Uptimia
Lietuvių

Legal Privacy Policy

Privatumo politika

Updated 27 May 2026

Paskutinį kartą atnaujinta: 2026 m. gegužės 27 d.

Ši versija yra vertimas. Anglų kalbos versija (privacy.en.md) yra kontroliuojanti versija. Ši lietuviška versija pateikiama lietuvių kalba kalbantiems naudotojams. Kilus neatitikimams tarp kalbų versijų, galioja anglų kalbos versija — išskyrus klausimus, kuriuos reguliuoja išimtinai Vokietijos elektroninių paslaugų teisė, Vokietijos vartotojų teisė ar Vokietijos sutarčių teisė; tokiu atveju autentiška yra vokiška formuluotė.

1. Įvadas

Šis pranešimas aprašo, kaip Uptimia („mes", „mūsų"), kurią valdo JJ Online GmbH, tvarko Jūsų asmens duomenis ryšium su https://uptimia.com („Svetainė") ir Uptimia stebėjimo paslauga („Paslauga"), laikydamasi BDAR 13 ir 14 straipsnių bei lygiavertės duomenų apsaugos teisės. Jis pateikiamas Jūsų informavimui; jei tvarkymas priklauso nuo Jūsų sutikimo, šis sutikimas renkamas atskirai. Dėl sąlygų, reguliuojančių Jūsų sutartinius santykius su mumis, žr. mūsų Paslaugų teikimo sąlygas.

Tiesioginis ir netiesioginis rinkimas (BDAR 13 ir 14 str.). Didžiąją dalį § 3 aprašytų asmens duomenų Jūs mums pateikiate tiesiogiai, kai sukuriate paskyrą, konfigūruojate stebėjimo modulius ar kitaip naudojatės Paslauga. Tiek, kiek tam tikras elementas vietoj to renkamas iš trečiosios šalies — konkrečiai:

  • mokėjimo metodo metaduomenys, kuriuos „Stripe" ar „PayPal" grąžina ryšium su Jūsų prenumerata;
  • „PayPal Instant Payment Notification" (IPN) pranešimai, gauti iš „PayPal" ryšium su kiekvienu sandoriu, kuriuose gali būti sandorio konteksto laukų (atsiskaitymo valiuta, mokėtojo statusas, adreso patvirtinimo statusas), kurių Jūs iš pradžių nepateikėte;
  • tapatybės atributai, kuriuos „Google" ar „GitHub" grąžina per „Auth0" priglobtą prisijungimo puslapį, kai Jūs pasirenkate prisijungti per socialinį ryšį (ir su tuo susiję „Auth0" išduoti raktai);
  • adreso normalizavimas, PVM mokėtojo kodo patvirtinimo rezultatai ir kiti sąskaitos generavimo metaduomenys, kuriuos „easybill" grąžina ryšium su Jūsų sąskaitos išrašymu (jei „easybill" grąžina lauką — pavyzdžiui, normalizuotą pašto adresą arba PVM mokėtojo kodo galiojimo žymą iš ES VIES sistemos, užklausiamą per „easybill", — kuris nebuvo Jūsų pažodžiui įvestas, šis laukas yra renkamas netiesiogiai);

— trečioji šalis, kuri yra tų duomenų šaltinis, įvardyta atitinkamame § 5 (Trečiųjų šalių paslaugos) įraše žemiau, vykdant mūsų BDAR 14 str. 2 d. f) p. pareigą įvardyti šaltinį. Be šių konkrečių srautų, jokie asmens duomenys, kuriuos mes turime apie Jus kaip paskyros savininką, nėra gauti iš trečiosios šalies.

2. Duomenų valdytojas

BDAR (4 str. 7 d.) ir lygiavertės duomenų apsaugos teisės tikslais duomenų valdytojas, atsakingas už Jūsų asmens duomenų kaip Uptimia paskyros savininko tvarkymą, yra:

JJ Online GmbH (valdo Uptimia)

Schönhauser Allee 163, 10435 Berlynas

Vokietija

Įregistruota: Amtsgericht Charlottenburg, HRB 235074 B

USt-IdNr.: DE351060880

Atstovauja: Andrius Gecius, Geschäftsführer (vykdomasis direktorius)

Telefonas: +49 151 12032902

El. paštas — bendrieji klausimai / Imprint: admin@uptimia.com

El. paštas — privatumo klausimai ir duomenų subjektų prašymai: privacy@uptimia.com

Pilna paslaugų teikėjo identifikacija, kaip reikalauja § 5 DDG, pateikta mūsų Imprint (anglų k.) / Impressum (vokiečių k.).

Pastaba dėl vaidmenų. Kai Jūs naudojate Uptimia stebėti Jūsų valdomiems ištekliams, Jūs veikiate kaip duomenų valdytojas asmens duomenų, kuriuos paliečia Jūsų stebėjimas, atžvilgiu — lankytojų IP adresų, fiksuojamų Jūsų diegiamų RUM skriptų, galutinių naudotojų duomenų, fiksuojamų sandorių stebėjimo ekrano kopijose, autentifikuotų patikrų atsako turinio, kuriame yra naudotojų informacijos. Tokiu atveju Uptimia veikia kaip duomenų tvarkytojas Jūsų vardu, vadovaudamasi mūsų DPA — žr. § 7 žemiau.

Ši Politika aprašo mūsų tvarkymą kaip duomenų valdytojo Jūsų pačių duomenų kaip Paslaugos naudotojo. Tvarkytojo santykis aprašytas § 7 ir DPA.

3. Kokią informaciją renkame

Apie Paslaugos naudotojus renkame šias asmens duomenų kategorijas.

Paskyros duomenys

  • Tapatybė: el. pašto adresas, slaptažodis (saugomas kaip bcrypt maišos vertė; senesnės maišos vertės atnaujinamos pirmąjį sėkmingą prisijungimą), pilnas vardas, neskaidri paskyros atkūrimo žyma
  • Pašto adresas: gatvė, pašto kodas, miestas, valstija, šalis, laiko juosta
  • Verslo identifikacija: įmonės pavadinimas, PVM mokėtojo kodas, valiuta, atsiskaitymo regionas (dviejų raidžių ISO kodas)
  • Kontaktai: telefono numeris, ataskaitų el. paštas, pasirinktinis siuntėjo žymuo siunčiamam paštui
  • Tinklo metaduomenys: IP adresas, iš kurio registravotės, ir IP adresas, iš kurio paskutinį kartą prisijungėte
  • Gyvavimo ciklo datos: registracijos data, paskutinės veiklos data, prenumeratos pradžia, narystės atnaujinimo data, SMS kredito atnaujinimo data
  • Saugumas: dviejų veiksnių autentifikavimo būsena, prisijungimo el. pašto pranešimo nuostata, paskutinis nepavykęs prisijungimo laiko žymuo, nepavykusių prisijungimų skaitiklis, vidinis euristinis rizikos balas (patariamasis; žr. § 8 ir saugojimo pastabą § 11)
  • Operacinės nuostatos: Jūsų el. pašto įspėjimo ir SMS įspėjimo įtraukimo būsenos, atsisakymo prenumeruoti būsena, įvadinės žymos, „neįspėti" dienos, Jūsų įspėjimo valandų langas
  • Rinkodara / gyvavimo ciklas: UTM ar nukreipimo šaltinio kodas iš URL, per kurį pirmą kartą mus pasiekėte

Atsiskaitymo duomenys

  • Sąskaitų metaduomenys, sumos, nuorodos ir saugomų PDF nuorodos
  • Mokėjimo metodo metaduomenys („Stripe" / „PayPal" / kredito kortelės žymos — pilno kortelės numerio mes niekada nematome)
  • Kai mokate per „PayPal", iš „PayPal" gautas „PayPal Instant Payment Notification" pranešimas ryšium su sandoriu

Autentifikavimo ir sesijos duomenys

  • Sesijos slapukai, išvardyti mūsų Slapukų politikoje § 4
  • Dviejų veiksnių prisijungimo audito įrašai — naudotojas, laiko žymuo, IP adresas, naudotojo agentas — rašomi kiekvieną kartą, kai užbaigiate 2FA iššūkį
  • Slaptažodžio nustatymo iš naujo prašymų įrašai — generuojami pagal poreikį, kai prašote nustatyti slaptažodį iš naujo
  • Asmeniniai API raktai, kuriuos kuriate programinei Paslaugos prieigai — saugomi tik kaip vienpusės maišos vertės; žr. § 12
  • Nepavykusių prisijungimų skaitiklis ir paskutinis nepavykęs laiko žymuo Jūsų naudotojo įraše

Dviejų veiksnių autentifikavimo kanalai. Kai įjungiate dviejų veiksnių autentifikavimą, vienkartinis kodas pristatomas arba el. paštu (per mūsų sandorinio pašto tvarkytoją — AWS SES, žr. § 5.2), arba generuojamas lokaliai TOTP autentifikatoriaus programėlėje Jūsų įrenginyje („Google Authenticator", „1Password", „Authy" arba lygiavertėje). 2FA kodų SMS žinutėmis nesiunčiame ir 2FA srauto metu Jūsų telefono numerio jokiam SMS tiekėjui neperduodame. Kai SMS įspėjimo funkciją atskirai įjungiate Jūs stebėjimo įspėjimams, šis srautas dokumentuotas § 5 ir § 7 („Twilio").

Stebėjimo modulių konfigūracijos, kurias sukuriate

Kai sukuriate stebėjimo modulį, konfigūracija saugoma mūsų taikomųjų programų duomenų bazėje ir vykdymo metu persiunčiama į zondų tinklą. Konfigūracijose gali būti asmens duomenų:

  • Autentifikuotos HTTP patikros: URL, HTTP autentifikavimo prisijungimo duomenys („Basic" prisijungimo duomenys ir (arba) pasirinktinės užklausos antraštės, kuriose gali būti pernešami nešikliniai raktai ar API raktai), bet koks Jūsų pateiktas POST kūnas ir Jūsų sukonfigūruoti tikėtinos turinio dalies šablonai
  • Sandorių stebėjimo moduliai: CSS selektoriai ir XPath išraiškos, naudojami kelionei vairuoti, kartu su bet kokiomis pažodinėmis reikšmėmis (įskaitant testinius prisijungimo duomenis), kurias kelionė pateikia kiekviename žingsnyje

Prisijungimo duomenys ir paslaptys, kurias pateikiate stebėjimo modulių konfigūracijose, laikomi taikant stulpelio lygmens vokinio šifravimo metodą su atskirai valdomais raktais, kaip aprašyta § 12.

Patikros rezultatai

Generuojami mūsų zondų tinklo kiekvienai patikrai:

  • Veikimo laikas / HTTP: kiekvienos fazės laiko vertės, būsena, klaidos tipas ir stebėto URL grąžintas atsako turinys (atsako turinys saugomas 7 dienas ir tada automatiškai pasibaigia, pagal § 11)
  • SSL: sertifikato leidėjas, galiojimo datos ir bet kokios pastebėtos su sertifikatu susijusios klaidos
  • Domeno / WHOIS: registratorius, vardų serveriai, gyvavimo ciklo datos ir visas WHOIS atsakas
  • Greitis: įkėlimo laikai, suskirstymas pagal išteklius, „PageSpeed" balai
  • Sandoris: kiekvieno žingsnio būsena, trukmė ir saugoma puslapio ekrano kopija kiekviename žingsnyje (ekrano kopijoje gali būti asmens duomenų, matomų ekrane fiksavimo metu)
  • Tikrojo naudotojo stebėjimas (RUM): tik agreguoti rodikliai — puslapio įkėlimo laikas, peržiūros, „JavaScript" klaidų skaičius, geografinė kilmė, naršyklės ir įrenginio klasė. „Core Web Vitals" (LCP / INP / CLS / TTFB) nerenkami (pagal produkto taikymo sritį)
  • Virusai / kenkėjiška programinė įranga: kenkėjiškos programinės įrangos patikros tiekėjo grąžinta būsena; jokie nuskaityti duomenys nesaugomi
  • Serverio agentas: CPU, atminties, disko ir tinklo rodikliai, perduodami agento, kurį Jūs įdiegiate savo serveriuose. Šie rodikliai apibūdina serverio būklę, ne fizinį asmenį. Tačiau jie yra susiejami su Jumis kaip paskyros savininku, nes agentas užregistruotas Jūsų Uptimia paskyroje, ir dėl to susiejimo mes juos traktuojame kaip Jūsų kaip paskyros savininko asmens duomenis sutartinio santykio trukmei — tvarkome remiantis BDAR 6 str. 1 d. b) p. (sutartis). Agentas neperduoda jokių galutinių naudotojų identifikatorių iš stebimo serverio (nei procesų sąrašų, nei naudotojų paskyrų pavadinimų, nei aplinkos kintamųjų); aukščiau nurodytos kategorijos yra išsamios.

Kiekvienos iš aukščiau nurodytų kategorijų saugojimo trukmes reglamentuoja § 11.

Pranešimų kanalų konfigūracijos

Kai konfigūruojate įspėjimo kanalą („Slack", „Discord", „Twilio" SMS, „Meta WhatsApp Cloud", „PagerDuty", „Atlassian Statuspage", „Microsoft Teams", „Mattermost", „Telegram", „X", bendrieji „webhook"-ai), mes saugome kanalo prisijungimo duomenis ir Jūsų pateiktus kontaktinius įrašus. Kiekvienas persiunčiamas pasirinktam kanalui kiekvieno įspėjimo metu.

Dvigubas įspėjimo kanalų vaidmuo. Įspėjimo kanalai perneša dvi skirtingas duomenų kategorijas pagal dvi skirtingas vaidmens charakteristikas, ir ta pati trečioji šalis („Slack", „Twilio" ir kt.) nešioja abi kepures:

  • Operacijų komandos kontaktiniai įrašai ir prisijungimo duomenys — telefonų numeriai, „Slack" darbo erdvės ir kanalo identifikatoriai, „PagerDuty" integracijos raktai, „Telegram" botų raktai, „webhook" URL ir kt., kuriuos Jūs pateikiate, plius pats įspėjimo pranešimas, kai jis adresuotas Jūsų pačių operacijų komandai. Šie įrašai identifikuoja Jūsų personalą (Jūsų budinčius inžinierius, Jūsų incidentų reagavimo personalą), o ne Jūsų stebimų svetainių lankytojus. Šiai daliai Uptimia yra duomenų valdytojas įspėjimo kanalo duomenų srauto atžvilgiu, o įspėjimo kanalo trečiosios šalys yra Uptimia pačios paslaugų teikėjos; teisinis pagrindas yra BDAR 6 str. 1 d. b) p. (Jūsų prenumeratos sutarties vykdymas — įspėjimo pristatymas yra sutartinis rezultatas) ir BDAR 6 str. 1 d. f) p. (teisėtas Jūsų, kaip paskyros savininko, interesas būti informuotam). Šie srautai inventorizuoti § 5 kaip Uptimia valdytojo santykių rinkinio dalis.
  • Galutinio naudotojo / lankytojo duomenys, kurie gali atsitiktinai pasirodyti įspėjimo pranešime — pvz., kai sukūrėte sandorio stebėjimo žingsnį, kurio nesėkmės pranešime yra galutinio naudotojo identifikatorius, arba kai autentifikuotos patikros atsako turinio ištrauka atskleidžia vieno iš Jūsų lankytojų asmens duomenis ir įtraukiama į įspėjimo santrauką. Tai atsitiktinei daliai Uptimia veikia kaip duomenų tvarkytojas Jūsų (duomenų valdytojo) vardu, įspėjimo kanalo trečioji šalis tampa pasitelktu duomenų tvarkytoju šiai daliai, ir srautas patenka į DPA C.5 priedo pasitelktų duomenų tvarkytojų inventorių. Ši dalis yra ta, kurią § 7 žemiau aptaria.

Abi charakteristikos egzistuoja kartu, nes įspėjimo įvykis yra vienas pranešimas, pernešantis abi turinio rūšis. § 5 valdytojo santykių analizė reglamentuoja kontaktinių įrašų ir prisijungimo duomenų dalį bei Jūsų operacijų komandai adresuoto įspėjimo dalį; § 7 tvarkytojo vaidmens analizė reglamentuoja tik įterpto lankytojo duomenų dalį.

Pagalbos duomenys

Kai susisiekiate su mumis, mes gauname ir saugome bendravimo turinį kartu su Jūsų pateiktais kontaktiniais identifikatoriais:

  • HelpCanvas pokalbių valdiklio pokalbiai — pokalbių valdiklis įkeliamas rinkodaros svetainėje (https://uptimia.com) ir, jei esate prisijungę, programos paviršiuje. Kiekvienas pokalbis saugomas kaip pati pranešimų gija, Jūsų rodomas vardas ir el. pašto adresas (kai juos pateikiate) ir techniniai metaduomenys, kuriuos HelpCanvas užfiksuoja apie sesiją (laiko žymės, naršyklės naudotojo agentas, IP adresas, puslapio URL, kuriame buvo pradėtas pokalbis). HelpCanvas yra JJ Online produktas, veikiantis JJ Online nuosavoje ES infrastruktūroje (žr. § 5.7 žemiau); pokalbis nepalieka ES ir nėra dalijamasi su jokia trečiąja šalimi, kuri jau nėra HelpCanvas pasitelktas duomenų tvarkytojas.
  • El. pašto korespondencija į mūsų vaidmenų adresusadmin@uptimia.com (bendrieji klausimai), privacy@uptimia.com (privatumo ir duomenų subjektų prašymai) ir bet kuris kitas vaidmens adresas, kuriuo rašote. Mes gauname ir saugome el. pašto antraštes (Jūsų siuntėjo adresą, mūsų gavėjo adresą, laiko žymes, pranešimo identifikatorių), pranešimo turinį ir bet kokius priedus, kuriuos pasirenkate siųsti. Įeinamasis ir išeinamasis paštas tvarkomas per AWS SES eu-central-1 (žr. § 5.2) ir saugomas JJ Online nuosavoje ES pašto infrastruktūroje.

