1. Εισαγωγή
Αυτή η Πολιτική Απορρήτου (αυτή η “Πολιτική”) εξηγεί πώς η Lepta Payment Solutions Limited (“Lepta,” “εμείς,” “μας,” ή “δικά μας”) συλλέγει, χρησιμοποιεί, αποθηκεύει και μοιράζεται προσωπικά δεδομένα σε σχέση με την εφαρμογή Mobile Event Donations (η “Εφαρμογή”). Η Εφαρμογή επιτρέπει στους εξουσιοδοτημένους εθελοντές να συλλέγουν δωρεές για λογαριασμό προσδιορισμένων νομικών οντοτήτων χρησιμοποιώντας τεχνολογία Tap-to-Pay.
Αυτή η Πολιτική ισχύει για δύο κατηγορίες ατόμων:
- Εθελοντές: άτομα που εξουσιοδοτούνται από μια νομική οντότητα να χρησιμοποιούν την Εφαρμογή για τη συλλογή δωρεών· και
- Δωρητές: άτομα που κάνουν δωρεές μέσω της Εφαρμογής.
Η επεξεργασία πληρωμών παρέχεται από την Stripe, Inc. (“Stripe”). Η επεξεργασία των προσωπικών σας δεδομένων από τη Stripe διέπεται από την Πολιτική Απορρήτου της Stripe, διαθέσιμη στο stripe.com/privacy. Η νομική οντότητα που λαμβάνει τη δωρεά σας μπορεί επίσης να έχει τη δική της πολιτική απορρήτου, η οποία θα σας παρασχεθεί στο σημείο της δωρεάς.
2. Ποιος είναι υπεύθυνος για τα δεδομένα σας;
Ανάλογα με την δραστηριότητα, διαφορετικές μέρες είναι υπεύθυνες για τα προσωπικά σας δεδομένα:
- Η νομική οντότητα (ελεγκτής δεδομένων): Η οργάνωση που λαμβάνει τη δωρεά είναι ο ελεγκτής δεδομένων για τη ροή συναλλαγών δωρεάς, συμπεριλαμβανομένης της συλλογής και επεξεργασίας προσωπικών δεδομένων δωρητή για τους σκοπούς της λήψης δωρεών και της έκδοσης φορολογικών απόδειξης. Η νομική οντότητα δίνει οδηγίες στη Lepta να συλλέγει και να μεταδίδει αυτά τα δεδομένα για λογαριασμό της.
- Lepta ως επεξεργαστής δεδομένων: Για τη ροή συναλλαγών δωρεάς—συμπεριλαμβανομένης της συλλογής και μετάδοσης προσωπικών δεδομένων δωρητή μέσω της Εφαρμογής, και της μεταφοράς των αρχείων συναλλαγών στα συστήματα της νομικής οντότητας—η Lepta ενεργεί ως επεξεργαστής δεδομένων για λογαριασμό της νομικής οντότητας. Η Lepta επεξεργάζεται αυτά τα δεδομένα μόνο σύμφωνα με τις τεκμηριωμένες οδηγίες της νομικής οντότητας.
- Lepta ως ελεγκτής δεδομένων: Η Lepta καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας για ένα περιορισμένο σύνολο εσωτερικών δραστηριοτήτων: τη λειτουργία, ασφάλεια και συντήρηση της πλατφόρμας Lepta (συμπεριλαμβανομένων των αρχείων καταγραφής του διακομιστή και της ανταπόκρισης προσφορών), της διαχείρισης λογαριασμών χρήστη διαχειριστή, της επιλογής και διαχείρισης των δικών της παρόχων υπηρεσιών, και τη συμμόρφωση με τις δικές της νομικές υποχρεώσεις. Η Lepta δεν ενεργεί ως ελεγκτής δεδομένων για την παρακολούθηση απάτης, τη διαλογή ορυκτολογίας κατά του νόμισμα, ή την αναλυτική επεξεργασία δεδομένων σε πολλαπλές νομικές οντότητες.
- Stripe: Η Stripe επεξεργάζεται δεδομένα κάρτας πληρωμής και προσωπικά δεδομένα δωρητή στην ικανότητά της ως ανεξάρτητος πάροχος υπηρεσιών πληρωμής. Η Stripe δεν είναι υπο-επεξεργαστής της Lepta. Ο ρόλος και οι υποχρεώσεις της Stripe διέπονται από την Πολιτική Απορρήτου της Stripe και τις συμφωνίες της με τη Lepta. Η Stripe είναι αυτοπιστοποιημένη σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ.
