隱私
Asana 隱私及資料保護承諾
Asana 承諾保護並尊重您的全球隱私權利。鑒於許多司法管轄區已經頒布了影響公司如何處理個人資訊的法律,我們想花點時間強調 Asana 為遵守不斷變化的全球隱私法律和法規而採取的一些措施,並強調 Asana 對隱私的持續承諾。
持續合規與溝通
隨著資料保護當局和監管機關的法律、法規和準則不斷發展,越來越多的國家/地區正在通過新的資料保護法規,我們將繼續密切關注這些發展,並根據需要評估我們的計劃是否需要任何變更或改善。
我們非常重視與客戶的溝通。若您對於我們對資料保護做法有任何疑問,請致信 privacy@asana.com 聯絡我們。
一般資料保護規範
《一般資料保護規範》(GDPR) 是一項歐洲法律,針對歐盟居民個人資料建立保護,並於 2018 年 5 月 25 日生效。根據《一般資料保護規範》,收集、保留、使用或以其他方式處理歐盟居民個人資料的組織 (無論組織位在何處),必須為該資料實施某些隱私及安全性保護措施。Asana 已建立了全面的《一般資料保護規範》合规計劃,並致力於與客戶及供應商合作,執行一般資料保護規範合規工作。Asana 採取重要措施,使其做法可與《一般資料保護規範》保持一致,其中包括:
根據需求變化,必要時修訂我們與合作夥伴、供應商和使用者簽訂的政策和合約
加強安全措施和程序
仔細審查並對應我們收集、使用和分享的資料
建立更強大的內部隱私和安全性文件
對僱員進行全球要求和隱私/安全性最佳做法方面的綜合培訓
仔細評估並組建資料主體權利的政策和回應流程
下面,我們針對 Asana《一般資料保護規範》合規計劃的核心領域,以及客戶如何使用 Asana 來支援其《一般資料保護規範》合規計劃,提供更多詳細資訊。
資料處理協議
根據《一般資料保護規範》,要求「資料控制者」(即確定資料處理目的及方式的實體) 與代表其處理資料的其他實體 (稱為「資料處理者」) 達成協議。Asana 向作為歐盟個人資料控制者的客戶提供訂立資料處理增補合約的選項,根據該選項,Asana 承諾根據一般資料保護規範的要求處理和保護個人資料。其中包括 Asana 按照資料控制者的指示處理個人資料的承諾。
跨境資料傳輸
歐盟-美國資料隱私架構計畫、英國延伸至歐盟-美國 DPF,以及瑞士-美國資料隱私架構
Asana 遵守美國商務部所制定的歐盟-美國資料隱私架構計畫(歐盟-美國 DPF)、英國延伸至歐盟-美國 DPF,以及瑞士-美國資料隱私架構計畫(瑞士-美國 DPF)。Asana 已向美國商務部保證,在依據歐盟-美國資料隱私架構原則(歐盟-美國 DPF 原則)的情況下處理從歐盟收到的個人資料時,會遵守歐盟-美國 DPF;在處理從英國(以及直布羅陀)收到的個人資料時,則會遵守英國延伸至歐盟-美國 DPF。Asana 已向美國商務部保證,在依據瑞士-美國資料隱私架構計畫原則(瑞士-美國 DPF 原則)的情況下處理從瑞士收到的個人資料時,會遵守瑞士-美國 DPF。
為遵守歐盟-美國 DPF、英國延伸至歐盟-美國 DPF,以及瑞士-美國 DPF,Asana 承諾在依據歐盟-美國 DPF、英國延伸至歐盟-美國 DPF 以及瑞士-美國 DPF 的情況下處理個人資料時,會將未解決投訴提交給 BBB National Programs,他們是提供替代性爭議解決方式的美國組織。如果您在提出 DPF 原則相關投訴後沒有及時收到我們的確認,或者我們對於您的 DPF 原則相關投訴沒有提供令您滿意的處理,請造訪 BBB National Programs 爭議解決處理網站:https://bbbprograms.org/programs/all-programs/dpf-consumers/ProcessForConsumers 以取得更多資訊或提出投訴。BBB National Programs 的服務會免費為您提供。
