Certyfikacja zgodności z RODO – środki techniczne i organizacyjne
Data aktualizacji dokumentu: 11.06.2025 r.
Dokument przedstawia ogólny opis środków technicznych i organizacyjnych stosowanych przez firmę BrainSHARE IT sp. z o.o. z siedzibą w Krakowie, przy świadczeniu dla klientów usług związanych z przetwarzaniem danych osobowych w związku z korzystaniem z Systemu SaldeoSMART, zgodnych z wymaganiami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane RODO).
W BrainSHARE IT sp. z o.o. (BrainSHARE, Spółka) wdrożone zostały niezbędne procedury i polityki służące m.in. zapewnieniu bezpieczeństwa, poufności, integralności i dostępności danych klientów (w tym danych osobowych, w stosunku do których BrainSHARE jest administratorem czy procesorem), do których w ramach świadczonych usług uzyskują dostęp pracownicy lub współpracownicy Spółki.
1. Procedury i polityki służące do zapewnienia bezpieczeństwa, poufności i integralności danych osobowych w tym:
- Polityka Bezpieczeństwa Przetwarzania Danych Osobowych (sieć, dostęp do pomieszczeń);
- Procedury dotyczące analizy ryzyka i audytu wewnętrznego.
2. Kontrola dostępu
- Ograniczony dostęp do budynków, środowisk i zbiorów danych. Dostęp mają osoby wyłącznie upoważnione.
- Pracownicy lub współpracownicy korzystają z kart dostępowych lub stosowane są inne metody kontroli fizycznego dostępu do nieruchomości, budynków lub pomieszczeń firmy, zapewniające kontrolę dostępu poszczególnych osób odpowiednią do zakresu ich uprawnień.
- Nadawanie uprawnień poszczególnym pracownikom lub współpracownikom w zakresie dostępu do systemów wewnętrznych BrainSHARE oraz środowisk klienta podlega procedurze umożliwiającej weryfikację wniosku o nadanie uprawnień.
- Dostęp do systemów wewnętrznych i środowisk oraz danych klientów możliwy jest tylko dla upoważnionych pracowników lub współpracowników po zalogowaniu na indywidualne konto i przy użyciu indywidualnego hasła.
- Zdalny dostęp pracowników lub współpracowników do sieci Spółki i późniejsza wymiana informacji, odbywają się po uwierzytelnieniu przy wykorzystaniu bezpiecznych mechanizmów, zapewniających poufność i integralność (VPN, AuthProxy).
- W celu zapewnienia bezpieczeństwa, tam gdzie jest to uzasadnione Spółka współpracuje z firmami ochroniarskimi.
3. Środki ochrony programów i baz danych
- Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
- Zastosowano kryptograficzne środki ochrony danych osobowych – szyfrowanie danych w spoczynku i w tranzycie.
- Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
- Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
- Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
- Użyto systemu firewall do ochrony dostępu do sieci komputerowej.
4. Infrastruktura IT i bezpieczeństwo – aktualna lista podwykonawców
- W zakresie przechowywania danych w tym kopii zapasowych, Spółka korzysta z Google Cloud – Google Ireland (Dublin, Gordon House, Barrow St, Dublin 4, Irlandia. Polcom S.A. (ul. Krakowska 43, Skawina), Wasabi Technologies LLC (75 Arlington Street, Suite 810, Boston, MA 02116).
Google Cloud Compliance – https://cloud.google.com/compliance?hl=pl
Google Cloud GDPR – https://cloud.google.com/privacy/gdpr?hl=pl
Wasabi compliance – https://wasabi.com/cloud-object-storage/compliance
Wasabi GDPR – https://cdn.brandfolder.io/BFD8NB05/at/6q6b6gs5697tmcxktm3fxmkz/GDPR_white_paper.pdf
Polcom compliance – https://polcom.com.pl/o-firmie/normy-i-certyfikaty/
- Dane przetwarzane są na terenie Unii Europejskiej zgodnie z europejskimi normami bezpieczeństwa i ochrony danych.
