Skip to Content
Go back
BAS-IP / KİŞİSEL VERİ İŞLEME UYUM MEMORANDUMU

Her müşterinin, kişisel verilerinin güvenli ve emniyetli bir şekilde işlendiğine güvenebilmesi için güçlü ve yenilikçi veri koruma uygulamalarına bağlıyız.

BAS-IP DISTRIBUTION LTD (Şirket veya BAS-IP), yürürlükteki veri koruma mevzuatına, buna dahil olan Birleşik Krallık Genel Veri Koruma Tüzüğü (UK GDPR) ve AB Genel Veri Koruma Tüzüğü (GDPR) ile uyumumuz hakkında müşterilerimiz için bu memorandum’u hazırlamıştır. Aşağıda, kişisel veri koruma gerekliliklerine uyumla ilgili faaliyetlerimizi size tanıtacağız.

TANIMLAR

  • “UK GDPR” (BK GDPR), 2018 Veri Koruma Yasası (Data Protection Act 2018) uyarınca BK yasalarına dahil edilen Birleşik Krallık Genel Veri Koruma Tüzüğü’nü ve yürürlükteki diğer BK veri koruma ve gizlilik mevzuatını ifade eder.
  • “GDPR” (KVKT), Genel Veri Koruma Tüzüğü’nü (2016/679 sayılı (AB) Tüzüğü) ve Avrupa Birliği ile Avrupa Ekonomik Alanı içinde geçerli olan ilgili veri koruma ve gizlilik mevzuatını ifade eder.
  • Kişisel veri (Personal data), kimliği belirlenmiş veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
  • İlgili kişi (Data subject), kimliği doğrudan veya dolaylı olarak belirlenebilen bir gerçek kişiyi ifade eder.
  • Veri sorumlusu (Controller), kişisel verilerin işlenme amaçlarını ve araçlarını, tek başına veya başkalarıyla birlikte belirleyen gerçek veya tüzel kişiyi, kamu otoritesini, kurumu veya diğer organı ifade eder.
  • Veri işleyen (Processor), kişisel verileri veri sorumlusu adına işleyen gerçek veya tüzel kişiyi, kamu otoritesini, kurumu veya diğer organı ifade eder.
  • Alt veri işleyen (Subprocessor), veri işleyen tarafından, kişisel verileri veri sorumlusu adına işlemek üzere görevlendirilen gerçek veya tüzel kişiyi ifade eder.
  • İşleme (Processing), kişisel veriler üzerinde veya kişisel veri setleri üzerinde gerçekleştirilen, otomatik yollarla olsun veya olmasın, toplama, kaydetme, düzenleme, yapılandırma, saklama, uyarlama veya değiştirme, geri alma, danışma, kullanma, iletim yoluyla açıklama, yayma veya başka bir şekilde kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya yok etme gibi her türlü işlemi veya işlem setini ifade eder.

BAS-IP HAKKINDA

BAS-IP, IP interkomlar, erişim kontrol sistemleri ve iletişim sistemleri geliştirmekte ve üretmekte olup, bu alanda lider bir aktördür. Faaliyetlerimiz hakkında daha fazla bilgiyi https://bas-ip.com/ web sitesinde bulabilirsiniz.

Faaliyetleri sırasında, Şirket çeşitli ilgili kişi kategorilerine ait kişisel verileri toplayabilir, erişebilir veya başka bir şekilde işleyebilir: müşteriler ve kullanıcılar, çalışanlar, yükleniciler ve diğer ilgili kişiler. Bu tür işleme sırasında Şirket, kişisel verileri yürürlükteki yasalara ve en iyi uygulamalara uygun olarak işlemek için gerekli tüm önlemleri almaya ve kişisel veri korumasına ilişkin ilgili politika, prosedür ve diğer belgelere uymaya kararlıdır.

Kişisel Veri İşleme Sırasındaki Roller

BAS-IP, UK GDPR ve GDPR kapsamında çeşitli rollere sahip olabilir:

  • Veri sorumlusu olarak Şirket, örneğin müşterilerle ve web sitesi ziyaretçileriyle iletişim kurarken, kişisel veri işlemeyi içeren pazarlama faaliyetleri vb. sırasında kişisel verilerin işlenme amaçlarını ve araçlarını belirler.
  • Veri işleyen olarak Şirket, müşterimizden gelen talimatlara göre, veri sorumlusu olarak hareket ederek veya ilgili veri sorumlusu adına kişisel verileri işleyebilir.
  • Veri işleyen olarak kişisel verileri işlerken, alt veri işleyen olarak hareket edecek üçüncü taraf hizmet sağlayıcıları görevlendirebiliriz.
Şirket, müşterilerine hizmet sağlama sürecinde kişisel verileri işlerken veri işleyen olarak hareket eder ve UK GDPR ve GDPR’ın geçerli gerekliliklerine, ayrıca Şirket ile müşteri arasındaki ilgili sözleşme yükümlülüklerine uyar.

