Adatfeldolgozási megállapodás

Az iLost DPA letöltése

DPA megnyitása (PDF)

Az oldal alján található vizuális áttekintésben bemutatott két különálló feldolgozási fázis alapján ez az oldal leírja, hogyan történik a személyes adatok feldolgozása az iLost platformon belül. Ismerteti a feldolgozott személyes adatok típusait, a felek szerepeit és az alkalmazandó szabályozási keretet, anélkül, hogy hivatkozna a joghatóságra vonatkozó jogi cikkekre.

Fogalommeghatározások

  1. Igénylés / Elvesztés bejelentése: Az a információ, amelyet a Felhasználó az iLost platformon keresztül nyújt be azzal a céllal, hogy tulajdonjogát vagy jogosultságát érvényesítse egy megtalált tárgyra.
    Az igénylés csak akkor válik hatályossá, ha a Felhasználó fiókját ellenőrizték, ami magában foglalja az e-mail cím megadását és a hitelesítő linken keresztül történő érvényesítést, valamint az iLost által a szabályzatának megfelelően történő elfogadását. Az elfogadás után a követelés információi a vonatkozó ügyfél rendelkezésére állnak, és a talált tárgy a felhasználóhoz kapcsolódik.
    Ez a pillanat jelzi az alábbiakban leírt 1. fázisból a 2. fázisba való átmenetet.

  2. Ügyfél: Az iLost platformot a talált tárgyak regisztrálására és kezelésére használó szervezet, vállalkozás vagy intézmény (ideértve, de nem kizárólagosan a szállodákat, rendezvényhelyszíneket, közlekedési vállalatokat és közintézményeket).
    A kétségek elkerülése érdekében: az ügyfél nem természetes személy.

  3. Adatkezelő: Az a szervezet, amely meghatározza a személyes adatok feldolgozásának céljait és alapvető eszközeit.

  4. Talált tárgy: Az ügyfél által az iLost platformon regisztrált tárgy. A talált tárgy kezdetben nem feltétlenül kapcsolódik azonosítható személyhez, de a igény benyújtását és ellenőrzését követően a felhasználóhoz kapcsolódhat.

  5. iLost platform: Az iLost által üzemeltetett online szoftver-szolgáltatás, beleértve a webes felületét és a beágyazott kereső widgeteket, amely lehetővé teszi az ügyfelek számára a talált tárgyak regisztrálását és kezelését, valamint a felhasználók számára az elveszett tárgyak keresését, bejelentését, igénybevételét és visszaszerzését.

  6. Személyes adatok: Bármely azonosított vagy azonosítható természetes személyre vonatkozó információ, beleértve, de nem kizárólagosan a nevet, elérhetőségi adatokat, azonosító adatokat, fényképeket, igényléssel kapcsolatos információkat és online azonosítókat, például IP-címeket.

  7. Adatkezelés: Bármely személyes adatokon végzett művelet vagy műveletek összessége, például gyűjtés, tárolás, felhasználás, közzététel vagy törlés.

  8. Adatfeldolgozó: Az a szervezet, amely az adatkezelő nevében személyes adatokat dolgoz fel.

  9. Felhasználó: Olyan természetes személy, aki közvetlenül kapcsolatba lép az iLost platformmal, hogy elveszett tárgyat keressen, igényeljen vagy visszaszerezzen, és akinek személyes adatait ebben az összefüggésben dolgozzák fel. Ahol az adatvédelmi törvények alkalmazandók, a felhasználó az ilyen törvények értelmében „érintettnek”, „magánszemélynek” vagy azzal egyenértékű jogi fogalomnak minősül.

1. 1. fázis – Ügyfél által kezdeményezett adatkezelés

Az 1. fázisban a személyes adatokat az ügyfél munkatársa viszi be az iLost platformba a talált tárgyak regisztrálása és kezelése során.

Az olyan tevékenységek, mint a lehetséges tulajdonos proaktív értesítése vagy a tárgyak fizikai szolgáltató pultnál történő összevetése, az 1. fázis részének minősülnek, és továbbra is az ügyfél, mint adatkezelő felelőssége alá tartoznak.

Ez magában foglalhatja, de nem korlátozódik a következőkre:

  • Ismert vagy feltételezett tulajdonos elérhetőségei, aki még nem felhasználó
  • Talált tárgyhoz hozzáadott megjegyzések
  • Online igénylés nélkül a tárgy átvételének megerősítéséhez bevitt személyes adatok

Szerepek az 1. fázisban

Az 1. fázisban:

  • Az ügyfél határozza meg a feldolgozás célját, nevezetesen a talált tárgyak jogos tulajdonosainak történő visszajuttatását
  • Az ügyfél adatkezelőként jár el
  • Az iLost adatfeldolgozóként jár el, feldolgozza az ügyfél által és nevében bevitt személyes adatokat

Az 1. fázisban a feldolgozási kapcsolatot a vonatkozó adatfeldolgozási megállapodás (DPA) szabályozza.

