Perfect Gym - Zgodność z GDPR

Dodane przez Adam - sob., 09/03/2016 - 17:37
Pełne zestawienie naszych działań zgodnych z GDPR oraz informacje dotyczące zmian w usługach w celu spełnienia tych wymogów.
Perfect Gym - Zgodność z GDPR

 

Ogólne rozporządzenie o ochronie danych (z ang.  GDPR) to zbiór kompleksowych przepisów ujednolicających przepisy o ochronie danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. Definiuje ono rozszerzony zestaw praw dla obywateli i mieszkańców Unii Europejskiej w zakresie ich danych osobowych.

Aby spełnić wymagania GDPR, PerfectGym zaadaptował istniejące procesy i produkty wykorzystywane do gromadzenia i przetwarzania danych osobowych.

GDPR będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE od 25 maja 2018 roku. Do tego czasu wszystkie wymagane zmiany zostaną odzwierciedlone we wszystkich systemach klientów PerfectGym i wewnętrznych procesach firmy PerfectGym.

Zmiany wewnątrz firmy PerfectGym

  • PerfectGym przeprowadził audyt informacyjny, aby zmapować przepływy danych. Audyt informacyjny został zorganizowany wokół naszej działalności.
  • Polityka ochrony danych PerfectGym została zaktualizowana. Polityka określa nasze podejście do ochrony danych, a także obowiązki związane z wdrażaniem polityki i monitorowaniem jej przestrzegania.
  • Firma PerfectGym wyznaczyła osobę odpowiedzialną za ochronę danych lub Inspektora Ochrony Danych (z ang.  DPO). DPO jest osobą pierwszego kontaktu we wszystkich sprawach związanych z przetwarzaniem i ochroną danych. Osoba ta monitoruje zgodność z GDPR i innymi przepisami dotyczącymi ochrony danych, w tym zarządza wewnętrznymi działaniami związanymi z ochroną danych, podnoszeniem świadomości, szkoleniem pracowników i przeprowadzaniem wewnętrznych audytów. W razie jakichkolwiek pytań prosimy o kontakt pod adresem dpo@perfectgym.com.
  • PerfectGym wdrożyła odpowiednie środki techniczne i organizacyjne, aby wykazać, że nasza firma uwzględnia i integruje ochronę danych z działaniami związanymi z przetwarzaniem danych, a więc stosuje zasady ochrony danych od samego początku działalności.
  • Przeprowadzono szkolenie w zakresie ochrony danych dla wszystkich pracowników.
  • Umowy dotyczące przetwarzania danych zostaną podpisane/uaktualnione. Podczas przetwarzania danych osobowych PerfectGym jako podmiot przetwarzający musi mieć podpisaną umowę pomiędzy PerfectGym a administratorem danych (klientem PerfectGym). Umowy z innymi kontrahentami PerfectGym również zostaną zaktualizowane.
  • Opracowano przepływ powiadomień o naruszeniach. Naruszenie danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. GDPR nakłada na PerfectGym jako podmiot przetwarzający obowiązek informowania administratorów o naruszeniu ochrony danych osobowych "bez zbędnej zwłoki" po uzyskaniu o nim informacji.
  • Prawo dostępu. PerfectGym posiada proces odpowiadania na wniosek administratora danych o udzielenie informacji (po złożeniu przez osobę fizyczną wniosku o dostęp do jej danych osobowych).

Osoby fizyczne mają prawo do uzyskania:

  • potwierdzenia, że ich dane są przetwarzane;
  • dostępu do swoich danych osobowych; 
  • innych informacji uzupełniających - w dużej mierze odpowiada to informacjom, które administrator powinien podać w swojej informacji o ochronie prywatności.

PerfectGym musi przesłać administratorowi te informacje w powszechnie używanym formacie elektronicznym jako plik zabezpieczony hasłem. Takie prośby należy kierować do punktu pomocy PerfectGym.

  • Prawo do przenoszenia danych. PerfectGym może odpowiedzieć na prośbę administratora o dostarczenie przetwarzanych przez nas danych osobowych w formie elektronicznej. Będzie się to odbywało poprzez interfejs PerfectGym API
  • Bezpieczeństwo danych. Nasza solidna polityka bezpieczeństwa i prywatności dokładnie analizuje kwestie ochrony danych w ramach naszych usług, w tym danych przekazywanych nam przez użytkowników. Po przeprowadzeniu audytu bezpieczeństwa nasza organizacja wymagała tylko jednej zmiany - audytu szyfrowania dysków twardych w PerfectGym. Poniżej znajdują się kontrole związane z bezpieczeństwem i prywatnością, które mają zastosowanie w PerfectGym:

Kontrola bezpieczeństwa

  • Kontrola dostępu do systemu PerfectGym oparta na rolach, z możliwością konfigurowania uprawnień i przywilejów dla poszczególnych użytkowników i grup użytkowników;
  • Biała lista bezpiecznych adresów IP (z ang. whitelist) - umożliwia określenie zakresu adresów IP, z których użytkownicy będą mieli dostęp do aplikacji.

