinin tam zıddını ifade eder. GDPR'ye göre bir veri işleyici, veri sorumlusu tarafından belirlenen veri işleme standartlarını uygulayan bir kuruluş, kurum veya bireydir. Tipik olarak bir veri işleyici, veri sorumlusunun talimatı ve takdiri doğrultusunda verileri işleyen taraftır. Bir veri işleyici, işlediği verilerin hiçbirine sahip değildir ve bu veriler üzerinde kontrol sahibi değildir. Bu, bir veri işleyicinin verilerin anlamını değiştiremeyeceği, verilerin nasıl kullanılacağını yönlendiremeyeceği ve kendisinin talimatlarla sınırlı olduğu anlamına gelir.

Veri sorumlusu ile veri işleyicinin görevleri arasındaki farkı anlamak için bazı kontrol soruları vardır:

Veri Sorumlusu aşağıdaki hususlara karar verir:

  • verileri ilk etapta toplayan ve bunu yapmak için yasal dayanağa sahip olan kuruluş;
  • kişisel verilerin hangi amaçla kullanılacağı;
  • verilerin açıklanıp açıklanmayacağı ve açıklanacaksa kime açıklanacağı;
  • ilgili kişilerin erişim haklarının ve diğer bireysel hakların uygulanıp uygulanmayacağı ya da muafiyetlerin olup olmadığı;
  • verilerin ne kadar süreyle saklanacağı veya rutin olmayan bir şekilde değiştirilip değiştirilmeyeceği.

Veri İşleyici aşağıdaki hususlara karar verir:

  • kişisel verilerin toplanması ve saklanması için kullanılan yöntemler;
  • verilerin nasıl güvence altına alındığı;
  • kişisel verilerin bir kuruluştan diğerine aktarılmasında kullanılan araçlar;
  • kişisel verilerin nasıl elde edildiği;
  • saklama süresine uyulmasını sağlamak için kullanılan yöntem;
  • kişisel verilerin nasıl silindiği.

Kişisel Verilerin İşlenmesi için GDPR Koşulları Nelerdir?

GDPR'nin 6. Maddesi, kişisel verilerin işlenmesinin yasal olduğu çeşitli koşulları (dayanak olarak da bilinir) belirtir:

  1. Rıza. Rıza, veri sahibinin bir veya daha fazla özel amaç için kişisel veri işleme faaliyetine açık rıza verdiği anlamına gelir. Amaç kavramı burada kilit önem taşımaktadır. Gerçek kişi olarak da bilinen veri sahibi, belirli amacı/amaçları tam olarak ve kolay anlaşılır bir şekilde bilmeden verilerinin işlenmesine rıza gösterirse bu durumda verilen rıza, veri işleme için yasal bir dayanak teşkil etmez çünkü verilecek rızanın özgürce verilmiş, spesifik, bilgilendirilmiş ve açık olması gerekmektedir. Üstelik rıza toplu olarak alınamaz. Dolayısıyla daha geniş kapsamlı bir işlem bünyesindeki her bir veri işleme faaliyeti için genel kural, her bir faaliyet için ayrı rıza alınması gerektiğidir.
  2. Veri sahibinin taraf olduğu bir sözleşmeyi yürütmek veya imzalamaya hazırlanmak için verilerin işlenmesi gereklidir. Bir kuruluş, sözleşmeye dayalı bir hizmeti ilgili kişiye sunmak için veya ilgili kişi kuruluştan bir sözleşme yapmadan önce bir talepte bulunduğu için (örneğin bir fiyat teklifi sunmak) ilgili kişinin kişisel verilerini işlemesi gerekiyorsa bu yasal temele dayanabilir.
  3. Yasal bir yükümlülüğe uymak için verilerin işlenmesi gereklidir. Veri sorumlusunun belirli kişisel verilerin işlenmesini gerektiren yasal bir görevi varsa verilerin işlenmesine izin verilir. Veri işlemenin gerekli olduğu ve veri sorumlusunun tabi olduğu bu yasal yükümlülüğe uyum yeni bir durum değildir.
  4. Birinin hayatını kurtarmak için verilerin işlenmesi gereklidir.  Bu dayanak aynı zamanda “hayati tehlike durumu” olarak da bilinmektedir. Bu durumda, gerçek kişinin veri sahibi olması gerekmez; başka bir gerçek kişi de olabilir. Elbette hayati çıkarın ne olduğunu belirlemek veri sorumlusuna bağlı değildir. Bu dayanak daha çok, veri işleme için başka bir yasal dayanağın bulunmadığı ancak kişisel verilerin işlenmemesinin esasen veri işleyicinin harekete geçmemesi hâlinde birisinin öleceği anlamına geldiği ve bu nedenle tehlikede olan gerçek kişi hakkında birkaç şey bilmeye ihtiyaç duyulan hayati tehlike durumlarıyla ilgilidir.
  5. Veri işleme, kamu yararına bir görevi yerine getirmek veya bazı resmi görevleri yerine getirmek için gereklidir. Bir kuruluş, ‘resmi yetkisini kullanırken’ kişisel verileri işlemesi gerekiyorsa bu yasal dayanağa istinaden hareket edebilir. Bu, yasada belirtilen kamu görevlerini ve yetkilerini veya yasada belirtilen kamu yararına belirli bir görevi yerine getirmeyi kapsar.
  6. Veri sorumlusu, bir kişinin kişisel verilerini işlemekte meşru bir menfaate sahiptir. Bu bağlamda kişisel verilerin işlenmesi mutlaka yasal bir zorunlulukla gerekçelendirilmeyebilir veya bir bireyle yapılan sözleşmenin şartlarını yerine getirmek için gerçekleştirilmeyebilir.  Bu gibi durumlarda, kişisel verilerin işlenmesi meşru menfaat zemininde gerekçelendirilebilir. Örneğin, veri işleme bir müşteri ilişkisi dahilinde, doğrudan pazarlama amacıyla, dolandırıcılığı önlemek için veya BT sistemlerinin ağ ve bilgi güvenliğini sağlamak için gerçekleştiriliyorsa, veri işleyicinin meşru bir menfaati vardır. 


