Smlouva o zpracování údajů

Stáhnout smlouvu iLost DPA

Na základě dvou odlišných fází zpracování, jak je znázorněno v přehledu v dolní části této stránky, popisuje, jak jsou osobní údaje zpracovávány v rámci platformy iLost. Vysvětluje typy osobních údajů, role jednotlivých stran a platný regulační rámec, aniž by odkazoval na konkrétní právní články příslušné jurisdikce.

Definice

Nárok / Hlášení ztráty: Informace předložené uživatelem prostřednictvím platformy iLost za účelem uplatnění vlastnictví nebo nároku na nalezenou věc.
Nárok nabývá účinnosti až po ověření účtu uživatele, které zahrnuje zadání e-mailové adresy a ověření prostřednictvím ověřovacího odkazu, a po přijetí společností iLost v souladu s jejími zásadami. Po tomto přijetí jsou informace o nároku zpřístupněny příslušnému klientovi a nalezená věc je spojena s uživatelem.
Tento okamžik značí přechod z fáze 1 do fáze 2, jak je popsáno níže.
Klient: Organizace, podnik nebo instituce (včetně, ale nejen, hotelů, provozoven, dopravců a veřejných institucí), která používá platformu iLost k registraci a správě nalezených věcí.
Pro vyloučení pochybností, klient není fyzická osoba.
Správce: Subjekt, který určuje účely a základní prostředky zpracování osobních údajů.
Nalezená věc: Věc registrovaná na platformě iLost klientem. Nalezená věc nemusí být zpočátku spojena s identifikovatelnou osobou a po podání a ověření nároku může být spojena s uživatelem.
Platforma iLost: Online řešení typu „software jako služba“ provozované společností iLost, včetně webového rozhraní a integrovaných vyhledávacích widgetů, které klientům umožňuje registrovat a spravovat nalezené předměty a uživatelům umožňuje vyhledávat, hlásit, reklamovat a získat zpět ztracené věci.
Osobní údaje: Jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby, včetně, ale nejen, jména, kontaktních údajů, identifikačních údajů, fotografií, informací souvisejících s nárokováním a online identifikátorů, jako jsou IP adresy.
Zpracování: Jakákoli operace nebo soubor operací prováděných s osobními údaji, jako je shromažďování, ukládání, používání, zveřejňování nebo mazání.
Zpracovatel: Subjekt, který zpracovává osobní údaje jménem správce.
Uživatel: Fyzická osoba, která přímo komunikuje s platformou iLost za účelem vyhledání, nárokování nebo navrácení ztracené věci a jejíž osobní údaje jsou v této souvislosti zpracovávány. V případě, že se uplatní příslušné právní předpisy o ochraně osobních údajů, je uživatel považován za „subjekt údajů“, „fyzickou osobu“ nebo ekvivalentní právní pojem podle těchto právních předpisů.

1. Fáze 1 – Zpracování iniciované klientem

Ve fázi 1 jsou osobní údaje zadávány do platformy iLost zaměstnancem klienta v souvislosti s registrací a správou nalezených předmětů.

Akce, jako je proaktivní informování možného vlastníka nebo přiřazení předmětu na fyzickém servisním pultu, jsou považovány za součást fáze 1 a zůstávají v odpovědnosti klienta jako správce.

To může zahrnovat mimo jiné:

kontaktní údaje známého nebo předpokládaného majitele, který ještě není uživatelem
poznámky přidané k nalezené věci
osobní údaje zadané za účelem potvrzení vyzvednutí věci bez online žádosti

Role ve fázi 1

Ve fázi 1:

Klient určuje účel zpracování, konkrétně vrácení nalezených předmětů jejich právoplatným majitelům
Klient vystupuje jako správce
iLost vystupuje jako zpracovatel, který zpracovává osobní údaje zadané klientem a jménem klienta

Vztah zpracování ve fázi 1 se řídí příslušnou smlouvou o zpracování údajů (DPA).

