Acord de processament de dades

Baixeu el DPA d'iLost

Obriu el DPA (PDF)

Basant-se en dues fases de processament diferents, tal com es mostra a la visió general a la part inferior, aquesta pàgina descriu com es processen les dades personals dins de la plataforma iLost. Explica els tipus de dades personals implicades, els rols de les parts i el marc regulador aplicable, sense fer referència a articles legals específics de la jurisdicció.

Definicions

  1. Reclamació / Informe de pèrdua: Informació enviada per un usuari a través de la plataforma iLost amb la finalitat d'afirmar la propietat o el dret a un objecte trobat. Una reclamació només esdevé efectiva després que s'hagi verificat el compte de l'usuari, cosa que inclou l'enviament d'una adreça de correu electrònic i la validació mitjançant un enllaç de verificació, i l'acceptació per part d'iLost d'acord amb les seves polítiques. Un cop acceptada aquesta informació, la informació de la reclamació es posa a disposició del client pertinent i l'objecte trobat s'associa amb l'usuari. Aquest moment marca la transició de la fase 1 a la fase 2, tal com es descriu a continuació.

  2. Client: Una organització, empresa o institució (inclosos, entre d'altres, hotels, locals, operadors de transport i institucions públiques) que utilitza la plataforma iLost per registrar i gestionar els objectes trobats. Per evitar dubtes, un client no és una persona física.

  3. Responsable del tractament: L'entitat que determina les finalitats i els mitjans essencials del processament de dades personals.

  4. Objecte trobat: Un objecte registrat a la plataforma iLost per un client. Un objecte trobat pot no estar vinculat inicialment a una persona identificable i pot, després de la presentació i verificació d'una reclamació, associar-se amb un usuari.

  5. Plataforma iLost: La solució de programari com a servei en línia operada per iLost, incloent-hi la seva interfície web i els widgets de cerca integrats, que permet als clients registrar i gestionar objectes trobats i permet als usuaris cercar, denunciar, reclamar i recuperar objectes perduts.

  6. Dades personals: Qualsevol informació relacionada amb una persona física identificada o identificable, incloent-hi, entre d'altres, el nom, les dades de contacte, les dades d'identificació, les fotografies, la informació relacionada amb la reclamació i els identificadors en línia com ara les adreces IP.

  7. Tractament: Qualsevol operació o conjunt d'operacions realitzades amb dades personals, com ara la recopilació, l'emmagatzematge, l'ús, la divulgació o l'eliminació.

  8. Encarregat del tractament: L'entitat que processa dades personals en nom d'un controlador.

  9. Usuari: Una persona física que interactua directament amb la plataforma iLost per cercar, reclamar o recuperar un objecte perdut i les dades personals de la qual es processen en aquest context. Quan s'aplica la legislació de protecció de dades aplicable, un Usuari es qualifica com a "interessat", "persona física" o un concepte legal equivalent segons aquesta legislació.

1. Fase 1: Processament iniciat pel client

A la Fase 1, un membre del personal del Client introdueix les dades personals a la Plataforma iLost en el context del registre i la gestió d'objectes trobats.

Accions com ara notificar proactivament a un possible propietari o trobar un objecte coincident en un taulell d'atenció física es consideren part de la Fase 1 i continuen sent responsabilitat del Client com a responsable del tractament.

Això pot incloure, entre d'altres:

  • Dades de contacte d'un propietari conegut o sospitós que encara no és un usuari
  • Notes afegides a un objecte trobat
  • Informació personal introduïda per confirmar la recollida d'un objecte sense una reclamació en línia

Funcions a la Fase 1

A la Fase 1:

  • El Client determina la finalitat del processament, és a dir, la devolució dels objectes trobats als seus legítims propietaris
  • El Client actua com a Responsable del tractament
  • iLost actua com a Encarregat del tractament, processant les dades personals introduïdes pel Client i en nom seu

La relació de processament a la Fase 1 es regeix per l'Acord de processament de dades (DPA) aplicable.

