Perfect Gym - соответствие требованиям GDPR

Опубликовано Adam - сб, 09/03/2016 - 17:37
Полный перечень наших требований по соблюдению GDPR и информация, связанная с изменениями в обслуживании для выполнения этих требований.
Perfect Gym - соответствие требованиям GDPR

 

Общий регламент по защите данных (GDPR) - это набор комплексных нормативных актов, которые унифицируют законы о защите данных во всех странах-членах Европейского союза. Он определяет расширенный набор прав для граждан и резидентов Европейского союза в отношении их персональных данных.

Чтобы соответствовать его требованиям, компания PerfectGym приняла существующие процессы и продукты, используемые для сбора и обработки персональных данных.

GDPR будет непосредственно применяться во всех странах-членах ЕС с 25 мая 2018 года. К этому времени все необходимые изменения будут отражены во всех клиентских системах PerfectGym и внутренних процессах компании PerfectGym.

Внутренние изменения в компании PerfectGym

  • Компания PerfectGym провела информационный аудит, чтобы составить карту потоков данных. Информационный аудит был организован вокруг нашего бизнеса.
  • Обновлена политика защиты данных PerfectGym. Политика определяет наш подход к защите данных, а также обязанности по реализации политики и контролю за ее соблюдением.
  • ВPerfectGym назначен ответственный за защиту данных или Data Protection Officer (DPO). DPO является первым контактным лицом по всем вопросам обработки и защиты данных. Это лицо следит за соблюдением GDPR и других законов о защите данных, включая управление внутренней деятельностью по защите данных, повышение осведомленности, обучение персонала и проведение внутренних аудитов. В случае возникновения вопросов обращайтесь по адресу dpo@perfectgym.com.
  • PerfectGym внедрил соответствующие технические и организационные меры, чтобы показать, что наша компания рассмотрела и интегрировала защиту данных в нашу деятельность по обработке данных, таким образом, применяются принципы защиты данных при проектировании.
  • Для всех сотрудников было проведено обучение по вопросам защиты данных.
  • Подписаны/обновлены контракты на обработку данных. При обработке персональных данных PerfectGym как обработчик должен иметь письменный договор между PerfectGym и контроллером (клиентом PerfectGym). Также будут обновлены контракты с субпроцессорами PerfectGym.
  • Был разработан поток уведомлений о нарушении. Нарушение персональных данных означает нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, переданным, сохраненным или обработанным иным способом. GDPR возлагает на PerfectGym как на обработчика обязанность информировать контролеров о нарушении персональных данных "без неоправданной задержки" после того, как им стало об этом известно.
  • Право доступа. PerfectGym имеет процедуру ответа на запрос контроллера о предоставлении информации (после запроса физического лица о доступе к его личным данным).

Физические лица имеют право на получение:

  • подтверждение того, что их данные обрабатываются;
  • доступ к своим персональным данным; и
  • другую дополнительную информацию - это в основном соответствует информации, которую контроллер должен предоставить в своей информации о конфиденциальности.

PerfectGym должен отправить контроллеру информацию в общепринятом электронном формате в виде защищенного паролем файла. Такие запросы следует направлять в службу поддержки PerfectGym.

  • Право на перенос данных. PerfectGym может ответить на запрос контроллера о предоставлении обрабатываемых нами персональных данных в электронном формате. Это может быть сделано через API PerfectGym
  • Безопасность данных. Наша надежная политика безопасности и конфиденциальности тщательно рассматривает вопросы защиты данных во всех наших сервисах, включая данные, предоставленные клиентами нашим сервисам. После аудита безопасности нашей организации потребовался только один пункт - проверка шифрования жестких дисков в PerfectGym. Ниже приведены меры безопасности и контроля конфиденциальности, применимые к PerfectGym:

Контроль безопасности

  • Ролевой контроль доступа к системе PerfectGym с настраиваемыми разрешениями и привилегиями для отдельных пользователей и групп пользователей;
  • Белые списки IP-адресов - позволяет определить диапазон IP-адресов, с которых пользователи будут получать доступ к приложению.

Процедуры и журналы. Аутентификация пользователей. Шифрование данных

  • Пароли пользователей хранятся в защищенном формате и не записываются в журнал;
  • Все системные компоненты, включая брандмауэры, маршрутизаторы и операционные системы, записывают информацию в соответствующие системные журналы, чтобы обеспечить анализ и проверку безопасности;
  • Доступ к услугам PerfectGym требует проверки личности, которая шифруется при передаче;
  • PerfectGym использует средства шифрования для защиты данных клиентов, включая сертификаты SSL.

Физическая безопасность

Производственные центры обработки данных и офисы, используемые для предоставления услуг PerfectGym, оснащены системами контроля доступа. Эти системы позволяют только авторизованному персоналу иметь доступ в защищенные зоны (система контроля доступа по карточкам). Эти объекты спроектированы таким образом, чтобы противостоять неблагоприятным погодным и другим достаточно предсказуемым природным условиям.

Надежность и резервное копирование

Все компоненты системы и службы базы данных регулярно резервируются. Эти резервные копии и снимки системы хранятся на отдельном сервере для обеспечения надежности и производительности.

Изменения в услугах PerfectGym

  • Управление маркетинговыми уведомлениями. Пользователь может отписаться от маркетинговых рассылок с помощью ссылки на отказ от подписки, размещенной в нижнем колонтитуле маркетинговых писем. Кроме того, на клиентском портале будет размещена новая функция управления пользовательскими соглашениями.
  • Регистрация обработки персональных данных членов клуба - мы добавляем информацию о действии VIEW над персональными данными членов клуба (в настоящее время мы регистрируем действия CREATE и EDIT). Эти журналы будут размещены в разделе Профиль пользователя -> Изменения в PGM.
  • Массовое удаление контактов из CRM - полезный инструмент для удаления лидов в статусе Отклонение и не обрабатывать персональные данные без необходимости.
  • Право на забвение - инструмент для удаления индивидуальных данных пользователя. Анонимизация всех персональных данных члена клуба через всю систему.
  • Утилизация персональных данных - система предоставляет возможность планово и безопасно утилизировать персональные данные, которые больше не нужны
  • Широкие полномочия по обработке персональных данных, которые позволяют

1) скрывать персональные данные с экранов профилей членов клуба и клиентов

2) скрывать персональные данные из отчетов.

По умолчанию сотрудники PerfectGym не имеют доступа к персональным данным членов клуба. Более того, только служба поддержки PerfectGym может временно проверять личные данные членов клуба в целях расследования запросов службы поддержки.

  • Для анонимизации данных CRM - тот же подход, что и анонимизация персональных данных в PGM.
  • Системные интеграции - если вы используете любую из упомянутых ниже интеграций PerfectGym, вы должны спросить согласия членов клуба, так как их личные данные будут отправлены следующим третьим лицам:
    • Virtuagym
    • Milon
    • Clubplanner
    • Technogym - MyWellness

Затем мы отправим данные, необходимые для интеграции, только тем членам клуба, которые подписали соглашение об интеграции.

  • Профилирование членов клуба - рекомендованные POS продукты/любимые продукты будут доступны в ближайшее время как часть нашего совершенно нового модуля Business Intelligence. Клубы должны иметь соглашение, подписанное членом клуба, если это профилирование будет использоваться. Это может быть сделано через пользовательские соглашения во время процесса присоединения на Портале клиентов, пользовательские соглашения в профиле клиента в PGM и упомянуто в информационном положении клуба.