AJAX RODO FAQ
Podstawy
Czym jest RODO?
Ogólne Rozporządzenie o Ochronie Danych (RODO), także znane jako Rozporządzenie 2016/679, stanowi fundament prawny Unii Europejskiej regulujący kwestie związane z ochroną danych osobowych oraz prywatnością w obszarze UE oraz Europejskiego Obszaru Gospodarczego (EOG). Chociaż została ona opracowana i zatwierdzona przez Unię Europejską (UE), nakłada ona obowiązki ochrony danych na organizacje na całym świecie, pod warunkiem, że zwracają się one do osób w UE lub gromadzą dane o tych osobach.
Czym są dane osobowe?
Dane osobowe to wszelkie informacje odnoszące się do osoby fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować. Gromadzenie różnych informacji i łączenie ich może doprowadzić do zidentyfikowania konkretnej osoby, co również kwalifikuje się jako dane osobowe.
Dane osobowe, które zostały zde zidentyfikowane, zaszyfrowane lub pseudonimizowane, ale mogą być wykorzystane do ponownej identyfikacji osoby, pozostają danymi osobowymi i wchodzą w zakres prawa.
Oto kilka przykładów danych osobowych:
- imię i nazwisko;
- adres;
- adres e-mail;
- numer dowodu osobistego;
- dane lokalizacji;
- adres IP;
- identyfikatory plików cookie;
- identyfikator reklamowy w telefonie.
Czym jest przetwarzanie danych?
Zakres definiowania przetwarzania danych obejmuje różnorodne działania, jakie można wykonywać na danych osobowych, zarówno w sposób manualny, jak i za pomocą automatycznych procesów. Zalicza się do tego gromadzenie, zapisywanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie lub modyfikowanie, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych. Jeżeli prowadzisz jakiekolwiek działania opisane wcześniej w odniesieniu do danych, to dokonujesz przetwarzania tych danych.
Jaka jest różnica między podmiotem przetwarzającym dane a administratorem danych?
Administrator danych to podmiot, będący organizacją, instytucją lub jednostką osobową, który ustala normy i zasady dotyczące operacji związanych z przetwarzaniem danych osobowych. W praktyce oznacza to, że administrator danych jest zobowiązany do ustalenia metodologii oraz celów, na jakie dane osobowe zostaną wykorzystane w ramach działalności organizacji. Najczęściej administratorem danych jest jednostka lub podmiot, który faktycznie gromadzi dane osobowe, a następnie decyduje o sposobie ich wykorzystywania.
Podmiot przetwarzający dane jest przeciwieństwem administratora danych. W kontekście RODO podmiotem przetwarzającym dane jest jednostka organizacyjna, instytucja lub jednostka fizyczna, która implementuje procedury przetwarzania danych osobowych ustalone przez administratora danych. Zazwyczaj podmiotem przetwarzającym dane jest strona, która dokonuje operacji na danych zgodnie z wytycznymi i zgodnie z wolą administratora danych. Podmiot przetwarzający dane nie jest właścicielem przetwarzanych danych i nie sprawuje nad nimi kontroli. Oznacza to, że podmiot przetwarzający dane nie może zmieniać znaczenia danych, kierować sposobem ich wykorzystania i jest związany instrukcjami.
Istnieje szereg pytań kontrolnych, które umożliwiają wyodrębnienie różnic pomiędzy rolą administratora danych, a funkcją podmiotu przetwarzającego dane:
Administrator danych decyduje o następujących kwestiach:
- ustala podmiot, który w pierwszej kolejności zbiera dane i ma do tego odpowiednią podstawę prawną;
- w jakim celu mają być wykorzystywane dane osobowe;
- czy ujawnić dane, a jeśli tak, to komu;
- czy dostęp do danych i inne prawa osób fizycznych mają zastosowanie lub czy istnieją przypadki, w których prawa te nie mają zastosowania;
- jak długo przechowywane są dane lub o możliwości modyfikacji danych w sposób, który nie jest zwyczajowo stosowany.
Podmiot przetwarzający dane decyduje o następujących kwestiach:
- ustala metody wykorzystywane do gromadzenia i przechowywania danych osobowych;
- sposobie zabezpieczenia danych;
- środkach wykorzystywanych do przekazywania danych osobowych z jednego podmiotu do drugiego;
- w jaki sposób gromadzone są dane osobowe;
- metodach zapewniających przestrzeganie harmonogramu przechowywania;
- w jaki sposób usuwane są dane osobowe.
