Skip to Content
Go back
BAS-IP / MEMORANDUM O SKLADNOSTI Z ZAKONODAJO PRI OBDELAVI OSEBNIH PODATKOV

Zavezani smo k močnim in inovativnim praksam varstva podatkov, tako da je lahko vsaka stranka prepričana, da se njeni osebni podatki obdelujejo varno in zanesljivo.

BAS-IP DISTRIBUTION LTD (Podjetje ali BAS-IP) je pripravilo ta memorandum za naše stranke v zvezi z našo skladnostjo z veljavno zakonodajo o varstvu podatkov, vključno z Splošno uredbo Združenega kraljestva o varstvu podatkov (UK GDPR) in Splošno uredbo EU o varstvu podatkov (GDPR/Splošna uredba). Spodaj vas bomo seznanili z našimi aktivnostmi v zvezi z izpolnjevanjem zahtev varstva osebnih podatkov.

OPREDELITVE

  • „UK GDPR“ pomeni Splošno uredbo Združenega kraljestva o varstvu podatkov, vključeno v zakonodajo Združenega kraljestva v skladu z Zakonom o varstvu podatkov iz leta 2018 (Data Protection Act 2018), skupaj z drugo veljavno zakonodajo Združenega kraljestva o varstvu podatkov in zasebnosti.
  • „GDPR“ (Splošna uredba) pomeni Splošno uredbo o varstvu podatkov (Uredba (EU) 2016/679) in vso povezano zakonodajo o varstvu podatkov in zasebnosti, ki velja v Evropski uniji in Evropskem gospodarskem prostoru.
  • Osebni podatki (Personal data) pomenijo katero koli informacijo v zvezi z določenim ali določljivim posameznikom.
  • Posameznik, na katerega se nanašajo osebni podatki (Data subject), pomeni določljivega posameznika, ki ga je mogoče neposredno ali posredno identificirati.
  • Upravljavec (Controller) pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov.
  • Obdelovalec (Processor) pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.
  • Podizvajalec obdelave (Subprocessor) pomeni fizično ali pravno osebo, ki jo angažira obdelovalec in ki izvaja obdelavo osebnih podatkov v imenu upravljavca.
  • Obdelava (Processing) pomeni vsako delovanje ali niz delovanj, ki se izvaja na osebnih podatkih ali na nizih osebnih podatkov, ne glede na to, ali so avtomatizirana ali ne, kot so zbiranje, beleženje, organiziranje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s prenosom, razširjanje ali drugačno omogočanje dostopa, usklajevanje ali kombiniranje, omejevanje, izbris ali uničenje.

O PODJETJU BAS-IP

BAS-IP razvija in proizvaja IP-interkome, sisteme za nadzor dostopa in komunikacijske sisteme ter je vodilni akter na tem področju. Več informacij o naših dejavnostih najdete na spletni strani: https://bas-ip.com/.

V okviru svojih dejavnosti lahko Podjetje zbira, dostopa ali kako drugače obdeluje osebne podatke, ki se nanašajo na različne kategorije posameznikov: stranke in uporabnike, zaposlene, izvajalce in druge posameznike. Med takšno obdelavo se Podjetje zavezuje, da bo sprejelo vse potrebne ukrepe in sledilo ustreznim politikam, postopkom in drugi dokumentaciji o varstvu osebnih podatkov, da bi osebne podatke obdelovalo v skladu z veljavno zakonodajo in najboljšimi praksami.

Vloge med obdelavo osebnih podatkov

BAS-IP ima lahko različne vloge v skladu z UK GDPR in GDPR:

  • Kot upravljavec Podjetje določa namene in sredstva obdelave osebnih podatkov, na primer med komunikacijo s strankami in obiskovalci spletnega mesta, marketinškimi aktivnostmi, ki vključujejo obdelavo osebnih podatkov, itd.
  • Kot obdelovalec lahko Podjetje obdeluje osebne podatke po navodilih naših strank, ki delujejo kot upravljavec ali v imenu zadevnega upravljavca.
  • Med obdelavo osebnih podatkov kot obdelovalec lahko angažiramo tretje ponudnike storitev, ki bodo delovali kot podizvajalci obdelave.
Pri obdelavi osebnih podatkov med zagotavljanjem storitev svojim strankam Podjetje deluje kot obdelovalec in je skladno z veljavnimi zahtevami UK GDPR in GDPR ter z ustreznimi pogodbenimi obveznostmi med Podjetjem in stranko.

