Skip to Content
Go back
BAS-IP / MEMORANDUM ISIKUANDMETE TÖÖTLEMISE NÕUETELE VASTAVUSE KOHTA

Oleme pühendunud tugevatele ja uuenduslikele andmekaitsepõhimõtetele, et iga klient saaks usaldada, et tema isikuandmeid töödeldakse turvaliselt ja kaitstult.

BAS-IP DISTRIBUTION LTD (Ettevõte või BAS-IP) on koostanud selle memorandumi oma klientidele seoses meie vastavusega kohaldatavatele andmekaitsealastele õigusaktidele, sealhulgas Ühendkuningriigi isikuandmete kaitse üldmäärusele (UK GDPR) ja Euroopa Liidu isikuandmete kaitse üldmäärusele (GDPR). Allpool tutvustame teile meie tegevusi seoses isikuandmete kaitse nõuete täitmisega.

MÕISTED

  • „UK GDPR“ tähendab Ühendkuningriigi isikuandmete kaitse üldmäärust, mis on inkorporeeritud Ühendkuningriigi õigusesse 2018. aasta andmekaitseseaduse alusel, koos muude kohaldatavate Ühendkuningriigi andmekaitse- ja privaatsusõigusaktidega.
  • „GDPR“ tähendab isikuandmete kaitse üldmäärust (määrus (EL) 2016/679) ja kõiki sellega seotud andmekaitse- ja privaatsusõigusakte, mis kehtivad Euroopa Liidus ja Euroopa Majanduspiirkonnas.
  • Isikuandmed (Personal data) tähendavad igasugust teavet, mis on seotud identifitseeritud või identifitseeritava füüsilise isikuga.
  • Andmesubjekt (Data subject) tähendab identifitseeritavat füüsilist isikut, keda on võimalik identifitseerida, otseselt või kaudselt.
  • Vastutav töötleja (Controller) tähendab füüsilist või juriidilist isikut, avaliku sektori asutust, ametit või muud organit, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid.
  • Volitatud töötleja (Processor) tähendab füüsilist või juriidilist isikut, avaliku sektori asutust, ametit või muud organit, kes töötleb isikuandmeid vastutava töötleja nimel.
  • Alltöötleja (Subprocessor) tähendab füüsilist või juriidilist isikut, kelle volitatud töötleja on kaasanud ja kes teostab isikuandmete töötlemist vastutava töötleja nimel.
  • Töötlemine (Processing) tähendab isikuandmete või nende kogumitega tehtavat automatiseeritud või automatiseerimata toimingut või toimingute kogumit, nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine, kohandamine või muutmine, päringu tegemine, tutvumine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine.

BAS-IP-ist

BAS-IP arendab ja toodab IP-fonolukke, juurdepääsukontrollisüsteeme ja kommunikatsioonisüsteeme ning on selles valdkonnas juhtiv tegija. Lisateavet meie tegevuse kohta leiate veebisaidilt: https://bas-ip.com/.

Oma tegevuse käigus võib Ettevõte koguda, pääseda juurde või muul viisil töödelda isikuandmeid, mis on seotud erinevate andmesubjektide kategooriatega: klientide ja kasutajate, töötajate, töövõtjate ja teiste andmesubjektidega. Sellise töötlemise käigus on Ettevõte pühendunud kõigi vajalike meetmete võtmisele ning asjakohaste isikuandmete kaitse poliitikate, protseduuride ja muu dokumentatsiooni järgimisele, et töödelda isikuandmeid kooskõlas kohaldatava õiguse ja parimate tavadega.

Rollijaotus isikuandmete töötlemisel

BAS-IP-il võib UK GDPR-i ja GDPR-i alusel olla erinevaid rolle:

  • Vastutava töötlejana määrab Ettevõte kindlaks isikuandmete töötlemise eesmärgid ja vahendid, näiteks klientide ja veebisaidi külastajatega suheldes, turundustegevustes, mis hõlmavad isikuandmete töötlemist, jne.
  • Volitatud töötlejana võib Ettevõte töödelda isikuandmeid meie kliendi juhiste alusel, kes tegutseb vastutava töötlejana, või vastava vastutava töötleja nimel.
  • Töötledes isikuandmeid volitatud töötlejana, võime kaasata kolmandatest isikutest teenusepakkujaid, kes tegutsevad alltöötlejatena.
Klientidele teenuste osutamisel isikuandmete töötlemisel tegutseb Ettevõte volitatud töötlejana ja järgib UK GDPR-i ja GDPR-i kohaldatavaid nõudeid, samuti asjakohaseid lepingulisi kohustusi Ettevõtte ja kliendi vahel.