GDPR kapsamında rıza süreci nasıl işliyor? 

Bir veri sahibinin bilgilerinin işlenmesi için rıza göstermesi konusunda katı kurallar vardır:

  • Rıza “özgürce verilmiş, spesifik, bilgilendirilmiş ve açık” olmalıdır.
  • Rıza alma talepleri “diğer konulardan açıkça ayırt edilebilir” olmalı ve “açık ve sade bir dille” sunulmalıdır.
  • Veri sahipleri önceden verdikleri onayı istedikleri zaman geri çekebilirler ve siz de onların bu kararına saygı göstermek zorundasınız. Veri işlemenin yasal dayanağını basitçe diğer gerekçelerden biriyle değiştirmek mümkün değildir.
  • Açık rızaya ilişkin belgeli kanıtın saklanması gerekmektedir.

GDPR kapsamındaki bireysel haklar nelerdir?

GDPR bireylere aşağıdaki hakları sağlamaktadır:

  1. Bilgilendirilme hakkı (bireyler, şirketlerin kişisel verilerini nasıl topladıkları ve kullandıkları, bu verileri ne kadar süreyle saklamayı planladıkları ve bunları kimlerle paylaşacakları konusunda bilgilendirilme hakkına sahiptir);
  2. Erişim hakkı (bireyler, şirketlerin tam olarak hangi bilgileri topladıklarını, bu verileri nasıl sakladıklarını ve işlediklerini ve bunlarla ne yapacaklarını bilme hakkına sahiptir);
  3. Düzeltme hakkı (bireyler, eksik verilerin tamamlanmasını ve yanlış verilerin düzeltilmesini isteme hakkına sahiptir);
  4. Silme hakkı (bireyler, kişisel verilerin kalıcı olarak silinmesini isteme hakkına sahiptir. Bu aynı zamanda “unutulma hakkı” olarak da bilinir);
  5. Veri işlemeyi kısıtlama hakkı (bireyler veri sorumlularından kişisel bilgilerini silmelerini talep edemiyorlarsa veri sorumlularının bu verileri işleme yetkisini kısıtlayabilirler);
  6. Veri taşınabilirliği hakkı (bireyler, kişisel verilerini farklı hizmetlerde kendi amaçları için temin etme ve yeniden kullanma hakkına sahiptir);
  7. İtiraz hakkı (bireyler, belirli durumlarda kişisel verilerinin işlenmesine itiraz etme hakkına sahiptir);
  8. Otomatik karar alma ve profil çıkarma ile ilgili haklar (bireyler, önemli kararların algoritmalar tarafından alınması yerine insanların müdahil olmasını talep etme hakkına sahiptir).

GDPR'nin Yedi İlkesi Nelerdir?

GDPR'ye göre Yedi temel veri koruma ve hesap verebilirlik ilkesi vardır:

  1. Hukuka uygunluk, adil olma ve şeffaflık — veri işleme hukuka uygun, adil ve veri sahibine karşı şeffaf olmalıdır.
  2. Amaç sınırlaması — verileri, yalnızca topladığınızda veri sahibine açıkça belirtilen meşru amaçlar için işlemelisiniz.
  3. Veri minimizasyonu — yalnızca belirtilen amaçlar için kesinlikle gerekli olduğu kadar veri toplamalı ve işlemelisiniz.
  4. Doğruluk — kişisel verileri doğru ve güncel tutmalısınız.
  5. Saklama sınırlaması — kişisel olarak tanımlayıcı verileri yalnızca belirtilen amaç için gerekli olduğu sürece saklayabilirsiniz.
  6. Bütünlük ve gizlilik — pveri işleme uygun güvenlik, bütünlük ve gizliliği sağlayacak şekilde yapılmalıdır (örneğin şifreleme kullanılarak).
  7. Hesap verebilirlik — veri sorumlusu, GDPR'nin tüm bu ilkelere uygunluğunu gösterebilmekten sorumludur.

