AJAX GDPR FAQ
Temel Bilgiler
GDPR nedir?
Genel Veri Koruma Yönetmeliği (2016/679 sayılı Yönetmelik veya “GDPR” olarak da bilinir), AB ve Avrupa Ekonomik Alanı'nda (AEA) verilerin korunması ve gizliliğe ilişkin AB hukukunda yer alan bir Yönetmeliktir. Avrupa Birliği (AB) tarafından hazırlanıp kabul edilmiş olsa da bu yönetmelik, AB'deki kişileri hedefledikleri veya onlarla ilgili verileri topladıkları sürece her yerdeki kuruluşlara veri koruma yükümlülükleri getirmektedir.
Kişisel veri nedir?
Kişisel veri, doğrudan veya dolaylı olarak tanımlanabilen bir bireyle ilgili her türlü bilgidir. Bir araya getirilen farklı bilgi parçaları, belirli bir kişinin kimliğinin belirlenmesine neden olabilir ve aynı zamanda kişisel veri niteliği taşır.
Kimliksizleştirilmiş, şifrelenmiş veya takma ad verilmiş ancak bir kişiyi yeniden tanımlamak için kullanılabilecek kişisel veriler, kişisel veri olarak kalarak kanun kapsamına girer.
Kişisel verilere ilişkin bazı örnekler aşağıda yer almaktadır:
- ad ve soyad;
- adres;
- e-posta adresi;
- kimlik kartı numarası;
- konum verileri;
- IP adresi;
- çerez tanımlayıcıları;
- telefonun reklam tanımlayıcısı.
Veri işlemek ne anlama geliyor?
Veri İşleme tanımı, manuel veya otomatik yöntemler de dâhil olmak üzere kişisel veriler üzerinde gerçekleştirilen çok çeşitli işlemleri kapsar. Kişisel verilerin toplanması, kaydedilmesi, düzenlenmesi, yapılandırılması, depolanması, uyarlanması veya değiştirilmesi, geri alınması, danışılması, kullanılması, iletim yoluyla ifşa edilmesi, yayılması veya başka bir şekilde kullanıma sunulması, sıralanması veya birleştirilmesi, kısıtlanması, silinmesi veya imha edilmesini içerir. Verilerle yukarıda belirtilen şekilde bir işlem yaparsanız verileri işlemiş olursunuz.
Veri İşleyici ile Veri Sorumlusu arasındaki fark nedir?
Veri sorumlusu, kişisel verilerin işlenmesine ilişkin standartları ve kuralları belirleyen bir kuruluş, kurum veya bireyi ifade eder. Uygulamada bu, bir veri sorumlusunun verilerin bir kuruluş tarafından nasıl ve neden kullanılacağını belirlemekten sorumlu olduğu anlamına gelir. Çoğu zaman bir veri sorumlusu, verileri toplayan ve daha sonra nasıl kullanılacağını belirleyen bir kişi veya kuruluştur.
Bu, veri işleyicinin tam zıddını ifade eder. GDPR'ye göre bir veri işleyici, veri sorumlusu tarafından belirlenen veri işleme standartlarını uygulayan bir kuruluş, kurum veya bireydir. Tipik olarak bir veri işleyici, veri sorumlusunun talimatı ve takdiri doğrultusunda verileri işleyen taraftır. Bir veri işleyici, işlediği verilerin hiçbirine sahip değildir ve bu veriler üzerinde kontrol sahibi değildir. Bu, bir veri işleyicinin verilerin anlamını değiştiremeyeceği, verilerin nasıl kullanılacağını yönlendiremeyeceği ve kendisinin talimatlarla sınırlı olduğu anlamına gelir.
Veri sorumlusu ile veri işleyicinin görevleri arasındaki farkı anlamak için bazı kontrol soruları vardır:
Veri Sorumlusu aşağıdaki hususlara karar verir:
- ilk etapta verileri toplayan ve bunu yapmak için yasal dayanağı olan kuruluşa;
- kişisel verilerin ne için kullanılacağına;
- verilerin ifşa edilip edilmeyeceğine ve ifşa edilecekse kime ifşa edileceğine;
- şahsın erişiminin ve diğer bireylerin haklarının uygulanabilir olup olmadığına veya istisnaların olup olmadığına;
- verilerin ne kadar süreyle saklanacağına veya verilerin rutin olmayan bir şekilde değiştirilip değiştirilmeyeceğine.
