Niniejsza Informacja o Ochronie Prywatności ma zastosowanie do przetwarzania danych osobowych przez Gnomi App Corp (GNOMI), w tym w naszej aplikacji mobilnej, na naszej stronie internetowej pod adresem gnomi.com oraz w naszych innych ofertach online lub offline (łącznie zwanych Usługami).

1. Aktualizacje niniejszej Informacji o prywatności

Możemy od czasu do czasu aktualizować niniejszą Informację o prywatności. Jeśli to zrobimy, poinformujemy Cię, publikując zaktualizowaną Informację o prywatności na naszej stronie internetowej i/lub możemy również wysłać inne komunikaty.

2. Zbierane przez nas dane osobowe

Zbieramy dane osobowe, które nam przekazujesz, dane osobowe, które zbieramy automatycznie, gdy korzystasz z Usług, oraz dane osobowe ze źródeł zewnętrznych.

A. Dane osobowe, które przekazujesz nam bezpośrednio

• Informacje o koncie: Nazwa użytkownika, adres e-mail, hasło, kraj lokalizacji i inne informacje, które przechowujesz na swoim koncie
• Informacje profilowe: Imię i nazwisko, stanowisko, bio, połączone konta w mediach społecznościowych, płeć i data urodzenia (prywatne)
• Funkcje interaktywne: Treści, które przesyłasz za pośrednictwem wiadomości, komentarzy i funkcji mediów społecznościowych
• Zakupy: Informacje o płatności za subskrypcje GNOMI Premium
• Komunikacja: Informacje, które przesyłasz nam za pośrednictwem e-maila lub narzędzia czatu
• Ankiety: Informacje z ankiet, w których bierzesz udział
• Konkursy: Informacje z loterii lub konkursów
• Wydarzenia: Informacje z konferencji i targów branżowych
• Aplikacje o pracę: Dane kontaktowe i CV, jeśli aplikujesz o pracę

B. Dane osobowe zbierane automatycznie

• Informacje o urządzeniu: Adres IP, ustawienia użytkownika, identyfikatory plików cookie, informacje o przeglądarce, informacje o lokalizacji
• Informacje o użytkowaniu: Odwiedzane strony, wyszukiwane hasła, interakcje z treścią, częstotliwość i czas trwania aktywności
• Pliki cookie i technologie: Pliki cookie, znaczniki pikselowe i sygnały nawigacyjne do zbierania informacji o korzystaniu z Usług

C. Dane osobowe zbierane od stron trzecich

Możemy zbierać dane osobowe z usług stron trzecich, gdy łączysz GNOMI z kontami mediów społecznościowych (Reddit, LinkedIn, Meta, X) lub korzystasz z usług logowania stron trzecich.

3. Jak wykorzystujemy dane osobowe

A. Świadczenie Usług

• Zarządzanie Twoimi informacjami i zapewnianie dostępu do funkcji
• Obsługa klienta i komunikacja
• Przetwarzanie płatności
• Przetwarzanie aplikacji o pracę

B. Ulepszanie Usług i Rozwijanie Nowych Produktów

• Szkolenie technologii AI i uczenia maszynowego
• Ulepszanie i rozszerzanie Usług

C. Cele Administracyjne

• Bezpieczeństwo i zapobieganie oszustwom
• Analityka i mierzenie zaangażowania
• Kontrola jakości i bezpieczeństwo
• Zgodność z przepisami prawa

D. Marketing

Możemy wykorzystywać Twoje dane osobowe do dostarczania Ci wiadomości marketingowych i ofert za pośrednictwem kampanii e-mailowych, zgodnie z obowiązującym prawem.

F. Zautomatyzowane Podejmowanie Decyzji

Możemy stosować zautomatyzowane podejmowanie decyzji, w tym profilowanie, w celu dostarczania spersonalizowanych treści na podstawie Twoich interakcji z Usługami.

4. Jak Ujawniamy Dane Osobowe

A. Ujawnienia w celu Świadczenia Usług

• Dostawcy Usług: Usługi AI/ML, hosting, obsługa klienta, analityka, marketing, wsparcie IT
• Inni Użytkownicy: Informacje, które decydujesz się udostępniać innym użytkownikom GNOMI
• Usługi Stron Trzecich: Usługi, z którymi się łączysz lub wchodzisz w interakcję
• Partnerzy Biznesowi: Partnerzy, z którymi współpracujemy w celu świadczenia usług
• Podmioty Powiązane: Nasze korporacyjne podmioty powiązane
• Partnerzy Reklamowi: W przypadku użytkowników korzystających z wersji bezpłatnej, możemy udostępniać informacje partnerom reklamowym w celu wyświetlania reklam ukierunkowanych

B. Ujawnienia w Celu Ochrony Nas lub Innych

Możemy ujawniać informacje w celu spełnienia wymogów prawnych, ochrony praw i bezpieczeństwa, egzekwowania polityk lub pomocy w dochodzeniach.

