Databehandlingsavtal

Ladda ner iLost DPA

Öppna DPA (PDF)

Baserat på två distinkta behandlingsfaser, som visas i den visuella översikten längst ner på denna sida, beskrivs hur personuppgifter behandlas inom iLost-plattformen. Det förklarar vilka typer av personuppgifter som berörs, parternas roller och tillämpligt regelverk, utan hänvisning till jurisdiktionsspecifika lagartiklar.

Definitioner

  1. Anmälan/förlustrapport: Information som lämnas in av en användare via iLost-plattformen i syfte att hävda äganderätt till eller rätt till ett funnet föremål.
    En anmälan träder i kraft först efter att användarens konto har verifierats, vilket innefattar inlämning av en e-postadress och validering via en verifieringslänk, samt godkännande av iLost i enlighet med dess policyer. Efter godkännandet görs anspråksinformationen tillgänglig för den berörda kunden och det hittade föremålet kopplas till användaren.
    Detta ögonblick markerar övergången från fas 1 till fas 2 enligt beskrivningen nedan.

  2. Kund: En organisation, ett företag eller en institution (inklusive men inte begränsat till hotell, evenemangsarenor, transportföretag och offentliga institutioner) som använder iLost-plattformen för att registrera och hantera hittade föremål.
    För att undvika tvivel är en kund inte en fysisk person.

  3. Personuppgiftsansvarig: Den enhet som bestämmer ändamålen och de väsentliga medlen för behandlingen av personuppgifter.

  4. Hittat föremål: Ett föremål som registreras på iLost-plattformen av en kund. Ett hittat föremål kan initialt inte kopplas till en identifierbar person och kan, efter inlämning och verifiering av ett anspråk, kopplas till en användare.

  5. iLost-plattformen: Den onlinebaserade mjukvarulösningen som drivs av iLost, inklusive dess webbgränssnitt och inbäddade sökwidgets, som gör det möjligt för kunder att registrera och hantera hittade föremål och för användare att söka efter, rapportera, göra anspråk på och återfå förlorad egendom.

  6. Personuppgifter: All information som rör en identifierad eller identifierbar fysisk person, inklusive men inte begränsat till namn, kontaktuppgifter, identifieringsuppgifter, fotografier, information relaterad till anspråk och onlineidentifierare såsom IP-adresser.

  7. Behandling: Varje åtgärd eller uppsättning åtgärder som utförs på personuppgifter, såsom insamling, lagring, användning, utlämnande eller radering.

  8. Personuppgiftsbiträde: Den enhet som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig.

  9. Användare: En fysisk person som interagerar direkt med iLost-plattformen för att söka efter, göra anspråk på eller återfå en förlorad föremål och vars personuppgifter behandlas i det sammanhanget. Om tillämplig dataskyddslagstiftning gäller, kvalificerar sig en användare som en ”registrerad”, ”individ” eller motsvarande juridiskt begrepp enligt sådan lagstiftning.

1. Fas 1 – Klientinitierad behandling

I fas 1 matas personuppgifter in i iLost-plattformen av en anställd hos klienten i samband med registrering och hantering av upphittade föremål.

Åtgärder som att proaktivt meddela en möjlig ägare eller matcha ett föremål vid en fysisk serviceavdelning anses vara en del av fas 1 och förblir klientens ansvar som personuppgiftsansvarig.

Detta kan inkludera, men är inte begränsat till:

  • Kontaktuppgifter till en känd eller misstänkt ägare som ännu inte är användare
  • Anteckningar som lagts till en upphittad föremål
  • Personuppgifter som matats in för att bekräfta hämtning av ett föremål utan onlineansökan

Roller i fas 1

I fas 1:

  • Kunden bestämmer syftet med behandlingen, nämligen att återlämna hittade föremål till deras rättmätiga ägare
  • Kunden agerar som registeransvarig
  • iLost agerar som registerförare och behandlar personuppgifter som matats in av och på uppdrag av kunden

Behandlingsförhållandet i fas 1 regleras av tillämpligt databehandlingsavtal (DPA).