BAS-IP IN VARSTVO PODATKOV

BAS-IP se zavezuje k spoštovanju najvišjih standardov varstva podatkov in veljavne zakonodaje o varstvu osebnih podatkov.

Vse dejavnosti, ki vključujejo obdelavo osebnih podatkov, se izvajajo v skladu z interno dokumentacijo, ki ureja obdelavo osebnih podatkov.

Podjetje uporablja naslednje ukrepe za varstvo osebnih podatkov:

Redni pregled dokumentacije o varstvu osebnih podatkov in izvajanje potrebnih sprememb v naši dokumentaciji in dejavnostih

Redni pregled in posodabljanje interne dokumentacije o varstvu osebnih podatkov je sestavni del strategije Podjetja za zagotavljanje skladnosti z zahtevami UK GDPR, GDPR in drugimi regulativnimi akti na področju varstva osebnih podatkov.

Ustrezna interna dokumentacija ter sprejete politike in postopki, zlasti v zvezi z zahtevami posameznikov, obveščanjem o kršitvah osebnih podatkov, ocenami skladnosti tretjih oseb, vključenih v obdelavo osebnih podatkov, itd., se po potrebi redno posodabljajo ali spreminjajo, zlasti v primeru sprememb zakonodaje ali uvedbe novih dejavnosti obdelave osebnih podatkov.

Poleg tega se dejavnosti obdelave osebnih podatkov evidentirajo, kar vključuje vzdrževanje evidenc dejavnosti obdelave osebnih podatkov (RoPA), in, če je potrebno, se izvede ocena učinka na varstvo podatkov (DPIA) in ocena zakonitega interesa (LIA).

Tako Podjetje z vzdrževanjem ažurne dokumentacije o varstvu osebnih podatkov zagotavlja visoko raven varstva osebnih podatkov in stalno skladnost z zakonodajo.

Skladnost z zahtevami za varstvo pravic posameznikov, na katere se nanašajo osebni podatki

Politika zasebnosti Podjetja, ki je javno dostopna na njegovi spletni strani, strankam in drugim posameznikom, na katere se nanašajo podatki, zagotavlja informacije o namenih, za katere se osebni podatki lahko obdelujejo, o tem, kako in kateri specifični osebni podatki se lahko obdelujejo, pa tudi informacije o njihovih pravicah v skladu z veljavno zakonodajo o varstvu osebnih podatkov, vključno z načinom uveljavljanja teh pravic.

Poleg tega je Podjetje sprejelo Postopek za zahteve in pritožbe, ki vsebuje postopek za odzivanje na zahteve posameznikov in njihove pravice v skladu z UK GDPR in GDPR.

Podjetje se zavezuje, da bo stranki zagotovilo vso potrebno podporo v okviru odzivanja na zahteve posameznikov, katerih podatke Podjetje obdeluje kot obdelovalec, v skladu z določbami UK GDPR, GDPR in pogodbenimi obveznostmi med Podjetjem in stranko.

Skladnost z najboljšimi standardi in praksami za tehnično in organizacijsko varnost

Podjetje je implementiralo tehnične in organizacijske ukrepe za zagotavljanje varnosti osebnih podatkov. Interna dokumentacija Podjetja jasno določa tehnične in organizacijske ukrepe, ki se uporabljajo pri obdelavi osebnih podatkov:

