GDPR-pronto. Conforme UE + Svizzera.
CodeCourier tratta i dati personali ai sensi del GDPR e del Swiss FADP rivisto. Esercita uno qualsiasi degli otto diritti dell'interessato in qualsiasi momento: rispondiamo entro 30 giorni come richiesto dall'articolo 12, paragrafo 3.
La forma del nostro programma sulla privacy.
Un riepilogo preciso dei regimi che rispettiamo, dei diritti che rispettiamo e dei fornitori che controlliamo, prima di immergerti nei dettagli.
Adeguatezza: Svizzera ↔ UE
La Svizzera è riconosciuta come adeguata ai sensi dell'articolo 45 GDPR. Rispettiamo anche il Swiss FADP rivisto, in vigore da settembre 2023.
Basi giuridiche: 6
Facciamo affidamento sul consenso, sul contratto, sugli obblighi legali, sugli interessi vitali, sui compiti pubblici e sugli interessi legittimi, ciascuno documentato e proporzionato allo scopo.
Diritti dell'oggetto: 8
Tutti i diritti di cui agli articoli 15-22 sono onorati da un'unica casella di posta. La revoca del consenso ai sensi dell’articolo 7, paragrafo 3 è altrettanto semplice quanto la sua concessione.
Subresponsabili del trattamento: documentati
Ogni subresponsabile del trattamento è contrattualmente vincolato ai sensi dell'articolo 28 ed è elencato su richiesta. Le aggiunte di materiale vengono comunicate con 30 giorni di anticipo.
Titolare o Responsabile del trattamento - a seconda dei dati.
Ai sensi del GDPR, la stessa azienda può essere titolare del trattamento per alcuni dati e responsabile del trattamento per altri. Ecco esattamente dove rientra CodeCourier per ciascuna categoria.
Siamo un CONTROLLER per...
- Lead di marketing raccolti tramite moduli, demo e download di contenuti.
- Registrazione dell'account, dati di fatturazione e record di fatturazione.
- Richieste di assistenza clienti e metadati delle nostre comunicazioni.
- Analisi del prodotto aggregate e deidentificate utilizzate per gestire il servizio.
Siamo un PROCESSORE per...
- Codice sorgente e contenuti del repository caricati dal cliente.
- Log di esecuzione degli agenti, tracce e output delle chiamate agli strumenti creati per tuo conto.
- Elementi di file sandbox prodotti durante l'esecuzione dell'agente.
- Contesti di progetto, personaggi e configurazioni del team che crei.
- Apprendimenti e incorporamenti derivati dal tuo corpus privato.
Il nostro Addendum sull'elaborazione dei dati (DPA) regola il rapporto con il processore: richiedilo tramite il CTA di cui sopra.
Sei basi. Ognuno usato apposta.
Ogni attività di trattamento è associata a una delle sei basi giuridiche elencate nell'articolo 6 - e solo a quella base. Non impilamo le basi per mantenere aperte le opzioni.
Consenso
Utilizzato per e-mail di marketing non essenziali, cookie analitici e qualsiasi personalizzazione opzionale. Sempre granulare, sempre revocabile con un clic.
Contratto
Utilizzato per fornire il servizio a cui ti sei iscritto: provisioning di sandbox, esecuzione di agenti, archiviazione del contesto del progetto e produzione di fatture.
Obbligo legale
Utilizzato per conservare documenti contabili e fiscali ai sensi del diritto commerciale svizzero, per rispondere a richieste legittime e per onorare i diritti degli interessati.
Interessi vitali
Riservato a situazioni di vita o di sicurezza: non facciamo affidamento attivamente su questa base, ma rimane disponibile se un'emergenza richiede di agire sui dati personali.
Compito pubblico
Non utilizzato. Siamo un operatore commerciale privato e non svolgiamo compiti svolti nell'interesse pubblico o sotto l'autorità ufficiale.
Interessi legittimi
Utilizzato esclusivamente per la prevenzione delle frodi, la sicurezza del servizio, il rilevamento degli abusi e la telemetria minima del prodotto, sempre dopo un test di bilanciamento con i tuoi diritti.
Otto diritti. Una casella di posta.
Non hai bisogno di un modulo, di un portale o di un avvocato. Invia una singola e-mail e indirizzeremo la richiesta al team giusto e risponderemo entro i termini previsti dalla legge.
Diritto di accesso
Potrai ottenere conferma se trattiamo i tuoi dati personali, una copia di tali dati e informazioni su finalità, categorie e destinatari.
Come esercitareDiritto di rettifica
È possibile che i dati personali inesatti vengano corretti senza ingiustificato ritardo e che i dati incompleti vengano completati, anche fornendo una dichiarazione integrativa.
Come esercitareDiritto alla cancellazione
Noto anche come diritto all’oblio. Cancelliamo i dati personali laddove si applica uno dei motivi legali, fatti salvi gli obblighi di conservazione che dobbiamo rispettare.
Come esercitareDiritto alla restrizione
Potresti richiederci di limitare il trattamento in circostanze specifiche, ad esempio mentre verifichiamo un problema di accuratezza o durante un test di bilanciamento per le obiezioni.
Come esercitareDiritto alla portabilità
Laddove il trattamento sia basato sul consenso o sul contratto ed effettuato con mezzi automatizzati, potresti ricevere i tuoi dati in un formato strutturato e leggibile da dispositivo automatico.
Come esercitareDiritto di opposizione
Puoi opporti in qualsiasi momento al trattamento basato su interessi legittimi o di marketing diretto, dopodiché ci interrompiamo a meno che non possiamo dimostrare motivi impellenti.
