Skoči na vsebino

DODATEK O SUVERENOSTI PODATKOV

Zadnja posodobitev: 01. avg. 2025

Ta dodatek o suverenosti podatkov ("Dodatek") določa celovite okvire suverenosti podatkov, lokalizacije in jurisdikcijske skladnosti, ki urejajo platformo Brilio AI. Ta dodatek zagotavlja pravno uveljavljivé mehanizme za čezmejne prenose podatkov, regulativno skladnost v več jurisdikcijah in kontrole rezidenčnosti podatkov, hkrati pa zagotavlja globalno izvršljivost in zaščito pravic uporabnikov.

POVZETEK ZA VODSTVO

Ta dodatek predstavlja sestavni del pogodbenega razmerja med Innovatica Technologies FZ-LLC ("Innovatica," "Podjetje," "mi," "nas" ali "naše"), družbo z omejeno odgovornostjo proste cone, registrirano v Združenih arabskih emiratih (številka licence: 47020067), in uporabniki platforme Brilio ("Stranka," "Odjemalec," "vi" ali "vaše"). Z dostopom ali uporabo platforme Brilio priznavate, da ste prebrali, razumeli in se strinjate, da vas zavezuje ta dodatek in vsi vključeni pogoji.

1. PRAVNI OKVIR IN INTEGRACIJA DOKUMENTOV

1.1 Hierarhija in integracija dokumentov

Ta dodatek deluje kot sestavni del modularne pravne arhitekture Innovatica in ga je treba razlagati v povezavi z:

Primarni dokumenti upravljanja: - Glavni pogoji uporabe storitev (instrument upravljanja) - Politika zasebnosti (okvir za zaščito podatkov) - Pogodba o obdelavi podatkov (operativni postopki) - Politika sprejemljive uporabe (standardi vedenja uporabnikov)

Podporni okvirni dokumenti: - Skupne pravne definicije (standardizirana terminologija) - Integracija pravnega okvira (arhitektura skladnosti) - Varnostna politika (tehnični varnostni ukrepi) - Politika intelektualne lastnine (upravljanje pravic)

1.2 Prednost dokumentov

V primeru neskladij med tem dodatkom in drugimi dokumenti platforme velja naslednji vrstni red prednosti: 1. Obvezne zahteve lokalnega prava (najvišja prednost) 2. Dodatek o suverenosti podatkov (ta dokument) 3. Glavni pogoji uporabe storitev 4. Politika zasebnosti in pogodba o obdelavi podatkov 5. Podporne politike in smernice

2. OKVIR SUVERENOSTI PODATKOV

2.1 Celovito pokrivanje

Ta dodatek obravnava zahteve suverenosti podatkov v glavnih jurisdikcijah, vključno z, vendar ne omejeno na:

Evropska unija in EGP: - Splošna uredba o varstvu podatkov (GDPR) - Akt o upravljanju podatkov (DGA) - Akt o digitalnih storitvah (DSA) - Akt o umetni inteligenci (Uredba EU o AI) - Direktiva o e-zasebnosti in nacionalne implementacije

Združene države Amerike: - Kalifornijski zakon o zasebnosti potrošnikov (CCPA) in Kalifornijski zakon o pravicah zasebnosti (CPRA) - Virginijski zakon o varstvu podatkov potrošnikov (VCDPA) - Zakon Connecticut o zasebnosti podatkov (CTDPA) - Zakon Colorado o zasebnosti (CPA) - Zakon Utah o zasebnosti potrošnikov (UCPA) - Zakon o zvezni trgovinski komisiji in smernice uveljavljanja

Azijsko-pacifiška regija: - Zakon o varstvu osebnih podatkov (PDPA) - Singapur - Zakon o zasebnosti 1988 - Avstralija - Zakon o varstvu osebnih podatkov (PIPL) - Kitajska - Zakon o varstvu osebnih podatkov (APPI) - Japonska - Zakon o varstvu osebnih podatkov (PIPA) - Južna Koreja

Združeni arabski emirati: - Zakon ZAE o varstvu podatkov (Zvezni dekret-zakon št. 45 iz leta 2021) - Zakon Dubai o podatkih (zakon št. 26 iz leta 2015) - Uredba Abu Dhabi Global Market o varstvu podatkov