Veri İşleyici aşağıdaki hususlara karar verir:
- kişisel verilerin toplanması ve saklanması için kullanılan yöntemlere;
- verilerin nasıl güvence altına alınacağına;
- kişisel verileri bir kuruluştan diğerine aktarmak için kullanılan araçlara;
- kişisel verilerin nasıl elde edileceğine;
- bir saklama planına uyulmasını sağlama yöntemine;
- kişisel verilerin nasıl silineceğine.
Kişisel Verilerin İşlenmesi için GDPR Koşulları Nelerdir?
GDPR'nin 6. Maddesi, kişisel verilerin işlenmesinin yasal olduğu çeşitli koşulları (dayanak olarak da bilinir) belirtir:
- Rıza. Rıza, veri sahibinin bir veya daha fazla özel amaç için kişisel veri işleme faaliyetine açık rıza verdiği anlamına gelir. Amaç kavramı burada kilit önem taşımaktadır. Gerçek kişi olarak da bilinen veri sahibi, belirli amacı/amaçları tam olarak ve kolay anlaşılır bir şekilde bilmeden verilerinin işlenmesine rıza gösterirse bu durumda verilen rıza, veri işleme için yasal bir dayanak teşkil etmez çünkü verilecek rızanın özgürce verilmiş, spesifik, bilgilendirilmiş ve açık olması gerekmektedir. Üstelik rıza toplu olarak alınamaz. Dolayısıyla daha geniş kapsamlı bir işlem bünyesindeki her bir veri işleme faaliyeti için genel kural, her bir faaliyet için ayrı rıza alınması gerektiğidir.
- Veri sahibinin taraf olduğu bir sözleşmeyi yürütmek veya imzalamaya hazırlanmak için verilerin işlenmesi gereklidir. Bir kuruluş, sözleşmeye dayalı bir hizmeti ilgili kişiye sunmak için veya ilgili kişi kuruluştan bir sözleşme yapmadan önce bir talepte bulunduğu için (örneğin bir fiyat teklifi sunmak) ilgili kişinin kişisel verilerini işlemesi gerekiyorsa bu yasal temele dayanabilir.
- Yasal bir yükümlülüğeuymak için verilerin işlenmesi gereklidir. Veri sorumlusunun belirli kişisel verilerin işlenmesini gerektiren yasal bir görevi varsa verilerin işlenmesine izin verilir. Veri işlemenin gerekli olduğu ve veri sorumlusunun tabi olduğu bu yasal yükümlülüğe uyum yeni bir durum değildir.
- Birinin hayatını kurtarmak için verilerin işlenmesi gereklidir. Bu dayanak aynı zamanda “hayati tehlike durumu” olarak da bilinmektedir. Bu durumda, gerçek kişinin veri sahibi olması gerekmez; başka bir gerçek kişi de olabilir. Elbette hayati çıkarın ne olduğunu belirlemek veri sorumlusuna bağlı değildir. Bu dayanak daha çok, veri işleme için başka bir yasal dayanağın bulunmadığı ancak kişisel verilerin işlenmemesinin esasen veri işleyicinin harekete geçmemesi hâlinde birisinin öleceği anlamına geldiği ve bu nedenle tehlikede olan gerçek kişi hakkında birkaç şey bilmeye ihtiyaç duyulan hayati tehlike durumlarıyla ilgilidir.
- Veri işleme, kamu yararına bir görevi yerine getirmek veya bazı resmi görevleri yerine getirmek için gereklidir. Bir kuruluş, ‘resmi yetkisini kullanırken’ kişisel verileri işlemesi gerekiyorsa bu yasal dayanağa istinaden hareket edebilir. Bu, yasada belirtilen kamu görevlerini ve yetkilerini veya yasada belirtilen kamu yararına belirli bir görevi yerine getirmeyi kapsar.
- Veri sorumlusu, bir kişinin kişisel verilerini işlemekte meşru bir menfaate sahiptir. Bu bağlamda kişisel verilerin işlenmesi mutlaka yasal bir zorunlulukla gerekçelendirilmeyebilir veya bir bireyle yapılan sözleşmenin şartlarını yerine getirmek için gerçekleştirilmeyebilir. Bu gibi durumlarda, kişisel verilerin işlenmesi meşru menfaat zemininde gerekçelendirilebilir. Örneğin, veri işleme bir müşteri ilişkisi dahilinde, doğrudan pazarlama amacıyla, dolandırıcılığı önlemek için veya BT sistemlerinin ağ ve bilgi güvenliğini sağlamak için gerçekleştiriliyorsa, veri işleyicinin meşru bir menfaati vardır.
