Kraj:
Polska
Język:

Partner Portal

AJAX RODO FAQ

Podstawy 

Czym jest RODO?

Ogólne rozporządzenie o ochronie danych (znane również jako Rozporządzenie (UE) 2016/679 lub „RODO”) to rozporządzenie prawa Unii Europejskiej dotyczące ochrony danych i prywatności w UE oraz Europejskim Obszarze Gospodarczym (EOG). Chociaż została ona opracowana i zatwierdzona przez Unię Europejską (UE), nakłada ona obowiązki ochrony danych na organizacje na całym świecie, pod warunkiem, że zwracają się one do osób w UE lub gromadzą dane o tych osobach.

Czym są dane osobowe?

Dane osobowe to wszelkie informacje odnoszące się do osoby fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować. Gromadzenie różnych informacji i ich łączenie może doprowadzić do zidentyfikowania konkretnej osoby, co również kwalifikuje się jako dane osobowe.

Dane osobowe, które zostały zdeidentyfikowane, zaszyfrowane lub pseudonimizowane, ale mogą być użyte do ponownej identyfikacji osoby — nadal pozostają danymi osobowymi i podlegają przepisom prawa. 

Poniżej znajduje się kilka przykładów danych osobowych: 

  • imię i nazwisko;
  • adres;
  • adres e-mail;
  • numer dowodu;
  • dane lokalizacji;
  • adres IP;
  • identyfikatory plików cookie;
  • identyfikator reklamowy telefonu.

Czym jest przetwarzanie danych?

Definicja przetwarzania danych obejmuje różnorodne działania, jakie można wykonywać na danych osobowych, zarówno w sposób manualny, jak i za pomocą automatycznych procesów. Obejmuje to zbieranie, rejestrowanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie lub modyfikowanie, wyszukiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub inne udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych. Jeśli wykonujesz któreś z powyższych działań na danych, oznacza to, że je przetwarzasz.

Jaka jest różnica między podmiotem przetwarzającym dane a administratorem danych?

Administrator danych to podmiot, będący organizacją, instytucją lub osobą fizyczną, który ustala normy i zasady dotyczące operacji związanych z przetwarzaniem danych osobowych. W praktyce oznacza to, że administrator danych jest odpowiedzialny za określenie, w jaki sposób i dlaczego dane osobowe są wykorzystywane przez organizację. Najczęściej administratorem danych jest osoba lub organizacja, która gromadzi dane i decyduje o sposobie ich wykorzystania.

Podmiot przetwarzający dane jest przeciwieństwem administratora danych. W kontekście RODO podmiotem przetwarzającym dane jest jednostka organizacyjna, instytucja lub osoba fizyczna, która implementuje procedury przetwarzania danych osobowych ustalone przez administratora danych. Zazwyczaj podmiotem przetwarzającym dane jest strona, która dokonuje operacji na danych zgodnie z wytycznymi i zgodnie z wolą administratora danych. Podmiot przetwarzający dane nie jest właścicielem przetwarzanych danych i nie sprawuje kontroli nad danymi. Oznacza to, że podmiot przetwarzający dane nie może zmieniać znaczenia danych, kierować sposobem ich wykorzystania i jest związany instrukcjami.

Istnieje szereg pytań kontrolnych, które umożliwiają wyodrębnienie różnic pomiędzy rolą administratora danych, a funkcją podmiotu przetwarzającego dane:

Administrator danych decyduje o następujących kwestiach:

  • która organizacja zbiera dane w pierwszej kolejności oraz posiada podstawę prawną do tego działania;
  • do czego będą używane dane osobowe;
  • czy ujawnić dane, a jeśli tak, to komu;
  • czy prawo dostępu do danych oraz inne prawa osób dotyczące danych mają zastosowanie, czy też występują wyjątki;
  • jak długo przechowywać dane lub czy zmieniać dane w sposób, który nie jest rutynowy.

Podmiot przetwarzający dane decyduje o następujących kwestiach:

  • metodach wykorzystywanych do gromadzenia i przechowywania danych osobowych;
  • sposobie, w jaki dane są zabezpieczone;
  • środkach wykorzystywanych do przekazywania danych osobowych z jednej organizacji do drugiej;
  • sposobie, w jaki pozyskiwane są dane osobowe;
  • metodzie zapewniającej przestrzeganie harmonogramu przechowywania;
  • sposobie, w jaki dane osobowe są usuwane.

Jakie są warunki przetwarzania danych osobowych zgodnie z RODO?