2. Fáze 2 – Zpracování iniciované uživatelem (po ověření)

Fáze 2 začíná teprve poté, co uživatel podá reklamaci nebo nahlásí ztrátu a iLost dokončí proces ověření.
Toto ověření zahrnuje potvrzení kontaktních údajů uživatele (například ověření e-mailu) a soulad s interními zásadami iLost pro ověřování a prevenci zneužití.

Dokud není ověření dokončeno, osobní údaje poskytnuté uživatelem jsou zpracovávány výhradně společností iLost a nejsou zpřístupněny klientovi.

Jakmile je reklamace nebo hlášení o ztrátě ověřeno a schváleno společností iLost, fáze 2 se aktivuje a příslušné osobní údaje uživatele mohou být zpřístupněny klientovi k dalšímu zpracování.

Osobní údaje poskytnuté uživatelem

Během procesu reklamace nebo hlášení ztráty může uživatel poskytnout osobní údaje, jako jsou:

Jméno a kontaktní údaje
Informace nebo vysvětlení související s reklamací, které mají prokázat vlastnictví
Zprávy vyměněné prostřednictvím platformy iLost
Údaje o dopravě a adrese pro vrácení předmětu
Podpůrné obrázky nebo dokumenty

Odesláním reklamace nebo hlášení ztráty a přijetím příslušných zásad ochrany osobních údajů a podmínek uživatel souhlasí se zpracováním těchto osobních údajů společností iLost za účelem provozování platformy iLost a usnadnění navrácení ztracených věcí.

Role iLost ve fázi 2

Ve fázi 2:

iLost působí jako nezávislý správce pro veškeré zpracování iniciované uživatelem na platformě iLost, včetně:
Ověření uživatele
Správa účtu
Vyřizování nároků
Komunikační pracovní postupy
Zahájení přepravy
iLost na základě výsledků ověření a zásad platformy rozhoduje, zda a kdy budou osobní údaje uživatele zpřístupněny klientovi.

Identifikovatelnost nalezených předmětů ve fázi 2

Nalezený předmět zaregistrovaný ve fázi 1 automaticky nepředstavuje osobní údaje.

Nalezený předmět se stává spojeným s identifikovatelnou osobou pouze tehdy, když byla reklamace nebo hlášení o ztrátě uživatele ověřena společností iLost.

Od tohoto okamžiku se nalezený předmět kvalifikuje jako sledovatelné osobní údaje v rámci platformy iLost.

Zveřejnění osobních údajů klientovi

Po ověření mohou být některé osobní údaje uživatele (například informace související s nárokováním nebo podrobnosti o přepravě) zveřejněny klientovi v případě a v rozsahu nezbytném pro:

Ověření vlastnictví
Konečné rozhodnutí o shodě
Přípravu a dokončení přepravy nebo fyzického předání předmětu

Žádné osobní údaje uživatele nejsou sdíleny s klientem před ověřením a schválením společností iLost.

3. Vztah mezi správci ve fázi 2

Jakmile jsou osobní údaje uživatele po ověření sděleny klientovi, jsou osobní údaje zpracovávány a vyměňovány v rámci rámce správce-správce (C2C).

V rámci tohoto rámce:

iLost zůstává správcem pro zpracování iniciované uživatelem v rámci platformy iLost, včetně ověření, komunikace a pracovních postupů na úrovni platformy
Klient zůstává správcem pro své vlastní následné zpracování, včetně:
Ověření vlastnictví a konečné rozhodnutí o shodě
Vedení interních záznamů
Příprava a dokončení přepravy nebo fyzického předání

Každá strana samostatně určuje své vlastní účely a základní prostředky zpracování a je odpovědná za dodržování platných zákonů na ochranu osobních údajů v souvislosti se svými vlastními zpracovatelskými činnostmi.

4. Shrnutí rozdělení odpovědnosti

Fáze 1

Klient: Správce
iLost: Zpracovatel (podle DPA)

Fáze 2 (po ověření a zveřejnění)

iLost: Nezávislý správce (zpracování iniciované uživatelem)
Klient: Nezávislý správce (vlastní provozní zpracování)
Osobní údaje jsou vyměňovány na základě ustanovení o předávání mezi správci

5. Platné předpisy o ochraně osobních údajů a soukromí

Následující seznam není úplný.
Platné požadavky závisí na umístění klienta, uživatele a příslušných činnostech zpracování (fáze 1 a/nebo fáze 2).