GDPR kapsamında rıza süreci nasıl işliyor?
Bir veri sahibinin bilgilerinin işlenmesi için rıza göstermesi konusunda katı kurallar vardır:
- Rıza “özgürce verilmiş, spesifik, bilgilendirilmiş ve açık” olmalıdır.
- Rıza alma talepleri “diğer konulardan açıkça ayırt edilebilir” olmalı ve “açık ve sade bir dille” sunulmalıdır.
- Veri sahipleri önceden verdikleri onayı istedikleri zaman geri çekebilirler ve siz de onların bu kararına saygı göstermek zorundasınız. Veri işlemenin yasal dayanağını basitçe diğer gerekçelerden biriyle değiştirmek mümkün değildir.
- Rızanın belgeli kanıtını saklamak gereklidir.
GDPR kapsamındaki bireysel haklar nelerdir?
GDPR bireylere aşağıdaki hakları sağlamaktadır:
- Bilgilendirilme hakkı (bireyler, şirketlerin kişisel verilerini nasıl topladıkları ve kullandıkları, bu verileri ne kadar süreyle saklamayı planladıkları ve bunları kimlerle paylaşacakları konusunda bilgilendirilme hakkına sahiptir);
- Erişim hakkı (bireyler, şirketlerin tam olarak hangi bilgileri topladıklarını, bu verileri nasıl sakladıklarını ve işlediklerini ve bunlarla ne yapacaklarını bilme hakkına sahiptir);
- Düzeltme hakkı (bireyler, eksik verilerin tamamlanmasını ve yanlış verilerin düzeltilmesini isteme hakkına sahiptir);
- Silme hakkı (bireyler, kişisel verilerin kalıcı olarak silinmesini isteme hakkına sahiptir. Bu aynı zamanda “unutulma hakkı” olarak da bilinir);
- Veri işlemeyi kısıtlama hakkı (bireyler veri sorumlularından kişisel bilgilerini silmelerini talep edemiyorlarsa veri sorumlularının bu verileri işleme yetkisini kısıtlayabilirler);
- Veri taşınabilirliği hakkı (bireyler, kişisel verilerini farklı hizmetlerde kendi amaçları için temin etme ve yeniden kullanma hakkına sahiptir);
- İtiraz hakkı (bireyler, belirli durumlarda kişisel verilerinin işlenmesine itiraz etme hakkına sahiptir);
- Otomatik karar alma ve profil çıkarma ile ilgili haklar (bireyler, önemli kararların algoritmalar tarafından alınması yerine insanların müdahil olmasını talep etme hakkına sahiptir).
GDPR'nin Yedi İlkesi Nelerdir?
GDPR'ye göre Yedi temel veri koruma ve hesap verebilirlik ilkesi vardır:
- Hukuka uygunluk, adil olma ve şeffaflık — veri işleme hukuka uygun, adil ve veri sahibine karşı şeffaf olmalıdır.
- Amaç sınırlaması — verileri, yalnızca topladığınızda veri sahibine açıkça belirtilen meşru amaçlar için işlemelisiniz.
- Veri minimizasyonu — yalnızca belirtilen amaçlar için kesinlikle gerekli olduğu kadar veri toplamalı ve işlemelisiniz.
- Doğruluk — kişisel verileri doğru ve güncel tutmalısınız.
- Saklama sınırlaması — kişisel olarak tanımlayıcı verileri yalnızca belirtilen amaç için gerekli olduğu sürece saklayabilirsiniz.
- Bütünlük ve gizlilik — pveri işleme uygun güvenlik, bütünlük ve gizliliği sağlayacak şekilde yapılmalıdır (örneğin şifreleme kullanılarak).
- Hesap verebilirlik — Veri sorumlusu, GDPR'nin tüm bu ilkelere uygunluğunu gösterebilmekten sorumludur.
GDPR, AB'de ikamet edenlerin kişisel verilerinin AB'de kalmasını gerektiriyor mu?
