黄卡(称为“黄卡”、“我们”、“我们”或“我们的”)致力于保护用户(包括个人和企业)的个人数据的隐私和机密性。本隐私政策概述了我们在您访问或使用黄卡网站(www.yellowcard.io)、我们的移动应用程序、任何黄卡 API(直接或通过第三方应用程序)或任何黄卡产品或服务(统称为“黄卡服务”)时如何收集、使用、存储、共享和保护您的信息。
I. 关于控制者的信息
个人数据控制者(以下简称为 "用户",单独称为 "用户")是指在 www.yellowcard.io 域名下运营的 Yellow Card Services,决定其个人数据处理目的和方式的实体是 Afritech Services Sp. z o.o.,注册地址在华沙,地址为 ul. Bartycka 22B/21A,邮政编码 00 - 716 华沙,KRS 号:0001072280(以下简称为 "控制者")。
用户被理解为任何使用该服务的自然人。对于 B2B 客户,尽管主要用户是与服务互动的自然人,我们还处理与其所代表的法律实体相关的数据。
III. 个人数据处理的目的和法律依据
控制者为以下目的处理用户的个人数据,并在规定的法律基础上进行处理:
帐户设置和维护: 允许用户在服务中设置并由控制者维护客户帐户("帐户")。
- 法律基础: GDPR第6条第1款(b)(为维持帐户而必要的协议的签订和履行)。核心服务的提供: 使控制者能够通过服务提供服务,包括:
- 虚拟货币兑换: 使用户能够以其他虚拟货币或现金(法定货币)进行出售/购买虚拟货币。
- 加密货币钱包: 用户用于存储虚拟货币。
- 法律基础: GDPR第6条第1款(b)(处理提供上述服务给用户所必需)。客户识别和反洗钱合规: 根据2018年3月1日第34条第1款(2)条的波兰反洗钱法("AMLA"),控制者履行其客户识别义务的目的。这也延伸到B2B客户,要求识别商业实体及其受益所有人/授权人员。
- 法律基础: GDPR第6条第1款(c)(为履行控制者的法律义务而进行的处理是必要的)。服务分析和IT安全: 统计各项功能的使用情况,促进服务使用,并确保IT安全。为此目的处理的个人数据包括用户在服务中的活动、在子页面上花费的时间、搜索历史、位置、IP地址、设备ID、互联网浏览器数据和操作系统。
- 法律基础: GDPR第6条第1款(f)(控制者处理用户个人数据的合法法律利益)。控制者服务的营销: 出于营销目的,处理在帐户创建/更新过程中提供的个人数据,以及通过Cookie记录的用户活动数据。
- 法律基础: GDPR第6条第1款(a)(用户同意接收控制者的营销内容)和GDPR第6条第1款(f)(控制者进行直接营销其服务的合法法律利益)。索赔管理: 确定、主张和执行控制者的可能索赔,并在法庭内外程序中对抗用户的可能索赔。这可能涉及在帐户创建过程中提供的个人数据以及证明索赔所需的其他法律要求的数据。
- 法律基础: GDPR第6条第1款(f)(控制者处理用户数据的合法法律利益)。
撤回同意: 如果处理是基于您的同意(GDPR第6条第1款(a)),您有可能随时撤回您的同意。该撤回不会影响撤回之前基于同意进行的处理的合法性。您可以通过向控制者发送声明(例如,通过电子邮件)撤回同意,自收到之日起生效。
IV. 个人数据的接收者
个人数据可能会被控制者披露或委托给以下类别的接收者:
财政信息总检查官 (GIFF): 根据波兰反洗钱法(AMLA)的要求。
第三方服务提供商: 向控制者提供持续服务的实体,如法律或会计服务。
授权公共机关: 在这种情况下,义务明显来源于授权公共机关的要求或适用的一般法律规定。
黄卡集团公司: 个人数据可能根据需要转移给黄卡集团内的其他公司。