C. Transakcje Biznesowe

Twoje informacje mogą zostać ujawnione w związku z fuzjami, przejęciami lub innymi transakcjami korporacyjnymi.

5. Twoje Wybory i Prawa Dotyczące Prywatności

Twoje Wybory Dotyczące Prywatności

• Komunikacja E-mail: Anuluj subskrypcję korzystając z linków w wiadomościach e-mail
• Wiadomości Tekstowe: Odpowiedz "STOP", aby zrezygnować
• Urządzenia mobilne: Dostosuj ustawienia powiadomień push i lokalizacji
• Pliki cookie: Dostosuj preferencje przeglądarki (uwaga: może wpłynąć na funkcjonalność)
• Do Not Track: Nie reagujemy na sygnały DNT

Twoje prawa do prywatności

Możesz mieć prawo do:

• Potwierdzenia, czy przetwarzamy Twoje dane osobowe
• Żądania dostępu do lub przenoszenia Twoich danych osobowych
• Żądania poprawienia Twoich danych osobowych
• Żądania usunięcia Twoich danych osobowych
• Żądania ograniczenia lub sprzeciwu wobec przetwarzania
• Rezygnacji z ukierunkowanych reklam, sprzedaży lub profilowania
• Wycofania zgody

6. Międzynarodowe przekazywanie danych osobowych

Dane osobowe mogą być przekazywane, przetwarzane i przechowywane w dowolnym miejscu na świecie, w tym w krajach o różnych przepisach dotyczących ochrony danych. W przypadku transferów z UE/UK możemy stosować Standardowe Klauzule Umowne UE jako zabezpieczenia.

7. Przechowywanie danych osobowych

Przechowujemy dane osobowe tak długo, jak korzystasz z Usług, lub w zakresie niezbędnym do realizacji celów, świadczenia Usług, rozstrzygania sporów i przestrzegania zobowiązań prawnych.

8. Dodatkowe powiadomienie dotyczące RODO UE/UK

Ta sekcja dotyczy danych osobowych podlegających RODO UE lub Wielkiej Brytanii. W niektórych przypadkach podanie danych osobowych może być wymagane przez prawo lub umowę. Poinformujemy Cię o konsekwencjach, jeśli zdecydujesz się nie podawać wymaganych informacji.

9. Dane osobowe dzieci

Usługi nie są skierowane do dzieci poniżej 16 roku życia i nie zbieramy świadomie danych osobowych od dzieci. Jeśli uważasz, że Twoje dziecko przesłało informacje z naruszeniem obowiązującego prawa, prosimy o kontakt.

10. Informacja o prywatności w promocjach

GNOMI App Corp. ("Sponsor") zbiera i przetwarza dane osobowe przekazane przez uczestników, w tym imię i nazwisko, adres e-mail, kraj lub stan zamieszkania oraz informacje wymagane do weryfikacji kwalifikowalności i dostarczenia nagród. Informacje te są wykorzystywane wyłącznie do administrowania promocją, zapobiegania oszustwom, weryfikacji kwalifikowalności i realizacji nagród.

W przypadku uczestników znajdujących się w Europejskim Obszarze Gospodarczym lub Wielkiej Brytanii, Sponsor przetwarza dane osobowe na podstawie wykonania umowy (administrowanie promocją) oraz uzasadnionych interesów Sponsora w prowadzeniu i zabezpieczaniu promocji. Jeśli uczestnicy zdecydują się na otrzymywanie komunikacji marketingowej, przetwarzanie odbywa się na podstawie zgody. Udział w promocji nie jest uzależniony od wyrażenia zgody na marketing.

Sponsor może korzystać z usługodawców w celu wsparcia administracji promocji, komunikacji, analityki i realizacji nagród. Dane osobowe mogą być przekazywane i przetwarzane w Stanach Zjednoczonych lub innych krajach, w których Sponsor lub jego usługodawcy prowadzą działalność, z zastrzeżeniem odpowiednich zabezpieczeń prawnych, gdy jest to wymagane.

