Asana har åtagit sig att skydda och respektera din integritet globalt. Mot bakgrund av att flera jurisdiktioner har antagit lagar som påverkar hur företag hanterar personlig information, vill vi ta tillfället i akt för att lyfta fram några av de åtgärder som Asana har infört för att följa ständigt föränderliga globala sekretesslagar och förordningar och för att betona Asanas pågående engagemang för integritet.

Fortgående arbete med efterlevnad och kommunikation

När lagar, förordningar och riktlinjer från dataskyddsmyndigheter och tillsynsmyndigheter fortsätter att utvecklas och fler länder antar nya dataskyddslagar och förordningar, kommer vi att fortsätta följa utvecklingen noga och utvärdera vårt program för att vid behov genomföra eventuella ändringar eller förbättringar.

Vi värdesätter kommunikation med våra kunder. Skriv gärna till privacy@asana.com om du har några frågor om vår dataskyddspraxis.

Dataskyddsförordningen GDPR (General Data Protection Regulation)

Dataskyddsförordningen GDPR är en europeisk lag som fastställer skydd av personuppgifter för EU-invånare och som trädde i kraft den 25 maj 2018. Enligt GDPR måste organisationer som samlar in, underhåller, använder eller på annat sätt behandlar EU-invånares personuppgifter (oavsett organisationens plats) införa vissa integritets- och säkerhetsgarantier för informationen. Asana har etablerat ett omfattande GDPR-efterlevnadsprogram och samarbetar med sina kunder och leverantörer för att följa dataskyddsförordningen. Här följer några viktiga steg som Asana tar för att anpassa sina metoder till GDPR:

• Revidera policyer och kontrakt med våra partner, leverantörer och användare i takt med att kraven ändras.

• Förbättra våra säkerhetsrutiner.

• Noggrant granska och kartlägga de uppgifter vi samlar in, använder och delar.

• Skapa mer robust intern sekretess- och säkerhetsdokumentation.

• Utbilda anställda i globala integritetskrav och sekretess-/säkerhetsmetoder i allmänhet.

• Noggrant utvärdera och skapa en policy och en svarsprocess för behandlingen av användardata.

Nedan ger vi ytterligare information om kärnområdena i Asanas GDPR-program och hur kunder kan använda Asana för att stödja sina egna GDPR-efterlevnadsinitiativ.

Avtal om databehandling

Enligt dataskyddsförordningen måste ”personuppgiftsansvariga” (dvs. entiteter som bestämmer syfte och metod för databehandling) ingå avtal med andra entiteter som behandlar uppgifter för deras räkning (kallade ”databehandlare”). Asana erbjuder kunder som är personuppgiftsansvariga för EU-personuppgifter möjligheten att ingå ett tillägg till databehandling enligt vilket Asana förbinder sig att behandla och skydda personuppgifter i enlighet med GDPR-kraven. Det här inkluderar Asanas åtagande att behandla personuppgifter i enlighet med instruktionerna från personuppgiftsansvariga.

Internationella dataöverföringar

EU-US Data Privacy Framework-programmet, det brittiska tillägget till EU-US DPF och Swiss-US Data Privacy Framework

Asana följer ramverket för dataskydd mellan EU och USA (EU-US DPF), det brittiska tillägget till EU-US DPF och ramverket för dataskydd mellan Schweiz och USA (Swiss-US DPF) som fastställts av USA:s handelsdepartement. Asana har intygat för USA:s handelsdepartement att företaget följer principerna i EU-US Data Privacy Framework (EU-US DPF Principles) när det gäller behandling av personuppgifter som erhållits från Europeiska unionen i enlighet med EU-US DPF och från Storbritannien (och Gibraltar) i enlighet med det brittiska tillägget till EU-US DPF. Asana har intygat för det amerikanska handelsdepartementet att företaget följer principerna för programmet för ramverket för dataskydd mellan Schweiz och USA (principerna för ramverket för dataskydd mellan Schweiz och USA) när det gäller behandling av personuppgifter som mottagits från Schweiz i enlighet med ramverket för dataskydd mellan Schweiz och USA.

I enlighet med EU-US DPF, det brittiska tillägget till EU-US DPF och Schweiz-US DPF åtar sig Asana att hänvisa olösta klagomål om vår hantering av personuppgifter som mottagits i enlighet med EU-US DPF, det brittiska tillägget till EU-US DPF och Schweiz-US DPF till BBB National Programs, en alternativ leverantör av tvistlösning med säte i USA. Om du inte i tid får en bekräftelse på ditt klagomål relaterat till DPF-principerna från oss, eller om vi inte har behandlat ditt klagomål relaterat till DPF-principerna på ett tillfredsställande sätt, besök webbplatsen för BBB National Programs Dispute Resolution Process på https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers för mer information eller för att lämna in ett klagomål. BBB National Programs tjänster tillhandahålls utan kostnad för dig.

