Giriş•Qeydiyyat
Məxfilik siyasəti və Cookies
1. Ümumi müddəalar
1.1. Hazırkı Məxfilik Siyasəti https://lalafo.az/ Servisinin İstifadəçi Razılaşmasının ayrılmaz tərkib hissəsi olmaqla yanaşı Azərbaycan Respublikasının qanunvericiliyinə, Avropa İttifaqının 2016/679 saylı Məlumatların qorunmasına dair ümumi reqlamentinə uyğun olaraq istifadəçilərin fərdi məlumatlarının işlənməsi, saxlanması, istifadəsi və qorunması qaydalarını müəyyən edir.
1.2. Fərdi məlumatlar bazasının sahibi: “YALLA KLASSİFAYDS” Məhdud Məsuliyyətli Cəmiyyəti (“YALLA CLASSIFIEDS OÜ”; qeydiyyat nömrəsi: 12888798; hüquqi ünvanı: Harju maakond, Tallinn, Kesklinna linnaosa, Pärnu mnt 22, 10141, Estonia. Fərdi məlumatlarla bağlı müraciətlər üçün əlaqə vasitəsi: info@lalafo.az
Müəyyən hallarda və müəyyən xidmətlərin göstərilməsi üçün Fərdi məlumatlar bazasının sahibi müəyyən tapşırıqların yerinə yetirilməsi məqsədilə üçüncü tərəfi (subpodratçı) cəlb edə bilər. Belə subpodratçı həmçinin hazırkı Siyasətə uyğun olaraq və Fərdi məlumatlar bazasının sahibinin ciddi şəkildə nəzarəti altında olmaqla fərdi məlumatları işləyən tərəf (operator) kimi çıxış edə bilər.
Məsələn, Azərbaycan Respublikasının qanunvericiliyinə uyğun olaraq qeydiyyata alınmış və fəaliyyət göstərən“ALFA MEDİA Reklam Agentliyi” Məhdud Məsuliyyətli Cəmiyyəti (Alfa Media Advertising Agency MMC; Vergi Ödəyicisinin Eyniləşdirmə Nömrəsi: 1403676911) belə operator qismində çıxış edə bilər.
1.3. İstifadəçilərin fərdi məlumatları Fərdi məlumatlar bazasının sahibinin ünvanında yerləşir.
1.4. Hazırkı Məxfilik Siyasəti fərdi məlumatların qanuniliyi, ədalətliliyi, şəffaflığı, məqsədlərinə məhdudiyyətlər, məlumatların minimallaşdırılması, dəqiqliyi, saxlanma müddətlərinə məhdudiyyət, bütövlüyü, məxfiliyi və hesabatlılığı da daxil olmaqla, onların işlənməsi prinsiplərini müəyyən edir.
1.5. Fərdi məlumatlar“Fərdi məlumatlar haqqında” Azərbaycan Respublikasının 11 may 2010-cu il tarixli 998-IIIQ№-li Qanunu və 2016/679 (Avropa İttifaqı) Reqlamentinin 6-cı maddəsi ilə müəyyən edilmiş qanuni əsaslarla aşağıdakı məqsədlər üçün işlənir:
· fərdi məlumatların subyekti ilə müqavilənin yerinə yetirilməsi üçün;
· hüquq sahibinin hüquqi öhdəliklərinin yerinə yetirilməsi üçün;
· fərdi məlumatların subyektinin hüquq və azadlıqlarının pozulmaması şərti ilə hüquq sahibinin qanuni maraqlarının müdafiəsi üçün;
· könüllü və məlumatlandırılmış iradə izharı tələb olunan hallarda fərdi məlumatların subyektinin razılığı əsasında.
1.6. Fərdi məlumatların işlənməsi dedikdə, avtomatlaşdırılmış sistemlərdən istifadə də daxil olmaqla, fərdi məlumatların toplanılması, qeydiyyatı, yığılması, saxlanması, uyğunlaşdırılması, dəyişdirilməsi, bərpası, istifadəsi, yayılması, ötürülməsi (o cümlədən transsərhəd ötürülməsi), şəxsiyyətsizləşdirilməsi, bloklanması və məhv edilməsi kimi istənilən əməliyyat və ya əməliyyatlar toplusu nəzərdə tutulur.
1.7. Fərdi məlumatlar bazasının sahibi aşağıdakı hüquqlar da daxil olmaqla, fərdi məlumatların subyektlərinin hüquqlarının həyata keçirilməsini təmin edir:
· məlumatların işlənməsi haqqında məlumatlara giriş və onların əldə edilməsi hüququ;
· fərdi məlumatlara düzəlişlərin edilməsi, onların yenilənməsi və silinməsi hüququ;
· işlənməyə məhdudiyyət hüququ;
· məlumatların daşınılması hüququ;
· profilləşdirmə də daxil olmaqla, işlənməyə qarşı etiraz etmək hüququ;
· məlumatların işlənməsinə dair razılığı geri götürmək hüququ;
· Azərbaycan Respublikasının səlahiyyətli orqanına və ya Avropa İttifaqının nəzarət orqanına şikayət vermək hüququ.
2. Fərdi məlumatların işlənməsinin məqsədləri və hüquqi əsasları
2.1. 2.1. Fərdi məlumatların işlənməsinin məqsədlərinə o cümlədən aşağıdakılar daxildir:
2.1.1. Müqavilənin bağlanması və yerinə yetirilməsi, habelə Servisin göstərilməsi və yaxşılaşdırılması. Müəyyən məlumatların toplanılması Fərdi məlumatlar bazasının sahibinin İstifadəçi Razılaşması üzrə öz müqavilə öhdəliklərinin yerinə yetirilməsi, Servisin fəaliyyətinin təmin edilməsi, servis xarakterli və köməkçi xidmətlərin göstərilməsi, habelə istifadəçi təcrübəsinin yaxşılaşdırılması üçün zəruridir.
Məsələn, Servis İstifadəçilərin öz hesablarında qeyd etdikləri adları və telefon nömrələrini eyniləşdirmə və istifadəçilər arasında əlaqə üçün istifadə edir. İstifadəçi sistemə telefon nömrəsi və ya elektron poçt ünvanı üzərindən daxil olursa, Servis bu məlumatlardan eyniləşdirmə və girişin təqdim edilməsi üçün istifadə edir. Feysbuk və ya Google üzərindən girişdən istifadə olunduqda Servis həmin hesablardakı addan, elektron poçt ünvanından və profil şəklinin URL-dən istifadə edir.
Dələduzluğun qarşısının alınması məqsədilə fərdi məlumatların yoxlanılan zaman Fərdi məlumatlar bazasının sahibi İstifadəçinin məlumatlarını (adını, soyadını, elektron poçt ünvanını, yaşayış ünvanını, eyniləşdirmə nömrəsini, şəxsiyyətini təsdiq edən sənədin məlumatlarını) ondan tələb edə bilər. Belə yoxlamalar müstəsna olaraq şəxsiyyətin təsdiq edilməsi və əqdlərin təhlükəsizliyinin təmin edilməsi məqsədilə aparılır.
Servis istifadəçilər haqqında məlumatlardan funksionallığın təkmilləşdirilməsi, eləcə də xidmətlərin keyfiyyətinin və təhlükəsizliyinin artırılması üzrə qanuni maraqlara nail olmaq əqsədilə istifadə edə bilər. Məsələn, aktivlik məlumatlarından axtarış nəticələrinin, kontentin və interfeysin optimallaşdırılması məqsədilə istifadə edilə bilər. Yerləşmə yeri məlumatlarından elan lentinin fərdiləşdirilməsi üçün istifadə edilir. Müxtəlif cihazlardakı qarşılıqlı əlaqə haqqında məlumatlar vahid istifadəçi təcrübəsini təmin etməyə kömək edir.
Həmçinin fotoşəkillərdən, təsvirlərdən və digər məlumatlardan maşın öyrədilməsi modelləri üçün, axtarış nəticələrinin fərdiləşdirilməsi və tövsiyələr sisteminin təkmilləşdirilməsi məqsədilə istifadə edilə bilər. Çatlardakı ismarışların təhlili yalnız şəxsiyyətsizləşdirilmiş şəkildə olmaqla müstəsna olaraq məhsulun yaxşılaşdırılması üçün maşın öyrədilməsi üzrə mütəxəssislərin məhdud dairəsi tərəfindən aparılır. Çatların məzmununa giriş ciddi şəkildə reqlamentləşdirilməklə yanaşı istənilən identifikatorların silinməsi ilə müşayiət edilir.
