Bezpieczeństwo, prywatność i zgodność Todoist z obowiązującymi przepisami


W poniższym artykule postaramy się odpowiedzieć na wszystkie pytania dotyczące sposobu posługiwania się przez nas informacjami użytkowników, stosowanych środków bezpieczeństwa oraz zgodności naszych działań z obowiązującymi przepisami, takimi jak RODO.

Wskazówka

Zapoznaj się z pełnym tekstem naszej Polityki prywatności oraz Polityki bezpieczeństwa. Zawierają one szczegółowe informacje dotyczące działań podejmowanych w celu ochrony danych naszych użytkowników.

Bezpieczeństwo

Dział Bezpieczeństwo obejmuje środki i procedury wdrożone w celu zabezpieczenia Twoich danych przed nieautoryzowanym dostępem, włamaniami oraz innymi zagrożeniami. Seria technicznych i proceduralnych rozwiązań zapewnia, poufność, integralność i bezproblemowy dostęp do danych dla uprawnionych użytkowników.

Dostęp do Twoich danych osobowych mają jedynie wybrani pracownicy Doist – Ci dla których jest to niezbędne, aby ulepszać nasze produkty,

Regularnie testujemy i badamy skuteczność naszych procesów i technologii.

Używamy technologii szyfrujących, które zapobiegają nieautoryzowanemu dostępowi do Twoich danych.

W przypadku danych osobowych użytkowników, które są przechowywane na serwerach i w bazach danych Doist, używamy szyfrowania AES 256. Dane przesyłane lub otrzymywane kodowane są przy pomocy TLS w wersji 1.1 lub wyższej. Kopie zapasowe danych na naszym serwerze szyfrowane są algorytmem AES 256 i podpisywane z wykorzystaniem RSA o długości klucza 2048.

Co więcej, dla użytkowników Pro i Business, aplikacja Todoist automatycznie tworzy codzienne kopie zapasowe. Stosujemy niezbędne zabezpieczenia, aby chronić Twoje dane przed nieautoryzowanym dostępem do nich.

Z zapisów RODO wynika wiele wymagań, jednak Twoje potrzeby w zakresie zgodności z RODO mogą być specyficzne i uzależnione od konkretnych okoliczności. W przypadku szczegółowych pytań prosimy o kontakt.

Jeśli korzystasz z Todoist w subskrypcji indywidualnej w ramach domyślnie dostępnej osobistej przestrzeni roboczej, podmiotem przetwarzającym dane jest firma Doist. Oznacza to, że jesteśmy w posiadaniu Twoich danych i odpowiedzialni za ich przetwarzanie zgodnie z GDPR/RODO. Korzystając z naszych usług, udzielasz Doist praw do udostępniania swoich treści z innymi autoryzowanymi użytkownikami w kontekście obsługiwanych przez nas funkcjonalności i funkcji w zakresie współpracy między użytkownikami.

Decydując się na współdzielenie swoich treści z innymi użytkownikami Todoist (zarówno w przestrzeniach roboczych zespołu, jak i w postaci projektów współdzielonych w ramach osobistej przestrzeni roboczej), udzielasz im zgody na dostęp do tych treści za pośrednictwem świadczonych przez nas usług. Dostęp ten obejmuje korzystanie, reprodukcję, dystrybucję, wyświetlanie, edycję oraz inne rozdzaje interakcji z udostępnionymi treściami. Kiedy tworzysz lub dołączasz do przestrzeni roboczej zespołu (rozumianego jako organizacja), wyrażasz zgodę na przestrzeganie zasad tej organizacji oraz wszelkich umów istniejących między Tobą a tą organizacją. Oznacza to, że organizacja jest właścicielem treści wszystkich użytkowników w danej przestrzeni roboczej. Wszelkie treści dodane przez użytkowników w przestrzeni roboczej organizacji może być przez nią udostępniana, modyfikowana, usuwana lub wykorzystywana na inne sposoby. Organizacja może w dowolnym momencie odebrać Ci dostęp do jej przestrzeni roboczej co oznacza, że możesz utracić dostęp do swoich treści w tej przestrzeni. Przenosząc dowolną zawartość do przestrzeni roboczej organizacji, przyznajesz jej więc stosunkowo szerokie prawa do Twoich treści.

Zapewniamy pełny dostęp do Twoich danych dzięki naszemu API, które pozwala uzyskać dane osobowe, które od Ciebie otrzymaliśmy i przetransferować je do innego dostawcy lub usługi. Tutaj znajdziesz nasze API dla Twist i Todoist:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Zwróć uwagę, że informacje na temat płatności oraz integracje dotyczące płatności nie są dostępne przez API. Jeśli potrzebujesz je uzyskać lub wyeksportować inne swoje dane, skontaktuj sięz nami.