GDPR, AB'de ikamet edenlerin kişisel verilerinin AB'de kalmasını gerektiriyor mu?

GDPR, AB'de ikamet edenlerin kişisel verilerinin sadece AB'de kalmasına yönelik doğrudan bir kısıtlama getirmemektedir. Bununla birlikte AB Veri Koruması, “GDPR, verilerle birlikte uygulanmaya devam eder” ilkesine göre çalışır, yani kişisel verileri koruyan kurallar, verilerin nereye gittiğine bakılmaksızın uygulanmaya devam eder. Bu ilke, kişisel veriler AB üyesi olmayan bir ülkeye aktarıldığında da geçerlidir.

Ajax tarafından Verilerin İşlenmesi

Ajax kişisel verilerimi işliyor mu? 

Evet, Ajax kişisel verilerinizi işleyebilir. Aşağıda, bilgilerinizin nasıl kullanılabileceğine dair başlıca yollar yer almaktadır:

  1. güvenlik sistemlerimizde (örneğin, Ajax Hub ve diğer cihazlar aracılığıyla);
  2. son kullanıcılar ve PRO kullanıcılar için sunulan mobil uygulamalarımızda (Ajax Security System ve Ajax PRO: Tool for Engineers), masaüstü uygulamalarımızda (Ajax Desktop ve Ajax PRO Desktop) ve Ajax web araçlarında (bundan böyle Ürünler veya Hizmetler olarak anılacaktır);
  3.  https://ajax.systems adresindeki web sitemizi ziyaret ettiğinizde;
  4. Ajax ile sizin aranızdaki iş birliği kapsamında (Ajax'ın doğrudan veya dolaylı bir iş ortağı veya alt yüklenicisi olmanız fark etmeksizin);
  5. sizinle Ajax arasında gerçekleşen kişiselleştirilmiş iletişim sırasında (örneğin, görüşmeler, toplantılar vb.);

Gelişmiş Ajax Hizmetleri işlevselliğine ilişkin hizmetlerin sunulması sırasında (Ajax SIM, Ajax Cloud Storage vb. dahil olmak üzere);

Ne tür veriler Ajax tarafından işlenebilir?

Sizinle olan etkileşim senaryosuna bağlı olarak farklı veri türleri işlenebilir.

Güvenlik cihazlarımız aracılığıyla aşağıdaki verileri işleyebiliriz:

  • Hub'ınızla ilgili bilgiler (modeli ve seri numarası, IP adresi dâhil ağ bilgileri, cihaz etkinlik günlükleri, önceki ve mevcut cihaz yapılandırması ve konumu gibi).
  •  Telemetri ve çevresel veriler.

Kullanıcılara sistemle ilgili durumlar ve olaylar biçiminde bilgi sağlamak amacıyla telemetri verileri işlenmektedir.

“Telemetri verileri” (bundan böyle “telemetri” olarak anılacaktır) terimi, çevresel durumu ve çalışabilirliği belirlemek ve cihazlardaki olası anormallikleri tespit etmek amacıyla, cihazlarımıza entegre sensörler tarafından otomatik olarak toplanan, iletilen ve ölçülen veri ve diğer göstergeleri ifade eder.

Ürünlerimizin veya Hizmetlerimizin kullanımı sırasında aşağıdaki veriler işlenebilir:

  • Sizinle ilgili bilgiler (örn. ad, soyad, e-posta adresi, telefon numarası ve hesap resminiz).
  • Kullanıcıları Ürüne davet ettiğinizde cihazınızın kişi listedinden bizimle paylaştığınız bilgiler (örn. Ürüne davet ettiğiniz bir kişinin e-postası veya telefon numarası).
  • Hizmetlerimiz için benzersiz tanımlayıcılar (ör. kullanıcı adınız ve şifreniz).
  • Kullanıcı adı, kullanıcının Üründeki rolü ve e-posta adresi gibi Ürünle ilişkilendirdiğiniz kullanıcıların benzersiz tanımlayıcıları; cihaz türü, işletim sistemi ve sistem dili gibi mobil ve masaüstü cihazlarınızla ilgili bilgiler.
  • Uygulamamızda Geofence işlevini etkinleştirirseniz sistemi devreye almanız/devre dışı bırakmanız için size hatırlatıcılar sağlayacak konum tabanlı veriler.
  • Android ve iOS kullanıcıları için hesap kaydı veya değişiklikleri sırasında gerekli olan yetkilendirme kodunu içeren SMS.
  • Ürün ve Hizmetlerimizin kullanımınıza ilişkin bilgiler (uygulamadan sunucumuza yapılan istekler gibi).

Web sitemizi ziyaret ederseniz şunları işleyebiliriz:

  • Kişisel verilerinizi ve iletişim bilgilerinizi içerebilecek formları doldururken sağladığınız bilgiler.
  • Çerez tanımlayıcıları (GDPR uyumlu araç aracılığıyla).
  • Bulunduğunuz ülkeyi tanımlayacak IP adresiniz.

