Umowa o przetwarzaniu danych

Pobierz umowę iLost DPA

Otwórz umowę DPA (PDF)

Na podstawie dwóch odrębnych faz przetwarzania, przedstawionych w przeglądzie wizualnym na dole tej strony, opisano sposób przetwarzania danych osobowych w ramach platformy iLost. Wyjaśniono rodzaje danych osobowych, role stron oraz obowiązujące ramy regulacyjne, bez odniesienia do artykułów prawnych właściwych dla danej jurysdykcji.

Definicje

  1. Roszczenie / zgłoszenie utraty: Informacje przekazane przez użytkownika za pośrednictwem platformy iLost w celu dochodzenia prawa własności lub uprawnienia do znalezionego przedmiotu.
    Roszczenie staje się skuteczne dopiero po zweryfikowaniu konta użytkownika, co obejmuje podanie adresu e-mail i potwierdzenie poprzez link weryfikacyjny, oraz akceptację przez iLost zgodnie z jego polityką. Po takiej akceptacji informacje dotyczące roszczenia są udostępniane odpowiedniemu klientowi, a znaleziony przedmiot zostaje powiązany z użytkownikiem.
    Moment ten oznacza przejście z fazy 1 do fazy 2, opisanej poniżej.

  2. Klient: organizacja, firma lub instytucja (w tym między innymi hotele, obiekty, operatorzy transportowi i instytucje publiczne), która korzysta z platformy iLost w celu rejestrowania znalezionych przedmiotów i zarządzania nimi.
    Aby uniknąć wątpliwości, klient nie jest osobą fizyczną.

  3. Administrator: podmiot, który określa cele i podstawowe środki przetwarzania danych osobowych.

  4. Znaleziony przedmiot: przedmiot zarejestrowany na platformie iLost przez klienta. Znaleziony przedmiot może początkowo nie być powiązany z możliwą do zidentyfikowania osobą fizyczną, a po złożeniu i weryfikacji zgłoszenia może zostać powiązany z użytkownikiem.

  5. Platforma iLost: Rozwiązanie online typu „oprogramowanie jako usługa” obsługiwane przez iLost, obejmujące interfejs internetowy i wbudowane widżety wyszukiwania, które umożliwia Klientom rejestrowanie znalezionych przedmiotów i zarządzanie nimi, a Użytkownikom wyszukiwanie, zgłaszanie, reklamowanie i odzyskiwanie zgubionych przedmiotów.

  6. Dane osobowe: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym między innymi imię i nazwisko, dane kontaktowe, dane identyfikacyjne, zdjęcia, informacje związane z roszczeniem oraz identyfikatory internetowe, takie jak adresy IP.

  7. Przetwarzanie: wszelkie operacje lub zestawy operacji wykonywane na danych osobowych, takie jak gromadzenie, przechowywanie, wykorzystywanie, ujawnianie lub usuwanie.

  8. Podmiot przetwarzający: podmiot, który przetwarza dane osobowe w imieniu administratora.

  9. Użytkownik: osoba fizyczna, która wchodzi w bezpośrednią interakcję z platformą iLost w celu wyszukania, zgłoszenia lub odzyskania zgubionego przedmiotu i której dane osobowe są przetwarzane w tym kontekście. W przypadku gdy mają zastosowanie przepisy dotyczące ochrony danych, użytkownik kwalifikuje się jako „osoba, której dane dotyczą”, „osoba fizyczna” lub równoważne pojęcie prawne zgodnie z tymi przepisami.

1. Faza 1 – Przetwarzanie zainicjowane przez klienta

W fazie 1 dane osobowe są wprowadzane do platformy iLost przez pracownika klienta w kontekście rejestracji i zarządzania znalezionymi przedmiotami.

Działania takie jak proaktywne powiadamianie potencjalnego właściciela lub dopasowywanie przedmiotu w fizycznym punkcie obsługi są uważane za część fazy 1 i pozostają w gestii klienta jako administratora.

Może to obejmować między innymi:

  • dane kontaktowe znanego lub domniemanego właściciela, który nie jest jeszcze użytkownikiem
  • uwagi dodane do znalezionego przedmiotu
  • dane osobowe wprowadzone w celu potwierdzenia odbioru przedmiotu bez zgłoszenia online

Role w fazie 1

W fazie 1:

  • Klient określa cel przetwarzania, a mianowicie zwrot znalezionych przedmiotów ich prawowitym właścicielom
  • Klient pełni rolę administratora danych
  • iLost pełni rolę podmiotu przetwarzającego dane, przetwarzając dane osobowe wprowadzone przez Klienta i w jego imieniu

Relacje związane z przetwarzaniem danych w fazie 1 reguluje obowiązująca umowa o przetwarzaniu danych (DPA).