Kategorijos. Identifikatoriai (vardas, el. pašto adresas), laisvo teksto turinys (Jūsų pranešimas ir bet kokie priedai) ir techniniai metaduomenys (laiko žymės, IP, naudotojo agentas, puslapio kontekstas pokalbio valdikliui; SMTP antraštės el. paštui).

Teisinis pagrindas. BDAR 6 str. 1 d. b) p., kai korespondencija susijusi su Paslaugos sutarties, kurią su mumis turite, vykdymu (pvz., funkcijos klausimas mokamoje paskyroje); BDAR 6 str. 1 d. c) p., kai pati korespondencija yra teisinės prievolės įvykdymas (pvz., atsakymas į BDAR 12–22 str. duomenų subjekto prašymą); BDAR 6 str. 1 d. f) p. įeinamiesiems užklausimams iš potencialių klientų ir kitų korespondentų, su kuriais neturime sutarties, kai teisėtas interesas yra atsakyti į įeinamuosius pranešimus, adresuotus mūsų paskelbtiems vaidmenų adresams.

Gavėjai. Vidaus: JJ Online GmbH nariai, tvarkantys atitinkamą pagalbos, atsiskaitymo ar privatumo eilę. Išorės pasitelkti duomenų tvarkytojai: AWS SES eu-central-1 el. pašto pernešimui (§ 5.2); HelpCanvas taikomųjų programų rinkinys veikia JJ Online nuosavoje ES infrastruktūroje ir neįveda trečiosios šalies gavėjo (§ 5.7 ir § 11 „HelpCanvas priglobti pagalbos pokalbiai"). Joks pagalbos turinys nedalijamas su trečiosiomis šalimis, viršijantis tai, kas būtina pristatyti el. laišką ar įgyvendinti Jūsų konkretų prašymą (pvz., kai prašote mūsų persiųsti atsiskaitymo užklausą „Stripe", mes tai padarysime pagal Jūsų nurodymą).

Saugojimas. Pagalbos klausimo trukmė plius 3 kalendoriniai metai, įtvirtinti metų pabaigoje, pagal Pagalbos korespondencija eilutę § 11, remiantis BDAR 6 str. 1 d. f) p. kartu su regelmäßige Verjährungsfrist pagal §§ 195 + 199 BGB. HelpCanvas platformos pokalbis ir el. pašto korespondencija saugomi vienodai; žr. § 11 „HelpCanvas priglobti pagalbos pokalbiai" platformos kaip įrašo analizei.

Serverio pusėje skaitomi užklausos metaduomenys kiekvienos užklausos metu

  • Jūsų IP adresas (naudojamas dažnio ribojimui ir piktnaudžiavimo apsaugai)
  • Jūsų naršyklės naudotojo agento eilutė (naudojama sesijos vientisumo patvirtinimui; maišuojama į sesijos vientisumo patikrą)

IP adresas Jūsų paskyros įraše išlieka tik kaip aukščiau „Paskyros duomenys" aprašyti registracijos ir paskutinio prisijungimo reikšmės; kitu atveju jis skaitomas pereinamai ir nesaugomas. Naudotojo agento eilutė nesaugoma ilgiau nei maišuotos sesijos vientisumo patikros trukmę.

Ar šios informacijos pateikimas yra privalomas (BDAR 13 str. 2 d. e) p.)

Pagal BDAR 13 str. 2 d. e) p. esame įpareigoti pasakyti, ar Jūsų asmens duomenų pateikimas yra statutinis ar sutartinis reikalavimas, ir kas atsitiks, jei pasirinksite jų nepateikti:

  • Privaloma pagal įstatymą. Jūsų vardas, atsiskaitymo adresas, PVM mokėtojo kodas, kai taikoma, ir sandorio duomenys turi būti saugomi, kad būtų laikomasi Vokietijos mokesčių ir apskaitos pareigų (§ 147 AO, § 257 HGB; § 14 UStG dėl PVM sąskaitos turinio). Be šių mes negalime Jums teisėtai išrašyti sąskaitos.
  • Privaloma pagal sutartį. Jūsų el. paštas, slaptažodis, atsiskaitymo mokėjimo metodo identifikatorius ir stebėjimo modulių konfigūracijos, kurias pateikiate, yra būtini Paslaugos sutarties vykdymui pagal BDAR 6 str. 1 d. b) p. Be jų mes negalime teikti Paslaugos.
  • Privaloma paskyros prieigai ir saugumui. Jūsų IP adresas, naudotojo agentas, prisijungimo laiko žymės ir 2FA būsena tvarkomi pagal BDAR 6 str. 1 d. f) p., kad Jūsų paskyra liktų saugi.
  • Savanoriška. Rinkodaros sutikimo nuostatos, neprivalomi profilio laukai ir atsiliepimai priklauso nuo Jūsų pasirinkimo; jų nepateikimas neturi įtakos Jūsų prieigai prie Paslaugos.

Specialių kategorijų asmens duomenys (BDAR 9 str.)

Mes sąmoningai netvarkome specialių kategorijų asmens duomenų BDAR 9 str. 1 d. prasme — t. y. duomenų, atskleidžiančių rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus, narystę profesinėje sąjungoje, genetinių duomenų, biometrinių duomenų, tvarkomų siekiant vienareikšmiškai identifikuoti fizinį asmenį, duomenų apie sveikatą ar duomenų apie fizinio asmens lytinį gyvenimą ar seksualinę orientaciją. Uptimia yra verslo-verslui stebėjimo produktas; nė viena iš aukščiau § 3 išvardytų kategorijų (paskyra, atsiskaitymas, autentifikavimas, stebėjimo modulių konfigūracijos, patikros rezultatai, pranešimų kanalų konfigūracijos, pagalbos duomenys, serverio pusės užklausos metaduomenys) nėra suprojektuota ar skirta fiksuoti BDAR 9 str. duomenis.

Prašome nesiųsti mums specialių kategorijų duomenų — pavyzdžiui, neklijuokite jų į stebėjimo modulio URL, modulio antraštes, užklausos kūnus, įspėjimo kanalų testinius pranešimus ar pagalbos bilietus, ir neraskinkite sandorių stebėjimo kelionių, kurios per Uptimia perduoda specialių kategorijų duomenis. Jei vis dėlto netyčia mums tokius duomenis pateiksite — pavyzdžiui, laisvo teksto pagalbos aprašyme — mes juos traktuojame kaip netyčinį gavimą: mes nepateikiame jokio BDAR 9 str. 2 d. pagrindo jų tvarkyti kaip specialių kategorijų duomenų, mes jų nenaudojame jokiam tikslui, viršijančiam tai, kas griežtai neišvengiama įgyvendinti pagalbos bilietą, kuris mus prie jų privedė, ir mes ištrinsime atitinkamą lauką pagal prašymą, nepažeidžiant likusios pagalbos gijos. Tiek, kiek lauko tvarkymas neišvengiamas akimirkomis tarp gavimo ir ištrynimo (pvz., agentas perskaito pranešimą, kad suprastų prašymą prieš jį redaguodamas), remiamės BDAR 9 str. 2 d. f) p. (tvarkymas, būtinas teisiniams reikalavimams pareikšti, vykdyti ar ginti — čia: pagalbos bilieto tvarkymas, kuris pats remiasi BDAR 6 str. 1 d. f) p. ir §§ 195 + 199 BGB, kaip nustatyta § 11 „Pagalbos korespondencija") tik tiek, kiek šis pagrindas faktiškai įjungtas. Mes neremiamės BDAR 9 str. 2 d. e) p. (duomenys, kuriuos duomenų subjektas akivaizdžiai paskelbė viešai): asmeninės informacijos pateikimas į privatų pagalbos bilietą nėra sąmoningas, viešumai adresuotas atskleidimas siaurame BDAR 9 str. 2 d. e) p. skaityme, kurio reikalauja Lindqvist (ETT C-101/01) ir EDAV gairės, ir mes jo taip nelaikome.

Kai Jūs kaip duomenų valdytojas diegiate mūsų RUM skriptą ar sandorių stebėjimą paviršiuje, kuris tvarko Jūsų lankytojų / galutinių naudotojų specialių kategorijų duomenis, tai yra Jūsų pačių valdytojo sprendimas ir Jūsų pačių atsakomybė pagal BDAR 9 str.; niekas mūsų Paslaugoje ar DPA neįgalioja Jūsų perduoti specialių kategorijų duomenis per Uptimia, o DPA A priedo duomenų kategorijos deklaracija daro prielaidą, kad tai tik įprasti lankytojų / galutinių naudotojų duomenys.

4. Kaip naudojame Jūsų informaciją

Mes naudojame surinktus duomenis žemiau išdėstytais tikslais. Pagal BDAR 13 str. 1 d. c) p. teisinis pagrindas nurodomas šalia kiekvieno tikslo.

Tikslas Teisinis pagrindas (BDAR 6 str.)
Paslaugos ir Svetainės eksploatavimas, priežiūra ir tobulinimas 6 str. 1 d. f) p. — teisėtas interesas
Jūsų autentifikavimas, Jūsų sesijos palaikymas, 2FA vykdymas, kai ją įjungėte 6 str. 1 d. b) p. — sutartis
Jūsų sukurtų stebėjimo modulių konfigūracijų vykdymas ir patikros rezultatų pristatymas į Jūsų skydelį 6 str. 1 d. b) p. — sutartis
Įspėjimų pristatymas į Jūsų sukonfigūruotus kanalus (SMS, „WhatsApp", „Slack", „Discord", „Teams", „Mattermost", „Telegram", „PagerDuty", „Atlassian Statuspage", „X", „webhook") 6 str. 1 d. b) p. — sutartis
Prenumeratos mokėjimų tvarkymas ir sąskaitų išrašymas 6 str. 1 d. b) p. — sutartis
Mokesčių ir apskaitos įrašų tvarkymas 6 str. 1 d. c) p. — teisinė prievolė (§ 147 AO, § 257 HGB)
Sukčiavimo, brutalios jėgos kredencialų atakų ir piktnaudžiavimo Paslauga aptikimas, prevencija ir šalinimas 6 str. 1 d. f) p. — teisėtas interesas paskyros vientisumu
Jūsų stebėjimo modulių vykdymas prieš Jūsų sukonfigūruotus išteklius iš kelių regionų zondų tinklo 6 str. 1 d. b) p. — sutartis
Tarp klientų matavimo kokybės ir zondų tinklo operacijos — zondų rezultatų agregavimas tarp klientų siekiant aptikti zondų pusės anomalijas, kalibruoti laikus ir identifikuoti regioninius incidentus, paveikiančius kelis klientus; rezultatas yra agreguotas ir negeneruoja jokio individualaus lygmens signalo 6 str. 1 d. f) p. — teisėtas interesas paslaugos kokybe, zondų anomalijų aptikimu ir platformos plataus patikimumo. Mes netvirtiname, kad agreguotas rezultatas yra „anonimiškas" (buvusios) 29 straipsnio darbo grupės nuomonės 05/2014 dėl anonimizavimo metodų trijų testų sistemos griežtoje reikšmėje (išskyrimas, susiejamumas, išvada, visa nugalėta); teisinio pagrindo analizei traktuojame tarp klientų agregavimą kaip pseudoniminį ir atitinkamai grindžiame BDAR 6 str. 1 d. f) p. Rezultatų ataskaitos išleidžiamos tik regioniniu agregavimo slenksčiu, pakankamu, kad būtų užkirstas kelias atskiro duomenų valdytojo stebėjimo modulio konfigūracijos pakartotinei identifikacijai
Filialų atribucijos sekimo vykdymas rinkodaros svetainėje („FirstPromoter" — suaktyvinama tik tada, kai URL turi ?via=) 6 str. 1 d. a) p. + § 25 Abs. 1 TDDDG (galioja nuo 2024 m. gegužės 14 d. kaip TTDSG įpėdinis) — sutikimas per Datriva juostą
Sandorinių pranešimų išdavimas (paskyros, atsiskaitymo, saugumo) 6 str. 1 d. b) p. — sutartis
Teisiškai privalomų pranešimų išdavimas (privatumo / sąlygų atnaujinimai pagal 12–14 str., 34 str. asmens duomenų pažeidimo pranešimai) 6 str. 1 d. c) p. — teisinė prievolė
Produkto atnaujinimo pranešimų siuntimas esamiems paskyros savininkams (Uptimia funkcijų išleidimai, paslaugai aktualūs atnaujinimai ir pranešimai apie panašias JJ Online paslaugas) BDAR 6 str. 1 d. f) p. kartu su § 7 Abs. 3 UWG (Bestandskundenwerbung). Visos keturios kumuliacinės § 7 Abs. 3 UWG sąlygos yra įvykdytos: (i) Jūsų adresas buvo gautas mūsų prekių ar paslaugų pardavimo kontekste (prenumeratos ar bandymo registracija); (ii) adresą naudojame tik mūsų pačių panašių produktų ir paslaugų tiesioginei rinkodarai; (iii) Jūs nepateikėte prieštaravimo šiam naudojimui — kai pateikiate prieštaravimą, visi tolesni tokie laiškai iškart sustoja; ir (iv) Jus aiškiai ir akivaizdžiai informavome tiek tuo momentu, kai rinkome Jūsų adresą, tiek kiekviename paskesniame pranešime, kad bet kuriuo metu galite pateikti prieštaravimą be jokių išlaidų, viršijančių pagrindinius perdavimo tarifus (Basistarif) — t. y. ne daugiau, nei gavėjas mokėtų, kad išsiųstų standartinį pranešimą atgal per perdavimo terpę. Prieštaravimas pagal BDAR 21 str. yra besąlyginis ir tvarkomas gavus be neigiamos įtakos Jūsų pagrindinei sutarčiai
Rinkodaros pranešimų, kuriems pritarėte, siuntimas 6 str. 1 d. a) p. — sutikimas
Teisinių pareigų vykdymas, atsakymai į teisėtus prašymus 6 str. 1 d. c) p. — teisinė prievolė

Kiekvienam tikslui, grindžiamam teisėtais interesais, balansavimo testo santrauka ir Jūsų teisė nesutikti pagal BDAR 21 str. aprašyti § 15. Bet kurios iš šių veiklų teisėto intereso vertinimas (LIA) prieinamas pagal prašymą adresu privacy@uptimia.com.

5. Trečiųjų šalių paslaugos, kurias naudojame kaip duomenų valdytojas

Šiame skirsnyje išvardytos paslaugos tvarko Jūsų kaip Uptimia paskyros savininko asmens duomenis pagal mūsų kaip Svetainės ir Paslaugos duomenų valdytojo nurodymus. Kai Uptimia papildomai veikia kaip duomenų tvarkytojas Jūsų vardu Jūsų pačių lankytojų / galutinių naudotojų asmens duomenims, šiam atskiram vaidmeniui pasitelkti duomenų tvarkytojai išvardyti § 7 ir DPA C priede.

Pilnas pasitelktų duomenų tvarkytojų sąrašas su adresais, DPA datomis ir perdavimo mechanizmais pateiktas DPA C priede. Toliau pateikta santrauka yra skirta skaidrumui pagal BDAR 13 str. 1 d. e) p.

5.1 Mokėjimai ir atsiskaitymas

Tiekėjas Juridinis asmuo Vieta Funkcija Perdavimo mechanizmas
Stripe Stripe Payments Europe Ltd. Airija (+ JAV pasitelktas tvarkymas per Stripe, Inc.) Prenumeratos mokėjimų tvarkymas, kortelių žymėjimas, sukčiavimo aptikimas EU–US DPF + SCC atsarga
PayPal PayPal (Europe) S.à r.l. et Cie, S.C.A. Liuksemburgas (+ JAV pasitelktas tvarkymas) Alternatyvus apsipirkimo mokėjimas EU–US DPF + SCC atsarga
easybill easybill GmbH Vokietija Sąskaitos generavimas, GoBD reikalavimus atitinkantis sąskaitos archyvavimas netaikoma (tik ES)

5.2 Priglobimas ir pagrindinė infrastruktūra

Tiekėjas Juridinis asmuo Vieta Funkcija Perdavimo mechanizmas
OVH OVH SAS Prancūzija Pagrindinis taikomosios programos priglobimas (skydelis, API, pagrindinė taikomųjų programų duomenų bazė), zondų tinklas (ES regionas), nuosavomis lėšomis priglobta laiko eilučių duomenų bazė netaikoma (ES)
AWS — ES Amazon Web Services EMEA SARL Liuksemburgas (eu-central-1 Frankfurtas + S3) Sandorinis el. paštas per SES ES gavėjams; sąskaitos PDF ir eksporto saugojimas S3; zondų tinklas (ES regionai) netaikoma (Frankfurto ES regionas)
AWS — JAV Amazon Web Services, Inc. JAV (us-east-1 Virdžinija) Sandorinis el. paštas per SES ne ES gavėjams; zondų tinklas (ne ES regionai) EU–US DPF + SCC atsarga

5.3 Zondų tinklas

Uptimia zondų tinklas geografiškai paskirstytas tarp devynių tiekėjų. Svarbi projektavimo savybė: zondai tvarko patikros rezultatą pereinamai atmintyje + perdavime ir nedelsiant ištrina bet kokią vietinę kopiją, persiuntę rezultatą į pagrindinę ES infrastruktūrą. Jokie kliento asmens duomenys nesaugomi nuolat zondų sluoksnyje.