Ticari iş birliği durumunda şunları işleyebiliriz:

  • İş temsilcilerinin kişisel ve iletişim bilgileri (ad, pozisyon, e-posta adresi ve telefon numarası).
  • İş ortaklarından ve onların yetkili temsilcilerinden gelen talepler (örneğin, destek e-posta adresine, uygulamalar üzerinden, mesajlaşma araçlarıyla vb. gönderilenler).
  • İş ortaklarına ait kartvizitler.

Kişiselleştirilmiş iletişim, mülakatlar veya toplantılar sırasında:

Ajax ile iletişime geçmeye veya iş başvurusunda bulunmaya karar verirseniz, yukarıda açıklanan yöntemlerle toplanan verilere ek olarak, iletişim sırasında ve/veya sunduğunuz belgelerde (örneğin özgeçmiş/CV, ön yazı) paylaştığınız ek kişisel veriler de toplanabilir ve işlenebilir. Bunlar aşağıdakilerle sınırlı olmamak üzere şunları içerebilir:

  • Kişisel bilgileriniz (ad, soyad, telefon numarası, e-posta adresi, fotoğraf).
  • Benzersiz tanımlayıcılarınız (örneğin, kullanıcı adı, oturum adı).
  • Önceki iş deneyimleriniz.
  • Eğitim ve öğretim bilgileriniz.
  • Sertifikalarınız, diplomalarınız, referanslarınız.
  • Hobileriniz, ilgi alanlarınız ve diğer kişisel tercihleriniz.

Bu tür bir işleme kapsamında, kişisel verilerin ve diğer bilgilerin listesi (kapsamı), süreç boyunca ayrıca değiştirilebilmekte, ayrıntılandırılabilmekte veya genişletilebilmektedir. Aynı zamanda, gerekli kişisel verilerin toplanması ve işlenmesi, bu tür işlemenin amaçlarıyla sınırlıdır ve yürürlükteki mevzuatın gereklerine uygun şekilde gerçekleştirilmektedir.

Ayrıca, iş veya kişiselleştirilmiş iletişim kapsamında veri işlenirken; iş ortağı taleplerinin ve kartvizitlerin yönetilmesi, toplantıların ve mülakatların gerçekleştirilmesi gibi durumlarda ve iç operasyonların ve süreçlerin optimize edilmesi amacıyla Ajax, yapay zeka (bundan böyle “YZ” olarak anılacaktır) teknolojilerinden yararlanabilmektedir.

Yapay zeka tarafından işlenen veriler, bazı durumlarda bireyi tanımlayan kişisel verileri içerebilir; ancak bu yalnızca şu kapsam ve ölçüde mümkündür: a) kamuya açık olması halinde; b) tarafınızca gönüllü olarak sağlanmış olması halinde.

Aynı zamanda, Ajax’a gönüllü olarak sağladığınız verilere erişim, yalnızca Ajax çalışanlarıyla kesin olarak sınırlıdır. YZ, verilerinizi tanımlayamaz; yalnızca özellikle Ajax kullanıcıları/müşterilerinden gelen talepleri işlemektedir. Ajax kullanıcıları/müşterilerinden gelen taleplerle ve iş ortağı kartvizitleriyle elde edilen verilerin yönetimine ilişkin kararlar yalnızca Ajax çalışanları tarafından alınmaktadır.

Yapay zeka temelli söz konusu veri işleme faaliyetleri için, gerekli kişisel veri koruma düzeyini sağlayan hizmet sağlayıcılarla çalışmaktayız.

Ajax tarafından bu tür verilerin işlenmesinin sınırlı olduğunu ve yalnızca iç operasyonların verimliliğini artırmak amacıyla ve ilgili amaçlar kapsamında gerçekleştirildiğini lütfen unutmayınız.

Veri işlemenin amacı ve yasal dayanağı nedir?

  • Güvenlik cihazlarımız aracılığıyla veya siz Ürünlerimizi veya Hizmetlerimizi kullanırken aldığımız tüm veriler yalnızca size talep edilen güvenlik hizmetlerini sağlamak için işlenir.  Bu, tüm bu verilerin, sizinle yapılan sözleşmeyi ifa etmek amacıyla işlendiği anlamına gelir. Ayrıca bu tür hizmetlerin sunulması için gerekli olmayan verilerin toplanmadığı anlamına gelir.
  • Bültenimize abone olmaya karar verirseniz size hakkımızda bazı bilgileri ve en son güncellemelerimizi içeren e-postalar göndereceğiz. Aboneliğinizi onaylayarak verdiğiniz rızanıza güveniyoruz Ayrıca bu e-postaları sizin hakkınızda sahip olduğumuz bilgilere dayanarak kişiselleştireceğiz böylece sizin için daha alakalı ve daha faydalı olacaklar.
  • Bazı sorunlar yaşamanız durumunda, uygulamanızdan işlem günlüklerini paylaşmanız hâlinde teknik sorununuzun çözülmesi ve Ürünlerimizin ve Hizmetlerimizin daha iyi hâle getirilmesi amacıyla bu veriler işlenecektir. Ayrıca piyasa tekliflerimizi daha rekabetçi hâle getirmek için bu veriler meşru menfaatler doğrultusunda işlenmektedir.
  • Kullanıcıları Ürüne davet ettiğinizde cihazınızın kişi listesinden bizimle paylaştığınız verileri (örn. Ürüne davet ettiğiniz bir kişinin e-postası veya telefon numarası) yalnızca bu kişilere davetiye göndermek için kullanırız.
  • Bize gönüllü olarak sağladığınız tüm veriler — ister e-posta yoluyla, ister uygulamalar veya mesajlaşma araçları aracılığıyla, ister kartvizit veya özgeçmiş/CV paylaşımı şeklinde olsun — ile kamuya açık veriler, iç süreçlerin verimliliğini sağlamak, iş birliğini kurmak ve/veya kişiselleştirilmiş iletişimi desteklemek amacıyla işlenmektedir.