2.1.2. Hesabların idarə edilməsi və dəstəyin göstərilməsi. Servis məlumatlardan texniki problemlərin həlli, istifadəçi müraciətlərinin işlənməsi, xətaların təhlili və Servisin işləmə sabitliyinin artırılması üçün istifadə edir. Bu, xidmətlərin təhlükəsiz və səmərəli şəkildə göstərilməsinin, eləcə də Fərdi məlumatlar bazasının sahibinin qanuni maraqlarının təmin edilməsi üçün zəruridir.
2.1.3. Xidmət spektrinin genişləndirilməsi və istifadəçilərin məlumatlandırılması. Servis yeni funksiyalar, kampaniyalar, tədbirlər, məhsullar və ya xidmətlər barədə bildirişlər göndərə bilər. Belə ismarışlar yalnız istifadəçinin razılığı əsasında göndərilir və istənilən vaxt geri götürülə bilər. İstifadəçi Servisin əsas funksionallığından istifadəyə zərər vurmadan marketinq xarakterli göndərilmələrdən imtina etmək hüququna malikdir.
2.1.4. Qanunsuz hərəkətlər barədə xəbərdarlıq və onların qarşısının alınması. Servis fərdi məlumatlardan dələduzluğun, spam göndərilmələrinin, icazəsiz hərəkətlərin qarşısının alınması, habelə Fərdi məlumatlar bazasının sahibinin və istifadəçilərin hüquq və maraqlarının qorunması üçün istifadə edir. Qanunla nəzərdə tutulmuş hallarda məlumatlar hüquq-mühafizə orqanlarına və digər səlahiyyətli strukturlara açıqlana bilər.
2.1.5. Veb-saytın analitikası. Servisin funksionallığın yaxşılaşdırılması və onun işləmə səmərəliliyinin təhlil edilməsi üçün Servis istifadəçilərin hərəkətləri barədə məlumatları toplayan veb-analitika alətlərindən (məsələn, Google Analytics. Google şirkətinin Məxfilik Siyasəti: https://policies.google.com/privacy?hl=en) istifadə edir. Belə məlumatlar müvafiq provayderlərin məxfilik siyasətlərinə uyğun olaraq işlənir. İstifadəçi öz brauzerinin ayarları üzərindən və ya Google Analytics-dən imtina üçün plagin vasitəsilə məlumatların toplanmasından imtina edə bilər.
2.1.6. Müsabiqələrin, sorğuların və UX-testlərin keçirilməsi. İştirak könüllü surətdə həyata keçirilir. Toplanmış məlumatlar istifadəçi məmnuniyyətinin təhlili və xidmət keyfiyyətinin yaxşılaşdırılması üçün istifadə edilir. Zərurət yarandıqda Fərdi məlumatlar bazasının sahibi istifadəçilərin razılığı ilə tədqiqatlarda iştirak etmələri üçün onlarla əlaqə saxlaya bilər.
2.1.7. Hüquqi və vergi öhdəliklərinin yerinə yetirilməsi. Qanunvericiliklə nəzərdə tutulduğu halda, Fərdi məlumatlar bazasının sahibi fərdi məlumatların işlənməsini mühasibat və vergi uçotu, habelə səlahiyyətli dövlət orqanlarına məlumatların təqdim edilməsi məqsədilə həyata keçirir.
Qanuni hüquqların müdafiəsi üçün və ya qanunsuz fəaliyyətin qarşısının alınması və ya aradan götürülməsi üçün zəruri olduğu hallarda, Servis qanunvericiliyin tələblərinə uyğun olaraq İstifadəçilər haqqında istənilən məlumatları açıqlamalıdır. Servis həmçinin xidmətlərdən dələduzluq, spam göndərilmələri və İstifadəçi Razılaşmasının müddəalarını pozan digər icazəsiz hərəkətlər kimi müxtəlif sui-istifadə formalarının məhdudlaşdırılması və ya onların qarşısının alınması üçün iməlumatlardan stifadə edə bilər.
Qanunla tələb olunduğu hallarda, Servis məlumatlardan hüquqi və auditor fəaliyyəti ilə əlaqədar, məsələn, biznesin əldə edilməsi, birləşməsi və ya öz biznesinin satışı məqsədilə istifadə edə bilər.
Qanunla icazə verilən çərçivədə Servis fərdi məlumatların üçüncü şəxslərə təqdim edilməsi barədə İstifadəçiləri məlumatlandırmaq üçün ağlabatan tədbirlər görəcəkdir.
Fərdi məlumatların işlənməsinin məqsədləri və hüquqi əsasları cədvəli
№ | İşlənmənin məqsədi | Məlumatların kateqoriyaları | Hüquqi əsas | Qəbul edənlər / ötürülmə | Saxlanma müddəti | Subyektin hüquqları |
1 | İstifadəçinin sosial şəbəkələr üzərindən girişi də daxil olmaqla, onun qeydiyyatı və autentifikasiyası | Ad, soyad, elektron poçt ünvanı, əlaqə telefonu, sosial şəbəkə ID-si, şifrə | Müqavilə (Məlumatların qorunmasına dair ümumi reqlamentin 6(1)(b) maddəsi; “Fərdi məlumatların qorunması haqqında” Qanun) | Autentifikasiya provayderləri (Feysbuk, Google — müstəqil sahiblər | Hesabın qüvvədə olduğu müddət ərzində + silindikdən sonra 1 il | Giriş, düzəliş, silmə, daşınma |
2 | İstifadəçilərə dəstəyin göstərilməsi, təhlükəsizliyin təmin edilməsi və dələduzluğun qarşısının alınması | IP-ünvan, texniki loqlar, cihaz məlumatları, istifadəçi davranışı | Qanuni maraq (Məlumatların qorunmasına dair ümumi reqlamentin 6(1)(f) maddəsi; “Fərdi məlumatların qorunması haqqında” Qanun) | Hostinq tədarükçüləri, antifrod servisləri, informasiya təhlükəsizliyi üzrə podratçılar | 12–24 ay (risklərə və zərurətə mütənasib olaraq) | Etiraz etmək hüququ, giriş |
3 | Marketinq və reklam xarakterli bildirişlər (xəbərlər, kampaniyalar, fərdiləşdirilmiş təkliflər) | Elektron poçt ünvanı, push-bildirişlər, cookie-lər | Razılıq (Məlumatların qorunmasına dair ümumi reqlamentin 6(1)(a) maddəsi; “Fərdi məlumatların qorunması haqqında” Qanun) | Göndərilmələrin ESP provayderləri, reklam şəbəkələri | Razılıq geri götürülənədək / 12 ay deaktivlikdən sonra | Razılığın geri götürülməsi, silmə |
4 | Analitika və fərdiləşdirmə (o cümlədən maşın öyrədilməsi modelləri) | Cookie-lər, onlayn identifikatorlar, saytda hərəkətlər | Razılıq (cookie-lər üçün) və ya qanuni maraq (daxili analitika) | Google Analytics, AdTech, maşın öyrədilməsi üzrə podratçılar | 13 ay | İmtina, etiraz |
5 | Vergi və hüquqi öhdəliklərin yerinə yetirilməsi | Eyniləşdirmə məlumatları, Vergi Ödəyicisinin Eyniləşdirmə Nömrəsi, ödəniş rekvizitləri | Hüquqi öhdəlik (Məlumatların qorunmasına dair ümumi reqlamentin 6(1)(c) maddəsi; “Fərdi məlumatların qorunması haqqında” Qanun) | Dövlət orqanları (sorğu əsasında), auditorlar | Müqavilənin müddəti bitdikdən sonra 5 il | İşlənməyə məhdudiyyət, giriş |
6 | Sorğuların, İstifadəçi Təcrübəsi üzrə testlərin, müsabiqələrin keçirilməsi | Əlaqə məlumatları, suallara cavablar, məmnuniyyətin qiymətləndirilməsi | Məlumatların subyektinin razılığı | Daxili analitik bölmələr, İstifadəçi Təcrübəsi üzrə podratçılar | İştirakdan sonra 1 il | Razılığın geri götürülməsi, silmə |
7 | Xidmətlərin göstərilməsi üçün məlumatların tərəfdaşlara transsərhəd ötürülməsi | Ad, əlaqə məlumatları, analitik məlumatlar | Müqavilə / Standart Müqavilə Şərtləri (SCCs) / EU-US DPF-də iştirak | Avropa İttifaqının və üçüncü ölkələrin provayderləri (adekvatlıq və ya SCCs ilə) | Müqavilənin qüvvədə olduğu müddətdə | Giriş, etiraz |
8 | Hüquq qaydasının təmin edilməsi və dövlət orqanlarının sorğularına reaksiya | SAA, əlaqə məlumatları, aktivlik tarixçəsi | Hüquqi öhdəlik (Məlumatların qorunmasına dair ümumi reqlamentin 6(1)(c) maddəsi; “Fərdi məlumatların qorunması haqqında” Qanun) | Səlahiyyətli orqanlar, məhkəmələr | Yoxlama və ya məhkəmə icraatı başa çatanadək | Məhdudiyyət, giriş |
Qeyd: Məlumatların işlənməsinə dair bütün əməliyyatlar minimallaşdırma, məqsədli təyinat və “tələb olunandan artıq müddətə” saxlamama prinsiplərinə uyğundur (“Fərdi məlumatların qorunması haqqında” Qanun, Məlumatların qorunmasına dair ümumi reqlamentin 5-ci maddəsi). Cədvəlin həyata keçirilməsinə və məlumatların aktuallaşdırılmasına nəzarət məsul şəxs tərəfindən həyata keçirilir.
