Ochrona danych

Anonimizacja repozytoriów danych

Anonimizacja danych, często określana jako „dezynfekcja danych”, to proces mający na celu ochronę prywatności użytkowników. Informacje w zestawach danych umożliwiające identyfikację są szyfrowane lub usuwane w celu zapewnienia anonimowości.

Dane przechowywane przez ABAX obejmują dane lokalizacji.

Uzupełnianie danych w repozytorium danych wykonuje się przy użyciu kopii zapasowych, po czym dane są anonimizowane za pomocą skryptów (po ustaleniu i weryfikacji). Repozytorium danych jest dostępne tylko dla zespołu ds. analizy danych, a dane są wykorzystywane do celów analitycznych, takich jak ulepszanie algorytmów  urządzeń śledzących.. 

Repozytorium danych składa się z następujących informacji:

• dystansu;

• maksymalnej prędkości;

• czasu rozpoczęcia i zakończenia przejazdu;

• czasu rejestracji przejazdu na naszych serwerach;

• rodzaju przejazdu (służbowa lub prywatna);

• numeru identyfikacyjnego kierowcy (niepowiązanego z danymi osobowymi). Informacje te służą do dostarczania następujących informacji:

  • oznaczenia firmy;

  • typu konta: konto użytkownika lub konto administratora;

  • aktywności konta;

  • ustawień języka konta;

  • daty ostatniego zalogowania;

  • daty ostatniego wylogowania;

  • interfejsu/produktu powiązanego z kontem;

  • czy flaga Pokaż stronę powitalną jest aktywna;

  • czy flaga Wymuś zresetowanie hasła jest aktywna;

  • adresu zamieszkania dla celów podatkowych;

  • czy na koncie klienta zarejestrowano jakieś przejazdy;

  • czy do konta klienta jest przypisany aktywny kierowca;

  • czy użytkownik konta klienta opuścił firmę;

  • czy dane kontaktowe są aktualne;

• daty ostatniej modyfikacji konta;

• ustawień przejazdów;

• numeru identyfikacyjnego urządzenia śledzącgo;

• numeru identyfikacyjnego głównego biura;

• numeru identyfikacyjnego pojazdu.

Żadne dane osobowe, takie jak imiona i nazwiska, numery telefonów i adresy e-mail, nie są przesyłane do repozytorium danych.

Pozycje są anonimizowane w taki sposób, że nie można zidentyfikować adresu osoby na podstawie punktu danych ani dokładnej lokalizacji pierwotnego punktu danych. Lokalizacje punktów początkowego i końcowego przejazdu zostaną zgrupowane razem z lokalizacjami dla innych urządzeń śledzących w taki sposób, że żadna lokalizacja punktu początkowego i końcowego nie jest przyporządkowana jednemu urządzeniu śledzącemu ani nie może posłużyć zidentyfikowaniu osoby.

Szczegóły technicznie

Podróże są anonimizowane przez generowanie geohashy lokalizacji początkowych i końcowych. Geohashing polega na przekształceniu danych położenia (pary szerokości i długości geograficznej) w kod skrótu, który odpowiada prostokątowi na siatce pokrywającej mapę świata. Rozmiar siatki zależy od długości geohasha (patrz https://en.wikipedia.org/wiki/Geohash).

Proces anonimizacji jest iteracyjny i rozpoczyna się od wygenerowania geohasha o wysokiej wartości (małe prostokąty). Wartość geohasha zaczyna się od 12 (powierzchnia 7 cm2) i spada do 1 (powierzchnia 25 009 930 kilometrów kwadratowych). Jeśli w prostokącie o wartości 12 znajduje się tylko jedna karta SIM, wówczas wartość geohasha jest zmniejszana stopniowo o jeden, aż inne karty SIM znajdą się pod tym samym geohashem lub do momentu, gdy wartość geohasha wyniesie 4, reprezentując powierzchnię 762 kilometrów kwadratowych (zob. Rys. 1).

Anonimizacja jest również wykorzystywana, gdy dane o lokalizacji są sprzedawane lub udostępniane stronom trzecim, w których to przypadkach stosuje się podobne podejście do anonimizacji danych.