Dane osobowe są przechowywane przez okres do dwunastu (12) miesięcy po zakończeniu promocji, a następnie usuwane lub anonimizowane, chyba że dłuższe przechowywanie jest wymagane do celów prawnych lub regulacyjnych. Promocja jest otwarta tylko dla osób, które mają co najmniej 18 lat lub osiągnęły pełnoletność w swojej jurysdykcji.

W zależności od obowiązującego prawa, uczestnicy mogą mieć prawo do żądania dostępu do swoich danych osobowych, ich poprawienia lub usunięcia, ograniczenia lub sprzeciwu wobec przetwarzania lub żądania przenoszenia danych. Uczestnicy z EOG lub Wielkiej Brytanii mogą również złożyć skargę do lokalnego organu ochrony danych. Mieszkańcy USA mogą mieć dodatkowe prawa do prywatności na mocy obowiązujących przepisów stanowych.

Wnioski dotyczące danych osobowych można składać na adres: privacy@gnomi.com

11. Polityka Przechowywania i Usuwania Danych

Dokumentacja Zgodności z RODO i Obowiązującym Prawem Ochrony Prywatności

2. Oświadczenie o Zgodności z RODO i Obowiązującym Prawem Ochrony Prywatności

GNOMI utrzymuje niniejszą zdefiniowaną i egzekwowaną Politykę Przechowywania i Usuwania Danych w celu wspierania zgodności z obowiązującymi przepisami o ochronie prywatności i ochronie danych, w tym z Ogólnym Rozporządzeniem o Ochronie Danych (RODO), gdy RODO ma zastosowanie do działań przetwarzania GNOMI. Niniejsza polityka została zaprojektowana w celu operacjonalizacji zasad przechowywania i usuwania zgodnych z RODO, w tym ograniczenia przechowywania, minimalizacji danych, ograniczenia celu, integralności i poufności, odpowiedzialności oraz zgodnego z prawem obsługiwania żądań usunięcia i ograniczenia danych podmiotów danych.

Kontrole przechowywania i usuwania GNOMI mają na celu zapewnienie, że Dane Osobowe nie są przechowywane dłużej niż jest to konieczne do celów, dla których są zbierane lub w inny sposób zgodnie z prawem przetwarzane, chyba że dalsze przechowywanie jest wymagane ze względów prawnych, regulacyjnych, umownych, bezpieczeństwa, zapobiegania oszustwom, księgowych, audytowych, rozstrzygania sporów lub uzasadnionych celów biznesowych.

Gdy GNOMI przetwarza autoryzowane przez użytkownika informacje o rachunku finansowym lub portfelu za pośrednictwem Plaid lub podobnych dostawców, GNOMI stosuje kontrole przechowywania i usuwania zaprojektowane w celu ograniczenia przechowywania danych integracji finansowych do okresu niezbędnego do zapewnienia autoryzowanej funkcjonalności, utrzymania bezpieczeństwa, spełnienia zobowiązań umownych, zapobiegania oszustwom i przestrzegania obowiązującego prawa.

3. Zakres

Niniejsza polityka ma zastosowanie do wszystkich danych zbieranych, przetwarzanych, przechowywanych, przesyłanych lub utrzymywanych przez GNOMI lub przez zewnętrznych dostawców usług działających w imieniu GNOMI. Obejmuje to systemy produkcyjne, usługi chmurowe, bazy danych aplikacji, systemy kont użytkowników, systemy integracji finansowych, systemy analityki portfelowej, systemy inteligencji finansowej generowanej przez AI, systemy analizy finansowej, integracje Plaid, integracje kont brokerskich, integracje bankowe, dzienniki bezpieczeństwa, środowiska analityczne, narzędzia obsługi klienta, platformy dostawców, dokumentację korporacyjną, kopie zapasowe i systemy odzyskiwania po awarii.

Niniejsza polityka ma zastosowanie do pracowników GNOMI, wykonawców, konsultantów, dostawców usług i innych upoważnionych osób, które tworzą, uzyskują dostęp, zarządzają, przechowują, przetwarzają, przesyłają, zatrzymują, usuwają lub pozbywają się danych w imieniu GNOMI.

