Ochrona danych w ABAX

Dane są najważniejszym zasobem ABAX, a ich ochrona jest naszym głównym priorytetem. Poniżej omówiono sposób, w jaki przetwarzamy dane klientów i jak zapewniamy ich trwałą ochronę.

OCHRONA DANYCH

ABAX przetwarza dane zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) i wskazaniami klienta. Nie gromadzimy, nie przechowujemy ani nie przetwarzamy danych osobowych wykraczających poza to, co jest konieczne do wykonywania naszych zadań jako administratora danych lub podmiotu przetwarzającego dane. Nasz inspektor ds. ochrony danych może odpowiedzieć na wszelkie pytania dotyczące tego, jak chronimy dane osobowe.

PROCEDURY PRZETWARZANIA DANYCH

Używamy ręcznych i automatycznych systemów do usuwania wszystkich niepotrzebnych danych i zapewnienia anonimowości danych. Nasze procedury bezpieczeństwa, systemy kontroli dostępu i narzędzia chronią Twoje dane przez cały czas

PRYWATNOŚĆ W FAZIE PROJEKTOWANIA

Nasza usługa opiera się na zasadach prywatności w fazie projektowania i prywatności chronionej domyślnie. Dane są chronione bez konieczności ingerencji ze strony użytkownika. Użytkownicy naszego serwisu nie powinni musieć nic robić, aby zapewnić bezpieczeństwo swoich danych; dane powinny być domyślnie zabezpieczone.

Anonimizacja

Anonimizacja repozytoriów danych

Anonimizacja danych, często określana jako „dezynfekcja danych”, to proces mający na celu ochronę prywatności użytkowników. Informacje w zestawach danych umożliwiające identyfikację są szyfrowane lub usuwane w celu zapewnienia anonimowości.

Dane przechowywane przez ABAX obejmują dane lokalizacji.

Uzupełnianie danych w repozytorium danych wykonuje się przy użyciu kopii zapasowych, po czym dane są anonimizowane za pomocą skryptów (po ustaleniu i weryfikacji). Repozytorium danych jest dostępne tylko dla zespołu ds. analizy danych, a dane są wykorzystywane do celów analitycznych, takich jak ulepszanie algorytmów  urządzeń śledzących.. 

Repozytorium danych składa się z następujących informacji:

  • dystansu;
  • maksymalnej prędkości;
  • czasu rozpoczęcia i zakończenia przejazdu;
  • czasu rejestracji przejazdu na naszych serwerach;
  • rodzaju przejazdu (służbowa lub prywatna);
  • numeru identyfikacyjnego kierowcy (niepowiązanego z danymi osobowymi). Informacje te służą do dostarczania następujących informacji:
    • oznaczenia firmy;
    • typu konta: konto użytkownika lub konto administratora;
    • aktywności konta;
    • ustawień języka konta;
    • daty ostatniego zalogowania;
    • daty ostatniego wylogowania;
    • interfejsu/produktu powiązanego z kontem;
    • czy flaga Pokaż stronę powitalną jest aktywna;
    • czy flaga Wymuś zresetowanie hasła jest aktywna;
    • adresu zamieszkania dla celów podatkowych;
    • czy na koncie klienta zarejestrowano jakieś przejazdy;
    • czy do konta klienta jest przypisany aktywny kierowca;
    • czy użytkownik konta klienta opuścił firmę;
    • czy dane kontaktowe są aktualne;
  • daty ostatniej modyfikacji konta;
  • ustawień przejazdów;
  • numeru identyfikacyjnego urządzenia śledzącgo;
  • numeru identyfikacyjnego głównego biura;
  • numeru identyfikacyjnego pojazdu.

Żadne dane osobowe, takie jak imiona i nazwiska, numery telefonów i adresy e-mail, nie są przesyłane do repozytorium danych.

Pozycje są anonimizowane w taki sposób, że nie można zidentyfikować adresu osoby na podstawie punktu danych ani dokładnej lokalizacji pierwotnego punktu danych. Lokalizacje punktów początkowego i końcowego przejazdu zostaną zgrupowane razem z lokalizacjami dla innych urządzeń śledzących w taki sposób, że żadna lokalizacja punktu początkowego i końcowego nie jest przyporządkowana jednemu urządzeniu śledzącemu ani nie może posłużyć zidentyfikowaniu osoby.