- Ośrodki przetwarzania danych zapewniają kontrolę dostępu, monitoring, ochronę fizyczna, systemy przeciwpożarowe oraz redundancję systemów klimatyzacji, zasilania energetycznego i łączy telekomunikacyjnych.
- W celu zapewnienia dostępności i bezpieczeństwa danych spółka wdrożyła szereg procedur i praktyk, w tym:
- zarządzanie aktualizacjami i łatkami bezpieczeństwa;
- zarządzanie bezpieczeństwem infrastruktury i aplikacji;
- cykliczne testy bezpieczeństwa;
- procedury wykonywania, odtwarzania i przechowywania kopii bezpieczeństwa zgodnie z przyjętą Polityką;
- Implementację mechanizmów wysokiej dostępności (HA) i zapewnienia spójności dla danych.
- Kopie bezpieczeństwa wykonywane są regularnie zgodnie z przyjętą polityką. Przechowywane są w przynajmniej dwóch różnych lokalizacjach.
5. Usługi zewnętrzne wspierające – aktualna lista podwykonawców
- Spółka w zakresie wsparcia usług serwisowych w modelu hostowanym korzysta
z usług Zendesk Inc., która swoja główną siedzibę ma w Stanach Zjednoczonych (San Francisco, California). Zendesk Inc. przestrzega zbioru zasad ochrony prywatności, w szczególności poprzez stosowanie wiążących reguł korporacyjnych zatwierdzonych przez Europejską Radę Ochrony Danych (lista). Dane osobowe są przetwarzane na terenie EOG.
Więcej informacji na temat przetwarzania danych przez Zendesk Inc. znajduje się w polityce prywatności Zendesk na stronie: https://www.zendesk.co.uk/company/customers-partners/privacy-policy/ oraz na stronie o ochronie danych osobowych w UE: https://www.zendesk.co.uk/company/privacy-and-data-protection/
Zendesk Inc. posiada:
- certyfikat ISO 27001:2013 – System Zarządzania Bezpieczeństwem Informacji – Zendesk_ISO27001_Certificate_2019.pdf
- oraz certyfikat ISO 27018:2014 – Ochrona danych osobowych w chmurze obliczeniowej – Zendesk_ISO27018_Certificate_2019.pdf.
- W zakresie analizy zachowania użytkownika w celu ulepszania działania aplikacji Spółka wykorzystuje narzędzie Hotjar, którego dostawcą jest Hotjar Limited, Level 2, St Julian’s Business Centre, 3, Elia Zammit Street, St Julian’s STJ 1000, Malta.
Hotjar deklaruje zgodność z przepisami dotyczącymi ochrony danych osobowych https://www.hotjar.com/legal/compliance/gdpr-commitment/.
- W zakresie wsparcia działań marketingowych spółka korzysta z Systemu SALESmanago Customer Data Platform & Marketing Automation Platform, którego dostawcą jest Benhauer sp. z o.o. ul. Grzegórzecka 21, 31-532 Kraków.
Zgodność z przepisami dotyczącymi ochrony danych osobowych https://www.salesmanago.pl/info/rodo.htm
- w zakresie do pomiaru lojalności klientów spółka korzysta w InMoment (dawniej Wootric) – dane znajdują się na terenie EU – szczegóły polityki prywatności znajdują się tutaj: https://inmoment.com/privacy-policy/.
- W zakresie wsparcia procesu sprzedaży spółka wykorzystuje Livespace CRM, „Livespace” sp. z o.o. z siedzibą w Warszawie (02-516) przy ul. Tadeusza Rejtana 17/12, https://www.livespace.io/pl/ochrona-danych-osobowych/.
- W zakresie zarządzania projektami spółka wykorzystuje narzędzie Jira, dane są przetwarzane na terenie UE – https://support.atlassian.com/security-and-access-policies/docs/understand-data-residency/
- itDesk spółka z ograniczoną odpowiedzialnością z siedzibą w Opolu przy ul. Domańskiego 112A, kod pocztowy 45-852 Opole – Usługi Callback24 do wysyłania żądania kontaktu telefonicznego przez Użytkowników, którzy chcą skontaktować się z właścicielem strony saldeosmart.pl oraz wysyłanie powiadomień za pomocą aplikacji mobilnej o potencjalnym Kliencie ze strony internetowej, stworzenia spersonalizowanego widgetu, sprawdzania statystyk https://callback24.pl/polityka-prywatnosci/.
