Perfect Gym - Zgodność z GDPR

 

Ogólne rozporządzenie o ochronie danych (z ang.  GDPR) to zbiór kompleksowych przepisów ujednolicających przepisy o ochronie danych osobowych we wszystkich państwach członkowskich Unii Europejskiej. Definiuje ono rozszerzony zestaw praw dla obywateli i mieszkańców Unii Europejskiej w zakresie ich danych osobowych.

Aby spełnić wymagania GDPR, Perfect Gym zaadaptował istniejące procesy i produkty wykorzystywane do gromadzenia i przetwarzania danych osobowych.

GDPR będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE od 25 maja 2018 roku. Do tego czasu wszystkie wymagane zmiany zostaną odzwierciedlone we wszystkich systemach klientów Perfect Gym i wewnętrznych procesach firmy Perfect Gym.

Zmiany wewnątrz firmy Perfect Gym

• Perfect Gym przeprowadził audyt informacyjny, aby zmapować przepływy danych. Audyt informacyjny został zorganizowany wokół naszej działalności.
• Polityka ochrony danych Perfect Gym została zaktualizowana. Polityka określa nasze podejście do ochrony danych, a także obowiązki związane z wdrażaniem polityki i monitorowaniem jej przestrzegania.
• Firma Perfect Gym wyznaczyła osobę odpowiedzialną za ochronę danych lub Inspektora Ochrony Danych (z ang.  DPO). DPO jest osobą pierwszego kontaktu we wszystkich sprawach związanych z przetwarzaniem i ochroną danych. Osoba ta monitoruje zgodność z GDPR i innymi przepisami dotyczącymi ochrony danych, w tym zarządza wewnętrznymi działaniami związanymi z ochroną danych, podnoszeniem świadomości, szkoleniem pracowników i przeprowadzaniem wewnętrznych audytów. W razie jakichkolwiek pytań prosimy o kontakt pod adresem dpo@perfectgym.com.
• Perfect Gym wdrożyła odpowiednie środki techniczne i organizacyjne, aby wykazać, że nasza firma uwzględnia i integruje ochronę danych z działaniami związanymi z przetwarzaniem danych, a więc stosuje zasady ochrony danych od samego początku działalności.
• Przeprowadzono szkolenie w zakresie ochrony danych dla wszystkich pracowników.
• Umowy dotyczące przetwarzania danych zostaną podpisane/uaktualnione. Podczas przetwarzania danych osobowych Perfect Gym jako podmiot przetwarzający musi mieć podpisaną umowę pomiędzy Perfect Gym a administratorem danych (klientem Perfect Gym). Umowy z innymi kontrahentami Perfect Gym również zostaną zaktualizowane.
• Opracowano przepływ powiadomień o naruszeniach. Naruszenie danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób. GDPR nakłada na Perfect Gym jako podmiot przetwarzający obowiązek informowania administratorów o naruszeniu ochrony danych osobowych "bez zbędnej zwłoki" po uzyskaniu o nim informacji.
• Prawo dostępu. Perfect Gym posiada proces odpowiadania na wniosek administratora danych o udzielenie informacji (po złożeniu przez osobę fizyczną wniosku o dostęp do jej danych osobowych).

Osoby fizyczne mają prawo do uzyskania:

• potwierdzenia, że ich dane są przetwarzane;
• dostępu do swoich danych osobowych; 
• innych informacji uzupełniających - w dużej mierze odpowiada to informacjom, które administrator powinien podać w swojej informacji o ochronie prywatności.

Perfect Gym musi przesłać administratorowi te informacje w powszechnie używanym formacie elektronicznym jako plik zabezpieczony hasłem. Takie prośby należy kierować do punktu pomocy Perfect Gym.

• Prawo do przenoszenia danych. Perfect Gym może odpowiedzieć na prośbę administratora o dostarczenie przetwarzanych przez nas danych osobowych w formie elektronicznej. Będzie się to odbywało poprzez interfejs Perfect Gym API
• Bezpieczeństwo danych. Nasza solidna polityka bezpieczeństwa i prywatności dokładnie analizuje kwestie ochrony danych w ramach naszych usług, w tym danych przekazywanych nam przez użytkowników. Po przeprowadzeniu audytu bezpieczeństwa nasza organizacja wymagała tylko jednej zmiany - audytu szyfrowania dysków twardych w Perfect Gym. Poniżej znajdują się kontrole związane z bezpieczeństwem i prywatnością, które mają zastosowanie w Perfect Gym:

Kontrola bezpieczeństwa

• Kontrola dostępu do systemu Perfect Gym oparta na rolach, z możliwością konfigurowania uprawnień i przywilejów dla poszczególnych użytkowników i grup użytkowników;
• Biała lista bezpiecznych adresów IP (z ang. whitelist) - umożliwia określenie zakresu adresów IP, z których użytkownicy będą mieli dostęp do aplikacji.