Tiekėjas Juridinis asmuo Vieta Perdavimo mechanizmas
OVH OVH SAS Prancūzija netaikoma (ES)
GCore G-Core Labs S.A. Liuksemburgas + pasauliniai regionai netaikoma ES regionai; SCC ne ES
DigitalOcean DigitalOcean, LLC JAV + regionai EU–US DPF + SCC atsarga
Linode / Akamai Akamai Technologies, Inc. JAV + regionai EU–US DPF + SCC atsarga
EDIS EDIS Telekommunikation GmbH (veikianti kaip EDIS.at) Klagenfurtas, Austrija netaikoma (ES)
Scaleway Scaleway SAS (Iliad grupė) Prancūzija — zondų regionai Prancūzijoje (Paryžius), Nyderlanduose (Amsterdamas) ir Lenkijoje (Varšuva); visi ES netaikoma (ES)
AWS kaip aukščiau (5.2) ES + JAV netaikoma ES; DPF + SCC JAV
Contabo Contabo GmbH Vokietija (Miuncheno HQ) — zondų regionai ES (Vokietija, Austrija, Ispanija, Portugalija) ir ne ES (JAV, JK, Singapūras, Japonija, Australija, Indija) netaikoma ES regionams (Contabo GmbH yra ES sutartinis subjektas); SCC ne ES regionams, su pereinamojo tvarkymo savybe, aprašyta § 7 (DPA B.6 priede) kaip papildoma priemonė, kuri užkerta kelią nuolatiniam kliento asmens duomenų saugojimui zondų pagrindiniuose kompiuteriuose nepriklausomai nuo regiono
Vultr Vultr Holdings, LLC (The Constant Company, LLC) JAV (Delaveras) — 13 zondų vietų JAV, Nyderlanduose, Vokietijoje, JK, Australijoje, Japonijoje Nėra DPF sertifikato — SCC + pereinamojo tvarkymo savybė, aprašyta aukščiau, kaip pagrindinė papildoma priemonė. Vultr tiekia neapdorotą IaaS ir sutartiniu būdu negarantuoja jokio konkretaus kliento serverių naudojimo nesaugojimo savybės; todėl pereinamojo tvarkymo savybė yra JJ Online diegimo lygmens techninė ir organizacinė priemonė (jokio programos sluoksnio saugojimo Vultr diskuose; patikros įvestys ir išvestys saugomos tik atmintyje ir perdavime; zondo dvejetainis kodas nerašo jokių kliento asmens duomenų į vietinį diską), kurią mes, kaip duomenų valdytojas, įgyvendiname, ir kaip tokia ji dokumentuota DPA B.6 priede. Mes periodiškai patikriname šią savybę — bent kas ketvirtį ir kiekvieną kartą, kai keičiasi zondo dvejetainis kodas ar jo diegimo konfigūracija — atrenkant zondų pagrindinius kompiuterius, išvardijant vietinio disko įrašus prieš draudžiamų kelių sąrašą, kurį zondo dvejetainis kodas turi teisę paliesti, ir patvirtinant, kad jokie kliento asmens duomenys nebuvo įrašyti į diską; patikrinimo žurnalas yra dalis BDAR 32 str. 1 d. d) p. reguliarių testavimų įrašo, kurį palaikome ir kurį galima pateikti priežiūros institucijos prašymu. Pati Vultr DPA lieka standartinė tiekėjo DPA ir ja nesiremiame šios priemonės įrodymui.

5.4 Autentifikavimas

Tiekėjas Juridinis asmuo Vieta Funkcija Perdavimo mechanizmas
Auth0 Auth0 EMEA Limited (Okta grupė) Airija (+ JAV pasitelktas tvarkymas) Tapatybės valdymas, prisijungimo srautas, socialinio ryšio orkestravimas EU–US DPF + SCC atsarga

Auth0 socialinio ryšio papildomi pasitelkti duomenų tvarkytojai. Kai pasirenkate prisijungti su „Google" ar „GitHub" Auth0 priglobtame prisijungimo puslapyje, „Auth0" perduoda OAuth srautą šiems tiekėjams. Tarp Uptimia ir „Google" ar „GitHub" nėra tiesioginės OAuth integracijos; „Auth0" turi pagrindinę DPA. Tiekėjai yra: Google Ireland Limited (su JAV pasitelktu tvarkymu per Google LLC) ir GitHub, Inc. (Microsoft grupė).

Slapukai per prisijungimo srautą. Auth0 priglobtas prisijungimo puslapis nustato savo griežtai būtinus slapukus „Auth0" domene (ne „uptimia.com") autentifikavimo metu. Šie slapukai yra būtini Jūsų prašytam prisijungimui užbaigti ir atleidžiami nuo sutikimo pagal § 25 Abs. 2 Nr. 2 TDDDG. Mygtukai „Prisijungti su Google" ir „Prisijungti su GitHub" mūsų prisijungimo ir registracijos puslapiuose naudoja „click-to-load" šabloną: jokie „Auth0", „Google" ar „GitHub" skriptai neįkeliami ir jokios užklausos šiems tiekėjams nesiunčiamos, kol neapspaudžiate vieno iš šių mygtukų; pilna informacija ir Auth0 / Okta privatumo URL yra mūsų Slapukų politikoje § 4.8.

5.5 Saugumas ir grėsmių žvalgyba

Tiekėjas Juridinis asmuo Vieta Funkcija Perdavimo mechanizmas
Google Web Risk API Google Ireland Limited Airija (+ JAV pasitelktas tvarkymas) Stebimų URL kenkėjiškos programinės įrangos / sukčiavimo patikra — siunčiamas tik URL EU–US DPF + SCC atsarga
Google PageSpeed Insights Google Ireland Limited Airija (+ JAV pasitelktas tvarkymas) Veikimo analizė Greičio stebėjimo moduliui — siunčiamas tik URL EU–US DPF + SCC atsarga

5.6 Rinkodaros puslapio integracijos

Tiekėjas Juridinis asmuo Vieta Funkcija Perdavimo mechanizmas
FirstPromoter Igil Webs SRL Rumunija Filialų atribucija uptimia.com rinkodaros puslapiuose — suaktyvinama tik tada, kai URL turi ?via=; ribojama Jūsų sutikimu per Datriva slapukų juostą netaikoma (ES)

5.7 Vidaus JJ Online kelių produktų paslaugos (tas pats duomenų valdytojas — ne 28 str. pasitelkti duomenų tvarkytojai)

Šios paslaugos eksploatuojamos pačios JJ Online GmbH ir nėra 28 straipsnio pasitelkti duomenų tvarkytojai. Visos penkios veikia toje pačioje ES infrastruktūroje kaip pagrindinė Uptimia taikomoji programa — OVH Prancūzija (taikomųjų programų duomenų bazė ir nuosavomis lėšomis priglobtos paslaugos) ir, kur reikia blobinio saugojimo, AWS Frankfurtas eu-central-1 — pagal tas pačias BDAR 32 str. technines ir organizacines priemones, aprašytas § 12. Joks JJ Online sesers-produkto tvarkymas ES neapleidžia.

  • Datriva CMP juosta — slapukų sutikimo valdymas rinkodaros svetainėje (https://datriva.com/cdn/banner/uptimia.js). Priglobta OVH Prancūzijoje.
  • HelpCanvas valdiklis — programėlės vidaus pokalbių pagalba rinkodaros svetainėje. HelpCanvas taikomoji programa ir jos pranešimų saugykla priglobta OVH Prancūzijoje pagal JJ Online rinkinį; HelpCanvas pokalbių transkripcijos ES neapleidžia.
  • Nuosavomis lėšomis priglobta laiko eilučių duomenų bazė — laiko eilučių saugykla stebėjimo metrikai, eksploatuojama JJ Online OVH Prancūzijos infrastruktūroje.
  • Altcha — darbo įrodymo CAPTCHA biblioteka, vykdoma lokaliai Uptimia infrastruktūroje; jokio trečiosios šalies duomenų srauto.
  • ErrorHawk (sesers produktas) — neįtraukiamas į produkcijos taikymo sritį: DSN sukonfigūruotas tik mūsų vidinėje kūrimo aplinkoje, ne produkcijos uptimia.com infrastruktūroje. Į ErrorHawk produkcijoje neperduodami jokie kliento asmens duomenys. ErrorHawk nuosavas produkcijos rinkinys, kai aktualus kitiems JJ Online produktams, taip pat veikia OVH Prancūzijoje.

Atskleidimas trečiosioms šalims — jokio perpardavimo, jokio dirbtinio intelekto mokymo, jokios auditorijos kūrimo. Mes neatskleidžiame Jūsų asmens duomenų trečiosioms šalims jų pačių komerciniams tikslams. § 5.1–5.6 trečiųjų šalių paslaugos tvarko Jūsų asmens duomenis tik kaip mūsų duomenų tvarkytojai, pagal mūsų dokumentuotus nurodymus, pagal rašytines duomenų tvarkymo sutartis, kurios sutartiniu būdu draudžia kiekvienam duomenų tvarkytojui naudoti Jūsų asmens duomenis bet kokiam tikslui, viršijančiam konkrečią mūsų atliekamą paslaugą. Draudžiami antriniai naudojimai apima, bet neapsiriboja:

  • Dirbtinio intelekto, mašininio mokymosi ar didelių kalbų modelių mokymas — įskaitant pagrindinio modelio išankstinį mokymą, tikslinį pritaikymą, įdėjimų išskyrimą, sukonstruoto generavimo indeksavimą, vertinimo rinkinių sudarymą ar bet kokią kitą Jūsų asmens duomenų įtraukimą į išvestinius duomenų rinkinius ar modelio svorius, ar tai darytų pats duomenų tvarkytojas, ar bet kuri trečioji šalis, kuriai duomenų tvarkytojas tolesnės licencijos suteikia
  • Reklama, profiliavimas, panašios auditorijos kūrimas, reklamos taikymas ar auditorijos segmento praturtinimas
  • Perpardavimas, sublicencijavimas ar sindikavimas — ar tai būtų pavadinto, pseudoniminto, maišinto ar agreguoto pagrindu — duomenų brokeriams, analizės tinklams ar reklamos tinklams
  • Bet koks kitas antrinis naudojimas, kuris nėra būtinas sutartinei paslaugai mums teikti

BDAR 28 str. 3 d. apribojimai kiekvieno duomenų tvarkytojo duomenų tvarkymo sutartyje yra aukščiau išvardytų draudimų vykdymo mechanizmas. Kai duomenų tvarkytojo standartinės sąlygos ar DPA nepakankamai apima šiuos draudimus, mes arba deramės dėl pakeistų sąlygų prieš jį pasitelkdami, arba duomenų tvarkytojo nepasitelkiame.

6. Kiti gavėjai — mokesčiai, auditas, teisė, M&A ir teisėti prašymai

Be § 5 kasdieninių duomenų tvarkytojų, pagal BDAR 13 str. 1 d. e) p. ir EDAV gaires dėl skaidrumo (WP260 rev. 01), mes taip pat galime atskleisti asmens duomenis šioms gavėjų kategorijoms:

Gavėjo kategorija Kada Teisinis pagrindas Apimtis
Mokesčių institucijos (Finanzamt; atitikmenys kitose jurisdikcijose) Periodinės mokesčių deklaracijos, atitikties auditai, teisėti informacijos prašymai 6 str. 1 d. c) p. — § 147 AO, § 257 HGB Apsiribojama statutiškai reikalaujamais sandorio, sąskaitos išrašymo, apskaitos duomenimis
Išorės auditoriai (įstatyminiai, savanoriški, pirkėjo pusės patikrinimas) Metinis auditas, savanoriškas finansinis ar saugumo auditas, prieš įsigijimą patikrinimas 6 str. 1 d. c) p., kai privaloma; kitu atveju 6 str. 1 d. f) p. Pagal rašytines profesionalaus konfidencialumo pareigas; minimalizuojama iki įsipareigojimo apimties
Teisės konsultantai (išorės advokatai, notarai) Reikalavimų gynyba, sutarties ginčai, reguliavimo atsakymai, sandorių konsultacijos 6 str. 1 d. f) p.; § 203 StGB profesionalus konfidencialumas Minimalizuojama iki nurodymo apimties
Potencialūs įsigijimo subjektai ir jų konsultantai (M&A, investicijos, turto pardavimas, restruktūrizavimas) Korporaciniai sandoriai — patikrinimo duomenų salės, akcijų pirkimo sutartys, turto pardavimas 6 str. 1 d. f) p., interpretuojant nuosekliai su DSK Beschluss „Datenschutz im Asset Deal" 2024 m. rugsėjo 11 d. (kuris pakeitė ir išplėtė pirminį 2019 m. gegužės 24 d. DSK dokumentą). Konkrečiai mes taikome Beschluss fazinę struktūrą: patikrinimo fazėje kliento asmens duomenys iš esmės pateikiami tik pseudoniminta ar agreguota forma, identifikuojančių duomenų atskleidimas apribojamas siaurai vėlyvosios stadijos 6 str. 1 d. f) p. išimčiai, kurią Beschluss pripažįsta (pasirašytas LOI / pažangios derybos, sudaryta NDA, minimalizavimas iki to, kas griežtai būtina pirkėjo likusiems patikrinimo klausimams, jokio plataus duomenų salės išmetimo); uždarymo / perdavimo fazėje mes laikomės teisinio pagrindo kelio, kurį Beschluss nustato atitinkamai sandorio struktūrai, ir ypač mes laikome kliento duomenų bazės pardavimą kaip atskirą turtą jautresne byla, kuri pagal Beschluss analizę paprastai reikalauja sutikimo arba prasmingo prieš perdavimo informavimo ir prieštaravimo proceso, atskirai nuo bylos, kurioje klientų santykiai perduodami atsitiktinai kaip didesnio veikiančio verslo turto sandorio dalis. Per abi fazes Beschluss perėjimas nuo grynai po uždarymo Widerspruchslösung link prieš perdavimo paveiktų duomenų subjektų informavimo atsispindi apsaugos priemonių stulpelyje Rašytinis NDA, duomenų salės minimalizavimas, pseudoniminimas ar agregavimas per patikrinimą (identifikuojantys duomenys išleidžiami tik pagal siaurą vėlyvosios stadijos 6 str. 1 d. f) p. išimtį, „reikia žinoti" pagrindu ir tik perėjus LOI / pažangių derybų slenkstį), ir prieš perdavimo informavimas paveiktiems duomenų subjektams pagal 2024 m. rugsėjo 11 d. Beschluss vietoj plikos po perdavimo atsisakymo galimybės — su atskira kliento duomenų bazės scenarijaus tvarkymu pagal labiau apsaugantį teisinio pagrindo kelią, kurį Beschluss nustato šiai bylai
Teisėsauga, teismai, reguliatoriai Teisėtas prašymas — teismo nutartis, šaukimas, reguliavimo tyrimas 6 str. 1 d. c) p., kai privaloma; 6 str. 1 d. f) p. patikrintam savanoriškam bendradarbiavimui Apsiribojama konkretaus prašymo apimtimi; mes ginčijame pernelyg plačius prašymus, kai įstatymas leidžia
Draudimo bendrovės ir reikalavimų administratoriai Profesinės atsakomybės, kibernetinio draudimo, komercinės atsakomybės reikalavimai 6 str. 1 d. f) p. Minimalizuojama iki asmens duomenų, būtinų konkrečiam reikalavimui įvertinti ir tvarkyti

Nė vienas iš šių gavėjų nereguliariai ar plačiu mastu negauna asmens duomenų; kiekvienas atskleidimas suaktyvinamas konkrečiu įvykiu.

7. Uptimia kaip duomenų tvarkytojas Jūsų lankytojų / galutinių naudotojų duomenims

Kai naudojate Uptimia stebėti Jūsų valdomiems ištekliams, atsiranda tam tikri tvarkymo srautai, kuriuose Jūs esate Jūsų lankytojų ar galutinių naudotojų asmens duomenų duomenų valdytojas, o Uptimia yra duomenų tvarkytojas, veikiantis Jūsų vardu:

Srautas Kokie asmens duomenys teka per Uptimia
Autentifikuotos HTTP patikros URL atsako turinyje, kuriuos konfigūruojate, gali būti naudotojų vardų, el. pašto adresų ar kitų Jūsų galutinių naudotojų asmens duomenų — fiksuojama mūsų patikros atsako momentinėse nuotraukose (7 dienų TTL atsako turinio lauke)
Sandorių stebėjimas Ekrano kopijose, fiksuojamose kiekviename sandorio skripto žingsnyje, gali būti asmens duomenų, matomų autentifikuotuose puslapiuose (pvz., prisijungusio naudotojo vardas navigacijos juostoje) — saugoma pagal § 11 nustatytą saugojimo laiką
Tikrojo naudotojo stebėjimas (RUM) Kai diegiate mūsų RUM skriptą pasirinktuose URL, jis grąžina puslapio įkėlimo laikus, naršyklės ir įrenginio metaduomenis, geografinę kilmę ir „JavaScript" klaidų įvykius; lankytojų IP adresai prieš saugojimą sutrumpinami iki /24 IPv4 ir /48 IPv6; įvykiai saugomi tik agreguota forma — nėra individualaus lankytojo įrašo per beacon
Būsenos puslapio incidentų prenumeratos El. pašto adresai, kuriuos Jūsų lankytojai įveda, kad užsiprenumeruotų incidentų pranešimus būsenos puslapyje, kurį valdote per Uptimia

Duomenų valdytojo / tvarkytojo padalijimas — esminių / neesminių priemonių analizė. BDAR 28 str. reikalauja, kad duomenų valdytojas nustatytų tvarkymo tikslus ir priemones, o duomenų tvarkytojas veiktų pagal duomenų valdytojo dokumentuotus nurodymus. EDAV gairės 07/2020 dėl duomenų valdytojo ir tvarkytojo sąvokų (¶ 38) brėžia aiškią ribą tarp esminių priemonių — kokios kategorijos duomenų tvarkomos, kokios kategorijos duomenų subjektų, saugojimo trukmė, duomenų gavėjai — kurias turi nustatyti duomenų valdytojas, ir neesminių priemonių, tokių kaip algoritmo, formato, programinės įrangos, aparatinės įrangos pasirinkimas — kurias duomenų tvarkytojas gali nustatyti laisvai. Mes esame Jūsų lankytojų / galutinių naudotojų asmens duomenų tvarkytojas tokios analizės pagrindu:

  • Tikslai yra Jūsų. Jūs nusprendžiate, ar diegti mūsų RUM skriptą ir kokiuose URL, ar stebėti autentifikuotą galutinį tašką, ar sukurti sandorio kelionę, ir ar valdyti viešą būsenos puslapį, kuris priima lankytojų prenumeratas. Nė vienas iš šių tvarkymo veiksmų neprasideda, kol Jūs jų neinicijuojate.
  • Esminės priemonės yra Jūsų. Jūsų diegimo pasirinkimas nustato duomenų kategoriją (RUM diegimas = puslapio įkėlimo įvykiai iš Jūsų lankytojų; sandorio stebėjimo konfigūravimas = ekrano kopijos kelionės, kurią Jūs sukūrėte); duomenų subjektų kategorijas nustato tai, kas lanko Jūsų svetaines ir kam Jūs sukuriate kelionę; saugojimo laikotarpis nustatomas pagal Jūsų Paslaugos plano lygį (žr. § 11 ir plano lygio matricą uptimia.com); duomenų gavėjus riboja Jūsų paskyros izoliacija ir DPA C priede dokumentuoti pasitelkti duomenų tvarkytojai, kuriems sutinkate diegimu.
  • Neesminės priemonės yra mūsų. Lankytojų IP adresų /24 IPv4 ir /48 IPv6 sutrumpinimas prieš saugojimą, agregavimo logika, kuri laiko RUM įvykius už beacon-lentelių, ES esančios saugojimo infrastruktūros pasirinkimas (OVH Prancūzija taikomųjų programų duomenų bazei, AWS Frankfurtas eu-central-1 ekrano kopijų blobams S3) ir pereinamojo tvarkymo savybė zondų sluoksnyje yra techninio įgyvendinimo pasirinkimai, kuriuos mes atliekame kaip duomenų tvarkytojas. Tai sudaro BDAR 32 str. technines ir organizacines priemones — jos sustiprina Jūsų kontrolę esminėms priemonėms, o ne ją išstumia.

