Країна:
Україна
Мова:

Partner Portal

AJAX GDPR FAQ

Основні поняття

Що означає GDPR?

Загальний регламент про захист даних (General Data Protection Regulation; GDPR; Регламент ЄС 2016/679) — регламент у межах законодавства Європейського Союзу (ЄС) щодо захисту персональних даних та приватності в країнах ЄС та Європейської економічної зони (ЄЕЗ). Попри те, що він розроблений і прийнятий у ЄС, регламент накладає зобов'язання щодо захисту персональних даних на організації будь-якої країни, якщо вони використовують або збирають персональні дані, що стосуються резидентів країн-членів ЄС.

Що належить до персональних даних?

Персональні дані — це будь-яка інформація про фізичну особу, яку можна ідентифікувати прямо чи опосередковано. Зібрана з різних джерел інформація, що може допомогти ідентифікувати певну особу, — це також персональні дані.

Персональні дані, що були знеособлені, зашифровані або псевдонімізовані, але які можна використати для повторної ідентифікації особи, також підпадають під дію закону. 

Наведемо кілька прикладів персональних даних: 

  • ім'я та прізвище;
  • адреса;
  • адреса електронної пошти;
  • номер посвідчення особи;
  • дані про місце проживання/перебування;
  • IP-адреса;
  • ідентифікатори файлів cookie;
  • рекламний ідентифікатор телефону.

Що мається на увазі під обробкою даних?

Визначення «Обробка даних» охоплює широкий спектр дій щодо персональних даних, зокрема вручну або автоматично. До них належать збір, запис, упорядкування, структурування, зберігання, адаптація, а також зміна, вилучення, ознайомлення, використання, розкриття шляхом передачі, поширення або надання доступу в інший спосіб, поєднання або комбінування, обмеження, видалення або знищення персональних даних. Якщо ви виконуєте будь-які дії з інформацією у згаданий вище спосіб, це означає, що ви обробляєте дані.

Яка різниця між оператором даних і контролером даних?

Контролер даних — організація, установа або фізична особа, яка визначає норми та порядок обробки персональних даних. На практиці це означає, що контролер даних визначає, як і з якою метою організація використовуватиме дані. Найчастіше контролером даних є фізична особа або організація, яка збирає дані, після чого визначає, як вони будуть використані.

На відміну від оператора даних. Відповідно до GDPR, оператор даних — це організація, установа або фізична особа, яка впроваджує встановлені контролером даних норми обробки даних. Зазвичай, оператором даних є сторона, яка обробляє дані за вказівкою та на розсуд контролера даних. Оператор даних не є власником даних, які він обробляє, і не контролює їх. Тобто оператор даних не має права змінювати зміст даних, визначати, як їх використовувати, і має діяти лише за інструкцією.

Пропонуємо кілька контрольних запитань, що допоможуть зрозуміти різницю між функціями контролера й оператора даних:

Контролер даних ухвалює такі рішення:

  • яка організація насамперед збирає дані та має для цього законні підстави;
  • з якою метою будуть використані персональні дані;
  • чи потрібно розголошувати дані і якщо так, то кому саме;
  • чи застосовуються права доступу суб'єктів та інших осіб, а також чи є винятки;
  • як довго зберігати дані або чи потрібно змінювати їх у спосіб, який не передбачено правилами.

Оператор даних ухвалює такі рішення:

  • які методи використовуються, щоб збирати і зберігати персональні дані;
  • як захищені дані;
  • які засоби використовуються, щоб передавати персональні дані від однієї організації до іншої;
  • як відбувається збір персональних даних;
  • який метод застосовується, щоб забезпечити дотримання графіка зберігання;
  • як відбувається видалення персональних даних.

Які умови обробки персональних даних за GDPR?

