Databehandleravtale

Last ned iLost DPA

Åpne DPA (PDF)

Basert på to distinkte behandlingsfaser som vist i den visuelle oversikten nederst, beskriver denne siden hvordan personopplysninger behandles i iLost-plattformen. Den forklarer hvilke typer personopplysninger som er involvert, partenes roller og gjeldende regelverk, uten henvisning til jurisdiksjonsspesifikke juridiske artikler.

Definisjoner

  1. Krav / Tapt rapport: Informasjon sendt inn av en bruker via iLost-plattformen med det formål å hevde eierskap til, eller rett til, en funnet gjenstand.

Et krav trer først i kraft etter at brukerens konto er bekreftet, som inkluderer innsending av en e-postadresse og validering via en bekreftelseslenke, og aksept av iLost i samsvar med sine retningslinjer. Ved slik aksept blir kravinformasjonen gjort tilgjengelig for den aktuelle klienten, og den funnede gjenstanden blir knyttet til brukeren.

Dette øyeblikket markerer overgangen fra fase 1 til fase 2 som beskrevet nedenfor.

  1. Klient: En organisasjon, bedrift eller institusjon (inkludert, men ikke begrenset til, hoteller, arenaer, transportoperatører og offentlige institusjoner) som bruker iLost-plattformen til å registrere og administrere funnede gjenstander.

For å unngå tvil er en klient ikke en fysisk person.

  1. Behandlingsansvarlig: Enheten som bestemmer formålene og de viktigste midlene for behandling av personopplysninger.

  2. Funnet gjenstand: En gjenstand registrert på iLost-plattformen av en klient. En funnet gjenstand kan i utgangspunktet ikke være knyttet til en identifiserbar person, og kan, etter innsending og verifisering av en krav, bli knyttet til en bruker.

  3. iLost-plattform: Den nettbaserte programvare-som-en-tjeneste-løsningen som drives av iLost, inkludert webgrensesnittet og innebygde søkewidgeter, som lar kunder registrere og administrere funnede gjenstander og lar brukere søke etter, rapportere, kreve inn og gjenfinne tapt eiendom.

  4. Personopplysninger: All informasjon knyttet til en identifisert eller identifiserbar fysisk person, inkludert, men ikke begrenset til, navn, kontaktinformasjon, identifikasjonsdata, fotografier, kravrelatert informasjon og online identifikatorer som IP-adresser.

  5. Behandling: Enhver operasjon eller sett med operasjoner utført på personopplysninger, for eksempel innsamling, lagring, bruk, utlevering eller sletting.

  6. Behandler: Enheten som behandler personopplysninger på vegne av en behandlingsansvarlig.

  7. Bruker: En fysisk person som samhandler direkte med iLost-plattformen for å søke etter, kreve inn eller gjenfinne en tapt gjenstand, og hvis personopplysninger behandles i den sammenhengen. Der gjeldende personvernlovgivning gjelder, kvalifiserer en bruker som en «registrert person», «enkeltperson» eller tilsvarende juridisk konsept i henhold til slik lov.

--

1. Fase 1 – Klientinitiert behandling

I fase 1 legges personopplysninger inn i iLost-plattformen av en ansatt hos klienten i forbindelse med registrering og håndtering av funnede gjenstander.

Handlinger som å proaktivt varsle en mulig eier eller matche en gjenstand ved en fysisk serviceskranke regnes som en del av fase 1 og forblir under klientens ansvar som behandlingsansvarlig.

Dette kan inkludere, men er ikke begrenset til:

  • Kontaktinformasjon til en kjent eller mistenkt eier som ennå ikke er en bruker
  • Notater lagt til en funnet gjenstand
  • Personopplysninger som er lagt inn for å bekrefte henting av en gjenstand uten et online krav

Roller i fase 1

I fase 1:

  • Klienten bestemmer formålet med behandlingen, nemlig retur av funnet gjenstander til deres rettmessige eiere
  • Klienten fungerer som behandlingsansvarlig
  • iLost fungerer som databehandler og behandler personopplysninger som er lagt inn av og på vegne av klienten

Behandlingsforholdet i fase 1 er regulert av gjeldende databehandleravtale (DPA).