Artykuł 6 RODO wymienia kilka warunków, (zwanych również podstawami), które legitymizują zgodność przetwarzania danych osobowych z przepisami prawa:

  1. Zgoda. Zgoda oznacza, że osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów. Pojęcie celu jest tutaj kluczowe. Jeśli osoba, której dane dotyczą (zwany również osobą fizyczną), wyraża zgodę na przetwarzanie, nie znając w pełni i w sposób zrozumiały konkretnego celu (celów), to taka zgoda nie stanowi prawnej podstawy do przetwarzania, ponieważ musi być wyrażona dobrowolnie, konkretnie, świadomie i jednoznacznie. Ponadto zgody nie mogą być łączone. Tak więc, dla każdej czynności przetwarzania danych w ramach jednej szerszej operacji, ogólną zasadą jest, że dla każdej czynności wymagana jest oddzielna zgoda.
  2. Przetwarzanie jest niezbędne do wykonania lub przygotowania do zawarcia umowy, której stroną jest osoba, której dane dotyczą. Organizacja ma prawo do odwołania się do niniejszej podstawy prawnej, w sytuacji gdy niezbędne jest przetwarzanie danych osobowych podmiotu w celu dostarczenia usługi opisanej w umowie lub w odpowiedzi na prośbę tej organizacji o zrealizowanie określonego działania przed zawarciem umowy (np. dostarczenie wyceny).
  3. Przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego. Jeśli administrator ma obowiązek prawny, który wymaga przetwarzania określonych danych osobowych, wówczas takie przetwarzanie jest dozwolone. Taka zgodność z istniejącym obowiązkiem prawnym, który wymaga przetwarzania i podlega administracji, również nie jest nowym zjawiskiem.
  4. Przetwarzanie danych jest konieczne w celu uratowania czyjegoś życia. Podstawa ta jest również określana jako „uzasadniony interes”. W takim przypadku osoba fizyczna nie musi być podmiotem danych; może to być również inna osoba fizyczna. Oczywiście, to nie do administratora należy definiowanie, czym jest uzasadniony interes. Ta podstawa ma zastosowanie przede wszystkim do sytuacji związanych z zagrożeniem życia, w których brak innej właściwej podstawy prawnej przetwarzania. W przypadku gdy nieprzetwarzanie danych osobowych mogłoby prowadzić do realnego zagrożenia czyjegoś życia, podmiot przetwarzający jest uprawniony do podjęcia działań koniecznych w celu ratowania życia osoby, jednak musi posiadać pewną wiedzę o osobie fizycznej, która znajduje się w niebezpieczeńswie.
  5. Przetwarzanie jest konieczne w celu wykonania zadania służącego interesowi publicznemu lub wypełnienia określonych funkcji urzędowych. Organizacja ma możliwość sięgnąć po tę podstawę prawną, kiedy niezbędne jest przetwarzanie danych osobowych „w ramach realizacji uprawnień publicznych”. Obejmuje to funkcje oraz prerogatywy publiczne zdefiniowane w przepisach prawnych, jak również realizację określonych zadań służących interesowi publicznemu, jakie zostały określone w przepisach prawa.
  6. Administrator posiada uzasadniony interes do przetwarzania czyichś danych osobowych. Przetwarzanie danych osobowych w tym kontekście niekoniecznie musi być uzasadnione obowiązkiem prawnym lub realizowane w celu wypełnienia warunków umowy z osobą fizyczną. W takich sytuacjach przetwarzanie danych osobowych może być usprawiedliwione na podstawie istniejącego uzasadnionego interesu. Na przykład, podmiot przetwarzający ma uzasadniony interes, gdy przetwarzanie odbywa się w ramach relacji z klientem, w celach marketingu bezpośredniego, w celu zapobiegania oszustwom lub w celu zapewnienia bezpieczeństwa sieci i informacji w systemach informatycznych. 

Jak działa zgoda na mocy RODO? 

Istnieją precyzyjne wytyczne regulujące procedurę uzyskiwania zgody od osoby, której dotyczą dane osobowe, w celu ich przetwarzania:

  • Zgoda musi być „dobrowolna, konkretna, świadoma i jednoznaczna”.
  • Prośby o wyrażenie zgody muszą być „wyraźnie rozpoznawalne wśród innych kwestii” i przedstawione w „sposób zrozumiały przystępny”.
  • Osoby, których dane zostały objęte przetwarzaniem, mają prawo do wycofania swojej uprzednio udzielonej zgody w dowolnym momencie, a Ty musisz uszanować ich decyzję. Nie jest możliwa prosta zmiana podstawy prawnej przetwarzania na inne uzasadnienie.
  • Należy przechowywać dokumentację potwierdzającą uzyskanie zgody.

Jakie są indywidualne prawa wynikające z RODO?

RODO zapewnia osobom fizycznym następujące prawa:

  1. Prawo do informacji (osoby fizyczne mają prawo do informacji o tym, w jaki sposób firmy gromadzą i wykorzystują ich dane osobowe, jak długo planują przechowywać te dane i komu będą je udostępniać);
  2. Prawo dostępu (osoby fizyczne mają prawo do dokładnej wiedzy dotyczącej gromadzonych informacji przez przedsiębiorstwa, sposobu ich przechowywania i przetwarzania, jak również intencji związanych z ich dalszym wykorzystaniem.);
  3. Prawo do sprostowania danych (osoby fizyczne mają możliwość dokonania uzupełnień w przypadku braków w informacjach oraz korekty nieprawidłowych danych);
  4. Prawo do usunięcia danych (osoby fizyczne mają prawo do trwałego usunięcia danych osobowych. Jest to również znane jako „prawo do bycia zapomnianym”);
  5. Prawo do ograniczenia przetwarzania (pozwala osobom fizycznym na ograniczenie możliwości administratorów w odniesieniu do przetwarzania danych osobowych, w przypadku gdy nie jest możliwe żądanie usunięcia tych danych);
  6. Prawo do przenoszenia danych (osoby fizyczne mają prawo do uzyskania i ponownego wykorzystania swoich danych osobowych do własnych celów w ramach różnych usług);
  7. Prawo do sprzeciwu (osoby fizyczne mają prawo na wyrażenie sprzeciwu wobec przetwarzania ich danych osobowych w określonych sytuacjach.);
  8. Prawa związane ze zautomatyzowanym podejmowaniem decyzji i profilowaniem (osoby fizyczne mają prawo żądać interwencji człowieka, zamiast powierzania istotnych decyzji algorytmom).

Jakie jest siedem zasad RODO?

Istnieje siedem kluczowych zasad ochrony danych i odpowiedzialności zgodnie z RODO:

  1. Zgodność z prawem, rzetelność i przejrzystość – przetwarzanie musi być zgodne z prawem, rzetelne i przejrzyste dla osoby, której dane dotyczą.
  2. Ograniczenie celu przetwarzania – zasada ta nakłada wymóg, aby dane osobowe były przetwarzane w ramach uzasadnionych celów, które zostały jednoznacznie przedstawione osobie, której dotyczą, w chwili ich gromadzenia.
  3. Minimalizacja danych – pozyskiwać oraz przetwarzać należy jedynie tylko taką ilość danych, która jest całkowicie niezbędna w kontekście określonych celów.
  4. Prawidłowość danych – dane osobowe muszą być dokładne i aktualne.
  5. Ograniczenie przechowywania – może przechowywać dane osobowe tylko tak długo, jak jest to konieczne do określonego celu.
  6. Integralność i poufność – przetwarzanie musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo, integralność i poufność (np. przy użyciu szyfrowania).
  7. Rozliczalność – Administrator danych jest odpowiedzialny za wykazanie zgodności z RODO w odniesieniu do wszystkich tych zasad.

Czy RODO wymaga, aby dane osobowe mieszkańców UE pozostawały na terenie UE?

RODO nie zawiera bezpośredniego ograniczenia, by dane osobowe mieszkańców Unii Europejskiej pozostawały wyłącznie w obrębie terytorium UE. Niemniej zasada działania ochrony danych w Unii Europejskiej opiera się na zasadzie, że „RODO towarzyszy danym”, co oznacza, że przepisy dotyczące ochrony danych osobowych nadal obowiązują niezależnie od miejsca, w którym dane są przechowywane. Zasada ta ma również zastosowanie, gdy dane osobowe są przekazywane do kraju, który nie jest członkiem UE.

Przetwarzanie przez Ajax

Czy Ajax przetwarza moje dane osobowe? 

Tak, Ajax może przetwarzać dane osobowe użytkownika. Poniżej znajdują się główne sposoby, w jakie możemy wykorzystywać informacje o użytkowniku:

  1. w naszych systemach alarmowych (na przykład za pośrednictwem Ajax Hub i innych urządzeń);
  2. w naszych aplikacjach dla użytkowników końcowych i użytkowników PRO: mobilnych (Ajax Security System i Ajax PRO: Tool for Engineers), stacjonarnych (Ajax Desktop i Ajax PRO Desktop) oraz narzędziach internetowych Ajax (zwanych dalej Produktami lub Usługami);
  3. po odwiedzeniu naszej strony internetowej pod adresem https://ajax.systems;
  4. w ramach współpracy biznesowej pomiędzy Użytkownikiem a Ajax (niezależnie od tego, czy Użytkownik jest bezpośrednim lub pośrednim partnerem lub podwykonawcą Ajax);
  5. podczas spersonalizowanej komunikacji między użytkownikiem a Ajax (np. rozmów kwalifikacyjnych, spotkań itp.);

podczas świadczenia usług związanych z Rozszerzoną Funkcjonalnością Usług Ajax (w tym Ajax SIM, Ajax Cloud Storage itp.);

Jakie rodzaje moich danych mogą być przetwarzane przez Ajax?

Firma Ajax może przetwarzać różne kategorie danych, dostosowując się do określonych scenariuszy interakcji z użytkownikiem.

Za pośrednictwem naszych urządzeń alarmowych możemy przetwarzać:

  • Informacje o Twoim urządzeniu Hub (takie jak jego model i numer seryjny, informacje o sieci, w tym adres IP, dzienniki aktywności urządzenia, poprzednia i bieżąca konfiguracja urządzenia oraz jego lokalizacja).
  •  Dane telemetryczne i środowiskowe.

Aby zapewnić użytkownikom informacje o systemie w postaci statusów i zdarzeń, przetwarzamy dane telemetryczne.

Termin „dane telemetryczne” (dalej również „telemetria”) odnosi się do danych i innych wskaźników, które są automatycznie zbierane, przesyłane i mierzone przez czujniki wbudowane w nasze urządzenia w celu określenia stanu otoczenia i sprawności działania, a także wykrywania ewentualnych anomalii w funkcjonowaniu urządzeń.