Стаття 6 GDPR містить перелік умов (також відомих як підстави), за яких обробляти персональні дані законно:

  1. Згода. Згода означає, що суб'єкт даних погодився на обробку своїх персональних даних для однієї або кількох конкретних цілей. Поняття цілі має тут ключове значення. Якщо суб'єкт даних (фізична особа) дає згоду на обробку, не знаючи конкретну ціль/цілі в повному обсязі та не отримавши інформацію в зрозумілій формі, то така згода не є правовою підставою для обробки, оскільки вона має бути надана добровільно, бути конкретною, усвідомленою та однозначною. Крім того, згода не може надаватися в комплекті. Отже, загальне правило полягає в тому, що для кожної дії з обробки даних у межах однієї ширшої операції потрібна окрема згода.
  2. Обробка потрібна для виконання або підготовки до укладення договору, стороною якого є суб'єкт даних. Організація може покладатися на цю законну підставу, за потреби обробити чиїсь персональні дані для виконання договірних зобов'язань або через прохання до організації про надання певних послуг перед укладенням договору (наприклад, надати цінову пропозицію).
  3. Обробка даних потрібна для дотримання правового зобов'язання . Обробка дозволяється, якщо контролер має встановлений законом обов'язок, який передбачає обробку певних персональних даних. Таке дотримання правового зобов'язання, що вимагає обробки даних і якому підлягає контролер, також не є новим.
  4. Обробка даних потрібна заради збереження життя. Ця підстава також має назву «життєво важливий інтерес». У цьому випадку фізична особа не обов'язково має бути суб'єктом даних; це також може бути інша фізична особа. Звісно, це не контролер має визначати, що таке життєво важливий інтерес. Ця підстава більшою мірою стосується небезпечних для життя обставин, коли немає інших законних підстав для обробки, але коли відмова від обробки персональних даних по суті призведе до загибелі людини, якщо оператор не вживе заходів, а відтак йому потрібно знати деяку інформацію про фізичну особу, яка перебуває в небезпеці.
  5. Обробка даних потрібна, щоб виконувати завдання в суспільних інтересах або здійснювати певні офіційні повноваження. Організація може спиратися на цю законну підставу, якщо потрібно обробляти персональні дані «під час виконання службових повноважень». Це стосується державних функцій та повноважень, які визначає законодавство, або виконання конкретної задачі в інтересах суспільства, яка визначена законодавством.
  6. Контролер має законний інтерес щодо обробки персональних даних людини. Обробка персональних даних у цьому контексті не обов'язково має бути виправдана правовим зобов'язанням або здійснюватися на виконання умов договору з фізичною особою. У таких випадках обробка персональних даних може бути виправданою на підставі законного інтересу. Так, наприклад, оператор має законний інтерес, коли він обробляє дані в межах відносин з клієнтом з метою прямого маркетингу, щоб запобігти шахрайству або забезпечити мережеву й інформаційну безпеку ІТ-систем. 

Як працює згода за GDPR?

Є суворі правила щодо згоди суб'єкта даних на обробку інформації:

  • Згода має бути надана добровільно, бути конкретною, усвідомленою та однозначною.
  • Запити на отримання згоди мають бути чітко відокремлені від інших питань і сформульовані чітко і просто.
  • Суб'єкти даних мають право відкликати раніше надану згоду в будь-який час, і це рішення потрібно поважати. Неможливо просто змінити правову підставу обробки даних будь-яким іншим обґрунтуванням.
  • Потрібно зберігати документальне підтвердження згоди.

Які особисті права передбачені GDPR?

GDPR надає фізичним особам такі права:

  1. Право бути поінформованим (фізичні особи мають право бути поінформованими про те, як компанії збирають та використовують їхні персональні дані, протягом якого часу вони планують їх зберігати та з ким вони збираються ділитися цими даними);
  2. Право на доступ (фізичні особи мають право знати, яку саме інформацію зібрали компанії, як вони зберігають та обробляють ці дані, і що вони збираються з ними робити);
  3. Право на виправлення (фізичні особи мають право вносити доповнення до неповних даних та виправляти неправильні дані);
  4. Право на видалення (фізичні особи мають право остаточно видалити персональні дані. Також це відоме як «право на забуття»);
  5. Право на обмеження обробки (якщо фізичні особи не можуть вимагати від контролерів даних видалити свої персональні дані, вони можуть обмежити здатність контролерів обробляти ці дані);
  6. Право на перенесення даних (фізичні особи мають право отримувати та повторно використовувати свої персональні дані з власною метою в різних послугах);
  7. Право на заперечення (фізичні особи мають право за певних обставин заперечувати проти обробки своїх персональних даних);
  8. Права щодо автоматизованого прийняття рішень та профілювання (фізичні особи мають право під час прийняття важливих рішень вимагати втручання людини, замість використання алгоритмів).