請注意,如果您的投訴經過這些管道仍然無法解決,在限定情況下,可能可以利用在 DPF 原則的附件一中所訂之具約束力的仲裁選項。Asana 受聯邦貿易委員會 (FTC) 的調查權與執行權監管,確保其遵守歐盟-美國 DPF、英國延伸至歐盟-美國 DPF,以及瑞士-美國 DPF 中的條文。
Asana 將採取合理且適當的必要步驟,確保任何在歐盟、英國以及瑞士的用語中作為「資料處理者」的第三方都以符合 DPF 原則的方式處理我們委託給他們的個人資料。若 Asana 持續將分別根據歐盟-美國 DPF、英國延伸至歐盟-美國 DPF 以及瑞士-美國 DPF 接收的歐盟、英國與瑞士的個人資料傳輸至第三方,便可能須承擔潛在責任。
若本隱私權聲明中的條款與歐盟-美國 DPF 原則及/或瑞士-美國 DPF 原則有所衝突,則以原則為準。
若要深入瞭解資料隱私架構 (DPF) 計畫並檢視我們的保證,請瀏覽 https://www.dataprivacyframework.gov/。
如果歐盟-美國 DPF、英國延伸至歐盟-美國 DPF,以及瑞士-美國 DPF 不適用,Asana 將依據其他資料傳輸機制,將個人資料傳輸至歐洲經濟區、英國及瑞士以外的地區,例如標準契約條款。
資料存取、管理及可攜性工具
《一般資料保護規範》在某些情況下,賦予個人資料主體存取、刪除和修改其個人資料的權利。Asana 承諾促進符合《一般資料保護規範》的資料主體要求,詳情請參閱我們的隱私權聲明。
隱私說明文件
《一般資料保護規範》的核心為透明度、公正性及權責。因此,法律要求組織保留有關其隱私做法以及個體的個人資料處理決定的相關文件。Asana 認同一般資料保護規範對這些原則的承諾,並在其正在進行的一般資料保護規範合規性計劃文件中,包含有關其資料收集和處理活動的資料,以及依一般資料保護規範遵循的各種政策和指南。如欲進一步瞭解 Asana 如何收集、使用及揭露個人資料,請參考 Asana 的隱私權聲明。
資料安全
《一般資料保護規範》要求組織使用適當的技術和組織措施,保護個人資料的安全性、機密性和完整性。安全仍然是 Asana 的首要任務,我們的 ISO 27018(保護雲端中的個人資料)、ISO 27701(隱私權資訊管理)和其他認證表明了我們對全球隱私權標準的承諾。此外,我們已成功完成與安全性、可用性與保密性相關的 SOC 2 (類型 I) 與 (類型 II) 稽核。這表示,獨立的第三方已根據這些信任服務標準,驗證了我們的流程和做法,並確認我們有能力維持所實施控制的合規性。我們同樣實施了各種保護措施,來保護平台的安全性,包括加密網頁連結來保護資料傳輸,複製資料庫來為平台可靠性提供支援,並且對設施和辦公網路的存取加以控制。Asana 還為客戶提供了其他安全控制項的使用,用以進一步增強其團隊資料安全性的能力。如需要更多資訊,請參閱我們的信任頁面。
根據相關的全球隱私權法行使您的權利
若您希望行使您的權利,請填寫我們的全球資料保護權利申請表提交您的申請。如欲進一步瞭解 Asana 如何根據《加州消費者隱私保護法》向個人消費者提供存取和要求刪除其個人資訊的能力,請參閱我們隱私權聲明中的加州居民隱私資訊。
加州消費者隱私保護法
《加州消費者隱私保護法》(CCPA,經 CPRA 修訂) 是一項法律,為加州消費者提供有關其個人資料的特定權利。具體而言,法律要求遵守該法規的企業為消費者賦予請求存取和刪除其資料的能力,以及選擇不可「揭露」其個人資料的能力。該法律還對代表企業處理個人資訊的服務提供商如何使用該資訊加以限制。