Pagal šią analizę keturi srautai aukščiau yra švarūs 28 str. duomenų valdytojo–tvarkytojo santykiai. Mūsų DPA įtraukia duomenų valdytojo–tvarkytojo sąlygas, kurių reikalauja BDAR 28 str. 3 d.; Paslaugos diegimas (skripto diegimas, stebėjimo modulio konfigūracija, plano lygio pasirinkimas), DPA dokumentuoti nurodymai ir paskyros lygio Tvarkymo nurodymų santrauka, aprašyta DPA § 6.1(e) ir A.8 priede, kartu sudaro Jūsų dokumentuotus nurodymus BDAR 28 str. 3 d. a) p. tikslais. DPA automatiškai taikoma nuorodos būdu pagal Uptimia ToS § 17.2, kai pradedate naudoti stebėjimo funkcijas, kurios tvarko Jūsų lankytojų / galutinių naudotojų asmens duomenis; jokio atskiro parašo nereikia DPA įsigaliojimui.

BDAR 28 str. 9 d. — rašytinė / elektroninė forma. BDAR 28 str. 9 d. reikalauja, kad duomenų valdytojo–tvarkytojo sutartis būtų „rašytinė, įskaitant elektroninę formą". Uptimia Paslaugų teikimo sąlygos, į kurias įtraukta DPA, pačios yra elektroninės formos, o pilnas DPA tekstas paskelbtas pastoviu URL uptimia.com svetainėje (šiuo metu https://uptimia.com/legal/dpa — tas pats kanoninis paviršius, iš kurio paskelbta ši Privatumo politika) ir Jums prieinamas įtraukimo momentu, tiek prieš ToS priėmimą, tiek per jį. Jūsų elektroninis ToS priėmimas — užsiregistruojant, mokant už Paslaugą ar kitaip ją naudojant taip, kad įjungiate stebėjimo funkcijas, kurios tvarko Jūsų lankytojų / galutinių naudotojų asmens duomenis — sudaro Jūsų DPA parašą BDAR 28 str. 9 d. tikslais. „Pasirašytas priešingas egzempliorius pagal prašymą" kelias kitoje pastraipoje yra prisitaikymas prie procedūrinių formų pasirinkimų, o ne išankstinė sąlyga DPA galiojimui; DPA yra visiškai privaloma pagal 28 str. 9 d. vien elektroniniu priėmimu.

Paskyros lygio dokumentuoti nurodymai. Bet kuriuo metu galite paprašyti paskyros lygio Tvarkymo nurodymų santraukos rašydami adresu privacy@uptimia.com. Santrauka generuojama iš Jūsų paskyros būsenos prašymo metu ir išvardija konkrečiai Jūsų paskyrai: aktyvius stebėjimo modulių tipus, URL ir išteklius, kuriuos pasirinkote stebėti, Jūsų Paslaugos plano lygį ir iš jo kylančius saugojimo laikotarpius, Jūsų aktyvuotus įspėjimo kanalus (ir todėl pasitelktus duomenų tvarkytojus Jūsų paskyrai), Jūsų duomenims taikomą ES saugojimo regioną ir bet kokius vėlesnius rašytinius nurodymus, kuriuos priėmėme iš Jūsų. Santrauką grąžiname per penkias (5) darbo dienas. Santrauka yra dokumentinė — ji nekeičia DPA — ir skirta paremti Jūsų BDAR 30 str. 1 d. duomenų tvarkymo veiklos įrašų pareigą bei BDAR 5 str. 2 d. atskaitomybę, kai per Paslaugą tvarkote savo lankytojų / galutinių naudotojų asmens duomenis. Savitarna generuojant Santrauką Jūsų skydelyje yra produkto kelyje; iki to laiko galioja rankinis procesas.

Pasirašytas DPA egzempliorius. Kai Jūsų pirkimo, audito ar reguliavimo procesas reikalauja mūsų DPA pasirašyto priešingo egzemplioriaus su prie A.8 priedo pridėta Tvarkymo nurodymų santrauka, mes jį pateiksime pagal prašymą be mokesčio. Susisiekite adresu privacy@uptimia.com.

Lankytojo pusės pasitelkti duomenų tvarkytojai. Tvarkytojo vaidmeniui pasitelkti duomenų tvarkytojai išvardyti DPA C priede. Tai yra § 5 pasitelktų duomenų tvarkytojų virš-aibė. Papildomi C.5 priedo įrašai yra Jūsų sukonfigūruoti įspėjimo kanalai („Slack", „Discord", „Twilio", „PagerDuty" ir kt.), kurie tampa pasitelktais duomenų tvarkytojais tik tiek, kiek įspėjimo pranešime yra Jūsų lankytojų / galutinių naudotojų asmens duomenų (kaip nustatyta § 3 „Pranešimų kanalų konfigūracijos — dvigubas įspėjimo kanalų vaidmuo" aukščiau), ir tik tada, kai Jūs faktiškai įjungiate kanalą. Tos pačios trečiosios šalys taip pat veikia kaip Uptimia nuosavi paslaugų teikėjai operacijų komandos kontaktinių įrašų ir prisijungimo duomenų bei Jūsų operacijų komandai adresuoto įspėjimo dalies to paties srauto atžvilgiu — ta duomenų valdytojo santykio dalis yra ta, kuri inventorizuota § 5, ne čia. Todėl C.5 priedo sąrašas yra siauresnis nei kanalų sąrašas § 5: tai tų pačių trečiųjų šalių rinkinio tvarkytojo vaidmens projekcija.

Techninės apsaugos tvarkytojo vaidmens srautams.

  • RUM lankytojų IP adresai sutrumpinami iki /24 (IPv4) arba /48 (IPv6) prieš įvykis įrašomas į saugyklą; pilnas IP adresas niekada nesaugomas
  • RUM įvykiai saugomi tik agreguota forma — nėra per-beacon lentelės, o iš saugomų duomenų negali būti rekonstruotas joks atskiras lankytojas
  • Sandorio ekrano kopijos ir patikros atsako momentinės nuotraukos saugomos AWS S3 (Frankfurte) mūsų paskyroje; prieiga ribojama įrašo paskyros autentifikavimu
  • Zondų mazgai tvarko patikros įvestis ir išvestis tik pereinamai; jokie kliento asmens duomenys nesaugomi nuolat zondų sluoksnyje
  • Prisijungimo duomenys ir paslaptys, kurias Jūs pateikiate, kad Paslauga galėtų autentifikuotis Jūsų ištekliams (HTTP Basic prisijungimo duomenys, pasirinktinės užklausos antraštės, integracijos prisijungimo duomenys, sandorio žingsnio pažodinės reikšmės), laikomos taikant stulpelio lygmens vokinio šifravimo metodą su atskirai valdomais raktais, kaip aprašyta § 12

Lankytojo sutikimas. Jūsų atsakomybė kaip duomenų valdytojo gauti bet kokį reikalingą sutikimą iš Jūsų lankytojų prieš diegiant mūsų RUM skriptą Jūsų svetainėje. Kai § 25 TDDDG ar lygiavertė ES nacionalinė teisė reikalauja sutikimo informacijos saugojimui ar prieigai prie informacijos lankytojo galiniame įrenginyje, Jūsų lankytojams turi būti suteikta § 25 reikalavimus atitinkanti sutikimo galimybė prieš įsikraunant mūsų RUM skriptui. Mes teikiame dokumentaciją apie sutikimo įgyvendinimą; įgyvendinimas yra Jūsų.

8. Profiliavimas ir automatizuotas sprendimų priėmimas

Šis skirsnis atskleidžia automatizuotas veiklas, kurias Paslauga eksploatuoja ir kurios atitinka profiliavimo apibrėžimą pagal BDAR 4 str. 4 d., kaip reikalauja BDAR 13 str. 2 d. f) p. ir 15 str. 1 d. h) p. — įskaitant vieną veiklą, kuri atitinka automatizuoto sprendimo apibrėžimą pagal BDAR 22 str. 1 d.

Mokėjimo sukčiavimo sprendimas apsipirkimo metu (BDAR 22 str. 1 d.). Kai pateikiate mokėjimą, mūsų mokėjimų tvarkytojas įvertina sandorį prieš signalus, įskaitant mokėjimo metodą, įrenginio piršto atspaudą, atsiskaitymo adresą, IP adresą, ankstesnės naudojimo istoriją ir mašininio mokymosi šablonus, gautus iš tvarkytojo platesnio sukčiavimo korpuso, kad sukurtų sukčiavimo rizikos balą. Pakankamai padidintas balas sukelia sandorio atmetimą, pažymėjimą tvarkytojo rankiniam patikrinimui arba nukreipimą į papildomą patikrinimą, pvz., 3-D Secure. Tai yra tik automatizuotas sprendimas, kuris, užkertant kelią pirkimui įvykti realiu laiku, turi pakankamai reikšmingų pasekmių Jums, kad patektų į BDAR 22 str. 1 d.

Šios analizės dalis padalyta tarp (i) teisinio pagrindo pagrindiniam Jūsų mokėjimo duomenų tvarkymui (BDAR 6 str.) ir (ii) BDAR 22 str. 2 d. vartų, kurie įgalioja patį automatizuotą sprendimą. Vadovaudamiesi EDAV siauru „būtina sutarčiai" skaitymu Gairėse dėl 22 straipsnio (ir linija, sustiprinta po SCHUFA Holding (ETT C-634/21, 2023-12-07) komentaro), mes vedame su statutiniais pagrindais ir sutarties būtinybę traktuojame tik kaip atsargą.

Pagrindinio tvarkymo teisinis pagrindas — BDAR 6 str. 1 d. c) p. (pagrindinis). Tvarkymas yra būtinas, kad mokėjimų tvarkytojas laikytųsi PSD2 stiprios klientų autentifikacijos reikalavimų (Direktyva (ES) 2015/2366 ir Komisijos deleguotasis reglamentas (ES) 2018/389), kovos su pinigų plovimu / terorizmo finansavimu režimų (Direktyva (ES) 2015/849 su pakeitimais; ES AML reglamentas; nacionalinės perkėlimo nuostatos) ir EBI Gairių EBA/GL/2017/17 dėl mokėjimo paslaugų veikimo ir saugumo rizikos saugumo priemonių pareigos taikyti sandorių stebėjimo mechanizmus, kurie aptiktų sukčiaujančius mokėjimo sandorius. Šios statutinės pareigos tiesiogiai įpareigoja mokėjimų tvarkytoją ir per jį pereina į mus kaip prekybininką, kurio vardu vykdomas patikrinimas; jos daro tvarkymą būtinu, kad būtų laikomasi teisinės prievolės, kuriai Uptimia (per tvarkytoją) yra pavaldi BDAR 6 str. 1 d. c) p. prasme.

BDAR 6 str. 1 d. f) p. — alternatyvus pagrindas likutiniam prekybininko pusės sukčiavimo prevencijos interesui. Tiek, kiek bet kuris patikrinimo elementas viršija tai, kas griežtai reikalaujama pagal aukščiau nurodytą statutinę sistemą, ir atspindi mūsų pačių prekybininko pusės interesą užkirsti kelią ne dalyvaujant kortelei sukčiavimui, mokėjimų grąžinimams ir paskyros perėmimui registracijos metu, mes remiamės BDAR 6 str. 1 d. f) p. Teisėtų interesų balansavimas šiam likutiniam elementui dokumentuotas § 15 („Teisėtų interesų vertinimo santrauka") ir traktuoja interesą kaip esminį (tiesioginis sukčiavimo nuostolis + ginčų tvarkymo našta), duomenų subjekto interesus kaip apsaugotus BDAR 22 str. 3 d. apsaugomis žemiau, ir tvarkymą kaip proporcingą (sandorio signalai, nesaugomi kaip profilis).

BDAR 6 str. 1 d. b) p. — sutarties vykdymo pagrindas, tik atsarga. Kai nei statutinis, nei likutinio intereso įrėminimas nepasiekia konkretaus tvarkymo elemento, patikrinimas taip pat būtinas, kad mes galėtume sudaryti mokėjimo dalį sutarties, kurią siekiate su mumis sudaryti, palaikant BDAR 6 str. 1 d. b) p. Mes tai nurodome kaip atsargą, nes dalijamės EDAV pažiūra, kad BDAR 6 str. 1 d. b) p. „būtinybė" turėtų būti skaitoma siaurai: faktas, kad sukčiavimo patikrinimas yra operacijiškai nepakeičiamas, pats savaime neatitinka „nėra mažiau intervencinės alternatyvos" testo, o BDAR 6 str. 1 d. c) ir f) p. pagrindai aukščiau yra švaresnė istorija.

BDAR 22 str. 2 d. vartai pačiam automatizuotam sprendimui. Vien BDAR 6 str. neįgalioja BDAR 22 str. 1 d. automatizuoto sprendimo; tas sprendimas reikalauja BDAR 22 str. 2 d. vartų — (a) sutarties būtinybė, (b) įgaliojanti Sąjungos ar valstybės narės teisė, nustatanti tinkamas apsaugos priemones, arba (c) aiškiai išreikštas sutikimas. Mes remiamės iš esmės BDAR 22 str. 2 d. b) p.: PSD2 SCA sistema (Direktyva (ES) 2015/2366 kartu su Komisijos deleguotuoju reglamentu (ES) 2018/389) ir aukščiau nurodyta AML / CTF sistema yra įgaliojanti Sąjungos teisė, kuri reikalauja pačių sandorių stebėjimo sprendimų, atliekamų apsipirkimo metu, ir kuri pati nustato tinkamas duomenų subjekto apsaugos priemones (PSD2 IV antraštinė dalis vartotojų apsaugos skyrius; AMLD skundo ir peržiūros mechanizmai nacionaliniame perkėlime; BDAR 22 str. 3 d. duomenų subjekto apsaugos priemonės žemiau, taikomos lygiagrečiai). Aukščiau nurodytos EBI gairės operacionalizuoja šį statutinį režimą per privalomus priežiūros lūkesčius mokėjimų stebėjimo sprendimams. Mes traktuojame BDAR 22 str. 2 d. a) p. (sutarties būtinybė) kaip atsargą BDAR 22 str. vartams tik — įjungiamą tik tiek, kiek priežiūros institucija galėtų siaurai skaityti BDAR 22 str. 2 d. b) p. įgaliojančios teisės vartus — ir mes nesiremiame BDAR 22 str. 2 d. c) p. (aiškiai išreikštu sutikimu), kuris nebūtų laisvai duotas mokėjimo apsipirkimo kontekste.

Jūsų apsaugos priemonės pagal BDAR 22 str. 3 d. Turite teisę:

  • gauti žmogaus įsikišimą sprendime — rašykite adresu privacy@uptimia.com, nurodydami atmestą sandorį; mes nukreipsime bylą mokėjimo tvarkytojo rankiniam peržiūros komandai ir mūsų pačių atsiskaitymo operacijai, kurios abi gali pagal faktus pakeisti automatizuotą rezultatą;
  • išreikšti savo požiūrį — galite pateikti bet kokį kontekstą, kurį manote esant aktualų (pvz., kelionės kontekstas užsienio IP atmetimui, ištaisyta atsiskaitymo informacija, kortelės nuosavybės įrodymas);
  • užginčyti sprendimą — pats rankinio peržiūros rezultatas yra mūsų peržiūrimas; jei vis dar esate nepatenkintas, galite naudoti alternatyvų apsipirkimo kelią („Stripe" ↔ „PayPal") arba paprašyti rašytinio paaiškinimo, tinkamo persiųsti Jūsų kortelės leidėjui.
  • gauti konkretų atmetimo priežasties kodą ir, kai taikoma, „Stripe Radar" taisyklės pavadinimą — pagal BDAR 22 str. 3 d. prašymą mes, be aukščiau nurodytų rankinio peržiūros žingsnių, Jums perduosime mokėjimo tvarkytojo grąžintą atmetimo priežasties kodą Jūsų sandoriui ir, kai atmetimą lėmė konkreti Radar taisyklė, kurią tvarkytojas mums atskleidė prekybininko skydelyje (priešingai nei leidžiančio banko atmetimas), tos taisyklės pavadinimą. Tai yra sprendimo pagrindinių priežasčių atskleidimas, aprašytas „Reikšminga informacija apie taikomą logiką" žemiau; mes čia aiškiai įsipareigojame, kad jis būtų pasiekiamas iš BDAR 22 str. 3 d. apsaugos priemonių sąrašo, nereikalaujant pirma skaityti SCHUFA įgyvendinimo pastraipos.