2. 2. fázis – Felhasználó által kezdeményezett feldolgozás (ellenőrzés után)

A 2. fázis csak akkor kezdődik, ha a Felhasználó benyújtotta a kárigényt vagy az elvesztésről szóló jelentést, és az iLost befejezte az ellenőrzési folyamatot.
Ez az ellenőrzés magában foglalja a Felhasználó elérhetőségi adatainak megerősítését (például e-mail ellenőrzés) és az iLost belső érvényesítési és visszaélések elleni irányelveinek betartását.

Az ellenőrzés befejezéséig a felhasználó által megadott személyes adatokat kizárólag az iLost dolgozza fel, és nem bocsátja az ügyfél rendelkezésére.

Miután az iLost ellenőrizte és jóváhagyta a kárigényt vagy az elvesztésről szóló bejelentést, a 2. fázis aktiválódik, és a vonatkozó felhasználói személyes adatok az ügyfél rendelkezésére bocsátásra kerülhetnek további feldolgozás céljából.

A Felhasználó által megadott személyes adatok

A kárigény vagy elvesztés bejelentésének folyamata során a Felhasználó megadhatja az alábbi személyes adatait:

  • Név és elérhetőségi adatok
  • A tulajdonjogot igazoló, a kárigényhez kapcsolódó információk vagy magyarázatok
  • Az iLost Platformon keresztül kicserélt üzenetek
  • A tárgy visszaküldéséhez szükséges szállítási és címadatok
  • Kiegészítő képek vagy dokumentumok

A kárigény vagy elvesztés bejelentésének benyújtásával, valamint a vonatkozó adatvédelmi irányelvek és feltételek elfogadásával a Felhasználó hozzájárul ahhoz, hogy az iLost az iLost platform üzemeltetése és az elveszett tárgyak visszaszerzésének elősegítése céljából feldolgozza ezeket a személyes adatokat.

Az iLost szerepe a 2. fázisban

A 2. fázisban:

  • az iLost független adatkezelőként jár el az iLost platformon a felhasználók által kezdeményezett összes adatkezelés tekintetében, ideértve:
  • Felhasználói azonosítás
  • Fiókkezelés
  • Igénykezelés
  • Kommunikációs munkafolyamatok

  • Szállítás kezdeményezése

  • az iLost az ellenőrzés eredményei és a platform irányelvei alapján határozza meg, hogy a felhasználó személyes adatait a megbízó rendelkezésére bocsátja-e, és ha igen, mikor.

A 2. fázisban talált tárgyak azonosíthatósága

A 1. fázisban regisztrált talált tárgy nem minősül automatikusan személyes adatnak.

A talált tárgy csak akkor kapcsolódik egy azonosítható személyhez, ha a felhasználó igényét vagy elvesztési bejelentését az iLost ellenőrizte.

Ettől a ponttól kezdve a talált tárgy nyomon követhető személyes adatnak minősül az iLost platformon belül.

Személyes adatok közlése az ügyféllel

Az ellenőrzés után bizonyos felhasználói személyes adatok (például a bejelentéssel kapcsolatos információk vagy a szállítási adatok) szükség esetén közölhetők az ügyféllel a következő célokból:

  • A tulajdonjog ellenőrzése
  • A végleges egyezésről szóló döntés meghozatala
  • A tárgy szállításának vagy fizikai átadásának előkészítése és végrehajtása

Az iLost ellenőrzése és jóváhagyása előtt a felhasználói személyes adatok nem kerülnek megosztásra az ügyféllel.

3. Adatkezelő-adatkezelő kapcsolat a 2. fázisban

Miután a felhasználó személyes adatait az ellenőrzés után közzétették az ügyfélnek, a személyes adatok feldolgozása és cseréje adatkezelő-adatkezelő (C2C) keretrendszer alapján történik.

Ezen keret alapján:

  • Az iLost adatkezelő marad az iLost platformon belül a felhasználó által kezdeményezett feldolgozás tekintetében, beleértve az ellenőrzést, a kommunikációt és a platform szintű munkafolyamatokat.
  • Az ügyfél adatkezelő marad a saját későbbi feldolgozása tekintetében, beleértve:
  • A tulajdonjog ellenőrzése és a végső döntés meghozatala
  • Belső nyilvántartások vezetése
  • A szállítás vagy a fizikai átadás előkészítése és végrehajtása

Mindegyik fél függetlenül határozza meg saját céljait és az adatkezelés alapvető eszközeit, és felelős a saját adatkezelési tevékenységeivel kapcsolatos alkalmazandó adatvédelmi törvények betartásáért.

