Najczęściej zadawane pytania dotyczące ogólnego rozporządzenia o ochronie danych (RODO)

 

Niniejszy dokument zawiera często zadawane pytania dotyczące aktualizacji wprowadzonych przez firmę Citrix w umowie licencyjnej użytkownika końcowego i umowie o świadczenie usług użytkownikom końcowym oraz załączniku dotyczącym przetwarzania danych dostępnym w serwisie My Account (Moje konto) Citrix, a także ogólne pytania dotyczące rozporządzenia RODO.

Uwzględniono warunki dotyczące bezpieczeństwa i ochrony danych zawarte w naszej umowie licencyjnej użytkownika końcowego (EULA) oraz umowie o świadczenie usług użytkownikom końcowym (EUSA). Zaktualizowane warunki obejmują szczegółowy opis zabezpieczeń używanych w usługach Citrix, a także warunki przetwarzania danych zgodne z odpowiednimi paragrafami rozporządzenia RODO oraz standardowymi klauzulami umownymi UE. Warunki te dotyczą wszelkich przyszłych zakupów lub aktualizacji produktów — nie ma potrzeby wykonywania żadnych czynności, aby zapewnić zgodność przetwarzania danych osobowych w organizacji z rozporządzeniem RODO i umową dotyczącą przetwarzania danych.

Warunki umów z firmą Citrix zostały zmodyfikowane, aby zapewnić zgodność z artykułem 28 rozporządzenia RODO. Wymaga on, aby działania przetwarzania danych podlegały postanowieniom umowy. Warunki zawierają też konkretne informacje o tym, jak firma Citrix zabezpiecza swoje usługi.

Rozporządzenie RODO jest największą aktualizacją europejskiego prawa o ochronie danych osobowych od 1995 r. Zapewnia ono lepszą ochronę danych osobowych osób fizycznych.

Rozporządzenie RODO ma zastosowanie, jeżeli organizacja ma siedzibę w UE lub przetwarza dane osobowe osób fizycznych w UE, aby oferować produkty lub usługi. Oznacza to, że rozporządzenie RODO będzie obowiązywać praktycznie wszystkie firmy prowadzące działalność w UE.

Każdy rodzaj informacji, których można użyć do identyfikacji tożsamości osoby fizycznej, np. numer telefonu, adres e-mail lub adres IP.

Gromadzenie, przechowywanie, wykorzystywanie i praktycznie wszystko inne, co można robić z danymi osobowymi.

Rozporządzenie RODO weszło w życie 25 maja 2018 r.

Organizacje muszą wdrożyć odpowiednie zasady i środki bezpieczeństwa, zgłaszać nieupoważniony dostęp do danych władzom (i w niektórych przypadkach osobom fizycznym, których to dotyczy), przeprowadzać oceny wpływu na poufność, przechowywać dokumentację działań dotyczących danych i podpisywać umowy dotyczące przetwarzania danych z firmami zajmującymi się przetwarzaniem danych.

Rozporządzenie RODO jest oparte na dyrektywie o poufności danych, wzmacnia jednak istniejące prawa w pewnych aspektach, w tym w odniesieniu do powiadomień o nieupoważnionym dostępie, wprowadza wyższe kary za niezgodność z przepisami i utratę danych, a także daje osobom fizycznym możliwość kontroli sposobu przetwarzania danych osobowych.

Kary mogą wynieść do 20 milionów euro lub 4 procent globalnego przychodu organizacji, zależnie od tego, która z tych wartości jest większa.

Nie ma prostej drogi do zapewnienia zgodności z przepisami. Najpierw (jeżeli nie zostało to jeszcze zrobione) należy określić, w jakim stopniu rozporządzenie RODO dotyczy Twojej organizacji, a także w jaki sposób organizacja wykorzystuje dane osobowe osób z UE. Konieczne może być podpisanie umów o przetwarzanie danych osobowych z firmami zajmującymi się przetwarzaniem danych, a także zweryfikowanie bezpieczeństwa systemów komputerowych i działań związanych z przetwarzaniem danych. W przygotowaniu firmy do wdrożenia rozporządzenia RODO może pomóc  Zestaw zasobów dotyczących RODO przygotowany przez Citrix.