Observera att om ditt klagomål inte kan lösas genom dessa kanaler, kan det under vissa omständigheter finnas möjlighet till bindande skiljedom enligt bilaga I till DPF-principerna. Asana är föremål för Federal Trade Commissions (FTC) undersöknings- och verkställighetsbefogenheter när det gäller dess efterlevnad av bestämmelserna i EU-US DPF, det brittiska tillägget till EU-US DPF och Schweiz-US DPF.

Asana kommer att vidta rimliga och lämpliga åtgärder för att säkerställa att tredje part som agerar som “personuppgiftsbiträde” enligt EU-, brittisk och schweizisk terminologi behandlar de personuppgifter som vi anförtror dem på ett sätt som överensstämmer med DPF-principerna. Asana är potentiellt ansvarigt i fall av vidareöverföring till tredje part av uppgifter om personer i EU, Storbritannien och Schweiz som mottagits enligt EU-US DPF, det brittiska tillägget till EU-US DPF respektive Schweiz-US DPF.

Om det finns någon konflikt mellan villkoren i denna integritetspolicy och EU-US DPF-principerna och/eller Schweiz-US DPF-principerna, ska principerna gälla.

För mer information om DPF-programmet (Data Privacy Framework) och för att se vår certifiering, besök https://www.dataprivacyframework.gov/.

Om EU-US DPF, det brittiska tillägget till EU-US DPF och Swiss-US DPF inte gäller, förlitar sig Asana på andra dataöverföringsmekanismer för att överföra personuppgifter utanför EES, Storbritannien och Schweiz, t.ex. standardavtalsklausuler.

Sekretessdokument

GDPR bygger på transparens, rättvisa och ansvarighet. Följaktligen kräver lagen att organisationer upprätthåller dokumentation om sekretesspolicyer och beslut kring hantering av personuppgifter. Asana delar GDPR:s värnande av dessa principer och har dokumenterat sin insamling och bearbetning av uppgifter inom ramen för sitt GDPR-efterlevnadsprogram, samt även de olika policyerna och riktlinjerna inom GDPR. Du kan läsa mer om hur Asana samlar in, använder och delar personuppgifter genom att besöka Asanas sekretesspolicy.

Datasäkerhet

GDPR kräver att organisationer vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa sekretessen, diskretionen och säkerheten kring personuppgifter. Säkerhet fortsätter att vara en prioritet för Asana och våra certifieringar ISO 27018 (skydd av personuppgifter i molnet), ISO 27701 (säkerhet för informationshantering) och andra certifieringar visar vårt engagemang för globala standarder för sekretess. Dessutom har vi framgångsrikt genomfört våra SOC 2-granskningar (typ I och typ II) för att kontrollera säkerhet, tillgänglighet och sekretess. Det innebär att en oberoende tredje part har validerat både våra processer och metoder avseende de här kriterierna och bekräftat vår förmåga att efterleva de kontroller som vi har implementerat. Vi har också vidtagit en mängd olika skyddsåtgärder för att värna om säkerheten på vår plattform, inklusive kryptering av webbanslutningar för att skydda dataöverföringar, replikering av våra databaser för att stärka plattformens tillförlitlighet, samt kontrollera åtkomsten till våra anläggningar och kontorsnätverk. Asana erbjuder också kunderna möjligheten att använda ytterligare säkerhetskontroller för att förbättra säkerheten kring deras teams data. Besök vår Lita på Asana-sida för mer information.

Utöva dina rättigheter enligt relevant global sekretesslagstiftning

Om du vill utöva dina rättigheter kan du skicka en förfrågan genom att fylla i vårt formulär för globala dataskyddsrättigheter. För mer information om hur Asana ger enskilda konsumenter möjligheten att få åtkomst till eller begära radering av deras personuppgifter i enlighet med CCPA kan du vända dig till avsnittet som handlar om sekretessinformation för invånare i Kalifornien i vår sekretesspolicy.

California Consumer Privacy Act

CCPA (ändrad genom CPRA) är en lag som ger Kaliforniens konsumenter vissa rättigheter gällande personuppgifter. Närmare bestämt kräver lagen att företag som omfattas av lagen ger konsumenterna möjlighet att begära åtkomst till och radera sina uppgifter, och möjligheten att välja bort vissa typer av utelämnanden av deras personuppgifter. Lagen begränsar också hur tjänsteleverantörer som behandlar personuppgifter på uppdrag av ett företag får använda den informationen.