Treści dodane przez użytkownika, takie jak zadania lub komentarze, przechowywane są w przestrzeni dyskowej zabezpieczonej przed niepowołanym dostępem z zewnątrz, a także objęte ścisłymi regułami dostępu wewnątrz firmy.

Każdy przypadek dostępu do tych danych musi być uzasadniony, jest monitorowany oraz wymaga wieloetapowego uwierzytelnienia. Innymi słowy, nie ma możliwości aby jakikolwiek pracownik mógł przeglądać treści bez wiedzy i zgody innych osób. Dodajmy też, że potrzeba dostępu do tego typu danych zachodzi bardzo rzadko.

Tak, po pewnym czasie. W pierwszej kolejności system oznacza wybrane zadanie jako usunięte przez użytkownika. Dzięki temu, treści zawarte w zadaniu mogą być jeszcze przez jakiś czas dostępne dla różnych aplikacji z których korzysta użytkownik. Rzeczywiste usunięcie danych następuje nieco później. Takie rozwiązanie jest niezbędne dla funkcjonowania naszych mechanizmów synchronizacji treści na różnych platformach sprzętowych. Algorytm synchronizacji korzysta z treści oznaczonych jako usunięte do rozwiązywania ewentualnych konfliktów zawartości.

Treści użytkowników zawarte są również w kopiach zapasowych baz danych. Przechowujemy je na wszelki wypadek – w razie poważnej awarii, znacznego uszkodzenia lub całkowitej utraty danych. Wszystkie kopie bezpieczeństwa są zaszyfrowane. Na szczęście, jak do tej pory ani razu nie byliśmy zmuszeni z nich korzystać.

Kopie bezpieczeństwa baz danych nie dają możliwości wglądu w dane poszczególnych użytkowników. Muszą być najpierw przywrócone do postaci aktywnej bazy danych. Od tego momentu objęte będą naszymi standardowymi mechanizmami bezpieczeństwa. Kopie bezpieczeństwa są na bieżąco nadpisywane, a maksymalny okres ich przechowywania wynosi 94 dni.

Prywatność

Prywatność odnosi się do sposobu, w jaki gromadzimy, udostępniamy i zarządzamy Twoimi danymi osobistymi. Kluczową kwestią jest zapewnienie, aby dane osobiste użytkowników były wykorzystywane w sposób zgodny zarówno z ich oczekiwaniami, jak i obowiązującym prawem.

Dane, które gromadzimy są niezbędne, abyśmy mogli świadczyć Ci nasze usługi oraz ulepszać aplikacje Twist i Todoist.

Podczas rejestracji w Todoist i/lub Twist dobrowolnie przekazujesz nam dane osobowe, takie jak Twoje imię i adres e-mail. Masz nieprzerwany dostęp do swoich danych i możesz je aktualizować w dowolnej chwili, w ustawieniach swojego konta.

Korzystając z naszych usług dajesz nam również zgodę na wykorzystanie poniższych danych:

  • E-mail
  • Adres IP
  • ID urządzenia
  • Imię i nazwisko (opcjonalnie; nie podlega przetwarzaniu)
  • Wykonywany zawód (opcjonalnie; nie podlega przetwarzaniu)
  • Numer telefonu (opcjonalnie; nie podlega przetwarzaniu)
  • Nr VAT (opcjonalnie)
  • Adres do faktury (dla kont Pro i Business)

Jeśli chcesz wyeksportować swoje dane osobowe, skontaktuj się z nami.

Zapewniamy pełny dostęp do Twoich danych dzięki naszemu API, które pozwala uzyskać dane osobowe, które od Ciebie otrzymaliśmy i przetransferować je do innego dostawcy lub usługi. Tutaj znajdziesz nasze API dla Twist i Todoist:

Informacje na temat płatności oraz integracje dotyczące płatności nie są dostępne przez API. W celu ich uzyskania prosimy o kontakt.

Nie, Doist nigdy nie sprzedaje danych osobowych.

W chwili usunięcia konta Twoje dane osobowe zostaną usunięte z naszych serwerów. Zaszyfrowana kopia bezpieczeństwa tych danych będzie przechowywana w archiwum przez kolejne 90 dni. Po upływie tego okresu wszystkie dane powiązane z kontem zostaną ostatecznie usunięte. Zwróć uwagę, że nie mamy możliwości udostępnienia na żądanie zaszyfrowanej kopii Twoich danych.

Korzystamy z plików cookie, aby gromadzić informacje o Twojej aktywności związanej z przeglądaniem i odróżniać Cię od innych użytkowników Todoist. Usprawnia to korzystanie z naszej aplikacji, a nam pozwala poprawiać jej funkcjonalność.