Mes atsakysime į bet kokį BDAR 22 str. 3 d. prašymą per BDAR 12 str. 3 d. terminą (vieną mėnesį, pratęsiamą dar dviem mėnesiais sudėtingose bylose, mums apie tai pranešus).

Reikšminga informacija apie taikomą logiką (BDAR 15 str. 1 d. h) p.; ETT byla C-634/21 SCHUFA Holding, 2023-12-07). Sukčiavimo rizikos balą generuoja trečiosios šalies mašininio mokymosi modelis, palaikomas mokėjimo tvarkytojo („Stripe Radar"; lygiavertis „PayPal" modelis), suderintas prieš to tvarkytojo pasaulinį sukčiavimo korpusą. Šių modelių vidiniai svoriai nėra tvarkytojo skelbiami ir nėra mums prieinami pagal standartines prekybininko sąlygas — svorių atskleidimas leistų sukčiams atvirkščiai inžinieriauti modelį, todėl joks reikšmingas kortelės mokėjimų tvarkytojas jų neatskleidžia. Mes nelaikome šio nebuvimo nugalintį Jūsų BDAR 15 str. 1 d. h) p. teisę. SCHUFA Holding reikalauja „reikšmingos informacijos apie taikomą logiką", pakankamos leisti duomenų subjektui suprasti procedūrą, kuri vedė į balą, ir, kai tinkama, užginčyti konkretų sprendimą jo byloje — ne patį algoritmą. Pagal tą standartą mes atskleidžiame ir pagal prašymą Jums raštu patvirtinsime:

  • Pagrindines veiksnių grupes, kurias modelis vertina — sandorio sumą ir valiutą; mokėjimo metodo metaduomenis (kortelės BIN, išdavimo šalis, ženklas, finansavimo tipas); AVS atsiskaitymo adreso patikrinimo rezultatą; įrenginio ir naršyklės piršto atspaudą; IP adresą, IP geografinę vietą ir IP–prieš–atsiskaitymo šalies neatitikimą; ankstesnius tos pačios kortelės ar paskyros rezultatus tvarkytojo pasauliniame korpuse ir Uptimia (Jūsų pačių istorija su mumis); tinklo lygmens reputacijos ir blokavimo sąrašo signalus; 3-D Secure rezultatą, kai prieinamas.
  • Pagrindinę Jūsų konkretaus rezultato priežastį. Jei Jūsų sandoris buvo atmestas, tvarkytojas grąžina konkretų atmetimo priežasties kodą (pavyzdžiui, do_not_honor, card_declined, fraudulent, lost_card, stolen_card, pickup_card, incorrect_cvc, expired_card) ir, kai atmetimą lėmė Radar taisyklė, o ne leidžiantis bankas, suaktyvintos taisyklės pavadinimą (mums matomą prekybininko skydelyje). Mes perduosime tą konkretų kodą ir, kai prieinamas, konkretų taisyklės pavadinimą Jums pagal prašymą — tai yra pagrindinių priežasčių atskleidimas, reikalaujamas SCHUFA Holding § 54–§ 59.
  • Apvedimo kelią, kurį mes kaip prekybininkas kontroliuojame. Tvarkytojo pusės sukčiavimo atmetimas neužrakina Jūsų nuo Paslaugos. Mes galime pasirinkti pagerbti sandorį, kurį modelis atmetė; rašykite adresu privacy@uptimia.com, nurodydami sandorį, pateikite bet kokį kontekstą, kurį manote esant aktualų (kelionė, ištaisyta atsiskaitymo informacija, kortelės nuosavybės įrodymas), ir mes (a) eskaluosime į tvarkytojo rankinio peržiūros komandą, kuri pagal faktus gali pakeisti modelį, ir (b) iš naujo bandysime atsiskaityti iš mūsų prekybininko pusės po pakeitimo, arba naudosime alternatyvų apsipirkimo kelią („Stripe" ↔ „PayPal").
  • Reikšmė Jums. Pakankamai padidintas balas arba atmeta sandorį apsipirkimo metu, suaktyvina 3-D Secure žingsnį, arba nukreipia sandorį į rankinį tvarkytojo peržiūrą. Balas nesaugomas kaip profilis Jūsų naudotojo įraše; tai yra sandorio signalas.

Anti-piktnaudžiavimo dažnio ribos ir registracijos botų balas (joks BDAR 22 str. sprendimas). Atskirai nuo mokėjimų sukčiavimo, mes taikome automatizuotus dažnio ribojimo sprendimus prieš API ir registracijos galinius taškus, remdamiesi užklausos šablonais, IP reputacija ir paskyros amžiumi. Registracija papildomai apribota Altcha, savitarna priglobtu darbo įrodymo iššūkiu, vykdomu lokaliai Uptimia infrastruktūroje (jokio trečiosios šalies duomenų srauto). Vidinis euristinis balas taip pat įrašomas Jūsų naudotojo įraše. Šie signalai yra tik patariami — nėra automatinio sustabdymo ar automatinio atmetimo logikos. Paskyras rankiniu būdu išjungia administratorius po žmogaus peržiūros. Registracija ribojama 3 bandymais per 15 minučių vienam IP. Sprendimas yra grąžinamas rašant adresu privacy@uptimia.com.

Profiliavimo skaidrumas patariamai euristikai (BDAR 4 str. 4 d., 13 str. 2 d. f) p., 14 str. 2 d. g) p., 15 str. 1 d. h) p.). Patariamas euristinis balas Jūsų naudotojo įraše yra profiliavimas BDAR 4 str. 4 d. prasme, net jei joks tik automatizuotas sprendimas, sukeliantis teisinių ar panašiai reikšmingų pasekmių, jo pagrindu nepriimamas (BDAR 22 str. 1 d. neįjungtas). Skaidrumo pareigos pagal BDAR 13 str. 2 d. f) p. ir 14 str. 2 d. g) p. — ir atitinkama prieigos teisė į „reikšmingą informaciją apie taikomą logiką" pagal BDAR 15 str. 1 d. h) p. — geresnio skaitymo požiūriu nėra griežtai apribotos BDAR 22 str. 1 d. profiliavimu; todėl mes atskleidžiame, tiek čia iš anksto, tiek pagal prieigos prašymą, pagrindines įvesčių kategorijas, kurias euristika vertina: registracijos ar prisijungimo bandymų iš to paties IP ir to paties el. pašto domeno dažnis per nustatytą langą; IP buvimas vidiniuose ir gerai žinomuose išorės reputacijos sąrašuose (pvz., atviro tarpinio serverio / Tor išėjimo / žinomo VPN sąrašo agregatoriai); paskyros amžius ir paskyros būsenos signalai (naujai sukurta ar ilgalaikė, ankstesnės pagalbos bilietų istorija); šablono panašumas su žinomais piktnaudžiavimo pirštų atspaudais (darbo įrodymo nesėkmės dažnis per Altcha, stebėjimo modulio kūrimo šablonas minutėmis po registracijos). Pagal BDAR 15 str. 1 d. h) p. prieigos prašymą mes papildomai atskleisime Jūsų paskyroje įrašytą balą, pagrindinius prisidedančius prie to balo veiksnius ir bet kokio prie jo pritvirtinto automatinio sprendimo taisyklės nebuvimą.

Jūsų teisė nesutikti pagal BDAR 21 str. Jūs išlaikote teisę nesutikti su bet kokiu profiliavimu, kuris remiasi mūsų teisėtais interesais (BDAR 6 str. 1 d. f) p.). Tačiau ši teisė neapima aukščiau aprašyto mokėjimo sukčiavimo sprendimo tiek, kiek tas sprendimas remiasi BDAR 22 str. 2 d. b) p. įgaliojančios teisės vartais ir BDAR 6 str. 1 d. c) p. statutinės atitikties pagrindu — nė vienas iš jų neįjungia 21 str. Likutiniam BDAR 6 str. 1 d. f) p. patikrinimo elementui 21 str. taikoma, bet praktikoje § 15 įrašytas teisėto intereso balansavimas viršytų prieštaravimą aktyvaus mokėjimo bandymo atžvilgiu; sprendimui pačiam Jūsų apsaugos priemonės yra aukščiau nustatytos BDAR 22 str. 3 d. teisės.

9. Slapukų sutikimas — davimas ir atšaukimas

Slapukų juostą uptimia.com valdo Datriva (taip pat JJ Online GmbH produktas — mes naudojame savo pačių sutikimo valdymo platformą). Kai naudojame slapukus ar panašias technologijas, kurios reikalauja Jūsų sutikimo pagal BDAR 6 str. 1 d. a) p. ir § 25 Abs. 1 TDDDG, sutikimo mechanizmą ir atšaukimo mechanizmą reglamentuoja šios taisyklės.

Kaip gauname sutikimą. Per Jūsų pirmąjį apsilankymą rinkodaros svetainėje Datriva juosta pasirodo prieš nustatant bet kokį nebūtiną slapuką. Juosta pateikia tris sutikimo reikalaujančias kategorijas (Funkcinė, Analitinė, Rinkodaros) tik kaip pasirinkimą — kiekviena kategorija yra neatžymėta pagal numatytuosius nustatymus. Galite priimti visus, atmesti visus arba priimti granuliuotą poaibį tuo pačiu paspaudimų skaičiumi, nuosekliai su BDAR 7 str. 2 d. ir EDAV gairėmis 05/2020 dėl sutikimo. Griežtai būtini slapukai nustatomi be sutikimo § 25 Abs. 2 Nr. 2 TDDDG pagrindu.

Atšaukimas — toks pat lengvas kaip davimas. BDAR 7 str. 3 d. reikalauja, kad sutikimo atšaukimas būtų toks pat lengvas kaip jo davimas. Pagal EDAV gaires 05/2020 dėl sutikimo (§ 117), paritetas čia reiškia tą pačią terpę ir tą patį žingsnių skaičių kaip pradinis pasirinkimas. Todėl mes eksploatuojame vieną BDAR 7 str. 3 d. pariteto kelią:

  • „Slapukų nuostatos" nuoroda rinkodaros svetainės poraštėje (BDAR 7 str. 3 d. pariteto kelias). Pastovi „Slapukų nuostatos" nuoroda yra kiekvieno rinkodaros puslapio poraštėje. Spustelėjus ją iš naujo atveriama ta pati Datriva juosta su Jūsų dabartiniais nustatymais, kur galite išjungti bet kurią kategoriją — arba atmesti visus nebūtinus slapukus — tuo pačiu paspaudimų skaičiumi, kiek užtruko juos priimti. Kadangi juosta, kuri tvarko atšaukimą, yra tas pats vartotojo sąsajos elementas, toje pačioje terpėje, su tais pačiais perjungimo valdikliais kaip juosta, kuri tvarkė pradinį sutikimą, atšaukimo mechanizmas yra tapatus (ne tik „toks pat lengvas") kaip davimo mechanizmas. Tai stipriausia BDAR 7 str. 3 d. pariteto forma, numatyta EDAV gairėse 05/2020 dėl sutikimo § 117, ir tai yra tai, kuo remiamės kaip mūsų pariteto keliu.

Du papildomi keliai prieinami Jūsų patogumui, bet nėra lygiaverčiai pradiniam pasirinkimui ir nesiremiama jais tenkinant BDAR 7 str. 3 d. paritetą:

  • El. laiškas adresu privacy@uptimia.com. Mes įrašysime ir įgyvendinsime atšaukimą rankiniu būdu per BDAR 12 str. 3 d. terminą.
  • Slapukų valymas naršyklėje. Tai taip pat išvalo mūsų lokaliai saugomą sutikimo įrašą, kad juosta vėl pasirodytų Jūsų kito apsilankymo metu; susiję žingsniai nėra lygiaverčiai pradiniam pasirinkimo mechanizmui.

Atšaukimo poveikis. Nebūtini slapukai iškart nustoja būti nustatomi po atšaukimo. Atšaukimas neturi įtakos prieš atšaukimą vykdyto tvarkymo teisėtumui (BDAR 7 str. 3 d., antrasis sakinys).

Dėl slapukų inventoriaus žr. Slapukų politiką.

10. Slapukai

Mes naudojame slapukus ir panašias sekimo technologijas. Mūsų Slapukų politika nustato: (i) keturias kategorijas (Griežtai būtini, Funkciniai, Analitiniai, Rinkodaros — šiuo metu nenaudojame jokio Funkcinio, jokio Analitinio ir vieną Rinkodaros kategorijos trečiąją šalį tik tada, kai atvykstate per ?via=), (ii) kiekvieną konkretų slapuką ir localStorage / sessionStorage įrašą su jo tiekėju ir trukme, (iii) trečiųjų šalių skriptus, (iv) teisinius pagrindus kiekvienai kategorijai pagal § 25 TDDDG ir BDAR 6 str., ir (v) sutikimo ir atšaukimo mechanizmus.

11. Duomenų saugojimas

Mes saugome asmens duomenis tik tiek, kiek būtina šios politikos tikslams arba kaip reikalauja įstatymas. Pagal BDAR 5 str. 1 d. e) p. taikome kategorijomis pagrįstą saugojimo apribojimo analizę, o ne vieną vienodą laikrodį. Žemiau esančios kategorijos apima visus mūsų tvarkomus asmens duomenis.

Kategorija Saugojimo laikotarpis Teisinis pagrindas
Paskyros ir sutartinių įrodymų duomenys — teisinis vardas, kontaktinis el. paštas, atsiskaitymo tapatybė, užsakymo ir prenumeratos istorija, sutarties pakeitimai, nutraukimo pranešimas, ginčų korespondencija Jūsų paskyros trukmė + 3 kalendoriniai metai po nutraukimo (įtvirtinta metų pabaigoje) 6 str. 1 d. f) p.; § 195 + § 199 Abs. 1 BGB (teisinių reikalavimų pareiškimas, vykdymas, gynyba)
Sąskaitos, mokėjimų įrašai, apskaitos knygos Nuo 6 iki 10 metų, priklausomai nuo dokumento tipo, įtvirtinta kalendorinių metų pabaigoje — 10 metų knygoms, inventoriams ir metinėms ataskaitoms (§ 147 Abs. 1 Nr. 1 AO; § 257 Abs. 1 Nr. 1, Nr. 3 HGB kartu su Abs. 4); 8 metai apskaitos kvitams ir § 14b UStG sąskaitos įrašams (§ 147 Abs. 1 Nr. 4 ir Nr. 4a AO po Bürokratieentlastungsgesetz IV, galioja nuo 2025 m. sausio 1 d.; § 257 Abs. 4 HGB po BEG IV); 6 metai komercinei korespondencijai (§ 147 Abs. 1 Nr. 2 ir Nr. 3 AO; § 257 Abs. 1 Nr. 2 HGB) 6 str. 1 d. c) p.; § 147 AO, § 257 HGB, § 14 UStG
Operacinės nuostatos — pranešimo ir bendravimo nuostatos, UI nustatymai, įrašyti filtrai, skydelio išdėstymai, integracijos žymos, API raktai, įkelti failai Sutartinio santykio trukmė 6 str. 1 d. b) p.
Autentifikavimo ir saugumo audito įvykiai — prisijungimo įrašai, dviejų veiksnių įvykiai, IP auditas, nepavykusių prisijungimų skaitikliai 180 dienų 6 str. 1 d. f) p.; BSI IT-Grundschutz pagrindinė linija
Vidinis patariamasis euristinis rizikos balas (aprašytas § 3 „Saugumas" ir § 8 „Anti-piktnaudžiavimo dažnio ribos ir registracijos botų balas") — vienas patariamasis sveikasis skaičius viename naudotojo įraše Jūsų paskyros trukmė, perskaičiuojamas kiekvieno naujo piktnaudžiavimo signalo metu ir perrašomas vietoje (jokia istorinių balų lentelė nesaugoma); ištrinamas su paskyra paskyros pabaigos anonimizavimo metu pagal „Paskyros ir sutartinių įrodymų duomenys" eilutę aukščiau 6 str. 1 d. f) p. (piktnaudžiavimo gynyba; jokio BDAR 22 str. 1 d. sprendimo nepriimama šio balo pagrindu)
Taikomųjų programų ir prieigos žurnalai — įprastinis srautas, klaidų žurnalai 30 dienų 6 str. 1 d. f) p. (operacinis vientisumas)
Stebėjimo modulių konfigūracijos, kurias kuriate Stebėjimo modulio trukmė 6 str. 1 d. b) p.
Stebėjimo modulio rezultatų duomenys — veikimo laikas, SSL, domenas/WHOIS, greitis, sandoris, RUM agregatai, virusai/kenkėjiška programinė įranga, serverio agento metrikos Iki 13 mėnesių, pagal planą (žr. plano lygio matricą uptimia.com) 6 str. 1 d. b) p.; kliento naudingumo riba
Veikimo laiko HTTP atsako turinys 7 dienos (automatiškai pasibaigia) 6 str. 1 d. b) p. (tik operacinis)
Sandorių ekrano kopijos 30 dienų 6 str. 1 d. f) p.; duomenų minimalizavimas pagal 5 str. 1 d. c) p. (autentifikuotuose ekranuose gali būti matomi asmens duomenys)
Pagalbos korespondencija Pagalbos klausimo trukmė + 3 kalendoriniai metai (įtvirtinta metų pabaigoje) 6 str. 1 d. f) p.; § 195 + § 199 BGB
Slapukų sutikimo įrašai 180 dienų sutikimo įrašui + 12 mėnesių audito žurnalo saugojimas BDAR 7 str. 1 d. (sutikimo įrodymas)
Atsarginės kopijos Slankantis 14 dienų langas 6 str. 1 d. f) p. (atstatymas po nelaimės)

Pasibaigus aukščiau nurodytam laikotarpiui, asmens duomenys ištrinami arba — kai ištrynimas pakenktų audito vientisumui — anonimizuojami taip, kad pakartotinė identifikacija nebūtų protingai įmanoma. Statutinis saugojimas (antroji eilutė aukščiau) viršija ankstesnį ištrynimą pagal BDAR 17 str. 3 d. b) p.