Jakie są warunki przetwarzania danych osobowych zgodnie z RODO?
Artykuł 6 RODO wymienia kilka warunków, (zwanych także podstawą), które legitymizują zgodność przetwarzania danych osobowych z przepisami prawa:
- Zgoda. Zgoda oznacza, iż osoba, której dotyczą dane, jasno wyraziła akceptację na przetwarzanie danych osobowych w jednym lub więcej konkretnych celach. Pojęcie celu jest tutaj kluczowe. Jeśli osoba, będąca podmiotem danych osobowych, określana także jako osoba fizyczna, wyrazi zgodę na przetwarzanie tych informacji, lecz nie będzie miała pełnej wiedzy o ściśle określonym celu lub celach przetwarzania w sposób przystępny i zrozumiały, to taka zgoda nie zostanie uznana za prawowitą podstawę przetwarzania. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Co więcej, zgody nie można łączyć. Tak więc, dla każdej czynności przetwarzania danych w ramach jednej szerszej operacji, ogólną zasadą jest, że dla każdej czynności wymagana jest oddzielna zgoda.
- Przetwarzanie jest niezbędne do wykonania lub przygotowania do zawarcia umowy, której stroną jest osoba, której dane dotyczą. Organizacja ma prawo do odwołania się do niniejszej podstawy prawnej, w sytuacji gdy niezbędne jest przetwarzanie danych osobowych podmiotu w celu dostarczenia usługi opisanej w umowie lub w odpowiedzi na prośbę tej organizacji o zrealizowanie określonego działania przed zawarciem umowy (np. dostarczenie wyceny).
- Konieczne jest przetwarzanie danych w celu spełnienia obowiązku prawnego. W przypadku, gdy administrator danych jest zobowiązany przepisami prawnymi do przetwarzania określonych danych osobowych, wówczas takie przetwarzanie jest uważane za uzasadnione. Taka zgodność z istniejącym obowiązkiem prawnym, który wymaga przetwarzania i podlega administracji, również nie jest nowym zjawiskiem.
- Konieczne jest przetwarzanie danych w celu ratowania czyjegoś życia. Podstawa ta jest również znana jako "żywotny interes". W takim przypadku osoba fizyczna nie musi być podmiotem danych; może to być również inna osoba fizyczna. Oczywiście, to nie do administratora należy zdefiniowanie, czym jest żywotny interes. Ta podstawa ma zastosowanie przede wszystkim do sytuacji związanych z zagrożeniem życia, w których brak innej właściwej podstawy prawnej przetwarzania. W przypadku gdy nie przetwarzanie danych osobowych mogłoby prowadzić do realnego zagrożenia czyjegoś życia, podmiot przetwarzający jest uprawniony do podjęcia działań koniecznych w celu ratowania życia osoby, jednak musi posiadać pewną wiedzę o osobie fizycznej, która znajduje się w niebezpieczeństwie.
- Przetwarzanie jest konieczne w celu wykonania zadania służącego interesowi publicznemu lub wypełnienia określonych funkcji urzędowych. Organizacja ma możliwość sięgnąć po tę podstawę prawną, kiedy niezbędne jest przetwarzanie danych osobowych "w ramach realizacji uprawnień publicznych". Obejmuje to funkcje oraz prerogatywy publiczne zdefiniowane w przepisach prawnych, jak również realizację określonych zadań służących interesowi publicznemu, jakie zostały określone w przepisach prawa.
- Administrator posiada uzasadniony interes do przetwarzania czyichś danych osobowych. Przetwarzanie danych osobowych w tym kontekście niekoniecznie musi być uzasadnione obowiązkiem prawnym lub realizowane w celu wypełnienia warunków umowy z osobą fizyczną. W takich sytuacjach przetwarzanie danych osobowych może być usprawiedliwione na podstawie istniejącego uzasadnionego interesu. Na przykład, podmiot przetwarzający ma uzasadniony interes, gdy przetwarzanie odbywa się w ramach relacji z klientem, w celach marketingu bezpośredniego, w celu zapobiegania oszustwom lub w celu zapewnienia bezpieczeństwa sieci i informacji w systemach informatycznych.
Jak działa zgoda na mocy RODO?