Bilgiler nerede depolanır?

Ajax tarafından sizden toplanabilecek kişisel verileriniz, İrlanda, Almanya ve Fransa’da (AEA içinde) bulunan bulut depolama alanlarında saklanmaktadır; verilerin nerede depolanacağı (İrlanda, Almanya ve Fransa) AWS altyapısının kullanılabilirliğine bağlıdır.

Ajax tarafından toplanan diğer kişisel veriler de çeşitli yargı bölgelerinde bulunan sunucularda ve/veya bulut depolama alanlarında saklanabilir. Bu kapsamda, veriler Ajax şirketler grubuna bağlı kuruluşların yanı sıra, Ajax hizmetlerinin yüklenicisi, hizmet sağlayıcısı veya tedarikçisi konumundaki üçüncü taraflarla da saklanabilmektedir. Bu üçüncü tarafların sunucuları, kişisel verilerin korunması ve güvenliği açısından yeterli düzeyde koruma sağlayan ülkelerde bulunmaktadır.

Kişisel verilerin korunmasına ilişkin yasalar ülkeden ülkeye farklılık gösterebilse de, Ajax bu tür verilerin nerede saklandığından bağımsız olarak, bu belgede ve diğer iç dokümanlarda açıklanan koruma önlemlerini uygulamaktadır.

Bilgiler ne kadar süreyle saklanır?

Tüm veriler, 500 işlemle sınırlı olan anlık bildirimlerin hafızası hariç, tüm müşteri ilişkisi süresi boyunca depolanır. PRO Desktop Hesabı olay günlüğü için olay bildirimlerinin depolama süresi 2 yıldır. Bununla birlikte bazı veri türleri (sözleşmelerde belirtilen temsilci adı, pozisyonu ve iletişim bilgileri gibi) yasal yükümlülüklerimizi yerine getirmek için iş birliği süresinden daha uzun süre depolanabilir.

Veri türü

Veri işlemenin amacı

Yasal dayanak

Depolama süresi

Ajax Hub’a ilişkin bilgiler (model ve seri numarası, ağ bilgileri, olay günlüğü, mevcut ve önceki cihaz yapılandırması, konum)

Ajax Hub’ın, diğer cihazların ve Ajax uygulamalarının düzgün çalışmasının sağlanması

Sözleşme, hizmet desteği durumunda — meşru menfaat

Müşteri ilişkisi süresince veya kullanıcı tarafından ya da talebi üzerine silinene kadar saklanır.

Yedek kopyalar en fazla 12 ay süreyle saklanır.

Benzersiz tanımlayıcılar (kullanıcı adı ve şifre)

Kullanıcı yetkilendirme 

Sözleşme

Müşteri ilişkisi süresince veya kullanıcı tarafından ya da talebi üzerine silinene kadar saklanır.

Yedek kopyalar en fazla 12 ay süreyle saklanır.

Konum tabanlı veriler

Ajax Hub’ın, diğer cihazların ve Ajax uygulamalarının düzgün çalışmasının sağlanması

Sözleşme ve/veya meşru menfaat

Müşteri ilişkisi süresince veya kullanıcı tarafından ya da talebi üzerine silinene kadar saklanır.

Yedek kopyalar en fazla 12 ay süreyle saklanır.

Ürün ve Hizmetlerimizin kullanımına ilişkin bilgiler (uygulamadan sunucuya gelen istekler gibi)

Ajax Hub’ın, diğer cihazların ve Ajax uygulamalarının düzgün çalışmasının sağlanması

Sözleşme

Müşteri ilişkisi süresince veya kullanıcı tarafından ya da talebi üzerine silinene kadar saklanır.

Yedek kopyalar en fazla 12 ay süreyle saklanır.

Formlar aracılığıyla sağlanan bilgiler (kişisel ve iletişim bilgilerini içerebilir)

İletişim, amaçlar, ürün teslimatı ve pazarlama promosyonları için

Rıza

Müşteri ilişkisi süresince veya kullanıcı tarafından ya da talebi üzerine silinene kadar saklanır.