Podczas korzystania z naszych Produktów lub Usług , możemy przetwarzać:

  • Informacje o użytkowniku (takie jak imię, nazwisko, adres e-mail, numer telefonu i zdjęcie konta).
  • Informacje, które udostępniasz nam z książki telefonicznej swojego urządzenia podczas zapraszania użytkowników do Produktu (takie jak adres e-mail lub numer telefonu osoby, którą zapraszasz do Produktu).
  • Niepowtarzalne identyfikatory naszych Usług (takie jak nazwa użytkownika i hasło).
  • Niepowtarzalne identyfikatory użytkowników połączonych z Produktem, takie jak nazwa użytkownika, rola użytkownika w Produkcie i jego adres e-mail; informacje o urządzeniach mobilnych i stacjonarnych, takie jak typ urządzenia, system operacyjny i język systemu.
  • Dane oparte na lokalizacji w celu dostarczania przypomnień o uzbrojeniu/rozbrojeniu systemu w przypadku aktywacji funkcji Geolokalizacji w naszej aplikacji.
  • W przypadku użytkowników systemu Android – wiadomości SMS z kodem autoryzacyjnym wymaganym podczas rejestracji lub zmiany konta.
  • Informacje o korzystaniu z naszych Produktów i Usług (takie jak żądania z aplikacji do naszego serwera).

Jeśli odwiedzasz naszą stronę internetową, możemy przetwarzać dane:

  • Informacje podawane podczas wypełniania formularzy, które mogą zawierać dane osobowe i dane kontaktowe.
  • Identyfikatory plików cookie (za pomocą narzędzia zgodnego z RODO).
  • Adres IP w celu określenia kraju Twojej lokalizacji.

W przypadku współpracy biznesowej możemy przetwarzać:

  • Dane osobowe i kontaktowe przedstawicieli firmy (imię i nazwisko, stanowisko, adres e-mail i numer telefonu).
  • Żądania od partnerów i ich upoważnionych przedstawicieli (np. wysłane na adres e-mail wsparcia, za pośrednictwem aplikacji, komunikatorów itp.).
  • Wizytówki partnerów.

Podczas spersonalizowanej komunikacji, rozmowy kwalifikacyjnej lub spotkań:

Jeśli zdecydujesz się skontaktować z nami lub ubiegać się o pracę w Ajax, oprócz danych zebranych w sposób opisany powyżej, możemy również gromadzić i przetwarzać dodatkowe dane osobowe, które udostępniasz podczas komunikacji i / lub w dostarczonych przez Ciebie dokumentach (np. CV, list motywacyjny), w tym między innymi:

  • Dane osobowe (imię, nazwisko, numer telefonu, adres e-mail, zdjęcie).
  • Niepowtarzalne identyfikatory (np. nazwa użytkownika, login).
  • Poprzednie doświadczenie zawodowe.
  • Informacje o edukacji i szkoleniach.
  • Certyfikaty, dyplomy, referencje.
  • Hobby, zainteresowania i pozostałe preferencje osobiste.

W przypadku takiego przetwarzania lista (zakres) danych osobowych i innych informacji może być dalej modyfikowana, uszczegóławiana lub rozszerzana w trakcie całego procesu. Jednocześnie gromadzenie i przetwarzanie niezbędnych danych osobowych jest ograniczone do celów takiego przetwarzania i odbywa się zgodnie z wymogami obowiązującego prawa.

Ponadto, podczas przetwarzania danych w kontekście komunikacji biznesowej lub spersonalizowanej, obsługi zapytań partnerów i wizytówek, prowadzenia spotkań, rozmów kwalifikacyjnych itp., a także w celu optymalizacji wewnętrznych operacji i procesów, Ajax może wykorzystywać technologie sztucznej inteligencji (dalej zwanej „AI”).

Dane przetwarzane przez sztuczną inteligencję mogą w niektórych przypadkach obejmować dane osobowe, które identyfikują osobę fizyczną, w zakresie i w ilości, która: a) jest publicznie dostępna; b) została dobrowolnie dostarczona przez użytkownika.

Jednocześnie dostęp do danych, które użytkownik dobrowolnie przekazał firmie Ajax, jest ściśle ograniczony do pracowników firmy Ajax. Sztuczna inteligencja nie jest w stanie zidentyfikować Twoich danych, a jedynie przetwarza takie zgłoszenia, w szczególności od użytkowników/klientów Ajax itp. Decyzje dotyczące zarządzania danymi, które otrzymujemy z zapytań użytkowników/klientów Ajax i wizytówek partnerów, są podejmowane wyłącznie przez pracowników Ajax.

Do określonego przetwarzania opartego na sztucznej inteligencji angażujemy dostawców usług, którzy utrzymują niezbędny poziom ochrony danych osobowych.

Należy pamiętać, że przetwarzanie takich danych przez Ajax jest ograniczone i odbywa się wyłącznie w celu poprawy efektywności wewnętrznych operacji oraz w zakresie powiązanych celów.