Umowa o powierzenie przetwarzania danych

Oprócz naszych ogólnych warunków umów i polityki prywatności wszyscy klienci ABAX muszą podpisać umowę o powierzenie przetwarzania danych.

Dokumentacja dla wszystkich naszych rynków jest dostępna na tej stronie: https://www.abax.com/terms-and-conditions

Podwykonawcy przetwarzania w ABAX

RODO określa dwie alternatywne formy upoważnienia, które należy uzyskać od administratora danych, zanim podmiot przetwarzający może zaangażować podwykonawcę przetwarzania:

1.    Uprzednie specjalne upoważnienie do korzystania z usług podwykonawcy przetwarzania. Wybór tego upoważnienia jest odpowiedni, gdy zadania lub usługi, które podmiot przetwarzający dane wykonuje na rzecz administratora danych, mają specyficzny charakter, tj. podwykonawca jest zaangażowany w świadczenie określonych usług dla jednego lub małej grupy klientów. Powyższe zazwyczaj dotyczy sytuacji, w których rozwiązanie zapewniane przez podmiot przetwarzający dane musi być dostosowane do potrzeb administratora danych.
2.    Ogólne upoważnienie do korzystania z usług podwykonawcy przetwarzania. Wybór tego upoważnienia jest odpowiedni, gdy usługi świadczone przez podmiot przetwarzający dane na rzecz administratora danych są takie same lub zasadniczo takie same dla dużej liczby klientów. W takich przypadkach podmiot przetwarzający dane musi informować administratora danych o korzystaniu z usług podwykonawców przetwarzania i wszelkich zmianach w doborze podwykonawców przed zaangażowaniem nowego podwykonawcy. Administrator danych ma prawo w każdej chwili sprzeciwić się korzystaniu z usług niektórych podwykonawców przetwarzania.

ABAX stosuje ogólną metodę upoważnienia w przypadku klientów korzystających z naszych usług. ABAX stale rozwija i ulepsza swoje usługi. Nowa lub ulepszona funkcjonalność może wymagać skorzystania z usług nowych podwykonawców przetwarzania. Gdyby ABAX musiał uzyskać pisemną zgodę od wszystkich swoich klientów, uniemożliwiłoby to wprowadzanie nowych rozwiązań.

Zaktualizowane informacje o podwykonawcach, z których usług korzystamy, znajdują się na stronie https://www.abax.com/pl/legal/terms-and-conditions

How is privacy handled in your service? Proactivity and Prevention

Privacy by design approaches the issues of privacy risks in a proactive manner. The issues must be prevented before they occur, and steps should be taken to mitigate the potential risks even before they become apparent. Poor security and privacy practices must also be recognized and improved early, before they do any harm.

This requires a commitment to consistently enforce privacy standards that are required by the GDPR. This is covered by the requirement to conduct data protection impact assessments before commencing with processing operations. The responsibilities of data controllers and processors are also clearly listed and must be followed. This requires a thorough commitment for proper implementation.

Privacy as the Default 

The principle of privacy by default mandates that the users’ data must be protected without requiring their input. Individuals should not have to do anything in order to ensure their data is safe – it should be safe by default.

This is covered in Articles 25 and 32 of the GDPR, while DPOs are tasked with ensuring these rules are adhered to. The GDPR also prominently includes the three basic elements of privacy as the default, including:

Purpose specification – individuals must be notified what their data will be used for

Collection limitation – collection of personal data must be lawful and transparent

Data minimisation – as little data as possible should be collected, and only for immediate processing purposes.

Privacy Embedded into the Design 

During the creation of technologies that will be used by companies and online services, due care must be taken to design them in such a way that privacy protection remains an integral part of the system.

Even before the systems reach the end-users, all good privacy protection measures must already be in place. Functionality for users should be unaffected by these privacy protection measures, and systems should be made in such a way that potential misconfigurations or errors do not degrade privacy. Again, this principle is mostly covered in Articles 25 and 32, along with several Recitals.