Szczegóły technicznie

Podróże są anonimizowane przez generowanie geohashy lokalizacji początkowych i końcowych. Geohashing polega na przekształceniu danych położenia (pary szerokości i długości geograficznej) w kod skrótu, który odpowiada prostokątowi na siatce pokrywającej mapę świata. Rozmiar siatki zależy od długości geohasha (patrz https://en.wikipedia.org/wiki/Geohash).

Proces anonimizacji jest iteracyjny i rozpoczyna się od wygenerowania geohasha o wysokiej wartości (małe prostokąty). Wartość geohasha zaczyna się od 12 (powierzchnia 7 cm2) i spada do 1 (powierzchnia 25 009 930 kilometrów kwadratowych). Jeśli w prostokącie o wartości 12 znajduje się tylko jedna karta SIM, wówczas wartość geohasha jest zmniejszana stopniowo o jeden, aż inne karty SIM znajdą się pod tym samym geohashem lub do momentu, gdy wartość geohasha wyniesie 4, reprezentując powierzchnię 762 kilometrów kwadratowych (zob. Rys. 1).

Anonimizacja jest również wykorzystywana, gdy dane o lokalizacji są sprzedawane lub udostępniane stronom trzecim, w których to przypadkach stosuje się podobne podejście do anonimizacji danych.
 

geohashing ENG

Rysunek 1 – Geohashowanie. Zielone kwadraty jako nowe pozycje (zastępują czerwone pozycje w kwadracie)

Przetwarzanie danych

Umowa o powierzenie przetwarzania danych

Oprócz naszych ogólnych warunków umów i polityki prywatności wszyscy klienci ABAX muszą podpisać umowę o powierzenie przetwarzania danych.

Dokumentacja dla wszystkich naszych rynków jest dostępna na tej stronie: https://www.abax.com/terms-and-conditions

Podwykonawcy przetwarzania w ABAX

RODO określa dwie alternatywne formy upoważnienia, które należy uzyskać od administratora danych, zanim podmiot przetwarzający może zaangażować podwykonawcę przetwarzania:

1.    Uprzednie specjalne upoważnienie do korzystania z usług podwykonawcy przetwarzania. Wybór tego upoważnienia jest odpowiedni, gdy zadania lub usługi, które podmiot przetwarzający dane wykonuje na rzecz administratora danych, mają specyficzny charakter, tj. podwykonawca jest zaangażowany w świadczenie określonych usług dla jednego lub małej grupy klientów. Powyższe zazwyczaj dotyczy sytuacji, w których rozwiązanie zapewniane przez podmiot przetwarzający dane musi być dostosowane do potrzeb administratora danych.
2.    Ogólne upoważnienie do korzystania z usług podwykonawcy przetwarzania. Wybór tego upoważnienia jest odpowiedni, gdy usługi świadczone przez podmiot przetwarzający dane na rzecz administratora danych są takie same lub zasadniczo takie same dla dużej liczby klientów. W takich przypadkach podmiot przetwarzający dane musi informować administratora danych o korzystaniu z usług podwykonawców przetwarzania i wszelkich zmianach w doborze podwykonawców przed zaangażowaniem nowego podwykonawcy. Administrator danych ma prawo w każdej chwili sprzeciwić się korzystaniu z usług niektórych podwykonawców przetwarzania.

ABAX stosuje ogólną metodę upoważnienia w przypadku klientów korzystających z naszych usług. ABAX stale rozwija i ulepsza swoje usługi. Nowa lub ulepszona funkcjonalność może wymagać skorzystania z usług nowych podwykonawców przetwarzania. Gdyby ABAX musiał uzyskać pisemną zgodę od wszystkich swoich klientów, uniemożliwiłoby to wprowadzanie nowych rozwiązań.

Zaktualizowane informacje o podwykonawcach, z których usług korzystamy, znajdują się na stronie https://www.abax.com/pl/terms-and-conditions

Prywatność

W jaki sposób dbamy o Twoją prywatność?

Proaktywność i zapobieganie

Idea prywatności w fazie projektowania podchodzi do kwestii zagrożeń dla prywatności w sposób proaktywny. Problemom należy zapobiegać, zanim się pojawią i należy podjąć kroki w celu ograniczenia potencjalnych zagrożeń, nawet zanim staną się widoczne. Złe praktyki w zakresie bezpieczeństwa i prywatności muszą zostać wcześnie rozpoznane i poprawione, zanim wyrządzą jakąkolwiek szkodę.

