Na monday.com, nada é mais importante para nós do que o sucesso dos nossos clientes e a proteção dos seus dados pessoais. Com clientes em quase todos os países do mundo, aderimos ao Regulamento Geral de Proteção de Dados (GDPR). O GDPR amplia os direitos de privacidade concedidos a indivíduos europeus e exige que certas empresas que processam os dados pessoais de indivíduos europeus cumpram um novo conjunto de regulamentos. Em particular, o GDPR pode se aplicar a empresas que processam os dados pessoais de indivíduos europeus e que têm presença na UE (ex.: escritórios ou estabelecimentos), bem como a empresas que não têm qualquer presença na UE, mas que visam o mercado europeu (ex.: oferecendo bens ou serviços ao mercado europeu) ou monitoraram o comportamento de indivíduos europeus. Estamos aqui para ajudar nossos clientes em seus esforços para cumprir o GDPR.
O que é GDPR?
Em 2016, a União Europeia (UE) aprovou um novo regulamento de privacidade chamado Regulamento Geral de Proteção de Dados, comumente conhecido como GDPR. Trata-se de uma decisão obrigatória que se aplica a todas as empresas que coletam dados e informações de indivíduos da UE e que atendem a determinados requisitos territoriais. O GDPR foi projetado para fortalecer a segurança e a proteção de dados pessoais na UE, bem como fornecer às empresas uma disposição estruturada sobre como coletar, processar, usar e compartilhar dados pessoais. Segundo o GDPR, o conceito de “dados pessoais” é muito amplo e abrange quase todas as informações relacionadas a um indivíduo específico.
Quando esses regulamentos começarão a ser impostos?
Todas as empresas que coletam ou processam os dados pessoais de indivíduos da UE devem estar em conformidade com o GDPR até 25 de maio de 2018.
Controladores e processadores
O GDPR define e distingue dois tipos de partes e responsabilidades quando se trata de coletar e processar dados pessoais: controladores de dados e processadores de dados. O controlador de dados determina as finalidades e formas como os dados pessoais são processados, enquanto o processador de dados é uma parte que processa dados em nome do controlador. Isso significa que o controlador pode ser qualquer empresa ou organização. Um processador pode ser uma empresa de SaaS, TI ou outra empresa que esteja processando os dados em nome do controlador. A monday.com é um processador de dados. Os clientes da monday.com (as organizações que usam a monday.com) são os controladores de dados. O controlador é responsável por garantir que todos os processadores com os quais ele lida estejam em conformidade com o GDPR, e os próprios processadores devem manter registros de suas atividades de processamento.
Que medidas foram tomadas pela monday.com posteriormente aos requisitos do GDPR?
Saudamos a chegada do GDPR e encaramos os regulamentos como responsáveis por elevar o nível da proteção de dados, segurança e conformidade. Continuaremos comprometidos com nossos clientes e usuários para ajudá-los a cumprir o GDPR enquanto usam a monday.com como seus processador de dados.
Trabalhamos com nossas equipes de engenharia, produto, segurança e jurídica para tornar nosso produto e nossos termos legais alinhados com o GDPR, e continuaremos a garantir que eles permaneçam continuamente alinhados. Como parte do projeto de preparação da monday.com para o GDPR, tomamos as seguintes medidas::
-
Revisamos e fortalecemos nossa infraestrutura e práticas, segurança, criptografia de dados em trânsito e em repouso, backup, registros e alertas de segurança
-
Um processo de avaliação de risco e mapeamento de dados foi realizado para garantir que todos os dados que possam ser armazenados ou processados sejam feitos de acordo com as instruções do GDPR.
-
Excluímos ou tornamos anônimos dados analíticos de usuários após a exclusão destes
-
Foi efetuada uma auditoria externa pela E&Y para o recebimento da certificação de segurança
SOC 2 Type II pelo American Institute of Certified Public Accountants (AICPA)
-
Recebemos as certificações de segurança reconhecidas internacionalmente
ISO 27001 ISMS (sistema de gerenciamento de segurança da informação) e ISO 27018 (para proteção de dados pessoais na nuvem).
-
Certificamo-nos de que possuímos os termos contratuais apropriados em vigor para desempenhar nossa função de processador de dados aos nossos clientes enquanto cumprimos o GDPR.
-
Colocamos em prática todos os procedimentos, processos e controles internos e sessões de treinamento recorrentes para a equipe, de modo a garantir nossa conformidade contínua com o GDPR
-
Revisamos nossos Termos de Uso e nossa Política de Privacidade para prestar suporte aos requisitos do GDPR.
-
Realizamos uma avaliação de segurança e privacidade com nossos subprocessadores, para garantir que todos estejam em conformidade com os requisitos do GDPR.
-
Nomeamos um Escritório de Proteção de Dados (EPD) e um representante na UE.
-
Desenvolvemos e estamos atualmente disponibilizando recursos de produto que permitem que as organizações lidem com a exclusão de dados:
- Excluir perfil de usuários: o administrador agora pode excluir dados pessoais de usuários do sistema (por sua própria iniciativa ou de acordo com a solicitação do usuário), o que permitirá que a organização atenda aos requisitos do GDPR. Serão excluídos o nome de usuário, telefone, e-mail, imagem, endereço, título, referências de redes sociais e outros campos de cliente, se fornecidos. A exclusão do usuário não removerá as publicações dele ou seus arquivos carregados — eles permanecerão disponíveis para a organização, sob um nome anônimo, conforme definido pela própria organização.
-
Exclusão de conta: ao cancelar uma conta, o administrador pode decidir se deseja manter as informações da organização (incluindo dados pessoais) para uso futuro ou excluí-las permanentemente.
Continuaremos a monitorar as orientações sobre a conformidade com o GDPR, e garantiremos que nossos produtos e processos estejam em conformidade com essas orientações quando elas se tornarem efetivas.
Também criamos um portal denominado
“Jurídico, Segurança e Privacidade” onde você pode saber mais sobre as práticas de segurança e privacidade, certificações, termos legais, políticas e procedimentos da monday.com.
A monday.com oferece um Contrato de Processamento de Dados (CPD)
Sim. Você pode
“visualizar
nosso Contrato de Processamento de Dados/adendo (CPD) on-line. Se precisar de uma cópia assinada do CPD, você pode baixá-lo e enviar uma cópia assinada para legal@monday.com, e nós forneceremos uma cópia autenticada.
A monday.com tem um Diretor de Proteção de Dados (DPD) designado?
Sim. Designamos o veterano de privacidade, Aner Rabinovitz, como nosso Diretor de Proteção de Dados, para monitorar e aconselhar sobre a conformidade contínua de privacidade da monday.com, e também servir de ponto de contato para questões de privacidade para titulares de dados e autoridades de supervisão. Aner pode ser contatado pelo e-mail dpo@monday.com
O GDPR impede que uma empresa armazene dados fora da UE?
Nada no GDPR impede que as empresas armazenem dados fora da UE, desde que os processadores de dados cumpram os regulamentos e proteções necessários. Na monday.com, armazenamos nossos dados com a Amazon Web Service (AWS), baseada nos EUA. Assim como a monday.com, a AWS anunciou que está preparada para o GDPR..
Onde posso saber mais sobre o GDPR?
Informações adicionais estão disponíveis no
site oficial do GDPR da União Europeia.
.
Se você tiver dúvidas adicionais sobre o GDPR, entre em contato conosco pelo e-mail support@monday.com ou através do telefone +1 (201) 778-4567