其他合法披露: 我们可能会与第三方欺诈预防和身份验证服务提供商共享您的信息,以防止欺诈并根据公共记录确认有效性。这些提供商可能会保留并仅将您的信息用于黄卡的身份验证和欺诈预防服务,并改进他们自己的服务。我们还与服务提供商进行营销合作(需得到您的同意)以及第三方广告代理。在合并、收购或资产购买的情况下,收购公司将可以访问您的信息,并需遵循本隐私政策。
控制者确保委托用户个人数据的实体保证高水平的数据保护,并在需要时签署适当的数据处理协议。
欧洲经济区 (EEA) 以外的转移: 个人数据可能会被转移到欧洲经济区以外的国家,但仅转移到欧洲委员会已发布足够水平个人数据保护的决定的国家,符合《GDPR》第 45 条的规定。 如果没有充足性决定,我们实施适当的保障措施,如标准合同条款 (SCCs),以确保数据保护。
V. 用户数据的存储期限
控制者将用户的个人数据存储在特定的时间内:
账户相关数据: 为建立和维护账户而处理的个人数据在账户维护期间存储,即,直到用户将其删除。
服务提供数据: 为提供本隐私政策第 III 节第 2 项中提到的服务而处理的个人数据,将存储5年,自与控制者的商业关系终止之日或偶然交易执行之日起计算,符合波兰 AMLA 第49条的规定。
Cookie 数据: 存储在用户终端设备上的 Cookies 的个人数据将存储在与 Cookies 生命周期相对应的期间内,或者直到用户将其删除。
营销数据: 为发送营销内容(包括通讯)而处理的个人数据,将存储直到用户撤回他们的同意接收此内容。
索赔相关数据: 如果存储个人数据对于主张或防御控制者有权利的索赔是必要的,则数据可以存储直到相关的法院程序最终结束并且裁决被执行。
黄卡将不会将您的个人信息保留超过必要的时间。
六. 用户对其个人数据处理的权利
作为用户,您根据GDPR享有以下与个人数据处理相关的权利
A. 撤回同意的权利:如果您的个人数据处理是基于该同意,您有权在任何时候撤回同意。一旦控制者收到您的声明(例如,通过电子邮件),撤回立即生效。撤回不会影响撤回之前进行的处理的合法性。
法律依据:GDPR第7(3)条。
B. 访问数据的请求权:您有权要求控制者确认是否正在处理您的个人数据。如果是,您有权:
获取您个人数据的访问权。
获取有关处理目的、处理的数据类别、接收者、存储期限或确定标准、您的GDPR权利(包括向监督当局投诉的权利)、数据来源、自动决策(包括自动分析)及对欧盟以外转移的保护措施的信息。
获取您个人数据的副本。
法律依据:GDPR第15条。
C. 更正的权利:您有权更正和补充您提供的个人数据。您可以通过提交请求来更正(如果不正确)或补充(如果不完整)这些数据。
法律依据:GDPR第16条
D. 删除的权利(“被遗忘的权利”):如果满足以下条件,您有权请求删除所有或部分与您有关的数据:
您的个人数据不再对收集或处理的目的必要。
您的个人数据是不合法地处理的。
您反对以控制者的合法法律利益为基础的处理。
为了遵守欧盟或成员国法律下的法律义务,必须删除个人数据。
个人数据是与提供信息社会服务有关的。
即使提出了删除请求,控制者仍然可以继续处理数据,如果该处理是为了确立、主张或辩护权利,或为了遵守法律义务。
法律依据:GDPR第17条。
E. 限制处理的权利:您有权要求控制者限制对您个人数据的处理(即限制存储以外的活动),在以下情况下:
您质疑您数据的正确性,需在允许验证的期间进行。
处理是非法的,但您反对删除并要求限制处理。
您的数据不再需要其原始目的,但对确立、主张或辩护权利是必要的。
您已对使用您的数据表示反对,在评估您的利益是否高于控制者的合法利益的时间内。
法律依据:GDPR第18条。