Що таке сім принципів GDPR?

Згідно з регламентом GDPR, є сім основних принципів захисту даних та підзвітності:

  1. Законність, справедливість та прозорість — обробка даних має бути законною, справедливою та прозорою щодо суб'єкта даних.
  2. Обмеження щодо цілей — обробляти дані потрібно виключно в законних цілях, які чітко вказали суб'єкту під час збору даних.
  3. Мінімізація даних — варто збирати й обробляти лише таку кількість даних, яка є абсолютно необхідною для визначених цілей.
  4. Точність — персональні дані мають бути точними та актуальними.
  5. Обмеження щодо зберігання — зберігати персональні дані лише протягом часу, потрібного для досягнення зазначених цілей.
  6. Цілісність та конфіденційність — обробляти дані потрібно шляхом забезпечення належної безпеки, цілісності та конфіденційності (наприклад, за допомогою шифрування).
  7. Підзвітність — контролер даних несе відповідальність за дотримання всіх цих принципів GDPR.

Чи вимагає GDPR, щоб персональні дані резидентів країн ЄС залишалися на території ЄС?

GDPR не містить прямого обмеження на використання персональних даних резидентів країн-членів ЄС лише на території ЄС. Однак захист персональних даних в ЄС працює за принципом «GDPR зберігає дані», тобто правила захисту персональних даних продовжують застосовуватися незалежно від того, куди ці дані потрапляють. Також цей принцип діє, якщо персональні дані передаються до країни, яка не є членом ЄС.

Обробка даних в Ajax

Чи обробляє Ajax мої персональні дані? 

Так, Ajax може обробляти ваші персональні дані. Нижче наведено основні напрями використання вашої інформації:

  1. через наші охоронні пристрої (наприклад, Hub або інші);
  2. через наші мобільні застосунки (зокрема Ajax Security System та Ajax PRO: Tool for Engineers) і застосунки для ПК (ми називаємо їх нашими Продуктами або Послугами);
  3. якщо ви відвідаєте вебсайт https://ajax.systems/;
  4. в межах ділової співпраці між вами та Ajax (незалежно від того, чи ви є прямим або непрямим партнером чи субпідрядником Ajax);
  5. під час персоналізованої комунікації між вами та Ajax (наприклад, співбесід, зустрічей тощо);
  6. під час надання послуг у межах додаткового функціоналу Ajax Services (зокрема Ajax SIM, Ajax Cloud Storage тощо).

Які саме типи даних може обробляти Ajax?

Ajax обробляє різні типи даних залежно від сценарію співпраці з вами.

Ajax обробляє різні типи даних залежно від сценарію співпраці з вами.

Через наші охоронні пристрої ми можемо обробити такі дані:

  • Інформація про ваш Hub (наприклад, його модель і серійний номер, інформація мережі, включно з IP-адресою, журналами активності пристрою, попередньою та поточною конфігурацією пристрою, а також місцем його розташування).
  • Телеметричні дані та дані про навколишнє середовище.

Із метою надання користувачам інформації про систему у вигляді статусів і подій, ми обробляємо Телеметричні дані.

Під поняттям “Телеметричні дані” (надалі також “Телеметрія”) мається на увазі дані та показники, які автоматично збираються, передаються та вимірюються датчиками, вбудованими в наші пристрої з метою визначення стану навколишнього середовища, справності, а також виявлення можливих аномалій у роботі пристроїв.