GDPR, AB'de ikamet edenlerin kişisel verilerinin sadece AB'de kalmasına yönelik doğrudan bir kısıtlama getirmemektedir. Bununla birlikte AB Veri Koruması, “GDPR, verilerle birlikte uygulanmaya devam eder” ilkesine göre çalışır, yani kişisel verileri koruyan kurallar, verilerin nereye gittiğine bakılmaksızın uygulanmaya devam eder. Bu ilke, kişisel veriler AB üyesi olmayan bir ülkeye aktarıldığında da geçerlidir.
Ajax tarafından Verilerin İşlenmesi
Ajax kişisel verilerimi işliyor mu?
Evet, Ajax kişisel verilerinizi işleyebilir. Verilerinizi işleyebileceğimiz 4 ana senaryo vardır:
- güvenlik cihazlarımız (Hub veya diğerleri gibi) aracılığıyla;What types of my data could be processed by Ajax?
- mobil uygulamalarımız (örneğin Ajax Security System ve Ajax PRO: Tool for Engineers) ve masaüstü uygulamalarımız (bunlara Ürünlerimiz veya Hizmetlerimiz diyoruz) aracılığıyla;
- web sitesini ziyaret ederseniz https://ajax.systems/
- Ajax ile sizin aranızdaki iş birliği çerçevesinde ( Ajax'ın doğrudan veya dolaylı bir İş Ortağı veya Alt Yüklenicisi olmanız fark etmeksizin)
Ne tür verilerim Ajax tarafından işlenebilir?
Ajax, sizinle olan etkileşimin senaryosuna bağlı olarak farklı veri türlerini işleyebilir.
Güvenlik cihazlarımız aracılığıyla şunları işleyebiliriz:
- Hub'ınızla ilgili bilgiler (modeli ve seri numarası, IP adresi dâhil ağ bilgileri, cihaz etkinlik günlükleri, geçmiş ve mevcut cihaz yapılandırması ve konumu gibi).
- Sıcaklık, gürültü seviyesi veya hareket verileri gibi Ajax cihazlarından gelen çevresel veriler.
Ürünlerimizi veya Hizmetlerimizi kullanırken şunları işleyebiliriz:
- Sizinle ilgili bilgiler (örn. ad, soyad, e-posta, telefon numarası ve hesap resminiz).
- Kullanıcıları Ürüne davet ettiğinizde cihazınızın telefon defterinden bizimle paylaştığınız bilgiler (örn. Ürüne davet ettiğiniz bir kişinin e-postası veya telefon numarası).
- Hizmetlerimiz için benzersiz tanımlayıcılar (ör. kullanıcı adınız ve şifreniz).
- Kullanıcı adı, kullanıcının Üründeki rolü ve e-posta adresi gibi Ürünle ilişkilendirdiğiniz kullanıcıların benzersiz tanımlayıcıları; cihaz türü, işletim sistemi ve sistem dili gibi mobil ve masaüstü cihazlarınızla ilgili bilgiler.
- Uygulamamızda Geofence işlevini etkinleştirirseniz sistemi devreye almanız/devre dışı bırakmanız için size hatırlatıcılar sağlayacak konum tabanlı veriler.
- Android ve iOS kullanıcıları için hesap kaydı veya değişiklikleri sırasında gerekli olan yetkilendirme kodunu içeren SMS.
- Ürün ve Hizmetlerimizi kullanımınızla ilgili bilgiler (örn. uygulamadan sunucumuza yapılan talepler).
Web sitemizi ziyaret ederseniz şunları işleyebiliriz:
- Kişisel verilerinizi ve iletişim bilgilerinizi içerebilecek formları doldururken sağladığınız bilgiler.
- Çerez tanımlayıcıları (GDPR uyumlu araç aracılığıyla).
- Bulunduğunuz ülkeyi tanımlayacak IP adresiniz.
Ticari iş birliği durumunda şunları işleyebiliriz:
- İş temsilcilerinin kişisel ve iletişim bilgileri (Ad, pozisyon, e-posta ve telefon numarası).
Veri işlemenin amacı ve yasal dayanağı nedir?
- Güvenlik cihazlarımız aracılığıyla veya siz Ürünlerimizi veya Hizmetlerimizi kullanırken aldığımız tüm veriler yalnızca size talep edilen güvenlik hizmetlerini sağlamak için işlenir. Bu, tüm bu verileri sizinle yaptığımız sözleşmeyi ifa etmek için işlediğimiz anlamına gelir. Ayrıca bu, size bu tür hizmetleri sunabilmemiz için özellikle gerekmeyen hiçbir veriyi toplamadığımız anlamına gelir.