  • razvilo in sprejelo je dokumentacijo, ki ureja informacijsko varnost, ter neprekinjeno spremlja dogodke informacijske varnosti in zagotavlja pravočasen odziv na incidente;
  • implementiralo je zaščitne ukrepe za omejevanje dostopa do osebnih podatkov, kot so nadzor dostopa do osebnih podatkov, zlasti z uporabo personaliziranih računov, nadzor zahtev glede dolžine in kompleksnosti gesel za račune ter zaščita omrežnega dostopa za zmanjšanje tveganja omrežnih napadov; preverjanje skladnosti fizičnih podatkovnih centrov, kjer so podatki shranjeni, z varnostnimi zahtevami; večfaktorska avtentikacija in avtentikacija uporabnika med avtorizacijo ter konfiguracija in uporaba dovoljenj za dostop do podatkov, redni pregled obstoječih pravic dostopa itd.;
  • uporablja tehnologije šifriranja pri shranjevanju in obdelavi osebnih podatkov z uporabo oblačnih tehnologij in določa zahteve za uporabo izključno posodobljenih in robustnih kriptografskih protokolov, algoritmov, šifrirnih paketov, šifrirnih ključev in pristopov upravljanja ključev;
  • redno pregleduje varnostne kopije osebnih podatkov, da ugotovi, ali je njihovo shranjevanje v skladu z operativnimi zahtevami in zakonskimi obveznostmi;
  • sprejema druge organizacijske varnostne ukrepe, vključno z izvajanjem politike ločevanja vlog in odgovornosti, rednim posodabljanjem ustreznih politik in postopkov, spremljanjem izvajanja dolžnosti in dokazovanjem pripravljenosti za sodelovanje z ustreznimi državnimi organi. Ukrepi varnosti osebja, ki jih izvaja Podjetje, vključujejo preverjanje preteklosti zaposlenih v nekaterih primerih, povečanje ozaveščenosti zaposlenih o vprašanjih informacijske varnosti in spremljanje te ozaveščenosti, kot tudi izvajanje programov usposabljanja in strokovnega razvoja;
  • neprekinjeno spremlja spremembe v zakonodaji in implementira najboljše prakse na področju varstva osebnih podatkov v skladu s standardi kibernetske varnosti, smernicami, priporočili nadzornih organov za varstvo osebnih podatkov in urada Information Commissioner’s Office (ICO).

Podjetje se drži vseh politik in postopkov za zagotavljanje varnosti varstva osebnih podatkov, redno preverja njihovo ustreznost in zagotavlja pravočasen pregled.

Redno preverjanje tretjih oseb

Vse tretje osebe, vključene v obdelavo osebnih podatkov, se preverjajo z interno urejenim postopkom za oceno skladnosti tretjih oseb. Zlasti takšne preglede ocenjujejo razpoložljivost ustrezne dokumentacije v zvezi z obdelavo osebnih podatkov, kot tudi razpoložljivost in učinkovitost tehničnih in organizacijskih varnostnih ukrepov, ki so implementirani za zaščito osebnih podatkov pred nepooblaščenim dostopom, izgubo ali kršitvami celovitosti.

Varni prenosi osebnih podatkov

Pri zagotavljanju storitev lahko Podjetje prenaša osebne podatke izven Združenega kraljestva, na primer v Združene države in Ukrajino.

Za zagotovitev varnosti in skladnosti z zakonskimi zahtevami za prenos osebnih podatkov se vnaprej izvede ocena. Poleg tega se redno izvaja interno spremljanje, da se zagotovi skladnost zakonskih zahtev in praks Združenih držav, Ukrajine in, kjer je to potrebno, drugih držav, v katere se prenašajo osebni podatki, s standardi in praksami varstva osebnih podatkov Združenega kraljestva in EU. Poleg tega se temeljito preverijo varnostni ukrepi, ki jih sprejmejo uvozniki podatkov, zlasti s podpisovanjem ustrezne dokumentacije, ki ureja varstvo osebnih podatkov.

Kadar Podjetje prenaša osebne podatke, za katere velja UK GDPR in/ali GDPR, sklene Pogodbo o obdelavi podatkov (DPA) s svojimi izvajalci. Takšne pogodbe vključujejo ustrezne prenosne mehanizme, vključno s Standardnimi pogodbenimi klavzulami EU (SCCs) skupaj z Dodatkom Združenega kraljestva (UK Addendum) ali Mednarodnim sporazumom o prenosu podatkov (IDTA).

Redna usposabljanja

Podjetje redno organizira usposabljanja za svoje zaposlene in izvajalce o skladnosti z zahtevami UK GDPR in GDPR ter o varstvu osebnih podatkov. Teme, zajete v usposabljanju, vključujejo, med drugim, splošne zahteve UK GDPR, GDPR in drugih veljavnih zakonov o varstvu osebnih podatkov, vloge pri obdelavi, načela obdelave osebnih podatkov, podlage za obdelavo, zagotavljanje pravic posameznikov in vprašanja varstva osebnih podatkov.

Poleg tega je Podjetje sprejelo tudi potrebno dokumentacijo in implementiralo ustrezne ukrepe za zagotavljanje usposabljanja in ozaveščenosti zaposlenih na področju varstva podatkov.

NAŠI KONTAKTI

Če imate kakršna koli dodatna vprašanja v zvezi z varstvom osebnih podatkov v podjetju BAS-IP, nas kontaktirajte po e-pošti: [email protected].

Z spoštovanjem,

BAS-IP DISTRIBUTION LTD