Ten artykuł jest również dostępny w:
Ten artykuł został przetłumaczony przy użyciu tłumaczenia maszynowego. Może zawierać błędy lub dziwnie brzmiące tłumaczenia. Mimo to uważamy, że warto go przeczytać w swoim ojczystym języku. Daj nam znać, czy ten artykuł okazał się pomocny, lub przekaż inne uwagi u dołu artykułu.

W tym artykule wyjaśnimy, w jaki sposób unieważnienie Tarczy Prywatności wpłynęło na sposób, w jaki przechowujemy dane naszych klientów i uczestników.

Ostatnia aktualizacja: 11 sierpnia 2020

W dniu 16 lipca 2020 r. Trybunał Sprawiedliwości Unii Europejskiej unieważnił Tarczę Prywatności UE-USA. Oznacza to, że Tarcza Prywatności nie stanowi już ważnych ram prawnych dla przekazywania danych osobowych z Europejskiego Obszaru Gospodarczego do Stanów Zjednoczonych. Zarówno my, jak i tysiące innych firm, polegaliśmy na tych ramach w przypadku istotnych części naszego systemu. Ponieważ decyzja ta była nieoczekiwana, istnieje duża niepewność co do naszych opcji dotyczących korzystania z usług zlokalizowanych w USA

Prywatność i bezpieczeństwo są dla nas bardzo ważne. Wszystkie dane przechowujemy na terenie Unii Europejskiej, ale mamy podwykonawców w Stanach Zjednoczonych, którzy są niezbędni do funkcjonowania naszego LMS. Śledzimy rozwój sytuacji wokół unieważnienia Tarczy Prywatności i obecnie badamy nasze opcje z naszymi podprocesorami spoza UE.

Zamierzamy być w pełni zgodni z GDPR, więc zrobimy wszystko, aby upewnić się, że wszystkie nasze dane są przetwarzane zgodnie z prawem i bezpiecznie, chroniąc prywatność naszych klientów i ich klientów. Na razie zdecydowaliśmy się podpisać umowy o przetwarzaniu danych (DPA), zawierające standardowe klauzule umowne (SCC), ze wszystkimi naszymi amerykańskimi podwykonawcami przetwarzania danych, zapewniając ochronę wszystkich danych osobowych na poziomie podobnym do tego, jaki obowiązuje w ramach GDPR. Gdy pojawią się jakiekolwiek aktualizacje, zostaną one opublikowane na tej stronie.

Ponieważ chcemy zachować przejrzystość co do tego, jak radzimy sobie z tą sytuacją, stworzyliśmy listę wszystkich naszych podprzetwarzających spoza UE, jakie dane osobowe przetwarzają oraz naszą odpowiedź na unieważnienie Tarczy Prywatności. Ponieważ przetwarzamy dane zarówno naszych klientów bezpośrednich, jak i uczestników naszych klientów, będziemy odnosić się do tych różnych grup danych osobowych odpowiednio jako "dane osobowe klientów" i "dane osobowe uczestników".

Dane osobowe uczestników

Systemy te przetwarzają dane osobowe uczestników:

AWS

Nasza aplikacja jest hostowana na serwerach Amazon AWS we Frankfurcie, Niemcy. Wszystkie dane są przechowywane na innym serwerze AWS w tej samej lokalizacji, w pełni zaszyfrowane. Do tej pory polegaliśmy na Tarczy Prywatności dla wszelkich transferów danych do USA. Pomimo tego, że wszystkie dane są szyfrowane i powinny być bezpieczne, obecnie analizujemy możliwość podpisania umów SCC, które powinny całkowicie zabezpieczyć wszystkie dane. Możesz przeczytać więcej o AWS i prywatności tutaj.

Mandrill

Używamy Mandrill dla wszystkich naszych emaili, które są generowane z naszego systemu LMS. Mandrill przechowuje i przetwarza wszystkie informacje w Stanach Zjednoczonych. Włączył on SCC do swoich Warunków Świadczenia Usług i oświadcza na swojej stronie internetowej, że będzie nadal stosował te same środki ochrony danych, zapewniając zasadniczo taką samą ochronę danych, jak przed unieważnieniem Tarczy Prywatności.

Następujące e-maile są wysyłane do uczestników za pośrednictwem Mandrill:
E-maile z zaproszeniem
E-maile z wynikami
E-maile z certyfikatami
E-maile z resetem hasła
Oraz do administratorów:
E-maile z powiadomieniem o wynikach
Wiadomości z powiadomieniem o eksporcie
Wiadomości z zaproszeniem dla administratora
Wiadomości e-mail z resetowaniem hasła administratora
E-maile z fakturami
Większość z tych e-maili zawiera dane osobowe uczestnika, a mianowicie jego imię i nazwisko oraz adres e-mail.

Możesz zapewnić, że żadne e-maile nie będą wysyłane do uczestników poprzez Mandrill, używając własnego serwera pocztowego. Jak to zrobić można znaleźć tutaj.

Nie ma to wpływu na maile wysyłane do administratorów. Pracujemy nad zmianą tego, ale w międzyczasie możesz wyłączyć powiadomienia o ukończeniu kursu przez uczestnika. W połączeniu z Twoim własnym serwerem pocztowym, żadne dane osobowe uczestników nie są wysyłane do Mandrill. Nie przeszkadza to jednak w wysyłaniu danych osobowych klientów do Mailchimp.

Dane osobowe klienta

Następujące systemy przetwarzają wyłącznie dane osobowe klientów

Narzędzia demonstracyjne

Używamy kilku narzędzi dla naszych dem i żądań funkcji, które obejmują:
Calendly
GoToMeeting
Pipedrive
Productboard
Zapier
Z wszystkimi tymi firmami dokonaliśmy przeglądu i podpisaliśmy umowy DPA, zapewniając bezpieczeństwo podczas przetwarzania nazwisk, adresów e-mail, numerów telefonów i danych firmy.

Produkty Atlassian

Używamy kilku produktów firmy Atlassian, głównie do śledzenia procesów wewnętrznych. Niektóre z tych danych zawierają e-maile klientów, więc podpisaliśmy z nimi DPA, aby upewnić się, że dane te są bezpiecznie przechowywane i przetwarzane.

Dysk Google

Używamy Google Drive do wewnętrznego przechowywania dokumentów. Rozważamy różne rozwiązania, aby zapewnić bezpieczeństwo danych osobowych w przyszłości, w tym przechowywanie danych w UE, anonimizację danych na dysku i znalezienie alternatywy.

Slack

Używamy Slacka jako naszego wewnętrznego narzędzia komunikacji, gdzie czasami omawiamy prośby klientów. Podpisaliśmy z nimi umowę DPA.

Intercom

Poprzednio używaliśmy Intercomu do naszego centrum pomocy i czatu, ale przerzuciliśmy się na Crisp, który ma siedzibę w Unii Europejskiej. Są one w pełni zgodne z GDPR, więc nie ma żadnych problemów!
Czy ten artykuł był pomocny?
Anuluj
Dziękuję!