2.2. Servis İstifadəçilər barədə (o cümlədən, qanunvericiliklə tələb olunduğu halda, İstifadəçinin mütləq ilkin razılığının alınmasıyla) aşağıdakı məlumatları toplaya bilər:
2.2.1. İstifadəçinin Servisdən istifadə etdiyi zaman daxil etdiyi, Fərdi məlumatlar bazasının sahibinə göstərdiyi və ya digər üsulla açıqladığı fərdi (şəxsi) məlumatları. Belə məlumatlara xüsusilə də (lakin bunlarla məhdudlaşmayaraq) İstifadəçinin adı və soyadı (adı), elektron poçt ünvanı və şifrəsi, əlaqə telefonu, İstifadəçinin yerləşdiyi yer, habelə ünvanı aid ola bilər.
2.2.2. Servisə giriş edərkə Servisin proqram təminatı vasitəsilə avtomatik toplanılan texniki məlumatları.
2.2.3. İstifadəçi digər veb-servisin (məsələn, Feysbuk, Google+ və s.) profili üzərindən avtorizasiyadan keçdikdə Servis həmçinin istifadəçi adı, elektron poçt ünvanı və profillə bağlı məlumatlar da daxil olmaqla, həmin veb-servisin müvafiq profilində yerləşdirilmiş və İstifadəçinin təqdim etməyə razılıq verdiyi məlumatları toplaya bilər. İstifadəçi qeyd olunmuş məlumatların Servisə ötürülməsinə dair razılıq verir. Bu icazəni istənilən vaxt Servisə müvafiq sorğu göndərməklə geri götürmək mümkündür.
2.2.4. Servis İstifadəçinin razılığı ilə onun cihazının fiziki olaraq yerləşdiyi yer barədə məlumatları toplaya bilər. Ayrı-ayrı İstifadəçilərin yerləşdiyi yerlər IP-ünvan vasitəsilə və ya İstifadəçinin cihazından əldə edilmiş coğrafi yerləşmə barədə məlumatların köməyi ilə müəyyən edilə bilər. Servis funksiyaların təqdim edilməsi, habelə daxili analitika və məhsuldarlığın monitorinqi və ya İstifadəçinin yerləşdiyi yerə aid olan kontentin göstərilməsi və ya təkliflərin təqdim edilməsi kimi məqsədlə xidmətlərin yaxşılaşdırılması və ayarlanması üçün istifadəçinin yerləşdiyi yer haqqında məlumatı istifadə edə və onu saxlaya bilər. İstifadəçi öz avadanlığının funksiyalarından istifadə etmək də daxil olmaqla, belə məlumatın toplanmasını qadağan edə bilər.
2.2.5. Servis və ya Servisin tələbi ilə digər üçüncü şəxslər tərəfindən keçirilən müsabiqələrdə və sorğularda iştirakı ilə əlaqədar İstifadəçinin təqdim etdyi məlumatları.
2.2.6. qanunvericiliyə zidd olmadığı təqdirdə Servis həmçinin marketoloqlardan, tərəfdaşlardan, tədqiqatçılardan və digər mənbələrdən (o cümlədən hamı üçün açıq olan məlumat bazalarından) İstifadəçilər və onların hərəkətləri barədə məlumatlar əldə edir. tətbiq olunduğu təqdirdə Servis İstifadəçidən əldə etdiyi məlumatları digər İstifadəçilərdən və üçüncü şəxslərdən əldə etdiyi məlumatlarla birləşdirə bilər.
2.3. Məlumatların minimallaşdırılması prinsipinə uyğun olaraq Servis İstifadəçilər barədə Servisin fəaliyyəti üçün zəruri olan fərdi, texniki və davranış xarakterli məlumatları toplayır.
2.4. Servis və Fərdi məlumatlar bazasının sahibi irqi və ya etnik mənsubiyyət, əqidə, sağlamlıq vəziyyəti, biometrik və ya genetik məlumatlar da daxil olmaqla, xüsusi fərdi məlumatlar kateqoriyalarını toplamır və onların işlənməsini həyata keçirmir.
2.5. Məlumatların üçüncü şəxslərə ötürülməsi yalnız işlənmə haqqında müqaviləyə (Məlumatların qorunmasına dair ümumi reqlamentin 28-ci maddəsinə, “Fərdi məlumatlar haqqında” Qanuna) əsasən xidmətlərin göstərilməsi üçün zəruri olan həcmdə yolveriləndir. Üçüncü şəxslər məlumatların məxfiliyini və təhlükəsizliyini təmin etməyə borcludurlar.
2.6. Fərdi məlumatlar bazasının sahibi istifadəçilərin məlumatlarını satmır və icarəyə vermir.
2.7. İstifadəçilər məlumatlara dəyişikliklər etmək, onları silmək və ya işlənməsinin məhdudlaşdırmaq hüququna sahibdir. Bunun üçün [email protected] ünvanına sorğu göndərilə bilər. Sorğuya baxılma müddəti — “Fərdi məlumatlar haqqında” Qanuna (maddə 12 “Subyektin sorğusu”) və ya 1 aya (Avropa İttifaqı) əsasən həyata keçirilir.
2.8. Bütün fərdi məlumatlar korporativ şəbəkə daxilində müdafiə edilən serverlərdə saxlanılır. Giriş yalnız məxfilik haqqında müqavilə imzalamış səlahiyyətli əməkdaşlarla məhdudlaşdırılıb.
2.9. Cookie-lər və oxşar texnologiyalar yalnız razılıq alındıqda istifadə olunur. Təfərrüatlar ayrıca Cookie Siyasətində əks olunmuşdur.
2.10. Profilləşdirmə və avtomatlaşdırılmış işlənmə hüquqi nəticələrə gətirib çıxarmır. İstifadəçi belə profilləşdirməyə qarşı etiraz etmək hüququna malikdir.
3. Fərdi məlumatların işlənməsinin təhlükəsizliyi və münaqişələrin idarə edilməsi
3.1. Fərdi məlumatlar bazasının sahibi İstifadəçilərin fərdi məlumatlarının işlənməsi zamanı onların qorunmasını Azərbaycan Respublikasının “Fərdi məlumatlar haqqında” Qanununa, Avropa İttifaqının 2016/679 saylı Məlumatların qorunmasına dair ümumi reqlamentinin 32-ci maddəsinə və 108 saylı Konvensiyanın prinsiplərinə uyğun olaraq təmin edir. Bu tədbirlərin məqsədi fərdi məlumatların işlənməsinin məxfiliyini, bütövlüyünü, əlçatanlığını və dayanıqlılığını təmin etməkdir.