- Google: Όπου η Εφαρμογή χρησιμοποιεί το Google Places API για αυτόματη συμπλήρωση διευθύνσεων, η Εφαρμογή στέλνει το μερικό ερώτημα διεύθυνσης του δωρητή και τα δεδομένα τοποθεσίας της συσκευής στον διακομιστή της Lepta, ο οποίος προωθεί το αίτημα στη Google. Η Google ενεργεί ως υπο-επεξεργαστής της Lepta για αυτόν τον σκοπό. Το Google, LLC είναι αυτοπιστοποιημένο σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ. Η επεξεργασία της Google διέπεται από την Πολιτική Απορρήτου της Google.
3. Ποια προσωπικά δεδομένα συλλέγουμε
3.1 Δεδομένα εθελοντών
Όταν συνδέεστε στην Εφαρμογή με κωδικό εξουσιοδότησης, συλλέγουμε:
- Το όνομά σας (όνομα και επώνυμο)
- Τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας
Αυτά τα δεδομένα αποθηκεύονται σε κρυπτογραφημένο ασφαλή χώρο αποθήκευσης στη συσκευή σας και διαγράφονται όταν αποσυνδέεστε. Μεταδίδεται επίσης στη Stripe σε σχέση με την επεξεργασία πληρωμής.
Εάν κάνετε λήψη της Εφαρμογής αλλά δεν εισάγετε κωδικό εξουσιοδότησης, δεν συλλέγονται, αποθηκεύονται ή μεταδίδονται προσωπικά δεδομένα σχετικά με εσάς από την Εφαρμογή ή από τη Lepta.
3.2 Δεδομένα δωρητών
Όταν ένας δωρητής κάνει δωρεά μέσω της Εφαρμογής, τα ακόλουθα δεδομένα ενδέχεται να συλλεχθούν, ανάλογα με την ρύθμιση της περιόδου λειτουργίας:
- Διεύθυνση ηλεκτρονικού ταχυδρομείου (χρησιμοποιείται για την παράδοση αποδείξεων δωρεάς)
- Όνομα (όνομα και επώνυμο)
- Ταχυδρομική διεύθυνση (δρόμος, πόλη, κράτος/επαρχία, ταχυδρομικός/ταχυδρομικός κωδικός, χώρα)—συλλέγεται μόνο σε δικαιοδοσίες όπου απαιτείται από το νόμο για την έκδοση φορολογικής απόδειξης
Αυτά τα δεδομένα δωρητή μεταδίδονται απευθείας στους διακομιστές της Stripe μέσω του Stripe API. Δεν γράφεται ή αποθηκεύεται στη δική της βάση δεδομένων της Lepta ή στην πύλη της Εφαρμογής.
3.3 Δεδομένα κάρτας πληρωμής
Τα δεδομένα κάρτας πληρωμής (αριθμός κάρτας, ημερομηνία λήξης, CVC) χειρίζονται πλήρως από το Stripe SDK που είναι ενσωματωμένο στην Εφαρμογή. Η Lepta δεν έχει πρόσβαση, δεν επεξεργάζεται ή δεν αποθηκεύει δεδομένα κάρτας πληρωμής σε κανένα σημείο.
3.4 Δεδομένα τοποθεσίας συσκευής
Μετά την εισαγωγή του κωδικού εξουσιοδότησης και την έναρξη της διαδικασίας ενσωμάτωσης Tap-to-Pay, η Εφαρμογή ζητά άδεια πρόσβασης στην ακριβή τοποθεσία της συσκευής σας. Αυτό απαιτείται για δύο σκοπούς:
- Απαίτηση Stripe Terminal SDK: Η Stripe απαιτεί επιβεβαίωση της ακριβούς τοποθεσίας της συσκευής για να επαληθεύσει ότι το Tap-to-Pay χρησιμοποιείται σε εγκεκριμένη χώρα. Αυτή είναι υποχρεωτική προαπαίτηση του Stripe Terminal SDK, χωρίς την οποία η Εφαρμογή δεν μπορεί να αρχικοποιηθεί ή να δεχτεί πληρωμές.
- Αυτόματη συμπλήρωση διεύθυνσης: Η Εφαρμογή χρησιμοποιεί το Google Places API για να παρέχει αποτελέσματα αυτόματης συμπλήρωσης διεύθυνσης υψηλής ποιότητας όταν ένας δωρητής εισάγει τη ταχυδρομική του διεύθυνση. Τα δεδομένα τοποθεσίας της συσκευής χρησιμοποιούνται για τη βελτίωση της σχετικότητας αυτών των προτάσεων.