Dodatne jurisdikcije: - GDPR Združenega kraljestva in zakon o varstvu podatkov iz leta 2018 - Zakon o varstvu osebnih podatkov in elektronskih dokumentih (PIPEDA) - Kanada - Lei Geral de Proteção de Dados (LGPD) - Brazilija - Zakon o varstvu osebnih podatkov (POPIA) - Južna Afrika

2.2 Rezidenčnost in lokalizacija podatkov

2.2.1 Privzeta rezidenčnost podatkov Razen če ni pisno določeno drugače ali zahtevano po veljavnem pravu, se uporabniški podatki obdelujejo in shranjujejo v: - Primarna lokacija: podatkovni centri Microsoft Azure v Evropi (Nizozemska, Irska) - Sekundarne lokacije: podatkovni centri Microsoft Azure v Severni Ameriki (Združene države) - Varnostne lokacije: podatkovni centri Microsoft Azure v azijsko-pacifiški regiji (Singapur, Avstralija)

2.2.2 Regionalne zahteve za lokalizacijo podatkov

Za uporabnike, ki veljajo za posebne zahteve glede lokalizacije podatkov:

Uporabniki iz Evropske unije/EGP: - Primarna obdelava: samo podatkovni centri EU/EGP - Čezmejni prenosi: samo v države z odločbo o ustreznosti ali z ustreznimi varovaji - Lokalizacija podatkov: na voljo na zahtevo za dodatne stroške

Uporabniki iz ZAE: - Primarna obdelava: podatkovni centri ZAE ali GCC, ko so na voljo - Čezmejni prenosi: v skladu z zahtevami zakona ZAE o varstvu podatkov - Vladni podatki: obdelani znotraj meja ZAE, kot zahteva zakon

Uporabniki s Kitajske: - Osebni podatki: obdelani znotraj meja Kitajske - Čezmejni prenosi: v skladu z zahtevami PIPL in varnostnimi ocenami - Kritična informacijska infrastruktura: veljajo dodatne omejitve

Uporabniki iz Rusije: - Osebni podatki ruskih državljanov: obdelani znotraj Ruske federacije - Lokalizacija baze podatkov: zahtevana za osebne podatke ruskih državljanov - Čezmejni prenosi: v skladu z zahtevami ruskega zveznega prava

2.3 Mehanizmi čezmejnega prenosa podatkov

2.3.1 Pravna podlaga za prenose

Osebne podatke prenašamo mednarodno na podlagi:

Odločbe EU o ustreznosti: - Prenosi v države z odločbami o ustreznosti (Združeno kraljestvo, Švica itd.) - Avtomatična skladnost z zahtevami prenosa po GDPR - Redno spremljanje statusa odločb o ustreznosti

Standardne pogodbene klavzule (SCC): - Implementacija SCC, ki jih je odobrila Evropska komisija - Dodatni varovaji za prenose v neustrezne države - Redni pregled in posodobitve za vzdrževanje skladnosti

Zavezujoča korporativna pravila (BCR): - Mehanizmi notranjega prenosa podatkov za večnacionalno obdelavo - Celovita zaščita za prenose znotraj skupine - Regulativna odobritev in stalno spremljanje skladnosti

Odstopanja za posebne situacije: - Izrecno soglasje za mednarodne prenose - Nujnost izpolnitve pogodbe - Uveljavljanje, izvajanje ali obramba pravnih zahtevkov - Zaščita življenjskih interesov

2.3.2 Ocene vplivov prenosa (TIA)

Za prenose v države brez odločb o ustreznosti: - Celovita ocena zakonov države namembnice - Ocena potencialnega vladnega dostopa do podatkov - Implementacija dodatnih tehničnih in organizacijskih ukrepov - Redni pregled in ponovna ocena pogojev prenosa

2.4 Vladni dostop in razkritje

2.4.1 Zahteve pravnega postopka

Uporabniške podatke razkrijemo vladnim organom samo, ko: - Smo pravno prisiljeni z veljavnim pravnim postopkom - Je potrebno za skladnost z veljavnim pravom - Je potrebno za zaščito pravic, lastnine ali varnosti

2.4.2 Omejitve razkritja in zaščite

Ozko prilagojeni odzivi: - Izpodbijanje preveč širokih ali neveljavnih zahtev - Zagotavljanje samo podatkov, ki jih posebej zahteva pravni postopek - Implementacija ocen sorazmernosti in nujnosti

Obveščanje uporabnikov: - Vnaprejšnje obvestilo o pravnem postopku, ko je pravno dovoljeno - Poročanje o preglednosti vladnih zahtev za podatke - Postopki pritožbe in ugovora za uporabnike