Yedek kopyalar en fazla 12 ay süreyle saklanır.

IP adresi

Ajax Hub’ın, diğer cihazların ve Ajax uygulamalarının düzgün çalışmasının sağlanması

Rıza veya sözleşme

Müşteri ilişkisi süresince veya kullanıcı tarafından ya da talebi üzerine silinene kadar saklanır.

Yedek kopyalar en fazla 12 ay süreyle saklanır.

Ad, soyad ve iletişim bilgileri

Ajax Hub’ın, diğer cihazların ve Ajax uygulamalarının düzgün çalışmasının sağlanması

Rıza

Müşteri ilişkisi süresince veya kullanıcı tarafından ya da talebi üzerine silinene kadar saklanır.

Yedek kopyalar en fazla 12 ay süreyle saklanır.

Ajax cihazları aracılığıyla çekilen görüntüler 

Ajax Hub’ın, diğer cihazların ve Ajax uygulamalarının düzgün çalışmasının sağlanması

Sözleşme

  • Ajax mobil uygulamaları: Medya dosyaları hem son kullanıcı hem de PRO hesapları için 2 yıl boyunca saklanır. Ancak, 500 olaylık sınır aşılırsa, fotoğraflar ilgili olaylarla birlikte daha erken silinebilir.
  • Ajax masaüstü uygulamaları: Saklama süresi ayarlara bağlıdır ve 7 gün ile 2 yıl arasında değişmektedir.
  • Ajax Translator: Görüntüleri saklamaz. Görsellere ait bağlantılar, oluşturuldukları andan itibaren 7 gün boyunca aktif kalır.

Telemetri verileri ve çevresel bilgiler

Ajax Hub'ın ve diğer cihazların düzgün çalışmasını sağlamak için

Rıza veya sözleşme

Müşteri ilişkisi süresince veya kullanıcı tarafından ya da talebi üzerine silinene kadar saklanır.

Yedek kopyalar en fazla 12 ay süreyle saklanır.

İş ortaklarıyla iletişim sırasında sağlanan bilgiler (örneğin, iletişim bilgilerini ve unvanı içeren kartvizitler vb.)

İş birliği ile ilgili iletişim ve toplantıların düzenlenmesi için

Rıza ve/veya sözleşme

İş ortağı ilişkisi süresince veya kişi tarafından ya da talebi üzerine silinene kadar saklanır.

Açık pozisyon için adaylara ve/veya çalışanlara ilişkin bilgiler

Kişiselleştirilmiş iletişim, işbirliği ve görüşmelerin düzenlenmesi için

Rıza ve/veya sözleşme

Aday/çalışan ile olan ilişkinin tamamı süresince veya talep etmeleri hâlinde silinene kadar.

Ajax tarafında sisteme ve bilgilere kimin erişimi var?

Veri erişiminde kullanılabilirlik minimizasyonu ve en az ayrıcalık ilkeleri izlenmektedir. Dolayısıyla verilere erişim yalnızca hizmet ve proje sağlama sürecini desteklemekten sorumlu Ajax çalışanlarına verilebilir. Verilere erişim sağlandığında ekipmanlar en yüksek teknik pazar standartlarının gerektirdiği şekilde şifreleme ve diğer araçlarla korunmaktadır. Tüm çalışanlar bir Gizlilik Sözleşmesi imzalamıştır ve her yıl bir veri koruma değerlendirmesi gerçekleştirilmektedir. Personelin tüm eylemleri günlüğe kaydedilir ve günlükler otomatik olarak anlık kontrol edilir. Aşırı erişim şüphesi durumunda erişim kısıtlanarak durum derhâl araştırılmaya başlanmaktadır. Bununla birlikte Ajax'ın bu tür bir erişim için geçerli bir yasal dayanak olmadan verilere asla erişmediğini belirtmek isteriz. Bazı durumlarda Ajax, bir kullanıcı tarafından (riski kendisine ait olmak üzere) mobil veya masaüstü uygulamalar aracılığıyla kullanıcı tarafından atanan üçüncü taraf sağlayıcılara (güvenlik şirketleri, kurulumcular) kullanıcının verilerine erişim izni vermek üzere yönlendirilebilir. Bu gibi durumlarda kullanıcının seçtiği şirketler de kullanıcının aktarılmasını istediği verilere erişebilecektir.

Ajax küresel veri koruma yasalarına uymak için neler yapıyor? Ajax, GDPR ile uyumluluğu nasıl ortaya koyuyor?

Ajax, uluslararası veri koruma yasalarına uymak için önemli sayıda önlem, mekanizma ve prosedür kullanmaktadır. Örneğin Ajax, veri işleme sınırlaması (tasarıma ve varsayılana bağlı gizlilik), veri minimizasyonu, erişim kontrolü, ve veri işleme politikaları (depolama, işleme, silme politikaları vb.) ilkelerini uygular. Veri aktarımlarının bir parçası olarak Ajax, organizasyonel ve teknik önlemler ve Standart Sözleşme Maddeleri dâhil olmak üzere çeşitli önlemler uygular. Bununla ilgili daha fazla bilgiyi Veri Aktarımı bölümünde bulabilirsiniz.