Τα δεδομένα τοποθεσίας δεν αποθηκεύονται από τη Lepta στην πύλη της Εφαρμογής ή στη βάση δεδομένων.
3.5 Δεδομένα που δεν συλλέγονται
Η Εφαρμογή δεν συλλέγει, δεν χρησιμοποιεί ή δεν μεταδίδει:
- Αναγνωριστικά διαφήμισης (IDFA ή GAID)
- Δεδομένα κατάρρευσης, δεδομένα απόδοσης ή διαγνωστική τηλεμετρία (δεν περιλαμβάνονται SDK αναφοράς σφαλμάτων ή παρακολούθησης απόδοσης)
- Δεδομένα παρακολούθησης μεταξύ εφαρμογών ή μεταξύ ιστοτόπων
- Βιομετρικά δεδομένα (συμπεριλαμβανομένων δεδομένων αναγνώρισης προσώπου)
Η Εφαρμογή χρησιμοποιεί μια βιβλιοθήκη καταγραφής μόνο τοπικά για διαγνωστικά υπηρεσίας ανάπτυξης. Σε δομές παραγωγής, καταγράφονται μόνο μηνύματα ενημερωτικού επιπέδου και αυτά τα αρχεία καταγραφής παραμένουν στη συσκευή και δεν μεταδίδονται ποτέ σε κανένα διακομιστή.
4. Πώς χρησιμοποιούμε τα προσωπικά σας δεδομένα
| Σκοπός | Δεδομένα που χρησιμοποιούνται | Νομική βάση (GDPR) | Διατήρηση |
|---|---|---|---|
| Ενσωμάτωση και έλεγχος ταυτότητας εθελοντών | Όνομα εθελοντή, ηλεκτρονικό ταχυδρομείο, κωδικό εξουσιοδότησης | Νόμιμο συμφέρον (Art. 6(1)(f))—απαραίτητο για τη λειτουργία της υπηρεσίας συλλογής δωρεών | Στη συσκευή: έως την αποσύνδεση. |
| Στη Stripe: σύμφωνα με την Πολιτική Διατήρησης της Stripe | |||
| Επεξεργασία δωρεών | Όνομα δωρητή, ηλεκτρονικό ταχυδρομείο, δεδομένα κάρτας πληρωμής (μέσω Stripe SDK), ποσό δωρεάς | Εκτέλεση σύμβασης (Art. 6(1)(b))—απαραίτητο για την επεξεργασία της συναλλαγής δωρεάς | Stripe: σύμφωνα με την Πολιτική Διατήρησης της Stripe. |
| Νομική οντότητα: σύμφωνα με τις υποχρεώσεις του κρατικού αρχείου | |||
| Έκδοση φορολογικών αποδείξεων | Όνομα δωρητή, ηλεκτρονικό ταχυδρομείο, ταχυδρομική διεύθυνση | Νομική υποχρέωση (Art. 6(1)(c))—απαιτείται από το εγχώριο φορολογικό δίκαιο σε καθορισμένες δικαιοδοσίες | Νομική οντότητα: σύμφωνα με τις εφαρμόσιμες υποχρεώσεις διατήρησης φορολογικών αρχείων |
| Έκδοση φορολογικών αποδείξεων | Όνομα δωρητή, ηλεκτρονικό ταχυδρομείο, ταχυδρομική διεύθυνση | Νομική υποχρέωση (Art. 6(1)(c))—απαιτείται από το εγχώριο φορολογικό δίκαιο σε καθορισμένες δικαιοδοσίες | Νομική οντότητα: σύμφωνα με τις εφαρμόσιμες υποχρεώσεις διατήρησης φορολογικών αρχείων |
| Επαλήθευση χώρας Tap-to-Pay | Ακριβή τοποθεσία συσκευής | Νόμιμο συμφέρον (Art. 6(1)(c),(f))—απαραίτητο για τη συμμόρφωση με τις απαιτήσεις του Stripe Terminal SDK και τους κανόνες δικτύου πληρωμών; και να προσδιοριστεί εάν χρησιμοποιείται σε εγκεκριμένη χώρα | Δεν αποθηκεύεται |
| Αυτόματη συμπλήρωση διεύθυνσης | Τοποθεσία συσκευής | Νόμιμο συμφέρον (Art. 6(1)(f))—βελτίωση της ακρίβειας της εισαγωγής διεύθυνσης για τους δωρητές | Δεν αποθηκεύεται |