Jeżeli organizacja jest odpowiedzialna za gromadzenie danych i określanie sposobu ich przetwarzania („podmiot kontrolujący dane”), rozporządzenie RODO wymaga podpisania umów ze wszystkimi podmiotami przetwarzającymi dane w imieniu firmy („firmy zajmujące się przetwarzaniem danych”). Umowa o przetwarzanie danych jest umową między podmiotem kontrolującym dane a firmą zajmującą się przetwarzaniem danych, w której określone są sposoby spełniania wymogów rozporządzenia RODO. W tym celu firma Citrix udostępnia Załącznik dotyczący przetwarzania danych

To zależy od rodzaju współpracy organizacji z firmą Citrix. Jeżeli Twoja organizacja używa usług (takich jak usługi Citrix Cloud) i firmaCitrix przechowuje dane osobowe w ramach tych usług, wtedy firma Citrix jest firmą przetwarzającą dane.

Załącznik dotyczący przetwarzania danych (DPA) Citrix jest częścią umów EULA, EUSA lub umowy o świadczenie usług Citrix odnoszących się do usług („Umowa”) i nie wymaga wykonania.  Opcjonalnie można jednak wykonać standardowe klauzule umowne UE Citrix.

Prawo UE reguluje transfer danych osobowych mieszkańców UE do krajów spoza Europejskiego Obszaru Gospodarczego (EOG) (kraje UE oraz Islandia, Liechtenstein i Norwegia). UE udostępniła zestaw modelowych klauzul umownych (nienegocjowalne warunki określone przez Unię Europejską), które można dołączyć do umów między podmiotami kontrolującymi dane i firmami przetwarzającymi spoza UE lub EOG, aby zapewnić, że wszystkie dane osobowe opuszczające teren EOG zostaną przekazane zgonie z prawem UE, w tym z rozporządzeniem RODO.

Tak, w przypadku stosownych transferów międzynarodowych standardowe klauzule umowne UE mają zastosowanie przez odniesienie. Klienci, którzy chcieliby również formalnie wykonać standardowe klauzule umowne, mogą uzyskać dostęp do wersji wykonywalnej, przeprowadzając prostą procedurę:

  • Przejść do witryny Citrix.com i zalogować się do serwisu My Account (Moje konto) Citrix.
  • Kliknąć opcję „View Standard Contractual Clauses” (Pokaż standardowe klauzule umowne) z lewej strony.
  • Kliknąć przycisk „Accept” (Akceptuj), aby elektronicznie uzupełnić standardowe klauzule umowne.

Klienci Podio, RightSignature i Citrix Content Collaboration, którzy nie używają wersji Citrix Content Collaboration Enterprise Edition ani nie wykupili żadnego produktu Citrix Enterprise, mogą nie mieć konta My Citrix Account (Moje konto Citrix). 

Można też łatwo utworzyć konto w witrynie www.citrix.com. Dzięki temu będzie można uzyskać dostęp do załącznika dotyczącego przetwarzania danych, a także wielu innych korzyści związanych z produktami i usługami Citrix.

Rozporządzenie RODO weszło w życie, zanim Wielka Brytania wystąpiła z UE, dlatego wciąż ma ono zastosowanie do Wielkiej Brytanii. Firmy w Wielkiej Brytanii przetwarzające dane obywateli Unii Europejskiej zawsze będą zmuszone przestrzegać rozporządzenia RODO, nawet po wyjściu kraju z UE.

Te najczęściej zadawane pytania i zamieszczone w tym miejscu łącza umożliwiają uzyskanie ogólnych informacji o rozporządzeniu RODO w Unii Europejskiej. Treści te nie są i nie powinny być interpretowane jako porada prawna. Firma Citrix nie udziela porad prawnych, księgowych ani audytorskich, a także nie oświadcza ani nie gwarantuje, że jej usługi lub produkty zapewnią klientom lub partnerom handlowym zgodność z przepisami prawa.

Klienci i partnerzy handlowi są odpowiedzialni za zapewnienie zgodności z obowiązującymi przepisami, w tym z rozporządzeniem RODO. Klienci i partnerzy handlowi muszą samodzielnie i/lub w porozumieniu z kompetentnym radcą prawnym interpretować wszelkie obowiązujące przepisy dotyczące ich organizacji, które mogą wpływać na ich działania i wszelkie działania, które muszą podejmować w celu zapewnienia zgodności z tymi przepisami i prawami.