W tym celu konieczne jest konsekwentne egzekwowanie standardów prywatności wymaganych przez RODO. Wynika z nich wymóg przeprowadzenia oceny skutków w zakresie ochrony danych przed rozpoczęciem operacji przetwarzania. Obowiązki administratorów danych i podmiotów przetwarzających są również wyraźnie wymienione i należy ich przestrzegać. Wymaga to pełnego zaangażowania w prawidłowe wdrożenie norm.

Prywatność chroniona domyślnie

Zasada prywatności chronionej domyślnie nakazuje ochronę danych użytkowników bez konieczności ingerencji z ich strony. Osoby nie powinny musieć nic robić, aby zapewnić bezpieczeństwo swoich danych – powinny być domyślnie zabezpieczone.

Jest to ujęte w art. 25 i 32 RODO, podczas gdy inspektorom ds. ochrony danych powierzono zadanie przestrzegania tych zasad. RODO w sposób wyraźny obejmuje również trzy podstawowe elementy strategii prywatności chronionej domyślne, w tym:

określenie celu – osoby muszą zostać powiadomione, do czego będą wykorzystywane ich dane;
ograniczenie gromadzenia – gromadzenie danych osobowych musi być zgodne z prawem i przejrzyste;
minimalizacja danych – należy gromadzić jak najmniej danych i tylko do natychmiastowego przetwarzania.

Prywatność wbudowana w projekt 

Podczas opracowywania technologii, które będą wykorzystywane przez firmy i usługi online, należy dołożyć starań w celu zaprojektowania ich w taki sposób, aby ochrona prywatności pozostała integralną częścią systemu.

Nawet zanim systemy zaczną obsługiwać użytkowników końcowych, wszystkie środki ochrony prywatności muszą już zostać wdrożone. Te środki ochrony prywatności nie powinny mieć wpływu na funkcjonalność udostępnioną użytkownikom, a systemy powinny być opracowane w taki sposób, aby potencjalne błędne konfiguracje lub błędy nie pogarszały poziomu prywatności. Ponownie zasada ta jest w większości uwzględniona w art. 25 i 32, a także w kilku motywach.

Pełna funkcjonalność – suma dodatnia korzyści

Celem ochrony prywatności w fazie projektowania jest utworzenie konfiguracji, w której wszyscy interesariusze czerpią korzyści.. Podejście opiera się na założeniu, że te środki ochrony prywatności przyniosą korzyści zarówno firmom, jak i użytkownikom. Zamiast sytuacji o sumie zerowej, w której użytkownicy korzystają kosztem firm lub odwrotnie, te środki ochrony prywatności w fazie projektowania mają na celu uzyskiwanie pozytywnych efektów bez konieczności dokonywania takich kompromisów.

Kompleksowe zabezpieczenia

Bezpieczeństwo i prywatność danych należy zapewnić od momentu ich zebrania do ostatecznego zniszczenia danych. Na każdym etapie cyklu życia dane muszą być stale chronione i brane pod uwagę.

RODO jest w tym względzie szczególnie rygorystyczne. Liczne postanowienia dotyczące gromadzenia, przechowywania i niszczenia danych w pełni oddają ducha tej zasady. Celem jest zagwarantowanie, że nie ma luk w systemie ochrony danych, ponieważ ich bezpieczeństwo jest uważane za niezbędny odpowiednik prywatności.

RODO wymaga zatem zastosowania kilku metod w celu zapewnienia rozliczalności (np. poprzez prowadzenie dokumentacji) i bezpieczeństwa (anonimizacji, kontroli dostępu itp.).

Widoczność i przejrzystość 

Kluczem do rozliczalności (i zgodności z RODO) jest przejrzystość. Wszystkie zainteresowane strony, partnerzy i podmioty współpracujące w przetwarzaniu muszą zostać sprawdzone, poddane audytowi i otwarte na zewnętrzną weryfikację. Bez przejrzystości i widoczności nie ma prawdziwego sposobu na sprawdzenie, czy zasady prywatności w fazie projektowania zostały właściwie wdrożone.