| Λειτουργία διακομιστή | Διευθύνσεις IP, συμβολοσειρές χρήστη, παράμετροι URL (τυπικά αρχεία καταγραφής διακομιστή) | Νόμιμο συμφέρον (Art. 6(1)(f))—ασφάλεια και ακεραιότητα του συστήματος | Μεταβατικά; 60 ημέρες |
| Θρησκευτικό πλαίσιο | Όπου η νομική οντότητα είναι θρησκευτική ένωση, τα δεδομένα δωρεάς ενδέχεται σε πλαίσιο να αποκαλύπτουν τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις του δωρητή (Art. 9(1) GDPR) | Art. 9(2)(d)—επεξεργασία που διεξάγεται στο πλαίσιο νόμιμων δραστηριοτήτων θρησκευτικής ένωσης, με κατάλληλες διασφάλιση. Η νομική οντότητα εγγυάται την ανάλογη σε αυτή την προϋπόθεση. | Σύμφωνα με τις περιόδους διατήρησης ανωτέρω |
5. Συγκατάθεση για απόδειξη και επιστολή εκτίμησης
Όπου η Εφαρμογή προσφέρει στους δωρητές τη δυνατότητα να λάβουν απόδειξη δωρεάς ή επιστολή εκτίμησης, αυτό βασίζεται στη ελεύθερη συγκατάθεση του δωρητή. Ο μηχανισμός συγκατάθεσης λειτουργεί ως εξής:
- Η συμφωνία δίνεται με τη μορφή χωριστής, καθαρά επισημασμένης εναλλαγής ή καρέ που είναι απενεργοποιημένη από προεπιλογή.
- Η ίδια η δωρεά δεν είναι υπό όρους την τη συμφωνία—ένας δωρητής μπορεί να ολοκληρώσει τη δωρεά χωρίς να συμφωνήσει να λάβει απόδειξη ή επιστολή.
- Ο δωρητής ενημερώνεται, στο σημείο της συμφωνίας, ότι οι λεπτομέρειες επικοινωνίας τους (όνομα, ηλεκτρονικό ταχυδρομείο και, κατά περίπτωση, ταχυδρομική διεύθυνση) θα μοιραστούν με τη νομική οντότητα που λαμβάνει τη δωρεά για τον σκοπό της έκδοσης της απόδειξης ή επιστολής.
- Η συγκατάθεση μπορεί να ανακληθεί ανά πάσα στιγμή επικοινωνώντας με τη Lepta ή τη νομική οντότητα (δείτε την Ενότητα 9 παρακάτω).
6. Πού αποθηκεύονται τα δεδομένα σας και με ποιον κοινοποιούνται
Η Lepta δεν διατηρεί τη δική της βάση δεδομένων προσωπικών δεδομένων δωρητή. Η ροή δεδομένων είναι ως εξής:
- Στη συσκευή: Το όνομα και το ηλεκτρονικό ταχυδρομείο του εθελοντή αποθηκεύονται σε κρυπτογραφημένο ασφαλή χώρο αποθήκευσης στη συσκευή και διαγράφονται κατά την αποσύνδεση.
- Stripe: Το όνομα δωρητή, το ηλεκτρονικό ταχυδρομείο, η ταχυδρομική διεύθυνση (όπου συλλέγεται) και τα δεδομένα πληρωμής διατηρούνται στους διακομιστές της Stripe. Η Stripe είναι πάροχος υπηρεσιών πληρωμής πιστοποιημένος σε PCI DSS Level 1. Η διατήρηση δεδομένων, τα μέτρα ασφάλειας και οι πρακτικές απορρήτου της Stripe διέπονται από την Πολιτική Απορρήτου της Stripe (stripe.com/privacy). Η Stripe είναι αυτοπιστοποιημένη σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ.
- Η νομική οντότητα: Τα δεδομένα συναλλαγών που απαιτούνται για τα αρχεία της νομικής οντότητας μεταφέρονται από τη Stripe στο σύστημα IT της νομικής οντότητας. Αυτό αντικατοπτρίζει τη υπάρχουσα ροή δεδομένων που χρησιμοποιείται για το donate.jw.org.