Paskyros ištrynimo elgesys (BDAR 17 str.). Kai ištrinate savo paskyrą per nustatymus ar prašymu adresu privacy@uptimia.com, mokėjimų integracijos, būsenos puslapiai, operatoriai ir aktyvios sesijos pašalinamos nedelsiant; stebėjimo modulių konfigūracijos ir įspėjimų nustatymai patenka į reikalavimų gynybos uodegą, aprašytą pirmoje eilutėje aukščiau; Jūsų kontaktinė ir sutartinių įrodymų tapatybė anonimizuojama ar ištrinama tos uodegos pabaigoje, atsižvelgiant į statutinį saugojimą, reikalaujamą sąskaitoms ir apskaitos knygoms. Atsarginės kopijos sensta pagal slankantį 14 dienų langą: per tą langą duomenys nėra aktyviai tvarkomi ir egzistuoja tik kaip užšaldyta atstatymo po nelaimės momentinė nuotrauka. Trumpo slankančio lango, aktyvaus tvarkymo nebuvimo per tą langą ir žemiau aprašyto pakartotinio ištrynimo atkūrimo metu žingsnio kombinacija atitinka nustatytą priežiūros institucijos praktiką dėl atsarginių kopijų pagal BDAR 17 str. 1 d. / 3 d. Mes palaikome vidinį atsarginių kopijų registrą, dokumentuojantį taikymo sričių sistemas (taikomųjų programų duomenų bazė, laiko eilučių duomenų bazė, AWS S3 Frankfurtas sandorių ekrano kopijoms), rotacijos politiką, saugojimo vietą, prieigos kontroles ir pakartotinio ištrynimo procedūrą. Jei atkursime iš atsarginės kopijos, kuri yra ankstesnė nei ištrynimo prašymas, pradinis ištrynimas iš naujo taikomas atkurtam duomenims per 72 valandas po atkūrimo užbaigimo — ir, kai atkūrimas grąžina sistemą į aktyvų tvarkymą, prieš atkurta sistema atveriama naudotojų srautui — kad ištrinti asmens duomenys nebūtų pakartotinai įvesti į aktyvų tvarkymą. 72 valandų riba yra išorinis audito įsipareigojimas; normalioje eksploatacijoje pakartotinio ištrynimo atkūrimas vykdomas kaip pirmas scenarinis žingsnis po atkūrimo ir užbaigiamas per minutes, ne valandas. Atsarginių kopijų registras kiekvienam produkcijos atkūrimui įrašo (i) atkūrimo užbaigimo laiko žymę, (ii) ištrynimo žurnalo atkūrimo užbaigimo laiko žymę, ir (iii) patvirtinimą, kad joks naudotojo srautas nebuvo įleistas į atkurtą sistemą tarp (i) ir (ii).

Lankytojo duomenys, tvarkomi pagal § 7 (tvarkytojo vaidmuo). Saugojami pagal DPA, paprastai pagal Jūsų kaip duomenų valdytojo nurodymus. Numatytieji atitinka lygiavertę kategoriją aukščiau.

HelpCanvas priglobti pagalbos pokalbiai. HelpCanvas yra JJ Online produktas, veikiantis JJ Online nuosavoje ES infrastruktūroje (§ 5.7) — ne trečiosios šalies platforma — todėl JJ Online yra vienintelis duomenų valdytojas pokalbiui nepriklausomai nuo to, kuriame paviršiuje jis skaitomas ar rašomas. Saugojimas atitinka Pagalbos korespondencija eilutę aukščiau (pagalbos klausimo trukmė + 3 kalendoriniai metai įtvirtinti metų pabaigoje; BDAR 6 str. 1 d. f) p.; § 195 + § 199 BGB). Nėra atskiros „platformos kaip įrašo" saugojimo, į kurią būtų galima atsisakyti.

12. Duomenų saugumas

Mes įgyvendiname tinkamas technines ir organizacines priemones pagal BDAR 32 str., kad apsaugotume Jūsų asmens duomenis nuo neteisėtos prieigos, atskleidimo, pakeitimo ar sunaikinimo. Praktikoje:

  • TLS 1.2+ visoms klientui skirtoms sąsajoms ir visoms pasitelktų duomenų tvarkytojų komunikacijoms
  • Vaidmenimis pagrįsta prieigos kontrolė, ribojanti prieigą prie asmens duomenų personalui, kuriam to reikia; daugiaveiksmis autentifikavimas visam operacijų personalui
  • Rašytinės personalo konfidencialumo pareigos
  • Disko lygmens šifravimas ramybėje taikomųjų programų duomenų bazei ir laiko eilučių duomenų bazei ES infrastruktūroje; šifruotos atsarginės kopijos pagal atskirai valdomą raktą
  • Stulpelio lygmens (vokinis) šifravimas prisijungimo duomenims ir paslaptims, kurias pateikiate, kad Paslauga galėtų veikti Jūsų vardu — žr. dedikuotą pastraipą žemiau; asmeniniai API raktai saugomi tik kaip vienpusės maišos vertės
  • IP adreso sutrumpinimas RUM įvykiams (/24 IPv4, /48 IPv6) prieš saugojimą
  • Per naudotoją loginė izoliacija taikomųjų programų sluoksnyje
  • 72 valandų asmens duomenų pažeidimo pranešimo procesas pagal BDAR 33 str.
  • Periodinis pažeidžiamumo skenavimas, priklausomybių stebėjimas, kodo peržiūra prieš sujungimą

Prisijungimo duomenys ir paslaptys, kuriuos mums patikite. Kai pateikiate prisijungimo duomenis, kad Paslauga galėtų autentifikuotis Jūsų ištekliams Jūsų vardu — pavyzdžiui, HTTP Basic prisijungimo duomenys, pasirinktinės užklausos antraštės (įskaitant nešikliniai raktai ir API raktai), integracijos prisijungimo duomenys įspėjimo kanalams ir sandorio stebėjimo žingsniuose sukonfigūruotos pažodinės reikšmės — šie prisijungimo duomenys laikomi pagal stulpelio lygmens šifravimą papildomai prie disko lygmens šifravimo, kuris taikomas visai duomenų bazei. Šifravimo raktai valdomi atskirai nuo pačios duomenų bazės, todėl operacinis personalas su duomenų bazės prieiga negali skaityti aiškiu tekstu prisijungimo duomenų. Iššifravimas vyksta tik tame taške, kuriame zondų tinklas vykdo patikrą prieš sukonfigūruotą išteklį, o aiškus tekstas laikomas atmintyje tik tos vienos patikros vykdymo trukmę. Asmeniniai API raktai, kuriuos kuriate programinei Paslaugos prieigai, saugomi kaip vienpusės maišos vertės; mes nesaugome aiškaus teksto kopijos po išdavimo — jei prarandate asmeninį API raktą, turite jį pakeisti per skydelį.

Joks interneto perdavimo ar elektroninio saugojimo metodas nėra visiškai saugus. Jei manote, kad Jūsų sąveika su mumis nebėra saugi, susisiekite adresu privacy@uptimia.com.

13. Jūsų teisės

Kaip duomenų valdytojas, įsteigtas Europos Sąjungoje, mums taikomas BDAR pagal 3 str. 1 d. visam mūsų tvarkymui, nepriklausomai nuo to, kur yra duomenų subjektas. Todėl žemiau išvardytos teisės taikomos kiekvienam asmeniui, kurio asmens duomenis tvarkome, ne tik ES/EEE/JK/Šveicarijos gyventojams.

Turite šias teises:

  • Teisė susipažinti su duomenimis (BDAR 15 str.) — prašyti mūsų turimų Jūsų asmens duomenų kopijos
  • Teisė reikalauti ištaisyti duomenis (BDAR 16 str.) — prašyti netikslių ar neišsamių duomenų ištaisymo
  • Teisė reikalauti ištrinti duomenis (BDAR 17 str.) — prašyti ištrynimo, atsižvelgiant į išimtis pagal 17 str. 3 d. (ypač: teisinė prievolė pagal § 147 AO / § 257 HGB sąskaitoms)
  • Teisė apriboti duomenų tvarkymą (BDAR 18 str.)
  • Teisė į duomenų perkeliamumą (BDAR 20 str.) — gauti Jūsų duomenis susistemintu, plačiai naudojamu, kompiuterio skaitomu formatu
  • Teisė nesutikti (BDAR 21 str.) — nesutikti su tvarkymu, pagrįstu mūsų teisėtais interesais, įskaitant profiliavimą; nesutikimas su tiesiogine rinkodara yra besąlyginis
  • Teisė nebūti vienintelio automatizuoto sprendimų priėmimo objektu (BDAR 22 str.) — vienas BDAR 22 str. 1 d. sprendimas egzistuoja apsipirkimo metu (mokėjimo sukčiavimo patikrinimas); pagrindinis tvarkymas remiasi iš esmės BDAR 6 str. 1 d. c) p. (PSD2 SCA + AML/CTF statutine atitiktimi), o BDAR 6 str. 1 d. f) p. apima likutinį prekybininko pusės sukčiavimo prevencijos interesą, o pats BDAR 22 str. 1 d. sprendimas yra įgaliotas pagal BDAR 22 str. 2 d. b) p. įgaliojančios Sąjungos teisės vartus (su BDAR 22 str. 2 d. a) p. traktuojama tik kaip atsarga). Mes teikiame BDAR 22 str. 3 d. apsaugos priemones (žmogaus įsikišimą, požiūrio išreiškimą, užginčijimą, plius „Stripe Radar" atmetimo priežasties ir taisyklės pavadinimo atskleidimą, aprašytą § 8). Visos kitos automatizuotos veiklos § 8 yra profiliavimas be tik automatizuoto reikšmingo poveikio sprendimo. Detalės § 8.
  • Teisė atšaukti sutikimą (BDAR 7 str. 3 d.) — kai remiamės Jūsų sutikimu, atšaukite bet kuriuo metu, neturėdami įtakos ankstesnio tvarkymo teisėtumui
  • Teisė pateikti skundą priežiūros institucijai (BDAR 77 str.) — BDAR 77 str. 1 d. suteikia Jums tris alternatyvius forumus: (i) Jūsų įprastinės gyvenamosios vietos, (ii) Jūsų darbo vietos arba (iii) tariamo pažeidimo vietos priežiūros institucija. Žr. § 15 žemiau dėl kompetentingų institucijų ir EEE priežiūros institucijų katalogo.

Norėdami pasinaudoti bet kuria iš šių teisių, susisiekite adresu privacy@uptimia.com. Pagal BDAR 12 str. 3 d. mes atsakysime per vieną mėnesį nuo užbaigto prašymo gavimo, su galimybe pratęsti iki dviejų papildomų mėnesių sudėtingiems ar gausiems prašymams; kai pratęsiame, mes pranešame Jums apie pratęsimą ir priežastį per pirmą mėnesį, kaip reikalauja BDAR 12 str. 3 d.

Operacinės įvykdymo kryptys.

  • Teisė susipažinti su duomenimis (BDAR 15 str.) ir teisė į duomenų perkeliamumą (BDAR 20 str.) — paskyros duomenų eksportas. Kol savitarna nebus prieinama, eksportas generuojamas ir grąžinamas rankiniu būdu pagal el. laiško prašymą adresu privacy@uptimia.com. Viduje palaikome rašytinę SAR (Subject Access Request) standartinę veikimo procedūrą, kuri taikosi į darbinį pristatymo laiką nuo penkių (5) iki dešimties (10) darbo dienų įprastai paskyrai, gerokai per BDAR 12 str. 3 d. vieno mėnesio statutinę ribą. Eksportas pristatomas kaip vienas ZIP archyvas, kuriame yra susisteminti JSON failai pagal duomenų kategoriją — paskyros profilis, atsiskaitymo istorija, stebėjimo modulių konfigūracijos (prisijungimo duomenys rodomi kaip vienpusės pirštų atspaudai, niekada kaip aiškiu tekstu; žr. § 12), patikros rezultatų santraukos, pagalbos korespondencijos rodyklė, slapukų sutikimo įrašas — per ribotos trukmės atsisiuntimo nuorodą. Savitarna /api/v1/me/export galinis taškas yra produkto kelyje; kol jis nepristatomas, rankinė SOP yra operacinis garantas.
  • Teisė reikalauti ištrinti duomenis (BDAR 17 str.). Paskyros ištrynimas yra savitarnos iš nustatymų puslapio (patvirtintas slaptažodžiu) ir suaktyvina valymo cron procesą, aprašytą § 11; mokesčių ir apskaitos įrašai išlieka pagal § 11 / § 147 AO / § 257 HGB. Kai pageidaujate žmogaus tvarkymo, rašykite adresu privacy@uptimia.com.
  • Teisė reikalauti ištaisyti duomenis (BDAR 16 str.). Daugumą paskyros laukų naudotojas gali redaguoti nustatymų puslapyje; laukams, kurių naudotojas negali redaguoti (pvz., sąskaitos atsiskaitymo vardas jau išduotuose mokesčių dokumentuose), rašykite el. laišką adresu privacy@uptimia.com.
  • Teisė apriboti tvarkymą (BDAR 18 str.) ir teisė nesutikti (BDAR 21 str.). Rašykite el. laišką adresu privacy@uptimia.com, nurodydami tvarkymą, kurį norite apriboti ar kuriam norite prieštarauti. Prieštaravimas tiesioginei rinkodarai tvarkomas gavus be tolesnio pagrindimo (BDAR 21 str. 2 ir 3 d.).
  • Teisė atšaukti sutikimą (BDAR 7 str. 3 d.). Slapukams žr. § 9 (Slapukų nuostatos nuoroda, vienintelis pariteto kelias pagal EDAV gaires 05/2020 § 117). Bet kokiam kitam sutikimu pagrįstam tvarkymui rašykite el. laišką adresu privacy@uptimia.com.

Visi prašymai tvarkomi nemokamai. Kai prašymas yra akivaizdžiai nepagrįstas ar perteklinis, galime imti pagrįstą administracinį mokestį arba atsisakyti veikti pagal BDAR 12 str. 5 d.

Tapatybės patvirtinimas. Mūsų tapatybės patvirtinimo metodas yra proporcingas prašymui, kaip reikalauja BDAR 12 str. 6 d. ir EDAV gairės 01/2022 dėl duomenų subjekto teisių — teisės susipažinti (§ 64 ir tolesni). Įprastame atvejyje mes patvirtiname tapatybę sutapdami Jūsų prašymo siuntėjo adresą su el. pašto adresu Jūsų Uptimia paskyros įraše, ir, veiksmams, atliekamiems iš taikomosios programos vidaus, remdamiesi Jūsų autentifikuota sesija (slaptažodis + 2FA, jei ją įjungėte). Kai šio sutapimo pakanka pagrįstai abejonei pašalinti, neprašome papildomos informacijos — prašant ID dokumentų kiekvienu įprastu prašymu pats būtų pažeidimas duomenų minimalizavimo principui pagal BDAR 5 str. 1 d. c) p. Kai turime konkrečią pagrįstą abejonę pagal BDAR 12 str. 6 d. — pavyzdžiui, kai prašymas atvyksta iš adreso, kuris nėra įraše, kai paskyra neseniai pakeitė rankas ar jos kontaktinis el. paštas buvo atnaujintas, kai prašymas susijęs su jautriomis kategorijomis, tokiomis kaip autentifikavimo žurnalai ar mokėjimo sukčiavimo signalai, arba kai prašomas veiksmas yra negrąžinamas (pilnas duomenų eksportas, paskyros ištrynimas) — mes galime taikyti vieną ar daugiau proporcingų papildomų patikrinimų: patvirtinimą iš registruoto el. pašto adreso, veiksmo užbaigimą iš autentifikuoto skydelio arba vienkartinį kodą, pristatomą per Jūsų sukonfigūruotą 2FA kanalą. Mes neprašome valstybės išduoto ID, tapatybės dokumentų kopijų ar „selfie" patvirtinimo — šios priemonės būtų neproporcingos B2B stebėjimo produktui, kurio paskyros susiejimas yra su el. pašto adresu, o ne su realiu pasaulio identifikatoriumi, ir jos nesuderinamos su EDAV gairių 01/2022 § 73 atsargumu prieš įprastinį ID dokumentų rinkimą. Jei po proporcingų patikrinimų lieka pagrįsta abejonė dėl Jūsų tapatybės, mes, pagal BDAR 12 str. 6 d., paprašysime minimalios papildomos informacijos, griežtai būtinos tai abejonei išsklaidyti, ir tiksliai pasakysime, ko prašome ir kodėl.

14. Vaikų privatumas

Paslauga nėra skirta vaikams iki 16 metų amžiaus, ir mes sąmoningai nerenkame asmens duomenų iš vaikų iki 16 metų. Jei sužinosime, kad surinkome asmens duomenis iš vaiko iki 16 metų be patikrinto tėvų sutikimo, juos ištrinsime kuo greičiau.