Istnieją precyzyjne wytyczne regulujące procedurę uzyskiwania zgody od osoby, której dotyczą dane osobowe, w celu ich przetwarzania:
- Zgoda musi być "dobrowolna, konkretna, świadoma i jednoznaczna".
- Wnioski o uzyskanie zgody muszą być "wyraźnie rozpoznawalne wśród innych kwestii" i przedstawiane "w sposób zrozumiały i przystępny".
- Osoby, których dane zostały objęte przetwarzaniem, mają prawo do wycofania swojej uprzednio udzielonej zgody w dowolnym momencie, a Ty musisz uszanować ich decyzję. Nie jest możliwa prosta zmiana podstawy prawnej przetwarzania na inne uzasadnienie.
- Należy przechowywać dokumentację potwierdzającą wyrażenie zgody.
Jakie są indywidualne prawa wynikające z RODO?
RODO zapewnia osobom fizycznym następujące prawa:
- Prawo do informacji (osoby fizyczne mają prawo do informacji o tym, w jaki sposób firmy gromadzą i wykorzystują ich dane osobowe, jak długo planują przechowywać te dane i komu będą je udostępniać);
- Prawo dostępu (osoby fizyczne mają prawo do dokładnej wiedzy dotyczącej gromadzonych informacji przez przedsiębiorstwa, sposobu ich przechowywania i przetwarzania, jak również intencji związanych z ich dalszym wykorzystaniem.);
- Prawo do sprostowania danych (osoby fizyczne mają możliwość dokonania uzupełnień w przypadku braków w informacjach oraz korekty nieprawidłowych danych);
- Prawo do usunięcia danych (osoby fizyczne mają prawo do trwałego usunięcia danych osobowych. Jest to również znane jako "prawo do bycia zapomnianym");
- Prawo do ograniczenia przetwarzania (pozwala osobom fizycznym na ograniczenie możliwości administratorów w odniesieniu do przetwarzania danych osobowych, w przypadku gdy nie jest możliwe żądanie usunięcia tych danych);
- Prawo do przenoszenia danych (osoby fizyczne mają prawo do uzyskania i ponownego wykorzystania swoich danych osobowych do własnych celów w ramach różnych usług);
- Prawo do sprzeciwu (osoby fizyczne mają prawo na wyrażenie sprzeciwu wobec przetwarzania ich danych osobowych w określonych sytuacjach.);
- Prawa związane ze zautomatyzowanym podejmowaniem decyzji-i profilowaniem (osoby fizyczne mają prawo żądać interwencji człowieka, zamiast powierzania istotnych decyzji algorytmom).
Jakie jest siedem zasad RODO?
Zgodnie z RODO istnieje siedem kluczowych zasad dotyczących ochrony danych oraz rozliczalności:
- Zgodność z prawem, rzetelność i przejrzystość – przetwarzanie musi być zgodne z prawem, rzetelne i przejrzyste dla osoby, której dane dotyczą.
- Ograniczenie celu przetwarzania – zasada ta nakłada wymóg, aby dane osobowe były przetwarzane w ramach uzasadnionych celów, które zostały jednoznacznie przedstawione osobie, której dotyczą, w chwili ich gromadzenia.
- Minimalizacja danych – pozyskiwać oraz przetwarzać należy jedynie tylko taką ilość danych, która jest całkowicie niezbędna w kontekście określonych celów.
- Prawidłowość danych – dane osobowe muszą być dokładne i aktualne.
- Ograniczenie przechowywania – może przechowywać dane osobowe tylko tak długo, jak jest to konieczne do określonego celu.
- Integralność i poufność – przetwarzanie musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo, integralność i poufność (np. przy użyciu szyfrowania).
- Rozliczalność – Administrator danych jest odpowiedzialny za wykazanie zgodności z RODO w odniesieniu do wszystkich tych zasad.
Czy RODO wymaga, aby dane osobowe mieszkańców UE pozostały w UE?
RODO nie zawiera bezpośredniego ograniczenia, by dane osobowe mieszkańców Unii Europejskiej pozostawały wyłącznie w obrębie terytorium UE. Jednakże zasada działania ochrony danych w Unii Europejskiej opiera się na zasadzie, że RODO towarzyszy danym, co oznacza, że przepisy dotyczące ochrony danych osobowych nadal obowiązują niezależnie od miejsca, w którym dane są przechowywane. Zasada ta ma również zastosowanie, gdy dane osobowe są przekazywane do kraju, który nie jest członkiem UE.