2. Fase 2: processament iniciat per l'usuari (postverificació)

La Fase 2 comença només després que un usuari hagi presentat una reclamació o un informe de pèrdua i que iLost hagi completat el seu procés de verificació. Aquesta verificació inclou la confirmació de les dades de contacte de l'Usuari (com ara la verificació del correu electrònic) i el compliment de les polítiques de validació interna i antiabús d'iLost.

Fins que no es completi la verificació, les dades personals proporcionades per l'Usuari són processades exclusivament per iLost i no es posen a disposició del Client.

Un cop iLost hagi verificat i aprovat una reclamació o informe de pèrdua, la Fase 2 s'activa i les dades personals rellevants de l'Usuari poden estar a disposició del Client per al seu processament posterior.

Dades personals proporcionades per l'Usuari

Durant el procés de reclamació o informe de pèrdua, un Usuari pot proporcionar dades personals com ara:

  • Nom i dades de contacte
  • Informació o explicacions relacionades amb la reclamació destinades a demostrar la propietat
  • Missatges intercanviats a través de la Plataforma iLost
  • Dades d'enviament i adreça per a la devolució d'un article
  • Imatges o documents de suport

En presentar una reclamació o informe de pèrdua i acceptant la política de privadesa i els termes aplicables, l'Usuari accepta el processament d'aquestes dades personals per part d'iLost amb la finalitat de fer funcionar la Plataforma iLost i facilitar la recuperació d'objectes perduts.

Funció d'iLost a la Fase 2

A la Fase 2:

  • iLost actua com a controlador independent per a tots els processaments iniciats per l'usuari a la Plataforma iLost, incloent-hi:
  • Verificació de l'usuari
  • Gestió de comptes
  • Gestió de reclamacions
  • Fluxs de treball de comunicació

  • Inici de l'enviament

  • iLost determina si les dades personals de l'Usuari es posen a disposició del Client i quan, en funció dels resultats de la verificació i les polítiques de la plataforma.

Identificabilitat dels objectes trobats a la Fase 2

Un objecte trobat registrat a la Fase 1 no constitueix automàticament Dades Personals.

Un objecte trobat només es vincula a una persona identificable quan** iLost ha verificat la reclamació o l'informe de pèrdua d'un Usuari.

A partir d'aquest moment, l'objecte trobat es qualifica com a Dades Personals rastrejables dins de la Plataforma iLost.

Divulgació de Dades Personals al Client

Després de la verificació, certes dades personals de l'Usuari (per exemple, informació relacionada amb la reclamació o detalls d'enviament) es poden divulgar al Client quan i en la mesura que sigui necessari per:

  • Verificar la propietat
  • Prendre una decisió final de coincidència
  • Preparar i completar l'enviament o el lliurament físic de l'objecte

No es comparteixen dades personals de l'Usuari amb el Client abans de la verificació i l'aprovació d'iLost.

3. Relació entre responsables del tractament a la Fase 2

Un cop les dades personals de l'Usuari es divulguen al Client després de la verificació, les dades personals es processen i intercanvien en virtut d'un marc entre responsables del tractament (C2C).

En aquest marc:

  • iLost continua sent el Responsable del processament iniciat per l'usuari dins de la Plataforma iLost, incloent-hi la verificació, la comunicació i els fluxos de treball a nivell de plataforma.

  • El Client continua sent el Responsable del seu propi processament posterior, incloent-hi:

  • Verificar la propietat i prendre la decisió final de coincidència.

  • Mantenir registres interns.

  • Preparar i completar l'enviament o el lliurament físic.

Cada part determina independentment els seus propis propòsits i mitjans essencials de processament i és responsable del compliment de les lleis de protecció de dades aplicables en relació amb les seves pròpies activitats de processament.

4. Resum de l'assignació de responsabilitats

Fase 1

  • Client: Responsable del tractament
  • iLost: Encarregat del tractament (segons l'acord de protecció de dades)

Fase 2 (Post-verificació i divulgació)

  • iLost: Responsable del tractament independent (tractament iniciat per l'usuari)
  • Client: Responsable del tractament independent (tractament operatiu propi)
  • Les dades personals s'intercanvien en virtut d'una clàusula de responsable a responsable

5. Reglament de protecció de dades i privadesa aplicable

La llista següent no és exhaustiva. Els requisits aplicables depenen de la ubicació del client, l'usuari i les activitats de processament pertinents (Fase 1 i/o Fase 2).