Jaki jest cel i podstawa prawna przetwarzania danych?

  • Wszelkie informacje pozyskiwane poprzez nasze urządzenia alarmowe, lub w trakcie korzystania przez użytkownika z naszych Produktów oraz Usług  są poddawane przetwarzaniu wyłącznie w celu zagwarantowania realizacji zamówionych usług o charakterze bezpieczeństwa. Oznacza to, że przetwarzamy wszystkie takie dane w celu wykonania umowy zawartej z użytkownikiem. Oznacza to również, że nie gromadzimy żadnych danych, które nie są nam potrzebne do świadczenia takich usług.
  • Jeśli zdecydujesz się na subskrypcję naszego newslettera, będziemy przesyłać wiadomości e-mail z informacjami o nas i aktualnościami. W tym zakresie polegamy na zgodzie użytkownika, której udziela, potwierdzając subskrypcję. Będziemy również personalizować te wiadomości e-mail na podstawie informacji, które posiadamy o użytkowniku, aby były dla niego bardziej odpowiednie i przydatne.
  • Po udostępnieniu nam dziennika zdarzeń z aplikacji  w przypadku wystąpienia problemu, będziemy je przetwarzać w celu rozwiązania problemów technicznych oraz doskonalenia naszych Produktów i Usług. Przetwarzamy te informacje zgodnie z naszym uzasadnionym interesem, aby uczynić naszą ofertę rynkową bardziej konkurencyjną.
  • Wykorzystujemy dane, które udostępniasz nam z listy kontaktów swojego urządzenia podczas zapraszania użytkowników do Produktu (takie jak adres e-mail lub numer telefonu osoby, którą zapraszasz), aby wysłać zaproszenie wyłącznie do tych osób.
  • Wszystkie dane, które przekazujesz nam dobrowolnie — np. przez e-mail, aplikacje, komunikatory, udostępniając wizytówkę lub życiorys/CV — a także dane publicznie dostępne, są wykorzystywane w celu usprawnienia działań wewnętrznych, nawiązania relacji biznesowych oraz prowadzenia spersonalizowanej komunikacji.

Gdzie przechowywane są informacje?

Dane osobowe użytkownika, które Ajax może gromadzić od użytkownika, są przechowywane w chmurze znajdującej się w Irlandii, Niemczech i Francji (na terenie EOG); wybór miejsca przechowywania danych (w Irlandii, Niemczech i Francji) zależy od dostępności infrastruktury AWS.

Inne dane osobowe zbierane przez Ajax mogą być również przechowywane na serwerach i/lub w chmurze, znajdujących się w różnych jurysdykcjach. Obejmuje to przechowywanie danych u podmiotów powiązanych z grupą spółek Ajax, a także u stron trzecich będących kontrahentami, dostawcami lub usługodawcami Ajax, których serwery znajdują się w krajach zapewniających odpowiedni poziom ochrony i bezpieczeństwa danych osobowych.

Chociaż przepisy dotyczące ochrony danych osobowych mogą się różnić w zależności od kraju, Ajax stosuje zabezpieczenia opisane w niniejszym dokumencie i innych dokumentach wewnętrznych niezależnie od miejsca przechowywania takich danych.

Jak długo przechowywane są informacje?

Wszelkie dane są przechowywane przez pełny okres trwania relacji z klientem, z jednym wyjątkiem – pamięć powiadomień push, która jest ograniczona do 500 transakcji. W przypadku dziennika zdarzeń konta PRO Desktop czas przechowywania powiadomień o zdarzeniach wynosi 2 lata. Jednak pewne rodzaje informacji (jak na przykład imię i nazwisko przedstawiciela, stanowisko oraz dane kontaktowe wskazane w umowach) mogą być przechowywane poza okresem aktywnej współpracy, celem zapewnienia spełnienia naszych obowiązków wynikających z przepisów prawnych.

Rodzaj danych

Cel przetwarzania

Podstawa prawna

Okres przechowywania

Informacje o Ajax Hub (model i numer seryjny, informacje o sieci, w tym dziennik zdarzeń, bieżąca i poprzednia konfiguracja urządzenia, lokalizacja)

Aby zapewnić prawidłowe działanie Ajax Hub, innych urządzeń i aplikacji Ajax

Umowa, w przypadku wsparcia serwisowego – uzasadniony interes

Przez cały czas trwania relacji z klientem lub do momentu usunięcia przez użytkownika lub na jego żądanie.

Kopie zapasowe są przechowywane przez okres do 12 miesięcy.

Unikalne identyfikatory (nazwa użytkownika i hasło)

Autoryzacja użytkownika 

Umowa

Przez cały czas trwania relacji z klientem lub do momentu usunięcia przez użytkownika lub na jego żądanie.

Kopie zapasowe są przechowywane przez okres do 12 miesięcy.

Dane oparte na lokalizacji

Aby zapewnić prawidłowe działanie Ajax Hub, innych urządzeń i aplikacji Ajax

Umowa i/lub uzasadniony interes

Przez cały czas trwania relacji z klientem lub do momentu usunięcia przez użytkownika lub na jego żądanie.