Jurisdikcijski konflikti: - Pravni okvir za reševanje konfliktnih pravnih zahtev - Postopki za obravnavanje blokadnih zakonov in državne imunitete - Mehanizmi eskalacije za kompleksna jurisdikcijska vprašanja

3. TEHNIČNI IN ORGANIZACIJSKI UKREPI

3.1 Zaščita podatkov z zasnovo in privzeto

3.1.1 Tehnični ukrepi - Celovito šifriranje za podatke v prenosu in v mirovanju - Arhitektura z ničelnim znanjem, kjer je tehnično izvedljivo - Napredne kontrole dostopa in upravljanje identitete - Redne varnostne revizije in testi penetracije - Avtomatizirani postopki klasifikacije in ravnanja s podatki

3.1.2 Organizacijski ukrepi - Celovito usposabljanje osebja o zahtevah suverenosti podatkov - Redne revizije skladnosti in ocene - Ocene vplivov na varstvo podatkov za nove dejavnosti obdelave - Postopki odzivanja na incidente pri kršitvah suverenosti podatkov - Postopki upravljanja dobaviteljev in skrbne preiskave

3.2 Minimizacija podatkov in omejitev namena

Minimizacija zbiranja podatkov: - Zbiranje omejeno na potrebne namene - Redni pregled in brisanje nepotrebnih podatkov - Avtomatizirano upravljanje življenjskega cikla podatkov - Uporabniške kontrole za preference zbiranja podatkov

Omejitve namena obdelave: - Jasna dokumentacija vseh namenov obdelave - Prepoved neskladne uporabe osebnih podatkov - Redne revizije dejavnosti obdelave - Obveščanje uporabnikov o materialnih spremembah namena

3.3 Implementacija pravic posameznikov, na katere se nanašajo podatki

Celovit okvir pravic: - Pravice do dostopa, popravka, izbrisa in prenosljivosti - Pravice do omejitve in ugovora - Zaščite pri avtomatiziranem odločanju - Mehanizmi čezmejnega uveljavljanja pravic

Postopki uveljavljanja pravic: - Uporabniku prijazni vmesniki za uveljavljanje pravic - Avtomatizirani sistemi preverjanja in odzivanja - Postopki pritožb za zavrnitve pravic - Redno usposabljanje osebja za odzivanje na pravice

4. SPREMLJANJE SKLADNOSTI IN UVELJAVLJANJE

4.1 Stalna ocena skladnosti

Redni pregledi skladnosti: - Četrtletna ocena skladnosti s suverenostjo podatkov - Letne celovite revizije skladnosti - Stalno spremljanje regulativnih razvoja - Povratne informacije deležnikov in procesi izboljšav

Ključni kazalniki uspešnosti: - Stopnje skladnosti z rezidenčnostjo podatkov - Metrike skladnosti čezmejnih prenosov - Časi odziva na vladne zahteve - Stopnje dokončanja uveljavljanja pravic uporabnikov

4.2 Odziv na kršitve in sanacija

Postopki odzivanja na incidente: - Takojšnje ukrepe ocenjevanja in zajezitve - Postopki obveščanja regulatorja - Načrti komunikacije z uporabniki in sanacije - Analiza temeljnega vzroka in preventivni ukrepi

Okvir popravnih ukrepov: - Sistematičen pristop k kršitvam skladnosti - Časovne zahteve za sanacijo - Postopki eskalacije za vztrajne težave - Zahteve za dokumentacijo in poročanje

5. ODGOVORNOSTI IN OBVEZNOSTI UPORABNIKOV

5.1 Obveznosti upravljavca podatkov

Pri uporabi platforme kot upravljavec podatkov morate: - Implementirati ustrezne tehnične in organizacijske ukrepe - Po potrebi izvajati ocene vplivov na varstvo podatkov - Voditi evidence dejavnosti obdelave - Zagotoviti zakonito podlago za vso obdelavo podatkov

5.2 Skladnost čezmejnih prenosov

Uporabniško inicirani prenosi: - Skladnost z veljavnimi omejitvami prenosa - Implementacija ustreznih varoval - Dokumentacija pravne podlage prenosa - Redni pregled skladnosti prenosa

Skladnost integracije tretjih oseb: - Skrbna preiskava praks tretjih oseb glede podatkov - Pogodbene zaščite za integrirane storitve - Redno spremljanje skladnosti tretjih oseb - Postopki koordinacije odzivanja na incidente