Przetwarzanie przez Ajax
Czy Ajax przetwarza moje dane osobowe?
Tak, Ajax może przetwarzać dane osobowe użytkownika. Możemy wyróżnić cztery główne sytuacje, w których spotykamy się z danymi użytkownika:
- za pośrednictwem naszych urządzeń alarmowych (takich jak Ajax Hub lub inne urządzenia);
- za pośrednictwem naszych aplikacji mobilnych (takich jak Ajax Security System i Ajax PRO: Tool for Engineers) lub aplikacji na komputery osobiste (nazywamy je naszymi Produktami lub Usługami);
- w przypadku odwiedzenia strony internetowej https://ajax.systems/
- w ramach współpracy biznesowej pomiędzy użytkownikiem, a Ajax (niezależnie od tego, czy użytkownik jest bezpośrednim lub pośrednim Partnerem lub Podwykonawcą Ajax)
Jakie rodzaje moich danych mogą być przetwarzane przez Ajax?
Firma Ajax może przetwarzać różne kategorie danych, dostosowując się do określonych scenariuszy interakcji z użytkownikiem.
Za pośrednictwem naszych urządzeń alarmowych możemy przetwarzać:
- informacje o Państwa urządzeniu Ajax Hub (takie jak jego model i numer seryjny, informacje o sieci, w tym adres IP, dzienniki aktywności urządzenia, historyczna i bieżąca konfiguracja urządzenia, jego lokalizacja);
- Dane telemetryczne i środowiskowe.
Aby dostarczyć użytkownikom informacje o systemie w formie statusów i zdarzeń, przetwarzamy Dane telemetryczne.
Termin „Dane telemetryczne” (zwane również „Telemetrią”) odnosi się do danych i innych wskaźników, które są automatycznie zbierane, przesyłane i mierzone przez sensory wbudowane w nasze urządzenia w celu określenia stanu środowiska i sprawności urządzeń, a także wykrywania możliwych nieprawidłowości w ich działaniu.
Kiedy korzystają Państwo z naszych Produktów lub Usług , możemy przetwarzać:
- informacje dotyczące Państwa (takie jak imię, nazwisko, adres e-mail, numer telefonu i Państwa zdjęcie);
- informacje, które udostępniasz nam z książki telefonicznej swojego urządzenia podczas zapraszania użytkowników do Produktu (takie jak adres e-mail lub numer telefonu osoby, którą zapraszasz do Produktu);
- niepowtarzalne identyfikatory dla naszych Usług (takie jak nazwa użytkownika i hasło);
- niepowtarzalne identyfikatory użytkowników, którym umożliwili Państwo połączenie z Produktem, takie jak nazwa użytkownika, rola użytkownika w Produkcie i jego adres e-mail; informacje o Państwa urządzeniu mobilnym, takie jak rodzaj urządzenia, system operacyjny i język systemu;
- dane oparte na lokalizacji, umożliwiające wysyłanie Państwu przypomnień o konieczności uzbrojenia/rozbrojenia systemu w przypadku aktywacji funkcji Geofence w naszej aplikacji;
- w przypadku użytkowników systemu Android – wiadomości SMS z kodem autoryzacyjnym wymaganym podczas rejestracji lub zmiany konta;
- informacje dotyczące korzystania przez Państwa z naszych Produktów i Usług (takie jak żądania wysyłane przez aplikację na nasz serwer).
Jeśli odwiedzasz naszą stronę internetową, możemy przetwarzać dane:
- informacje, które Państwo podają podczas wypełniania formularzy. Takie informacje mogą zawierać Państwa dane osobowe i kontaktowe;
- Identyfikatory plików cookie (za pomocą narzędzia zgodnego z RODO).
- Państwa adres IP do określenia kraju, w którym się Państwo znajdują.
W przypadku współpracy biznesowej możemy przetwarzać:
- dane osobowe i kontaktowe przedstawicieli firmy (imię i nazwisko, stanowisko, adres e-mail i numer telefonu).
Jaki jest cel i podstawa prawna przetwarzania danych?