Full Functionality – Positive-Sum 

The aim of privacy by design is to create a win-win situation for all stakeholders. The idea is that these privacy protection measures will create benefits both for the companies and for the users. Instead of a zero-sum situation, where users can only benefit at the companies’ expense and vice versa, these privacy by design measures aim to create positive net effects without making these trade-offs.

End-to-End Security 

Security and privacy of data must be ensured from the point of collection to the eventual destruction of data. At every point of the data lifecycle, it must be continuously protected and accounted for.

The GDPR is notably very prescriptive in this regard. Its many provisions on data collection, storage and destruction fully capture the spirit of this rule. The aim is to ensure there are no gaps in data security, as security is considered an essential counterpart to privacy.

Thus, the GDPR requires the use of several methods for ensuring accountability (such as record-keeping) and security (anonymization, access controls etc.).

Visibility and Transparency 

The key to accountability (and GDPR compliance) is transparency. All stakeholders, partners and coprocessors must be vetted, audited and open to external verification. Without transparency and visibility, there is no real way to ascertain whether the privacy by design principles have been implemented properly.

Respect for Privacy 

The best way to achieve great result in implementing privacy by design features is to create products with end-users in mind. They should be designed to meet the users’ needs and include simple possibilities for them to control and oversee how their data is processed.

How do you secure privacy when introducing new features?

Even before we decide to implement a new feature or product we evaluate the privacy aspect thoroughly. We seek help from our DPO and from legal advisors (law firms) when in doubt. In addition our software testers pay extra attention to the privacy aspect, and all potential risks are closed before a feature are launched to the market.

Privacy assistant 

Leave your GDPR hassle with us. Due to GDPR regulations, your employees now have the right to request what personal data you hold about them and the ‘right to be forgotten’. Some of your employees will probably ask you about this. Do you have time to handle all your employees requests, or do you want us to handle it for you? With the Privacy Assistant, we will handle most of the privacy dialogue with your employees, so you can focus on running a profitable business.

The Privacy Assistant will: 

• Ensure your company is using ABAX products and services in a way that  keeps you GDPR compliant

• Handle employee requests, so you can focus on running your business 

• Inform your employees in an easy and compliant way with customized  documents specific to your business

Bezpieczeństwo informacji jest najwyższym priorytetem w ABAX. Oto odpowiedzi na niektóre z najczęstszych pytań zadawanych przez naszych klientów na temat bezpieczeństwa informacji na naszej stronie internetowej, abax.com.

Gdzie ABAX przechowuje dane swoich klientów?

Dane klientów są naszym najcenniejszym zasobem, dlatego nasze rozwiązania przechowywania danych muszą być bezpieczne i niezawodne. Wykorzystujemy kombinację naszych własnych centrów danych i dostawców chmur publicznych. Nasze główne centrum danych znajduje się w Szwecji. Listę naszych dostawców publicznych chmur obliczeniowych można znaleźć na naszej regularnie aktualizowanej liście podwykonawców przetwarzania danych dostępnej na stronie https://www.abax.com/pl/terms-and-conditions

W jaki sposób ABAX szyfruje nasze dane, gdy są przechowywane?

Dane znajdujące się w naszym centrum danych są przechowywane na samoszyfrujących dyskach twardych, dzięki czemu Ty, jako nasz klient, możesz mieć pewność, że Twoje dane są u nas bezpieczne.

W jaki sposób ABAX szyfruje dane przesyłane klientom?

Podczas korzystania z naszych produktów za pośrednictwem przeglądarki internetowej lub naszych aplikacji cała komunikacja jest szyfrowana za pomocą standardowego w branży szyfrowania TLS. Pasek adresu przeglądarki wyświetli symbol kłódki wskazujący, że twoje połączenie jest szyfrowane.

Jakie standardy bezpieczeństwa są przestrzegane przez ABAX?

Przestrzegamy standardu dotyczącego systemów zarządzania bezpieczeństwem informacji ISO 27001. Standard ten obejmuje szereg mechanizmów kontrolnych zapewniających bezpieczne przetwarzanie danych w sposób, który nie stanowi zagrożenia dla danych naszych klientów.