Kopie zapasowe są przechowywane przez okres do 12 miesięcy.

Informacje o korzystaniu z naszych Produktów i Usług (takie jak żądania z aplikacji do serwera)

Aby zapewnić prawidłowe działanie Ajax Hub, innych urządzeń i aplikacji Ajax

Umowa

Przez cały czas trwania relacji z klientem lub do momentu usunięcia przez użytkownika lub na jego żądanie.

Kopie zapasowe są przechowywane przez okres do 12 miesięcy.

Informacje przekazywane podczas wypełniania formularzy, które mogą obejmować dane osobowe i kontaktowe

W celach komunikacyjnych oraz dostarczania produktów i promocji marketingowych

Zgoda

Przez cały czas trwania relacji z klientem lub do momentu usunięcia przez użytkownika lub na jego żądanie.

Kopie zapasowe są przechowywane przez okres do 12 miesięcy.

Adres IP

Aby zapewnić prawidłowe działanie Ajax Hub, innych urządzeń i aplikacji Ajax

Zgoda lub umowa

Przez cały czas trwania relacji z klientem lub do momentu usunięcia przez użytkownika lub na jego żądanie.

Kopie zapasowe są przechowywane przez okres do 12 miesięcy.

Imię, nazwisko i dane kontaktowe

Aby zapewnić prawidłowe działanie Ajax Hub, innych urządzeń i aplikacji Ajax

Zgoda

Przez cały czas trwania relacji z klientem lub do momentu usunięcia przez użytkownika lub na jego żądanie.

Kopie zapasowe są przechowywane przez okres do 12 miesięcy.

Zdjęcia wykonane za pomocą urządzeń Ajax 

Aby zapewnić prawidłowe działanie Ajax Hub, innych urządzeń i aplikacji Ajax

Umowa

  • Aplikacje mobilne Ajax: Pliki multimedialne są przechowywane przez 2 lata zarówno dla użytkowników końcowych, jak i kont PRO. Zdjęcia mogą jednak zostać usunięte wcześniej wraz z powiązanymi zdarzeniami, jeśli zostanie osiągnięty limit 500 zdarzeń.
  • Aplikacje komputerowe Ajax: Okres przechowywania zależy od ustawień i wynosi od 7 dni do 2 lat.
  • Ajax Translator: Nie przechowuje obrazów. Linki do zdjęć pozostają aktywne przez 7 dni od momentu ich wygenerowania.

Dane telemetryczne i informacje o środowisku

Aby zapewnić prawidłowe działanie Ajax Hub i innych urządzeń

Zgoda lub umowa

Przez cały czas trwania relacji z klientem lub do momentu usunięcia przez użytkownika lub na jego żądanie.

Kopie zapasowe są przechowywane przez okres do 12 miesięcy.

Informacje przekazywane podczas komunikacji z partnerami (np. wizytówki z danymi kontaktowymi, stanowisko itp.)

Do komunikacji związanej ze współpracą biznesową i organizowaniem spotkań

Zgoda i/lub umowa

Przez cały czas trwania relacji partnerskiej lub do momentu usunięcia przez osobę lub na jej żądanie.

Informacje o kandydacie na wolne stanowisko i/lub pracowniku

Do spersonalizowanej komunikacji, współpracy oraz umawiania wywiadów

Zgoda i/lub umowa

Cały okres trwania relacji z kandydatem/pracownikiem lub do momentu usunięcia danych na jego prośbę.

Kto ma dostęp do systemu i informacji po stronie Ajax?

Ajax stosuje zasady minimalizacji dostępności i najmniejszych uprawnień w dostępie do danych. W związku z tym możliwość dostępu do danych może być udzielana wyłącznie pracownikom Ajax, którzy są odpowiedzialni za wsparcie procesów świadczenia usług oraz projektów. Gdy pracownicy Ajax uzyskują dostęp do danych, ich sprzęt jest chroniony za pomocą szyfrowania i innych narzędzi wymaganych przez najwyższe standardy rynku technicznego. Wszyscy pracownicy podpisali umowę o zachowaniu poufności (NDA) i co roku przeprowadzają ocenę ochrony danych. Każde działanie personelu jest rejestrowane, a dzienniki są monitorowane automatycznie w czasie rzeczywistym. W sytuacji, gdy istnieje podejrzenie nadmiernej aktywności dostępu, podejmujemy środki ograniczające dostęp i natychmiastowo inicjujemy dochodzenie w celu wyjaśnienia sytuacji. Niemniej jednak zwracamy uwagę, że Ajax nigdy nie uzyskuje dostępu do danych bez ważnej podstawy prawnej dla takiego dostępu. W pewnych okolicznościach Ajax może być poproszony przez użytkownika (na jego/jej własne ryzyko) o udzielenie dostępu do swoich danych zewnętrznym dostawcom wybranym przez użytkownika (jak agencje ochrony czy instalatorzy), za pośrednictwem aplikacji mobilnych lub stacjonarnych. W takich przypadkach, wybrane przez użytkownika firmy również uzyskają dostęp do danych, które użytkownik zdecydował się przekazać.