- Wszelkie informacje pozyskiwane poprzez nasze urządzenia alarmowe, lub w trakcie korzystania przez użytkownika z naszych Produktów oraz Usług są poddawane przetwarzaniu wyłącznie w celu zagwarantowania realizacji zamówionych usług o charakterze bezpieczeństwa. Oznacza to, że przetwarzamy wszystkie takie dane w celu wykonania umowy , którą z Państwem zawarliśmy. Oznacza to również, że nie gromadzimy żadnych danych, które nie są nam potrzebne do świadczenia takich usług.
- Jeśli zdecydują się Państwo na subskrypcję naszego newslettera, będziemy przesyłać wiadomości e-mail z informacjami o nas i aktualnościami. Opieramy się w tym zakresie na zgodzie , którą wyrażają Państwo, potwierdzając swoją subskrypcję. Ponadto dokonamy personalizacji tych wiadomości w oparciu o informacje, które posiadamy na Państwa temat, dzięki czemu będą one dla Państwa bardziej odpowiednie i użyteczne.
- Jeśli udostępnią nam Państwo dzienniki operacji z aplikacji w przypadku wystąpienia problemu, będziemy je przetwarzać w celu rozwiązania Państwa problemów technicznych oraz doskonalenia naszych Produktów i Usług. Przetwarzamy te informacje w oparciu o nasz uzasadniony interes, aby uczynić naszą ofertę rynkową bardziej konkurencyjną.
- Dane, które udostępniasz nam z książki telefonicznej swojego urządzenia, gdy zapraszasz użytkowników do Produktu (takie jak adres e-mail lub numer telefonu osoby, którą zapraszasz do Produktu), wykorzystujemy wyłącznie w celu przesłania zaproszeń do tych osób.
Gdzie przechowywane są informacje?
Wszelkie kategorie danych, które mogą zostać zebrane przez Ajax od użytkownika, są składowane w chmurze, zlokalizowanej w obszarze Irlandii, Niemiec i Francji (na terenie EOG). Wybór konkretnego miejsca przechowywania danych (w Irlandii, Niemczech i Francji) zależny jest od dostępności infrastruktury dostawcy usług AWS.
Jak długo przechowywane są informacje?
Wszelkie dane są przechowywane przez pełny okres trwania relacji z klientem, z jednym wyjątkiem – pamięć powiadomień push, która jest ograniczona do 500 transakcji. W przypadku dziennika zdarzeń konta PRO Desktop czas przechowywania powiadomień o zdarzeniach wynosi 2 lata. Niemniej jednak pewne rodzaje informacji (jak na przykład imię i nazwisko przedstawiciela, stanowisko oraz dane kontaktowe wskazane w umowach) mogą być przechowywane poza okresem aktywnej współpracy, celem zapewnienia spełnienia naszych obowiązków wynikających z przepisów prawnych.
Rodzaj danych | Cel przetwarzania | Podstawa prawna | Okres przechowywania |
Informacje o urządzeniu Ajax Hub (takie jak jego model i numer seryjny, informacje o sieci, dzienniki aktywności urządzenia, historyczna i bieżąca konfiguracja urządzenia, lokalizacja) | W celu zapewnienia działania Huba, urządzeń i aplikacji | Umowa, w przypadku wsparcia serwisowego – uzasadniony interes | Przez cały czas trwania relacji z klientem lub do momentu usunięcia zgodnie z żądaniem użytkownika. Kopie zapasowe do 12 miesięcy |
Unikalne identyfikatory (nazwa użytkownika i hasło) | Autoryzacja użytkownika | Umowa | Przez cały czas trwania relacji z klientem lub do momentu usunięcia zgodnie z żądaniem użytkownika. Kopie zapasowe do 12 miesięcy |
Dane oparte na lokalizacji | W celu zapewnienia działania Huba, urządzeń i aplikacji | Umowa i/lub uzasadniony interes | Przez cały czas trwania relacji z klientem lub do momentu usunięcia zgodnie z żądaniem użytkownika. Kopie zapasowe do 12 miesięcy |
informacje dotyczące korzystania przez Państwa z naszych Produktów i Usług (takie jak żądania wysyłane przez aplikację na nasz serwer) | W celu zapewnienia działania Huba, urządzeń i aplikacji | Umowa | Przez cały czas trwania relacji z klientem lub do momentu usunięcia zgodnie z żądaniem użytkownika. Kopie zapasowe do 12 miesięcy |
