Firma Esri potwierdza zgodność z europejskimi przepisami dotyczącymi prywatności (Ogólne Rozporządzenie o Ochronie Danych — RODO), które weszły w życie w maju 2018 r. RODO narzuca nowe zasady na przedsiębiorstwa, agencje rządowe, instytucje non-profit i inne instytucje spoza Unii Europejskiej przetwarzające dane osobowe w związku z oferowaniem produktów i usług osobom na terenie Unii Europejskiej (UE) lub monitorujących zachowania obywateli UE na obszarze Unii Europejskiej.
Usługi Esri objęte zakresem
Firma Esri jest podmiotem przetwarzającym dane osobowe w odniesieniu do innych instytucji będących ich administratorami (tj. klientów), które powierzyły jej przetwarzanie tych danych. Przykładem może być usługa ArcGIS Online, a konkretnie dane przekazywane w ramach zgłoszenia pomocy technicznej oraz przekazane nam dane kontaktowe do instytucji klienta.
Działania firmy Esri
- Zobowiązania w zakresie przetwarzania danych — firma Esri przygotowała Aneks dotyczący przetwarzania danych (Data Processing Addendum — DPA), który określa warunki w zakresie prywatności, poufności i bezpieczeństwa unijnych danych osobowych związanych z usługami online i usługami wsparcia oferowanymi przez nas na podstawie umowy ramowej, aktualnej umowy licencyjnej z firmą Esri lub bieżącej umowy online zawieranej przez „kliknięcie”. Po uznaniu w 2020 roku porozumienia Privacy Shield za niedostateczną gwarancję firma Esri uzupełniła dodatek DPA o standardowe klauzule umowne UE (EU Standard Contractual Clauses — SCC). Nieco później, bo w 2021 roku dodano do DPA środki uzupełniające zgodne z ostatnimi wytycznymi UE.
- Pliki cookie i zgoda — firma Esri unika stosowania plików cookie związanych z odbiorcami w celu ułatwienia procesów marketingu/sprzedaży podczas korzystania z produktów opłaconych przez klienta.
- Przechowywanie danych — użytkownicy usługi ArcGIS Online nie muszą przechowywać swoich danych osobowych w aplikacji, a zestawy danych przesyłane do usługi ArcGIS Online klient może w dowolnym momencie usunąć. Zestawy danych klienta przechowywane w instytucji ArcGIS Online są usuwane w ciągu 60 dni po zakończeniu usługi. W razie potrzeby klienci mogą zażądać usunięcia ich zestawów danych przed upłynięciem tego czasu. Zestawy danych wsparcia są usuwane w ciągu 90 dni po zakończeniu zdarzenia pomocy technicznej, chyba że uzgodniono inaczej.
- Lokalizacja danych — klienci usługi ArcGIS Online pracujący z dystrybutorem firmy Esri w regionach UE lub Azji i Pacyfiku domyślnie zapisują dane swoich instytucji w powiązanym regionie UE lub Azji i Pacyfiku (regionalne lokalizacje centrów danych określone w CAIQ). Przechowywanie wszystkich innych danych i metadanych klientów usługi ArcGIS Online w przypadku nowych instytucji jest domyślnie ograniczone do terenu USA.
- Szyfrowanie — dane klientów są szyfrowane w miejscu przechowywania oraz podczas przesyłania w związku z usługą ArcGIS Online.
- Eksperci ds. prywatności — firma Esri jest członkiem stowarzyszenia International Association of Privacy Professionals (IAPP) , a certyfikowani specjaliści ds. prywatności w zespole Esri Software Security & Privacy dbają o ciągły rozwój praktyk zapewniających prywatność już na etapie projektowania.
Działania klientów
- Podpisanie dodatku DPA firmy Esri — klienci mogą pobrać, podpisać i zachować kopię [PDF] w swoich aktach bez konieczności jej zwrotu do Esri.
- Przejrzenie najważniejszych wskazówek dotyczących prywatności w oprogramowaniu ArcGIS — jednym z najobszerniejszych dokumentów zawierających wytyczne dotyczące prywatności klientów ma liczące 50 stron opracowanie techniczne ArcGIS Location Sharing Privacy (Ochrona prywatności podczas udostępniania lokalizacji w systemie ArcGIS). W dokumencie tym omówiono wytyczne w zakresie od architektury wysokiego poziomu aż do poszczególnych ustawień konfiguracyjnych. W sekcji Dokumenty w Centrum zaufania można znaleźć liczne prezentacje i przewodniki poświęcone prywatności.
- Weryfikacja — należy okresowo sprawdzać wdrożenie pod kątem zaleceń wskazywanych przez narzędzie ArcGIS Security Advisor (niebieski przycisk u góry Trust Center). Jeszcze obszerniejsze rekomendacje dotyczące konfiguracji oprogramowania ArcGIS są podsumowane w opracowaniu technicznym Privacy (Prywatność) w postaci macierzy z oznaczeniami kolorystycznymi (widoczna poniżej).
Zasoby
- Przegląd dodatku DPA firmy Esri (publicznie dostępna strona Trust Center)
- Ochrona prywatności podczas udostępniania lokalizacji w systemie ArcGIS (publicznie dostępny dokument Trust Center)
- Gdzie są moje dane? ArcGIS Online — kwestionariusz CAIQ (publicznie dostępny dokument Trust Center)