Під час використання наших Продуктів або Послуг ми можемо обробити такі дані:

  • Ваша особиста інформація (зокрема ім'я, прізвище, адреса електронної пошти, номер телефону та фото облікового запису).
  • Інформація, яку ви надаєте нам з телефонної книги вашого пристрою, запрошуючи користувачів до Продукту (наприклад, електронна пошта або номер телефону особи, яку ви запрошуєте до Продукту).
  • Унікальні ідентифікатори для наших Послуг (наприклад, ваші логін і пароль).
  • Унікальні ідентифікатори користувачів, яких ви підключили до Продукту, а саме: ім'я користувача, роль користувача в Продукті та його адреса електронної пошти; інформація про ваші мобільні пристрої та ПК, а саме: тип пристрою, операційна система та системна мова.
  • Дані про місце розташування, щоб надсилати вам нагадування про встановлення/зняття системи з охорони, за активованої функції геозони в нашому застосунку.
  • Для користувачів Android та iOS — SMS із кодом авторизації, потрібним під час реєстрації або зміни облікового запису.
  • Інформація про використання вами наших Продуктів і Послуг (як-от запити з застосунку до нашого сервера).

Коли ви відвідуєте наш вебсайт, ми можемо обробити такі дані:

  • Інформація, яку ви надаєте під час заповнення форм, що може містити ваші персональні дані та контактну інформацію.
  • Ідентифікатори файлів cookie (через інструмент, що відповідає вимогам GDPR).
  • IP-адреса, щоб визначити країну вашого місця перебування.

У разі ділової співпраці:

  • особисті та контактні дані представників бізнесу (ім'я, посада, адреса електронної пошти та номер телефону);
  • запити партнерів і їхніх уповноважених представників (наприклад, надіслані на електрону пошту підтримки, через застосунки, месенджери тощо);
  • візитівки партнерів.

Під час персоналізованої комунікації, проведення співбесід, зустрічей:

Якщо ви вирішите звернутися до нас і подати заявку на працевлаштування в Ajax, окрім даних, зібраних у спосіб, описаний вище, ми також можемо збирати й обробляти додаткові персональні дані, якими ви ділитеся протягом спілкування та/або у наданих документах (резюме/CV, супровідний лист тощо), зокрема (але не виключно):

  • особисту інформацію (ім’я, прізвище, номер телефону, адресу електронної пошти, фотографію);
  • унікальні ідентифікатори (наприклад, ім’я користувача, логін);
  • дані про попередній досвід роботи;
  • інформацію про освіту та навчання;
  • сертифікати, дипломи, довідки;
  • хобі, захоплення, інші особисті вподобання.

Для такої обробки перелік (обсяг) персональних даних та іншої інформації може бути додатково змінено, деталізовано, розширено протягом усього процесу. Водночас збір та обробка необхідних персональних даних обмежені цілями такої обробки та здійснюються відповідно до вимог застосовного законодавства.

Крім того, під час обробки даних у межах ділової чи персоналізованої комунікації, опрацювання запитів і візитівок партнерів, проведення зустрічей, співбесід тощо, а також для оптимізації внутрішніх операцій і процесів, Ajax може використовувати технології на базі штучного інтелекту (далі також — «ШІ»). 

Дані, які обробляються штучним інтелектом, в окремих випадках можуть включати персональні дані, що ідентифікують особу, у тому обсязі та кількості, які:

а) є загальнодоступними; 

б) були добровільно надані вами. 

Водночас доступ до даних, які були добровільно надані вами Ajax, суворо обмежений співробітниками Ajax. ШІ не має можливості ідентифікувати ваші дані, а лише здійснює обробку таких запитів, зокрема від користувачів/клієнтів Ajax тощо. Рішення щодо управління даними, що ми отримуємо із запитів користувачів/клієнтів Ajax і візитівок партнерів, приймаються виключно співробітниками Ajax.

Для зазначеної обробки на базі штучного інтелекту ми залучаємо постачальників послуг, які мають необхідний рівень захисту персональних даних. 

Зазначимо, що обробка таких даних зі сторони Ajax є обмеженою та здійснюється виключно з метою підвищення ефективності внутрішніх операцій і в межах суміжних цілей.

Яка ціль та правові підстави для обробки даних?