4. Oświadczenie Polityki

GNOMI przechowuje dane tylko tak długo, jak jest to konieczne do świadczenia i ulepszania swoich usług, wspierania autoryzowanej funkcjonalności użytkownika, utrzymania bezpieczeństwa, spełnienia zobowiązań umownych i prawnych, prowadzenia operacji biznesowych oraz ochrony GNOMI, jego partnerów i użytkowników. Gdy dane nie są już wymagane, GNOMI usuwa, anonimizuje, agreguje lub bezpiecznie pozbywają się ich przy użyciu odpowiednich kontroli administracyjnych, technicznych i proceduralnych.

Okresy przechowywania opierają się na typie danych, celu przetwarzania, relacji z użytkownikiem, podstawie prawnej, potrzebie biznesowej, zobowiązaniach umownych, wymogach regulacyjnych i wymogach bezpieczeństwa. GNOMI okresowo przegląda praktyki przechowywania i usuwania w celu potwierdzenia, że pozostają one odpowiednie dla jego działalności, produktów, systemów, dostawców i obowiązujących zobowiązań dotyczących prywatności.

GNOMI przechowuje autoryzowane przez użytkownika dane integracji finansowych tylko tak długo, jak jest to konieczne do zapewnienia autoryzowanej funkcjonalności inteligencji finansowej żądanej przez użytkownika, w tym analizy portfela, analizy dywersyfikacji, generowania sentymentu portfela, wglądów finansowych generowanych przez AI, zapobiegania oszustwom i wsparcia integracji.

5. Zasady Przechowywania Zgodne z RODO

• Ograniczenie przechowywania: GNOMI przechowuje Dane Osobowe tylko przez okres niezbędny do odpowiedniego celu przetwarzania, chyba że dłuższe przechowywanie jest uzasadnione przepisami prawa, umową, bezpieczeństwem, rozstrzyganiem sporów, audytem, księgowością lub wymogami zgodności.
• Minimalizacja danych: GNOMI ogranicza przechowywane dane do tego, co jest racjonalnie niezbędne do odpowiedniego celu biznesowego, produktowego, bezpieczeństwa, prawnego lub zgodności.
• Ograniczenie celu: GNOMI ocenia przechowywanie na podstawie celu, dla którego dane zostały zebrane lub w inny sposób zgodnie z prawem przetworzone.
• Integralność i poufność: GNOMI chroni przechowywane dane odpowiednimi kontrolami dostępu, uprawnieniami najmniejszych przywilejów, monitorowaniem i praktykami bezpiecznego postępowania.
• Odpowiedzialność: GNOMI utrzymuje odpowiedzialność za własność, przegląd i egzekwowanie decyzji dotyczących przechowywania i usuwania.
• Prawa podmiotów danych: GNOMI przetwarza obowiązujące żądania usunięcia, korekty, ograniczenia i sprzeciwu zgodnie z obowiązującym prawem ochrony prywatności i wszelkimi zgodnymi z prawem wyjątkami.
• Ograniczenie autoryzacji użytkownika: Dane integracji finansowych są przechowywane i przetwarzane tylko przez czas i w celach autoryzowanych przez użytkownika i wspieranych przez obowiązujące zgodne z prawem podstawy przetwarzania.

6. Klasyfikacja Danych

GNOMI klasyfikuje dane na podstawie wrażliwości, celu przetwarzania, obowiązujących zobowiązań i użycia operacyjnego. Kontrole przechowywania i usuwania są stosowane zgodnie z charakterem danych i systemami, w których się znajdują.

• Dane klientów i użytkowników: informacje związane z kontem, informacje profilu użytkownika, preferencje, dane dotyczące korzystania z produktu, komunikacja z działem wsparcia oraz zapisy związane z usługami.
• Dane połączeń finansowych: dane konta maklerskiego autoryzowane przez użytkownika, dane relacji bankowych, posiadane portfele, metadane transakcji, metadane kont inwestycyjnych, salda, identyfikatory instytucji finansowych, dane uwierzytelniające lub tokeny integracji finansowych, wygenerowane przez AI informacje finansowe, wyniki analiz portfela oraz powiązane informacje przetwarzane za pośrednictwem Plaid lub podobnych dostawców integracji finansowych.
• Dane inteligencji finansowej generowane przez AI: analiza nastrojów portfela, analiza dywersyfikacji, podsumowania finansowe, wyniki AI na poziomie konta oraz powiązana inteligencja finansowa specyficzna dla użytkownika, wygenerowana z autoryzowanych integracji finansowych.
• Logi bezpieczeństwa i operacyjne: zapisy uwierzytelniania, logi dostępu, logi audytu, dane monitorowania, logi aktywności systemu oraz zapisy reagowania na incydenty.
• Dane biznesowe i administracyjne: umowy, zapisy dotyczące dostawców, zapisy rozliczeniowe, dokumenty korporacyjne, dokumenty prawne, dokumenty podatkowe oraz wewnętrzna dokumentacja operacyjna.
• Dane zagregowane, zanonimizowane lub pozbawione identyfikacji: analityka, dane dotyczące ulepszania produktu oraz dane raportowe, które nie są w rozsądny sposób powiązane z możliwą do zidentyfikowania osobą.