BAS-IP JA ANDMEKAITSE

BAS-IP on pühendunud kõrgeimatele andmekaitsestandarditele ja kohaldatavale isikuandmete kaitse alasele seadusandlusele.

Kõik tegevused, mis hõlmavad isikuandmete töötlemist, viiakse läbi kooskõlas sisemise dokumentatsiooniga isikuandmete töötlemise reguleerimise kohta.

Ettevõte rakendab järgmisi isikuandmete kaitse meetmeid:

Isikuandmete kaitse dokumentatsiooni korrapärane ülevaatamine ja vajalike muudatuste tegemine meie dokumentatsioonis ja tegevustes

Sisemise isikuandmete kaitse dokumentatsiooni korrapärane ülevaatamine ja ajakohastamine on lahutamatu osa Ettevõtte strateegiast, et tagada vastavus UK GDPR-i, GDPR-i ja muude andmekaitsealaste õigusaktide nõuetele.

Asjakohast sisemist dokumentatsiooni ning vastuvõetud poliitikaid ja protseduure, eriti mis puudutavad andmesubjektide taotlusi, isikuandmetega seotud rikkumistest teavitamist, töötlemisega seotud kolmandate isikute vastavushindamisi jne, ajakohastatakse või muudetakse perioodiliselt vastavalt vajadusele, eriti seoses seadusandluse muutumisega või uute isikuandmete töötlemise tegevuste kasutuselevõtuga.

Lisaks sellele registreeritakse isikuandmete töötlemise tegevused, mis hõlmab isikuandmete töötlemise registrite (RoPA) pidamist ning vajadusel viiakse läbi andmekaitsealane mõjuhinnang (DPIA) ja õigustatud huvi hindamine (LIA).

Seega tagab Ettevõte oma isikuandmete kaitse dokumentatsiooni ajakohastamisega isikuandmete kaitse kõrge taseme ja pideva vastavuse seadusandlusele.

Nõuete täitmine andmesubjektide õiguste kaitsmiseks

Ettevõtte privaatsuspoliitika, mis on avalikult kättesaadav tema veebisaidil, annab klientidele ja teistele andmesubjektidele teavet eesmärkide kohta, milleks isikuandmeid võidakse töödelda, kuidas ja milliseid konkreetseid isikuandmeid võidakse töödelda, samuti teavet nende õiguste kohta kohaldatavate isikuandmete kaitse seaduste alusel, sealhulgas nende õiguste kasutamise kohta.

Lisaks on Ettevõte vastu võtnud Taotluste ja kaebuste menetluse, mis sisaldab andmesubjektide taotlustele vastamise korda ja nende õigusi kooskõlas UK GDPR-i ja GDPR-iga.

Ettevõte on pühendunud kliendile kogu vajaliku toe pakkumisele vastamaks andmesubjektide taotlustele, kelle andmeid Ettevõte töötleb volitatud töötlejana, vastavalt UK GDPR-i, GDPR-i sätetele ja Ettevõtte ning kliendi vahelistele lepingulistele kohustustele.

Vastavus parimatele standarditele ja tavadele tehnilise ja organisatsioonilise turvalisuse osas

Ettevõte on rakendanud tehnilisi ja organisatsioonilisi meetmeid isikuandmete turvalisuse tagamiseks. Ettevõtte sisemine dokumentatsioon määratleb selgelt isikuandmete töötlemisel kasutatavad tehnilised ja organisatsioonilised meetmed:

  • välja töötatud ja vastu võetud dokumentatsioon, mis reguleerib info turvalisust, ning jälgib pidevalt infoturbe sündmusi ja tagab õigeaegse reageerimise intsidentidele;
  • on rakendanud kaitsemeetmeid isikuandmetele juurdepääsu piiramiseks, näiteks kontrollib isikuandmetele juurdepääsu, eelkõige isikupärastatud kontode kasutamise kaudu, kontrollib kontode paroolide pikkuse ja keerukuse nõudeid ning kaitseb võrguühendust võrgurünnakute ohu vähendamiseks; kontrollib füüsiliste andmekeskuste, kus andmeid hoitakse, vastavust turvanõuetele; mitmefaktorilist autentimist ja kasutaja autentimist autoriseerimise ajal, samuti andmetele juurdepääsu õiguste konfigureerimist ja rakendamist, olemasolevate juurdepääsuõiguste regulaarset ülevaatamist jne;
  • kasutab krüpteerimistehnoloogiaid isikuandmete salvestamisel ja töötlemisel pilvetehnoloogiate abil ning kehtestab nõuded ainult ajakohaste ja tugevate krüptograafiliste protokollide, algoritmide, šifripakettide, krüpteerimisvõtmete ja võtmehaldusmeetodite kasutamiseks;
  • vaatab korrapäraselt üle isikuandmete varukoopiad, et teha kindlaks, kas nende säilitamine vastab operatiivnõuetele ja õiguslikele kohustustele;
  • võtab muid organisatsioonilisi turvameetmeid, sealhulgas rollide ja vastutuse lahususe poliitika rakendamine, asjakohaste poliitikate ja protseduuride korrapärane ajakohastamine, ülesannete täitmise jälgimine ja valmisoleku demonstreerimine asjakohaste valitsusasutustega koostööks. Ettevõtte rakendatud personaliturvameetmed hõlmavad mõnel juhul töötajate taustakontrolle, töötajate teadlikkuse tõstmist infoturbe küsimustes ja selle teadlikkuse jälgimist, samuti koolitus- ja kutsealaste arenguprogrammide läbiviimist;
  • jälgib pidevalt seadusandluse muutusi ja rakendab parimaid tavasid isikuandmete kaitse valdkonnas vastavalt küberturvalisuse standarditele, suunistele, isikuandmete kaitse järelevalveasutuste ja Information Commissioner’s Office (ICO) soovitustele.

Ettevõte järgib kõiki isikuandmete kaitse turvalisuse tagamise poliitikaid ja protseduure, kontrollib korrapäraselt nende asjakohasust ja tagab õigeaegse ülevaatamise.

Kolmandate isikute korrapärane kontroll

Kõiki isikuandmete töötlemisega seotud kolmandaid isikuid kontrollitakse, kasutades sisemist reguleeritud kolmandate isikute vastavushindamise protseduuri. Eelkõige hinnatakse selliste kontrollide käigus asjakohase dokumentatsiooni kättesaadavust seoses isikuandmete töötlemisega, samuti rakendatud tehniliste ja organisatsiooniliste turvameetmete kättesaadavust ja tõhusust, et kaitsta isikuandmeid volitamata juurdepääsu, kadumise või terviklikkuse rikkumiste eest.

Isikuandmete turvaline edastamine

Teenuste osutamisel võib Ettevõte edastada isikuandmeid väljapoole Ühendkuningriiki, näiteks Ameerika Ühendriikidesse ja Ukrainasse.

Isikuandmete edastamise turvalisuse ja õigusnõuete täitmise tagamiseks viiakse eelnevalt läbi hindamine. Lisaks teostatakse regulaarselt sisemist järelevalvet, et tagada Ühendriikide, Ukraina ja vajadusel teiste riikide, kuhu isikuandmeid edastatakse, õigusnõuete ja tavade vastavus Ühendkuningriigi ja EL isikuandmete kaitse standarditele ja tavadele. Lisaks kontrollitakse põhjalikult andmete importijate rakendatud turvameetmeid, eelkõige allkirjastades asjakohase isikuandmete kaitset reguleeriva dokumentatsiooni.

Kui Ettevõte edastab UK GDPR-i ja/või GDPR-i kohaseid isikuandmeid, sõlmib ta oma töövõtjatega andmetöötluslepingu (DPA). Sellised lepingud sisaldavad asjakohaseid edastusmehhanisme, sealhulgas EL-i standardseid lepingutingimusi (SCC-d) koos UK-i lisaga (UK Addendum) või rahvusvahelist andmeedastuslepingut (IDTA).

Korrapärased koolitused

Ettevõte korraldab regulaarselt koolitusi oma töötajatele ja töövõtjatele UK GDPR-i ja GDPR-i nõuetele vastavuse ning isikuandmete kaitse kohta. Koolitusteemad hõlmavad muu hulgas UK GDPR-i, GDPR-i ja muude kohaldatavate isikuandmete kaitse seaduste üldnõudeid, rolle töötlemisel, isikuandmete töötlemise põhimõtteid, töötlemise aluseid, andmesubjektide õiguste tagamist ja isikuandmete kaitse küsimusi.

Lisaks on Ettevõte vastu võtnud ka vajaliku dokumentatsiooni ja rakendanud asjakohaseid meetmeid töötajate koolituse ja teadlikkuse tagamiseks andmekaitse valdkonnas.

MEIE KONTAKTANDMED

Kui teil on lisaküsimusi isikuandmete kaitse kohta BAS-IP-is, võtke meiega ühendust e-posti teel: [email protected].

Lugupidamisega,

BAS-IP DISTRIBUTION LTD