2. Fas 2 – Användarinitierad behandling (efter verifiering)

Fas 2 inleds först efter att en användare har lämnat in en skadeanmälan eller en förlustanmälan och iLost har slutfört sin verifieringsprocess.
Verifieringen omfattar bekräftelse av användarens kontaktuppgifter (t.ex. e-postverifiering) och efterlevnad av iLosts interna validerings- och missbrukspolicyer.

Tills verifieringen är slutförd behandlas de personuppgifter som användaren har lämnat uteslutande av iLost och görs inte tillgängliga för kunden.

När en anmälan eller förlustrapport har verifierats och godkänts av iLost aktiveras fas 2 och användarens relevanta personuppgifter kan göras tillgängliga för kunden för vidare behandling.

Personuppgifter som tillhandahålls av användaren

Under processen för anspråk eller anmälan om förlust kan en användare tillhandahålla personuppgifter såsom:

  • Namn och kontaktuppgifter
  • Information eller förklaringar relaterade till anspråket som syftar till att styrka äganderätten
  • Meddelanden som utbyts via iLost-plattformen
  • Frakt- och adressuppgifter för retur av en artikel
  • Stödjande bilder eller dokument

Genom att skicka in ett anspråk eller en anmälan om förlust och acceptera tillämplig integritetspolicy och villkor samtycker användaren till att iLost behandlar dessa personuppgifter i syfte att driva iLost-plattformen och underlätta återfinnandet av förlorad egendom.

iLosts roll i fas 2

I fas 2:

  • iLost agerar som en oberoende registeransvarig för all användarinitierad behandling på iLost-plattformen, inklusive:
  • Användarverifiering
  • Kontohantering
  • Hantering av anspråk
  • Kommunikationsflöden

  • Initiering av försändelse

  • iLost avgör om och när användarens personuppgifter görs tillgängliga för kunden, baserat på verifieringsresultat och plattformens policyer.

Identifierbarhet av upphittade föremål i fas 2

Ett upphittat föremål som registreras i fas 1 utgör inte automatiskt personuppgifter.

Ett upphittat föremål kopplas till en identifierbar person endast när användarens anspråk eller anmälan om förlust har verifierats av iLost.

Från och med det ögonblicket betraktas det upphittade föremålet som spårbara personuppgifter inom iLost-plattformen.

Utlämnande av personuppgifter till kunden

Efter verifiering kan vissa personuppgifter om användaren (till exempel information om anmälan eller leveransuppgifter) lämnas ut till kunden där och i den utsträckning det är nödvändigt för att:

  • Verifiera ägarskapet
  • Fatta ett slutgiltigt beslut om matchning
  • Förbereda och slutföra leveransen eller den fysiska överlämningen av föremålet

Inga personuppgifter om användaren delas med kunden innan iLost har verifierat och godkänt dem.

3. Förhållandet mellan registeransvariga i fas 2

När användarens personuppgifter har lämnats ut till kunden efter verifiering behandlas och utbyts personuppgifterna inom ramen för ett ramverk för registeransvariga (C2C).

Inom detta ramverk:

  • iLost förblir personuppgiftsansvarig för användarinitierad behandling inom iLost-plattformen, inklusive verifiering, kommunikation och arbetsflöden på plattformsnivå.
  • Kunden förblir personuppgiftsansvarig för sin egen efterföljande behandling, inklusive:
  • Verifiering av äganderätt och fattande av det slutgiltiga beslutet om matchning
  • Upprätthållande av interna register
  • Förberedelse och genomförande av leverans eller fysisk överlämning

Varje part fastställer självständigt sina egna syften och väsentliga medel för behandling och ansvarar för efterlevnaden av tillämpliga dataskyddslagar i relation till sina egna behandlingsaktiviteter.

