Perfect Gym - RODO (GDPR)

Dodane przez Adam - sob., 09/03/2016 - 17:58
Zmiany w usługach Perfect Gym oraz zmiany wewnętrzne wdotyczące ochrony danych osobowych RODO (GDPR)
Perfect Gym - RODO (GDPR)

RODO (GDPR) w PerfectGym

Ogólne rozporządzenie o ochronie danych osobowych (RODO) to kompleksowa regulacja, która ujednolica przepisy dotyczące ochrony danych we wszystkich państwach członkowskich Unii Europejskiej. Określa prawa obywateli i mieszkańców Unii Europejskiej w odniesieniu do ich danych osobowych.

Aby spełnić te wymagania, PerfectGym ujednolica istniejące procesy i produkty służące do gromadzenia i przetwarzania danych osobowych, tak by spełniały wymogi RODO. Rozporządzenie będzie obowiązywać bezpośrednio we wszystkich państwach członkowskich UE od 25 maja 2018 r. Do tego czasu wszystkie wymagane zmiany zostaną odzwierciedlone we wszystkich systemach klientów PerfectGym oraz w wewnętrznych procesach firmy PerfectGym.

Zmiany wewnętrzne w PerfectGym

PerfectGym przeprowadził audyt informacyjny w celu odwzorowania przepływów danych. Polityka ochrony danych w PerfectGym jest w trakcie aktualizacji. Polityka określa nasze podejście do ochrony danych wraz z odpowiedzialnością za wdrażanie polityki i monitorowanie zgodności z rozporządzeniem.

PerfectGym wyznaczyło szefa ochrony danych lub inspektora ochrony danych (DPO).

DPO jest pierwszym kontaktem dla wszystkich kwestii przetwarzania danych i ochrony danych osobowych. Osoba ta monitoruje zgodność z RODO i innymi przepisami dotyczącymi ochrony danych. Szef ochrony danych osobowych zarządza także wewnętrznymi działaniami w zakresie ochrony danych, takimi jak podnoszenie świadomości i szkolenie personelu oraz przeprowadzanie wewnętrznych audytów. W razie jakichkolwiek pytań prosimy o kontakt pod adresem dpo@perfectgym.com.

Ochrona danych z założenia

Firma PerfectGym wdrożyła odpowiednie zmiany techniczne i organizacyjne oraz zintegrowała ochronę danych osobowych z wewnętrznymi działaniami w zakresie przetwarzania danych. Uwzględniamy ochronę danych już w fazie tworzenia poszczególnych projektów, modułów lub funkcjonalności. W ten sposób spełniamy zasadę "privacy by design". 

Szkolenie z ochrony danych osobowych

Zapewniono szkolenie w zakresie świadomości ochrony danych dla całego personelu.

Umowy

Umowy dotyczące przetwarzania danych zostaną podpisane / zaktualizowane.

Podczas przetwarzania danych osobowych PerfectGym jako firma przetwarzająca dane musi posiadać pisemną umowę pomiędzy PerfectGym a kontrolerem (klient PerfectGym). Zostaną również zaktualizowane umowy z firmami przetwarzającymi dane osobowe w imieniu PerfectGym.

Procedura zgłaszania naruszeń.

Naruszenie danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. RODO nakłada na PerfectGym jako podmiot przetwarzający obowiązek poinformowania kontrolerów o naruszeniu danych osobowych "bez zbędnej zwłoki".

Prawo dostępu.

PerfectGym stworzył proces reakcji na zapytania kontrolera (po indywidualnym "żądaniu dostępu do swoich danych osobowych").

Osoby fizyczne mają prawo do uzyskania:

  • potwierdzenia, że ich dane są przetwarzane;
  • dostępu do swoich danych osobowych i
  • dodatkowych informacji - w dużej mierze odpowiadają one informacjom, które kontroler powinien podać w swoich informacjach dotyczących polityki prywatności.

PerfectGym musi wysłać kontrolerowi informacje w powszechnie używanym  formacie elektronicznym jako plik chroniony hasłem. Tego rodzaju prośby kontrolera należy przesyłać do działu wsparcia PerfectGym.

Prawo do przenoszenia danych.

PerfectGym może odpowiedzieć na prośbę kontrolera o dostarczenie danych osobowych w formacie elektronicznym, korzystając z API PerfectGym.

Ochrona danych.

Nasza polityka bezpieczeństwa i poufności dokładnie uwzględnia kwestie ochrony danych w naszych usługach, w tym dane przesyłane przez klientów do naszych usług. Po audycie bezpieczeństwa nasza organizacja wymagała wdrożenia jedynie jednego wymogu - audytu szyfrowania dysków twardych w PerfectGym. Poniżej przedstawiono zabezpieczenia związane z bezpieczeństwem i prywatnością dotyczące PerfectGym.