Poszanowanie prywatności

Najlepszym sposobem na osiągnięcie doskonałych rezultatów we wdrażaniu strategii prywatności w fazie projektowania jest tworzenie produktów z myślą o użytkownikach końcowych. Powinny być zaprojektowane tak, aby spełniały potrzeby użytkowników i oferowały im proste sposoby kontrolowania i nadzorowania przetwarzania swoich danych.

Jak chronić prywatność podczas wprowadzania nowych funkcji?

Nawet zanim zdecydujemy się na wdrożenie nowej funkcji lub produktu, dokładnie oceniamy aspekt prywatności. W razie wątpliwości zwracamy się do naszego inspektora ds. ochrony danych i radców prawnych. Ponadto nasi testerzy oprogramowania zwracają szczególną uwagę na aspekt prywatności, a wszystkie potencjalne zagrożenia są eliminowane przed wprowadzeniem funkcji na rynek.

Privacy assistant 

Problemy z RODO zostaw nam. Ze względu na przepisy RODO Twoi pracownicy mają teraz prawo zażądać informacji o tym, jakie dane osobowe przechowujesz na ich temat, oraz wykorzystać  „prawo do bycia zapomnianym”. Niektórzy z twoich pracowników prawdopodobnie będą chcieli skorzystać z tych możliwości. Czy masz czas, aby obsłużyć wszystkie żądania swoich pracowników, czy też chcesz, abyśmy załatwili to za Ciebie? Dzięki Asystentowi Prywatności zajmiemy się większością wniosków dotyczących prywatności od Twoich pracowników, aby umożliwić Ci skoncentrowanie się na prowadzeniu zyskownej działalności.

Privacy Assistant: 
  • zapewni, by Twoja firma korzystała z produktów i usług ABAX w sposób zgodny z RODO;
  • obsłuży wnioski pracowników, aby pozwolić Ci skupić się na prowadzeniu firmy;
  • w łatwy i zgodny z wymogami sposób  poinformuje Twoich pracowników przy pomocy dokumentów dostosowanych do potrzeb Twojej firmy.

Bezpieczeństwo informacji

Bezpieczeństwo informacji jest najwyższym priorytetem w ABAX. Oto odpowiedzi na niektóre z najczęstszych pytań zadawanych przez naszych klientów na temat bezpieczeństwa informacji na naszej stronie internetowej, abax.com.

Gdzie ABAX przechowuje dane swoich klientów?

Dane klientów są naszym najcenniejszym zasobem, dlatego nasze rozwiązania przechowywania danych muszą być bezpieczne i niezawodne. Wykorzystujemy kombinację naszych własnych centrów danych i dostawców chmur publicznych. Nasze główne centrum danych znajduje się w Szwecji. Listę naszych dostawców publicznych chmur obliczeniowych można znaleźć na naszej regularnie aktualizowanej liście podwykonawców przetwarzania danych dostępnej na stronie https://www.abax.com/pl/terms-and-conditions

W jaki sposób ABAX szyfruje nasze dane, gdy są przechowywane?

Dane znajdujące się w naszym centrum danych są przechowywane na samoszyfrujących dyskach twardych, dzięki czemu Ty, jako nasz klient, możesz mieć pewność, że Twoje dane są u nas bezpieczne.

W jaki sposób ABAX szyfruje dane przesyłane klientom?

Podczas korzystania z naszych produktów za pośrednictwem przeglądarki internetowej lub naszych aplikacji cała komunikacja jest szyfrowana za pomocą standardowego w branży szyfrowania TLS. Pasek adresu przeglądarki wyświetli symbol kłódki wskazujący, że twoje połączenie jest szyfrowane.

Jakie standardy bezpieczeństwa są przestrzegane przez ABAX?

Przestrzegamy standardu dotyczącego systemów zarządzania bezpieczeństwem informacji ISO 27001. Standard ten obejmuje szereg mechanizmów kontrolnych zapewniających bezpieczne przetwarzanie danych w sposób, który nie stanowi zagrożenia dla danych naszych klientów.

Z usług których dostawców korzysta ABAX w celu przesyłania danych?