Co robi Ajax, aby zachować zgodność z globalnymi przepisami o ochronie danych? W jaki sposób Ajax wykazuje zgodność z RODO?

Aby spełnić wymagania międzynarodowych przepisów o ochronie danych, Ajax stosuje szereg istotnych środków, mechanizmów i procedur. Na przykład, Ajax wprowadza zasady ograniczania przetwarzania danych (ochrona danych osobowych w fazie projektowania i domyślnie), minimalizacji danych, kontroli dostępu oraz procedury przetwarzania danych (obejmujące zasady przechowywania, przetwarzania, usuwania itp.). W ramach przekazywania danych Ajax wdraża różnorodne metody, obejmujące zarówno środki organizacyjne, jak i techniczne, a także standardowe klauzule umowne. Więcej informacji na ten temat można znaleźć w sekcji Transfer danych.

Jak mogę skorzystać z moich praw do prywatności?

Aby skorzystać z przysługujących praw związanych z prywatnością (takich jak prawo do usunięcia, sprzeciwu, uzyskania informacji o danych osobowych czy ograniczenia przetwarzania), prosimy o kontakt z nami poprzez adres e-mailowy privacy@ajax.systems.

Transfer danych

Komu Ajax może udostępniać moje dane? Jakie rodzaje danych mogą być udostępniane i w jakich przypadkach?

Zasadniczo możemy udostępniać dane osobowe użytkownika tylko wtedy, gdy jest to konieczne do świadczenia żądanych usług. Takie dane mogą być ujawniane naszym dostawcom i usługodawcom, którzy świadczą określone usługi na potrzeby funkcjonowania naszych Produktów i Usług. Obejmuje to usługi takie jak hosting danych, wsparcie techniczne, komunikacja itp. Dopilnujemy, aby dostawcy zapewnili danym taki sam poziom ochrony, jak my.

Możemy udostępniać dane kontaktowe użytkownika (takie jak numer telefonu komórkowego, pseudonim i adres e-mail) dostawcom usług ochrony fizycznej, jeśli użytkownik o to poprosi, wybierając takiego dostawcę w naszej aplikacji. Należy pamiętać, że tacy dostawcy usług sami staną się administratorami danych, odpowiedzialnymi za dane osobowe użytkownika. Pomimo że wybieramy renomowanych partnerów do współpracy w naszej aplikacji, zalecamy zapoznanie się z ich polityką prywatności przed złożeniem nam prośby o przekazanie danych wybranym firmom.

W przypadku niektórych potrzeb Ajax może korzystać z usług zewnętrznych podwykonawców przetwarzania spoza EOG. Takie potrzeby mogą obejmować przechowywanie danych, techniczną komunikację związana z rejestracją, instalacją oraz inne działania organizacyjne, realizowane poprzez środki takie jak poczta elektroniczna czy telefon.

Ajax dokłada wszelkich starań, aby takie transfery odbywały się zgodnie ze wszystkimi obowiązującymi przepisami o ochronie danych. W związku z tym Ajax podpisał umowy o przetwarzaniu danych (DPA) ze wszystkimi podmiotami przetwarzającymi (w tym standardowe klauzule umowne — SCC w przypadku transferów danych poza granice kraju), a także wdrożył dodatkowe środki uzupełniające stosowane przy transferach i przetwarzaniu danych. Wszystkie podmioty przetwarzające na rzecz Ajax posiadają swoje indywidualne polityki prywatności oraz inne dokumenty związane z ochroną danych, które regularnie są przeglądane przez specjalistów Ajax w celu zapewnienia pełnej zgodności.

Lista zatwierdzonych podwykonawców Ajax:

Usługa

Dostawca

Cel użytkowania

Link do Polityki prywatności i DPA

AWS

Amazon

Hosting danych i tworzenie kopii zapasowych

https://aws.amazon.com/privacy/ 

https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html 

Twilio

Twilio Group

Programowalne SMS

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

SendGrid

Twilio Group

Programowalna 

komunikacja e-mail

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

Mailgun

Sinch Email

Transakcyjna 

e-maili transakcyjnych

https://www.mailgun.com/legal/privacy-policy/ 

https://www.mailgun.com/legal/dpa/ 

MongoDB

MongoDB Inc.

Dostawca usług związanych z bazami danych

https://www.mongodb.com/legal/privacy-policy

https://www.mongodb.com/legal/dpa

Google BigQuery

Google LLC

Analityka, poprawa jakości usług

https://policies.google.com/privacy

BlueDot

Twiso, Inc

Notatnik do komunikacji z kandydatami

https://www.bluedothq.com/privacy

Creatio

CREATIO EMEA LTD

System CRM (zintegrowany system komunikacji)

https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR

OpenAI

OpenAI, L.L.C.

Zautomatyzowane odpowiedzi na żądania

https://openai.com/security-and-privacy/

Czym są Standardowe klauzule umowne?