3.2. Təşkilati tədbirlər
Fərdi məlumatlar bazasının sahibi aşağıdakı təşkilati-hüquqi tədbirlər kompleksini qəbul edir və həyata keçirir:
- fərdi məlumatların daxili İnformasiya təhlükəsizliyi və onların işlənməsi prosedurları siyasətinin təsdiq edilməsi;
- qanunvericiliklə tələb olunduğu halda və ya Fərdi məlumatlar bazasının sahibinin qərarı ilə məsul şəxsin (DPO/məlumatların qorunmasına məsul şəxsin) təyin edilməsi;
- fərdi məlumatlar massivlərinin və işlənmə proseslərinin reyestrinin aparılması;
- “bilmək zərurəti” prinsipinə uyğun olaraq fərdi məlumatlara girişin məhdudlaşdırılması;
- əməkdaşlara fərdi məlumatların qorunması və işlənməsi qaydalarının öyrədilməsi;
- təhlükəsizlik siyasətinə riayət olunmasına dair daxili auditin və nəzarətin aparılması;
- təhlükəsizlik münaqişələri və məlumat subyektlərinin sorğuları jurnalının aparılması;
3.3. Texniki tədbirlər
Məlumatların qorunmasının texniki tədbirlərinə aşağıdakılar daxildir:
- informasiya sistemlərinə və daşıyıcılarına girişə nəzarət;
- istifadəçilərin eyniləşdirilməsi və autentifikasiyası;
- istifadəçilərin qeydiyyatı və onların hərəkətlərinin uçotu (jurnallaşdırma);
- şifrələmə və psevdonimləşdirmə vasitələrindən istifadə;
- məlumatların ehtiyat surətinin çıxarılmasının və bərpasının təmin edilməsi;
- məlumatların daxil edilməsinə, ötürülməsinə, daşınmasına və saxlanmasına nəzarət;
- TLS 1.2+ protokollarından istifadə etməklə şəbəkə bağlantılarının qorunması;
- antivirus proqram təminatının və müdaxilənin qarşısının alınması sistemlərinin quraşdırılması;
- təhlükəsizlik tədbirlərinin mütəmadi olaraq sınaqdan keçirilməsi, qiymətləndirilməsi və auditi.
3.4. Münaqişələrin idarə edilməsi
Fərdi məlumatların təhlükəsizliyinin pozulması ilə bağlı münaqişə baş verdikdə Fərdi məlumatlar bazasının sahibi Azərbaycan Respublikasının“Fərdi məlumatlar haqqında” Qanununun tələblərini, xüsusilə də aşağıdakıları yerinə yetirməyi öz öhdəsinə götürür:
- dərhal münaqişə faktını təhlükəsizlik jurnalında qeyd etməyi;
- münaqişənin səbəblərini və miqyasını təhlil etməyi;
- qanunvericiliklə tələb olunduğu halda səlahiyyətli orqanı bu haqda məlumatlandırmağı;
- münaqişə fərdi məlumat subyektlərinin hüquq və azadlıqları üçün yüksək risk yaratdığı halda onları məlumatlandırmağı;
- münaqişələrin təkrarlanmasının qarşısını almaq üçün düzəlişedici və profilaktik tədbirlər həyata keçirməyi.
3.5. Məlumatların saxlanması və məhv edilməsi prinsipləri
- Fərdi məlumatlar toplanıldığı məqsədlər üçün zəruri olan müddətdən artıq saxlanılmır.
- Saxlanma müddəti başa çatdıqdan sonra məlumatlar şəxsiyyətsizləşdirilməli və ya məhv edilmə haqqında akt tərtib edilməklə məhv edilməlidir.
- Məlumatların arxivləşdirilməsi müstəsna olaraq qanunvericiliyin tələblərinin yerinə yetirilməsi məqsədilə yolveriləndir.
3.6. Fərdi məlumatlar bazasının sahibi Azərbaycan Respublikasının“Fərdi məlumatlar haqqında” Qanununun və Məlumatların qorunmasına dair ümumi reqlamentinin tələblərinə uyğunluğun mütəmadi olaraq qiymətləndirilməsini təmin edir. Zərurət yarandıqda subyektlərin hüquq və azadlıqları üçün yüksək risk ehtimalı olduğu hallarda məlumatların qorunmasına təsirin qiymətləndirilməsi (DPIA) aparılır.
4. Fərdi məlumatların İstifadəçilərinin hüquqları və onların həyata keçirilməsi qaydaları
4.1. İstifadəçi fərdi məlumatların subyekti kimi Azərbaycan Respublikasının qanunvericiliyində, xüsusilə də Azərbaycan Respublikasının“Fərdi məlumatlar haqqında” Qanununda, habelə tətbiq edildiyi halda Avropa İttifaqının Məlumatların qorunmasına dair ümumi reqlamentində və Avropa Şurasının 108 saylı Konvensiyasında nəzərdə tutulmuş bütün hüquqlara malikdir.
4.2. İstifadəçinin əsas hüquqlarına aşağıdakılar aiddir:
- öz fərdi məlumatlarının işlənməsi haqqında məlumatların əldə edilməsi hüququ;
- öz fərdi məlumatlarına giriş hüququ;
- fərdi məlumatları natamam, köhnəlmiş və ya qeyri-dəqiq olduqda onlara düzəlişin edilməsi (dəqiqləşdirilməsi, yenilənməsi) hüququ;
- fərdi məlumatların işlənməsinin bloklanması və ya onlara məhdudiyyət hüququ;
- öz fərdi məlumatlarının işlənməsi qanunsuz qaydada olduqda və ya işlənmə məqsədləri öz aktuallığını itirdikdə onların məhv edilməsi (silinməsi) hüququ;
- məlumatların daşınması hüququ (işlənmənin razılıq və ya müqavilə əsasında həyata keçirildiyi hallarda);
- fərdi məlumatların işlənməsinə dair razılığın geri götürülməsi hüququ;
- fərdi məlumatların birbaşa marketinq, profilləşdirmə və qərarların avtomatlaşdırılmış şəkildə qəbul edilməsi məqsədilə işlənməsi də daxil olmaqla, onların işlənməsinə qarşı etiraz etmək hüququ;
- İstifadəçi üçün hüquqi nəticələr yaradan və ya ona digər şəkildə əhəmiyyətli dərəcədə təsir göstərən profilləşdirmə də daxil olmaqla, məlumatların müstəsna olaraq avtomatlaşdırılmış işlənməsinə əsaslanan qərarın təsiri altına düşməmək hüququ;
- fərdi məlumatların qorunmasına üzrə səlahiyyətli dövlət orqanına, habelə (Avropa İttifaqının yurisdiksiyasında olan şəxslər üçün) Avropa İttifaqının üzv dövlətinin müvafiq nəzarət orqanına şikayət vermək hüququ.
4.3. Subyekt istənilən vaxt Fərdi məlumatlar bazasının sahibindən aşağıdakı məlumatları tələb etmək hüququna malikdir:
- onun fərdi məlumatlarının işlənməsi faktını;
- işlənmənin hüquqi əsaslarını və məqsədlərini;
- fərdi məlumatların əldə edilməsi mənbələrini;
- işlənən fərdi məlumatların tərkibini və məzmununu;
- fərdi məlumatların işlənməsi və saxlanması müddətləri haqqında məlumatları;
- fərdi məlumatların ötürüldüyü üçüncü şəxslər, habelə belə ötürülmələrin əsasları haqqında məlumatları;
- fərdi məlumatların qorunması üzrə tətbiq edilən tədbirlər haqqında məlumatları.