BAS-IP VE VERİ KORUMA

BAS-IP, en yüksek veri koruma standartlarına ve yürürlükteki kişisel veri koruma mevzuatına uymayı taahhüt eder.

Kişisel veri işlemeyi içeren tüm faaliyetler, kişisel veri işlemenin düzenlenmesine ilişkin iç dokümantasyona uygun olarak yürütülür.

Şirket tarafından aşağıdaki kişisel veri koruma önlemleri uygulanmaktadır:

Kişisel veri koruma belgelerinin düzenli olarak gözden geçirilmesi ve belgelerimizde ve faaliyetlerimizde gerekli değişikliklerin yapılması

İç kişisel veri koruma belgelerinin düzenli olarak gözden geçirilmesi ve güncellenmesi, Şirketin UK GDPR, GDPR ve kişisel veri koruma alanındaki diğer düzenleyici mevzuat gerekliliklerine uyumu sağlama stratejisinin ayrılmaz bir parçasıdır.

İlgili iç dokümantasyon ve kabul edilen politika ve prosedürler, özellikle ilgili kişi talepleri, kişisel veri ihlallerinin bildirimi, kişisel veri işlemeye dahil olan üçüncü tarafların uyum değerlendirmeleri vb. ile ilgili olanlar, özellikle mevzuattaki değişiklikler veya yeni kişisel veri işleme faaliyetlerinin tanıtılması durumunda gerektiğinde periyodik olarak güncellenir veya değiştirilir.

Ek olarak, kişisel veri işleme faaliyetleri kaydedilir, bu da kişisel veri işleme kayıtlarının (RoPA) tutulmasını içerir ve gerektiğinde veri koruma etki değerlendirmesi (DPIA) ve meşru menfaat değerlendirmesi (LIA) yapılır.

Bu sayede, kişisel veri koruma belgelerini güncel tutarak, Şirket yüksek düzeyde kişisel veri koruması ve mevzuata sürekli uyum sağlar.

İlgili kişilerin haklarının korunmasına yönelik gerekliliklere uyum

Şirketin web sitesinde kamuya açık olan Gizlilik Politikası, müşterilere ve diğer ilgili kişilere, kişisel verilerin hangi amaçlarla işlenebileceği, hangi spesifik kişisel verilerin nasıl işlenebileceği hakkında bilgi ve bu hakların nasıl kullanılacağı da dahil olmak üzere yürürlükteki kişisel veri koruma yasaları kapsamındaki hakları hakkında bilgi sağlar.

Ek olarak, Şirket, UK GDPR ve GDPR’a uygun olarak ilgili kişi taleplerine ve haklarına yanıt verme prosedürünü içeren bir Talep ve Şikayet Prosedürü kabul etmiştir.

Şirket, verileri UK GDPR, GDPR hükümleri ve Şirket ile müşteri arasındaki sözleşme yükümlülükleri uyarınca Şirket tarafından veri işleyen olarak işlenen ilgili kişilerin taleplerine yanıt verme bağlamında müşteriye gerekli tüm desteği sağlamayı taahhüt eder.

Teknik ve organizasyonel güvenlik için en iyi standartlara ve uygulamalara uyum

Şirket, kişisel verilerin güvenliğini sağlamak için teknik ve organizasyonel önlemler uygulamıştır. Şirketin iç dokümantasyonu, kişisel verileri işlerken kullanılan teknik ve organizasyonel önlemleri açıkça tanımlar:

  • bilgi güvenliğini düzenleyen belgeler geliştirmiş ve kabul etmiş, ayrıca bilgi güvenliği olaylarını sürekli olarak izler ve olaylara zamanında yanıt verilmesini sağlar;
  • kişisel verilere erişimi kısıtlamak için, özellikle kişiselleştirilmiş hesaplar kullanılarak kişisel verilere erişimin kontrol edilmesi, hesap şifrelerinin uzunluğu ve karmaşıklığına ilişkin gerekliliklerin kontrol edilmesi ve ağ saldırıları riskini azaltmak için ağ erişiminin korunması gibi güvenceler uygulamıştır; verilerin depolandığı fiziksel veri merkezlerinin güvenlik gerekliliklerine uygunluğunun doğrulanması; yetkilendirme sırasında çok faktörlü kimlik doğrulama ve kullanıcı kimlik doğrulaması, ayrıca veri erişim izinlerinin yapılandırılması ve uygulanması, mevcut erişim haklarının düzenli olarak gözden geçirilmesi vb.;
  • bulut teknolojileri kullanılarak kişisel verilerin depolanması ve işlenmesi sırasında şifreleme teknolojilerini kullanır ve yalnızca güncel ve sağlam kriptografik protokollerin, algoritmaların, şifre paketlerinin, şifreleme anahtarlarının ve anahtar yönetimi yaklaşımlarının kullanılması için gereklilikler belirler;
  • kişisel verilerin yedeklerinin depolanmasının operasyonel gerekliliklere ve yasal yükümlülüklere uygun olup olmadığını belirlemek için düzenli olarak gözden geçirir;
  • rolleri ve sorumlulukları ayırma politikasının uygulanması, ilgili politika ve prosedürlerin düzenli olarak güncellenmesi, görev performansının izlenmesi ve ilgili devlet yetkilileriyle işbirliği yapma isteğinin gösterilmesi dahil olmak üzere diğer organizasyonel güvenlik önlemlerini alır. Şirket tarafından uygulanan personel güvenlik önlemleri, bazı durumlarda çalışanların geçmiş kontrollerini, çalışanların bilgi güvenliği konularında farkındalığının artırılmasını ve bu farkındalığın izlenmesini, ayrıca eğitim ve mesleki gelişim programlarının yürütülmesini içerir;
  • mevzuattaki değişiklikleri sürekli olarak izler ve kişisel veri koruma denetim otoritelerinin ve Bilgi Komiserliği Ofisi’nin (Information Commissioner’s Office – ICO) siber güvenlik standartlarına, kılavuzlarına ve tavsiyelerine uygun olarak kişisel veri koruma alanındaki en iyi uygulamaları uygular.

Şirket, kişisel veri korumasının güvenliğini sağlamak için tüm politika ve prosedürlere uyar, bunların uygunluğunu düzenli olarak kontrol eder ve zamanında gözden geçirilmesini sağlar.

Düzenli üçüncü taraf doğrulaması

Kişisel veri işlemeye dahil olan tüm üçüncü taraflar, üçüncü taraf uyumunu değerlendirmeye yönelik dahili düzenlenmiş bir prosedür kullanılarak doğrulanır. Özellikle, bu tür kontroller, kişisel veri işlemeyle ilgili ilgili belgelerin mevcudiyetini, ayrıca kişisel verileri yetkisiz erişime, kayba veya bütünlük ihlallerine karşı korumak için uygulanan teknik ve organizasyonel güvenlik önlemlerinin mevcudiyetini ve etkinliğini değerlendirir.

Kişisel verilerin güvenli aktarımları

Hizmet sağlarken, Şirket kişisel verileri Birleşik Krallık dışına, örneğin Amerika Birleşik Devletleri ve Ukrayna’ya aktarabilir.

Kişisel verilerin aktarımı için güvenliği ve yasal gerekliliklere uyumu sağlamak amacıyla, önceden bir değerlendirme yapılır. Ek olarak, kişisel verilerin aktarıldığı Amerika Birleşik Devletleri, Ukrayna ve gerektiğinde diğer ülkelerin yasal gerekliliklerinin ve uygulamalarının, BK ve AB kişisel veri koruma standartları ve uygulamalarına uygunluğunu sağlamak için düzenli olarak iç izleme yapılır. Ayrıca, veri ithalatçıları tarafından alınan güvenlik önlemleri, özellikle kişisel verilerin korunmasını düzenleyen ilgili belgelerin imzalanması yoluyla titizlikle kontrol edilir.

Şirket, UK GDPR ve/veya GDPR’a tabi kişisel verileri aktarırken, yüklenicileriyle bir Veri İşleme Anlaşması (DPA) imzalar. Bu tür anlaşmalar, AB Standart Sözleşme Maddeleri (SCC’ler) ile birlikte BK Eki (UK Addendum) veya Uluslararası Veri Transferi Anlaşması (IDTA) dahil olmak üzere uygun aktarım mekanizmalarını içerir.

Düzenli eğitimler

Şirket, çalışanları ve yüklenicileri için UK GDPR ve GDPR gerekliliklerine uyumun yanı sıra kişisel veri koruması hakkında düzenli olarak eğitimler düzenler. Eğitimde ele alınan konular arasında, diğerlerinin yanı sıra, UK GDPR, GDPR ve diğer geçerli kişisel veri koruma yasalarının genel gereklilikleri, işlemedeki roller, kişisel veri işleme ilkeleri, işleme dayanakları, ilgili kişilerin haklarının sağlanması ve kişisel veri koruma konuları yer alır.

Ayrıca, Şirket, çalışanların veri koruma alanında eğitimini ve farkındalığını sağlamak için gerekli belgeleri kabul etmiş ve uygun önlemleri uygulamıştır.

İLETİŞİM BİLGİLERİMİZ

BAS-IP’deki kişisel veri korumasına ilişkin başka sorularınız varsa, lütfen bizimle e-posta yoluyla iletişime geçin: [email protected].

Saygılarımızla,

BAS-IP DISTRIBUTION LTD