Уведомление о конфиденциальности при верификации , Правовые условия Didit Protocol

Настоящее Уведомление о конфиденциальности при верификации объясняет, как Didit обрабатывает персональные данные, включая биометрические данные, когда Didit предоставляет услуги по верификации личности, предотвращению мошенничества, аутентификации или соблюдению требований от имени одного из своих клиентов.

Настоящее уведомление дополняет нашу Политику конфиденциальности и наши Условия использования услуг по верификации личности для конечных пользователей.

1. Область применения

Настоящее уведомление применяется, когда вы взаимодействуете с процессом верификации, размещенной страницей, SDK, API-интеграцией, мобильным приложением или white-label решением, работающим на базе Didit для Клиента.

Оно охватывает обработку:

данных о личности и контактных данных;
документов и файлов, которые вы отправляете;
селфи, изображений лица, видео и захватов живости;
биометрических данных, полученных из этих материалов;
телеметрии устройства, IP-адреса, местоположения и данных для предотвращения мошенничества;
результатов верификации, сигналов риска и аудиторских записей; и
связанных записей поддержки, соблюдения требований и безопасности, связанных с сессией верификации.

2. Кто является сторонами и каковы их роли?

Сторона	Типичная роль	Что это означает
Клиент	Контролер / Бизнес	Клиент решает, почему требуется ваша верификация, какие проверки включены и как используется результат.
Didit	Обработчик / Поставщик услуг	Didit предоставляет технологию верификации и обрабатывает данные от имени Клиента для выполнения настроенных проверок.
Didit	Независимый контролер для ограниченных целей	Didit может обрабатывать ограниченные данные для обеспечения безопасности, предотвращения злоупотреблений, соблюдения законодательства, аудиторского журналирования и юридических претензий.

Если процесс верификации является white-label или использует пользовательский домен, Didit все равно может быть поставщиком технологий, обрабатывающим ваши данные за брендированным интерфейсом.

3. Категории данных, используемых при верификации

В зависимости от настроенного рабочего процесса, Didit может обрабатывать:

Данные о личности, такие как имя, дата рождения, адрес, номер телефона, электронная почта, гражданство и другие идентификационные данные.
Данные документов, такие как паспорта, удостоверения личности, виды на жительство, водительские удостоверения, документы, подтверждающие адрес, и данные, извлеченные из этих материалов.
Биометрические данные и данные о живости, такие как изображения лица, селфи, видео, захваты живости, сигналы защиты от спуфинга и данные, полученные в результате сканирования геометрии лица, используемые для сравнения вашего лица с документом, удостоверяющим личность, или для подтверждения присутствия реального человека.
Технические данные и данные для предотвращения мошенничества, такие как IP-адрес, браузер, данные устройства, временные метки, данные сессии, геолокация, полученная из сетевых данных, и аналогичные сигналы целостности или риска.
Данные опросников и рабочего процесса, такие как декларации, ответы, загруженные файлы, записи о согласии и переходы статусов.
Результаты верификации, такие как оценки совпадения, предупреждения, индикаторы мошенничества, результаты проверки и аудиторские доказательства.

4. Цели обработки

Didit может обрабатывать вышеуказанные данные для:

верификации личности и аутентификации человека;
проверки подлинности и полноты документов;
обнаружения спуфинга, манипуляций, мошенничества или злоупотреблений;
соблюдения правовых, регуляторных требований, требований по санкциям, борьбе с отмыванием денег (AML), «Знай своего клиента» (KYC) и управлению рисками, настроенных Клиентом;
обеспечения безопасности процесса верификации и базовой инфраструктуры;
поддержки ручной проверки, повторной отправки, эскалации и аудиторских процессов;
ответа на законные запросы и защиты от юридических претензий; и
поддержания целостности услуг, устранения инцидентов и выполнения мониторинга качества и безопасности.

Если это разрешено законом и имеются соответствующие меры контроля, Didit также может использовать анонимизированные или псевдонимизированные данные, связанные с верификацией, для тестирования услуг, обеспечения качества, обучения и валидации моделей мошенничества, а также улучшения безопасности. Если для вторичного использования требуется отдельное уведомление, согласие или дополнительное правовое основание, Didit получит его или воздержится от такого использования.

Вы (или Клиент от вашего имени) можете отказаться от этой анонимизированной / псевдонимизированной обработки, (а) удалив базовую запись верификации через приложение Клиента или через API Didit или Business Console, или (б) отправив электронное письмо на privacy@didit.me с соответствующим идентификатором сессии или учетной записи. Отказы применяются перспективно с даты запроса; Didit также приложит коммерчески разумные усилия для удаления соответствующих записей из активных обучающих наборов данных.

5. Как Didit обрабатывает биометрические данные

Для целей настоящего уведомления биометрические данные включают данные, полученные в результате сканирования геометрии лица или аналогичных биометрических характеристик, извлеченных из изображений или видео, если эти данные используются для верификации личности, подтверждения живости или предотвращения мошенничества.