Informacje podane podczas wypełniania formularzy, które mogą zawierać dane osobowe i dane kontaktowe | Komunikacja, usługa dostarczania produktów, promocje marketingowe | Zgoda | Przez cały czas trwania relacji z klientem lub do momentu usunięcia zgodnie z żądaniem użytkownika. Kopie zapasowe do 12 miesięcy |
Adres IP | W celu zapewnienia działania Huba, urządzeń i aplikacji | Umowa lub zgoda | Przez cały czas trwania relacji z klientem lub do momentu usunięcia zgodnie z żądaniem użytkownika. Kopie zapasowe do 12 miesięcy |
Imię, nazwisko i dane kontaktowe | W celu zapewnienia działania Huba, urządzeń i aplikacji | Zgoda | Przez cały czas trwania relacji z klientem lub do momentu usunięcia zgodnie z żądaniem użytkownika. Kopie zapasowe do 12 miesięcy |
Zdjęcia wykonane przez urządzenia Ajax | W celu zapewnienia działania Huba, urządzeń i aplikacji | Umowa | -Aplikacja mobilna – Okres przechowywania plików multimedialnych dla kont Użytkownika i PRO wynosi 2 lata. Zdjęcia mogą zostać wcześniej usunięte, wraz z powiązanymi wydarzeniami, jeżeli zostanie osiągnięty w aplikacji mobilnej (500 wydarzeń). -Ajax PRO Desktop (konto firmowe) – w zależności od ustawień (od 7 dni do 2 lat). -Ajax Translator nie przechowuje obrazów, jednak linki są aktywne przez 7 dni od momentu ich wygenerowania |
Kto ma dostęp do systemu i informacji po stronie Ajax?
Ajax stosuje zasady minimalizacji dostępności i najmniejszych uprawnień w dostępie do danych. W związku z tym możliwość dostępu do danych może być udzielana wyłącznie pracownikom Ajax, którzy są odpowiedzialni za wsparcie procesów świadczenia usług oraz projektów. Gdy pracownicy Ajax uzyskują dostęp do danych, ich sprzęt jest chroniony za pomocą szyfrowania i innych narzędzi wymaganych przez najwyższe standardy rynku technicznego. Wszyscy pracownicy podpisali umowę o zachowaniu poufności i co roku przeprowadzają ocenę ochrony danych. Każde działanie personelu jest rejestrowane, a dzienniki są monitorowane automatycznie w czasie rzeczywistym. W sytuacji, gdy istnieje podejrzenie nadmiernej aktywności dostępu, podejmujemy środki ograniczające dostęp i natychmiastowo inicjujemy dochodzenie w celu wyjaśnienia sytuacji. Niemniej jednak zwracamy uwagę, że Ajax nigdy nie uzyskuje dostępu do danych bez ważnej podstawy prawnej dla takiego dostępu. W pewnych okolicznościach Ajax może być poproszony przez użytkownika (na jego własne ryzyko) o udzielenie dostępu do swoich danych zewnętrznym dostawcom wybranym przez użytkownika (jak agencje ochrony czy instalatorzy), za pośrednictwem aplikacji mobilnych lub stacjonarnych. W takich przypadkach, wybrane przez użytkownika firmy również uzyskają dostęp do danych, które użytkownik zdecydował się przekazać.
Co robi Ajax, aby zachować zgodność z globalnymi przepisami o ochronie danych? W jaki sposób Ajax wykazuje zgodność z RODO?
W celu przestrzegania międzynarodowych regulacji dotyczących ochrony danych Ajax wdrożył różnorodne środki, mechanizmy oraz procedury. Na przykład, Ajax wprowadza zasady ograniczania przetwarzania danych (ochrona danych osobowych w fazie projektowania i domyślnie), minimalizacji danych, kontroli dostępu oraz procedury przetwarzania danych (obejmujące zasady przechowywania, przetwarzania, usuwania itp.). W ramach przekazywania danych Ajax wdraża różnorodne metody, obejmujące zarówno środki organizacyjne, jak i techniczne, a także standardowe klauzule umowne. Więcej informacji na ten temat można znaleźć w sekcji Transfer danych.
Jak mogę skorzystać z moich praw do prywatności?
Aby skorzystać z przysługujących praw związanych z prywatnością (takich jak prawo do usunięcia, sprzeciwu, uzyskania informacji o danych osobowych czy ograniczenia przetwarzania), prosimy o kontakt z nami poprzez adres e-mailowy support@ajax.systems.