7. Harmonogram Przechowywania

GNOMI stosuje okresy przechowywania zgodnie z poniższymi kategoriami. Określone okresy mogą być dostosowane w przypadkach wymaganych przez prawo, umowę, potrzeby bezpieczeństwa, wymagania systemów technicznych lub zatwierdzoną konieczność biznesową. W przypadku braku prawnie wymaganego określonego okresu przechowywania, GNOMI przechowuje dane tylko tak długo, jak jest to potrzebne do realizacji odpowiedniego celu, a następnie usuwa je, anonimizuje lub bezpiecznie utylizuje.

Kategoria Danych	Główny Cel	Standard Przechowywania	Metoda Usuwania
Dane konta i profilu użytkownika	Obsługa konta, uwierzytelnianie, wsparcie użytkownika, świadczenie usług	Przechowywane, gdy konto jest aktywne oraz przez ograniczony okres po zamknięciu, w zakresie niezbędnym do celów bezpieczeństwa, zapobiegania oszustwom, celów prawnych, audytowych lub wsparcia.	Usunięcie, anonimizacja lub bezpieczne usunięcie z aktywnych systemów.
Dane integracji finansowych autoryzowanych przez użytkownika	Zapewnienie autoryzowanych funkcji analizy finansowej, funkcjonalności żądanej przez użytkownika, wsparcie integracji oraz bezpieczeństwo	Przechowywane wyłącznie, gdy użytkownik utrzymuje autoryzowane połączenie finansowe lub gdy jest to niezbędne do zapewnienia autoryzowanej funkcjonalności analizy finansowej, utrzymania bezpieczeństwa, zapobiegania oszustwom, wsparcia zgodnych z prawem operacji biznesowych, wypełnienia zobowiązań umownych lub spełnienia wymogów prawnych i regulacyjnych. Odwołane, rozłączone, wygasłe lub nieaktywne integracje są usuwane, dezaktywowane, anonimizowane lub tokeny są unieważniane zgodnie z wymogami operacyjnymi i prawnymi.	Usunięcie z aktywnych systemów, bezpieczne unieważnienie tokenów, anonimizacja, ograniczone przechowywanie archiwalne tam, gdzie jest to wymagane prawnie, lub bezpieczne usunięcie.
Wnioski finansowe generowane przez AI i analityka portfela	Analiza portfela, analiza dywersyfikacji, analiza nastrojów, funkcjonalność czatu AI, analityka żądana przez użytkownika	Przechowywane, gdy powiązane konta użytkowników pozostają aktywne i funkcjonalność pozostaje włączona, z zastrzeżeniem żądań usunięcia, wymogów bezpieczeństwa, obowiązków prawnych i konieczności operacyjnej	Usunięcie, anonimizacja, agregacja lub bezpieczne usunięcie
Zapisy wsparcia i komunikacji	Obsługa klienta, rozwiązywanie problemów, zapewnienie jakości i zgodność z przepisami	Przechowywane w zakresie niezbędnym do rozwiązania żądań, utrzymania zapisów serwisowych oraz wsparcia wymogów biznesowych lub prawnych.	Usunięcie lub bezpieczne usunięcie archiwum po wygaśnięciu.
Logi bezpieczeństwa, dostępu i audytu	Monitorowanie bezpieczeństwa, zapobieganie oszustwom, wykrywanie incydentów, przegląd dostępu, audyt i integralność systemu	Przechowywane przez okres odpowiedni do celu bezpieczeństwa, wymogów systemowych oraz zobowiązań prawnych lub umownych.	Zaplanowane wygaśnięcie, bezpieczne usunięcie lub ograniczone usunięcie archiwum.
Zapisy rozliczeniowe, podatkowe, korporacyjne i prawne	Księgowość, podatki, ład korporacyjny, audyt, administracja umów i zgodność z przepisami prawa	Przechowywane przez okres wymagany przez obowiązujące prawo, standardy audytowe, umowę lub wymogi ładu korporacyjnego.	Bezpieczne usunięcie po wygaśnięciu potrzeby prawnej lub biznesowej.
Dane zagregowane, zanonimizowane lub zdeidentyfikowane	Analityka, ulepszanie produktu, badania, raportowanie i analiza biznesowa	Mogą być przechowywane przez dłuższe okresy, gdy dane nie są w rozsądny sposób identyfikowalne i znajdują się poza zakresem danych osobowych zgodnie z obowiązującym prawem.	Bieżące wykorzystanie, dalsza agregacja lub usunięcie, gdy nie są już potrzebne.
Kopie zapasowe i dane odzyskiwania po awarii	Ciągłość działania, odzyskiwanie bezpieczeństwa i przywracanie systemu	Przechowywane zgodnie z harmonogramami cyklu życia kopii zapasowych i nadpisywane lub usuwane poprzez normalną rotację kopii zapasowych, chyba że podlegają wstrzymaniu prawnemu.	Zaplanowane nadpisanie, wygaśnięcie lub bezpieczne zniszczenie.