Mes taikome 16 metų kaip mūsų pasaulinę ribą sutikimu pagrįstam tvarkymui, nepaisant bet kokio žemesnio nacionalinio slenksčio pagal BDAR 8 str. 1 d. — ir mes žinome, kad kelios valstybės narės įgyvendino BDAR 8 str. 1 d. Wahlrecht žemyn, įskaitant Ispaniją 14, Prancūziją 15 ir Italiją 14. „16 pasauliniu mastu" riba todėl yra sąmoningas, savo paskirtas standartas, kuris yra labiau apsaugantis nei žemiausi taikytini nacionaliniai slenksčiai šiose rinkose, ir mes priimame, kad politiškai esame audituojami pagal jį: jei kada nors pradėtume tiesiogiai taikyti vieną iš šių žemesnio slenksčio rinkų, mes ir toliau taikytume 16 ribą, o ne leistumės iki nacionalinio minimumo, o bet koks šios pozicijos pakeitimas pats būtų esminis šios Politikos pakeitimas, atskleistas pagal § 17. Mūsų patvirtinimo metodas yra proporcingas paslaugai, kuri nėra skirta vaikams, BDAR 8 str. 2 d. numatyta prasme. Registracijos metu nerenkame gimimo datos — Uptimia yra verslo-verslui stebėjimo produktas, registracijos paviršius yra orientuotas į techninius administratorius (serverių pavadinimai, stebėjimo modulių URL, įspėjimo kanalai), o klausti kiekvieno paskyros savininko gimimo datos pats sukurtų duomenų minimalizavimo problemą, neproporcingą rizikai. Vietoj to remiamės kombinacija: (i) Paslauga nėra skirta vaikams, nereklamuojama vaikams ar suprojektuota vaikams; (ii) paskyros savininkai save identifikuoja kaip profesionalūs naudotojai pačiu stebėjimo modulių konfigūravimu, mokamų prenumeratų priėmimu ar Paslaugų teikimo sąlygų pasirašymu; (iii) kai, pagal paskyros ar pagalbos sąveikos veidą, turime pagrįstą abejonę, kad paskyros savininkas yra jaunesnis nei 16 metų — pavyzdžiui, pagalbos korespondencija, kuri afirmatyviai rodo, kad paskyrą valdo nepilnametis — mes prašome paskyros savininko raštu patvirtinti, kad jam yra 16 ar daugiau metų, ir ištriname paskyrą, jei patvirtinimas neateina. Tai yra „paslauga, neskirta vaikams, su pagrįstai abejojamo ištrynimu" modelis, kurį BDAR 8 str. 2 d. proporcingumo kalba numato B2B paslaugoms.

Kai diegiate mūsų RUM skriptą svetainėje, kuri yra skirta vaikams, tai yra Jūsų pačių sprendimas pagal BDAR 8 str. ir Jūsų pačių duomenų valdytojo atsakomybė.

Tėvai ar globėjai, kurie mano, kad vaikas pateikė asmens duomenis, gali susisiekti adresu privacy@uptimia.com dėl nedelsiamo ištrynimo.

15. Taikytini režimai, vadovaujanti priežiūros institucija ir tarpvalstybiniai duomenų perdavimai

Taikytini režimai

  • ES BDAR. Kaip duomenų valdytojas, įsteigtas Vokietijoje, Reglamentas (ES) 2016/679 taikomas pagal 3 str. 1 d. visam mūsų tvarkymui, nepriklausomai nuo to, kur yra duomenų subjektas.
  • UK GDPR. Mes nenukreipiame savo Paslaugos į duomenų subjektus Jungtinėje Karalystėje. EDAV gairių 3/2018 § 2.1 / § 2.2 teritorinės taikymo srities analizė remiasi kumuliaciniu skaitymu įvardytų žymeklių — valiuta, aukščiausio lygio domenas, kalba kaip šalies signalas, vietos klientų paminėjimas, šalies specifinės rinkodaros kampanijos, dedikuotas vietinis telefonas ar adresas, pristatymo sąlygos — ir išvada pasiekiama tiriant žymeklius kartu, o ne atskirai. Pagal kumuliacinį skaitymą nė vienas iš jų nerodo Jungtinę Karalystę: mūsų kainos pateikiamos EUR (ir, kur taikoma, USD), ne GBP; mūsų domenas yra uptimia.com be .co.uk paviršiaus; mes nepublikuojame jokių JK nukreiptų puslapių, jokių JK atvejo studijų, jokių JK gyventojų klientų atsiliepimų, jokių JK specifinių rinkodaros kampanijų ir jokios JK geo nukreiptos reklamos; mes nevykdome jokio JK kalbos SEO ar JK nukreipto turinio kūrimo; o Svetainė publikuojama anglų kalba, nes anglų kalba yra mūsų dokumentacijos ir produkto kontroliuojanti kalba (anglų kalba, pagal gairių 3/2018 analizę, nėra šalies signalas, jei ji nesujungta su jokiu kitu aukščiau nurodytu žymekliu). Pagal šiuos faktus mes laikome UK GDPR 3 str. 2 d. a) p. neįjungtu: JK duomenų subjektai, kurie registruojasi Paslaugai, tai daro pasiekdami uptimia.com per organines anglų kalbos paieškas, o ne todėl, kad mes pasiūlėme jiems Paslaugą Jungtinėje Karalystėje UK GDPR 3 str. 2 d. a) p. prasme. Mes taip pat „nestebime JK duomenų subjektų elgesio" UK GDPR 3 str. 2 d. b) p. prasme — RUM skriptas, kurį duomenų valdytojas diegia, veikia duomenų valdytojo nuosavų lankytojų atžvilgiu duomenų valdytojo nuosavose svetainėse ir yra tvarkomas pagal duomenų valdytojo nurodymus, o ne mūsų nukreiptas į jokią JK populiaciją. Jei UK GDPR 3 str. 2 d. vis dėlto būtų laikoma taikoma atsitiktinėms JK registracijoms, mūsų tvarkymas taip pat atitinka UK GDPR 27 str. 2 d. a) p. išimtį kaip atsitiktinis (jokių struktūruotų JK operacijų, jokios JK įsigijimo veiklos, jokios JK klientų sėkmės judėjimo) ir mažos rizikos (jokių specialių kategorijų duomenų, jokio plataus masto profiliavimo, jokio plataus masto JK duomenų subjektų stebėjimo). Mes peržiūrėsime šią poziciją ir paskirsime JK atstovą, jei pradėsime taikyti Jungtinėje Karalystėje — pavyzdžiui, pridėdami GBP kainas, .co.uk domeną ar pakatalogį, JK atvejo studijas ar atsiliepimus, JK specifinius nukreiptus puslapius ar palyginimo puslapius, JK geo nukreiptą mokamą įsigijimą ar JK kalbos turinio kūrimą. JK duomenų subjektai, kurie sąveikauja su Paslauga, išlaiko savo statutinę teisę pateikti skundą Information Commissioner's Office (ICO) adresu https://ico.org.uk pagal UK GDPR 77 str.; mes bendradarbiausime su bet kokia ICO užklausa pagal jos esmę, nepaisant mūsų teritorinės taikymo srities pozicijos.
  • Kitos jurisdikcijos (CCPA / CPRA, LGPD, PIPL ir panašūs eksteritoriniai režimai). Mes šiuo metu netvarkome Kalifornijos vartotojų, Brazilijos duomenų subjektų, Kinijos duomenų subjektų ar kitų ne EEE / ne JK / ne Šveicarijos duomenų subjektų asmens duomenų tokiu mastu ar konfigūracija, kurie suaktyvintų California Consumer Privacy Act (su pakeitimais, padarytais California Privacy Rights Act), Brazilijos Lei Geral de Proteção de Dados (LGPD), Kinijos Personal Information Protection Law (PIPL) ar panašių ne ES privatumo režimų eksteritorinio taikymo slenksčius. Konkrečiai mes esame žemiau JAV pajamų ir Kalifornijos vartotojų slenksčių CCPA / CPRA taikymui pagal Cal. Civ. Code § 1798.140(d). Mes stebime savo poziciją pagal kiekvieną iš šių režimų, kai mūsų klientų bazė vystosi, ir atnaujinsime šią Politiką bei paskirsime vietinius atstovus ar paskirtus agentus (pvz., JAV patvirtinto prašymo agentą pagal § 999.312 CCPA Regulations; encarregado (DPO) pagal LGPD 41 str. — pažymint, kad pati LGPD neturi BDAR 27 str. atitikmens, ir bet kokia vietinio atstovavimo pareiga Brazilijoje atsirastų atskirai pagal Brazilijos korporacinę teisę (ypač Brazilijos civilinio kodekso 1.134 str. ir Įstatymo 6.404/1976 146 § 2 str.), o ne pagal pačią LGPD; PIPL vietinį atstovą pagal PIPL 53 str.), jei ir kada slenksčiai peržengiami.
  • Šveicarijos FADP. Taikoma pagal FADP 3 str. 1 d., kai mūsų veiklos turi poveikį Šveicarijoje. Nukreipimo analizė čia atspindi tą pačią kumuliacinio skaitymo discipliną, taikomą aukščiau JK: klausimas yra, ar įvardyti šalies žymeklių veiksniai, paimti kartu, rodo Šveicariją — o ne ar kiekvienas atskiras veiksnys gali būti pašalintas savaime. Pagal kumuliacinį skaitymą nė vienas iš jų to nedaro: mes nevaldome .ch domeno, jokių CHF kainų, jokių Šveicarijos nukreiptų puslapių ir jokios Šveicarijos nukreiptos kampanijos; o Svetainė publikuojama anglų kalba, ne kaip Šveicarijos šalies signalas, o kaip mūsų kontroliuojanti dokumentacijos kalba. FADP 14 str. 1 d. reikalauja, kad privatus duomenų valdytojas, esantis užsienyje, paskirtų atstovą Šveicarijoje, kai jis tvarko asmenų Šveicarijoje asmens duomenis ir tvarkymas kumuliaciniu būdu atitinka keturias sąlygas: (a) tvarkymas yra susijęs su prekių ar paslaugų teikimu arba šių asmenų elgesio stebėjimu; (b) jis yra didelio masto; (c) jis yra reguliarus; ir (d) jis kelia didelę riziką duomenų subjektų asmenybei (hohes Risiko für die Persönlichkeit der betroffenen Personen). Slenkstis pagal mūsų faktus neįvykdomas: Šveicarijos duomenų subjektai, kurie registruojasi Paslaugai, pasiekia uptimia.com per organines anglų kalbos paieškas, atsitiktinai mūsų ES operacijoms, ne per Šveicarijos pasiūlymą iš mūsų — taigi (a) sąlyga neįjungta — ir apimtis nėra nei didelio masto pagal (b) sąlygą, nei reguliari pagal (c) sąlygą, kaip šie terminai suprantami FDPIC gairėse; mes taip pat nelaikome (d) sąlygos atitiktais, nes Paslauga, pagal mūsų tipinio Šveicarijos atsitiktinio tvarkymo faktus, nekelia didelės rizikos duomenų subjektų asmenybei. Bet kurios vienos iš keturių kumuliacinių sąlygų nesilaikymas pakanka pats savaime; pagal mūsų faktus (a)–(d) sąlygos savarankiškai nesilaiko. (Atkreipkite dėmesį, kad didelė rizika yra tiek FADP 14 str. 1 d. d) p. atstovo paskyrimo sąlyga aukščiau, tiek, atskirai, Duomenų apsaugos poveikio vertinimo pagal FADP 22 str. suaktyvinimas — tai nepriklausomos pareigos, pritvirtintos prie to paties faktinio elemento, ir mes FADP 22 str. DPIA analizę traktuojame atskirai.) Mes peržiūrėsime ir paskirsime Šveicarijos atstovą, jei pradėsime taikyti Šveicarijoje (.ch paviršius, CHF kainos, Šveicarijos atvejo studijos, Šveicarijos nukreipta reklama) arba jei mūsų Šveicarijos tvarkymas taps didelio masto ir reguliariu.

Vadovaujanti priežiūros institucija

Mūsų vadovaujanti priežiūros institucija pagal BDAR vieno langelio mechanizmą yra Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI):

Alt-Moabit 59-61 10555 Berlynas, Vokietija Svetainė: https://www.datenschutz-berlin.de

EEE gyventojai gali pateikti skundą, savo nuožiūra pagal BDAR 77 str. 1 d., (i) jų įprastinės gyvenamosios vietos, (ii) jų darbo vietos arba (iii) tariamo pažeidimo vietos priežiūros institucijai — arba tiesiogiai BlnBDI kaip vadovaujančiai institucijai. EEE priežiūros institucijų katalogas yra adresu https://edpb.europa.eu. JK gyventojai gali pateikti skundą Information Commissioner's Office (ICO) adresu ico.org.uk pagal UK GDPR 77 str. Šveicarijos gyventojai gali pranešti Federal Data Protection and Information Commissioner (FDPIC / EDÖB) adresu edoeb.admin.ch pagal FADP 49 str. Lietuvoje gyvenantis duomenų subjektas pagal BDAR 77 str. taip pat turi teisę pateikti skundą savo gyvenamosios vietos priežiūros institucijai — Valstybinei duomenų apsaugos inspekcijai (VDAI), kuri kaip susijusi institucija perduoda skundą vadovaujančiai institucijai pagal bendradarbiavimo (vieno langelio) mechanizmą (BDAR 56 ir 60 str.).

Teisėtų interesų vertinimo santrauka

Kiekvienam tikslui, grindžiamam BDAR 6 str. 1 d. f) p.:

  • Paskyros saugumo signalai (Jūsų registracijos IP, Jūsų paskutinio prisijungimo IP, Jūsų nepavykusių prisijungimų skaitiklis, Jūsų dviejų veiksnių autentifikavimo audito žurnalas ir vidinis euristinis rizikos balas) — mūsų interesas apsaugoti Jūsų paskyrą nuo kredencialų užpildymo, brutalios jėgos atakų ir registracijos piktnaudžiavimo, sveriamas su ribotu ir su paskyra susietu signalų pobūdžiu; duomenų subjekto interesai apsaugomi prieigos kontrolėmis ir faktu, kad duomenys yra susieti su sutartiniu santykiu.
  • Paslaugos gerinimas ir zondų tinklo operacijos — tik pseudonimintas ar agreguotas tvarkymas; jokio individualaus profiliavimo.
  • Agreguotas serverio pusės matavimo kokybės stebėjimas — jokios individualios identifikacijos.
  • Produkto atnaujinimo pranešimai esamiems paskyros savininkams (§ 7 Abs. 3 UWG Bestandskundenwerbung) — mūsų išlaikymo interesas informuoti mokančius klientus apie produkto pakeitimus, paveikiančius tai, ką jie nusipirko, sveriamas su rinkodaros naštos primetimu gavėjui. Atitiktis keturioms kumuliacinėms § 7 Abs. 3 UWG sąlygoms traktuojama kaip pagrindinė apsauga: (i) adresas surinktas mūsų prekių ar paslaugų pardavimo kontekste; (ii) turinys apribotas tiesiogine mūsų pačių panašių produktų ir paslaugų rinkodara; (iii) gavėjas neprieštaravo; ir (iv) gavėjas buvo aiškiai ir akivaizdžiai informuotas (klar und deutlich) apie teisę prieštarauti tiek surinkimo metu, tiek kiekviename paskesniame pranešime, be jokių išlaidų, viršijančių pagrindinius perdavimo tarifus (Basistarif). Prieštaravimas pagal BDAR 21 str. yra besąlyginis ir tvarkomas gavus be tolesnio pagrindimo.
  • Atsakymai į ne klientų užklausas — atsakymai į įeinamąsias užklausas iš lankytojų, kurie su mumis susisiekia (pardavimo klausimai, partnerystės prašymai, pagalbos klausimai už aktyvios paskyros ribų), grindžiami pagrįstu lūkesčiu, kad atsakysime į adresą, kuriuo jie mums parašė.

Pilnas LIA bet kuriai iš šių veiklų prieinamas pagal prašymą adresu privacy@uptimia.com.

Automatizuotas sprendimų priėmimas (BDAR 22 str.)

Vienas automatizuotas sprendimas pagal BDAR 22 str. 1 d. veikia mokėjimo sukčiavimo patikrinimo metu apsipirkimo metu, aprašytas § 8. BDAR 22 str. 2 d. vartai, kuriais remiamės, yra iš esmės BDAR 22 str. 2 d. b) p. — PSD2 SCA sistema (Direktyva (ES) 2015/2366 kartu su Komisijos deleguotuoju reglamentu (ES) 2018/389) ir AML/CTF sistema, cituojama § 8, sudaro įgaliojančią Sąjungos teisę, kuri reikalauja pačių sandorių stebėjimo sprendimų, atliekamų apsipirkimo metu, ir kuri pati nustato tinkamas duomenų subjekto apsaugos priemones; BDAR 22 str. 2 d. a) p. (sutarties būtinybė) įjungta tik kaip atsarga, nuosekliai su EDAV siauru „būtina sutarčiai" skaitymu. Mes pilnai teikiame BDAR 22 str. 3 d. apsaugos priemones: prasminga teisė į žmogaus įsikišimą per mokėjimo tvarkytojo rankinio peržiūros komandą ir per mūsų atsiskaitymo operaciją, teisė išreikšti savo požiūrį, teisė užginčyti rezultatą ir — pridėta 2026-05-27 — atskleidimas pagal BDAR 22 str. 3 d. prašymą konkretaus atmetimo priežasties kodo ir, kai taikoma, „Stripe Radar" taisyklės pavadinimo (žr. § 8 ketvirtą BDAR 22 str. 3 d. ženklą). Kontaktas bet kokiam tokiam prašymui yra privacy@uptimia.com; mes atsakome per BDAR 12 str. 3 d. terminą. Vidinis euristinis balas Jūsų naudotojo įraše, aprašytas § 8, yra patariama įvestis žmogaus peržiūrai, ne automatizuotas sprendimas.