Transfer danych
Komu Ajax może udostępniać moje dane? Jakie rodzaje danych mogą być udostępniane i w jakich przypadkach?
Zasadniczo możemy udostępniać Państwa dane osobowe tylko wtedy, gdy jest to niezbędne do świadczenia zamówionych przez Państwa usług. Możemy ujawnić takie dane naszym sprzedawcom i usługodawcom, którzy świadczą określone usługi, aby nasze Produkty i Usługi mogły działać. Obejmuje to usługi takie jak hosting danych, wsparcie techniczne, komunikacja itp. Dopilnujemy, aby dostawcy zapewnili danym taki sam poziom ochrony, jak my.
Możemy udostępnić Państwa dane kontaktowe (takie jak numer telefonu komórkowego, nazwa użytkownika i adres e-mail) dostawcom usług z zakresu bezpieczeństwa fizycznego, jeśli zwrócą się Państwo o to, wybierając takiego dostawcę w naszej aplikacji. Prosimy pamiętać, że tacy usługodawcy sami stają się administratorami danych odpowiedzialnymi za Państwa dane osobowe. Chociaż wybieramy renomowanych partnerów do zaoferowania w naszej aplikacji, zalecamy zapoznanie się z ich polityką prywatności przed zwróceniem się do nas o przekazanie danych do wybranych przez Państwa firm.
W przypadku niektórych potrzeb Ajax może korzystać z usług zewnętrznych podwykonawców przetwarzania spoza EOG. Takie potrzeby mogą obejmować przechowywanie danych, techniczną komunikację związana z rejestracją, instalacją oraz inne działania organizacyjne, realizowane poprzez środki takie jak poczta elektroniczna czy telefon.
Ajax dokłada wszelkich starań, aby takie transfery odbywały się zgodnie ze wszystkimi obowiązującymi przepisami o ochronie danych. W odpowiedzi na to, Ajax nawiązał umowy partnerskie dotyczące ochrony danych ze wszystkimi podmiotami przetwarzającymi (w tym SCC czyli standardowe klauzule ochrony danych w przypadku przekazywania danych poza granice), a także wdrożył dodatkowe środki uzupełniające w kontekście przekazywania oraz przetwarzania danych. Wszystkie podmioty przetwarzające na rzecz Ajax posiadają swoje indywidualne polityki prywatności oraz inne dokumenty związane z ochroną danych, które regularnie są przeglądane przez specjalistów Ajax w celu zapewnienia pełnej zgodności.
Lista zatwierdzonych podwykonawców Ajax:
Usługa | Dostawca | Cel użytkowania | Link do Polityki prywatności i DPA |
AWS | Amazon | Hosting danych i tworzenie kopii zapasowych | https://aws.amazon.com/privacy/ https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html |
Twilio | Twilio Group | Programowalne SMS | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
SendGrid | Twilio Group | Programowalna komunikacja e-mailowa | https://www.twilio.com/legal/privacy https://sendgrid.com/resource/general-data-protection-regulation-2/ |
Mailgun | Sinch Email | Transakcyjna usługa poczty elektronicznej | https://www.mailgun.com/legal/privacy-policy/ https://www.mailgun.com/legal/dpa/ |
MongoDB | MongoDB Inc | Dostawca usług związanych z bazami danych | https://www.mongodb.com/legal/privacy-policy https://www.mongodb.com/legal/dpa |
Google BigQuery | Google LLC | Analityka, udoskonalanie usług | https://policies.google.com/privacy |
Czym są standardowe klauzule umowne?
Standardowe klauzule umowne (SCC) to znormalizowane oraz wstępnie zatwierdzone wzorcowe klauzule dotyczące ochrony danych, które pozwalają administratorom oraz podmiotom przetwarzającym na skuteczne wypełnienie swoich obowiązków wynikających z unijnych przepisów dotyczących ochrony danych. Mogą one zostać włączone przez administratorów i podmioty przetwarzające do ich ustaleń umownych z innymi stronami, takimi jak partnerzy handlowi. Klauzule te mogą być dobrowolnie wykorzystywane w celu potwierdzenia zgodności z wymogami ochrony danych, wymagając jednocześnie wiążącego zobowiązania umownego do ich skrupulatnego przestrzegania. Komisja Europejska jest uprawniona do przyjmowania SCC (1) w odniesieniu do relacji między administratorami i podmiotami przetwarzającymi oraz (2) do przekazywania danych osobowych do krajów spoza EOG.
