Ochrona danych osobowych

z dnia 2018.05.24

§ 1

UnionNet jako podmiot pretwarzający dane

UnionNet występuje w charakterze podmiotu przetwarzającego, kiedy przetwarza dane osobowe w imieniu administratora. Klienci mają największe oczekiwania wobec UnionNet właśnie w tym zakresie.

To typowy przypadek, kiedy klient korzysta z usług firmy UnionNet i przechowuje dane osobowe na jego serwerach. UnionNet, w miarę swoich możliwości technicznych, będzie przetwarzało dane w imieniu klienta i wyłącznie zgodnie z jego instrukcjami.

Zobowiązania firmy UnionNet występującej w charakterze podmiotu przetwarzającego

UnionNet jako podmiot przetwarzający (procesor) zobowiązuje się do:

  • przetwarzania danych wyłącznie do celów związanych z właściwą realizacją usług: UnionNet w żadnym przypadku nie będzie przetwarzać Twoich danych w innych celach (np. marketingowych, etc.);
  • nieprzekazywania danych klienta poza obszar UE ani poza terytorium krajów uznanych przez Komisję Europejską za kraje gwarantujące wystarczający poziom ochrony danych;
  • informowania klienta o każdym przypadku korzystania z usług podwykonawców, którzy mogliby przetwarzać dane osobowe klienta: aktualnie dane przechowywane są na serwerach firmy OVH, a więc zgodnie z RODO nasz dostawca OVH występuje w roli podprocesora. Z polityką prywatności firmy OVH można się zapoznać tutaj;
  • stosowania najwyższych standardów bezpieczeństwa w celu maksymalnego zabezpieczenia usług;
  • powiadamiania klienta w jak najszybszym terminie o przypadkach naruszenia ochrony danych osobowych;
  • udzielania wsparcia klientowi w zakresie przestrzegania obowiązków ustawowych poprzez dostarczenie odpowiedniej dokumentacji dotyczącej usług OVH.

FAQ: UnionNet jako podmiot przetwarzający dane

Kto jest właścicielem danych osobowych przetwarzanych i przechowywanych przez klientów w ramach usług UnionNet?
Dane klientów w ramach usług UnionNet pozostają ich własnością.
UnionNet może uzyskać dostęp do tych danych i nimi operować tylko i wyłącznie, gdy jest to niezbędne do realizacji usług określonych w umowie.
UnionNet nie ma prawa odsprzedawać danych klienta ani wykorzystywać ich do własnych celów, takich jak np. eksploracja danych (ang. data mining), tworzenie profilów klientów czy marketing bezpośredni.
W jakich przypadkach firma UnionNet może mieć dostęp do danych przechowywanych i przetwarzanych przez klienta w ramach świadczonych usług?
UnionNet ma dostęp do danych klienta wyłącznie w dwóch przypadkach:
  • w związku z potrzebami wynikającymi z realizacji usług, w szczególności celem zapewnienia wsparcia dla klientów kontaktujących się z pomocą techniczną UnionNet. W tym przypadku dostęp do danych klientów jest ściśle ograniczony zgodnie z polityką kontroli i bezpieczeństwa UnionNet;
  • w związku z koniecznością wywiązania się z obowiązku prawnego w odpowiedzi na wnioski organów sądowych i/lub administracyjnych.

Dostęp do danych klienta w przypadku udzielania wsparcia technicznego:

Kiedy klient kontaktuje się z działem wsparcia technicznego UnionNet, konsultant ma prawo skorzystać z dostępu do jego danych w dwóch sytuacjach. Po pierwsze zapoznaje się z danymi klienta wprowadzonymi w jego koncie UnionNet (nazwisko, imię, numer telefonu, adres e-mail, itp.) w celu weryfikacji tożsamości rozmówcy oraz przetworzenia zgłoszenia klienta.

Po drugie, wyłącznie na wyraźną prośbę klienta i z zastrzeżeniem ograniczeń technicznych właściwych dla danej usługi, konsultant może skorzystać z dostępu do danych klienta, aby zdiagnozować problem z usługą i przedstawić scenariusze rozwiązania.

Dostęp do danych klienta na wniosek organu sądowego i/lub administracyjnego:

Firma UnionNet ma obowiązek działać zgodnie z przepisami prawa i odpowiadać na wnioski organów sądowych i/lub administracyjnych. Wnioski dotyczące udzielenia dostępu do danych podlegają ścisłym regulacjom prawnym. UnionNet udziela dostępu do danych tylko po upewnieniu się co do ważności i zasadności wniosku. Ponadto, o ile wniosek lub prawo tego nie zabraniają, UnionNet zobowiązuje się do poinformowania w jak najszybszym terminie klienta o wpłynięciu takiego wniosku do UnionNet. Wnioski, które zostałyby skierowane przez podmiot operujący na terytorium państwa trzeciego przetwarzane są tylko pod warunkiem, że sformułowane zostały w oparciu o porozumienia międzynarodowe, takie jak na przykład traktat o wzajemnej pomocy prawnej, zawarte pomiędzy państwem trzecim, a Unią Europejską lub państwem członkowskim UE.