Come esercitareProcesso decisionale automatizzato
Non ti sottoponiamo a decisioni basate esclusivamente sull'elaborazione automatizzata che producono effetti legali o simili significativi senza una significativa revisione umana.
Come esercitareRevoca del consenso
Laddove ci basiamo sul consenso, puoi revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca.
Come esercitareRispondiamo entro 30 giorni come richiesto dall'Articolo 12(3). Se una richiesta è complessa, possiamo estenderla fino a due ulteriori mesi, con motivazioni: ti risponderemo entro i primi 30 giorni in ogni caso.
Come i dati si spostano oltre i confini.
I dati personali lasciano una giurisdizione UE/SEE solo quando esiste un meccanismo di trasferimento valido e documentiamo quale si applica per ciascuna destinazione.
La Svizzera beneficia di una decisione di adeguatezza della Commissione europea ai sensi dell'articolo 45 GDPR, pertanto i trasferimenti tra l'UE/SEE e la Svizzera non richiedono garanzie aggiuntive. Dopo Schrems II, trattiamo ogni trasferimento successivo con la stessa diligenza.
Per i trasferimenti verso giurisdizioni senza una decisione di adeguatezza utilizziamo le clausole contrattuali standard (SCC) del 2021 come nostra salvaguardia predefinita, combinate con il supplemento Swiss FADP dove i dati sono soggetti alla legge svizzera in parallelo.
Laddove le leggi sulla sorveglianza del paese di destinazione lo garantiscano, eseguiamo una valutazione dell'impatto del trasferimento e applichiamo misure supplementari, in genere crittografia controllata dal titolare del trattamento e impegni di trasparenza contrattuale.
Scegli dove risiedono i tuoi dati.
I dati dei clienti vengono archiviati in cluster regionali. Oggi sono disponibili la residenza nell'UE e in Svizzera; ulteriori regioni sono sulla tabella di marcia e possono essere abilitate su richiesta.
UE (Francoforte)
Regione principale per i clienti dell'UE. Tutte le elaborazioni e i backup rimangono entro i confini UE/SEE.
Svizzera (Zurigo)
Residenza svizzera per clienti sensibili alla LPD. Adeguato con l’UE ai sensi dell’articolo 45.
Stati Uniti (Virginia)
Progettato per i clienti che richiedono la residenza negli Stati Uniti. Verrà fornito con SCC del 2021 e una valutazione dell'impatto del trasferimento.
Altre regioni su richiesta
Possiamo individuare cluster regionali nel Regno Unito, APAC o LATAM per contratti aziendali: parlaci delle tue esigenze di residenza.
Documentato, controllato, notificato.
Facciamo affidamento su un numero ristretto di subresponsabili del trattamento - infrastruttura cloud, fornitori di modelli e strumenti operativi - ciascuno vincolato da un contratto di elaborazione ai sensi dell'Articolo 28 e rivisto annualmente per quanto riguarda la sicurezza e la posizione sulla privacy.
L'elenco completo dei subresponsabili, comprese categorie, posizioni e meccanismi di trasferimento, è disponibile su richiesta e viene ripubblicato nel nostro DPA.
Misure tecniche e organizzative.
L'articolo 32 richiede una sicurezza adeguata al rischio. Queste sono le misure che applichiamo durante le nostre attività di trattamento, spiegate in un linguaggio semplice.
Crittografia
TLS 1.2+ per i dati in transito e AES-256 per i dati inattivi. Le chiavi sono gestite dal KMS del fornitore di servizi cloud con rotazione e registrazione di controllo abilitate.
Pseudonimizzazione
I flussi di lavoro di analisi interna, telemetria e ML operano su identificatori pseudonimi laddove lo scopo non richiede dati attribuibili.
Controlli degli accessi (RBAC)
Accesso basato sui ruoli con privilegi minimi, SSO per il personale, MFA obbligatoria e revisioni dell'accesso trimestrali. L'accesso alla produzione è registrato e limitato nel tempo.
Resilienza e backup
Backup crittografati e con ridondanza geografica con obiettivi RTO/RPO documentati ed esercitazioni di ripristino di routine per verificare che il ripristino funzioni effettivamente.
Risposta all'incidente
Un programma documentato con livelli di gravità, rotazione dei servizi di guardia e un obiettivo di notifica delle violazioni entro 72 ore in linea con l'GDPR Articolo 33.
Test regolari
Scansione continua delle dipendenze, test periodici di penetrazione delle applicazioni ed esercizi pratici che sondano i controlli sia tecnici che organizzativi.
Contatto per la protezione dei dati.
- Controllore
- CodeCourier
- Rappresentante
- Nico Jaroszewski
- Indirizzo
- Schlosstalstrasse 202, 8408 Winterthur, Switzerland
- info@codecourier.dev
Rappresentante UE ai sensi dell'art. 27: Non richiesto al momento. CodeCourier ha sede in Svizzera e non tratta regolarmente dati residenti nell'UE al di fuori dell'ambito contrattuale. Se sono soddisfatti i criteri di cui all'articolo 27, verrà nominato un rappresentante. Non viene designato un responsabile formale della protezione dei dati (articolo 37), a meno che non lo richiedano le dimensioni o la sensibilità del trattamento.
Domande, risposte onestamente.
Per quanto tempo conservi i dati dei clienti?
Posso esportare i miei dati?
Addestrate i modelli sul codice cliente?
Cosa succede ai dati quando annullo?
Trasferisci dati negli Stati Uniti?
Come posso presentare un reclamo alla mia autorità di controllo?
Domande su come gestiamo i tuoi dati?
Assumi il tuo primo ingegnere AI.
Spedizione entro l'ora di pranzo.
5 minuti per l'imbarco. Il primo PR entro un'ora. Annulla in qualsiasi momento.