Ostatnia aktualizacja: 2 czerwca 2021 r
Jako globalna platforma wykorzystywana przez użytkowników na całym świecie do angażowania się w badania, stypendia i działania innowacyjne, ORCID jest zobowiązana do uwzględniania zmian w wymaganiach dotyczących prywatności i bezpieczeństwa, które mają wpływ na jej użytkowników.
W dniu 15 lipca 2020 r. Europejski Trybunał Sprawiedliwości („ETS”), najwyższy sąd w systemie prawnym UE, wydał orzeczenie w Schremy II, unieważniając Tarczę Prywatności UE-USA jako zgodną z unijnym ogólnym rozporządzeniem o ochronie danych („RODO”) i podtrzymał dalsze stosowanie standardowych klauzul umownych (SCC) w celu przesyłania danych do kraju trzeciego. Widzieć Facebook Ireland i Schrems, sprawa C-311/18 (toczy się w Trybunale Sprawiedliwości Unii Europejskiej („TSUE”) [dalej „Schremy II"]. W swojej decyzji ETS wyraził obawy dotyczące tego, czy dane osobowe przekazywane z UE do USA zachowują odpowiednią ochronę po przechowywaniu w USA. W świetle tej decyzji, ORCID zatrudnił doradcę zewnętrznego do przeprowadzenia przeglądu wpływu Schremy II na swojej działalności biznesowej. Poniżej dodatkowe informacje dot ORCIDpodejście do ciągłego transgranicznego przekazywania danych z UE do USA.
Czy ORCID obecnie przekazuje dane osobowe z UE do USA?
Tak, ORCID przekazuje dane osobowe z UE do USA w ramach swojej infrastruktury sieciowej. Oprogramowanie rejestru na żywo jest hostowane na serwerach znajdujących się w Stanach Zjednoczonych.
ORCID opiera się na dwóch mechanizmach przekazywania danych osobowych w ramach RODO. Pierwszy, ORCID uzyskuje zgodę swoich użytkowników w momencie rejestracji na przekazanie danych osobowych z UE do USA. Drugi, ORCID w razie potrzeby zawiera standardowe klauzule umowne (SCC) z organizacjami członkowskimi.
ORCID z przyjemnością zawrze standardowe klauzule umowne z dowolnym członkiem znajdującym się w UE, EOG lub Wielkiej Brytanii, który przekazuje dane osobowe do ORCID przy użyciu interfejsu API członka. Proszę zwrócić się do swojego ORCID skontaktować się z zespołem wykonującym zlecenie w celu omówienia dodania standardowych klauzul umownych do umowy członkowskiej.
Tak, ORCID przechowuje na swojej stronie internetowej szereg dokumentów związanych z praktykami w zakresie prywatności i bezpieczeństwa. Dokumenty te obejmują:
Polityka prywatności - ORCID
ORCID Zaufanie – ORCID
ORCID, RODO i Twoich praw jako użytkownika
ORCID TRUSTe List potwierdzający
Tak, oprócz zabezpieczeń omówionych powyżej, ORCID zawiera następujące dodatkowe środki dotyczące ochrony danych.
Kontrola osoby, której dane dotyczą. Użytkownicy mają zapewnioną dużą przejrzystość i kontrolę związaną z udostępnianymi informacjami ORCID oraz innych użytkowników lub organizacji członkowskich. ORCID podjął działania w celu zminimalizowania ilości danych osobowych potrzebnych do nawiązania współpracy ORCID rekord, wymagający jedynie imienia i adresu e-mail. Ponadto, ORCID wyjaśnia, że jej narzędzia i usługi zapewniają użytkownikom kontrolę nad rejestracją, tym, co jest połączone z identyfikatorem i kto może uzyskać dostęp do informacji o użytkowniku.
Umowy z zewnętrznymi podmiotami przetwarzającymi. ORCID zawiera umowy ze swoimi podmiotami przetwarzającymi, które zawierają postanowienia dotyczące prywatności i bezpieczeństwa danych. Przed zawarciem umów z podmiotami przetwarzającymi, ORCID przeprowadza analizę due diligence, która dotyczy elementów związanych z prywatnością i bezpieczeństwem. Aby przeprowadzić tę analizę due diligence, ORCID najpierw określa, czy zewnętrzny dostawca będzie miał dostęp do jakichkolwiek danych osobowych i/lub otrzyma ich kopie. Jeśli odpowiedź brzmi tak, to ORCID posuwa się naprzód w negocjowaniu umowy o przetwarzaniu danych, która jest zgodna z wymogami RODO i wszelkimi innymi obowiązującymi wymogami w zakresie ochrony danych.
Szyfrowanie danych. ORCID wdraża rozsądne środki szyfrowania dla wszystkich danych w stanie spoczynku i w tranzycie. Ponadto wszystkie kopie zapasowe są szyfrowane.¬¨‚
Środki techniczne i organizacyjne. ORCID wdraża różnorodne kontrole bezpieczeństwa w celu wspierania bezpiecznego zarządzania swoimi bazami danych i infrastrukturą. Te kontrole bezpieczeństwa obejmują zarządzanie poprawkami bezpieczeństwa; monitorowanie dostępu do systemu; rejestrowanie audytu; kontrola dostępu; i zmiany mechanizmów kontrolnych. Dodatkowo, ORCID utrzymuje plan reagowania na incydenty, a także proces odzyskiwania danych po awarii.
Tak, ORCID wyjaśnia użytkownikom, że w przypadku otrzymania jakiegokolwiek rządowego żądania danych dostarczy „tylko takie dane, jakie uznamy za niezbędne w danej sytuacji”. Widzieć Polityka prywatności, rozdz. 6.4. Dalej ORCID wyjaśnia, że jeśli zostanie to dozwolone, „niezwłocznie przekaże informacje o wszelkich otrzymanych rządowych żądaniach danych i kontach, których to dotyczy, odpowiednim posiadaczom rekordów”.
To nie jest prawdopodobne ORCID podlegałyby wnioskom amerykańskiego prawa dotyczącego nadzoru, o których mowa w decyzji Schrems II. Od ORCID nie jest „dostawcą usług łączności elektronicznej” w rozumieniu sekcji 50 USC § 1881(b)(4), nie podlega ustawie o służbach wywiadu zagranicznego („FISA”). ORCID zapewnia rejestr online, który służy do identyfikacji naukowców z organizacji członkowskich; w związku z tym sekcja 702 FISA nie miałaby zastosowania ORCID i jego dane.
Tak, ORCID nie rozróżnia użytkowników znajdujących się w UE i poza nią.¬¨‚W niektórych regionach mogą obowiązywać różne przepisy dotyczące prywatności, ORCID stara się zapewnić ochronę prywatności wszystkim użytkownikom zgodnie ze swoją Polityką Prywatności, znajdującą się pod adresem https://info.orcid.org/privacy-policy/.