W jakich przypadkach firma UnionNet lub OVH może mieć dostęp do danych przechowywanych i przetwarzanych przez klienta w ramach świadczonych usług?
UnionNet ma prawo skorzystać ze wsparcia technicznego OVH wynikającego z realizacji usługi, a tym samym może udzielić zgody na dostęp do przechowywanych danych firmie OVH. Polityka prywatności OVH znajduje się tutaj.
Gdzie fizycznie znajdują się dane klientów?
UnionNet świadczy usługi w oparciu o infrastrukturę firmy OVH. Serwery UnionTeam zlokalizowane są we Francji, w mieście Gravelines (datacenter GRA1).

§ 2

UnionNet jako administrator danych

UnionNet występuje w charakterze administratora danych w przypadku, gdy ustala cele i sposoby przetwarzania danych osobowych.

Typowe przykłady to sytuacje, kiedy UnionNet gromadzi dane niezbędne do wystawiania faktur, zarządzania windykacją należności, poprawy jakości usług i wydajności, prowadzenia operacji handlowych, zarządzania procesami handlowymi, ale również gdy przetwarza dane osobowe swoich pracowników.

Do opisanych powyżej przykładów nie zalicza się przypadek hostowania danych klienta na serwerach UnionNet, natomiast może zaliczać się przypadek przechowywania informacji dotyczących organizacji klienta lub jej pracowników (np. tożsamość i kontakt do pracownika kontaktującego się z działem pomocy technicznej UnionNet). Z tego właśnie powodu UnionNet dokłada wszelkich starań, aby klienci mieli pełną znajomość wdrożonych środków dających gwarancję ochrony danych osobowych.

  • ograniczenie gromadzonych danych wyłącznie do koniecznych informacji: zgodnie z tą zasadą podczas zamawiania usługi podaj tylko dane niezbędne OVH do wystawiania faktur i zapewniania wsparcia technicznego oraz informacje, których OVH potrzebuje do wypełniania wymagań prawnych w zakresie przechowywania danych;.
  • wykorzystywanie gromadzonych danych wyłącznie do celów, w jakich zostały zgromadzone;
  • wdrażanie odpowiednich środków technicznych i organizacyjnych gwarantujących wysoki poziom bezpieczeństwa.

FAQ: UnionNet jako administrator danych osobowych

Jakie dane są przetwarzane?
UnionNet przetwarza dane dostarczone przez klientów do celów realizacji usługi i są to:
  • imię i nazwisko (wymagane),
  • adres email (wymagane),
  • nr telefonu kontaktowego (opcjonalnie),
  • adres zamieszkania lub siedziby firmy (wymagany),
  • numer NIP (wymagany dla firm).
UnionNet przetwarza również dane ruchowe (do celów statystycznych i bezpieczeństwa):
  • adresy IP urządzeń z których nawiązywane są połączenia,
  • poprawne oraz błędne logowania (autoryzacje) do usług,
  • dane do celów statystycznych, takie jak adresy pobieranych witryn, plików, odsyłacz (referrer), nazwa przeglądarki (UserAgent), itp.,
  • inne dane mogące znaleźć się w logach serwera.
Jaki status ma firma OVH w świetle przepisów RODO
Firma OVH jest procesorem (podprocesorem) przetwarzącym powierzone dane na podstawie Umowy z UnionNet.

Administratorem danych osobowych jest:

UnionNet Tomasz Muszyński
ul. Wczasowa 21c/1
05-402 Otwock
NIP: PL5212774849

Osoba kontaktowa:

Tomasz Muszyński
tel. +48 603193851

§ 3

Bezpieczeństwo danych

UnionNet zapewnia:

  1. dostęp do oprogramowania administracyjnego wyłącznie przez wykwalifikowanego administratora serwera;
  2. dostęp do danych osobowych klienta wyłącznie za wiedzą i zgodą klienta (np w celu odzyskania utraconych danych, analizy logów, itp);
  3. odmowa instalacji oprogramowania potencjalnie niebezpiecznego (podatnego na zmasowane ataki);
  4. stałe aktualizacje oprogramowania serwera;
  5. monitorowanie nieautoryzowanych operacji;
  6. kopie bezpieczeństwa przechowywane na terenie UE.

Bezpieczeństwo oferowane przez OVH zapewnia:

  1. fizyczne zabezpieczenia uniemożliwiające dostęp nieupoważnionych osób do infrastruktur, na których przechowywane są dane klienta;
  2. dyżury pracowników ochrony czuwających nad bezpieczeństwem fizycznym pomieszczeń OVH 24/7/7;
  3. system zarządzania uprawnieniami ograniczający dostęp do pomieszczeń oraz danych tylko do osób, które muszą go mieć ze względu na pełnione funkcje i zakres obowiązków;
  4. ścisłe procedury uwierzytelniania użytkowników i administratorów dzięki rygorystycznej polityce zarządzania hasłami oraz wdrożeniu weryfikacji dwuetapowej (przy użyciu YubiKey);
  5. procedury i środki umożliwiające monitorowanie wszystkich operacji przeprowadzanych w systemie informacyjnym oraz raportowanie, zgodnie z obowiązującymi przepisami, w przypadku wystąpienia incydentów dotyczących danych klienta;
  6. kopie bezpieczeństwa przechowywane w innym pomieszczeniu na terenie UE.