Procedury i dzienniki. Uwierzytelnianie użytkowników. Szyfrowanie danych

• Hasła użytkowników są przechowywane w zabezpieczonym formacie i nie są rejestrowane;
• Wszystkie elementy systemu - w tym zapory sieciowe, routery i systemy operacyjne - rejestrują informacje w odpowiednich miejscach w celu umożliwienia analizy i przeglądu bezpieczeństwa;
• Dostęp do usług Perfect Gym wymaga weryfikacji tożsamości, która jest zaszyfrowana podczas transmisji;
• Perfect Gym używa produktów szyfrujących do ochrony Danych Klienta, w tym certyfikatów SSL.

Bezpieczeństwo fizyczne

Produkcyjne centra danych i biura wykorzystywane do świadczenia usług Perfect Gym posiadają systemy kontroli dostępu. Systemy te pozwalają na dostęp do zabezpieczonych obszarów tylko upoważnionemu personelowi (system kontroli dostępu za pomocą kart). Obiekty te są zaprojektowane w taki sposób, aby były odporne na niekorzystne warunki pogodowe i inne racjonalnie, przewidywalne zagrożenia naturalne.

Niezawodność i kopie zapasowe

Wszystkie komponenty systemu i usługi bazodanowe są regularnie archiwizowane. Te kopie zapasowe i migawki (z ang. snapshot) systemu są przechowywane na oddzielnym serwerze, aby zapewnić niezawodność i wydajność.

Zmiany w usługach Perfect Gym

• Zarządzanie powiadomieniami marketingowymi. Użytkownik może zrezygnować z subskrypcji newsletterów marketingowych poprzez link rezygnacji umieszczony w stopce maila marketingowego. Dodatkowo w Portalu Klienta pojawi się nowa funkcja do zarządzania umowami z użytkownikami.

• Rejestrowanie przetwarzania danych osobowych klubowiczów - dodajemy informację o opcji PODGLĄD w zakresie danych osobowych klientów (obecnie rejestrowane są działania TWÓRZ i EDYTUJ). Te możliwości będą dostępne w zakładce Profil Użytkownika -> Zmiany w PGM.

• Masowe usuwanie kontaktów z CRM - przydatne narzędzie do usuwania leadów o statusie "odrzucony" oraz "nie przetwarzaj danych osobowych bez potrzeby".

• Prawo do bycia zapomnianym - narzędzie do usuwania danych poszczególnych klientów. Anonimizuje wszystkie dane osobowe klubowicza w całym systemie.

• Pozbywanie się danych osobowych - system umożliwia rutynowe i bezpieczne pozbywanie się danych osobowych, które nie są już potrzebne.

• Szerokie uprawnienia do przetwarzania danych osobowych, które pozwalają na:

1) ukrywanie danych osobowych i ekranów profili klientów

2) ukrywanie danych osobowych w raportach.

W konsekwencji pracownicy Perfect Gym nie będą mieli dostępu do danych osobowych klubowiczów. Co więcej, tylko pomoc Perfect Gym będzie mogła tymczasowo sprawdzać dane osobowe klubowiczów w celach związanych z dochodzeniem w sprawie pomocy technicznej.

• Anonimizacja danych CRM - takie samo podejście do anonimizacji danych osobowych jak w przypadku oprogramowania PGM.
• Integracje z systemami - jeśli korzystasz z którejkolwiek z wymienionych poniżej integracji Perfect Gym, powinieneś poprosić klubowiczów o zgodę, ponieważ ich dane osobowe będą przesyłane do następujących podmiotów trzecich:
  • Virtuagym
  • Milon
  • Clubplanner
  • Technogym - MyWellness

Następnie wyślemy dane wymagane do integracji tylko do tych klubowiczów, którzy podpisali umowę integracyjną.

• Profilowanie klubowiczów - produkty polecane przez punkty sprzedaży (z ang. POS)/ulubione produkty będą dostępne już wkrótce w ramach naszego nowego modułu Inteligencji Biznesowej. Jeśli chcesz zastosować takie profilowanie - najpierw powinieneś mieć podpisaną przez klienta umowę. Można to zrobić za pomocą umowy z użytkownikiem (podpisywanej podczas procesu dołączania do klubu w Portalu Klienta).  Umowy znajdują się w Profilu Klienta w systemie PGM, są też wspomniane w klauzuli informacyjnej klubu.