Czym są środki uzupełniające?
Środki uzupełniające to specjalnie opracowane procedury techniczne oraz organizacyjne, które są wdrożone w celu zapewnienia adekwatnego poziomu bezpieczeństwa przetwarzanych danych, porównywalnego z ochroną danych realizowaną w obszarze EOG.
Ajax wdrożył między innymi następujące środki organizacyjne:
- systematyczne szkolenia uświadamiające i egzaminy dla pracowników Ajax;
- zautomatyzowany system nadzoru w czasie rzeczywistym, śledzący potencjalne incydenty oraz ewentualne niedociągnięcia w systemach zabezpieczeń;
- rejestrowanie na bieżąco wszystkich procesów;
- regularne oraz niestandardowe kontrole i weryfikacje systemu Ajax, mające na celu identyfikację ewentualnych braków w zabezpieczeniach.
Ajax wdrożył między innymi następujące środki techniczne:
- Środki zapobiegające dostępowi osób nieupoważnionych do systemów przetwarzania danych znajdujących się w obiektach i obiektach (w tym baz danych, serwerów aplikacji i powiązanego sprzętu), w których przetwarzane są dane osobowe personelu, w tym tworzenie stref bezpieczeństwa, ograniczanie dostępu trasy, tworzenie uprawnień dostępu dla pracowników i osób trzecich, blokowanie drzwi (elektrozaczepy itp.).
- Środki obejmujące procedury zapobiegające wykorzystywaniu systemów przetwarzania danych przez osoby nieupoważnione, w tym procedury identyfikacji i uwierzytelniania użytkowników, procedury bezpieczeństwa identyfikatorów/haseł, szyfrowanie zarchiwizowanych nośników danych.
- Środki zapewniające, że osoby upoważnione do korzystania z systemu przetwarzania danych mają dostęp do takich danych osobowych wyłącznie zgodnie z ich prawami dostępu oraz że dane osobowe nie mogą być odczytywane, kopiowane, modyfikowane ani usuwane bez upoważnienia, w tym wewnętrzne zasady i procedury, systemy kontroli uprawnień, zróżnicowane uprawnienia dostępu (profile, role, transakcje i obiekty),monitorowanie i rejestrowanie dostępu, postępowanie dyscyplinarne wobec pracowników, którzy mają dostęp do danych osobowych bez uprawnień.
- Środki zapewniające, że dane osobowe nie mogą być odczytywane, kopiowane, modyfikowane lub usuwane bez upoważnienia podczas elektronicznego przesyłania, transportu lub przechowywania na nośnikach (ręcznych lub elektronicznych) i które można zweryfikować, w których firmach lub innych podmiotach prawnych dane osobowe są ujawniane, w tym szyfrowanie, logowanie, zabezpieczenie transportu. Wszystkie dane osobowe są zaszyfrowane algorytmem SHA256 w spoczynku i podlegają transferowi przez HTTPS z szyfrowaniem SHA128 i TLS 1.2.
- Środki obejmujące monitorowanie wprowadzania, modyfikacji oraz usuwania (kasowania) danych osobowych w systemach przetwarzania. Działania te są kontrolowane za pomocą systemów rejestracji i raportowania, ścieżek audytu oraz odpowiedniej dokumentacji.
- Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą (fizyczną/logiczną), w tym procedury tworzenia kopii zapasowych, zasilanie awaryjne (UPS), zdalne przechowywanie, systemy antywirusowe/firewall, plan odzyskiwania danych po awarii, plan zrównoważonego rozwoju biznesowego.
- Środki zapewniające, że dane osobowe gromadzone do różnych celów mogą być przetwarzane oddzielnie, w tym oddzielenie baz danych, ograniczenie wykorzystania, rozdzielenie funkcji (produkcja/testowanie).
Czym jest ocena skutków transferu danych?
Ocena skutków transferu danych (TIA) to analiza przeprowadzana przez administratora danych lub podmiot przetwarzający dane, mająca na celu ocenę wpływu na bezpieczeństwo transferu danych osobowych do państw spoza obszaru UE/EOG, a także do krajów, które korzystają z decyzji stwierdzającej odpowiedni stopień ochrony.