4.4. Fərdi məlumatların subyektlərinin hüquqlarının həyata keçirilməsi üçün Fərdi məlumatlar bazasının sahibi aşağıdakı müraciət kanallarını təqdim edir:
Saytda sağ aşağı küncdəki“Yardım” düyməsini və ya tətbiqdəki“Yardım” bölməsini (Şəxsi kabinet -> Ayarlar (dişli çarx işarəsi) -> Yardım)
Elektron poçt ünvanı: [email protected]
4.5. İstifadəçi müraciət etdikdə Fərdi məlumatlar bazasının sahibinin öhdəlikləri:
- sorğunun qəbul edildiyini təsdiq etmək;
- Azərbaycan Respublikasının“Fərdi məlumatlar haqqında” Qanununa (maddə 12 “Subyektin sorğusu”) uyğun müddətdə sorğunun mahiyyəti üzrə cavab təqdim etmək;
- Məlumatların qorunmasına dair ümumi reqlamentdə nəzərdə tutulmuş hallarda İstifadəçiyə bu haqda əvvəlcədən məlumat verilməklə cavabın təqdim edilməsi müddəti bir ayadək uzadıla bilər.
4.6. Bütün İstifadəçilərin hüquqlarının müdafisinin təmin edilməsi üçün Fərdi məlumatlar bazasının sahibi fərdi məlumatlara icazəsiz girişin qarşısını almaq məqsədilə sorğunu ünvanlamış şəxsin şəxsiyyətinin təsdiq edilməsini tələb etmək hüququna malikdir.
Şəxsiyyətin təsdiq edilməsi rəsmi sənədlər əsasında və ya qanunla nəzərdə tutulmuş digər üsullarla həyata keçirilir.
4.7. Sorğunun təmin edilməsindən imtina yalnız qanunla birbaşa nəzərdə tutulmuş hallarda yolveriləndir, xüsusilə də əgər:
- fərdi məlumatların işlənməsi Fərdi məlumatlar bazasının sahibinin qanunla müəyyən edilmiş öhdəliklərinin yerinə yetirilməsi üçün zəruri olarsa;
- məlumatların təqdim edilməsi digər şəxslərin hüquq və azadlıqlarını poza bilərsə;
- qanunvericiliklə nəzərdə tutulmuş digər hallarda.
Sorğunun təmin edilməsindən imtina edildikdə Fərdi məlumatlar bazasının sahibi imtinanın səbəblərini göstərməklə fərdi məlumatların subyektinə yazılı bildiriş ünvanlayır.
4.8. Cavab ödənişsiz təqdim edilir. İstifadəçinin sorğuları onların təkrarlanması səbəilə aşkar surətdə əsassız və ya həddindən artıq çox olduqda Fərdi məlumatlar bazasının sahibi məlumatların təqdim edilməsi üçün inzibati xərcləri nəzərə alan ağlabatan məbləğdə haqq tutmaqla və ya əsaslandırılmış cavab təqdim etməklə sorğunun yerinə yetirilməsindən imtina etmək hüququnu özündə saxlayır.
4.9. İstifadəçi öz sorğusuna baxılmasının nəticələri barədə elektron poçt, şəxsi kabinet üzərindən və ya poçt göndərişi kimi seçdiyi əlaqə vasitələrilə məlumatlandırılır.
4.10. Fərdi məlumatlar bazasının sahibinin cavabı ilə razılaşmayan İstifadəçi öz fərdi məlumatlarının qorunması üzrə səlahiyyətli dövlət orqanına və ya məhkəmə orqanlarına müraciət etmək hüququna malikdir.
4.11. Fərdi məlumatlar bazasının sahibi fərdi məlumatların subyektlərinin müraciətlərinin və sorğularının, habelə onların yerinə yetirilməsi üçün görülmüş tədbirlərin uçotu jurnalını aparır. Jurnalda sorğunun daxil olma tarixi, məzmunu, təqdim edilmiş cavabın tarixi və forması, habelə icraçı haqqında məlumatlar qeyd olunur.
4.12. Fərdi məlumatlar bazasının sahibi fərdi məlumatların subyektlərinin bütün hüquqlarının vicdanlılıq, mütənasiblik və işlənmənin minimallaşdırılması prinsiplərinə uyğun olaraq həyata keçirilməsini təmin edir, habelə (qanunvericiliklə tələb olunduqda və ya Fərdi məlumatlar bazasının sahibinin qərarı ilə) fərdi məlumatların subyektlərinin hüquqlarının müdafiəsi üzrə vəzifələrin yerinə yetirilməsini təsdiq edən sənədləşməni aparır.
5. Fərdi məlumatların transsərhəd ötürülməsi və üçüncü şəxslərlə qarşılıqlı əlaqə
5.1. Fərdi məlumatların transsərhəd ötürülməsi müstəsna olaraq Azərbaycan Respublikasının qanunvericiliyinə, 108 saylı Konvensiyaya, habelə belə işlənmə Avropa İttifaqının vətəndaşlarına və ya rezidentlərinə aid olduğu təqdirdə Avropa İttifaqının 2016/679 saylı Məlumatların qorunmasına dair ümumi reqlamentinin tələblərinə uyğun olan qanuni əsaslar mövcud olduqda Fərdi məlumatlar bazasının sahibi tərəfindən həyata keçirilir.
5.2. Fərdi məlumatların Azərbaycan Respublikasının hüdudlarından kənarda olan üçüncü şəxslərə ötürülməsi aşağıdakı şərtlərdən birinə riayət edildikdə yolveriləndir:
- ərazisində ötürülmənin həyata keçirildiyi dövlət Azərbaycan Respublikasının səlahiyyətli orqanının və ya Avropa Komissiyasının (Avropa İttifaqına münasibətdə) qərarına uyğun olaraq fərdi məlumatların lazımi səviyyədə qorunmasını təmin etdikdə;
- fərdi məlumatların subyekti mümkün risklər barədə məlumatı aldıqdan sonra belə ötürülməyə dair öz açıq razılığını verdikdə;
- ötürülmə subyekt ilə Fərdi məlumatlar bazasının sahibi arasındakı müqavilənin icra edilməsi yaxud subyektin sorğusu əsasında müqaviləqabağı tədbirlərin yerinə yetirilməsi üçün zərurət təşkil etdikdə;
- ötürülmə subyektin maraqları çərçivəsində Fərdi məlumatlar bazasının sahibi ilə üçüncü şəxs arasında müqavilənin bağlanması və ya icrası üçün zərurət təşkil etdikdə;
- ötürülmə qanunla, hüquqi tələblərin müəyyən edilməsi, həyata keçirilməsi və ya müdafiəsi yaxud ictimai maraq məqsədləri üçün tələb olunduqda.
5.3. Məlumatlar fərdi məlumatların adekvat səviyyədə qorunmasını təmin edən ölkələrə transsərhəd ötürülür. Üçüncü ölkələr fərdi məlumatların adekvat səviyyədə qorunmasını təmin etmədikdə Fərdi məlumatlar bazasının sahibi Avropa Komissiyası tərəfindən təsdiq edilmiş Standart müqavilə şərtlərini (Standard Contractual Clauses — SCCs) tətbiq edir, habelə məlumatların ötürülməsinə təsirin qiymətləndirilməsini (Transfer Impact Assessment — TIA) aparır və ötürülən məlumatların şifrlənməsi, psevdonimləşdirilməsi və minimallaşdırılması da daxil olmaqla, əlavə təşkilati və texniki qorunma tədbirlərini tətbiq edir. ABŞ üçün Data Privacy Framework müddəaları tətbiq edilir.
5.4. Ünvanlarına fərdi məlumatların transsərhəd ötürülməsinin həyata keçirildiyi ölkələrin və üçüncü şəxslərin siyahısı, habelə tətbiq edilən hüquqi mexanizmlər (adekvatlıq, SCCs, Binding Corporate Rules, DPF və s.) hazırkı Məxfilik Siyasətinə 1 №-li Əlavədə verilmişdir.
5.5. Fərdi məlumatlar bazasının sahibi fərdi məlumatların işləniməsinin ayrı-ayrı funksiyalarını yerinə yetirilməsi üçün işləyib-hazırlayanları (operatorları, prosessorları) cəlb etdikdə həmin şəxslərlə məxfiliyə riayət edilməsi, lazımi təhlükəsizlik tədbirlərinin tətbiqi və məlumatların müstəsna olaraq Fərdi məlumatlar bazasının sahibinin sənədləşdirilmiş təlimatlarına əsasən işlənməsi barədə öhdəlikləri özündə əks etdirən edən müqavilə (və ya hüquqi cəhətdən məcburi olan digər razılaşma forması) bağlanılır.