- Bültenimize abone olmaya karar verirseniz size hakkımızda bazı bilgileri ve en son güncellemelerimizi içeren e-postalar göndereceğiz. Aboneliğinizi onaylayarak verdiğiniz rızanıza güveniyoruz Ayrıca bu e-postaları sizin hakkınızda sahip olduğumuz bilgilere dayanarak kişiselleştireceğiz böylece sizin için daha alakalı ve daha faydalı olacaklar.
- Bazı sorunlar yaşamanız durumunda uygulamanızdan işlem günlüklerini paylaşmanız hâlinde teknik sorununuzu çözmek ve Ürünlerimizi ve Hizmetlerimizi daha iyi hâle getirmek için bunları işleyeceğiz. Piyasa tekliflerimizi daha rekabetçi hâle getirmek için bunları meşru çıkarlarımız doğrultusunda işliyoruz.
- Kullanıcıları Ürüne davet ettiğinizde cihazınızın telefon defterinden bizimle paylaştığınız verileri (örn. Ürüne davet ettiğiniz bir kişinin e-postası veya telefon numarası) yalnızca bu kişilere davetiye göndermek için kullanırız.
Bilgiler nerede depolanır?
Ajax'ın sizden toplayabileceği her türlü veri İrlanda, Almanya ve Fransa'da (AEA içinde) bulunan bulut depolama alanında depolanır; verilerin nerede depolanacağı (İrlanda, Almanya ve Fransa'da) AWS altyapısının kullanılabilirliğine bağlıdır.
Bilgiler ne kadar süreyle depolanır?
Tüm veriler, 500 işlemle sınırlı olan anlık bildirimlerin hafızası hariç, tüm müşteri ilişkisi süresi boyunca depolanır. PRO Desktop Hesabı olay günlüğü için olay bildirimlerinin depolama süresi 2 yıldır. Bununla birlikte bazı veri türleri (sözleşmelerde belirtilen temsilci adı, pozisyonu ve iletişim bilgileri gibi) yasal yükümlülüklerimizi yerine getirmek için iş birliği süresinden daha uzun süre depolanabilir.
Veri türü | Veri işlemenin amacı | Yasal dayanak | Depolama süresi |
Hub ile ilgili bilgiler (model ve seri numarası, cihaz etkinlik günlükleri dâhil ağ bilgileri, geçmiş ve mevcut cihaz yapılandırması, konum) | Hub’ın, cihazların ve uygulamaların düzgün çalışmasını sağlamak | Sözleşme, hizmet desteği durumunda — meşru menfaat | Tüm müşteri ilişkisi süresi boyunca veya kullanıcı tarafından talep edilen/gerçekleştirilen şekilde silinene kadar. 12 aya kadar yedekleme |
Benzersiz tanımlayıcılar (kullanıcı adı ve şifre) | Kullanıcı yetkilendirme | Sözleşme | Tüm müşteri ilişkisi süresi boyunca veya kullanıcı tarafından talep edilen/gerçekleştirilen şekilde silinene kadar. 12 aya kadar yedekleme |
Konum tabanlı veriler | Hub’ın, cihazların ve uygulamaların düzgün çalışmasını sağlamak | Sözleşme ve/veya meşru menfaat | Tüm müşteri ilişkisi süresi boyunca veya kullanıcı tarafından talep edilen/gerçekleştirilen şekilde silinene kadar. 12 aya kadar yedekleme |
Ürün ve Hizmetlerimizin kullanımına ilişkin bilgiler (uygulamadan sunucuya gelen istekler gibi) | Hub’ın, cihazların ve uygulamaların düzgün çalışmasını sağlamak | Sözleşme | Tüm müşteri ilişkisi süresi boyunca veya kullanıcı tarafından talep edilen/gerçekleştirilen şekilde silinene kadar. 12 aya kadar yedekleme |
Kişisel verileri ve iletişim bilgilerini içerebilecek formların doldurulmasıyla sağlanan bilgiler | İletişim, ürün teslimatı hizmeti, pazarlama promosyonları | Rıza | Tüm müşteri ilişkisi süresi boyunca veya kullanıcı tarafından talep edilen/gerçekleştirilen şekilde silinene kadar. 12 aya kadar yedekleme |