Standardowe klauzule umowne (SCC) to standaryzowane i uprzednio zatwierdzone wzorcowe postanowienia dotyczące ochrony danych, które pozwalają administratorom oraz podmiotom przetwarzającym na skuteczne wypełnienie swoich obowiązków wynikających z unijnych przepisów dotyczących ochrony danych. Mogą one zostać włączone przez administratorów i podmioty przetwarzające do ich ustaleń umownych z innymi stronami, takimi jak partnerzy handlowi. Klauzule te mogą być dobrowolnie wykorzystywane w celu potwierdzenia zgodności z wymogami ochrony danych, wymagając jednocześnie wiążącego zobowiązania umownego do ich skrupulatnego przestrzegania. Komisja Europejska jest uprawniona do przyjmowania SCC (1) w odniesieniu do relacji między administratorami i podmiotami przetwarzającymi oraz (2) do przekazywania danych osobowych do krajów spoza EOG.

Czym są Środki uzupełniające?

Środki uzupełniające to specjalnie opracowane procedury techniczne oraz organizacyjne, które są wdrożone w celu zapewnienia adekwatnego poziomu bezpieczeństwa przetwarzanych danych, porównywalnego z ochroną danych realizowaną w obszarze EOG.

Ajax wdrożył między innymi następujące środki organizacyjne:

  • cykliczne szkolenia z zakresu bezpieczeństwa oraz testy wiedzy dla pracowników Ajax; 
  • zautomatyzowany system monitoringu w czasie rzeczywistym, śledzący potencjalne zdarzenia oraz ewentualne podatności systemu bezpieczeństwa; 
  • ciągłe rejestrowanie wszystkich procesów; 
  • cykliczne, dostosowane do potrzeb kontrole i testy systemu Ajax w zakresie bezpieczeństwa.

Ajax wdrożył między innymi następujące środki techniczne

  • Środki zapobiegające dostępowi osób nieupoważnionych do systemów przetwarzania danych znajdujących się w obiektach i obiektach (w tym baz danych, serwerów aplikacji i powiązanego sprzętu), w których przetwarzane są dane osobowe personelu, w tym tworzenie stref bezpieczeństwa, ograniczanie dostępu trasy, tworzenie uprawnień dostępu dla pracowników i osób trzecich,  blokowanie drzwi (elektrozaczepy itp.).
  • Środki obejmujące procedury zapobiegające wykorzystywaniu systemów przetwarzania danych przez osoby nieupoważnione, w tym procedury identyfikacji i uwierzytelniania użytkowników, procedury bezpieczeństwa identyfikatorów/haseł, szyfrowanie zarchiwizowanych nośników danych.
  • Środki zapewniające, że osoby upoważnione do korzystania z systemu przetwarzania danych mają dostęp do takich danych osobowych wyłącznie zgodnie z ich prawami dostępu oraz że dane osobowe nie mogą być odczytywane, kopiowane, modyfikowane ani usuwane bez upoważnienia, w tym wewnętrzne zasady i procedury, systemy kontroli uprawnień, zróżnicowane uprawnienia dostępu (profile, role, transakcje i obiekty), monitorowanie i rejestrowanie dostępu, postępowanie dyscyplinarne wobec pracowników, którzy mają dostęp do danych osobowych bez uprawnień.
  • Środki zapewniające, że dane osobowe nie mogą być odczytywane, kopiowane, modyfikowane lub usuwane bez upoważnienia podczas elektronicznego przesyłania, transportu lub przechowywania na nośnikach (ręcznych lub elektronicznych) i które można zweryfikować, w których firmach lub innych podmiotach prawnych dane osobowe są ujawniane, w tym szyfrowanie, logowanie, zabezpieczenie transportu. Wszystkie dane osobowe są zabezpieczone szyfrowaniem AES256 podczas przechowywania, a ich transmisja odbywa się za pośrednictwem HTTPS z użyciem szyfrowania AES128 oraz protokołu TLS 1.2.
  • Środki obejmujące monitorowanie wprowadzania, modyfikacji oraz usuwania (kasowania) danych osobowych w systemach przetwarzania. Działania te są kontrolowane za pomocą systemów rejestracji i raportowania, ścieżek audytu oraz odpowiedniej dokumentacji.
  • Środki zapewniające ochronę danych osobowych przed przypadkowym zniszczeniem lub utratą (fizyczną/logiczną), w tym procedury tworzenia kopii zapasowych, zasilanie awaryjne (UPS), zdalne przechowywanie, systemy antywirusowe/zapory sieciowe, plan odzyskiwania danych po awarii oraz plan ciągłości działania firmy.
  • Środki zapewniające, że dane osobowe gromadzone do różnych celów mogą być przetwarzane oddzielnie, w tym oddzielenie baz danych, ograniczenie wykorzystania, rozdzielenie funkcji (produkcja/testowanie).

Czym jest Ocena skutków transferu danych?

Ocena skutków transferu danych (TIA) to analiza przeprowadzana przez administratora lub podmiot przetwarzający dane, mająca na celu ocenę wpływu na bezpieczeństwo transferu danych osobowych do państw spoza obszaru UE/EOG, a także do krajów, które korzystają z decyzji stwierdzającej odpowiedni stopień ochrony.