Procedury i dzienniki. Uwierzytelnianie użytkowników. Szyfrowanie danych

  • Hasła użytkowników są przechowywane w zabezpieczonym formacie i nie są rejestrowane;
  • Wszystkie elementy systemu - w tym zapory sieciowe, routery i systemy operacyjne - rejestrują informacje w odpowiednich miejscach w celu umożliwienia analizy i przeglądu bezpieczeństwa;
  • Dostęp do usług PerfectGym wymaga weryfikacji tożsamości, która jest zaszyfrowana podczas transmisji;
  • PerfectGym używa produktów szyfrujących do ochrony Danych Klienta, w tym certyfikatów SSL.

Bezpieczeństwo fizyczne

Produkcyjne centra danych i biura wykorzystywane do świadczenia usług PerfectGym posiadają systemy kontroli dostępu. Systemy te pozwalają na dostęp do zabezpieczonych obszarów tylko upoważnionemu personelowi (system kontroli dostępu za pomocą kart). Obiekty te są zaprojektowane w taki sposób, aby były odporne na niekorzystne warunki pogodowe i inne racjonalnie, przewidywalne zagrożenia naturalne.

Niezawodność i kopie zapasowe

Wszystkie komponenty systemu i usługi bazodanowe są regularnie archiwizowane. Te kopie zapasowe i migawki (z ang. snapshot) systemu są przechowywane na oddzielnym serwerze, aby zapewnić niezawodność i wydajność.

Zmiany w usługach PerfectGym

  • Zarządzanie powiadomieniami marketingowymi. Użytkownik może zrezygnować z subskrypcji newsletterów marketingowych poprzez link rezygnacji umieszczony w stopce maila marketingowego. Dodatkowo w Portalu Klienta pojawi się nowa funkcja do zarządzania umowami z użytkownikami.
  • Rejestrowanie przetwarzania danych osobowych klubowiczów - dodajemy informację o opcji PODGLĄD w zakresie danych osobowych klientów (obecnie rejestrowane są działania TWÓRZ i EDYTUJ). Te możliwości będą dostępne w zakładce Profil Użytkownika -> Zmiany w PGM.
  • Masowe usuwanie kontaktów z CRM - przydatne narzędzie do usuwania leadów o statusie "odrzucony" oraz "nie przetwarzaj danych osobowych bez potrzeby".
  • Prawo do bycia zapomnianym - narzędzie do usuwania danych poszczególnych klientów. Anonimizuje wszystkie dane osobowe klubowicza w całym systemie.
  • Pozbywanie się danych osobowych - system umożliwia rutynowe i bezpieczne pozbywanie się danych osobowych, które nie są już potrzebne.
  • Szerokie uprawnienia do przetwarzania danych osobowych, które pozwalają na:

1) ukrywanie danych osobowych i ekranów profili klientów

2) ukrywanie danych osobowych w raportach.

W konsekwencji pracownicy PerfectGym nie będą mieli dostępu do danych osobowych klubowiczów. Co więcej, tylko pomoc PerfectGym będzie mogła tymczasowo sprawdzać dane osobowe klubowiczów w celach związanych z dochodzeniem w sprawie pomocy technicznej.

  • Anonimizacja danych CRM - takie samo podejście do anonimizacji danych osobowych jak w przypadku oprogramowania PGM.
  • Integracje z systemami - jeśli korzystasz z którejkolwiek z wymienionych poniżej integracji PerfectGym, powinieneś poprosić klubowiczów o zgodę, ponieważ ich dane osobowe będą przesyłane do następujących podmiotów trzecich:
    • Virtuagym
    • Milon
    • Clubplanner
    • Technogym - MyWellness

Następnie wyślemy dane wymagane do integracji tylko do tych klubowiczów, którzy podpisali umowę integracyjną.

  • Profilowanie klubowiczów - produkty polecane przez punkty sprzedaży (z ang. POS)/ulubione produkty będą dostępne już wkrótce w ramach naszego nowego modułu Inteligencji Biznesowej. Jeśli chcesz zastosować takie profilowanie - najpierw powinieneś mieć podpisaną przez klienta umowę. Można to zrobić za pomocą umowy z użytkownikiem (podpisywanej podczas procesu dołączania do klubu w Portalu Klienta).  Umowy znajdują się w Profilu Klienta w systemie PGM, są też wspomniane w klauzuli informacyjnej klubu.