Nasz sprzęt komunikuje się za pośrednictwem sieci komórkowej operowanej przez firmę Telenor i jej globalną sieć partnerów. Wielu dostawców usług internetowych (ISP) ułatwia komunikację między naszymi klientami, a naszymi systemami za pomocą w pełni redundantnych rozwiązań. Infrastruktura ABAX jest połączona z „autostradami internetowymi” w kilku głównych punktach wymiany informacji.

W jaki sposób ABAX zapewnia bezpieczeństwo na swoich serwerach?

Aby zapewnić bezpieczeństwo naszych serwerów, zawsze konfigurujemy naszą infrastrukturę w oparciu o standardy branżowe i najlepsze praktyki. Cała infrastruktura jest aktualizowana dzięki najnowszym łatkom bezpieczeństwa wydawanym przez naszych dostawców.

Jakie procedury tworzenia kopii zapasowych są stosowane przez ABAX w odniesieniu do danych klientów?

Regularnie wykonujemy kopie zapasowe wszystkich cennych danych naszych klientów i przechowujemy je w bezpiecznym miejscu poza siedzibą firmy. Dla Ciebie, jako naszego klienta, oznacza to, że możemy odzyskać Twoje dane i zminimalizować ryzyko ich utraty w przypadku awarii.

W jaki sposób ABAX zabezpiecza dane klientów w swoich sieciach?

Aby zapewnić bezpieczeństwo naszych serwerów, stosujemy segmentację sieci, co oznacza, że dzielimy naszą sieć na mniejsze segmenty. Chroni to naszą infrastrukturę przed cyberatakami.

W jaki sposób ABAX zapewnia kontrolę dostępu do swoich serwerów i systemów?

Stosujemy powszechnie stosowaną metodę kontroli dostępu, zwaną zasadą najmniejszych uprawnień (POLP). W praktyce oznacza to, że ograniczamy dostęp do kont w naszych systemach, zapewniając im jedynie minimalny dostęp wymagany do wykonania określonych zadań. Aby zapewnić przestrzeganie zasad POLP, przeprowadzamy regularne audyty wszystkich kont i ich praw dostępu w ramach naszych procedur zgodności z ISO 27001.

Wdrożenie

Wdrożenie usługi: prawidłowa realizacja od samego początku

Określ uzasadniony cel usługi

Kiedy zaczynasz korzystać z usługi ABAX, musisz pamiętać o jej prawidłowym wdrożeniu, aby zapewnić zgodność z przepisami dotyczącymi prywatności. Oznacza to, że Twoja firma musi mieć odpowiednie podstawy prawne do przetwarzania danych, zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO), art. 6 lit. a) - f), który brzmi:

Przetwarzanie jest zgodne z prawem tylko wtedy, gdy ma zastosowanie co najmniej jeden z poniższych warunków:

a)    Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych do jednego lub więcej określonych celów.
b)    Przetwarzanie jest konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia kroków na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
c)    Przetwarzanie jest konieczne do spełnienia obowiązku prawnego, któremu podlega administrator.
d)    Przetwarzanie jest konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
e)    Przetwarzanie jest konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
f)     Przetwarzanie jest konieczne do celów uzasadnionych interesów realizowanych przez administratora lub osobę trzecią, z wyjątkiem przypadków, gdy interesy te są podrzędne w stosunku do interesów lub podstawowych praw i wolności osoby, której dane dotyczą, które wymagają ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W różnych domenach ABAX niektóre sugerowane cele mogą dotyczyć naszych klientów i być realizowane w ich interesie.

SUGEROWANE CELE DLA USŁUGI ABAX 

Dokumentacja dla organów podatkowych
Usługa ABAX Triplog została wdrożona w celu udokumentowania służbowego użytkowania pojazdów zgodnie z przepisami wydanymi przez organy podatkowe. W przypadku pojazdów do użytku komercyjnego będzie prowadzona stała dokumentacja wszystkich zakończonych przejazdów. Zostaną ustanowione procedury zapewniające zgodność z obowiązującymi przepisami.

Oddzielenie przejazdów prywatnych od służbowych do celów podatkowych
ABAX Triplog służy do oddzielania przejazdów prywatnych od przejazdów służbowych do celów podatkowych. Klasyfikacja przejazdów jest dokonywana przez kierowcę, administratora i/lub automatycznie przez system.

Zapytania klientów
Dane ABAX Triplog mogą służyć do rozwiązywania zapytań i skarg klientów. Tę czynność należy wykonać tylko po określonym zapytaniu klienta i tylko w celu rozwiązania tego konkretnego zapytania.