Korzystamy z następujących plików cookie:

  • Niezbędne pliki cookie: pliki wymagane w procesach logowania i uwierzytelniania użytkownika oraz dla poprawnego działania funkcji zabezpieczeń;
  • Funkcjonalne pliki cookie: służą do rozpoznawania Cię, gdy po raz kolejny odwiedzasz naszą stronę internetową oraz personalizowania naszych treści dla Ciebie, witania Cię po imieniu oraz zapamiętywania Twoich ustawień użytkownika;
  • Analityczne i reklamowe pliki cookie: pomagają nam zrozumieć, w jaki sposób użytkownicy korzystają z naszego produktu. Używamy kilku plików cookie podmiotów zewnętrznych: Google Analytics (analizowanie ruchu na stronie www i zachowań użytkowników), Datadog (monitorowanie wydajności sieci i doświadczeń użytkownika), Stripe (obsługa płatności oraz strona dotycząca płatności i rodzajów subskrypcji), Zendesk (ładowanie obrazów i zapewnianie wsparcia lub Centrum pomocy), YouTube (wyświetlanie filmów na stronach Centrum pomocy), Cloudinary (ładowanie i optymalizacja obrazów).

Korzystamy z usług innych firm i partnerów hostingowych zgodnych z RODO, takich jak Stripe, AWS i Google Workspace. W takich przypadkach stosujemy niezbędne środki bezpieczeństwa, aby zapewnić zgodność z RODO w procesie wysyłania i otrzymywania danych od osób trzecich. Aby uzyskać więcej informacji, zapoznaj się z polityką bezpieczeństwa i prywatności Todoist oraz polityką bezpieczeństwa i prywatności Twist.

Gdy jest to niezbędne, korzystamy z następujących, zgodnych z RODO, usług zewnętrznych:

  • Amazon Web Services
  • ChartMogul
  • Roll-out CloudBees
  • Datadog
  • Meta (Facebook)
  • Firebase
  • Google Analytics
  • HubSpot
  • MailChimp
  • Mailgun
  • Microsoft Azure
  • Centrum Aplikacji Microsoft Visual Studio
  • PartnerStack
  • ProfitWell
  • Qualaroo
  • RequestMetrics
  • SendGrid
  • Sentry
  • Stripe
  • Zendesk

Tak. Przetwarzamy dane w Północnej Wirginii w Stanach Zjednoczonych, używając usług sieciowych Amazon (AWS). Gromadzimy możliwie jak najmniejszą ilość danych, a wszystkie dane są szyfrowane przy użyciu 256-bitowego algorytmu AES (Advanced Encryption Standard).

Zgodność

Zgodność wiąże się z przestrzeganiem przez nas przepisów prawa i standardów regulujących sposób, w jaki obchodzimy się z Twoimi danymi. Zapewnienie zgodności naszych praktyk z wymogami prawnymi gwarantuje ochronę Twoich praw użytkownika. To również zdolność wykazania, że kierujemy się obowiązującym prawem i ponosimy odpowiedzialność za ich przestrzeganie.

GDPR

Doist jest w pełni zgodny z RODO od 25 maja 2018 r. Ogólne rozporządzenie o ochronie danych (RODO) to rozporządzenie wprowadzone, aby pomóc obywatelom i rezydentom Unii Europejskiej w ochronie ich danych osobowych poprzez doprecyzowanie sposobu ich gromadzenia, przetwarzania i przechowywania.

Tak, ze strony Doist nie muszą się tego obawiać. Natomiast jeśli Państwa klienci znajdują się w krajach, w których to rozporządzenie obowiązuje, powinni oni upewnić się, że ich działalność biznesowa spełnia normy zawarte w RODO.

Tak. Oferujemy wzór umowy powierzenia przetwarzania danych osobowych (DPA), podpisany ze strony Todoist. Umowa może zostać zawarta po uzupełnieniu Twoich danych i podpisaniu jej. Przejdź do umowy.

SOC 2 oraz HIPAA

Na obecną chwilę nie poddaliśmy się procesom certyfikacji SOC2 ani HIPAA. Z chęcią jednak dowiemy się więcej na temat jakichkolwiek procesów certyfikacyjnych, które są niezbedne, aby umożliwić Twojemu zespołowi rozpoczęcie pracy z Todoist. Napisz nam o tym.

Bądźmy w kontakcie

Masz pytania, na które nadal nie uzyskałeś(-aś) odpowiedzi? Skontaktuj się z nami. My – czyli Pierre, Marco i Diane, lub każdy z pozostałych 14 członków naszego zespołu, chętnie na nie odpowie!