2. Faza 2 – Przetwarzanie zainicjowane przez użytkownika (po weryfikacji)

Faza 2 rozpoczyna się dopiero po złożeniu przez użytkownika zgłoszenia lub zgłoszenia utraty i zakończeniu procesu weryfikacji przez iLost.
Weryfikacja ta obejmuje potwierdzenie danych kontaktowych użytkownika (np. weryfikację adresu e-mail) oraz zgodność z wewnętrznymi zasadami iLost dotyczącymi walidacji i przeciwdziałania nadużyciom.

Do czasu zakończenia weryfikacji dane osobowe podane przez użytkownika są przetwarzane wyłącznie przez iLost i nie są udostępniane klientowi.

Po zweryfikowaniu i zatwierdzeniu zgłoszenia lub zgłoszenia utraty przez iLost, faza 2 zostaje aktywowana, a odpowiednie dane osobowe użytkownika mogą zostać udostępnione klientowi w celu dalszego przetwarzania.

Dane osobowe podane przez użytkownika

Podczas procesu zgłoszenia roszczenia lub zguby użytkownik może podać dane osobowe, takie jak:

  • imię i nazwisko oraz dane kontaktowe
  • informacje związane z roszczeniem lub wyjaśnienia mające na celu wykazanie własności
  • wiadomości wymieniane za pośrednictwem platformy iLost
  • dane dotyczące wysyłki i adres zwrotny przedmiotu
  • zdjęcia lub dokumenty uzupełniające

Przesyłając roszczenie lub zgłoszenie zguby i akceptując obowiązującą politykę prywatności oraz warunki, użytkownik wyraża zgodę na przetwarzanie tych danych osobowych przez iLost w celu obsługi platformy iLost i ułatwienia odzyskania zgubionych przedmiotów.

Rola iLost w fazie 2

W fazie 2:

  • iLost działa jako niezależny administrator wszystkich procesów inicjowanych przez użytkowników na platformie iLost, w tym:
  • weryfikacji użytkowników
  • zarządzania kontami
  • obsługi roszczeń
  • przepływu komunikacji

  • inicjowania wysyłek

  • iLost określa, czy i kiedy dane osobowe użytkownika zostaną udostępnione klientowi, na podstawie wyników weryfikacji i zasad platformy.

Identyfikowalność znalezionych przedmiotów w fazie 2

Znaleziony przedmiot zarejestrowany w fazie 1 nie stanowi automatycznie danych osobowych.

Znaleziony przedmiot zostaje powiązany z identyfikowalną osobą tylko wtedy, gdy zgłoszenie użytkownika lub zgłoszenie utraty zostało zweryfikowane przez iLost.

Od tego momentu znaleziony przedmiot kwalifikuje się jako identyfikowalne dane osobowe w ramach platformy iLost.

Ujawnianie danych osobowych klientowi

Po weryfikacji niektóre dane osobowe użytkownika (na przykład informacje związane z zgłoszeniem lub szczegóły wysyłki) mogą zostać ujawnione klientowi w zakresie niezbędnym do:

  • weryfikacji własności
  • podjęcia ostatecznej decyzji o dopasowaniu
  • przygotowania i realizacji wysyłki lub fizycznego przekazania przedmiotu

Żadne dane osobowe użytkownika nie są udostępniane klientowi przed weryfikacją i zatwierdzeniem przez iLost.

3. Relacje między administratorami danych w fazie 2

Po ujawnieniu danych osobowych użytkownika klientowi po weryfikacji dane osobowe są przetwarzane i wymieniane w ramach struktury administrator-administrator (C2C).

W ramach tych ram:

  • iLost pozostaje administratorem w przypadku przetwarzania zainicjowanego przez użytkownika w ramach platformy iLost, w tym weryfikacji, komunikacji i przepływów pracy na poziomie platformy
  • Klient pozostaje administratorem w przypadku własnego dalszego przetwarzania, w tym:
  • weryfikację własności i podjęcie ostatecznej decyzji o dopasowaniu
  • prowadzenie wewnętrznej dokumentacji
  • przygotowanie i realizację wysyłki lub fizycznego przekazania

Każda ze stron samodzielnie określa własne cele i niezbędne środki przetwarzania oraz ponosi odpowiedzialność za zgodność z obowiązującymi przepisami o ochronie danych w odniesieniu do własnych działań związanych z przetwarzaniem.