Bezpieczeństwo
Usługa ABAX Triplog może zostać wykorzystana do zlokalizowania pracownika, jeśli pracodawca stracił z nim kontakt i podejrzewa, że doszło do wypadku.

Fakturowanie klientów
Dane ABAX Triplog mogą służyć jako podstawa do rozliczania klientów za prowadzenie pojazdu (czas i przebieg).

Niepoprawne karty godzin pracy
ABAX Triplog może być stosowany, jeżeli istnieje konkretne podejrzenie, że karta czasu pracy jest nieprawidłowa. Pracownik, którego dotyczy problem, będzie mógł być obecny podczas kontroli, a także skorzystać z pomocy przedstawiciela pracowników lub innej osoby.

Kontrola przeglądów
Dane ABAX Triplog mogą być wykorzystywane do śledzenia okresów serwisowych pojazdu. Powiadomienia serwisowe mogą być wysyłane pocztą elektroniczną lub SMS-em z systemu.

Wydajność
Usługa ABAX Fleet Management umożliwia śledzenie bieżącej lokalizacji Twoich pojazdów. Można ją wykorzystać do skierowania pojazdu znajdującego się najbliżej zadania.

Planowanie trasy
ABAX Fleet Management umożliwia wyświetlenie na mapie wszystkich przejazdów odbytych w danym dniu. Można to wykorzystać do optymalizacji tras.

Zmniejszenie wpływu na środowisko
ABAX Driving Behaviour umożliwia ocenę kierowców pod względem zachowania podczas jazdy. Lepsze wyniki stylu jazdy zmniejszają wpływ na środowisko.

Społeczna odpowiedzialność
ABAX Driving Behaviour może służyć do wspierania kierowców w zakresie bezpieczniejszej i wydajniejszej jazdy.

Poprawa standardów jazdy
ABAX Driving Behaviour może służyć do wspierania kierowców w zakresie bezpieczniejszej i wydajniejszej jazdy, a tym samym zmniejszenia liczby wypadków.

Zmniejszenie kosztów związanych z flotą
ABAX Driving Behaviour może pomóc zoptymalizować wydajność jazdy, aby obniżyć koszty paliwa i obsługi.
 

 

SUGEROWANE CELE USŁUGI ABAX EQUIPMENT CONTROL

Identyfikacja i śledzenie
Usługa ABAX Equipment Control może służyć do lokalizowania i odzyskiwania utraconego sprzętu.

Wydajność
ABAX Equipment Control może służyć do zlokalizowania określonego sprzętu do określonego zadania.

Oszczędności
ABAX Equipment Control może służyć do rejestrowania użycia urządzeń z własnym zasilaniem. Dane te można wykorzystać w celu ograniczenia nadmiernego wykorzystania.

Fakturowanie faktycznego wykorzystania
ABAX Equipment Control może służyć do rejestrowania użycia maszyn i urządzeń z własnym zasilaniem. Dane te mogą być wykorzystane przez właściciela do wystawienia faktury klientowi na podstawie faktycznego użycia.

Fakturowanie za wykorzystanie na danym obszarze
ABAX Equipment Control może służyć do rejestrowania użycia maszyn i urządzeń z własnym zasilaniem w określonym obszarze. Dane te mogą być wykorzystane przez właściciela do wystawienia faktury klientowi na podstawie godzin użycia w ramach projektu.

Kontrola serwisowa
Dane usługi ABAX Equipment Control można wykorzystać do monitorowania usług serwisowych związanych z maszynami i urządzeniami. Powiadomienia serwisowe mogą być wysyłane pocztą elektroniczną lub SMS-em z systemu.

Rzeczy, o których należy pamiętać

Wdrażając nową usługę, która podlega środkom kontrolnym, władze zalecają, aby firma zaangażowała również pracowników na wczesnym etapie procesu. (Zazwyczaj doskonałym wyborem jest zaangażowanie członka zarządu).

Administracja firmy powinna umówić się na spotkanie z członkiem zarządu i/lub innymi odpowiednimi pracownikami w celu omówienia różnych środków kontroli, które będą monitorowane przez usługę, taką jak ABAX.