--

2. Fase 2 – Brukerinitiert behandling (etterverifisering)

Fase 2 starter først etter at en bruker har sendt inn en krav- eller tapsrapport og iLost har fullført verifiseringsprosessen. Denne verifiseringen inkluderer bekreftelse av brukerens kontaktinformasjon (som e-postverifisering) og overholdelse av iLosts interne validerings- og anti-misbrukspolicyer.

Inntil verifiseringen er fullført, behandles personopplysninger oppgitt av brukeren utelukkende av iLost og blir ikke tilgjengelige for klienten.

Når en krav- eller taptmelding er bekreftet og godkjent av iLost, blir fase 2 aktiv, og de relevante brukerpersonopplysningene kan gjøres tilgjengelige for klienten for videre behandling.

--

Brukeroppgitte personopplysninger

Under krav- eller taptmeldingsprosessen kan en bruker oppgi personopplysninger som:

  • Navn og kontaktinformasjon
  • Kravrelatert informasjon eller forklaringer som er ment å demonstrere eierskap
  • Meldinger utvekslet via iLost-plattformen
  • Frakt- og adressedetaljer for retur av en vare
  • Støttende bilder eller dokumenter

Ved å sende inn en krav- eller taptmelding Ved å godta gjeldende personvernregler og vilkår, samtykker brukeren i behandling av disse personopplysningene av iLost med det formål å drifte iLost-plattformen og legge til rette for gjenfinning av mistet eiendom.

--

iLosts rolle i fase 2

I fase 2:

  • iLost fungerer som en uavhengig behandlingsansvarlig for all brukerinitiert behandling på iLost-plattformen, inkludert:

  • Brukerverifisering

  • Kontoadministrasjon

  • Kravhåndtering

  • Kommunikasjonsarbeidsflyter

  • Forsendelsesinitiering

  • iLost avgjør om og når brukerens personopplysninger gjøres tilgjengelige for klienten, basert på verifiseringsresultater og plattformregler.

--

Identifiserbarhet av funnet gjenstander i fase 2

En funnet gjenstand registrert i fase 1 utgjør ikke automatisk personopplysninger.

En funnet gjenstand blir knyttet til en identifiserbar person bare når en brukers krav eller tapsrapport er bekreftet av iLost.

Fra det tidspunktet og utover kvalifiserer den funnede gjenstanden som sporbare personopplysninger innenfor iLost-plattformen.

Utlevering av personopplysninger til klienten

Etter verifisering kan visse brukerpersonopplysninger (for eksempel informasjon om krav eller fraktdetaljer) utleveres til klienten der og i den grad det er nødvendig for å:

  • Bekrefte eierskap
  • Ta en endelig matchbeslutning
  • Forberede og fullføre forsendelse eller fysisk overlevering av gjenstanden

Ingen brukerpersonopplysninger deles med klienten før iLosts verifisering og godkjenning.

3. Forhold mellom behandlingsansvarlige i fase 2

Når brukerpersonopplysninger er utlevert til klienten etter verifisering, behandles og utveksles personopplysninger under et rammeverk mellom behandlingsansvarlige (C2C).

Under dette rammeverket:

  • iLost forblir behandlingsansvarlig for brukerinitiert behandling innenfor iLost-plattformen, inkludert verifisering, kommunikasjon og arbeidsflyter på plattformnivå
  • Klienten forblir behandlingsansvarlig for sin egen påfølgende behandling, inkludert:
  • Verifisering av eierskap og endelig matchingbeslutning
  • Opprettholdelse av interne registre
  • Forberedelse og fullføring av forsendelse eller fysisk overlevering

Hver part bestemmer uavhengig sine egne formål og essensielle behandlingsmidler og er ansvarlig for å overholde gjeldende personvernlover i forbindelse med sine egne behandlingsaktiviteter.