4. Sammanfattning av ansvarsfördelning

Fas 1

  • Kund: Personuppgiftsansvarig
  • iLost: Personuppgiftsbiträde (enligt DPA)

Fas 2 (efter verifiering och avslöjande)

  • iLost: Oberoende personuppgiftsansvarig (användarinitierad behandling)
  • Kund: Oberoende registeransvarig (egen operativ behandling)
  • Personuppgifter utbyts enligt en klausul mellan registeransvariga

5. Tillämpliga dataskydds- och integritetsbestämmelser

Följande lista är icke uttömmande.
Tillämpliga krav beror på kundens och användarens plats samt relevanta behandlingsaktiviteter (fas 1 och/eller fas 2).

Amerika

  • Förenta staterna (utvalda): California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) – främst fas 2
  • Förenta staterna: Andra delstatliga sekretesslagar (i tillämpliga fall) – fas 1 och/eller fas 2
  • Brasilien: Allmän dataskyddslag (LGPD) – fas 1 och fas 2
  • Kanada: PIPEDA och tillämpliga provinsiella sekretesslagar – fas 1 och fas 2
  • Mexiko: Federal lag om skydd av personuppgifter som innehas av privata parter – fas 1 och fas 2
  • Argentina: Dataskyddslag – fas 1 och fas 2

Asien-Stillahavsområdet

  • Kina: Lag om skydd av personuppgifter – Fas 1 och Fas 2 (i tillämpliga fall)
  • Japan: Lag om skydd av personuppgifter – Fas 1 och Fas 2
  • Singapore: Lagen om skydd av personuppgifter – Fas 1 och Fas 2
  • Australien: Privacy Act 1988 – Fas 1 och Fas 2
  • Sydkorea: Lagen om skydd av personuppgifter – Fas 1 och Fas 2
  • Indien: Lagen om skydd av digitala personuppgifter – Fas 1 och Fas 2 (i tillämpliga fall)
  • Indonesien: Lagen om skydd av personuppgifter – Fas 1 och Fas 2
  • Thailand: Lagen om skydd av personuppgifter – Fas 1 och Fas 2
  • Malaysia: Lagen om skydd av personuppgifter – Fas 1 och Fas 2
  • Filippinerna: Lagen om dataskydd – Fas 1 och Fas 2
  • Vietnam: Dekret om skydd av personuppgifter – Fas 1 och Fas 2
  • Hongkong: Förordningen om personuppgifter (integritet) – Fas 1 och Fas 2
  • Taiwan: Personuppgiftslag – Fas 1 och Fas 2

Europa

  • Europeiska unionen/EES: Allmän dataskyddsförordning (GDPR) – Fas 1 och Fas 2
  • Storbritannien: Brittisk GDPR och dataskyddslag 2018 – Fas 1 och Fas 2
  • Schweiz: Federal lag om dataskydd (FADP) – Fas 1 och Fas 2

Mellanöstern och Afrika

  • Förenade Arabemiraten/DIFC/ADGM:s dataskyddsförordningar – Fas 1 och Fas 2
  • Qatar: Dataskyddslag – Fas 1 och Fas 2
  • Israel: Lag om skydd av privatlivet – Fas 1 och Fas 2
  • Saudiarabien: Lag om skydd av personuppgifter (PDPL) – Fas 1 och Fas 2
  • Bahrain/Oman: Tillämpliga nationella dataskyddslagar – Fas 1 och Fas 2
  • Turkiet: Lag om skydd av personuppgifter – Fas 1 och Fas 2
  • Sydafrika: Lag om skydd av personuppgifter (POPIA) – Fas 1 och fas 2
  • Nigeria: Nigerias dataskyddslag (NDPA) – Fas 1 och fas 2
  • Kenya: Dataskyddslag – Fas 1 och fas 2

Varje part ansvarar för att följa de dataskyddslagar som gäller för dess egna behandlingsaktiviteter och jurisdiktion och ska skriftligen informera iLost om alla väsentliga tillägg eller ändringar av ovanstående.

Visuell översikt över flödet

Nedan finns ett visuellt diagram som illustrerar det fullständiga dataflödet mellan fas 1 och fas 2, inklusive organisationens och användarens roller samt övergången av ansvaret för personuppgiftsansvarig.

Fas 1 och fas 2 dataflödesdiagram