Perfect Gym - Conformità GDPR

Inviato da Adam il Sab, 09/03/2016 - 17:37
Una descrizione completa della nostra conformità al GDPR e informazioni relative alle modifiche del servizio per soddisfare tali requisiti.
Perfect Gym - Conformità GDPR

 

Il Regolamento generale sulla protezione dei dati (GDPR) è un insieme di norme complete che unificano le leggi sulla protezione dei dati in tutti gli Stati membri dell'Unione Europea. Definisce una serie estesa di diritti per i cittadini e i residenti dell'Unione Europea in merito ai loro dati personali.

Per conformarsi ai suoi requisiti, PerfectGym ha adottato i processi e i prodotti esistenti utilizzati per raccogliere e gestire i dati personali.

Il GDPR sarà applicato direttamente in tutti gli Stati membri dell'UE a partire dal 25 maggio 2018. A quel punto, tutte le modifiche richieste si rifletteranno su tutti i sistemi dei clienti di PerfectGym e sui processi aziendali interni di PerfectGym.

Modifiche interne all'azienda PerfectGym

  • PerfectGym ha condotto un audit delle informazioni per mappare i flussi di dati. È stato organizzato un audit delle informazioni in tutta l'azienda.
  • Lapolitica di protezione dei dati di PerfectGym è stata aggiornata. La politica definisce il nostro approccio alla protezione dei dati e le responsabilità per l'attuazione della politica e il monitoraggio della conformità.
  • PerfectGym ha nominato un responsabile della protezione dei dati o Data Protection Officer (DPO). Il DPO è il primo punto di contatto per tutte le questioni relative all'elaborazione e alla protezione dei dati. Questa persona controlla la conformità al GDPR e alle altre leggi sulla protezione dei dati, compresa la gestione delle attività interne di protezione dei dati, la sensibilizzazione, la formazione del personale e la conduzione di audit interni. Si prega di contattare dpo@perfectgym.com in caso di domande.
  • PerfectGym ha implementato misure tecniche e organizzative adeguate per dimostrare che la nostra azienda ha preso in considerazione e integrato la protezione dei dati nelle nostre attività di trattamento, in modo da applicare i principi della data protection by design.
  • È stata impartita una formazione sulla protezione dei dati a tutto il personale.
  • I contratti di trattamento dei dati saranno firmati/aggiornati. Quando si elaborano dati personali, PerfectGym, in quanto incaricato del trattamento, deve avere un contratto scritto tra PerfectGym e il responsabile del trattamento (un cliente di PerfectGym). Saranno aggiornati anche i contratti con i subelaboratori di PerfectGym.
  • È stato sviluppato un flusso di notifica delle violazioni. Per violazione dei dati personali si intende una violazione della sicurezza che comporta la distruzione accidentale o illegale, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o altrimenti trattati. Il GDPR impone a PerfectGym, in qualità di incaricato del trattamento, l'obbligo di informare i responsabili del trattamento di una violazione dei dati personali "senza indebito ritardo" dopo esserne venuti a conoscenza.
  • Diritto di accesso. PerfectGym ha un processo per rispondere alla richiesta di informazioni da parte del responsabile del trattamento (a seguito della richiesta di accesso ai propri dati personali da parte di un individuo).

Gli individui hanno il diritto di ottenere

  • la conferma che i loro dati vengono trattati
  • l'accesso ai propri dati personali; e
  • altre informazioni supplementari, che corrispondono in larga misura alle informazioni che un responsabile del trattamento dovrebbe fornire nelle proprie informazioni sulla privacy.

PerfectGym deve inviare al responsabile del trattamento le informazioni in un formato elettronico comunemente utilizzato come file protetto da password. Tali richieste devono essere inviate al supporto di PerfectGym.

  • Diritto alla portabilità dei dati. PerfectGym può rispondere a una richiesta del responsabile del trattamento di fornire i dati personali da noi trattati in formato elettronico. Ciò avverrà attraverso API di PerfectGym
  • Sicurezza dei dati. La nostra solida politica di sicurezza e privacy considera attentamente le questioni relative alla protezione dei dati in tutti i nostri servizi, compresi i dati inviati dai clienti ai nostri servizi. Dopo una verifica della sicurezza, la nostra organizzazione ha richiesto solo un punto: la verifica della crittografia dei dischi rigidi di PerfectGym. I controlli sulla sicurezza e sulla privacy applicabili a PerfectGym sono riportati di seguito:

Controllo della sicurezza

  • Controllo dell'accesso al sistema PerfectGym basato sui ruoli, con autorizzazioni e privilegi configurabili per singoli utenti e gruppi di utenti;
  • Whitelisting IP: consente di definire l'intervallo di indirizzi IP da cui gli utenti accederanno all'applicazione.