若受《加州消費者隱私保護法》約束的企業已與 Asana 簽訂了服務或訂閱協議,則 Asana 為該企業的服務提供商。具體來說,Asana 只會出於適用協議中規定的目的,對此類客戶的個人資訊進行處理,並將與客戶合作,以便完成其刪除或存取請求的義務。
加州消費者隱私保護法資料處理增補合約
Asana 更新了其資料處理增補合約,特別提及我們根據《加州消費者隱私保護法》(經 CPRA 修訂) 承擔的義務。如果您的組織是 Asana 的客戶,並且需要增補合約,請聯絡dpa@asana.com。
美國金融服務業現代化法 (Gramm-Leach-Bliley Act)
《美國金融服務業現代化法》(Gramm-Leach-Bliley Act,GLBA) 要求金融機構 (為客戶提供貸款、財務建議或保險等金融產品或服務的公司) 向其客戶說明資訊分享的做法,並保護敏感資料。金融機構允許存取客戶之非公開個人資料 (NPI) 的服務提供商,也被要求必須遵守《美國金融服務業現代化法》。Asana 遵循《美國金融服務業現代化法》的隱私規定及保護規定。除實施安全保護措施外,我們只用客戶的工作內容來提供服務,而不用於任何其他用途。客戶不應該在 Asana 中儲存敏感的個人資料 (包括金融帳戶帳號及身分證字號)。
家庭教育權利與隱私法
《家庭教育權利與隱私法》(Family Educational Rights and Privacy Act,FERPA) 是美國聯邦法律,要求學院及大學等學術機構保護學生學習紀錄的隱私。Asana 確保個人資料可安全儲存,且只用來提供服務條款和隱私權聲明所載之服務,以利客戶遵守《家庭教育權利與隱私法》。Asana 透過締定合約來做出以下承諾:除非接獲合約學術機構指示 (且在我們的條款許可範圍情況下),或法律要求的情況下,否則不會披露客戶資料。
健康保險便利和責任法案
1996 年《健康保險便利和責任法案》是美國的一項聯邦法律,其要求制定國家標準,以保護患者健康敏感資訊免於在未經患者同意或不知情的情況下遭披露。受 1996 年《健康保險便利和責任法案》(「HIPAA」) 約束的企業可利用 Asana 來支持其該法案合規工作的管理。
Asana 的《健康保險便利和責任法案》合規性由 Asana 的商業夥伴增補合約 (Business Associate Addendum,BAA) 管理。有關《健康保險便利和責任法案》和 Asana 的更多詳情,請參閱 HIPAA 資料表。
個人資訊保護法
《個人資訊保護法》(APPI) 是日本對資料保護所制定的主要法律,提供個人資訊保護的各項規範。此法適用於在日本處理個人之個人資訊的商業營運者。《個人資訊保護法》最早於 2003 年立法制定,此後已有修訂,最近期的修訂案於 2022 年 4 月 1 日生效。
如同《一般資料保護規範》所定義,「資料管控者」和「資料處理者」兩者存有差異,《個人資訊保護法》也在「商業營運者」(或有權對保留的個資進行管控並做決策的法人實體),以及代替商業營運者處理個資的第三方服務供應商 (例如 Asana) 兩者之間做出區分。
《個人資訊保護法》也向日本境外的跨境個資傳輸設下限制。如有制定合約協議可確保落實日本的標準資料保護規定,就能將個資傳輸至國外收件者。
Asana 承諾按照《個人資訊保護法》及修訂法之要求,進行個資之處理及捍衛工作。Asana 的資料處理附錄涵蓋 (1) 我們的資料保護承諾,以確保我們遵守《個人資訊保護法》; (2) 我們將如何協助客戶履行《個人資訊保護法》規定的義務;以及 (3) 為保護個人資料而實施的技術和組織措施。如需要更多有關 Asana 安全性和資料保護做法的資訊,請參閱我們的信任頁面。