4. Felelősségmegosztás összefoglalása

1. szakasz

  • Ügyfél: adatkezelő
  • iLost: adatfeldolgozó (a DPA szerint)

2. szakasz (ellenőrzés és közzététel után)

  • iLost: független adatkezelő (felhasználó által kezdeményezett adatkezelés)
  • Ügyfél: Független adatkezelő (saját operatív feldolgozás)
  • A személyes adatok adatkezelő-adatkezelő záradék alapján kerülnek cserére

5. Alkalmazandó adatvédelmi és adatbiztonsági előírások

Az alábbi lista nem teljes.
Az alkalmazandó követelmények az ügyfél, a felhasználó és a vonatkozó feldolgozási tevékenységek (1. és/vagy 2. szakasz) helyszínétől függenek.

Amerika

  • Egyesült Államok (kiválasztott): Kaliforniai fogyasztói adatvédelmi törvény / Kaliforniai adatvédelmi jogokról szóló törvény (CCPA/CPRA) – elsősorban 2. fázis
  • Egyesült Államok: Egyéb állami adatvédelmi törvények (amennyiben alkalmazandók) – 1. és/vagy 2. fázis
  • Brazília: Általános adatvédelmi törvény (LGPD) – 1. és 2. fázis
  • Kanada: PIPEDA és alkalmazandó tartományi adatvédelmi törvények – 1. és 2. fázis
  • Mexikó: Szövetségi törvény a magánszemélyek által birtokolt személyes adatok védelméről – 1. és 2. fázis
  • Argentína: Adatvédelmi törvény – 1. és 2. fázis

Ázsia-Csendes-óceán

  • Kína: Személyes adatok védelméről szóló törvény – 1. és 2. szakasz (ahol alkalmazható)
  • Japán: Személyes adatok védelméről szóló törvény – 1. és 2. szakasz
  • Szingapúr: Személyes adatok védelméről szóló törvény – 1. és 2. szakasz
  • Ausztrália: 1988. évi adatvédelmi törvény – 1. és 2. szakasz
  • Dél-Korea: Személyes adatok védelméről szóló törvény – 1. és 2. szakasz
  • India: Digitális személyes adatok védelméről szóló törvény – 1. és 2. szakasz (ahol alkalmazható)
  • Indonézia: Személyes adatok védelméről szóló törvény – 1. és 2. szakasz
  • Thaiföld: Személyes adatok védelméről szóló törvény – 1. és 2. szakasz
  • Malajzia: Személyes adatok védelméről szóló törvény – 1. és 2. szakasz
  • Fülöp-szigetek: Adatvédelmi törvény – 1. és 2. szakasz
  • Vietnam: Személyes adatok védelméről szóló rendelet – 1. és 2. szakasz
  • Hongkong: Személyes adatok (adatvédelem) rendelet – 1. és 2. szakasz
  • Tajvan: Személyes adatvédelmi törvény – 1. és 2. szakasz

Európa

  • Európai Unió / EGT: Általános adatvédelmi rendelet (GDPR) – 1. és 2. szakasz
  • Egyesült Királyság: Egyesült Királyság GDPR és 2018. évi adatvédelmi törvény – 1. és 2. szakasz
  • Svájc: Szövetségi adatvédelmi törvény (FADP) – 1. és 2. szakasz

Közel-Kelet és Afrika

  • Egyesült Arab Emírségek / DIFC / ADGM adatvédelmi szabályozás – 1. és 2. szakasz
  • Katar: Adatvédelmi törvény – 1. és 2. szakasz
  • Izrael: Adatvédelmi törvény – 1. és 2. szakasz
  • Szaúd-Arábia: Személyes adatok védelméről szóló törvény (PDPL) – 1. és 2. szakasz
  • Bahrein / Omán: Alkalmazandó nemzeti adatvédelmi törvények – 1. és 2. szakasz
  • Törökország: Személyes adatvédelmi törvény – 1. és 2. szakasz
  • Dél-Afrika: Személyes adatok védelméről szóló törvény (POPIA) – 1. és 2. szakasz
  • Nigéria: Nigériai adatvédelmi törvény (NDPA) – 1. és 2. szakasz
  • Kenya: Adatvédelmi törvény – 1. és 2. szakasz

Mindegyik fél felelős a saját adatfeldolgozási tevékenységeire és joghatóságára alkalmazandó adatvédelmi törvények betartásáért, és írásban köteles tájékoztatni az iLostot a fenti törvények bármely lényeges kiegészítéséről vagy módosításáról.

Vizuális áramlás áttekintése

Az alábbi vizuális ábra bemutatja a 1. és 2. fázis közötti teljes adatáramlást, beleértve a szervezet és a felhasználó szerepét, valamint az adatkezelői felelősségek átadását.

1. és 2. fázis adatáramlási diagram