Z usług których dostawców korzysta ABAX w celu przesyłania danych?

Nasz sprzęt komunikuje się za pośrednictwem sieci komórkowej operowanej przez firmę Telenor i jej globalną sieć partnerów. Wielu dostawców usług internetowych (ISP) ułatwia komunikację między naszymi klientami, a naszymi systemami za pomocą w pełni redundantnych rozwiązań. Infrastruktura ABAX jest połączona z „autostradami internetowymi” w kilku głównych punktach wymiany informacji.

W jaki sposób ABAX zapewnia bezpieczeństwo na swoich serwerach?

Aby zapewnić bezpieczeństwo naszych serwerów, zawsze konfigurujemy naszą infrastrukturę w oparciu o standardy branżowe i najlepsze praktyki. Cała infrastruktura jest aktualizowana dzięki najnowszym łatkom bezpieczeństwa wydawanym przez naszych dostawców.

Jakie procedury tworzenia kopii zapasowych są stosowane przez ABAX w odniesieniu do danych klientów?

Regularnie wykonujemy kopie zapasowe wszystkich cennych danych naszych klientów i przechowujemy je w bezpiecznym miejscu poza siedzibą firmy. Dla Ciebie, jako naszego klienta, oznacza to, że możemy odzyskać Twoje dane i zminimalizować ryzyko ich utraty w przypadku awarii.

W jaki sposób ABAX zabezpiecza dane klientów w swoich sieciach?

Aby zapewnić bezpieczeństwo naszych serwerów, stosujemy segmentację sieci, co oznacza, że dzielimy naszą sieć na mniejsze segmenty. Chroni to naszą infrastrukturę przed cyberatakami.

W jaki sposób ABAX zapewnia kontrolę dostępu do swoich serwerów i systemów?

Stosujemy powszechnie stosowaną metodę kontroli dostępu, zwaną zasadą najmniejszych uprawnień (POLP). W praktyce oznacza to, że ograniczamy dostęp do kont w naszych systemach, zapewniając im jedynie minimalny dostęp wymagany do wykonania określonych zadań. Aby zapewnić przestrzeganie zasad POLP, przeprowadzamy regularne audyty wszystkich kont i ich praw dostępu w ramach naszych procedur zgodności z ISO 27001.

Wdrożenie usługi: prawidłowa realizacja od samego początkuOkreśl uzasadniony cel usługi

Kiedy zaczynasz korzystać z usługi ABAX, musisz pamiętać o jej prawidłowym wdrożeniu, aby zapewnić zgodność z przepisami dotyczącymi prywatności. Oznacza to, że Twoja firma musi mieć odpowiednie podstawy prawne do przetwarzania danych, zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO), art. 6 lit. a) - f), który brzmi:

Przetwarzanie jest zgodne z prawem tylko wtedy, gdy ma zastosowanie co najmniej jeden z poniższych warunków:

a)    Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie jej danych osobowych do jednego lub więcej określonych celów.
b)    Przetwarzanie jest konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia kroków na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
c)    Przetwarzanie jest konieczne do spełnienia obowiązku prawnego, któremu podlega administrator.
d)    Przetwarzanie jest konieczne w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
e)    Przetwarzanie jest konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
f)     Przetwarzanie jest konieczne do celów uzasadnionych interesów realizowanych przez administratora lub osobę trzecią, z wyjątkiem przypadków, gdy interesy te są podrzędne w stosunku do interesów lub podstawowych praw i wolności osoby, której dane dotyczą, które wymagają ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W różnych domenach ABAX niektóre sugerowane cele mogą dotyczyć naszych klientów i być realizowane w ich interesie.

SUGEROWANE CELE DLA USŁUGI ABAX 

Dokumentacja dla organów podatkowych
Usługa ABAX Triplog została wdrożona w celu udokumentowania służbowego użytkowania pojazdów zgodnie z przepisami wydanymi przez organy podatkowe. W przypadku pojazdów do użytku komercyjnego będzie prowadzona stała dokumentacja wszystkich zakończonych przejazdów. Zostaną ustanowione procedury zapewniające zgodność z obowiązującymi przepisami.

