16 lipca 2020 roku Europejski Trybunał Sprawiedliwości unieważnił Tarczę Prywatności. W związku z tym nie ma już podstawy prawnej regulującej wymianę danych z podmiotami amerykańskimi. Każda organizacja korzystająca z usług podmiotów przetwarzających dane z siedzibą w Stanach Zjednoczonych będzie musiała zawrzeć standardową klauzulę umowną (SKU) z każdym z tych podmiotów. GoodHabitz także. Następnym krokiem jest wykazanie, że poziom ochrony oferowany przez SKU spełnia wymogi RODO.
Co to oznacza dla użytkowników?
Twoja prywatność stanowi dla nas najwyższy priorytet, dlatego chcemy pokazać Ci, w jaki sposób zapewniamy zgodność z RODO w zakresie naszej współpracy z podmiotami przetwarzającymi dane. Naszym celem jest jak najlepiej chronić Twoje dane osobowe.
- Sporządziliśmy listę wszystkich podmiotów, które mogą przetwarzać Twoje dane osobowe poza EOG.
- Skontaktowaliśmy się z tymi podwykonawcami, aby zapytać ich, jakie podjęli działania po unieważnieniu Tarczy Prywatności.
- Zwołaliśmy zespół reagowania w wyjątkowych sytuacjach, aby podjąć decyzję w sprawie podmiotów przetwarzających dane z USA.
- Postanowiliśmy poszukać europejskiej alternatywy dla dwóch podmiotów przetwarzających dane ze Stanów Zjednoczonych.
- Wdrożyliśmy usługi nowych europejskich podmiotów przetwarzających dane.
Co to oznacza dla naszych klientów?
Zawarta umowa powierzenia przetwarzania danych nadal będzie obowiązywała. Oznacza to, że wykaz podmiotów przetwarzających dane wymienionych w umowie musi zostać zaktualizowany. Naszym obowiązkiem jako głównego podmiotu przetwarzającego dane jest poinformowanie klientów o wszelkich zmianach w zakresie tych podwykonawców.
Bouncer
Nowy podwykonawca występujący w charakterze podmiotu przetwarzającego dane zajmujący się weryfikacją adresów e-mail
Firma GoodHabitz nie mogła zagwarantować, że Kickbox, nasz były podwykonawca w zakresie przetwarzania danych z siedzibą w Stanach Zjednoczonych, który odpowiadał za weryfikację adresów e-mail, spełnia wymogi RODO. Dlatego postanowiliśmy skorzystać z usług innego podmiotu z siedzibą w obrębie EOG, a mianowicie firmy Bouncer. Dokładnie sprawdziliśmy i przetestowaliśmy usługi tej polskiej firmy. Test bezpieczeństwa wykazał, że Bouncer podejmuje wszelkie niezbędne środki techniczne i organizacyjne, aby w pełni stosować się do wymogów RODO. Temu podwykonawcy udostępniamy wyłącznie adresy e-mail. Bouncer bezpiecznie przechowuje oraz przetwarza adresy e-mail w infrastrukturze chmury ulokowanej w Unii Europejskiej, korzystając z hybrydowego rozwiązania w chmurze AWS (region Frankfurtu) oraz OVH (Francja). Żadne dane nie są przesyłane poza obszar EOG, a Bouncer usuwa wszystkie dane osobowe z systemu po 60 dniach. Nie korzystamy już z usług firmy Kickbox.
Copernica (SMTPeter)
Nowy podwykonawca występujący w charakterze podmiotu przetwarzającego dane zajmujący się wysyłaniem e-maili transakcyjnych
Pomimo wielu środków ograniczających ryzyko zastosowanych przez naszego byłego podwykonawcę, firmę Mailchimp/Mandrilla, po unieważnieniu Tarczy Prywatności, zdecydowaliśmy się przejść na usługi dostawcy z siedzibą na terenie EOG. Sprawdziliśmy i przetestowaliśmy narzędzie SMTPeter, które oferuje serwer SMTP w chmurze pozwalający szybko i bezpiecznie przesyłać wiadomości e-mail. SMTPeter to rozwiązanie firmy Copernica, holenderskiego przedsiębiorstwa oferującego oprogramowanie do automatyzacji marketingu, z siedzibą w Amsterdamie. Wszelkie dane są przechowywane w holenderskich centrach danych. Zarówno kontrola bezpieczeństwa, jak i techniczny test demonstracyjny przebiegły pomyślnie. Na początku grudnia zespół ds. bezpieczeństwa GoodHabitz poinformował wszystkich klientów o planowanej zmianie. Od 10 grudnia korzystamy z usług SMTPeter.
Salesforce
Podwykonawca występujący w charakterze podmiotu przetwarzającego dane zajmujący się CRM do celów sprzedażowych oraz systemem zgłoszeń w zakresie obsługi klienta
GoodHabitz zawarł standardowe klauzule umowne (SKU) z Salesforce. Ponadto Salesforce stosuje także wiążące reguły korporacyjne (WRK), które są zgodne z RODO. Pomimo zastosowania tych odpowiednich środków postanowiliśmy zlecić firmie Privacy Company, jako podmiotowi zewnętrznemu, przeprowadzenie oceny skutków dla ochrony danych (DPIA) w kontekście wdrożenia usług Salesforce w celu zagwarantowania bezwzględnej zgodności z RODO.
Efektem były następujące ustalenia oraz zastosowanie środków ograniczających ryzyko:
1. Usługi Salesforce stanowią dla GoodHabitz system CRM. W świetle przepisów RODO GoodHabitz nie występuje w charakterze podmiotu przetwarzającego dane, lecz administratora w zakresie, w jakim korzysta z usług z Salesforce.
Środki ograniczające ryzyko:
- Ponieważ współpraca z Salesforce nie stanowi elementu umowy pomiędzy GoodHabitz a jej klientami, firma Salesforce nie będzie już wymieniana jako podmiot przetwarzający dane występujący w charakterze podwykonawcy w umowie o powierzeniu przetwarzania danych oraz na powiązanych zestawieniach podwykonawców odpowiedzialnych za przetwarzanie danych.
2. Współpraca z Pardot stanowi elementem naszej umowy z Salesforce i dlatego założono, że dane były przechowywane na serwerach Salesforce EU18 (we Francji i w Niemczech), podobnie jak wszystkie nasze dane przekazywane Salesforce. Jednak dogłębna ocena skutków dla ochrony danych ujawniła, że wszystkie dane firmy Pardot są przechowywane w Stanach Zjednoczonych.
Środki ograniczające ryzyko:
- Sprawdzono, że wiążące reguły korporacyjne stosowane przez Salesforce obowiązują również w odniesieniu do usług Pardot.
- GoodHabitz zawarł z Salesforce aneks dotyczący dodatkowych zabezpieczeń w celu ochrony danych osobowych przed ingerencją, która wykracza poza zastosowanie środków koniecznych dla zapewnienia bezpieczeństwa narodowego i publicznego w demokratycznym społeczeństwie.
- Zadbaliśmy o to, by żadne dane osobowe użytkowników nie były udostępniane firmie Pardot, a zatem wyłącznie konta Salesforce tworzone w celach komercyjnych są udostępniane firmie Pardot. Użytkownik, który skontaktuje się z naszym działem pomocy technicznej, zostanie zarejestrowany w Salesforce, nie w Pardot.