  • Усі дані, які ми отримуємо через наші охоронні пристрої або під час використання вами наших Продуктів чи Послуг , обробляються лише з метою надання вам необхідних охоронних послуг. Це означає, що ми обробляємо всі ці дані для виконання умов укладеного з вами договору. Це також означає, що ми не збираємо жодних даних, які не є необхідними безпосередньо для надання вам таких послуг.
  • Якщо ви вирішите підписатися на нашу розсилку, ми будемо надсилати вам електронні листи з деякою інформацією про нас та наші оновлення. Ми покладаємося на вашу згоду, яку ви надаєте, підтверджуючи підписку. Крім того, ми персоналізуємо ці електронні повідомлення на основі наявної у нас інформації про вас, щоб зробити їх актуальнішими та кориснішими.
  • Якщо ви надали спільний доступ до журналів операцій вашого застосунку, то в разі виникнення проблем ми опрацюємо їх, щоб розвʼязати вашу технічну проблему і поліпшити наші Продукти та Послуги. Ми обробляємо їх, виходячи з нашого законного інтересу, задля більшої конкурентоспроможності наших ринкових пропозицій.
  • Ми використовуємо дані, які ви надаєте нам з телефонної книги вашого пристрою, запрошуючи користувачів до Продукту (наприклад, адресу електронної пошти або номер телефону особи, яку ви запрошуєте до Продукту), щоб надіслати запрошення виключно цим особам.
  • Усі дані, які ви добровільно надаєте нам під час надсилання запитів електронною поштою, через застосунки, месенджери, передаючи візитівки, резюме/CV а також дані, що є загальнодоступними, ми обробляємо з метою забезпечення ефективності внутрішніх процесів, встановлення ділової співпраці та/або здійснення персоналізованої комунікації.

Де зберігається інформація?

Персональні дані користувачів, які збирає Ajax, зберігаються в хмарному сховищі, розташованому в Ірландії, Німеччині та Франції (у межах ЄЕЗ); вибір місця зберігання даних (в Ірландії, Німеччині та Франції) залежить від доступності інфраструктури AWS.

Інші персональні дані, які збирає Ajax, можуть також зберігатися на серверах та/або хмарних сховищах, розташованих у різних юрисдикціях. Це включає зберігання таких даних в афілійованих осіб групи компаній Ajax, а також у третіх осіб — підрядників, провайдерів чи вендорів послуг Ajax, чиї сервери розташовані в інших країнах з адекватним рівнем захисту персональних даних та їхньої безпеки.

Попри те, що законодавство про захист персональних даних може відрізнятися залежно від країни, Ajax використовує описані в цьому та інших внутрішніх документах засоби захисту незалежно від того, де такі дані зберігаються.

Протягом якого часу зберігається інформація?

Усі дані зберігаються протягом усього періоду відносин з клієнтом, за винятком пам'яті пуш-сповіщень, яка обмежена 500-ми транзакціями. Для журналу подій акаунту PRO Desktop строк зберігання повідомлень про події становить 2 роки. Однак деякі типи даних (наприклад, ім'я, посада та контактна інформація представників, зазначені в контрактах) можуть зберігатися довше, ніж період співпраці, аби виконати наші юридичні зобов'язання.

Тип даних

Мета обробки 

Правові підстави

Строк зберігання

Інформація про централь Ajax Hub (модель і серійний номер, мережева інформація, зокрема журнал подій, поточна й попередня конфігурація пристрою, його місцезнаходження)

Для коректної роботи централі Ajax Hub, пристроїв і застосунків Ajax 

Договір (контракт); у випадку сервісної підтримки — законний інтерес

Протягом усього періоду співпраці з клієнтом або до моменту видалення користувачем чи за його запитом. 

Резервні копії зберігаються до 12 місяців.

Унікальні ідентифікатори (імʼя користувача, логін та пароль)

Для авторизації користувача 

Договір (контракт)

Протягом усього періоду співпраці з клієнтом або до моменту видалення користувачем чи за його запитом. 

Резервні копії зберігаються до 12 місяців.

Дані на основі місцезнаходження

Для коректної роботи централі Ajax Hub, пристроїв і застосунків Ajax 

Договір (контракт) та/або законний інтерес

Протягом усього періоду співпраці з клієнтом або до моменту видалення користувачем чи за його запитом. 

Резервні копії зберігаються до 12 місяців.