- Watchtower Bible and Tract Society of New York, Inc. (“WTNY”): Η WTNY παρέχει ένα ευρύτερο περιβάλλον IT της Lepta σύμφωνα με μια Συμφωνία Υπηρεσιών IT, συμπεριλαμβανομένου του συστήματος HuB προγραμματισμού πόρων επιχείρησης, Microsoft 365/SharePoint Online (Πύλη Πόρων Πελάτη Lepta), υπηρεσιών Microsoft Azure cloud, Microsoft Power BI, Microsoft Exchange (ηλεκτρονικό ταχυδρομείο), υπηρεσιών αντιγράφων ασφάλειας και φιλοξενίας τομέα, όλες από τις Ηνωμένες Πολιτείες. Η WTNY ενεργεί ως επεξεργαστής και υπο-επεξεργαστής της Lepta και επεξεργάζεται προσωπικά δεδομένα μόνο σύμφωνα με τις τεκμηριωμένες οδηγίες της Lepta. Ο υπο-επεξεργαστής της WTNY για το στρώμα Microsoft 365/SharePoint Online/Azure/Power BI/Exchange είναι η Microsoft Ireland Operations Limited, η οποία με τη σειρά της βασίζεται στη Microsoft Corporation (ΗΠΑ, DPF-πιστοποιημένη) για παροχή υπηρεσιών. Η ίδια η WTNY δεν είναι πιστοποιημένη σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ; κατάλληλες διασφάλιση για τη μεταφορά Lepta-to-WTNY περιγράφονται στην Ενότητα 7 παρακάτω. Τα προσωπικά δεδομένα δωρητή και εθελοντή που υποβάλλονται μέσω της Εφαρμογής δεν μεταδίδονται στη WTNY από τη Lepta: σύμφωνα με τη ροή δεδομένων της Εφαρμογής, τα δεδομένα δωρητή και εθελοντή αποστέλλονται από την Εφαρμογή στην Πύλη Lepta (φιλοξενημένη στο Amazon Web Services, Inc στις Ηνωμένες Πολιτείες) και από εκεί στη Stripe, που είναι το σύστημα αρχείων.
- Amazon Web Services, Inc. (αρχεία καταγραφής διακομιστή, Ηνωμένες Πολιτείες—υπο-επεξεργαστής): Το backend της Εφαρμογής φιλοξενείται στο Amazon Web Services, Inc. (“AWS”) στις Ηνωμένες Πολιτείες (περιοχή us-east-1). Το AWS είναι αυτοπιστοποιημένο σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ. Τα τυπικά αρχεία καταγραφής αιτήματος διακομιστή ενδέχεται προσωρινά να περιέχουν δεδομένα όπως διευθύνσεις IP, συμβολοσειρές χρήστη και παράμετροι URL. Αυτά τα αρχεία καταγραφής διατηρούνται για 60 ημέρες και στη συνέχεια διαγράφονται.
- Google (αυτόματη συμπλήρωση διεύθυνσης): Όταν ένας δωρητής εισάγει ταχυδρομική διεύθυνση, η Εφαρμογή χρησιμοποιεί το Google Places API για παροχή προτάσεων αυτόματης συμπλήρωσης. Η επεξεργασία αυτών των δεδομένων από τη Google διέπεται από την Πολιτική Απορρήτου της Google. Το Google, LLC είναι αυτοπιστοποιημένο σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ.
Η πύλη της Lepta (πίνακας διαχείρισης) δεν αποθηκεύει δεδομένα PII δωρητή στη δική της βάση δεδομένων. Ο πίνακας διαχείρισης παρουσιάζει δεδομένα πληρωμής και δωρεάς μέσω της διασύνδεσης Embedded Payments της Stripe, συλλέγοντας δεδομένα απευθείας από τη Stripe σε πραγματικό χρόνο.
Τα μόνα προσωπικά δεδομένα που αποθηκεύονται στη δική του βάση δεδομένων της πύλης αποτελούνται από λογαριασμούς χρήστη διαχειριστή (όνομα, ηλεκτρονικό ταχυδρομείο, κρυπτογραφημένο κωδικό πρόσβασης) για τους εκπροσώπους νομικών οντοτήτων που διαχειρίζονται το σύστημα. Αυτά δεν είναι αρχεία δωρητή.
Μια πλήρης λίστα με τους υπο-επεξεργαστές της Lepta είναι διαθέσιμη στο lepta.io/resources.
7. Διεθνείς μεταφορές δεδομένων
Τα προσωπικά σας δεδομένα ενδέχεται να μεταφερθούν και να επεξεργαστούν σε χώρες εκτός της χώρας κατοικίας σας, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών. Όπου τέτοιες μεταφορές περιλαμβάνουν προσωπικά δεδομένα που προέρχονται από τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ), το Ηνωμένο Βασίλειο ή την Ελβετία, υπάρχουν κατάλληλες διασφάλιση. Τις πλήρεις λεπτομέρειες των μηχανισμών μεταφοράς ορίζονται στο Έγγραφο Μεταφορών Δεδομένων Lepta, διαθέσιμο στο leptapay.com/legal/dta. Μια σύνοψη της διασφάλισης για κάθε μεταφορά παρέχεται παρακάτω.
