Ten artykuł jest również dostępny w:
W tym artykule wyjaśnimy, jak unieważnienie Osłony prywatności wpłynęło na sposób, w jaki przechowujemy dane naszych klientów i uczestników.

Ostatnia aktualizacja: 11 sierpnia, 2020_

W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej unieważnił Osłonę Prywatności UE-USA. Oznacza to, że Tarcza prywatności nie stanowi już ważnych ram prawnych dla przekazywania danych osobowych z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych. Zarówno my, jak i tysiące innych firm, polegaliśmy na tych ramach w odniesieniu do istotnych części naszego systemu. Ponieważ decyzja ta była nieoczekiwana, istnieje duża niepewność co do naszych możliwości w zakresie korzystania z usług świadczonych w USA.

Prywatność i bezpieczeństwo są dla nas bardzo ważne. Przechowujemy wszystkie dane w Unii Europejskiej, ale w Stanach Zjednoczonych mamy podprocesorów, którzy są niezbędni dla funkcjonowania naszego systemu LMS. Śledzimy rozwój sytuacji w zakresie unieważnienia tarczy prywatności i obecnie badamy nasze możliwości z naszymi podprocesorami spoza UE.

Zamierzamy być w pełni zgodni z GDPR, więc zrobimy wszystko, aby zapewnić, że wszystkie nasze dane są przetwarzane zgodnie z prawem i bezpiecznie, chroniąc prywatność naszych klientów i ich klientów. Postanowiliśmy na razie podpisać umowy o przetwarzaniu danych (DPA), zawierające standardowe klauzule umowne (SCC), ze wszystkimi naszymi amerykańskimi podprzetwarzającymi, zapewniając ochronę wszystkich danych osobowych na poziomie podobnym do tego, jaki obowiązuje w GDPR. W przypadku jakichkolwiek aktualizacji, zostaną one opublikowane na tej stronie.

Ponieważ chcemy zachować przejrzystość co do tego, jak radzimy sobie z tą sytuacją, stworzyliśmy listę wszystkich naszych podprzetwarzających spoza UE, jakie dane osobowe przetwarzają oraz naszą odpowiedź na unieważnienie Osłony prywatności. Ponieważ przetwarzamy dane zarówno naszych bezpośrednich klientów, jak i uczestników naszych klientów, będziemy odnosić się do tych różnych grup danych osobowych odpowiednio jako "dane osobowe klientów" i "dane osobowe uczestników".

Dane osobowe uczestnika

Systemy te przetwarzają dane osobowe uczestników:

AWS

Nasza aplikacja jest hostowana na serwerach Amazon AWS we Frankfurcie, w Niemczech. Wszystkie dane są przechowywane na innym serwerze AWS w tym samym miejscu, w pełni zaszyfrowane. Do tej pory przy przesyłaniu danych do USA korzystaliśmy z Privacy Shield. Mimo, że wszystkie dane są zaszyfrowane i powinny być bezpieczne, obecnie rozważamy podpisanie SCC, które powinno całkowicie zabezpieczyć wszystkie dane. Więcej informacji na temat AWS i prywatności tutaj.

Mandrill

Używamy Mandrill do wszystkich naszych e-maili, które są generowane z naszego systemu LMS. Mandrill przechowuje i przetwarza wszystkie informacje w Stanach Zjednoczonych. Włączyli oni SCC do swoich Warunków Użytkowania i oświadczają na swojej stronie internetowej, że będą przestrzegać tych samych środków ochrony danych, zapewniając zasadniczo taką samą ochronę danych jak przed unieważnieniem Osłony Prywatności.

Za pośrednictwem Mandrill do uczestników wysyłane są następujące wiadomości e-mail:
Emaile z zaproszeniami
Rezultaty e-maili
Certificate emails
Hasło resetuje e-maile
I do administratorów:
Wiadomości e-mail z powiadomieniem o wynikach
Wiadomości e-mail z powiadomieniem o eksporcie
Zaproszenie dla administratora maila
Email z hasłem administratora zresetowany
Fakturowe e-maile
Większość z tych e-maili zawiera dane osobowe uczestnika, a mianowicie jego imię i nazwisko oraz adres e-mail.

Możesz zapewnić, że żadne e-maile nie będą wysyłane do uczestników poprzez Mandrill, korzystając z własnego serwera pocztowego. Jak to zrobić można znaleźć tutaj.

Nie ma to wpływu na e-maile, które są wysyłane do administratorów. Pracujemy nad tym, aby to zmienić, ale w międzyczasie można wyłączyć powiadomienia, gdy uczestnik skończy. W połączeniu z Twoim własnym serwerem pocztowym, żadne dane osobowe uczestników nie są wysyłane do Mandrill. Nie uniemożliwia to wysyłania danych osobowych klienta do Mailchimp'a.

Dane osobowe klienta

Następujące systemy przetwarzają wyłącznie dane osobowe klientów

Demo tools

Używamy kilku narzędzi do naszych demo i zapytań o funkcje, które obejmują:
Calendly
GoToMeeting
Pipedrive
Tablica produktowa
Zapier
Sprawdziliśmy i podpisaliśmy umowy DPA z tymi wszystkimi firmami, zapewniając bezpieczeństwo i ochronę podczas przetwarzania nazwisk, adresów e-mailowych, numerów telefonów i danych firmy.

Atlasyjskie produkty

Używamy kilku produktów firmy Atlassian, głównie do wewnętrznego śledzenia procesów. Niektóre z tych danych zawierają wiadomości e-mail od klientów, więc podpisaliśmy ich DPA, aby upewnić się, że dane te są bezpiecznie przechowywane i przetwarzane.

Google Drive

Do wewnętrznego przechowywania dokumentów używamy Google Drive. Szukamy wielu rozwiązań, które zapewnią bezpieczeństwo danych osobowych w przyszłości, w tym przechowywanie danych w UE, anonimizację danych na dysku oraz znalezienie alternatywy.

Slack

Używamy Slack'a jako naszego wewnętrznego narzędzia komunikacji, gdzie czasami omawiamy prośby klientów. Podpisaliśmy ich DPA.

Interkom

Wcześniej korzystaliśmy z interkomu w naszym centrum pomocy i czatu, ale przeszliśmy na Crisp, który znajduje się na terenie Unii Europejskiej. Są one w pełni zgodne z PKBR, więc nie ma tam żadnych problemów!
Czy ten artykuł był pomocny?
Anuluj
Dziękuję!