Политика за поверителност

01

Въведение и обхват

QReportly („Платформата“ или „Доставчикът“) отдава основно значение на защитата на личните данни и поверителността на лицата, използващи нейните услуги.

Тази Политика за поверителност се прилага за: (i) обработката, извършвана от Доставчика като Оператор на данни за неговите собствени дейности (администраторски акаунти, фактуриране, поддръжка); (ii) обработката, извършена от Доставчика като Упълномощен (Обработващ) от името на Клиентите, за данните, включени в уведомленията и вътрешните операции на канала за отчитане.

За публичния канал за докладване, достъпен за репортерите, Доставчикът прилага усъвършенствани технически и организационни мерки за минимизиране на данните, описани подробно в специалните раздели по-долу.

02

По отношение на личните данни, съдържащи се в уведомления, изпратени чрез вътрешния канал, отчети, съобщения, прикачени файлове и оперативни метаданни, свързани с управлението на случаи, Клиентът — Регистрирано юридическо лице — действа като администратор на данни.

QReportly действа стриктно като Оторизиран (Обработващ данни / Технически доставчик), обработвайки данни изключително въз основа на документираните инструкции на Клиента, за да предостави договорените услуги и в рамките на тази Политика и Споразумението с потребителя.

За собствените данни на администраторски акаунти, данни за фактуриране и търговски съобщения, Доставчикът действа като независим администратор на данни, със задължението да предостави информацията, предоставена от GDPR на субектите на данни.

Взаимоотношенията оператор-упълномощен

Доставчикът не използва съдържанието на известията за собствени маркетингови цели, профилиране или търговски анализ. Достъпът на персонала на Доставчика до данните на клиента е строго ограничен до упълномощен персонал за целите на поддръжката, техническата поддръжка, сигурността и спазването на правните изисквания и е предмет на задължения за поверителност.

Клиентът е отговорен за законосъобразността на обработването, информацията на засегнатите лица, отговора на исканията за упражняване на правата във връзка с докладите и уведомяването на надзорните органи, когато е необходимо.

03

Категории обработвани данни

В зависимост от това как се използва Платформата, могат да се обработват следните категории данни:

Идентификационни данни на администраторите на клиента: име, имейл адрес, длъжност, езикови предпочитания;
Организационни данни: име на работното пространство, държава на регистрация, настройки за съответствие, тарифен план;
Данни за фактуриране и плащане: Обработени основно от Stripe; Доставчикът може да съхранява справки за транзакции, а не пълни данни за картата;
Съдържание на известията: текст, категории, прикачени файлове, защитени чат съобщения, процедурни състояния, времеви клейма;
Ограничени технически данни на административни сесии: регистрационни файлове за сигурност, идентификатори на сесии, събития за удостоверяване;
Данни, предоставени доброволно от репортерите: име, контакт или други елементи, изключително ако репортерът избере идентифицирано докладване.

04

Архитектура на анонимност (нулево знание)

Платформата е структурно проектирана да не събира, регистрира или съхранява IP адреси, данни за геолокация или цифрови пръстови отпечатъци (пръстови отпечатъци на браузър) на лица, подаващи сигнали, които имат достъп до публичния канал за докладване.

Тази смекчаваща архитектура има за цел да намали риска от повторна идентификация на репортерите, които избират да докладват анонимно, и да подпомогне Клиента при изпълнение на законовите задължения за поверителност.

Доставчикът не използва технологии за проследяване на поведението, рекламно профилиране или инвазивни анализи в рамките на потока на докладване, предназначен за репортери. Всеки инструмент за анализ, приложен към сайта за публично представяне, е отделен от защитения канал за докладване.

Поименно отчитане

Ако докладващият изрично избере идентифицирано докладване, доброволно предоставените данни са достъпни за определеното от Клиента лице и са защитени с техническо криптиране и мерки за контрол на достъпа. Клиентът остава Операторът, отговорен за обработката на тези данни.

05

Метаданни, прикачени файлове и дезинфекция

Всички файлове, прикачени към реферали (PDF, DOCX документи, PNG/JPG/JPEG изображения) се подлагат на автоматизиран процес на криптографско почистване на метаданни при качване, включително, но не само: EXIF данни от изображения, информация за автора на документа, вградени свойства, редактиране на времеви отпечатъци и други елементи, които биха могли да улеснят повторното идентифициране по невнимание.

Процесът на саниране се извършва преди файловете да бъдат окончателно съхранени в инфраструктурата на платформата. Клиентът е отговорен за оценката дали информацията, останала във видимото съдържание на документите, е подходяща за целите на разследването.