Ponadto firma musi określić cel środka kontrolnego, możliwe konsekwencje środka (np. sposób działania technologii oraz dane mierzone i zgłaszane administratorowi) oraz czas funkcjonowania środka (zwykle okres umowy).

Informacje mogą być przekazywane pracownikom ustnie lub na piśmie. W niektórych przypadkach firma może zorganizować spotkanie informacyjne, aby upewnić się, że wszyscy pracownicy zostali rzetelnie poinformowani oraz wysłuchać ich uwag.

Od naszych klientów zależy określenie celu przetwarzania, który najlepiej pasuje do ich działalności. Sugerowane cele są jedynie propozycjami; nasi klienci mogą określić inne cele, które lepiej pasują do ich wymagań.  

Każdy cel musi być zgodny z podstawą prawną określoną w RODO (art. 6 lit. a) - f)). O czym należy pamiętać? Poniżej wymieniono kluczowe kwestie, które powinny być istotne dla naszych klientów podczas określania celów i podstawy prawnej przetwarzania danych.
 

Zapamiętaj:

  • Aby przetwarzać dane osobowe, musisz mieć ważną podstawę prawną.
  • Dostępnych jest sześć podstaw prawnych przetwarzania. Żadna pojedyncza podstawa nie jest „lepsza” ani ważniejsza od innych. To, która podstawa będzie najbardziej odpowiednia, będzie zależeć od Twojego celu i relacji.
  • Większość podstaw prawnych wymaga, aby przetwarzanie było „konieczne” do realizacji określonego celu. Jeśli możesz w uzasadniony sposób osiągnąć ten sam cel bez przetwarzania, nie masz podstaw prawnych.
  • Przed rozpoczęciem przetwarzania musisz określić swoją podstawę prawną i udokumentować ją. Mamy interaktywne narzędzie, które Ci pomoże.
  • Upewnij się, że wybrana podstawa jest właściwa – nie powinno się zmieniać podstawy prawnej w późniejszym terminie bez uzasadnionego powodu. W szczególności przeniesienie zgody na inną podstawę nie jest zwykle możliwe.
  • Informacja o ochronie prywatności powinna zawierać uzasadnioną podstawę przetwarzania, a także cele przetwarzania danych.
  • Jeśli Twój cel ulegnie zmianie, możesz kontynuować przetwarzanie zgodnie z pierwotną podstawą prawną, jeśli nowy cel jest zgodny z pierwotnym celem (chyba że pierwotną podstawą prawną była udzielona zgoda).
  • Jeśli przetwarzasz specjalną kategorię danych, musisz określić zarówno podstawę prawną ogólnego przetwarzania, jak i dodatkowy warunek przetwarzania tego rodzaju danych.
  • Jeśli przetwarzasz dane o wyrokach skazujących za przestępstwa lub dane o przestępstwach, musisz określić zarówno podstawę prawną ogólnego przetwarzania, jak i dodatkowy warunek przetwarzania tego rodzaju danych.
     

Czy mogę wykorzystać dane w systemie do robienia wszystkiego, co chcę?

Wdrażając usługę ABAX, musisz dokładnie określić, do czego chcesz użyć danych. Nie możesz wykorzystywać danych i informacji, które udostępniasz, w sposób inny niż do określonego celu.

Jeśli zmienisz cel lub określisz dodatkowy, musisz odbyć kolejne spotkanie z członkiem zarządu / odpowiednim pracownikiem i upewnić się, że wszyscy pracownicy zostali odpowiednio poinformowani. Oczywiście nowy cel musi być uzasadniony i mieć wyraźny związek z podstawą prawną RODO.

Firma musi podać cel, który dokładnie opisuje, do czego dane osobowe mają być wykorzystywane, a nie do czego mogą być wykorzystywane. Innymi słowy, cel musi zostać określony i podany do wiadomości oraz nie powinien być zbyt szeroki ani niejasny. Określony cel opisuje, do czego będą wykorzystywane dane osobowe. Wykorzystywanie danych osobowych do celów innych niż określone stanowi naruszenie przepisów dotyczących ochrony prywatności.