- Stripe (Ηνωμένες Πολιτείες—ανεξάρτητος ελεγκτής): Η Stripe είναι αυτοπιστοποιημένη σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ (DPF) και την Επέκταση DPF της Βρετανίας. Η απόφαση επάρκειας της Ευρωπαϊκής Επιτροπής (Απόφαση Υλοποίησης (ΕΕ) 2023/1795 της 10ης Ιουλίου 2023) ισχύει για τις μεταφορές προσωπικών δεδομένων στη Stripe. Η Lepta παρακολουθεί την κατάσταση πιστοποίησης DPF της Stripe.
- WTNY (Ηνωμένες Πολιτείες—υπο-επεξεργαστής): Η WTNY δεν είναι πιστοποιημένη σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων. Οι μεταφορές προσωπικών δεδομένων από τη Lepta στη WTNY προστατεύονται από τις Τυπικές Συμβατικές Ρήτρες της ΕΕ (Module 2: Ελεγκτής σε Επεξεργαστή, όπου η Lepta ενεργεί ως ελεγκτής; Module 3: Επεξεργαστής σε Επεξεργαστή, όπου η Lepta ενεργεί ως επεξεργαστής) που εγκρίθησαν από την Ευρωπαϊκή Επιτροπή και ενσωματώθησαν στη Συμφωνία Υπηρεσιών IT μεταξύ Lepta και WTNY. Τις Τυπικές Συμβατικές Ρήτρες συνοδεύονται από Πρόσθετα Έγγραφα Διασφάλισης που παρέχουν συμπληρωματικά μέτρα, συμπεριλαμβανομένης της κρυπτογράφησης προσωπικών δεδομένων κατά τη μεταφορά και εν αποθήκῃ, συμβατικών δεσμεύσεων για την ανακατεύθυνση αιτημάτων, αντίσταση και πρόκληση πρόσβασης κυβέρνησης σύμφωνα με το νόμο παρακολούθησης ΗΠΑ, ειδοποίηση της Lepta για οποιαδήποτε δεσμευτικά νομικά αιτήματα προσωπικών δεδομένων (υπό τις εφαρμόσιμες νομικές περιορισμούς) και αποκάλυψης μόνο του ελάχιστου ποσού προσωπικών δεδομένων που απαιτείται για την ικανοποίηση οποιασδήποτε αναπόφευκτης εντολής. Ο υπο-επεξεργαστής της WTNY για τις υπηρεσίες Microsoft 365/SharePoint Online/Azure/Power BI/ Exchange είναι η Microsoft Ireland Operations Limited (Ιρλανδία), συμβατική σύμφωνα με τη Συμφωνία Πελάτη Microsoft; Η Microsoft Ireland Operations Limited με τη σειρά της βασίζεται στη Microsoft Corporation (Ηνωμένες Πολιτείες, αυτοπιστοποιημένη σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ), η οποία παρέχει τη βασική υπηρεσία από τα κέντρα δεδομένων Microsoft στις Ηνωμένες Πολιτείες.
- Google (Ηνωμένες Πολιτείες—υπο-επεξεργαστής): Το Google, LLC είναι αυτοπιστοποιημένο σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ. Η απόφαση επάρκειας ισχύει για τις μεταφορές στη Google ως υπο-επεξεργαστής πιστοποιημένης σύμφωνα με DPF για το Google Places API.
- AWS (Ηνωμένες Πολιτείες—υπο-επεξεργαστής): Το backend της Lepta φιλοξενείται στο AWS στις Ηνωμένες Πολιτείες (περιοχή us-east-1). Το AWS είναι αυτοπιστοποιημένο σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων ΕΕ-ΗΠΑ. Η απόφαση επάρκειας ισχύει για τις μεταφορές στο AWS ως υπο-επεξεργαστής πιστοποιημένης σύμφωνα με DPF.
- Μεταφορές στην παρουσία HuB της νομικής οντότητας: Τα δεδομένα συναλλαγών μεταφέρονται από τη Stripe στην παρουσία της νομικής οντότητας του συστήματος HuB. Ο μηχανισμός μεταφοράς για αυτόν τον κλάδο εξαρτάται από τη θέση κάθε νομικής οντότητας και καλύπτεται από τις δικές της ρυθμίσεις επεξεργασίας δεδομένων.