IP adresi | Hub’ın, cihazların ve uygulamaların düzgün çalışmasını sağlamak | Sözleşme veya Rıza | Tüm müşteri ilişkisi süresi boyunca veya kullanıcı tarafından talep edilen/gerçekleştirilen şekilde silinene kadar. 12 aya kadar yedekleme |
Ad, soyad ve iletişim bilgileri | Hub’ın, cihazların ve uygulamaların düzgün çalışmasını sağlamak | Rıza | Tüm müşteri ilişkisi süresi boyunca veya kullanıcı tarafından talep edilen/gerçekleştirilen şekilde silinene kadar. 12 aya kadar yedekleme |
Ajax cihazları aracılığıyla çekilen görüntüler | Hub’ın, cihazların ve uygulamaların düzgün çalışmasını sağlamak | Sözleşme | -Mobil uygulama — Kullanıcı ve PRO hesapları için medya dosyalarını saklama süresi 2 yıldır. Mobil uygulamadaki olay sınırlamasına (500 olay) ulaşılırsa fotoğraflar ilişkili olaylarla birlikte daha erken silinebilir. -Ajax PRO Desktop (şirket hesabı) — ayarlara bağlıdır (7 günden 2 yıla kadar). -Ajax Translator görüntüleri depolamaz; ancak linkler oluşturuldukları andan itibaren 7 gün boyunca aktiftir |
Ajax tarafında sisteme ve bilgilere kimin erişimi var?
Ajax, veri erişiminde kullanılabilirlik minimizasyonu ve en az ayrıcalık ilkelerini izler. Dolayısıyla verilere erişim yalnızca hizmet ve proje sağlama sürecini desteklemekten sorumlu Ajax çalışanlarına verilebilir. Ajax personeli verilere erişim sağladığında ekipmanlar en yüksek teknik pazar standartlarının gerektirdiği şekilde şifreleme ve diğer araçlarla korunur. Tüm çalışanlar bir Gizlilik Sözleşmesi imzalamıştır ve her yıl bir veri koruma değerlendirmesi gerçekleştirilmektedir. Personelin tüm eylemleri günlüğe kaydedilir ve günlükler otomatik olarak anlık kontrol edilir. Aşırı erişim şüphesi durumunda erişimi kısıtlayıp durumu derhâl araştırmaya başlarız. Bununla birlikte Ajax'ın bu tür bir erişim için geçerli bir yasal dayanak olmadan verilere asla erişmediğini belirtmek isteriz. Bazı durumlarda Ajax, bir kullanıcı tarafından (riski kendisine ait olmak üzere) mobil veya masaüstü uygulamalar aracılığıyla kullanıcı tarafından atanan üçüncü taraf sağlayıcılara (güvenlik şirketleri, kurulumcular) kullanıcının verilerine erişim izni vermek üzere yönlendirilebilir. Bu gibi durumlarda kullanıcının seçtiği şirketler de kullanıcının aktarılmasını istediği verilere erişebilecektir.
Ajax küresel veri koruma yasalarına uymak için neler yapıyor? Ajax, GDPR ile uyumluluğu nasıl ortaya koyuyor?
Ajax, uluslararası veri koruma yasalarına uymak için önemli sayıda önlem, mekanizma ve prosedür kullanmaktadır. Örneğin Ajax, veri işleme sınırlaması (tasarıma ve varsayılana bağlı gizlilik), veri minimizasyonu, erişim kontrolü, ve veri işleme politikaları (depolama, işleme, silme politikaları vb.) ilkelerini uygular. Veri aktarımlarının bir parçası olarak Ajax, organizasyonel ve teknik önlemler ve Standart Sözleşme Maddeleri dâhil olmak üzere çeşitli önlemler uygular. Bununla ilgili daha fazla bilgiyi Veri Aktarımı bölümünde bulabilirsiniz.
Gizlilik haklarımı nasıl kullanabilirim?
Gizlilik haklarınızı kullanmak için (kişisel verilerinizi silmek, değiştirmek veya bunlar hakkında bilgilendirilmek, işlemeyi kısıtlamak vb.) e-posta yoluyla bizimle iletişime geçebilirsiniz: support@ajax.systems.