Procedure e registri. Autenticazione degli utenti. Crittografia dei dati

  • Le password degli utenti sono memorizzate in un formato protetto e non vengono registrate;
  • Tutti i componenti del sistema, compresi firewall, router e sistemi operativi, registrano le informazioni nei rispettivi registri di sistema per consentire analisi e revisioni della sicurezza;
  • L'accesso ai servizi PerfectGym richiede la verifica dell'identità, che viene crittografata durante la trasmissione;
  • PerfectGym utilizza prodotti di crittografia per proteggere i dati dei clienti, compresi i certificati SSL.

Sicurezza fisica

I centri dati di produzione e gli uffici utilizzati per fornire i servizi di PerfectGym sono dotati di sistemi di controllo degli accessi. Questi sistemi consentono l'accesso alle aree sicure solo al personale autorizzato (sistema di controllo degli accessi tramite scheda). Queste strutture sono progettate per resistere alle intemperie e ad altre condizioni naturali ragionevolmente prevedibili.

Affidabilità e backup

Tutti i componenti del sistema e i servizi di database sono sottoposti a backup regolari. I backup e le istantanee del sistema sono archiviati su un server separato per garantire affidabilità e prestazioni.

Modifiche ai servizi di PerfectGym

  • Gestione delle notifiche di marketing. Un utente può annullare l'iscrizione alle newsletter di marketing attraverso un link di annullamento inserito nel piè di pagina delle e-mail di marketing. Inoltre, nel Portale clienti verrà inserita una nuova funzione per la gestione degli accordi con gli utenti.
  • Registrazione del trattamento dei dati personali dei soci del club: stiamo aggiungendo informazioni sulle azioni di VISIONE dei dati personali dei soci (attualmente, registriamo le azioni di CREAZIONE e MODIFICA). Questi registri saranno inseriti in Profilo utente -> Modifiche nel PGM.
  • Rimozione di massa dei contatti dal CRM - uno strumento utile per rimuovere i contatti in stato di Rifiuto e non trattare i dati personali senza necessità.
  • Il diritto all'oblio - uno strumento per rimuovere i dati dei singoli membri. Anonimizza tutti i dati personali di un socio del club attraverso l'intero sistema.
  • Smaltimento dei dati personali - il sistema offre la possibilità di smaltire in modo sistematico e sicuro i dati personali non più necessari.
  • Ampie autorizzazioni per il trattamento dei dati personali che consentono

1) di nascondere i dati personali dalle schermate dei profili dei soci e dei clienti del club

2) nascondere i dati personali dai rapporti.

Per impostazione predefinita, i dipendenti di PerfectGym non avranno accesso ai dati personali dei soci del club. Inoltre, solo il supporto di PerfectGym può controllare temporaneamente i dati personali dei soci del club per scopi di indagine di supporto.

  • Per anonimizzare i dati CRM - lo stesso approccio dell'anonimizzazione dei dati personali in PGM.
  • Integrazioni di sistema - se si utilizza una delle integrazioni di PerfectGym menzionate di seguito, è necessario chiedere ai soci del club il consenso in quanto i loro dati personali saranno inviati alle seguenti terze parti:
    • Virtuagym
    • Milon
    • Clubplanner
    • Technogym - MyWellness

In seguito, invieremo i dati necessari per l'integrazione solo ai soci del club che hanno firmato un accordo di integrazione.

  • Profilazione dei soci - i prodotti consigliati dal POS o i prodotti preferiti saranno presto disponibili come parte del nostro nuovissimo modulo di Business Intelligence. I club devono avere un accordo firmato da un socio del club se questa profilazione sarà utilizzata. Questo può essere fatto attraverso accordi con l'utente durante il processo di adesione al Portale clienti, accordi con l'utente sul profilo del cliente nel PGM e menzionati nella clausola informativa di un club.