Файлове, които не могат да бъдат безопасно обработени или които надхвърлят установените технически ограничения, могат да бъдат автоматично отхвърлени, без да се запази оригиналното съдържание.

06

Автоматично запазване и изчистване на данни

Доставчикът прилага стриктни политики за запазване и автоматично изтриване, предназначени да ограничат излагането на данни извън периодите, необходими за предоставяне на услугата и законово съответствие.

Медийни файлове и доказателствени документи

Медийните файлове и документи, качени като доказателство в реферали, се изтриват окончателно и необратимо от сървърите 6 месеца (180 календарни дни), след като случаят бъде маркиран като „Затворен“ в Платформата. Прочистването се извършва автоматично, чрез програмирани процедури, без ръчна намеса.

Текстова история и регистър

Текстовата история на защитения чат, процедурните записи и данните, свързани с официалния регистър, се съхраняват за стандартния правен период, конфигуриран в работното пространство на Клиента: 5 (пет) години като продължителност по подразбиране, съответно 3 (три) години за юрисдикции, които предвиждат този срок — като Германия — след което те се премахват автоматично чрез процедурата Hard Delete (необратимо физическо изтриване от активни производствени системи).

Клиентът може да конфигурира периода на съхранение до степента, разрешена от приложимия закон за неговата организация. Доставчикът не гарантира запазването на данни след конфигурираните срокове или след прекратяването на договора, с изключение на задължителните законови задължения, наложени на Доставчика.

07

Правно основание на обработката

В качеството си на Упълномощено лице, Доставчикът обработва данни за уведомяване въз основа на договора, сключен с Клиента (чл. 6, ал. (1) буква b) от GDPR) и законовите задължения, приложими към доставчиците на облачни услуги (чл. 6, ал. (1) буква в) от GDPR, когато е приложимо).

Като Оператор по сметки за управление, основанията включват: изпълнение на договор; легитимния интерес по отношение на сигурността на Платформата и предотвратяването на измами; правни счетоводни и данъчни задължения; съгласие, когато е изрично поискано (напр. маркетингови съобщения — ако е разрешено).

08

Правата на субектите на данни

Заинтересованите лица се възползват от правата, предоставени от GDPR: достъп, коригиране, изтриване, ограничаване, преносимост, противопоставяне и правото да не бъдат обект на решение, основаващо се изключително на автоматична обработка, в съответствие със закона.

За данните от уведомленията, исканията относно упражняването на права трябва да бъдат отправени предимно към Клиента, като Оператор на данни. Доставчикът ще съдейства на Клиента, доколкото е разумно и в съответствие с договора, за изпълнението на тези искания.

За данните, обработвани от Доставчика като Оператор (административни сметки, фактуриране), заявки могат да се изпращат на адреса за контакт, посочен в края на този документ. Доставчикът ще отговори в сроковете, предвидени от GDPR.

Субектите на данни имат право да подадат жалба до компетентния надзорен орган в държавата-членка на тяхното обичайно пребиваване, работно място или място на предполагаемото нарушение.

09

Мерки за сигурност

Доставчикът прилага подходящи технически и организационни мерки за защита на данните, включително: криптиране при транзит (TLS), ролеви контроли за достъп, логическа изолация между работни пространства, мониторинг на сигурността, процедури за реакция при инциденти и криптирани архиви в инфраструктура, хоствана в Европейския съюз.

Никоя система не може да гарантира абсолютна сигурност. В случай на инцидент със сигурността, засягащ данните на Клиента, Доставчикът ще уведоми Клиента без неоправдано забавяне в съответствие с приложимите договорни и законови задължения.

10

Подправомощия и международни трансфери

Доставчикът може да се обърне към подупълномощени страни за хостинг, обработка на плащания, доставка на имейл или сигурност, със задължението да им наложи договорни гаранции, еквивалентни на тези, предвидени от GDPR.

Данните се хостват основно в Европейския съюз. Ако определени услуги на трети страни включват трансфери извън ЕИП, Доставчикът ще използва признати механизми за трансфер (стандартни договорни клаузи, решения за пригодност или други предпазни мерки, разрешени от GDPR).

11

Промени в Политиката

Доставчикът може да актуализира тази Политика, за да отрази законодателни, технически или оперативни разработки. Текущата версия е публикувана в Платформата, с датата на актуализация.

В случай на съществени промени, Клиентът ще бъде информиран чрез разумни канали (известие на таблото за управление или електронна поща). Продължаващото използване на Услугите след датата на влизане в сила означава приемане на актуализациите, до степента, разрешена от закона.