Veri Aktarımı
Ajax verilerimi kimlerle paylaşabilir? Ne tür veriler paylaşılabilir ve hangi durumlarda paylaşılabilir?
Genel olarak, kişisel verilerinizi yalnızca size talep edilen hizmetleri sağlamak için gerektiğinde paylaşabiliriz. Bu tür veriler, Ürün ve Hizmetlerimizin fonksiyonlarını yerine getirmesi için belirli hizmetler sağlayan satıcılarımıza ve hizmet sağlayıcılarımıza ifşa edilebilir. Buna veri barındırma, teknik destek, iletişim vb. dâhildir. Bu tür sağlayıcıların da bizim kadar koruyucu davranmalarını sağlarız.
Uygulamamızda böyle bir sağlayıcı seçerek bunu yapmamızı isterseniz iletişim bilgilerinizi (örn. cep telefonu numarası, takma ad ve e-posta) fiziksel güvenlik hizmeti sağlayıcılarıyla paylaşabiliriz. Lütfen bu tür hizmet sağlayıcıların kişisel verilerinizden sorumlu, kendi başlarına veri sorumlusu hâline geleceğini unutmayın. Uygulamamızda sunulacak saygın iş ortaklarını seçmemize rağmen verilerinizi seçilen şirketlere aktarmamızı talep etmeden önce onların gizlilik politikalarını kontrol etmenizi öneririz.
Ajax, belirli ihtiyaçlar için AEA dışındaki üçüncü taraf alt işleyicilerin hizmetlerini kullanabilir. Bu tür ihtiyaçlar arasında veri barındırma, kayıt için teknik iletişim, kurulum ve e-posta veya telefon yoluyla diğer organizasyonel faaliyetler yer alabilir.
Ajax, bu tür aktarımların yürürlükteki tüm veri koruma yasalarına uygun olarak yapılmasını sağlamak için elinden gelen çabayı gösterir. Bu nedenle Ajax, tüm alt işleyicilerle Veri İşleme Sözleşmeleri (yurt dışına veri aktarımı durumunda Standart Sözleşme Maddeleri de dâhil olmak üzere) ve ayrıca veri aktarımlarında ve işlemede yer alan ilave tamamlayıcı tedbirler imzalamıştır. Tüm Ajax alt işleyicilerinin kendi gizlilik politikaları ve gizlilikle ilgili diğer belgeleri vardır ve bunlar Ajax uzmanları tarafından düzenli olarak uyumluluğu sağlamak için gözden geçirilir.
Ajax onaylı alt işleyicilerin listesi:
Servis | Sağlayıcı | Kullanım amacı | Gizlilik Politikası ve Veri İşleme Sözleşmesi linki |
AWS | Amazon | Veri barındırma ve yedekleme | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | Programlanabilir SMS | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Programlanabilir e-posta iletişimi | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | İşlemsel e-posta hizmeti | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Veri tabanı hizmetleri sağlayıcısı | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Analitik, servis geliştirme | https://policies.google.com/privacy |
Standart Sözleşme Maddeleri Nelerdir?
Standart sözleşme maddeleri (SCC'ler), veri sorumlularının ve işleyicilerin AB veri koruma yasası kapsamındaki yükümlülüklerine uymalarını sağlayan standartlaştırılmış ve önceden onaylanmış model veri koruma maddeleridir. Bunlar veri sorumluları ve işleyiciler tarafından ticari ortaklar gibi diğer taraflarla yaptıkları sözleşme düzenlemelerine dahil edilebilir. Bu maddeler, veri koruma gerekliliklerine uyulduğunu göstermek için gönüllülük esasına dayalı olarak kullanılabilir ve bunlara uymak için bağlayıcı bir sözleşme taahhüdü şarttır. Avrupa Komisyonu, (1) veri sorumluları ve işleyicileri arasındaki ilişkiye dair ve (2) kişisel verilerin AEA dışındaki ülkelere aktarılmasına ilişkin Standart Sözleşme Maddelerini yürürlüğe koyma yetkisine sahiptir.
Tamamlayıcı Tedbirler Nelerdir?
Tamamlayıcı tedbirler, aktarılan veriler üzerinde, verilerin AEA içinde işlenmesine eş değer etkili bir güvence düzeyi elde etmek için kullanılan özel olarak uygulanan teknik ve organizasyonel prosedürlerdir.