5.6. Fərdi məlumatları işləyib-hazırlayanlar (operatorlar, prosessorlar) onlara təqdim edilmiş məlumatları öz məqsədləri üçün istifadə etmək hüququna malik deyillər, əvəzində isə onların qorunmasını hazırkı Siyasət, Azərbaycan Respublikasının qanunvericiliyi və Məlumatların qorunmasına dair ümumi reqlamenti ilə müəyyən edilmiş qorunma səviyyəsindən aşağı olmayan səviyyədə təmin etməyə borcludurlar.
5.7. Xarici tərəfdaşlarla, platformalarla və xidmət tədarükçüləriylə qarşılıqlı əlaqə zamanı Fərdi məlumatlar bazasının sahibi onlarda fərdi məlumatların qorunmasına dair sertifikatlaşdırılmış mexanizmlərinin (məsələn, EU-U.S. Data Privacy Framework, ISO/IEC 27001, SOC 2 Type II) mövcudluğunu yoxlayır, eləcə də onların məxfilik və təhlükəsizlik siyasətlərinin qiymətləndirilməsinin nəticələrini nəzərə alır.
5.8. Məlumatların itirildikdə, təhlükəsizlik münaqişələri baş verdikdə və ya transsərhəd ötürülmə zamanı pozuntular aşkarlandıqda Fərdi məlumatlar bazasının sahibi qanunvericiliklə müəyyən edilmiş müddətlərdə Azərbaycan Respublikasının səlahiyyətli orqanını və tətbiq edildiyi halda Avropa İttifaqının nəzarət orqanını, habelə hüquqlarına xələl gələ biləcək fərdi məlumat subyektlərini məlumatlandırır.
6. Fərdi məlumatların saxlanması müddətləri və onların məhv edilməsi qaydaları
6.1. İstifadəçilərin fərdi məlumatlarının işlənməsi və saxlanması Fərdi məlumatlar bazasının sahibi tərəfindən hazırkı Məxfilik Siyasətində, İstifadəçi Razılaşmasında müəyyən edilmiş və ya Azərbaycan Respublikasının, Avropa İttifaqının qanunvericiliyinin tələblərinə və beynəlxalq öhdəliklərə uyğun olaraq işlənmə məqsədlərinə nail olmaq üçün zəruri olan müddətdən artıq olmayan müddət ərzində həyata keçirilir.
6.2. Fərdi məlumatların saxlanması müddətləri qanunilik, məqsədəuyğunluq və minimallaşdırma prinsipləri əsasında müəyyən edilir. Hazırkı Siyasətin 2-ci bölməsində göstərilmiş Fərdi məlumatların işlənməsinin məqsədləri və hüquqi əsasları cədvəlinə uyğun olaraq hər bir məlumat kateqoriyası və işlənmə məqsədi üçün müvafiq saxlanma müddəti müəyyən edilir.
6.3. Saxlanma müddətlərinin əsas kateqoriyaları:
qanunla başqa hal nəzərdə tutulmayıbsa, müqavilənin icrası üçün zəruri olan məlumatlar (hesablar, identifikatorlar, əlaqə məlumatları) müqavilənin qüvvədə olduğu müddət ərzində və ona xitam verildikdən sonra 3 (üç) il ərzində saxlanılır;
maliyyə və mühasibat sənədləri vergi və mühasibatlıq qanunvericiliyi ilə müəyyən edilmiş müddətlər ərzində saxlanılır;
pretenziya və məhkəmə işi ilə bağlı məlumatlar qanunvericiliklə müəyyən edilmiş iddia müddəti başa çatanadək (ümumi halda 3 il) saxlanılır;
razılıq əsasında işlənmiş marketinq və reklam məlumatları razılıq geri götürülən anadək, lakin İstifadəçi ilə sonuncu qarşılıqlı əlaqə tarixindən etibarən 12 aydan çox olmayan müddətdə saxlanılır;
qanunvericiliklə başqa hal nəzərdə tutulmayıbsa, hadisələr jurnalları və texniki təhlükəsizlik qeydləri 24 aydan çox olmayan müddətdə saxlanılır.
6.4. Müəyyən edilmiş saxlanma müddətləri başa çatdıqdan sonra fərdi məlumatlar Fərdi məlumatlar bazasının sahibinin daxili proseduru ilə müəyyən edilmiş qaydada məhv edilməli və ya şəxsiyyətsizləşdirilməlidir. Beəl məhv edilmə informasiyanın bərpası imkanını istisna edən vasitələrin tətbiqi ilə həyata keçirilir.
6.5. Fərdi məlumatların şəxsiyyətsizləşdirilməsi onların sonradan subyektlə əlaqəsinin bərpası imkanını istisna edən üsullarla həyata keçirilir. Belə məlumatlar müddət məhdudiyyəti olmadan analitik, statistik və tədqiqat məqsədləri üçün istifadə edilə bilər.
6.6. Qanunvericiliklə ayrı-ayrı məlumat kateqoriyalarının məcburi qaydada arxivlərdə saxlanması nəzərdə tutulubsa, belə məlumatlar normativ hüquqi aktlarla müəyyən edilmiş müddətə Fərdi məlumatlar bazasının sahibinin arxivinə təhvil verilməlidir.
6.7. Qanunla başqa hal nəzərdə tutulmayıbsa, İstifadəçinin fərdi məlumatlarının işlənməsinə dair razılıq geri götürüldükdə, habelə işlənmə məqsədinə nail olunduqda Fərdi məlumatlar bazasının sahibi 10 (on) iş günü ərzində məlumatların işlənməsini dayandırmağı və onları məhv etməyi öz öhdəsinə götürür.
6.8. Məlumatların silinməsi və ya şəxsiyyətsizləşdirilməsi faktı barədə məlumat fərdi məlumatların subyektinin sorğusu əsasında yazılı və ya elektron formada ona təqdim edilir.
7. Yaş məhdudiyyətləri və uşaqların məlumatlarının işlənməsinin xüsusiyyətləri
7.1. Fərdi məlumatlar bazasının sahibi uşaqların fərdi məlumatlarının qorunmasının vacibliyini dərk etməklə yanaşı Azərbaycan Respublikasının qanunvericiliyinə, Uşaq hüquqları haqqında Konvensiyaya, habelə Avropa İttifaqının 2016/679 saylı Məlumatların qorunmasına dair ümumi reqlamentinin, xüsusilə də həmin Reqlamentin 8-ci maddəsinə uyğun olaraq onların hüquq və maraqlarının təmin edilməsi üçün xüsusi tədbirlər görür.
7.2. Servisdən istifadə 16 yaşına çatmış şəxslər üçün yolveriləndir.
7.3. Fərdi məlumatlar bazasının sahibi 16 yaşına çatmamış uşaqların fərdi məlumatlarının bilərəkdən toplanılmasını həyata keçirmir. Müəyyən edilmiş yaşa çatmamış şəxsin məlumatlarının işlənməsi faktı aşkar edildikdə Fərdi məlumatlar bazasının sahibi dərhal işlənməni dayandırır və həmin məlumatları silir.
7.4. Servisin ayrı-ayrı funksiyalarından istifadə (o cümlədən elanların dərc edilməsi, müsabiqələrdə və ya onlayn sorğularda iştirak) fərdi məlumatların məcburi təqdim edilməsini nəzərdə tutursa, Fərdi məlumatlar bazasının sahibi İstifadəçinin yaşını yoxlamaq üçün tədbirlər görə bilər.
7.5. Fərdi məlumatlar bazasının sahibi 16 yaşından kiçik uşaqların qeydiyyatının qarşısının alınması üçün texniki və təşkilati tədbirlər həyata keçirir. Bunun üçün xüsusi avtorizasiya və/və ya verifikasiya mexanizmləri istifadə edilə bilər.