Інформація про використання наших Продуктів і Послуг (наприклад, запити від застосунків до сервера)

Для коректної роботи централі Ajax Hub, пристроїв і застосунків Ajax 

Договір (контракт)

Протягом усього періоду співпраці з клієнтом або до моменту видалення користувачем чи за його запитом. 

Резервні копії зберігаються до 12 місяців.

Інформація, надана під час заповнення форм, що може включати персональні й контактні дані

Для комунікації, доставляння продуктів, маркетингових акцій

Згода

Протягом усього періоду співпраці з клієнтом або до моменту видалення користувачем чи за його запитом. 

Резервні копії зберігаються до 12 місяців.

IP-адреса

Для коректної роботи централі Ajax Hub, пристроїв і застосунків Ajax 

Згода або договір (контракт)

Протягом усього періоду співпраці з клієнтом або до моменту видалення користувачем чи за його запитом. 

Резервні копії зберігаються до 12 місяців.

Ім'я, прізвище та контактна інформація

Для коректної роботи централі Ajax Hub, пристроїв і застосунків Ajax 

Згода

Протягом усього періоду співпраці з клієнтом або до моменту видалення користувачем чи за його запитом. 

Резервні копії зберігаються до 12 місяців.

Зображення, зроблені за допомогою пристроїв Ajax

Для коректної роботи централі Ajax Hub, пристроїв і застосунків Ajax 

Договір (контракт)

  • Мобільні застосунки Ajax: термін зберігання медіафайлів для акаунтів як кінцевих користувачів, так і PRO становить 2 роки. Фотографії можуть бути видалені раніше разом з пов'язаними з ними подіями, якщо досягнуто обмеження у 500 подій.
  • Компʼютерні застосунки Ajax: термін залежить від налаштувань (від 7 днів до 2 років).
  • Ajax Translator: не зберігає зображення, але посилання активні протягом 7 днів з моменту генерації.

Телеметричні дані та інформація про навколишнє середовище 

Для коректної роботи централі Ajax Hub, пристроїв і застосунків Ajax, а також у цілях аналітики 

Згода або договір (контракт)

Протягом усього періоду співпраці з клієнтом або до моменту видалення користувачем чи за його запитом. 

Резервні копії зберігаються до 12 місяців.

Інформація, що надається під час комунікації з партнерами (як-от візитівки з контактною інформацією, посада тощо)

Спілкування з метою ділової співпраці, проведення зустрічей

Згода та/або договір (контракт)

Протягом усього періоду співпраці з партнером або до моменту видалення особою чи за її запитом.

Дані про кандидата на вакантну посаду та/або співробітника

Спілкування з метою персоналізованої комунікації та співпраці, проведення співбесід

Згода та/або договір (контракт)

Протягом усього періоду співпраці з кандидатом/співробітником та/або до моменту видалення за його запитом.

Хто має доступ до системи й інформації в Ajax?

Ajax дотримується принципів мінімізації доступності та найменших привілеїв у доступі до даних. Так, доступ до даних можуть мати лише працівники Ajax, відповідальні за підтримку процесу надання послуг і забезпечення проєктів. Коли працівники Ajax отримують доступ до даних, їхнє обладнання захищене шифруванням та іншими інструментами, що відповідають найвищим технічним ринковим вимогам. Усі працівники підписали угоду про нерозголошення і щороку беруть участь в оцінюванні захищеності даних. Усі дії персоналу реєструються, а журнали автоматично перевіряються в режимі реального часу. Якщо виникає підозра у зловживанні доступом, ми його обмежуємо і негайно розпочинаємо власне розслідування. Проте звертаємо увагу, що Ajax ніколи не отримує доступ до даних за відсутності для цього законних підстав. У деяких випадках користувач може доручити Ajax (на власний ризик) надати доступ до даних користувача стороннім провайдерам, призначеним користувачем (охоронним компаніям, інженерам монтажу), через мобільні застосунки або ПК. У таких випадках обрані користувачем компанії також отримають доступ до даних, які користувач хоче передати.

Яких заходів вживає Ajax, щоб відповідати світовому законодавству про захист даних? Як Ajax демонструє відповідність GDPR?