Ajax aşağıdaki kurumsal tedbirleri bunlarla sınırlı olmamak üzere hayata geçirmiştir:
- Ajax çalışanlarına düzenli farkındalık eğitimi verilmesi ve sınava tabi tutulması;
- ihlallerin ve güvenlik açıklarının anlık izlenmesi için otomasyonlu sistem;
- tüm süreçlerin sürekli olarak günlüğe kaydedilmesi;
- Ajax sisteminin güvenlik açıkları için düzenli aralıklarla özel olarak denetlenmesi ve doğrulanması.
Ajax aşağıdaki teknik tedbirleri bunlarla sınırlı olmamak üzere hayata geçirmiştir:
- Güvenlik alanlarının oluşturulması, erişim yollarının kısıtlanması, çalışanlar ve üçüncü taraflar için erişim yetkilerinin oluşturulması, kapıların kilitlenmesi (elektrikli kapı açıcılar vb.) dâhil olmak üzere kişisel verilerin işlendiği bina ve tesislerde (veri tabanları, uygulama sunucuları ve ilgili donanımlar dâhil) bulunan veri işleme sistemlerine yetkisiz kişilerin erişimini önlemeye yönelik tedbirler.
- Kullanıcı tanımlama ve kimlik doğrulama prosedürleri, kimlik/şifre güvenliği prosedürleri, arşivlenmiş veri ortamının şifrelenmesi dâhil olmak üzere veri işleme sistemlerinin yetkisiz kişiler tarafından kullanılmasını önlemeye yönelik tedbirler.
- Bir veri işleme sistemini kullanma hakkına sahip kişilerin söz konusu kişisel verilere yalnızca erişim haklarına uygun olarak erişebilmelerini sağlamaya yönelik tedbirler; şirket içi politikalar ve prosedürler, kontrol yetkilendirme şemaları, farklılaştırılmış erişim hakları (profiller, roller, işlemler ve nesneler), erişimlerin izlenmesi ve kaydedilmesi, kişisel verilere yetkisiz erişen çalışanlara karşı disiplin cezası verilmesi dâhil olmak üzere kişisel verilerin yetkisiz olarak okunamamasını, kopyalanamamasını, değiştirilememesini veya silinememesini sağlamaya yönelik tedbirler.
- Kişisel verilerin elektronik iletim, taşıma veya depolama ortamlarında (manuel veya elektronik) depolanması sırasında yetkisiz olarak okunamamasını, kopyalanamamasını, değiştirilememesini veya silinememesini ve şifreleme, günlük kaydı, ulaşım güvenliği dâhil olmak üzere kişisel verilerin hangi şirketlere veya diğer tüzel kişilere ifşa edildiğinin doğrulanabilmesini sağlamaya yönelik tedbirler. Tüm kişisel veriler bekleme durumundayken SHA256 algoritması ile şifrelenir ve SHA128 ve TLS 1.2 şifreleme ile HTTPS üzerinden aktarıma tabidir.
- Günlük kaydı tutma ve raporlama sistemleri, denetim izleri ve dokümantasyon dâhil olmak üzere veri işleme sistemlerine veri girilip girilmediğini, değiştirilip değiştirilmediğini veya kaldırılıp kaldırılmadığını (silinip silinmediğini) ve bunların kim tarafından yapıldığını izlemeye yönelik tedbirler.
- Yedekleme prosedürleri, kesintisiz güç kaynağı (UPS), uzaktan depolama, antivirüs/güvenlik duvarı sistemleri, afetten kurtarma planı ve iş sürdürülebilirlik planı dâhil olmak üzere kişisel verilerin kazara imha veya kayba (fiziksel/mantıksal) karşı korunmasını sağlamaya yönelik tedbirler.
- Veri tabanlarının ayrılması, kullanımın sınırlandırılması, işlevlerin ayrıştırılması (üretim/test) dâhil olmak üzere farklı amaçlar için toplanan kişisel verilerin ayrı ayrı işlenebilmesini sağlamaya yönelik tedbirler.
Aktarım Etki Değerlendirmesi nedir?
Aktarım Etki Değerlendirmesi (TIA), bir veri sorumlusu veya bir veri işleyici tarafından AB/AEA dışındaki veya bir uygunluk kararından yararlanan ülkelere yapılan kişisel veri aktarımının güvenlik üzerindeki etkilerine ilişkin olarak gerçekleştirilen bir analizdir.