Когда рабочий процесс включает верификацию лица или живости, Didit может:

захватывать или получать изображения селфи, изображения лица и/или видео;
извлекать характеристики лица из этих материалов и из портрета на вашем документе, удостоверяющем личность;
сравнивать эти сигналы для верификации того, что человек, предъявляющий документ, является тем же человеком, что и на документе;
анализировать индикаторы живости и защиты от спуфинга для подтверждения присутствия реального человека; и
генерировать результаты верификации, индикаторы уверенности и сигналы мошенничества или проверки.

Didit:

использует биометрические данные только для законных целей, описанных в настоящем уведомлении, инструкциях Клиента и применимом законодательстве;
применяет меры защиты, разработанные для конфиденциальных данных, включая контроль доступа, мониторинг и безопасные методы обработки;
не продает, не сдает в аренду, не обменивает и иным образом не извлекает выгоду из биометрических идентификаторов или биометрической информации; и
ожидает, что Клиенты, использующие API или white-label решения, четко укажут Didit в качестве поставщика услуг верификации и получат любое уведомление или согласие, требуемое законом, до начала захвата биометрических данных.

6. Дополнительные раскрытия информации о конфиденциальности биометрических данных в США

Если вы находитесь в Иллинойсе, Техасе, Вашингтоне или другой юрисдикции с требованиями к конфиденциальности биометрических данных, следующие дополнительные пункты важны:

Биометрические данные могут включать данные, полученные в результате сканирования геометрии лица, изображений селфи, видео живости или аналогичных средств верификации личности.
Вас могут попросить предоставить явное электронное или письменное согласие до захвата или загрузки биометрических данных.
Клиент должен указать Didit в качестве поставщика или обработчика услуг верификации при представлении требуемых уведомлений в white-label или API-интегрированных процессах.
Didit использует биометрические данные для выполнения верификации личности, проверки живости, защиты от спуфинга, предотвращения мошенничества, обеспечения безопасности и связанных операций по соблюдению требований, запрошенных Клиентом.
Didit хранит биометрические данные только до тех пор, пока это необходимо для предоставления услуги, выполнения законных инструкций Клиента, соблюдения юридических обязательств, разрешения споров или защиты претензий, и ни в коем случае не дольше, чем это разрешено применимым законодательством.
Didit использует разумный стандарт заботы, разработанный для конфиденциальных данных, и не продает, не сдает в аренду, не обменивает и иным образом не извлекает выгоду из биометрических идентификаторов или биометрической информации.

Если юрисдикция требует более короткого срока хранения, отдельного публичного расписания или дополнительных раскрытий информации, Didit и Клиент будут применять более короткое или более строгое требование, которое регулирует соответствующий процесс верификации.

Другие юрисдикции с требованиями к конфиденциальности биометрических данных. Вышеуказанные пункты применяются с соответствующими корректировками к любому другому штату, провинции, стране или юрисдикции с требованиями к конфиденциальности биометрических данных, включая (без ограничений) Закон Калифорнии о конфиденциальности потребителей (CCPA) / Закон Калифорнии о правах на конфиденциальность (CPRA) в отношении обработки конфиденциальной персональной информации, Закон Колорадо о конфиденциальности (CPA), Закон Вирджинии о защите данных потребителей (VCDPA), Закон Коннектикута о конфиденциальности данных (CTDPA), Закон Юты о конфиденциальности потребителей (UCPA), предложения Нью-Йорка о конфиденциальности биометрических данных, статью 9 Общего регламента по защите данных (GDPR) Европейского Союза в отношении биометрических данных, GDPR Великобритании и Закон о защите данных 2018 года, Федеральный закон Швейцарии о защите данных (FADP), Закон Канады о защите персональной информации и электронных документов (PIPEDA) и Закон Квебека № 25, бразильский Lei Geral de Proteção de Dados (LGPD) и любой будущий закон о конфиденциальности биометрических данных, который применяется к соответствующему процессу верификации.

7. Раскрытие информации и поставщики услуг

Didit может раскрывать данные, связанные с верификацией, следующим сторонам:

Клиенту, который запросил у вас верификацию;
компаниям группы Didit, участвующим в предоставлении, поддержке или обеспечении безопасности услуги;
поставщикам услуг хостинга, облачного хранения, связи, идентификации, предотвращения мошенничества, аналитики, аудита, безопасности и профессиональных услуг;
регуляторам, судам, правоохранительным органам или государственным органам, если это требуется по закону; и
контрагентам по сделке слияния, поглощения, реструктуризации или передачи активов, при условии соблюдения законных мер защиты.

Точные получатели зависят от услуги, региона, конфигурации рабочего процесса и юридических требований.