Щоб відповідати вимогам міжнародного законодавства про захист персональних даних, Ajax застосовує значну кількість заходів, механізмів і процедур. Наприклад, Ajax застосовує принципи обмеження обробки даних (конфіденційність за призначенням і за замовчуванням), мінімізації даних, контролю за доступом, політики обробки даних (політики зберігання, використання, видалення тощо). Під час передавання даних Ajax застосовує різні заходи, зокрема організаційно-технічні та стандартні договірні положення. Ви можете знайти більше інформації про це в розділі Передавання даних.

Як я можу реалізувати свої права на приватність?

Для реалізації ваших прав на приватність (видалення, заперечення або отримання інформації про ваші персональні дані, обмеження обробки тощо) ви можете зв'язатися з нами за адресою електронної пошти privacy@ajax.systems.

Передавання даних

Кому Ajax може надавати мої дані? Які типи даних можуть бути доступними і в яких випадках?

Зазвичай ми можемо передавати ваші персональні дані лише у випадках, коли це потрібно для надання вам замовлених послуг. Такі дані можуть бути розкриті нашим вендорам і постачальникам послуг, які забезпечують певні сервіси для функціонування наших Продуктів і Послуг. Зокрема, це стосується хостингу даних, технічної підтримки, зв'язку тощо. Ми переконуємося, що такі постачальники ставляться до них так само відповідально, як і ми самі.

Ми можемо передавати ваші контактні дані (наприклад, номер мобільного телефону, псевдонім та електронну пошту) постачальникам послуг фізичної охорони, якщо ви звернетеся до нас з відповідним проханням, вибравши такого постачальника в нашому застосунку. Зверніть увагу, що такі постачальники послуг самі стають контролерами даних і несуть відповідальність за ваші персональні дані. Попри те, що ми обираємо надійних партнерів для нашого застосунку, ми рекомендуємо перевіряти їхню політику конфіденційності, перш ніж звертатися до нас із проханням передати ваші дані до обраних компаній.

Для певних потреб Ajax може використовувати послуги сторонніх обробників за межами ЄЕЗ. Такими потребами можуть бути хостинг даних, технічний зв'язок для реєстрації, монтажу й інших організаційних заходів за допомогою електронної пошти або телефону.

Ajax докладає всіх можливих зусиль, щоб забезпечити передачу даних з дотриманням усіх чинних законів про захист персональних даних. Так, Ajax уклала угоди DPA з усіма субоператорами (включно з SCC у разі транскордонної передачі даних), а також вжила додаткових допоміжних заходів, що застосовуються під час передачі й обробки даних. Усі субоператори Ajax мають власні положення щодо політики конфіденційності й інші документи, пов'язані з дотриманням приватності, які регулярно переглядають фахівці Ajax для забезпечення відповідності вимогам законодавства.

Список схвалених Ajax субоператорів:

Послуга

Постачальник

Призначення використання

Посилання на політику конфіденційності та договір про захист персональних даних (DPA)

AWS

Amazon

Хостинг даних та резервне копіювання

https://aws.amazon.com/privacy/ 

https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html 

Twilio

Twilio Group

Програмовані SMS

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

SendGrid

Twilio Group

Програмоване 

спілкування електронною поштою

https://www.twilio.com/legal/privacy 

https://sendgrid.com/resource/general-data-protection-regulation-2/

Mailgun

Sinch Email

Транзакційна 

послуга електронної пошти

https://www.mailgun.com/legal/privacy-policy/ 

https://www.mailgun.com/legal/dpa/ 

MongoDB

MongoDB Inc.

Постачальник послуг баз даних

https://www.mongodb.com/legal/privacy-policy

https://www.mongodb.com/legal/dpa

Google BigQuery

Google LLC

Аналітика, покращення сервісу

https://policies.google.com/privacy

BlueDot

Twiso, Inc

Записник для комунікації з кандидатами

https://www.bluedothq.com/privacy

Creatio

CREATIO EMEA LTD

CRM-система (уніфікована система для комунікації) 

https://www.creatio.com/privacy-policy, https://www.creatio.com/GDPR

OpenAI

OpenAI, L.L.C.

Автоматизована відповідь на запити

https://openai.com/security-and-privacy/

Що таке стандартні договірні положення?