Oddzielenie przejazdów prywatnych od służbowych do celów podatkowych
ABAX Triplog służy do oddzielania przejazdów prywatnych od przejazdów służbowych do celów podatkowych. Klasyfikacja przejazdów jest dokonywana przez kierowcę, administratora i/lub automatycznie przez system.

Zapytania klientów
Dane ABAX Triplog mogą służyć do rozwiązywania zapytań i skarg klientów. Tę czynność należy wykonać tylko po określonym zapytaniu klienta i tylko w celu rozwiązania tego konkretnego zapytania.

Bezpieczeństwo
Usługa ABAX Triplog może zostać wykorzystana do zlokalizowania pracownika, jeśli pracodawca stracił z nim kontakt i podejrzewa, że doszło do wypadku.

Fakturowanie klientów
Dane ABAX Triplog mogą służyć jako podstawa do rozliczania klientów za prowadzenie pojazdu (czas i przebieg).

Niepoprawne karty godzin pracy
ABAX Triplog może być stosowany, jeżeli istnieje konkretne podejrzenie, że karta czasu pracy jest nieprawidłowa. Pracownik, którego dotyczy problem, będzie mógł być obecny podczas kontroli, a także skorzystać z pomocy przedstawiciela pracowników lub innej osoby.

Kontrola przeglądów
Dane ABAX Triplog mogą być wykorzystywane do śledzenia okresów serwisowych pojazdu. Powiadomienia serwisowe mogą być wysyłane pocztą elektroniczną lub SMS-em z systemu.

Wydajność
Usługa ABAX Fleet Management umożliwia śledzenie bieżącej lokalizacji Twoich pojazdów. Można ją wykorzystać do skierowania pojazdu znajdującego się najbliżej zadania.

Planowanie trasy
ABAX Fleet Management umożliwia wyświetlenie na mapie wszystkich przejazdów odbytych w danym dniu. Można to wykorzystać do optymalizacji tras.

Zmniejszenie wpływu na środowisko
ABAX Driving Behaviour umożliwia ocenę kierowców pod względem zachowania podczas jazdy. Lepsze wyniki stylu jazdy zmniejszają wpływ na środowisko.

Społeczna odpowiedzialność
ABAX Driving Behaviour może służyć do wspierania kierowców w zakresie bezpieczniejszej i wydajniejszej jazdy.

Poprawa standardów jazdy
ABAX Driving Behaviour może służyć do wspierania kierowców w zakresie bezpieczniejszej i wydajniejszej jazdy, a tym samym zmniejszenia liczby wypadków.

Zmniejszenie kosztów związanych z flotą
ABAX Driving Behaviour może pomóc zoptymalizować wydajność jazdy, aby obniżyć koszty paliwa i obsługi.
 

SUGEROWANE CELE USŁUGI ABAX EQUIPMENT CONTROL

Identyfikacja i śledzenie
Usługa ABAX Equipment Control może służyć do lokalizowania i odzyskiwania utraconego sprzętu.

Wydajność
ABAX Equipment Control może służyć do zlokalizowania określonego sprzętu do określonego zadania.

Oszczędności
ABAX Equipment Control może służyć do rejestrowania użycia urządzeń z własnym zasilaniem. Dane te można wykorzystać w celu ograniczenia nadmiernego wykorzystania.

Fakturowanie faktycznego wykorzystania
ABAX Equipment Control może służyć do rejestrowania użycia maszyn i urządzeń z własnym zasilaniem. Dane te mogą być wykorzystane przez właściciela do wystawienia faktury klientowi na podstawie faktycznego użycia.

Fakturowanie za wykorzystanie na danym obszarze
ABAX Equipment Control może służyć do rejestrowania użycia maszyn i urządzeń z własnym zasilaniem w określonym obszarze. Dane te mogą być wykorzystane przez właściciela do wystawienia faktury klientowi na podstawie godzin użycia w ramach projektu.