6. POSEBNE JURISDIKCIJSKE DOLOČBE

6.1 Posebni pogoji za Evropsko unijo

Ukrepi skladnosti z GDPR: - Dokumentacija in upravljanje zakonite podlage - Postopki upravljanja in umika soglasja - Implementacija zaščite podatkov z zasnovo in privzeto - Postopki posvetovanja z pooblaščeno osebo za varstvo podatkov

Pravice po GDPR: - Izboljšane pravice dostopa in prenosljivosti - Zaščite pri avtomatiziranem odločanju - Pravica do popravka in izbrisa - Pravice do omejitve in ugovora

6.2 Posebni pogoji za Združene države

Skladnost z državnimi zakoni o zasebnosti: - Skladnost z zakoni Kalifornije, Virginije, Connecticuta, Colorada in Utaha - Implementacija pravic potrošnikov in postopki odzivanja - Mehanizmi izklopa za prodajo podatkov in ciljno oglaševanje - Ukrepi zaščite občutljivih osebnih podatkov

Zvezna skladnost: - Skladnost z zakonom FTC in ukrepi varstva potrošnikov - Skladnost s sektorskimi zakoni (HIPAA, FERPA, GLBA, kjer je primerno) - Zaščita zasebnosti otrok (skladnost s COPPA) - Skladnost z dostopnostjo (ADA, oddelek 508)

6.3 Posebni pogoji za ZAE

Skladnost z zakonom ZAE o varstvu podatkov: - Implementacija načel obdelave osebnih podatkov - Zahteve glede soglasja in postopki upravljanja - Postopki obveščanja o kršitvah podatkov in odzivanja - Zahteve sodelovanja z organom za varstvo podatkov

Zahteve čezmejnega prenosa: - Postopki ocene ustreznosti - Implementacija standardnih pogodbenih klavzul - Postopki odobritve vlade, ko je potrebno - Ukrepi skladnosti z lokalizacijo podatkov

7. POSODOBITVE IN SPREMEMBE

7.1 Upravljanje regulativnih sprememb

Proaktivno spremljanje: - Stalno spremljanje regulativnih razvoja - Ocena vplivov novih zakonov in predpisov - Posvetovanje z deležniki o materialnih spremembah - Razvoj časovnice implementacije in komunikacija

Postopki sprememb: - Zahteve obveščanja o materialnih spremembah - Postopki posvetovanja z uporabniki in povratne informacije - Upravljanje datuma začetka veljavnosti in prehodov - Upravljanje obveznosti skladnosti z dediščino

7.2 Prilagajanje razvoju tehnologije

Skladnost s pojavnimi tehnologijami: - Posebne zahteve za AI in strojno učenje - Posledice kvantnega računalništva in šifriranja - Upoštevanje blockchaina in distribuiranih knjig - Skladnost interneta stvari (IoT) in robnega računalništva

8. KONTAKTNI PODATKI IN REŠEVANJE SPOROV

8.1 Kontakti za suverenost podatkov

Primarni kontakt: Pooblaščena oseba za varstvo podatkov
E-pošta: dpo@innovatica.ai
Naslov: Innovatica Technologies FZ-LLC, Dubai, ZAE

Regionalni predstavniki: - Predstavnik EU: [Bo imenovan po potrebi] - Predstavnik ZK: [Bo imenovan po potrebi] - Brazilski predstavnik: [Bo imenovan po potrebi]

8.2 Postopki reševanja sporov

Notranje reševanje: - Pregled prve ravni s strani pooblaščene osebe za varstvo podatkov - Eskalacija na glavnega pravnega direktorja - Pregled in rešitev izvršnega vodstva - Dokumentacija in postopki naučenih lekcij

Zunanje reševanje: - Sodelovanje z regulativnim organom in obravnavanje pritožb - Postopki alternativnega reševanja sporov - Sodni postopki in sodelovanje pri izvršitvi - Postopki mednarodne arbitraže, kjer je primerno

9. DEFINICIJE

Za celovite definicije pojmov, uporabljenih v tem dodatku, glejte Skupne pravne definicije.

Ta dodatek o suverenosti podatkov zagotavlja celovito zaščito za čezmejno obdelavo podatkov, hkrati pa zagotavlja skladnost z razvijajočimi se mednarodnimi zahtevami za varstvo podatkov. Redne posodobitve zagotavljajo nadaljnjo skladnost z nastajajočimi regulativnimi okviri.