4. Podsumowanie podziału odpowiedzialności

Faza 1

  • Klient: administrator
  • iLost: podmiot przetwarzający (zgodnie z umową o przetwarzaniu danych)

Faza 2 (po weryfikacji i ujawnieniu)

  • iLost: niezależny administrator (przetwarzanie zainicjowane przez użytkownika)
  • Klient: Niezależny administrator (własne przetwarzanie operacyjne)
  • Dane osobowe są wymieniane na podstawie klauzuli między administratorami

5. Obowiązujące przepisy dotyczące ochrony danych i prywatności

Poniższa lista nie jest wyczerpująca.
Obowiązujące wymagania zależą od lokalizacji klienta, użytkownika i odpowiednich działań związanych z przetwarzaniem (faza 1 i/lub faza 2).

Ameryka

  • Stany Zjednoczone (wybrane): Kalifornijska ustawa o ochronie prywatności konsumentów / Kalifornijska ustawa o prawach do prywatności (CCPA/CPRA) – głównie faza 2
  • Stany Zjednoczone: Inne stanowe przepisy dotyczące prywatności (w stosownych przypadkach) – faza 1 i/lub faza 2
  • Brazylia: Ogólna ustawa o ochronie danych (LGPD) – faza 1 i faza 2
  • Kanada: PIPEDA i obowiązujące prowincjonalne przepisy dotyczące prywatności – faza 1 i faza 2
  • Meksyk: Federalna ustawa o ochronie danych osobowych przechowywanych przez podmioty prywatne – faza 1 i faza 2
  • Argentyna: Ustawa o ochronie danych – faza 1 i faza 2

Azja i Pacyfik

  • Chiny: Ustawa o ochronie danych osobowych – Faza 1 i Faza 2 (w stosownych przypadkach)
  • Japonia: Ustawa o ochronie danych osobowych – Faza 1 i Faza 2
  • Singapur: Ustawa o ochronie danych osobowych – faza 1 i faza 2
  • Australia: Ustawa o ochronie prywatności z 1988 r. – faza 1 i faza 2
  • Korea Południowa: Ustawa o ochronie danych osobowych – faza 1 i faza 2
  • Indie: Ustawa o ochronie danych osobowych w środowisku cyfrowym – faza 1 i faza 2 (w stosownych przypadkach)
  • Indonezja: Ustawa o ochronie danych osobowych – faza 1 i faza 2
  • Tajlandia: Ustawa o ochronie danych osobowych – faza 1 i faza 2
  • Malezja: Ustawa o ochronie danych osobowych – faza 1 i faza 2
  • Filipiny: Ustawa o ochronie danych osobowych – faza 1 i faza 2
  • Wietnam: Dekret o ochronie danych osobowych – faza 1 i faza 2
  • Hongkong: Rozporządzenie o danych osobowych (prywatność) – faza 1 i faza 2
  • Tajwan: Ustawa o ochronie danych osobowych – faza 1 i faza 2

Europa

  • Unia Europejska / EOG: Ogólne rozporządzenie o ochronie danych (RODO) – faza 1 i faza 2
  • Wielka Brytania: Brytyjskie RODO i ustawa o ochronie danych z 2018 r. – faza 1 i faza 2
  • Szwajcaria: Federalna ustawa o ochronie danych (FADP) – faza 1 i faza 2

Bliski Wschód i Afryka

  • Zjednoczone Emiraty Arabskie / DIFC / ADGM Przepisy dotyczące ochrony danych – Faza 1 i Faza 2
  • Katar: Ustawa o ochronie danych – Faza 1 i Faza 2
  • Izrael: Ustawa o ochronie prywatności – Faza 1 i Faza 2
  • Arabia Saudyjska: Ustawa o ochronie danych osobowych (PDPL) – Faza 1 i Faza 2
  • Bahrajn / Oman: Obowiązujące krajowe przepisy dotyczące ochrony danych – faza 1 i faza 2
  • Turcja: Ustawa o ochronie danych osobowych – faza 1 i faza 2
  • Republika Południowej Afryki: Ustawa o ochronie danych osobowych (POPIA) – Faza 1 i Faza 2
  • Nigeria: Ustawa o ochronie danych w Nigerii (NDPA) – Faza 1 i Faza 2
  • Kenia: Ustawa o ochronie danych – Faza 1 i Faza 2

Każda ze stron pozostaje odpowiedzialna za przestrzeganie przepisów dotyczących ochrony danych mających zastosowanie do jej własnych działań związanych z przetwarzaniem danych i jurysdykcji oraz zobowiązana jest poinformować iLost na piśmie o wszelkich istotnych uzupełnieniach lub zmianach w powyższych przepisach.

Wizualny przegląd przepływu danych

Poniżej znajduje się wizualny schemat ilustrujący kompletny przepływ danych między fazą 1 a fazą 2, w tym role organizacji i użytkownika oraz przejście obowiązków administratora.

Schemat przepływu danych w fazie 1 i fazie 2