- Możliwość wykonywania badań jakości obsługi oraz badań satysfakcji i doświadczeń zakupowych klientów realizowane przez firmę „Łukasz Kosuniak”, ul Rakietników 10/10 02-495 Warszawa NIP 796 222 39 42, REGON: 366921989 oraz ‘Transkryptor’ Kudelski Communications Krzysztof Kudelski z siedzibą w Sopocie przy ulicy Tadeusza Kościuszki 16/2, 81-704 Sopot, NIP 1181587735 REGON 141250495 – firma wykonuje transkrypcje zakodowanych nagrań z wywiadów z klientami.
- Wsparcie obsługi klienta oraz rozwój aplikacji za pomocą rozwiązania Gemini API, którego dostawcą jest Google Ireland (Dublin, Gordon House, Barrow St, Dublin 4, Irlandia) – zasady przetwarzania danych dla stosowanej wersji – https://ai.google.dev/gemini-api/terms#data-use-paid, zasady powierzenia danych https://business.safety.google/processorterms/.
- Wsparcie i usprawnienie obsługi klienta za pomocą narzędzia Unless – AI, którego dostawcą jest Unless – a Rocket Launcher B.V. company, Panamalaan 8-D, 1019 AZ Amsterdam, Netherlands. Zbiór zasad dotyczących przetwarzania danych – https://unless.com/en/platform/terms/.
- Do organizacji webinariów spółka wykorzystuje narzędzie Clickmeeting, którego dostawcą jest ClickMeeting spółką z ograniczoną odpowiedzialnością z siedzibą w Gdańsku (kod: 80-309), przy al. Grunwaldzka 413.
- Do analizy i wizualizacji danych spółka wykorzystuje narzędzie Tableu, którego dostawcą jest SalesforceUKLimited, Floor26 SalesforceTower, 110Bishopsgate, London, EC2N4AY, United Kingdom.
6. System SaldeoSMART
- Daje możliwość nadania każdemu użytkownikowi osobnego loginu;
- Wymusza logowanie przy użyciu loginu oraz hasła;
- Hasła użytkowników są zapisane w postaci jednokierunkowego skrótu (funkcja haszująca);
- Zapewnia dostęp i kontrolę wybranych obszarów danych – poprzez prawa na użytkownikach;
7. SaldeoSMART – wersja online
- Połączenie z serwerem SaldeoSMART jest szyfrowane (SSL);
- Zasoby serwerów chronione są przez Firewall;
- Dostęp do maszyn produkcyjnych mają tylko uprawnieni do tego pracownicy lub współpracownicy;
- Dane użytkowników oraz bazy danych aplikacji są przechowywane na zaszyfrowanych dyskach;
- Zastosowanie mają wszystkie elementy wymienione w pkt. 4.
8. SaldeoSMART – wersja lokalna
- Połączenie z serwerem SaldeoSMART jest szyfrowane (SSL) w przypadku udostępnienia systemu w sieci publicznej;
- Dyski maszyny wirtualnej SaldeoSMART są szyfrowane;
- Zasoby serwera chronione są przez Firewall;
- Dostęp do OS maszyny mają tylko uprawnione do tego osoby, a ich działania są logowane;
- Zapewnienie ciągłości działania i wykonywanie kopii bezpieczeństwa leży w kwestii Administratora Danych (Klienta).
9. Zarządzanie incydentami
W BrainSHARE wdrożono procedurę zarządzania incydentami i nałożono na wszystkich pracowników i współpracowników obowiązek zgłaszania wszelkiego rodzaju incydentów naruszenia bezpieczeństwa, w tym incydentów dotyczących naruszenia ochrony danych osobowych.