7.6. Uşaqların fərdi məlumatlarının işlənməsi ilə bağlı bütün müraciətlər Fərdi məlumatlar bazasının sahibi tərəfindən prioritet qaydada baxılır. Uşağın qanuni nümayəndələri hazırkı Siyasətdə qeyd olunmuş elektron poçt ünvanı və ya Servisdə yerləşdirilmiş əlaqə forması üzərindən uşağın fərdi məlumatlarının işlənməsinin silinməsi barədə sorğu ilə müraciət etmək hüququna malikdirlər.
7.7. Uşaqların valideynlərinin və qanuni nümayəndələrinin uşaqların fərdi məlumatlarının qorunması barədə məlumatlılığının artırılması məqsədilə Fərdi məlumatlar bazasının sahibi Servisdə xüsusi informasiya materialları və tövsiyələr yerləşdirə bilər.
8. Məxfilik Siyasətinə dəyişikliklərin edilməsi və İstifadəçilərin məlumatlandırılması qaydaları
8.1. Hazırkı Məxfilik Siyasəti onun Azərbaycan Respublikasının, Avropa İttifaqının qanunvericiliyindəki dəyişikliklərə, beynəlxalq müqavilələrə, habelə Fərdi məlumatlar bazasının sahibinin daxili məlumat işləmə proseslərinə uyğunluğunun təmin edilməsi üçün mütəmadi olaraq yenidən nəzərdən keçirilməli və yenilənməlidir.
8.2. Hazırkı Siyasətə edilən bütün dəyişikliklər, onun dəqiqləşdirilmələri və ya yenilənmələri qanunvericiliklə nəzərdə tutulduğu halda İstifadəçilərin mütləq qaydada məlumatlandırılması ilə Fərdi məlumatlar bazasının sahibinin daxili qərarı əsasında həyata keçirilir.
Normativ aktlarla nəzərdə tutulubsa, Fərdi məlumatlar bazasının sahibi Siyasətə ediləcək əhəmiyyətli dəyişikliklərin qüvvəyə minmə tarixindən ən geci 10 (on) təqvim günü əvvəl (Azərbaycan Respublikasının qanunvericiliyi ilə digər müddət nəzərdə tutulmayıbsa) fərdi məlumatların subyektlərini belə dəyişikliklərin ediləcəyi barədə məlumatlandırır. Məlumatlandırma aşağıdakı üsullarla həyata keçirilir:
- Siyasətin yenilənmiş versiyasının Servisinhttps://lalafo.az/ rəsmi saytında dərc edilməsi ilə;
qeydiyyatdan keçmiş İstifadəçilərə elektron poçt və ya Servisdəki məlumatlandırma sistemi üzərindən bildirişlərin göndərilməsi ilə.
8.3. Siyasətin yeni redaksiyası onun Servisin saytında dərc edildiyi andan etibarən qüvvəyə minir.
8.4. Məxfilik Siyasətinin hər versiyasının təsdiq edilmə tarixi və qüvvəyə minmə tarixi vardır. Əvvəlki versiyalar qanunvericiliyə uyğun müddətlər ərzində, lakin bir ildən az olmayan müddət ərzində Fərdi məlumatlar bazasının sahibinin arxivində saxlanılır və fərdi məlumatların subyektinin sorğusu əsasında onlarla tanış olmaq üçün əlçatandır.
8.5. Razılıq əsasında fərdi məlumatların işlənməsinə aid olan dəyişikliklər edildikdə Fərdi məlumatlar bazasının sahibi subyektlərdən yeni işlənmə şərtlərinə dair onların təkrar razılığını tələb etməyə borcludur. Belə hallarda daha əvvəl verilmiş razılıq yalnız dəyişikliklər qüvvəyə minənədək işlənmiş məlumatlara münasibətdə etibarlı hesab edilir.
8.6. Siyasətin yeni redaksiyası ilə razılaşmayan Fərdi məlumatların subyekti hazırkı Siyasətlə nəzərdə tutulmuş qaydada Servisdən istifadəni dayandırmaq və öz fərdi məlumatlarının silinməsini tələb etmək hüququna malikdir.
8.7. Qanunvericiliklə və ya Siyasətin şərtləri ilə birbaşa olaraq nəzərdə tutulmuş başqa hallar istisna olmaqla, Subyektin dəyişikliklər qüvvəyə mindikdən sonra da Servisdən istifadəni davam etdirməsi yenilənmiş Siyasətlə razılığın təsdiq edilməsi kimi qiymətləndirilir.
8.8. Hazırkı Siyasət Servisin rəsmi saytında dərc edildiyi andan etibarən qüvvəyə minir və yeni redaksiya qəbul edilənədək qüvvədə qalır.
8.9. Fərdi məlumatların işlənməsi Avropa İttifaqının yurisdiksiyasının təsiri altına düşdüyü halda Fərdi məlumatlar bazasının sahibi Məlumatların qorunmasına dair ümumi reqlamentin 27-ci maddəsinə uyğun olaraq özünün“Aİ-dəki nümayəndə”sini (EU Representative) təyin edir.
Nümayəndənin əlaqə məlumatları Servisin saytında dərc edilir.
Fərdi məlumatları işləyib-hazırlayanlarının və onların transsərhəd ötürülməsinin siyahısı
İşləyib-hazırlayanın adı | Qeydiyyat ölkəsi | İşlənmənin məqsədi | Məlumatların qorunması mexanizmi | |
1 | Google Ireland Limited | İrlandiya | Hostinq, veb-analitika (Google Analytics), AdTech | SCCs + TIA + şifrələmə və psevdonimləşdirmə |
2 | Amazon Web Services (AWS) | Almaniya / İrlandiya | Hostinq və məlumatların buludda saxlanması | Girişə nəzarət, şifrləmə, ISO 27001 |
3 | Mailchimp (The Rocket Science Group LLC) | ABŞ | Bildirişlərin göndərilməsi və marketinq | SCCs / DPF / məlumatların işlənməsinə dair müqavilə (DPA) |
4 | Meta Platforms Ireland Ltd. | İrlandiya | İstifadəçilərin Feysbuk üzərindən avtorizasiyası | Birgə məsuliyyət (Joint Controller Agreement) |
5 | Google LLC | ABŞ | İstifadəçilərin Google Account üzərindən avtorizasiyası | DPF + SCCs |
6 | Cloudflare Inc. | ABŞ / Avropa İttifaqı | CDN, DDoS hücumlara qarşı müdafiə | SCCs + texniki müdafiə tədbirləri |
7 | Twilio Inc. | ABŞ / Avropa İttifaqı | SMS-bildirişlərin göndərilməsi | Girişə nəzarət, şifrləmə |
8 | Yerli İnfprmasiya Texnologiyaları podratçıları (Azərbaycan) | Azərbaycan Respublikası | Texniki dəstək, istifadəçilərin sorğularının işlənməsi | NDA + lokal işlənmə + məhdud giriş |
9 | Viber Media S.a r.l (“Viber”) | Lüksemburq | Bildirişlərin göndərilməsi və marketinq | SCCs / DPF / məlumatların işlənməsinə dair müqavilə (DPA) |
COOKIE (COOKIE FAYLLARI) SİYASƏTİ
1. Ümumi müddəalar
1.1. Hazırkı Cookie Siyasəti (bundan sonra “Siyasət” adlandırılacaqdır) https://lalafo.az/ Servisinin (bundan sonra “Servis” adlandırılacaqdır) Məxfilik Siyasətinin və İstifadəçi Razılaşmasının ayrılmaz tərkib hissəsi olmaqla yanaşı “YALLA KLASSİFAYDS” Məhdud Məsuliyyətli Cəmiyyətinin (YALLA CLASSIFIEDS OÜ; qeydiyyat nömrəsi: 12888798; hüquqi ünvanı: Harju maakond, Tallinn, Kesklinna linnaosa, Pärnu mnt 22, 10141, Estonia) (bundan sonra “İnzibatçılıq” adlandırılacaqdır) veb-saytında və mobil tətbiqlərində cookie fayllarından və oxşar texnologiyalardan istifadə qaydasını müəyyən edir.
1.2. İnzibatçılıq cookie fayllarından “Fərdi məlumatların qorunması haqqında” Qanuna (“Fərdi məlumatlar haqqında” Azərbaycan Respublikasının 11 may 2010-cu il tarixli 998-IIIQ №-li Qanunu), habelə məlumatların qorunmasına dair beynəlxalq standartlara (Məlumatların qorunmasına dair ümumi reqlament, ePrivacy Directive) uyğun olaraq istifadə edir.
