黄卡(称为“黄卡”,“我们”、“我们”或“我们的”)致力于保护我们用户的个人数据的隐私和机密性,包括个人和企业。本隐私政策概述了我们在您访问或使用黄卡网站(www.yellowcard.io)、我们的移动应用程序、任何黄卡API(直接或通过第三方应用程序)或任何黄卡产品或服务(统称为“黄卡服务”)时如何收集、使用、存储、共享和保护您的信息。
本隐私政策是适用于您的相关黄卡用户协议的重要组成部分。用户协议中定义的条款在此同样适用,除非另有说明。
1. 关于数据控制者的信息
对于在 www.yellowcard.io 域名下在尼日利亚运营的黄色卡服务("服务"或"网站"),数据控制者 - 意味着决定处理个人数据的目的和手段的实体 - 是 Yellow Card Financial Nigeria Ltd. 他们的注册办公室位于尼日利亚拉哥斯伊凯贾GRA奥杜杜瓦新月59号
"用户"被理解为任何使用该服务的自然人。对于 B2B 客户,尽管主要用户是与服务互动的自然人,我们也处理与他们所代表的法律实体相关的数据。
2. 数据保护官 (DPO) / 数据保护事宜的联系
我们已指定了一名数据保护事宜的联系人。用户可以通过电子邮件联系我们的数据保护官,邮箱为:[email protected]。
3. 个人数据处理的目的和法律依据
我们处理用户的个人数据以实现以下目的,并依赖于《尼日利亚数据保护法》(NDPA)2023年规定的合法依据:
账户设置和维护:允许您设置并让我们维护服务中的客户账户(“账户”)。
- 法律依据:处理对数据主体而言是履行合同所必需的,或者是在进入合同之前根据数据主体的请求采取步骤(NDPA,第25条第(1)款第(b)(i)项)。这符合保持账户的协议的签订和履行的必要性。核心服务的提供:使我们能够通过服务向您提供服务,包括虚拟货币兑换和加密货币钱包服务。
- 法律依据:处理对数据主体而言是履行合同所必需的,或者是在进入合同之前根据数据主体的请求采取步骤(NDPA,第25条第(1)款第(b)(i)项)。这符合为用户提供上述服务处理的必要性。客户识别和反洗钱/反恐融资合规:出于在相关尼日利亚反洗钱和反恐融资(AML/CFT)法律法规下履行我们义务的客户识别目的。这也适用于B2B客户,在这种情况下,需要识别商业实体及其实际控制人/授权人的身份。
- 法律依据:处理对控制者而言是遵守其所需法律义务所必需的(NDPA,第25条第(1)款第(b)(ii)项)。这符合对控制者履行法律义务所需的处理的必要性。服务分析和IT安全:用于保持对各个功能使用情况的统计,促进服务使用并确保IT安全。出于此目的处理的个人数据包括用户在服务中的活动、在子页面上花费的时间、搜索历史、位置、IP地址、设备ID、互联网浏览器数据和操作系统。
- 法律依据:处理对控制者追求的合法利益是必要的,除非这些利益被数据主体的基本权利和自由所压倒,这些权利和自由需要对个人数据的保护(NDPA,第25条第(1)款第(b)(v)项)。这符合控制者在处理用户个人数据中的合法法律利益。服务营销:出于营销目的,处理在账户创建/更新期间提供的个人数据,以及通过Cookie记录的用户活动数据。
- 法律依据:基于同意的营销,处理基于数据主体的同意(NDPA,第25条第(1)款第(a)项)。对于基于合法利益的营销,处理对控制者追求的合法利益是必要的,除非这些利益被数据主体的基本权利和自由所压倒(NDPA,第25条第(1)款第(b)(v)项)。这符合您同意接收营销内容和我们在直接营销中的合法利益。索赔管理:确定、主张和执行控制者可能的索赔,并在法庭内外程序中为用户可能的索赔辩护。这可能涉及在账户创建期间提供的个人数据及法律要求的证明索赔或所需的其他数据。
- 法律依据:处理对控制者追求的合法利益是必要的(NDPA,第25条第(1)款第(b)(v)项)。这符合控制者在处理用户数据中的合法法律利益。
撤回同意:如果处理基于您的同意(NDPA,第25条第(1)款第(a)项),您有权随时撤回您的同意。此撤回不影响在撤回之前基于同意进行的处理的合法性。您可以通过向控制者发送声明(例如,通过电子邮件)来撤回同意。
4. 个人数据接收者