Η Lepta ιδρύθηκε στην Ιρλανδία (ΕΟΧ) και δεν είναι ίδια ικανή για πιστοποίηση σύμφωνα με το Πλαίσιο Προστασίας Δεδομένων, η οποία διατίθεται μόνο στις οργανώσεις που έχουν έδρα στις ΗΠΑ. Η Lepta βασίζεται στα EU SCCs και συμπληρωματικά μέτρα (για τους παραλήπτες μη-DPF-πιστοποιημένες στις ΗΠΑ) και η απόφαση επάρκειας DPF (για τους παραλήπτες πιστοποιημένες σύμφωνα με DPF στις ΗΠΑ) ως νόμιμοι μηχανισμοί για τις Περιορισμένες Μεταφορές.
8. Διατήρηση δεδομένων
Η Lepta διατηρεί προσωπικά δεδομένα μόνο για όσο χρόνο απαιτείται για τους σκοπούς που περιγράφονται σε αυτή την Πολιτική Απορρήτου:
| Κατηγορία δεδομένων | Θέση αποθήκευσης | Περίοδος διατήρησης |
|---|---|---|
| Όνομα και ηλεκτρονικό ταχυδρομείο εθελοντή | Συσκευή (κρυπτογραφημένη) | Έως την αποσύνδεση |
| Όνομα και ηλεκτρονικό ταχυδρομείο εθελοντή | Stripe | Σύμφωνα με την Πολιτική Διατήρησης της Stripe |
| Όνομα, ηλεκτρονικό ταχυδρομείο και διεύθυνση δωρητή | Stripe | Σύμφωνα με την Πολιτική Διατήρησης της Stripe (διατηρείται για όσο χρόνο συνεχίζονται οι υπηρεσίες, συν οποιαδήποτε περίοδο που απαιτείται από τον ισχύοντα νόμο) |
| Δεδομένα συναλλαγής δωρητή | Νομική οντότητα (HuB) | Σύμφωνα με τις υποχρεώσεις της νομικής οντότητας για διατήρηση αρχείων κράτους σύμφωνα με τον ισχύοντα νόμο |
| Δεδομένα κάρτας πληρωμής | Stripe (αποκλειστικά) | Σύμφωνα με την πολιτική διατήρησης της Stripe και απαιτήσεις PCI DSS |
| Τοποθεσία συσκευής | Δεν αποθηκεύεται | Δεν ισχύει—χρησιμοποιείται σε πραγματικό χρόνο μόνο |
| Αρχεία καταγραφής διακομιστή (IP, user-agent) | AWS | 60 ημέρες |
| Δεδομένα περιβάλλοντος IT Lepta (HuB ERP, Microsoft 365/ SharePoint Client Resources, file/print/email/backup) | WTNY (επεξεργαστής/υπο-επεξεργαστής) | Σύμφωνα με τις οδηγίες διατήρησης της Lepta και την Ενότητα 9.3 των Όρων και Προϋποθέσεων HuB, η οποία προβλέπει την επιστροφή των Δεδομένων Πελάτη σε δομημένη, κοινώς χρησιμοποιούμενη, μορφή που μπορεί να διαβαστεί από μηχανή, και μετα-τερματισμό βοηθεία για ελάχιστη 90 ημέρες. |
9. Τα δικαιώματά σας
Ανάλογα με τη θέση σας, ενδέχεται να έχετε τα ακόλουθα δικαιώματα σε σχέση με τα προσωπικά σας δεδομένα:
- Δικαίωμα πρόσβασης: Έχετε το δικαίωμα να ζητήσετε αντίγραφο των προσωπικών δεδομένων που διατηρούμε για εσάς.
- Δικαίωμα διόρθωσης: Έχετε το δικαίωμα να ζητήσετε διόρθωση ανακριβών ή ημιτελών προσωπικών δεδομένων.
- Δικαίωμα διαγραφής: Έχετε το δικαίωμα να ζητήσετε διαγραφή των προσωπικών σας δεδομένων, υπό την επιφύλαξη οποιασδήποτε νομικής υποχρέωσης που απαιτεί τη διατήρησή τους.
- Δικαίωμα περιορισμού: Έχετε το δικαίωμα να ζητήσετε να περιορίσετε την επεξεργασία των προσωπικών σας δεδομένων σε ορισμένες περιστάσεις.
- Δικαίωμα φορητότητας δεδομένων: Όπου η επεξεργασία βασίζεται στη συγκατάθεσή σας ή την εκτέλεση σύμβασης, έχετε το δικαίωμα να λάβετε τα προσωπικά σας δεδομένα σε δομημένη, κοινώς χρησιμοποιούμενη, μορφή που μπορεί να διαβαστεί από μηχανή.