1.3. Hazırkı Siyasət həmçinin Servisdə cookie fayllarının hansı kateqoriyalarından, onlardan hansı məqsədlər üçün istifadə edildiyini, İstifadəçinin onları necə idarə edə biləcəyini və razılığını necə geri götürə biləcəyini izah edir. Cookie fayllarından istifadə şəffaflıq, könüllülük, məlumatların minimallaşdırılması və İstifadəçinin seçim imkanı prinsiplərinə əsaslanır.
2. Cookie faylları nədir?
2.1. Cookie – İstifadəçinin Servisə giriş etdiyi zaman onun cihazında (kompüter, smartfon, planşetində və s.) yadda saxlanılan kiçik mətn fayllarıdır. Cookie faylları İstifadəçinin cihazının Servis tərəfindən tanınaraq onun seçimlərini yadda saxlamağa imkan yaradır.
2.2. Cookie faylları müəyyən İstifadəçinin şəxsiyyətini eyniləşdirmir, lakin kontentin fərdiləşdirilməsi, ayarların yaddaşda saxlanması və saytın məhsuldarlığının optimallaşdırılması hesabına istifadəçi təcrübəsinin təkmilləşdirilməsini təmin edə bilər.
3. İstifadə olunan Cookie fayllarının növləri
3.1. Ciddi şəkildə tələb olunan cookie faylları— Servisin fəaliyyəti və təhlükəsizliyin təmin edilməsi üçün tələb olunur. Onlar olmadan Servisdən istifadə (məsələn, autentifikasiya, froda (fırıldaqçılığa) qarşı müdafiə, sessiyanın təmin edilməsi) mümkünsüzdür.
3.2. Funksional cookie-lər— İstifadəçinin seçimlərini və ayarlarını (məsələn, interfeys dili, region, filtr ayarlarını) yadda saxlayır. Bu cookie-lər istifadə rahatlığını yaxşılaşdırır.
3.3. Analitik cookie-lər— İstifadəçilər ilə Servisin qarşılıqlı əlaqəsinə dair məlumatların toplanması üçün istifadə olunur (məsələn, Google Analytics). Belə məlumatlar saytın məhsuldarlığını artırmaqda, istifadəçilərin maraqlarını anlamaqda və kontentə düzəlişlər etməkdə kömək edir.
3.4. Marketinq (reklam) cookie-ləri— fərdiləşdirilmiş reklamın əks olunması və onların səmərəliliyinin qiymətləndirilməsi üçün tətbiq olunur. Onlar həm İnzibatçılıq, həm də kənar reklam şəbəkələri (məsələn, Google Ads, Meta Ads, DoubleClick) tərəfindən quraşdırıla bilər.
3.5. Üçüncü tərəf tədarükçülərin cookie-ləri (Third-Party Cookies)— Servisdə öz funksiyalarını təqdim edən kənar (məsələn, analitik və ya reklam) servislər tərəfindən yerləşdirilir.
4. Cookie fayllarından istifadənin hüquqi əsasları və məqsədləri
4.1. Cookie vasitəsilə əldə edilmiş məlumatların işlənməsi aşağıdakı hüquqi əsaslarla həyata keçirilir:
- müqavilənin yerinə yetirilməsi (texniki cəhətdən zəruri olan cookie-lər üçün);
- İstifadəçinin razılığı (analitik, funksional və reklam cookie-ləri üçün);
- İnzibatçılığın qanuni marağı (Servisin funksionallığının və təhlükəsizliyinin təmin edilməsi).
4.2. İşlənmənin məqsədləri:
- Servisin funksionallığının və təhlükəsizliyinin təmin edilməsi;
- məhsuldarlığın və istifadəçi təcrübəsinin yaxşılaşdırılması;
- trafikin və istifadəçilərin davranışının təhlili;
- kontentin və reklamın fərdiləşdirilməsi;
- qanunvericiliyin tələblərinə riayət edilmə və İnzibatçılığın hüquqlarının müdafiəsi.
5. Cookie fayllarının idarə edilməsi
5.1. Servisə ilk dəfə giriş edən İstifadəçiyə cookie növləri haqqında məlumatı və seçim imkanını əks etdirən banner (razılıq paneli) təklif edilir:
· “Hamısını qəbul et”– cookie fayllarının bütün kateqoriyalarından istifadəyə razılıq deməkdir;
· “Hamısını rədd et”– ciddi şəkildə tələb olunanlardan başqa bütün cookie-ləri rədd etmək deməkdir;
· “Ayarla”– İstifadəçiyə hansı cookie kateqoriyalarına icazə verəcəyini seçməyə imkan yaratmaq deməkdir.
5.2. İstifadəçi saytda yerləşdirilmiş “Cookie ayarları” bölməsi üzərindən istənilən vaxt öz qərarını dəyişə bilər.
5.3. Cookie-lərdən istifadə edilməsindən imtina Servisin funksionallığına və müəyyən elementlərin düzgün göstərilməsinə təsir göstərə bilər.
5.4. İstifadəçi həmçinin brauzer ayarlarından cookie-ləri silə və ya bloklaya bilər. Cookie-lərin idarə edilməsinə dair təlimatlar brauzerləri (Google Chrome, Mozilla Firefox, Safari, Edge və s.) işləyib-hazırlayanların saytlarında əks olunmuşdur.
6. İstifadə edilən Cookie-lərin siyahısı
Adı | Provayderi | Növü | Məqsədi | Saxlanma müddəti |
sessionid | lalafo.az | Ciddi şəkildə tələb olunan | İstifadəçi sessiyasının təmin edilməsi | Sessiyanın sonunadək |
_ga, _gid, _gat | Google Analytics | Analitik | İstifadəçilərin davranışının və trafikin təhlili | 13 ay |
fr, datr | Meta (Feysbuk) | Reklam | Reklamın fərdiləşdirilməsi | 3 ay |
IDE, DSID | Google Ads / DoubleClick | Reklam | Reklam kampaniyalarının səmərəliliyinin izlənilməsi | 13 ay |
lang, region | lalafo.az | Funksional | İstifadəçinin dilinin və regionunun yaddaşda saxlanması | 12 ay |
_cfduid | Cloudflare | Texniki | DDoS hücumlara qarşı müdafiə və məhsuldarlığın təmin edilməsi | 12 ay |
7. Məlumatların transsərhəd ötürülməsi
7.1. Cookie fayllarının işlənməsi məlumatların Avropa İttifaqı ölkələri və ABŞ də daxil olmaqla, Azərbaycan Respublikasının hüdudları kənarında yerləşən üçüncü şəxslərə ötürülməsini əhatə edə bilər.
7.2. Belə məlumat ötürülmələri yalnız Standart Müqavilə Şərtləri (SCCs), Data Privacy Framework (DPF) və ya məlumatların adekvat şəkildə qorunmasını təmin edən digər qəbul edilmiş mexanizmlər əsasında həyata keçirilir.
7.3. Belə tədarükçülərin siyahısı Məxfilik Siyasətinə 1 №-li Əlavədə verilmişdir.
8. Cookie fayllarının saxlanması və silinməsi
8.1. Cookie-lərin saxlanma müddəti onların təyinatı ilə müəyyən edilir. Ciddi şəkildə tələb olunan cookie-lər yalnız sessiya ərzində, analitik və reklam cookie-ləri isə 13 aydan çox olmayaraq saxlanılır.
8.2. Müddət bitdikdən sonra cookie-lər avtomatik olaraq silinir və ya brauzerin keşi təmizlənərkən silinməlidir.
9. Cookie Siyasətinə edilən dəyişikliklər
9.1. Hazırkı Siyasət mütəmadi olaraq yenidən nzərdən keçirilir. Dəyişikliklər yenilənmiş versiyanın saytda dərc edildiyi andan qüvvəyə minmiş hesab edilir.
9.2. Əhəmiyyətli dəyişikliklər edildikdə İnzibatçılıq banner və ya elektron poçt vasitəsilə İstifadəçiləri məlumatlandırır.