Gizlilik haklarımı nasıl kullanabilirim?

Gizlilik haklarınızı kullanmak için (kişisel verilerinizi silmek, itiraz etmek veya bunlar hakkında bilgilendirilmek, işlemeyi kısıtlamak vb. için) privacy@ajax.systems e-posta adresinden bizimle iletişime geçebilirsiniz.

Veri Aktarımı

Ajax verilerimi kimlerle paylaşabilir? Ne tür veriler paylaşılabilir ve hangi durumlarda paylaşılabilir?

Genel olarak, kişisel verilerinizi yalnızca size talep edilen hizmetleri sağlamak için gerektiğinde paylaşabiliriz. Bu tür veriler, Ürün ve Hizmetlerimizin fonksiyonlarını yerine getirmesi için belirli hizmetler sağlayan satıcılarımıza ve hizmet sağlayıcılarımıza ifşa edilebilir. Buna veri barındırma, teknik destek, iletişim vb. dâhildir. Bu tür sağlayıcıların da bizim kadar koruyucu davranmalarını sağlarız.

Uygulamamızda böyle bir sağlayıcı seçmeniz hâlinde, iletişim bilgileriniz (örn. cep telefonu numarası, takma ad ve e-posta) ilgili fiziksel güvenlik hizmeti sağlayıcılarıyla paylaşılabilir. Lütfen bu tür hizmet sağlayıcıların kişisel verilerinizden sorumlu, kendi başlarına veri sorumlusu hâline geleceğini unutmayın. Uygulamamızda sunulacak saygın iş ortaklarını seçmemize rağmen verilerinizi seçilen şirketlere aktarmamızı talep etmeden önce onların gizlilik politikalarını kontrol etmenizi öneririz.

Ajax, belirli ihtiyaçlar için AEA dışındaki üçüncü taraf alt işleyicilerin hizmetlerini kullanabilir. Bu tür ihtiyaçlar arasında veri barındırma, kayıt için teknik iletişim, kurulum ve e-posta veya telefon yoluyla diğer organizasyonel faaliyetler yer alabilir.

Ajax, bu tür aktarımların yürürlükteki tüm veri koruma yasalarına uygun olarak yapılmasını sağlamak için elinden gelen çabayı gösterir. Bu nedenle Ajax, tüm alt işleyicilerle Veri İşleme Sözleşmeleri (yurt dışına veri aktarımı durumunda Standart Sözleşme Maddeleri de dâhil olmak üzere) ve ayrıca veri aktarımlarında ve işlemede yer alan ilave tamamlayıcı tedbirler imzalamıştır. Tüm Ajax alt işleyicilerinin kendi gizlilik politikaları ve gizlilikle ilgili diğer belgeleri vardır ve bunlar Ajax uzmanları tarafından düzenli olarak uyumluluğu sağlamak için gözden geçirilir.

Ajax onaylı alt işleyicilerin listesi:

Servis

Sağlayıcı

Kullanım amacı

Gizlilik Politikası ve Veri İşleme Sözleşmesi linki

AWS

Amazon

Veri barındırma ve yedekleme

https://aws.amazon.com/privacy/ 

https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html 

Twilio

Twilio Group

Programlanabilir SMS

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

SendGrid

Twilio Group

Programlanabilir 

e-posta iletişimi

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

Mailgun

Sinch Email

İşlemsel 

e-posta hizmeti

https://www.mailgun.com/legal/privacy-policy/ 

https://www.mailgun.com/legal/dpa/ 

MongoDB

MongoDB Inc.

Veri tabanı hizmetleri sağlayıcısı

https://www.mongodb.com/legal/privacy-policy

https://www.mongodb.com/legal/dpa

Google BigQuery

Google LLC

Analitik, hizmet iyileştirme

https://policies.google.com/privacy

BlueDot

Twiso, Inc

Adaylarla iletişim için not defteri

https://www.bluedothq.com/privacy

Creatio

CREATIO EMEA LTD

CRM sistemi (birleşik iletişim sistemi)

https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR

OpenAI

OpenAI, L.L.C.

Taleplere otomatik yanıtlar

https://openai.com/security-and-privacy/

Standart Sözleşme Maddeleri Nelerdir?

Standart sözleşme maddeleri (SCC'ler), veri sorumlularının ve işleyicilerin AB veri koruma yasası kapsamındaki yükümlülüklerine uymalarını sağlayan standartlaştırılmış ve önceden onaylanmış model veri koruma maddeleridir. Bunlar veri sorumluları ve işleyiciler tarafından ticari ortaklar gibi diğer taraflarla yaptıkları sözleşme düzenlemelerine dahil edilebilir. Bu maddeler, veri koruma gerekliliklerine uyulduğunu göstermek için gönüllülük esasına dayalı olarak kullanılabilir ve bunlara uymak için bağlayıcı bir sözleşme taahhüdü şarttır. Avrupa Komisyonu, (1) veri sorumluları ve işleyicileri arasındaki ilişkiye dair ve (2) kişisel verilerin AEA dışındaki ülkelere aktarılmasına ilişkin Standart Sözleşme Maddelerini yürürlüğe koyma yetkisine sahiptir.