Amèrica

  • Estats Units (seleccionats): Llei de privadesa del consumidor de Califòrnia / Llei de drets de privadesa de Califòrnia (CCPA/CPRA) – principalment Fase 2
  • Estats Units: Altres lleis estatals de privadesa (segons correspongui) – Fase 1 i/o Fase 2
  • Brasil: Llei general de protecció de dades (LGPD) – Fase 1 i Fase 2
  • Canadà: PIPEDA i lleis provincials de privadesa aplicables – Fase 1 i Fase 2
  • Mèxic: Llei federal sobre la protecció de dades personals en poder de particulars – Fase 1 i Fase 2
  • Argentina: Llei de protecció de dades – Fase 1 i Fase 2

Àsia-Pacífic

  • Xina: Llei de protecció d'informació personal – Fase 1 i Fase 2 (si escau)
  • Japó: Llei sobre la protecció d'informació personal – Fase 1 i Fase 2
  • Singapur: Llei de protecció de dades personals – Fase 1 i Fase 2
  • Austràlia: Llei de privadesa de 1988 – Fase 1 i Fase 2
  • Corea del Sud: Llei de protecció d'informació personal – Fase 1 i Fase 2
  • Índia: Llei de protecció de dades personals digitals – Fase 1 i Fase 2 (si escau)
  • Indonèsia: Llei de protecció de dades personals – Fase 1 i Fase 2
  • Tailàndia: Llei de protecció de dades personals – Fase 1 i Fase 2
  • Malàisia: Llei de protecció de dades personals – Fase 1 i Fase 2
  • Filipines: Llei de privadesa de dades – Fase 1 i Fase 2
  • Vietnam: Decret de protecció de dades personals – Fase 1 i Fase 2
  • Hong Kong: Ordenança de dades personals (privadesa) – Fase 1 i Fase 2
  • Taiwan: Llei de protecció de dades personals – Fase 1 i Fase 2

Europa

  • Unió Europea / EEE: Reglament general de protecció de dades (RGPD) – Fase 1 i Fase 2
  • Regne Unit: RGPD del Regne Unit i Llei de protecció de dades de 2018 – Fase 1 i Fase 2
  • Suïssa: Llei federal de protecció de dades (FADP) – Fase 1 i Fase 2

Orient Mitjà i Àfrica

  • Reglament de protecció de dades dels Emirats Àrabs Units / DIFC / ADGM – Fase 1 i Fase 2
  • Qatar: Llei de protecció de dades – Fase 1 i Fase 2
  • Israel: Llei de protecció de la privadesa – Fase 1 i Fase 2
  • Aràbia Saudita: Llei de protecció de dades personals (PDPL) – Fase 1 i Fase 2
  • Bahrain / Oman: Llei nacional aplicable Lleis de protecció de dades – Fase 1 i Fase 2
  • Turquia: Llei de protecció de dades personals – Fase 1 i Fase 2
  • Sud-àfrica: Llei de protecció de la informació personal (POPIA) – Fase 1 i Fase 2
  • Nigèria: Llei de protecció de dades de Nigèria (NDPA) – Fase 1 i Fase 2
  • Kenya: Llei de protecció de dades – Fase 1 i Fase 2

Cada part continua sent responsable de complir les lleis de protecció de dades aplicables a les seves pròpies activitats de processament i jurisdicció i ha d'informar per escrit a iLost de qualsevol addició o canvi material a l'anterior.

Visió general del flux visual

A continuació, trobareu el diagrama de mapatge visual que il·lustra el flux de dades complet entre la Fase 1 i la Fase 2, inclosos els rols de l'organització i l'usuari, i la transició de les responsabilitats del controlador.

Diagrama de flux de dades de la Fase 1 i la Fase 2