Стандартні договірні положення (SCC) — це стандартизовані та попередньо затверджені типові положення про захист даних, які дають змогу контролерам та обробникам дотримуватися своїх зобов'язань відповідно до законодавства ЄС про захист даних. Вони можуть бути включені контролерами й обробниками в їхні договірні домовленості з іншими сторонами, наприклад, комерційними партнерами. Ці положення можна використовувати на добровільній основі для демонстрації відповідності вимогам щодо захисту даних, що вимагає обов'язкового договірного зобов'язання їх дотримуватися. Європейська Комісія має повноваження ухвалювати SCC (1) щодо взаємовідносин між контролерами та обробниками та (2) щодо передачі персональних даних до країн поза межами ЄЕЗ.

Що таке додаткові заходи?

Додаткові заходи — це спеціально впроваджені технічні й організаційні процедури, спрямовані на досягнення ефективного рівня захисту переданих даних, аналогічного обробці даних у межах ЄЕЗ.

Ajax реалізувала, зокрема, але не обмежуючись, такі організаційні заходи:

  • регулярні навчальні тренінги та перевірки рівня обізнаності працівників Ajax; 
  • автоматизована система моніторингу порушень та вразливостей в режимі реального часу; 
  • постійне логування всіх процесів; 
  • регулярна перевірка та валідація Ajax Systems на наявність вразливостей.

Ajax реалізувала, зокрема, але не обмежуючись, такі технічні заходи: 

  • Заходи для запобігання доступу сторонніх осіб до систем обробки даних, наявних у приміщеннях та спорудах (включно з базами даних, серверами застосунків та відповідним апаратним забезпеченням), де обробляють персональні дані, включно зі створенням зон безпеки, обмеженням шляхів доступу, встановленням авторизації доступу для працівників і третіх осіб, блокуванням дверей (електричні дотягувачі дверей тощо).
  • Заходи для запобігання використанню систем обробки даних сторонніми особами, включаючи процедури визначення й автентифікації користувачів, процедури захисту ідентифікаторів/паролів, шифрування носіїв архівних даних.
  • Заходи щодо гарантування доступу осіб, які мають право користуватися системою обробки даних, лише до тих персональних даних, які відповідають їхнім правам доступу, і що персональні дані неможливо прочитати, скопіювати, змінити або видалити без відповідного дозволу, включаючи внутрішні політики та процедури, схеми контролю авторизації, диференційовані права доступу (профілі, ролі, транзакції та об'єкти), моніторинг та реєстрацію доступів, дисциплінарні заходи щодо працівників, які здійснюють доступ до персональних даних без відповідного дозволу.
  • Заходи щодо запобігання несанкціонованому зчитуванню, копіюванню, зміні або видаленню персональних даних під час електронної передачі, транспортування або зберігання на носіях (ручних або електронних), а також щодо можливості перевірити, яким компаніям або іншим юридичним особам надаються персональні дані, включаючи шифрування, реєстрацію, транспортну безпеку. Усі персональні дані шифруються алгоритмом AES256 в стані спокою і підлягають передачі через HTTPS з шифруванням AES128 і TLS 1.2.
  • Заходи щодо моніторингу того, чи були і ким саме введені, змінені або вилучені (видалені) дані із систем обробки даних, включаючи системи реєстрації та звітності, аудиторські сліди та документацію.
  • Заходи для забезпечення захисту персональних даних від випадкового знищення або втрати (фізичної/логічної), зокрема процедури резервного копіювання, джерела безперебійного живлення (UPS), віддалене зберігання, системи антивірусного захисту/брандмауера, план аварійного відновлення, план сталого розвитку бізнесу.
  • Заходи, спрямовані на окрему обробку персональних даних, зібраних для різних цілей, включаючи розділення баз даних, обмеження використання, розділення функцій (виробництво/тестування).

Що таке оцінювання результативності передавання даних?

Оцінювання результативності передавання даних (TIA) — це аналіз, який виконує контролер або оператор даних щодо наслідків для безпеки передачі персональних даних до країн поза межами ЄС/ЄЕЗ, або країн, на які поширюється рішення про адекватність передавання даних.

GDPR White Paper