Tamamlayıcı Tedbirler Nelerdir?

Tamamlayıcı tedbirler, aktarılan veriler üzerinde, verilerin AEA içinde işlenmesine eş değer etkili bir güvence düzeyi elde etmek için kullanılan özel olarak uygulanan teknik ve organizasyonel prosedürlerdir.

Ajax aşağıdaki kurumsal tedbirleri bunlarla sınırlı olmamak üzere hayata geçirmiştir:

  • Ajax çalışanlarına düzenli farkındalık eğitimi ve sınav uygulanması; 
  • ihlallerin ve güvenlik açıklarının anlık izlenmesi için otomasyonlu sistem; 
  • tüm süreçlerin sürekli günlüğe kaydedilmesi; 
  • Ajax sistemine yönelik düzenli özel denetim ve zafiyet doğrulaması.

Ajax aşağıdaki teknik tedbirleri bunlarla sınırlı olmamak üzere hayata geçirmiştir:

  • Güvenlik alanlarının oluşturulması, erişim yollarının kısıtlanması, çalışanlar ve üçüncü taraflar için erişim yetkilerinin oluşturulması, kapıların kilitlenmesi (elektrikli kapı açıcılar vb.) dâhil olmak üzere kişisel verilerin işlendiği bina ve tesislerde (veri tabanları, uygulama sunucuları ve ilgili donanımlar dâhil) bulunan veri işleme sistemlerine yetkisiz kişilerin erişimini önlemeye yönelik tedbirler.
  • Kullanıcı tanımlama ve kimlik doğrulama prosedürleri, kimlik/şifre güvenliği prosedürleri, arşivlenmiş veri ortamının şifrelenmesi dâhil olmak üzere veri işleme sistemlerinin yetkisiz kişiler tarafından kullanılmasını önlemeye yönelik tedbirler.
  • Bir veri işleme sistemini kullanma hakkına sahip kişilerin söz konusu kişisel verilere yalnızca erişim haklarına uygun olarak erişebilmelerini sağlamaya yönelik tedbirler; şirket içi politikalar ve prosedürler, kontrol yetkilendirme şemaları, farklılaştırılmış erişim hakları (profiller, roller, işlemler ve nesneler), erişimlerin izlenmesi ve kaydedilmesi, kişisel verilere yetkisiz erişen çalışanlara karşı disiplin cezası verilmesi dâhil olmak üzere kişisel verilerin yetkisiz olarak okunamamasını, kopyalanamamasını, değiştirilememesini veya silinememesini sağlamaya yönelik tedbirler.
  • Kişisel verilerin elektronik iletim, taşıma veya depolama ortamlarında (manuel veya elektronik) depolanması sırasında yetkisiz olarak okunamamasını, kopyalanamamasını, değiştirilememesini veya silinememesini ve şifreleme, günlük kaydı, ulaşım güvenliği dâhil olmak üzere kişisel verilerin hangi şirketlere veya diğer tüzel kişilere ifşa edildiğinin doğrulanabilmesini sağlamaya yönelik tedbirler. Tüm kişisel veriler, depolama sırasında AES256 algoritmasıyla şifrelenmekte olup, aktarım sırasında AES128 ve TLS 1.2 şifrelemesiyle HTTPS üzerinden iletilmektedir.
  • Günlük kaydı tutma ve raporlama sistemleri, denetim izleri ve dokümantasyon dâhil olmak üzere veri işleme sistemlerine veri girilip girilmediğini, değiştirilip değiştirilmediğini veya kaldırılıp kaldırılmadığını (silinip silinmediğini) ve bunların kim tarafından yapıldığını izlemeye yönelik tedbirler.
  • Yedekleme prosedürleri, kesintisiz güç kaynağı (UPS), uzaktan depolama, antivirüs/güvenlik duvarı sistemleri, afetten kurtarma planı ve iş sürdürülebilirlik planı dâhil olmak üzere kişisel verilerin kazara imha veya kayba (fiziksel/mantıksal) karşı korunmasını sağlamaya yönelik tedbirler.
  • Veri tabanlarının ayrılması, kullanımın sınırlandırılması, işlevlerin ayrıştırılması (üretim/test) dâhil olmak üzere farklı amaçlar için toplanan kişisel verilerin ayrı ayrı işlenebilmesini sağlamaya yönelik tedbirler.

Aktarım Etki Değerlendirmesi nedir?

Aktarım Etki Değerlendirmesi (TIA), bir veri sorumlusu veya bir veri işleyici tarafından AB/AEA dışındaki veya bir uygunluk kararından yararlanan ülkelere yapılan kişisel veri aktarımının güvenlik üzerindeki etkilerine ilişkin olarak gerçekleştirilen bir analizdir.