个人数据可能会由控制者披露或委托给以下类别的接收者:
监管机构:我们可能会根据尼日利亚反洗钱/反恐怖融资法律和法规向尼日利亚金融情报局(NFIU)及其他相关监管机构披露个人数据。
第三方服务提供商:提供持续服务的实体,例如法律、会计、IT服务、云存储、支付处理、营销和身份验证服务。我们确保这些第三方处理方遵守数据保护原则,并根据《尼日利亚数据保护法》签署适当的数据处理协议。
AI 处理和客户关系管理服务提供商:我们可能会与帮助我们进行AI处理、模型训练和客户关系管理功能的第三方服务提供商共享个人信息,以支持第3节中列出的目的。这些提供商经过精心挑选,并在合同上受到约束,只能按照我们的指示处理数据,并实施适当的安全措施。
授权公共机构:在这种义务显然源于授权公共机构的要求或适用的一般法律条款的情况下。
黄卡集团公司:个人数据可能在必要的范围内转移给黄卡集团内的其他公司。
其他合法披露:我们可能会与第三方欺诈预防和身份验证服务提供商共享您的信息,以防止欺诈并确认与公共记录的一致性。这些提供商可能会保留并仅使用您的信息用于黄卡的身份验证和欺诈预防服务,并改善他们自己的服务。我们还会聘请服务提供商进行营销(在您同意的情况下)和第三方广告机构。在合并、收购或资产购买的情况下,收购公司将能够访问您的信息,并需要遵循本隐私政策。
控制者确保受托于用户的个人数据的实体保证高度的数据保护,并在必要时签署适当的合同以委托处理用户的个人数据。
5. 用户数据的存储期限
我们根据法律义务和商业需要保留您的个人信息特定期限:
与账户相关的数据: 为设置和维护您的账户而处理的个人数据存储在账户维护期间,即,直到您删除它为止。
服务提供数据: 为提供本隐私政策第3条第2项中提到的服务而处理的个人数据,将按5年的期限存储,从商业关系终止之日或偶然交易执行之日起计算,符合CBN反洗钱/反恐融资规定、任何其他适用的尼日利亚反洗钱/反恐融资规定及NDPA的数据保留原则。
Cookie数据: 存储在您的终端设备上的cookie的个人数据将存储在与cookie生命周期相对应的时间,或直到您从设备中删除它们。
营销数据: 为发送营销内容(包括通讯)而处理的个人数据将存储,直到您撤回接收它的同意。
索赔相关的数据: 如果存储个人数据被证明是必要的,以主张或防御我们有权主张或对抗的索赔,您的个人数据可能会存储,直到相关法院程序最终结束且判决得到执行。
黄卡不会保留您的个人信息超过 fulfill 其收集目的或法律要求的必要期限。
6. 作为数据主体的权利
作为用户,您根据《尼日利亚数据保护法》(NDPA) 2023,对您的个人数据处理拥有以下权利:
撤回同意的权利:
如果基于该同意对您的个人数据进行处理,您有权随时撤回同意(第35条)。撤回在我们收到您的声明时生效。撤回不影响撤回之前进行的处理的合法性。请求访问数据的权利: 您有权向我们获取确认,以了解您的个人数据是否正在被处理(第34条)。如果是,您有权:
- 获取对您个人数据的访问。
- 获取关于处理目的、处理的数据类别、接收者、存储期限或确定标准的信息,以及您在NDPA下的权利、向监管机构投诉的权利、数据来源、自动决策(包括个人资料分析)和与尼日利亚境外转移相关的保障措施。
- 获取您个人数据的副本。更正的权利:
您有权请求更正您提供的不准确或不完整的个人数据(第34条(1)(c))。删除的权利(“被遗忘的权利”):
您有权请求删除与您有关的所有或部分数据(第34条(1)(d) 和 34(2))。如果满足以下条件,您可以请求删除:
- 您的个人数据不再对收集或处理的目的而言是必要的。
- 我们不再有其他合法理由保留您的个人数据,或者您的个人数据是非法处理的。
- 必须删除个人数据以遵守法律义务。
- 个人数据是在向儿童提供信息社会服务的过程中收集的(如适用,尽管我们并不针对儿童)。
即使有删除请求,如果为了建立、主张或 defend 的权利或遵守法律义务,我们仍可能继续处理数据。
限制处理的权利:
您有权要求我们限制对您的个人数据的处理(即,限制存储以外的活动)(第34条(1)(e))在特定情况下:
- 您质疑数据的正确性,允许验证的期限..