Om ett företag som omfattas av CCPA har ingått ett tjänste- eller abonnemangsavtal med Asana, kommer Asana att fungera som en tjänsteleverantör till det företaget. Specifikt kommer Asana att behandla sådana kunders personuppgifter uteslutande för de ändamål som anges i avtalet och kommer att samarbeta med kunderna för att uppfylla sina skyldigheter med avseende på förfrågningar om radering av eller åtkomst till uppgifter.

CCPA Tillägg till databehandling

Asana har uppdaterat sitt tillägg till databehandling så att det specifikt hänvisar till våra skyldigheter enligt CCPA (ändrad genom CPRA). Om din organisation är kund hos Asana och behöver ett tillägg kan du kontakta dpa@asana.com.

Gramm-Leach-Bliley Act

Gramm-Leach-Bliley Act (GLBA) kräver att finansinstitut – företag som erbjuder konsumenter finansiella produkter eller tjänster som lån, finansiell rådgivning, investeringsrådgivning eller försäkringar – förklarar för sina kunder hur de delar och skyddar känsliga uppgifter. Alla tjänsteleverantörer som har åtkomst till konsumenters icke-offentliga personuppgifter (NPI) med finansinstitutens tillstånd måste också följa GLBA. Asana följer GLBA:s sekretessregler och säkerhetsregler. Förutom att vi tillämpar säkerhetsåtgärder använder vi innehållet i kundernas arbete endast för att tillhandahålla våra tjänster och inte för något annat ändamål. Kunder bör inte lagra känsliga personuppgifter (inklusive kontonummer och personnummer) i Asana.

Family Educational Rights and Privacy Act (Lagen om familjers utbildningsrättigheter och sekretess)

Family Educational Rights and Privacy Act (FERPA) är en amerikansk federal lag som kräver att akademiska institutioner som högskolor och universitet ska skydda sekretessen kring elevers utbildningsregister. Asana gör det möjligt för våra kunder att följa FERPA genom att säkerställa att personuppgifter hålls säkra och endast används för att tillhandahålla våra tjänster enligt beskrivningen i våra användarvillkor och vår sekretesspolicy. Asana förbinder sig i avtal att inte lämna ut kunduppgifter, förutom om de begärs från den avtalsslutande akademiska institutionen, är i enlighet med våra avtalsvillkor eller utkrävs enligt lag.

HIPAA

Lagen om rätt till sjukförsäkring och ersättning (Health Insurance Portability and Accountability Act, HIPAA) från 1996 är en amerikansk federal lag som kräver att nationella standarder skapas för att skydda känslig patientinformation från att lämnas ut utan patientens samtycke eller vetskap. Företag som omfattas av Health Insurance Portability and Accountability Act från 1996 (”HIPAA”) kan använda Asana för att upprätthålla en HIPAA-kompatibel arbetshantering.

HIPAA-efterlevnad för Asana regleras av Asanas tillägg till affärspartnersavtalet (BAA). Ytterligare information om HIPAA och Asana finns i HIPAA-databladet.

Act on the Protection of Personal Information (Lagen om skydd av personuppgifter)

Act on the Protection of Personal Information (APPI) är den primära dataskyddslagen i Japan som reglerar skyddet av personuppgifter. Den gäller för verksamheter som hanterar enskilda personers uppgifter i Japan. APPI har ändrats sedan den ursprungligen infördes 2003, och de senaste ändringarna trädde i kraft den 1 april 2022.

På samma sätt som skillnaden mellan ”personuppgiftsansvariga” och ”personuppgiftsbehandlare” enligt GDPR, skiljer APPI mellan ”verksamheter”, eller enheter med befogenhet att kontrollera och fatta beslut om lagrade personuppgifter (dvs. Asana-kunder), och tredjepartsleverantörer som hanterar personuppgifter för en verksamhets räkning (dvs. Asana).

APPI fastställer också restriktioner för gränsöverskridande överföring av personuppgifter utanför Japan. Personuppgifter kan överföras till utländska mottagare om det finns avtal som säkerställer efterlevnad av dataskyddsstandarder i Japan.

Asana åtar sig att behandla och skydda personuppgifter i enlighet med APPI och dess ändringar. Asanas tillägg till databehandling omfattar (1) våra dataskyddsåtaganden för att säkerställa att vi uppfyller APPI; (2) hur vi hjälper våra kunder med deras skyldigheter enligt APPI; och (3) de tekniska och organisatoriska åtgärder som genomförts för att skydda personuppgifter. Besök vår Lita på Asana-sida för mer information om Asanas säkerhets- och dataskyddsrutiner.

Relaterade resurser

• Asanas sekretesspolicy

• Asanas tillägg till databehandling

• Lita på Asana-sidan

• Asana EU-USA och Schweiz-USA Privacy Shield-certifiering

• Fullständig text av GDPR

• Fullständig text av CCPA (ändrad genom CPRA)