RODO: FAQ – odpowiedzi na najczęściej zadawane pytania

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH (RODO) - FAQ

Szanowni Klienci,

W niniejszym dokumencie zebraliśmy najczęściej pojawiające się pytania, w związku z wchodzącym w życie 25 maja 2018 roku Rozporządzeniem o Ochronie Danych Osobowych (RODO). Jeśli macie Państwo pytanie, na które ten dokument nie odpowiada, prosimy o przesłanie go do naszego Serwisu Klienta: kontakt@abax.net.pl

Potrzebujesz pomocy z RODO?

Dzięki usłudze Privacy Assistant, ABAX poradzi sobie z większością zapytań pracowników dotyczących prywatności, dzięki czemu możesz skoncentrować się na swojej firmie. Privacy Assistant oferuje:

  • Bezpieczeństwo, że Twoja firma korzysta z produktów ABAX w sposób zapewniający zgodność z RODO
  • Obsługę zgłoszeń od pracowników, dzięki czemu możesz zaoszczędzić czas i skupić się na prowadzeniu swojego biznesu
  • Łatwy i zgodny z przepisami sposób informowania Twoich pracowników, dzięki dokumentom dostosowanym do Twojej firmy

Jeśli uznasz, że RODO jest dla Ciebie zbyt skomplikowane i czasochłonne, z przyjemnością ułatwimy Ci zadanie dzięki naszej usłudze Privacy Assistant.

W jaki sposób ABAX przygotowuje się do RODO?

ABAX jest na zaawansowanym etapie wdrażania i dostosowywania procedur oraz systemów do wymogów zapisanych w RODO. Ogólne warunki świadczenia usług oraz zaktualizowana umowa powierzenia przetwarzania danych dla naszych usług, zostały dostarczone naszym Klientom 25 kwietnia 2018 (na miesiąc przed wejściem nowych regulacji w życie).

Czy otrzymamy od ABAX zaktualizowaną umowę powierzenia przetwarzania danych?

W związku z RODO, zaktualizowaliśmy umowy o powierzeniu przetwarzania danych oraz ogólne warunki świadczenia naszych usług. Aktualizacje te, zostały dostarczone naszym Klientom 25 kwietnia 2018 roku. Datą wejścia zmian w życie będzie 25 maja 2018.

Czy ja, jako Klient, mogę przesłać ABAX swój ‘standardowy’ formularz umowy o powierzeniu przetwarzania danych do podpisania?

Niektórzy Klienci przesłali nam własne umowy o powierzenie przetwarzania danych, by objąć nimi nasze usługi. Jednak ze względu na ich ustandaryzowaną formę, ich zapisy rzadko odnoszą się do pełnego zakresu naszych usług i w niewystarczającym zakresie regulują przetwarzanie danych osobowych.

Ogólne warunki świadczenia usług dla zaktualizowanej umowy o powierzenie przetwarzania danych, będą zgodne z wymogami RODO. Ze względu na bliską wzajemną zależność naszych usług, warunków świadczenia usług oraz umową o powierzenie przetwarzania danych, bardzo istotnym jest, aby warunki te były szczegółowo określone.

W związku z tym, żadna z przesłanych nam umów o powierzenie przetwarzania danych nie może być przez nas podpisana. Stosowana powinna być umowa powierzenia przetwarzania danych wg naszego wzoru.

Jakie zmiany w umowie wprowadza ABAX, aby dostosować się do nowych regulacji?

Weryfikujemy zapisy naszych warunków świadczenia usług oraz umowy o powierzenie przetwarzania danych i nanosimy niezbędne korekty, tak aby spełnić wymagania nowych przepisów i zapewnić ujęcie w zapisach wszystkich koniecznych zmian.

Czy ABAX posiada kontrolę dostępu chroniącą nasze dane osobowe? 

Stosujemy kontrolę dostępu spełniającą standardowe wymogi branży, posiadającą certyfikację zgodną z ISO 27001 Zarządzanie Bezpieczeństwem Informacji. Tym niemniej, kontrola dostępu zostanie zweryfikowana, aby zapewnić spełnienie wszystkich wymogów nowych przepisów.

Czy ABAX przygotuje dla pracowników swoich Klientów oświadczenie o zachowaniu poufności informacji?

Wydamy oświadczenie o zachowaniu poufności przetwarzania danych w przypadkach, w których pełnimy rolę administratora danych. Ponadto, naszym celem jest przygotowanie szablonu polityki zachowania poufności danych, który będzie mógł stanowić dla naszych Klientów podstawę do sformułowania własnych oświadczeń o zachowaniu poufności, w związku ze świadczonymi przez nas usługami (ponieważ to nasi Klienci pełnią rolę administratorów danych).

Czy ABAX zaplanował dalsze kroki wzmacniające bezpieczeństwo danych?

Wzmacnianie bezpieczeństwa danych prowadzimy na bieżąco i będziemy kontynuować te działania w przyszłości. Będziemy działać zgodnie z nowymi ramami regulacyjnymi i wykorzystywać nowoczesne rozwiązania technologiczne.

Czy ABAX posiada podwykonawców, którzy będą mieć dostęp do danych?

ABAX AS (Norwegia) korzysta z podwykonawców przy realizacji niektórych działań operacyjnych i rozwojowych. Ci podwykonawcy mają dostęp do danych osobowych. Umowy o powierzenie przetwarzania danych zawarte pomiędzy podwykonawcami i ABAX AS będą zgodne z RODO.