8. Международные передачи

Данные верификации могут обрабатываться в странах, отличных от той, в которой вы начали процесс верификации. Если это требуется законом, Didit применяет соответствующие меры защиты при передаче, такие как решения об адекватности, стандартные договорные положения или другие признанные правовые механизмы.

9. Хранение и уничтожение

Срок хранения по умолчанию. Срок хранения данных верификации по умолчанию неограничен («unlimited»), если Клиент не настроит более короткий период или вы не воспользуетесь правом на удаление. Клиенты могут настроить срок хранения для каждого приложения в Business Console в диапазоне от 30 дней до 10 лет и могут удалить любую отдельную сессию верификации в любое время. Вы также можете воспользоваться правами на удаление, как описано в Разделе 11. Срок хранения биометрических данных в любом случае регулируется и ограничивается применимыми законами и правилами о конфиденциальности биометрических данных, включая статью 9 Общего регламента по защите данных (GDPR) ЕС, Закон штата Иллинойс о конфиденциальности биометрической информации (BIPA), Закон штата Техас о захвате или использовании биометрических идентификаторов (CUBI), Закон штата Вашингтон H.B. 1493 и любой другой применимый закон о конфиденциальности биометрических данных; если такой закон предписывает более короткий срок хранения или более раннее обязательство по уничтожению, это более короткое или более строгое правило имеет преимущественную силу над любым сроком хранения по умолчанию или настроенным Клиентом.

В любом случае Didit хранит данные верификации, включая биометрические данные, в соответствии с:

документированными инструкциями Клиента и настроенными параметрами хранения (минимум 30 дней, максимум 10 лет или неограниченно, если Клиент не снизил верхний предел);
применимыми договорными, регуляторными, аудиторскими и юридическими обязательствами;
потребностями в предотвращении мошенничества, безопасности и разрешении споров; и
более коротким или более строгим правилом хранения, требуемым применимым законодательством, которое всегда имеет преимущественную силу.

Когда соответствующие данные больше не нужны, Didit удаляет, редактирует, анонимизирует, деидентифицирует или безопасно уничтожает их.

Что касается биометрических данных, Didit стремится обеспечить удаление, деидентификацию или безопасное уничтожение биометрических идентификаторов и биометрической информации, когда:

первоначальная цель верификации достигнута;
истекает применимый срок хранения;
Клиент законно предписывает удаление; или
применимое законодательство требует более раннего уничтожения.

10. Автоматизированная обработка и ручная проверка

Didit может использовать автоматизированные системы для проверки целостности документов, живости, совпадения лиц, индикаторов мошенничества и других сигналов верификации. Некоторые сессии также могут быть направлены на ручную проверку, контроль качества или эскалацию в зависимости от рабочего процесса Клиента и конфигурации рисков.

За исключением случаев, когда конкретная услуга предусматривает иное, Клиент остается ответственным за то, как он использует результат верификации в своих собственных бизнес-решениях.

11. Права и запросы

Если вы хотите получить доступ, исправить, удалить, ограничить, возразить или иным образом реализовать права в отношении данных, обрабатываемых в конкретной сессии верификации, вам, как правило, следует сначала связаться с Клиентом. Клиент обычно определяет основную цель верификации и является лучшей точкой контакта для прав, связанных с этими отношениями.

Если Didit получает запрос напрямую в контексте обработчика, Didit может переслать или перенаправить запрос соответствующему Клиенту, если это уместно. Если Didit действует как независимый контролер для ограниченной цели обработки, вы также можете связаться с privacy@didit.me или Сотрудником по защите данных Didit по адресу dpo@didit.me.

Вы также можете подать жалобу в надзорный орган. Ведущим надзорным органом Didit является Испанское агентство по защите данных (Agencia Española de Protección de Datos / AEPD) по адресу `aepd.es`. Вы также можете подать жалобу в местный орган по защите данных.

12. Безопасность

Didit использует технические, организационные и административные меры защиты, разработанные для защиты данных верификации, включая конфиденциальные и биометрические данные. Эти меры защиты могут включать шифрование, контроль доступа, разделение сред, журналирование, мониторинг и процедуры реагирования на инциденты.

13. Дети

Didit не намеревается, чтобы настоящее уведомление о верификации разрешало незаконный сбор данных детей. Если процесс верификации используется для проверок, связанных с возрастом или молодежью, Клиент должен обеспечить законное основание, соответствующие уведомления и любые необходимые разрешения родителей или опекунов.

14. Изменения в настоящем уведомлении

Didit может время от времени обновлять настоящее Уведомление о конфиденциальности при верификации, чтобы отразить изменения в законодательстве, операционной деятельности или продуктах. Когда мы это сделаем, мы обновим дату вступления в силу в верхней части настоящего уведомления.

15. Контакты

Если у вас есть вопросы по этому уведомлению, свяжитесь с:

Уведомление о конфиденциальности при верификации