- 您的数据不再需要用于其原始目的,但为建立、主张或保护权利是必要的。
- 您在需要建立、行使或保护法律请求期间限制了对您数据的使用。数据可携带性的权利:
当您的个人数据基于同意或为签订合同而处理时,您有权以结构化、普遍使用和可读的格式接收您提供的数据,并在技术上可行的情况下,毫无阻碍地将这些个人数据转移给其他控制者(第38条)。反对处理的权利:
您有权随时反对基于我们合法法律利益的您的个人数据的处理(第36条)。如果您的反对理由成立,而我们没有其他合法依据进行处理或提出请求,我们将删除您反对的数据。如果您反对出于直接营销目的处理您的个人信息,包括与此类直接营销活动相关的个人资料分析,您的个人数据将不再出于该目的进行处理。
响应时间: 如果您提交了关于上述权利的请求,该请求将在收到后立即满足或拒绝,但不迟于一个月内。48. 然而,如果由于请求的复杂性或请求的数量,我们无法在一个月内满足,将在告知您需要延长期限后,在进一步两个月内满足该请求49。
不受自动决策影响的权利: 您有权不受完全基于自动处理您的个人信息的决策的影响,该处理旨在提供您的个人资料,并产生对您有法律效力或显著影响的效果(第37条)然而,如果处理是出于履行合同、法律义务或根据您的同意所必需的,则此权利不适用。
向监管机构投诉的权利: 如果您认为您的数据保护权利已被侵犯,您有权向尼日利亚国家数据保护委员会(NDPC)提出投诉。
7. 提供个人数据的自愿性
您提供个人数据始终是自愿的。然而,通过联系表格与我们联系以及签订和履行您与我们之间的合同对您来说是必要的,以便为您提供客户服务。如果您不提供必要的数据,将无法为合同目的与我们联系或接收服务。
8. 自动决策和分析
您的个人数据,包括偏好、行为和市场内容的选择,可以作为做出自动决策的基础,以确定服务的销售机会。根据 NDPA 原则,如果这种自动决策对您产生重大影响,您有权反对出于此目的处理您的数据。
9. 进入网站时自动收集的数据(Cookie 文件)
我们通知您,在使用网站时,会在您的终端设备上存储称为 "cookies" 的短文本信息。Cookie 文件包含 IT 数据,例如:您的 IP 地址、它们来源的网站名称、在您的终端设备上的存储时间、参数和统计记录以及唯一编号。Cookies 通过安装在您的终端设备上的网络浏览器发送到服务服务器。
在网站上使用 cookies 的目的包括:
维护服务服务器与您的设备之间会话的技术正确性和连续性。
优化您对网站的使用,并调整它在您的终端设备上的显示。
确保使用服务的安全。
收集服务网站访问的统计资料,支持其结构和内容的改进。
在您的终端设备上显示最适合您偏好的广告内容。
服务使用两种类型的 "cookies":"会话" 和 "永久"。
"会话" cookies 是在您注销、离开网站或关闭网络浏览器后自动从您的设备删除的文件。
"永久" cookies 在您的终端设备上存储的时间由 "cookies" 文件的参数指定,或直到您删除它们。"永久" "cookies" 仅在您同意的情况下安装在您的终端设备上。
Cookie 管理:
互联网浏览器默认接受 "cookies" 的安装。
您可以随时在互联网浏览器中更改关于 "cookies" 的设置,使浏览器自动阻止使用 "cookies",或在每次将它们放置到您的终端设备时通知您。
有关使用 cookies 的可能性和方法的详细信息可在您的互联网浏览器设置中找到。
限制您对 cookies 的使用可能会对网站提供服务的正确性和连续性产生不利影响。
安装在您终端设备上的 cookies 可能会被与控制者合作的广告商或商业合作伙伴使用。
仅在与用户在使用服务时提供给控制者的其他识别身份的数据相关联时,cookies 才可被视为个人数据。
只有控制者可以访问由网站服务器处理的 cookies。
如果您不同意保存和接收 cookies 中的信息,可以通过互联网浏览器的设置更改与 cookies 相关的规则。
10. 隐私政策的更改
如果有必要更新本隐私政策中包含的信息,或者有必要确保其符合适用法律或网站运行的技术条件,则本隐私政策可能会被修订。用户将通过网站上显示的通知告知任何隐私政策的更改。
11. 联系我们
如有关于本隐私政策的任何问题或疑虑,可以通过电子邮件与控制者联系,邮箱地址为:[email protected],或通过我们的支持页面。