F. 向另一个控制者转移数据的权利:当您的个人数据是基于同意处理或用于签订合同(GDPR第6(1)(a)和(b)条)时,您有权以结构化、通用用途、可读格式接收您提供的数据,并在技术可行的情况下,无需控制者的阻碍即可将该数据转移给其他控制者。
法律依据:GDPR第20条
G. 反对处理的权利:您有权在任何时候反对以控制者的合法法律利益为基础的个人数据处理(GDPR第6(1)(f)条)。如果您的反对是正当的,并且控制者没有其他合法的处理基础或索赔,控制者将删除您所反对的数据。
法律依据:GDPR第21条。
响应时间:如果您提出有关A-G项所述权利的请求,该请求将在收到后立即满足或拒绝,但不得晚于一个月。如果请求复杂或请求数量较多,响应时间可以延长两个月,并提前通知您。
H. 向监督当局提出投诉的权利:如果您认为您的GDPR数据保护权利受到侵犯,您有权向监督当局提出投诉——波兰个人数据保护办公室主席。
法律依据:GDPR第77条。
VII. 自愿提供个人数据
用户提供个人数据始终是自愿的。然而,为了通过联系表单联系控制者,并为了订立和履行用户与控制者之间的合同,并作为控制者的客户服务,这是必要的。如果您不提供必要的数据,将无法联系控制者以订立和履行用户与控制者之间的合同或接收服务。
八. 控制者对用户个人数据进行剖析的可能性
用户的个人数据,包括他们的偏好、行为和营销内容选择,可能会被用作做出自动化决策的基础,以确定服务的销售机会。因此,根据GDPR第21(2)条,所有用户都有权反对控制者出于此目的处理他们的数据。
IX. 在进入服务网站时自动收集的数据(Cookie 文件)
控制器通知用户,在使用网站时,会在用户的终端设备上存储名为"cookies"的短文本信息。Cookie 文件包含以下 IT 数据:用户的 IP 地址、网站来源、在设备上的存储时间、参数、统计数据和一个唯一编号。Cookies 通过用户的网页浏览器发送到服务服务器。
在网站上使用 Cookies 的目的是:
维持服务服务器与用户设备之间的技术正确性和会话连续性。
优化网站使用并调整其在用户设备上的显示。
确保服务使用的安全性。
收集网站访问的统计数据,支持结构和内容的改善。
显示经过最佳调整的广告内容,以符合用户的偏好。
服务使用两种类型的"cookies":"会话型"和"永久型"。
"会话型" cookies 是临时文件,在用户注销、离开网站或关闭浏览器后会自动从用户设备中删除。
"永久型" cookies 会在用户设备上存储一段时间,或直到用户删除为止。"永久型" cookies 仅在得到用户同意的情况下安装。
Cookie 管理:
互联网浏览器默认接受"cookies"的安装。
您可以随时更改浏览器设置,以自动阻止"cookies"或在它们被放置在您的设备上时收到通知。
有关管理 Cookies 的详细信息可在您的互联网浏览器设置中找到。
限制使用 Cookies 可能会对网站上服务的正确性和连续性产生不利影响。
安装在您设备上的 Cookies 可能被与控制器合作的广告商或商业伙伴使用。
Cookies 仅在与用户在使用服务时提供的其他识别数据相关的情况下,才可被视为个人数据。
只有控制器可以访问由网站服务器处理的 Cookies。
如果您不同意在 Cookies 中保存和接收信息,您可以通过互联网浏览器设置更改有关 Cookies 的规则。
X. 隐私政策的变更
如果有必要更新本文件中的信息,或确保其符合适用法律或网站功能的技术条件,则可以修订本隐私政策。用户将通过在网站上显示的通知被告知任何变更。
XI. 与控制器的联系
如有任何关于本隐私政策的问题或疑虑,可以通过电子邮件联系控制器,邮箱为 [email protected] 或通过我们的支持页面进行咨询。