Kontrola serwisowa
Dane usługi ABAX Equipment Control można wykorzystać do monitorowania usług serwisowych związanych z maszynami i urządzeniami. Powiadomienia serwisowe mogą być wysyłane pocztą elektroniczną lub SMS-em z systemu.

Rzeczy, o których należy pamiętać

Wdrażając nową usługę, która podlega środkom kontrolnym, władze zalecają, aby firma zaangażowała również pracowników na wczesnym etapie procesu. (Zazwyczaj doskonałym wyborem jest zaangażowanie członka zarządu).

Administracja firmy powinna umówić się na spotkanie z członkiem zarządu i/lub innymi odpowiednimi pracownikami w celu omówienia różnych środków kontroli, które będą monitorowane przez usługę, taką jak ABAX.

Ponadto firma musi określić cel środka kontrolnego, możliwe konsekwencje środka (np. sposób działania technologii oraz dane mierzone i zgłaszane administratorowi) oraz czas funkcjonowania środka (zwykle okres umowy).

Informacje mogą być przekazywane pracownikom ustnie lub na piśmie. W niektórych przypadkach firma może zorganizować spotkanie informacyjne, aby upewnić się, że wszyscy pracownicy zostali rzetelnie poinformowani oraz wysłuchać ich uwag.

Od naszych klientów zależy określenie celu przetwarzania, który najlepiej pasuje do ich działalności. Sugerowane cele są jedynie propozycjami; nasi klienci mogą określić inne cele, które lepiej pasują do ich wymagań.  

Każdy cel musi być zgodny z podstawą prawną określoną w RODO (art. 6 lit. a) - f)). O czym należy pamiętać? Poniżej wymieniono kluczowe kwestie, które powinny być istotne dla naszych klientów podczas określania celów i podstawy prawnej przetwarzania danych.
 

Zapamiętaj:

• Aby przetwarzać dane osobowe, musisz mieć ważną podstawę prawną.

• Dostępnych jest sześć podstaw prawnych przetwarzania. Żadna pojedyncza podstawa nie jest „lepsza” ani ważniejsza od innych. To, która podstawa będzie najbardziej odpowiednia, będzie zależeć od Twojego celu i relacji.

• Większość podstaw prawnych wymaga, aby przetwarzanie było „konieczne” do realizacji określonego celu. Jeśli możesz w uzasadniony sposób osiągnąć ten sam cel bez przetwarzania, nie masz podstaw prawnych.

• Przed rozpoczęciem przetwarzania musisz określić swoją podstawę prawną i udokumentować ją. Mamy interaktywne narzędzie, które Ci pomoże.

• Upewnij się, że wybrana podstawa jest właściwa – nie powinno się zmieniać podstawy prawnej w późniejszym terminie bez uzasadnionego powodu. W szczególności przeniesienie zgody na inną podstawę nie jest zwykle możliwe.

• Informacja o ochronie prywatności powinna zawierać uzasadnioną podstawę przetwarzania, a także cele przetwarzania danych.

• Jeśli Twój cel ulegnie zmianie, możesz kontynuować przetwarzanie zgodnie z pierwotną podstawą prawną, jeśli nowy cel jest zgodny z pierwotnym celem (chyba że pierwotną podstawą prawną była udzielona zgoda).

• Jeśli przetwarzasz specjalną kategorię danych, musisz określić zarówno podstawę prawną ogólnego przetwarzania, jak i dodatkowy warunek przetwarzania tego rodzaju danych.

• Jeśli przetwarzasz dane o wyrokach skazujących za przestępstwa lub dane o przestępstwach, musisz określić zarówno podstawę prawną ogólnego przetwarzania, jak i dodatkowy warunek przetwarzania tego rodzaju danych.
   

Czy mogę wykorzystać dane w systemie do robienia wszystkiego, co chcę?

Wdrażając usługę ABAX, musisz dokładnie określić, do czego chcesz użyć danych. Nie możesz wykorzystywać danych i informacji, które udostępniasz, w sposób inny niż do określonego celu.