- Δικαίωμα αντίρρησης: Όπου η επεξεργασία βασίζεται σε νόμιμο συμφέρον, έχετε το δικαίωμα να αντιταχθείτε σε τέτοια επεξεργασία. Θα σταματήσουμε την επεξεργασία εκτός αν μπορούμε να αποδείξουμε πειστικούς νόμιμους λόγους.
- Δικαίωμα ανάκλησης συγκατάθεσης: Όπου η επεξεργασία βασίζεται στη συγκατάθεση (όπως η παραλήψη της απόδειξης), μπορείτε να ανακαλέσετε τη συγκατάθεσή σας ανά πάσα στιγμή. Η ανάκληση δεν επηρεάζει τη νομιμότητα της επεξεργασίας που διεξήχθη πριν από την ανάκληση.
Επειδή τα προσωπικά δεδομένα δωρητή επεξεργάζονται και αποθηκεύονται από τη Stripe και, κατά περίπτωση, από τη νομική οντότητα που λαμβάνει τη δωρεά, τα αιτήματα για τη γυμνασία δικαιωμάτων όπως πρόσβαση, διόρθωση, διαγραφή ή φορητότητα δεδομένων δωρητή ενδέχεται να πρέπει να συντονιστούν με τη Stripe ή/και τη σχετική νομική οντότητα. Θα σας βοηθήσουμε στη διευκόλυνση τέτοιων αιτημάτων.
Για δεδομένα εθελοντή αποθηκευμένα τοπικά στη συσκευή σας, μπορείτε να διαγράψετε αυτά τα δεδομένα ανά πάσα στιγμή αποσυνδεόμενοι από την Εφαρμογή.
10. Δεδομένα παιδιών
Η Εφαρμογή δεν κατευθύνεται σε παιδιά κάτω των 16 ετών. Δεν συλλέγουμε σκόπιμα προσωπικά δεδομένα από παιδιά κάτω των 16 χωρίς άδεια γονέα, όπως απαιτείται από το άρθρο 8 της Γενικής Κανονισμού για την Προστασία Δεδομένων. Οι δωρεές που γίνονται από ανήλικους (άτομα κάτω των 18 ετών ή της ηλικίας πλειοψηφίας στη δικαιοδοσία τους) ενδέχεται να επιστραφούν κατά αίτηση γονέα ή επιμέλητα επικοινωνώντας με τη νομική οντότητα που λαμβάνει τη δωρεά. Ένας γονέας ή επιμέλητα μπορεί να γυμνάσει δικαιώματα δατοσυποκειμένων για λογαριασμό παιδιού επικοινωνώντας με τη Lepta χρησιμοποιώντας τις λεπτομέρειες στην Ενότητα 12. Εάν πιστεύετε ότι ένα παιδί έχει παράσχει προσωπικά δεδομένα μέσω της Εφαρμογής χωρίς κατάλληλη άδεια, επικοινωνήστε μαζί μας και θα λάβουμε μέτρα για τη διαγραφή τέτοιων δεδομένων.
11. Αλλαγές σε αυτή τη Πολιτική Απορρήτου
Ενδέχεται να ενημερώσουμε αυτή την Πολιτική Απορρήτου από καιρό σε καιρό. Εάν κάνουμε ουσιαστικές αλλαγές, θα σας ειδοποιήσουμε μέσω της Εφαρμογής ή με άλλα κατάλληλα μέσα πριν τις αλλαγές τεθούν σε ισχύ. Η ημερομηνία “Τελευταία ενημέρωση” στο επάνω μέρος αυτής της πολιτικής υποδεικνύει πότε τελευταία αναθεωρήθηκε.
12. Επικοινωνήστε μαζί μας
Εάν έχετε ερωτήσεις σχετικά με αυτή την Πολιτική Απορρήτου, θέλετε να γυμνάσετε τα δικαιώματα του δατοσυποκειμένου σας ή έχετε παράπονο, επικοινωνήστε:
Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Ireland
[email protected]
Data Protection Officer / Privacy Contact: Daniel Melinder
Η κύρια εποπτική αρχή της Lepta είναι η Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας.
Έχετε επίσης το δικαίωμα να υποβάλετε παράπονο σε εποπτική αρχή στο Κράτος Μέλος της ΕΕ της συνήθους κατοικίας σας, του χώρου εργασίας σας ή του τόπου του φερόμενου παραβιάσεως.