Kontrola bezpieczeństwa.

  • Oparta na rolach kontrola dostępu do systemu PerfectGym z konfigurowalnymi uprawnieniami dla poszczególnych użytkowników i grup użytkowników;
  • IP whitelisting - umożliwia określenie zakresu adresów IP, z których użytkownicy mogą uzyskać dostęp do aplikacji

Procedury i dzienniki. Uwierzytelnienie użytkownika. Szyfrowanie danych

  • Hasła użytkowników są przechowywane w bezpiecznym formacie i nie są rejestrowane;
  • Wszystkie elementy systemu, w tym zapory (firewall), routery i systemy operacyjne, zapisują informacje w odpowiednim dzienniku systemowym, aby umożliwić analizę bezpieczeństwa i przeglądy;
  • Dostęp do usług PerfectGym wymaga weryfikacji tożsamości, która jest szyfrowana podczas transmisji;
  • PerfectGym używa produktów szyfrujących do ochrony danych klienta, w tym certyfikatów SSL

Bezpieczeństwo fizyczne

Centra danych produkcyjnych i biura wykorzystywane do świadczenia usług PerfectGym mają systemy kontroli dostępu, dzięki którym jedynie upoważnieni pracownicy mają dostęp do bezpiecznych obszarów (system kontroli dostępu). Urządzenia te są zaprojektowane tak, aby wytrzymać niekorzystne warunki pogodowe i inne przewidywalne warunki naturalne.

Niezawodność i tworzenie kopii zapasowych

Dla wszystkich elementów systemu i usług bazy danych są regularnie tworzone kopie zapasowe. Te kopie zapasowe i migawki systemu są przechowywane na oddzielnym serwerze, aby zapewnić niezawodność i wydajność.

Zmiany w usługach PerfectGym

Zarządzanie powiadomieniami marketingowymi.

Użytkownik może zrezygnować z subskrypcji biuletynu marketingowego za pośrednictwem linku rezygnacji z subskrypcji umieszczonego w stopce biuletynu. Ponadto nowa funkcja zarządzania umowami użytkownika zostanie umieszczona w portalu klienta.

Rejestr przetwarzania danych osobowych członków klubu

Do tej pory zapisywaliśmy w systemie wszystkie zdarzenia tworzenia lub edycji danych. Od tej pory będziemy także rejestrowali zdarzenia odczytu danych (ang. view). Dzięki temu będzie możliwość wglądu w raport, kto i kiedy przeglądał profil danego użytkownika.

Lokalizacja powyższego raportu: Profil użytkownika > Zamiany w PGM.

Masowe usuwanie kontaktów z CRM

Przydatne narzędzie do usuwania potencjalnych klientów ze statusem Odrzucony i zaprzestanie przetwarzania ich danych osobowych.

Prawo do bycia zapomnianym

Narzędzie do usuwania indywidualnych danych osobowych członków.

Usuwanie danych osobowych

System zapewnia rutynowe i bezpieczne usuwanie danych osobowych, które nie są już potrzebne

Rozległe uprawnienia do przetwarzania danych osobowych, które pozwalają:

 1) ukrycie danych osobowych na widokach listy klubowiczów i profilów klubowiczów

2) Ukryć dane osobowe z raportów

Domyślnie pracownicy PerfectGym nie mają dostępu do danych osobowych członków klubu. Ponadto, tylko PerfectGym Support może tymczasowo sprawdzać dane osobowe członków klubu w celu zbadania prośby o wsparcie.

Aby anonimizować dane CRM stosuje się to samo podejście, co w przypadku anonimizacji danych osobowych w PGM.

Integracje systemów

Jeśli korzystasz z integracji PerfectGym, o której mowa poniżej, powinieneś poprosić członków klubu o zgodę, ponieważ ich dane osobowe zostaną wysłane do 3rdparties:

  • Virtuagym
  • Milon
  • Clubplanner
  • Technogym MyWellness

Następnie wyślemy dane wymagane do integracji tylko dla tych członków klubu, którzy wyrazili zgodę na wysyłanie danych do systemów w ramach integracji.

Profilowanie członków

Zalecane produkty POS / ulubione produkty będą wkrótce dostępne w ramach naszego nowego modułu Business Intelligence. Klub powinien mieć zgodę marketingową podpisaną przez członka klubu, jeśli profilowanie zostanie wykorzystane. Można to zrobić poprzez:

  • umowy użytkownika podczas dołączenia do klubu przez portal klienta, zgodach użytkownika w profilu klubowicza w PGM