Asmens duomenų pažeidimo pranešimas (BDAR 33–34 str.)

Asmens duomenų pažeidimo, kuris greičiausiai sukels riziką Jūsų teisėms ir laisvėms, atveju mes pranešime BlnBDI be nepagrįsto delsimo ir, kai įmanoma, per 72 valandas nuo sužinojimo apie pažeidimą (BDAR 33 str.). Kai pažeidimas greičiausiai sukels didelę riziką, mes taip pat pranešime paveiktiems naudotojams be nepagrįsto delsimo pagal BDAR 34 str.

Pranešimo mechanizmas. Tiesioginis el. laiškas į Jūsų paskyroje užregistruotą adresą, su tema, identifikuojančia pranešimą kaip BDAR 34 str. asmens duomenų pažeidimo pranešimą. Mes papildomai rodome programos vidaus pranešimą autentifikuotame skydelyje per Jūsų kitą sesiją. Kai tiesioginis pranešimas pareikalautų neproporcingų pastangų pagal BDAR 34 str. 3 d. c) p., mes pateikiame viešą komunikaciją Svetainėje.

Tarptautiniai duomenų perdavimai

Mes perduodame asmens duomenis gavėjams už EEE ribų tik kaip dalis įprasto trečiųjų šalių paslaugų, išvardytų § 5 ir § 7, veikimo. Įtraukti šie ne EEE paskirties taškai:

Paskirtis Gavėjas(-ai) Mechanizmas
JAV Stripe, Inc. (Stripe pasitelktas tvarkymas); PayPal, Inc. (PayPal pasitelktas tvarkymas); Amazon Web Services, Inc. (SES ne ES gavėjams, zondų tinklas ne ES regionams); DigitalOcean, LLC (zondų tinklas); Akamai Technologies, Inc. (zondų tinklas); Vultr Holdings, LLC (zondų tinklas); Contabo GmbH (zondų tinklas — JAV esantys zondų regionai; sutartinis subjektas yra Contabo GmbH Miunchene, tvarkymas fiziškai vyksta Contabo JAV infrastruktūroje); Okta, Inc. (Auth0 pasitelktas tvarkymas); GitHub, Inc. (Auth0 socialinis ryšys); Google LLC (Web Risk, PageSpeed pasitelktas tvarkymas; Auth0 socialinis ryšys); Mattermost, Inc. (įspėjimai, jei sukonfigūruoti); PagerDuty, Inc. (įspėjimai, jei sukonfigūruoti); Microsoft Corporation (Teams įspėjimų pasitelktas tvarkymas, jei sukonfigūruoti); Slack Technologies, LLC (Salesforce grupė) (Slack įspėjimų pasitelktas tvarkymas, jei sukonfigūruoti); Discord, Inc. (Discord įspėjimų pasitelktas tvarkymas, jei sukonfigūruoti); X Corp. (X įspėjimai, jei sukonfigūruoti); Twilio, Inc. (SMS pasitelktas tvarkymas); Meta Platforms, Inc. (WhatsApp Cloud pasitelktas tvarkymas) EU–US Data Privacy Framework (Įgyvendinimo sprendimas (ES) 2023/1795), kai gavėjas turi DPF sertifikatą, su SCC (Įgyvendinimo sprendimas (ES) 2021/914), palaikomu kaip automatinė atsarga. Vultr neturi DPF sertifikato — SCC + pereinamojo tvarkymo savybė zondų sluoksnyje (žr. § 5.3) yra papildomos priemonės, kuriomis remiamasi. Contabo sudarytas per ES subjektą (Contabo GmbH, Miunchenas), todėl SCC analizė taikoma fizinio tvarkymo daliai ne ES Contabo regionuose; ta pati pereinamojo tvarkymo savybė zondų sluoksnyje (DPA B.6 priedas) yra papildoma priemonė, kuria remiamasi ne ES Contabo regionams. X Corp. šiuo metu neturi DPF sertifikato — SCC + papildomos priemonės; aktyvuojama tik tada, kai sukonfigūruojate X kaip įspėjimo kanalą.
JAE Telegram FZ-LLC (įspėjimai, tik jei sukonfigūruojate Telegram) Nėra tinkamumo sprendimo JAE atveju, o Telegram FZ-LLC nesiūlo jokio standartinio BDAR 46 str. perdavimo mechanizmo (nepaskelbtas SCC pasiūlymas, joks DPA šablonas, jokie perdavimo poveikio dokumentai). Todėl mes, kaip duomenų valdytojas, inicijuojantis perdavimą, kai įspėjimas išsiunčiamas, remiamės BDAR 49 str. 1 d. b) p. išimtimi — perdavimas yra būtinas sutarties tarp Jūsų (paskyros savininko kaip duomenų subjekto) ir Uptimia vykdymui: sukonfigūravę Telegram kaip pasirinktą įspėjimo pristatymo kanalą įspėjimo kanalų nustatymuose, Jūs padarėte įspėjimo pristatymą į Jūsų Telegram pokalbį objektyviai būtina sutartos stebėjimo paslaugos dalimi. BDAR 49 str. 1 d. b) p. pagrindas apima paskyros savininko nuosavus asmens duomenis (Jūsų Telegram naudotojo ID, Jūsų pateiktą boto kanalo ID, įspėjimo pranešimą, adresuotą Jums). Kai nukreiptumėte įspėjimus į Telegram grupę ar kanalą, kuriame yra gavėjų, kurie nėra Jūsų Uptimia sutarties šalys, šie gavėjai yra už BDAR 49 str. 1 d. b) p. pagrindo apimties ribų — prašome naudoti savo nuosavą duomenų valdytojo–duomenų valdytojo susitarimą (pvz., gauti BDAR 49 str. 1 d. a) p. aiškiai išreikštą sutikimą iš tų gavėjų prieš juos pridedant arba nukreipti įspėjimą per tarpininką, su kuriuo jie turi nustatytą santykį), ir nesiremti Uptimia BDAR 49 str. 1 d. b) p. apimtimi šiai daliai. Papildomos priemonės, kurias taikome iš savo pusės, yra šifravimas perdavime (HTTPS į Telegram Bot API), pranešimo minimalizavimas (įspėjimo įvykyje yra tik incidento metaduomenys — stebėjimo modulio pavadinimas, būsenos pakeitimas, laiko žymė; mes neperduodame Jūsų lankytojų galutinių naudotojų asmens duomenų), ir kanalas yra pasirinktinis (konfigūruojamas įjungtas, konfigūruojamas išjungtas). Nuosekliai su EDAV gairėmis 2/2018 dėl 49 straipsnio išimčių § III, mes traktuojame BDAR 49 str. 1 d. b) p. rėmimąsi kaip atsitiktinį ir būtiną: tai įjungiama tik paskyrose, kurios afirmatyviai sukonfigūravo Telegram, perduoti duomenys minimalizuojami iki to, kas griežtai reikalinga įspėjimui pristatyti, ir mes peržiūrėsime pagrindą, jei Telegram įspėjimai taps struktūriškai pasikartojančiu srautu konkrečiai paskyrai už to, kas reikalinga Jūsų sutartiai vykdyti, ribų. Rekomenduojama tik operacijų komandos paging; nesinaudokite Telegram įspėjimo pranešimuose galutinių naudotojų asmens duomenimis.
Australija (su tolesniu tvarkymu JAV) Atlassian Pty Ltd (Statuspage įspėjimai ir viešieji būsenos puslapiai, tik jei sukonfigūruojate Statuspage kaip įspėjimo kanalą ar būsenos puslapio paviršių) Nėra tinkamumo sprendimo Australijai. Statuspage eksploatuoja Atlassian JAV infrastruktūroje (AWS), todėl perdavimas į JAV atsiranda lygiagrečiai su perdavimu sutartinei šaliai Australijoje. Mes remiamės Atlassian paskelbtu duomenų tvarkymo priedu ir ES SCC (Įgyvendinimo sprendimas (ES) 2021/914), apimančiu Australijos duomenų valdytojo ir JAV pasitelkto duomenų tvarkytojo srautus, kartu su Atlassian pasitelktų duomenų tvarkytojų sąrašu (kurį stebime kiekvieno politikos peržiūros metu) tolesnės grandinės atveju. Papildomos priemonės: TLS 1.2+ kiekvienam išeinamajam įspėjimui / būsenos puslapio įvykiui, įspėjimo/būsenos pranešimo minimalizavimas iki incidento metaduomenų (įspėjimas ar būsenos žinutė yra incidento būsena, laikas ir santrauka; jokie galutinių naudotojų asmens duomenys nereikalingi Statuspage įvykyje), ir kanalas / būsenos puslapio paviršius aktyvuojamas tik pagal Jūsų konfigūraciją. Jūs prisiimate duomenų valdytojo pusės rizikos vertinimą už Statuspage pasirinkimą kaip įspėjimo kanalą ar viešąjį būsenos paviršių.

Lygiagrečiam UK GDPR režimui taikome JK Tarptautinio duomenų perdavimo susitarimą ir JK priedą prie ES SCC (ICO 2022 m. kovas) atsitiktiniams JK klientams. Šveicarijos FADP režimui taikome FDPIC patvirtintus ES SCC su Šveicarijos specifiniu priedu.

Per gavėjo Perdavimo poveikio vertinimas palaikomas faile kiekvienam JAV gavėjui ir Atlassian (Australija + JAV tolesnis) eilutei. Kopijos prieinamos adresu privacy@uptimia.com. Telegram (JAE) eilutė neremiasi BDAR 46 str. — vietoj to ji remiasi BDAR 49 str. 1 d. b) p. išimtimi, su operacine apimtimi, nustatyta lentelėje aukščiau. BDAR 49 str. rėmimasis įrašytas į BDAR 30 str. 1 d. e) p. įrašą mūsų duomenų tvarkymo veiklos įrašuose (per paskyrą, nes pagrindas įjungtas tik paskyrose, kurios afirmatyviai sukonfigūravo kanalą), o ne perdavimo mechanizmo TIA, kuris yra EDAV gairių 2/2018 formatas BDAR 49 str. rėmimuisi.

DPF būsenos versijų datavimas. Kiekvieno JAV gavėjo, identifikuoto aukščiau, DPF sertifikavimo būsena patikrinama šios Politikos viršuje esančia Paskutinį kartą atnaujinta: data. DPF sertifikatai gali būti suteikti, sustabdyti ar atimti tarp politikos peržiūrų — X Corp., pavyzdžiui, aktyviame sąraše atsirado ir dingo daugiau nei vieną kartą nuo to laiko, kai sistema įsigaliojo pagal Įgyvendinimo sprendimą (ES) 2023/1795. Mes iš naujo patikriname DPF sąrašą kiekvienoje politikos peržiūroje; tarpe SCC (Įgyvendinimo sprendimas (ES) 2021/914) palaikomi kaip automatinė atsarga kiekvienam JAV gavėjui, nepriklausomai nuo dabartinės DPF būsenos, kad joks perdavimas niekada nepriklausytų vien nuo būsenos, kurios mes ką tik nepatikrinome. Pasirinktas SCC modulis per gavėją, papildomos priemonės ir per gavėjo Perdavimo poveikio vertinimo kopijos versijuojamos vidiniu būdu ir perduodamos iš naujo, kai pasikeičia pagrindiniai faktai.

DPF ginčų sprendimo mechanizmai — Jūsų teisės prieš gavėją. Gavėjai, sertifikuoti pagal EU–US Data Privacy Framework, sertifikavimo sąlyga įpareigoti laikytis DPF principų, teikti nepriklausomą atgręžimo mechanizmą be jokių išlaidų duomenų subjektui (kiekviena sertifikuota organizacija paskiria vieną — paprastai TRUSTe, BBB EU Privacy Shield, JAMS, AAA-ICDR, ES duomenų apsaugos institucijų komisiją HR duomenims arba kitą patvirtintą tiekėją) ir, kaip privaloma paskutinio atvejo galimybė, dalyvauti privalomame arbitraže prieš DPF komisiją pagal DPF principų I priedą. Jie yra JAV Federalinės prekybos komisijos (arba, tam tikriems sektoriams, JAV Transporto departamento) tyrimų ir vykdymo galių objektas ir JAV Komercijos departamento priežiūros. Jūs galite tiesiogiai prieš sertifikuotą gavėją taikyti šiuos kelius, jei manote, kad tas gavėjas pažeidė savo DPF įsipareigojimus Jūsų asmens duomenų atžvilgiu — paprastai pirma pateikiant skundą gavėjui, tada eskaluojant į nepriklausomą atgręžimo mechanizmą, paskirtą gavėjo DPF sertifikavimo įraše adresu https://www.dataprivacyframework.gov, ir galiausiai perduodant reikalą FTC arba pasinaudojant DPF komisijos arbitražu. Gavėjas yra įpareigotas identifikuoti taikytiną nepriklausomą atgręžimo mechanizmą savo pranešime apie privatumą ir savo DPF sertifikavimo įraše dataprivacyframework.gov; rekomenduojame konsultuotis gavėjo sertifikavimo įrašu dėl dabartinio paskyrimo. Niekas šioje pastraipoje neišstumia Jūsų teisės pateikti skundą Jūsų kompetentingai ES/EEE priežiūros institucijai pagal BDAR 77 str. arba pasinaudoti teisminėmis priemonėmis pagal BDAR 78–79 str. — šios priemonės lieka prieinamos lygiagrečiai su DPF keliais.

Duomenų apsaugos pareigūnas

Mes įvertinome kriterijus pagal BDAR 37 str. 1 d. ir § 38 Abs. 1 BDSG. § 38 Abs. 1 BDSG reikalauja DPO paskyrimo trimis nepriklausomais pagrindais: (a) darbuotojų skaičiaus pagrindas — 20 ar daugiau asmenų, nuolat užimtų automatizuotu asmens duomenų tvarkymu (slenkstis pakeltas nuo 10 iki 20 pagal 2. DSAnpUG-EU 2019 m. lapkričio 20 d., galioja nuo 2019 m. lapkričio 26 d.); (b) DPIA pagrindas — tvarkymas, kuriam taikomas duomenų apsaugos poveikio vertinimas pagal BDAR 35 str., nepriklausomai nuo darbuotojų skaičiaus; ir (c) komercinio perdavimo ar tyrimo pagrindas — komercinis asmens duomenų tvarkymas perdavimo, anonimizuoto perdavimo arba rinkos ar nuomonės tyrimo tikslu, vėl nepriklausomai nuo darbuotojų skaičiaus. Mes neatitinkame nė vieno iš trijų pagrindų. Dėl (a) mes neatitinkame 20 asmenų slenksčio. Dėl (b) mūsų tvarkymui DPIA netaikomas: jis nepasirodo BlnBDI BDAR 35 str. 4 d. tvarkymo operacijų, reikalaujančių DPIA, sąraše, o mūsų pačių BDAR 35 str. 1 d. savęs vertinimas — maža B2B stebėjimo paslauga, jokių specialių kategorijų duomenų kaip pagrindinės veiklos, jokio plataus masto sistemingo fizinių asmenų privataus gyvenimo stebėjimo, jokio automatizuoto sprendimo su teisinėmis ar panašiai reikšmingomis pasekmėmis už siauro mokėjimo sukčiavimo srauto ribų, aprašyto § 8 (kuris pats yra įgaliotas pagal BDAR 22 str. 2 d. b) p. įgaliojančios Sąjungos teisės vartus, su BDAR 22 str. 2 d. a) p. kaip atsarga) — daro išvadą, kad jokia atskira tvarkymo operacija nepasiekia BDAR 35 str. 1 d. „greičiausiai sukels didelę riziką" suaktyvinimo. Dėl (c) mes komercialiai netvarkome asmens duomenų perdavimo trečiosioms šalims, anonimizuoto perdavimo arba rinkos ar nuomonės tyrimo tikslu; Paslauga yra mokamas stebėjimo įrankis, ne duomenų brokerio, sąrašų nuomos ar tyrimų panelės verslas. Todėl mes nesame įpareigoti paskirti DPO. Klausimai dėl mūsų asmens duomenų tvarkymo gali būti nukreipti adresu privacy@uptimia.com; Andrius Gecius (Geschäftsführer) yra atsakingas kontaktinis punktas.

16. Nuorodos į kitas svetaines

Paslaugoje gali būti nuorodų į trečiųjų šalių svetaines. Mes neturime jokios kontrolės ir neprisiimame jokios atsakomybės už šių svetainių privatumo praktiką ar turinį. Rekomenduojame perskaityti bet kurios lankomos svetainės privatumo politiką.

17. Šios politikos pakeitimai

Mes galime karts nuo karto atnaujinti šią Privatumo politiką. Kai tai darysime, atnaujinsime Paskutinį kartą atnaujinta: datą šio dokumento viršuje ir padidinsime versiją. Esminiams pakeitimams — ypač bet kokiam pakeitimui, paveikiančiam tvarkymo teisinį pagrindą, Jūsų asmens duomenų gavėjų kategorijas ar tarptautinius perdavimus — mes pateiksime Jums ryškų pranešimą (pvz., el. pašto pranešimą) bent 30 dienų prieš pakeitimui įsigaliojant.

Jūs neprarandate jokių teisių ir nesuteikiate jokių naujų, toliau naudodamiesi Paslauga.

18. Susisiekite su mumis

Klausimams, susirūpinimams ar pasinaudoti Jūsų teisėmis pagal šią politiką susisiekite su duomenų valdytoju, identifikuotu § 2:

JJ Online GmbH (valdo Uptimia)

Schönhauser Allee 163, 10435 Berlynas

Vokietija

Telefonas: +49 151 12032902

El. paštas — bendrieji klausimai: admin@uptimia.com

El. paštas — privatumo klausimai ir duomenų subjektų prašymai: privacy@uptimia.com

Dėl duomenų tvarkytojo vaidmens klausimų (Jūsų lankytojų / galutinių naudotojų duomenys, tekantys per Uptimia), žr. DPA.