4. Sammendrag av ansvarsfordeling

Fase 1

  • Klient: Behandlingsansvarlig
  • iLost: Databehandler (under databehandleravtalen)

Fase 2 (Etterverifisering og offentliggjøring)

  • iLost: Uavhengig behandlingsansvarlig (brukerinitiert behandling)
  • Klient: Uavhengig behandlingsansvarlig (egen operasjonell behandling)
  • Personopplysninger utveksles under en behandlingsansvarlig-til-behandlingsansvarlig-klausul

5. Gjeldende personvern- og personvernforskrifter

Følgende liste er ikke-uttømmende.

Gjeldende krav avhenger av hvor klienten, brukeren og de relevante behandlingsaktivitetene befinner seg (fase 1 og/eller fase 2).

Amerika

  • USA (valgt): California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) – primært fase 2
  • USA: Andre statlige personvernlover (etter behov) – fase 1 og/eller fase 2
  • Brasil: General Data Protection Law (LGPD) – fase 1 og fase 2
  • Canada: PIPEDA og gjeldende provinsielle personvernlover – fase 1 og fase 2
  • Mexico: Føderal lov om beskyttelse av personopplysninger som oppbevares av private parter – fase 1 og fase 2
  • Argentina: Databeskyttelseslov – fase 1 og fase 2

Asia-Stillehavsområdet

  • Kina: Lov om beskyttelse av personopplysninger – fase 1 og fase 2 (der det er aktuelt)
  • Japan: Lov om beskyttelse av personopplysninger – fase 1 og fase 2
  • Singapore: Lov om beskyttelse av personopplysninger – fase 1 og fase 2
  • Australia: Personvernloven 1988 – fase 1 og fase 2
  • Sør-Korea: Lov om beskyttelse av personopplysninger – fase 1 og fase 2
  • India: Lov om beskyttelse av digitale personopplysninger – Fase 1 og fase 2 (der det er aktuelt)
  • Indonesia: Lov om beskyttelse av personopplysninger – Fase 1 og fase 2

  • Thailand: Lov om beskyttelse av personopplysninger – Fase 1 og fase 2

  • Malaysia: Lov om beskyttelse av personopplysninger – Fase 1 og fase 2

  • Filippinene: Lov om personvern – Fase 1 og fase 2

  • Vietnam: Forordning om beskyttelse av personopplysninger – Fase 1 og fase 2

  • Hongkong: Forordning om personopplysninger (personvern) – Fase 1 og fase 2

  • Taiwan: Lov om beskyttelse av personopplysninger – Fase 1 og fase 2

Europa

  • EU / EØS: Personvernforordningen (GDPR) – Fase 1 og fase 2

  • Storbritannia: GDPR og personvernloven av 2018 i Storbritannia – Fase 1 og fase 2

  • Sveits: Forbundslov om databeskyttelse (FADP) – Fase 1 og fase 2

Midtøsten og Afrika

  • UAE / DIFC / ADGM-data Beskyttelsesforskrifter – Fase 1 og fase 2
  • Qatar: Databeskyttelseslov – Fase 1 og fase 2
  • Israel: Lov om beskyttelse av personopplysninger – Fase 1 og fase 2
  • Saudi-Arabia: Lov om beskyttelse av personopplysninger – Fase 1 og fase 2
  • Bahrain / Oman: Gjeldende nasjonal d Databeskyttelseslover – Fase 1 og Fase 2
  • Tyrkia: Lov om beskyttelse av personopplysninger – Fase 1 og Fase 2
  • Sør-Afrika: Lov om beskyttelse av personopplysninger (POPIA) – Fase 1 og Fase 2
  • Nigeria: Nigerias databeskyttelseslov (NDPA) – Fase 1 og Fase 2
  • Kenya: Databeskyttelsesloven – Fase 1 og Fase 2

Hver part er fortsatt ansvarlig for å overholde databeskyttelseslovgivningen som gjelder for sin egen behandlingsaktivitet og jurisdiksjon, og skal informere iLost skriftlig om eventuelle vesentlige tillegg eller endringer i det ovennevnte.

Oversikt over visuell flyt

Vennligst finn det visuelle kartleggingsdiagrammet nedenfor som illustrerer den komplette dataflyten mellom fase 1 og fase 2, inkludert rollene til organisasjon og bruker, og overgangen av behandlingsansvar.

Dataflytdiagram for fase 1 og fase 2