Ocena skutków przetwarzania dancyh osobowych (DPIA)

Urząd Ochrony Danych wyjaśnia: Ocena skutków przetwarzania dla ochrony danych osobowych (Data Protection Impact Assessment – DPIA) ma na celu zapewnienie, że prywatność osób, o których dane są rejestrowane w naszym systemie, jest właściwie chroniona. Jest to obowiązek wynikający z nowych przepisów o ochronie prywatności. Artykuł 35 określa, w jakich okolicznościach należy przeprowadzić ocenę skutków dla ochrony danych, co powinna obejmować i czują odpowiedzialnością jest jej wdrożenie. 

Nasi Klienci wprowadzając ABAX do swojego przedsiębiorstwa muszą rozpatrzyć, czy należy przeprowadzić ocenę skutków przetwarzania dla ochrony danych. Przykłady sytuacji, które wymagają dokonania oceny obejmują:
-  Przetwarzanie danych dotyczących lokalizacji w połączeniu z co najmniej jednym innym kryterium
- Systematyczne zestawianie danych dotyczących lokalizacji osoby, której dane dotyczą, oraz danych o ruchu, pochodzących od operatorów telekomunikacyjnych lub przetwarzanie danych osobowych dotyczących korzystania przez abonenta z sieci telekomunikacyjnej lub usług operatora telekomunikacyjnego. (Dane wysoce osobiste i systematyczne monitorowanie)
- Przetwarzanie danych dotyczących lokalizacji w połączeniu z grupą pracowników.

W przypadku niepewności, Urząd Ochrony Danych Osobowych na stronie internetowej wyjaśnia, które operacje przetwarzania zawsze wymagają przeprowadzenia Oceny skutków dla ochrony danych.

Technologia

RODO w naszej technologii  

Wypowiedzenie i usunięcie


Wypowiedzenie skutkujące usunięciem dotyczy danych należących do klientów, którzy rozwiązują umowę i którzy nie zakupili usługi Gwarancja danych. Gwarancja danych to produkt, który klient może wykupić, aby otrzymać od nas gwarancję, że przechowujemy dane klientów w bezpiecznym miejscu już po rozwiązaniu umowy. Procedura usuwania danych może zostać wszczęta w celu objęcia wszystkich danych w ramach umowy z klientem lub tylko danych pojedynczego użytkownika/kierowcy klienta. Gdy pojedynczy użytkownik/kierowca wnioskuje o usunięcie danych, usunięte zostaną wyłącznie dane powiązane z nim. Usunięcie danych pojedynczego użytkownika odbywa się przy użyciu „Asystenta Prywatności” (patrz rysunek 1). Użytkownik określa, jakie dane należy usunąć, wypełniając formularz (firmy mogą utworzyć szablon formularza, aby uprościć użytkownikom składanie wniosku).

Po rozwiązaniu umowy z klientem wszystkie dane powiązane ze wszystkimi jego użytkownikami/kierowcami zostaną usunięte. Gdy klient wypowie umowę z nami, jego dane zostaną usunięte tylko na jego wyraźne polecenie.

W ramach dodatkowej kontroli jakości tworzymy „listę porządków” zawierającą wszystkich klientów do usunięcia. Ta lista poddawana jest kontroli, w ramach której usuwamy z listy klientów, których z jakiegoś powodu nie należy usuwać (odnowienie umowy itp.).

Gdy otrzymamy prośbę o usunięcie danych, dane powinny zostać usunięte w ciągu 30 dni. Dotyczy to zarówno usunięcia klienta, jak i usunięcia pojedynczego użytkownika.

Po rozpoczęciu usuwania korzystamy z określonej usługi, która wydaje polecenia wszystkim naszym usługom w różnych domenach. Polecenia wywołują procedurę usunięcia danych, które mogą być powiązane z osobą (dane osobowe), we wszystkich domenach dla bieżącego klienta lub użytkownika.

Przed usunięciem pozyskujemy potencjalnie wartościowe punkty danych i przetwarzamy je w naszych repozytoriach danych. Za pomocą naszych procedur repozytoriów danych anonimizujemy dane, aby nie można było ich przypisać do żadnego klienta ani użytkownika. W przyszłości planujemy zautomatyzować procesy repozytoriów danych dotyczące otrzymywania danych z urządzeń śledzących. Anonimowe dane są przechowywane do celów analitycznych, nawet jeśli zażądano ich usunięcia (zob. Anonimizacja).

termination

Rysunek 2 – Proces usuwania w związku z wypowiedzeniem