Jeśli zmienisz cel lub określisz dodatkowy, musisz odbyć kolejne spotkanie z członkiem zarządu / odpowiednim pracownikiem i upewnić się, że wszyscy pracownicy zostali odpowiednio poinformowani. Oczywiście nowy cel musi być uzasadniony i mieć wyraźny związek z podstawą prawną RODO.

Firma musi podać cel, który dokładnie opisuje, do czego dane osobowe mają być wykorzystywane, a nie do czego mogą być wykorzystywane. Innymi słowy, cel musi zostać określony i podany do wiadomości oraz nie powinien być zbyt szeroki ani niejasny. Określony cel opisuje, do czego będą wykorzystywane dane osobowe. Wykorzystywanie danych osobowych do celów innych niż określone stanowi naruszenie przepisów dotyczących ochrony prywatności.

Urząd Ochrony Danych wyjaśnia: Ocena skutków przetwarzania dla ochrony danych osobowych (Data Protection Impact Assessment – DPIA) ma na celu zapewnienie, że prywatność osób, o których dane są rejestrowane w naszym systemie, jest właściwie chroniona. Jest to obowiązek wynikający z nowych przepisów o ochronie prywatności. Artykuł 35 określa, w jakich okolicznościach należy przeprowadzić ocenę skutków dla ochrony danych, co powinna obejmować i czują odpowiedzialnością jest jej wdrożenie. 

RODO w naszej technologii  Wypowiedzenie i usunięcie

Wypowiedzenie skutkujące usunięciem dotyczy danych należących do klientów, którzy rozwiązują umowę i którzy nie zakupili usługi Gwarancja danych. Gwarancja danych to produkt, który klient może wykupić, aby otrzymać od nas gwarancję, że przechowujemy dane klientów w bezpiecznym miejscu już po rozwiązaniu umowy. Procedura usuwania danych może zostać wszczęta w celu objęcia wszystkich danych w ramach umowy z klientem lub tylko danych pojedynczego użytkownika/kierowcy klienta. Gdy pojedynczy użytkownik/kierowca wnioskuje o usunięcie danych, usunięte zostaną wyłącznie dane powiązane z nim. Usunięcie danych pojedynczego użytkownika odbywa się przy użyciu „Asystenta Prywatności” (patrz rysunek 1). Użytkownik określa, jakie dane należy usunąć, wypełniając formularz (firmy mogą utworzyć szablon formularza, aby uprościć użytkownikom składanie wniosku).

Po rozwiązaniu umowy z klientem wszystkie dane powiązane ze wszystkimi jego użytkownikami/kierowcami zostaną usunięte. Gdy klient wypowie umowę z nami, jego dane zostaną usunięte tylko na jego wyraźne polecenie.

W ramach dodatkowej kontroli jakości tworzymy „listę porządków” zawierającą wszystkich klientów do usunięcia. Ta lista poddawana jest kontroli, w ramach której usuwamy z listy klientów, których z jakiegoś powodu nie należy usuwać (odnowienie umowy itp.).

Gdy otrzymamy prośbę o usunięcie danych, dane powinny zostać usunięte w ciągu 30 dni. Dotyczy to zarówno usunięcia klienta, jak i usunięcia pojedynczego użytkownika.

Po rozpoczęciu usuwania korzystamy z określonej usługi, która wydaje polecenia wszystkim naszym usługom w różnych domenach. Polecenia wywołują procedurę usunięcia danych, które mogą być powiązane z osobą (dane osobowe), we wszystkich domenach dla bieżącego klienta lub użytkownika.

Przed usunięciem pozyskujemy potencjalnie wartościowe punkty danych i przetwarzamy je w naszych repozytoriach danych. Za pomocą naszych procedur repozytoriów danych anonimizujemy dane, aby nie można było ich przypisać do żadnego klienta ani użytkownika. W przyszłości planujemy zautomatyzować procesy repozytoriów danych dotyczące otrzymywania danych z urządzeń śledzących. Anonimowe dane są przechowywane do celów analitycznych, nawet jeśli zażądano ich usunięcia (zob. Anonimizacja).

https://www.abax.com/pl/legal/cookies