Dla spółek zależnych ABAX AS, (jeśli jako Klient posiadacie Państwo umowę ze spółką zależną ABAX AS) ABAX AS będzie pełnić rolę podwykonawcy dla danej spółki zależnej i będzie związany umową o powierzenie przetwarzania danych zgodną z RODO.
Spółkami zależnymi ABAX AS w Europie są:
• ABAX Sweden AB
• ABAX Danmark A/S
• ABAX Finland Oy
• ABAX UK Ltd.
• ABAX Nederland B.V.
• ABAX Poland sp. z o.o.
• ABAX Deutschland GMBH
• ABAX Performance AS
• ABAX Technology AS

Czy ABAX przekazuje nasze dane osobowe do krajów spoza UE/EOG i certyfikowanych krajów trzecich? 

Dane są przetwarzane na obszarze UE/EOG, z wyjątkiem przypadków, gdy ABAX AS korzysta z usług swojej spółki zależnej w Chinach (ABAX China Ltd.) w zakresie dostawy niektórych usług. Oznacza to, że niektórzy pracownicy ABAX China Ltd. mają dostęp do danych osobowych poprzez systemy ABAX AS. ABAX AS zapewni wprowadzenie właściwych umów, zanim RODO wejdzie w życie.

Czy ABAX przetwarza dla swoich Klientów wrażliwe dane osobowe?

Nie pytamy w imieniu Klienta o wrażliwe dane osobowe. Dane wrażliwe mogą być wprowadzone do systemu przez samego Klienta lub innych użytkowników mających dostęp do systemu w imieniu Klienta; nie jest to przez nas nadzorowane.

Jakie czynności podejmuje ABAX, aby spełnić wobec Klientów obowiązek notyfikacyjny? 

Procedury alarmowe dotyczące bezpieczeństwa informacji funkcjonują w ABAX, w ramach naszej certyfikacji ISO 27001.Procedury te są weryfikowane na bieżąco, aby zapewnić zgodność z wymogami nowych ram regulacyjnych. 

Na jakie inne aspekty, mające na nas wpływ jako Klientów ABAX, powinniśmy zwrócić uwagę w związku z RODO? 

Nowe warunki świadczenia usług oraz umowa o powierzenie przetwarzania danych zostaną dostarczone naszym Klientom do 25 kwietnia 2018 roku.

Wprowadzone zmiany muszą zostać zaakceptowane przez Klienta. Dla większości Klientów, proces akceptacji będzie przeprowadzony przez administratora, bezpośrednio po zalogowaniu do systemu.

Gdzie ABAX przechowuje dane?

Wszystkie dane są obecnie przechowywane na serwerach ABAX AS zlokalizowanych w Karlstad w Szwecji. Serwery ABAX znajdują się na terenie Unii Europejskiej/Europejskiego Obszaru Gospodarczego. 

Jakie dane osobowe są przechowywane?

Odpowiedź na to pytanie zależy od rodzaju usługi ABAX używanej przez Klienta i rodzaju danych osobowych, które Klient wprowadził do systemu.

Czy użytkownik mógł wprowadzić do systemu dane osobowe?

Kontrolę nad tym sprawuje Klient (jako administrator danych), nie ABAX (jako podmiot przetwarzający dane).

Czy użytkownik jest informowany o gromadzeniu / rejestrowaniu danych osobowych?

ABAX (jako podmiot przetwarzający dane) nie sprawuje kontroli nad tym, czy użytkownik został poinformowany o gromadzeniu czy rejestrowaniu danych. Jest to obowiązek Klienta (jako administratora danych).

Czy użytkownicy wiedzą, gdzie przechowywane są ich dane osobowe?

Kontrolę nad tym sprawuje Klient (jako administrator danych), nie ABAX (jako podmiot przetwarzający dane).

Czy istnieją procedury usuwania danych osobowych? Czy są one udokumentowane? Gdzie przechowywana jest ta dokumentacja?

Nowe procedury i procesy zgodne z nowymi regulacjami są opracowywane. Procedury postępowania będą przechowywane w naszym wewnętrznym systemie zarządzania jakością.

W przypadku usuwania danych, ABAX jako podmiot przetwarzający dane dla systemów ABAX, postępuje zgodnie ze wskazaniami Klientów (jako administratorów danych).

Czy brane są pod uwagę aspekty ochrony prywatności? Czy przeprowadzana jest analiza ryzyka i podatności na zagrożenia? Gdzie przechowywana jest dokumentacja? 

Ocena konsekwencji dla ochrony prywatności, a także analizy ryzyka i podatności na zagrożenia zgodnie z nowymi przepisami, są kluczowym elementem prac przygotowawczych ABAX przed wprowadzeniem nowych ram regulacyjnych.
Procedury postępowania będą przechowywane w naszym wewnętrznym systemie zarządzania jakością.

Czy pliki dziennika rejestru ABAX zawierają spis nazw użytkowników i czynności dokonanych przez nich w systemie?

Aby móc, zgodnie z zawartymi umowami, zapewnić wsparcie naszym Klientom, ABAX posiada dzienniki rejestru zawierające informacje o tym, kiedy użytkownik został utworzony, kto utworzył użytkownika i dane jego logowania, włącznie z godziną i adresem IP. Nie ma rejestru czynności dokonanych przez użytkownika. Rejestrujemy czynności dokonane w systemie przez administratora.

Jakie informacje związane z RODO będziemy otrzymywać od ABAX i kiedy można się ich spodziewać? 

Zaktualizujemy umowy o powierzenie przetwarzania danych oraz ogólne warunki świadczenia naszych usług. Aktualizacje te zostaną dostarczone naszym Klientom do 25 kwietnia 2018 roku.