Amerika

Spojené státy (vybrané): Kalifornský zákon o ochraně soukromí spotřebitelů / Kalifornský zákon o právech na ochranu soukromí (CCPA/CPRA) – primárně fáze 2
Spojené státy: Jiné státní zákony o ochraně soukromí (podle potřeby) – fáze 1 a/nebo fáze 2
Brazílie: Obecný zákon o ochraně osobních údajů (LGPD) – fáze 1 a fáze 2
– Kanada: PIPEDA a příslušné provinční zákony o ochraně osobních údajů – fáze 1 a fáze 2
– Mexiko: Federální zákon o ochraně osobních údajů v držení soukromých subjektů – fáze 1 a fáze 2
– Argentina: Zákon o ochraně osobních údajů – fáze 1 a fáze 2

Asie a Tichomoří

Čína: Zákon o ochraně osobních údajů – fáze 1 a fáze 2 (tam, kde je to relevantní)
Japonsko: Zákon o ochraně osobních údajů – fáze 1 a fáze 2
Singapur: Zákon o ochraně osobních údajů – fáze 1 a fáze 2
Austrálie: Zákon o ochraně soukromí z roku 1988 – fáze 1 a fáze 2
Jižní Korea: Zákon o ochraně osobních údajů – fáze 1 a fáze 2
Indie: Zákon o ochraně digitálních osobních údajů – fáze 1 a fáze 2 (pokud je to relevantní)
Indonésie: Zákon o ochraně osobních údajů – fáze 1 a fáze 2
Thajsko: Zákon o ochraně osobních údajů – fáze 1 a fáze 2
Malajsie: Zákon o ochraně osobních údajů – fáze 1 a fáze 2
Filipíny: Zákon o ochraně osobních údajů – fáze 1 a fáze 2
Vietnam: Vyhláška o ochraně osobních údajů – fáze 1 a fáze 2
Hongkong: Nařízení o osobních údajích (ochrana soukromí) – fáze 1 a fáze 2
Tchaj-wan: Zákon o ochraně osobních údajů – fáze 1 a fáze 2

Evropa

Evropská unie / EHP: Obecné nařízení o ochraně osobních údajů (GDPR) – fáze 1 a fáze 2
Spojené království: GDPR Spojeného království a zákon o ochraně osobních údajů z roku 2018 – fáze 1 a fáze 2
Švýcarsko: Federální zákon o ochraně osobních údajů (FADP) – fáze 1 a fáze 2

Střední východ a Afrika

Předpisy o ochraně osobních údajů Spojených arabských emirátů / DIFC / ADGM – Fáze 1 a Fáze 2
Katar: Zákon o ochraně osobních údajů – Fáze 1 a Fáze 2
Izrael: Zákon o ochraně soukromí – Fáze 1 a Fáze 2
Saúdská Arábie: Zákon o ochraně osobních údajů (PDPL) – Fáze 1 a Fáze 2
Bahrajn / Omán: Platné vnitrostátní zákony o ochraně osobních údajů – fáze 1 a fáze 2
Turecko: Zákon o ochraně osobních údajů – fáze 1 a fáze 2
Jihoafrická republika: Zákon o ochraně osobních údajů (POPIA) – Fáze 1 a Fáze 2
Nigérie: Zákon o ochraně osobních údajů v Nigérii (NDPA) – Fáze 1 a Fáze 2
Keňa: Zákon o ochraně osobních údajů – Fáze 1 a Fáze 2

Každá strana zůstává odpovědná za dodržování zákonů o ochraně osobních údajů platných pro její vlastní činnosti v oblasti zpracování údajů a jurisdikci a je povinna písemně informovat společnost iLost o všech podstatných doplněních nebo změnách výše uvedených zákonů.

Vizuální přehled toku

Níže naleznete vizuální schéma, které ilustruje kompletní tok dat mezi fází 1 a fází 2, včetně rolí organizace a uživatele a přechodu odpovědností správce.