8. Procedury Usuwania Danych i Bezpiecznego Usuwania

GNOMI egzekwuje usuwanie i utylizację danych poprzez kontrole administracyjne, techniczne i proceduralne. Metody utylizacji są wybierane na podstawie typu danych, systemu, wrażliwości, wymagań dotyczących przechowywania oraz wykonalności technicznej.

• Usunięcie lub wyczyszczenie z aktywnych systemów produkcyjnych, gdy dane nie są już wymagane.
• Anonimizacja lub agregacja, gdy GNOMI musi zachować analizy lub wgląd w produkt bez przechowywania rozsądnie identyfikowalnych Danych Osobowych.
• Ograniczenie lub dezaktywacja danych, gdy usunięcie jest tymczasowo ograniczone przez blokadę prawną, bezpieczeństwo, audyt, księgowość, rozwiązywanie sporów lub ograniczenia techniczne.
• Bezpieczna utylizacja zapisów i eksportów przy użyciu zatwierdzonych procesów usuwania, niszczenia lub cofania dostępu.
• Przegląd systemów i dostawców w celu potwierdzenia, że obowiązki dotyczące przechowywania i utylizacji są operacjonalizowane tam, gdzie dane są przetwarzane w imieniu GNOMI.
• Cofnięcie i usunięcie tokenów dostępu Plaid, poświadczeń OAuth, poświadczeń API oraz powiązanych sekretów integracji, gdy integracje są rozłączone, wygasły lub nie są już wymagane.
• Usunięcie lub anonimizacja wygenerowanych przez AI analiz finansowych, gdy powiązane podstawowe integracje finansowe są cofnięte lub usunięte, chyba że przechowywanie jest w inny sposób wymagane.

9. Żądania Podmiotów Danych RODO i Zamknięcie Konta

Gdy ma zastosowanie RODO lub inne obowiązujące prawo ochrony prywatności, GNOMI przetwarza żądania podmiotów danych dotyczące dostępu, korekty, usunięcia, ograniczenia, sprzeciwu i przenoszenia zgodnie z obowiązującymi wymogami prawnymi i prawnymi wyjątkami. GNOMI ocenia żądania na podstawie tożsamości wnioskodawcy, charakteru danych, obowiązującej podstawy prawnej, wymagań systemowych oraz wszelkich prawnych obowiązków przechowywania danych.

Po zweryfikowanym zamknięciu konta lub zweryfikowanym żądaniu usunięcia, GNOMI usuwa, anonimizuje lub ogranicza odpowiednie Dane Osobowe z aktywnych systemów, chyba że przechowywanie jest wymagane lub dozwolone ze względów prawnych, regulacyjnych, umownych, bezpieczeństwa, zapobiegania oszustwom, księgowości, audytu, rozwiązywania sporów lub uzasadnionych celów biznesowych. Gdy dane nie mogą być natychmiast usunięte z kopii zapasowych, są chronione przed zwykłym użyciem i usuwane w ramach obowiązującego cyklu życia kopii zapasowych.

Gdy jest to technicznie wykonalne i prawnie dozwolone, GNOMI przetwarza zweryfikowane żądania rozłączenia integracji finansowych, cofnięcia tokenów dostępu finansowego, usunięcia powiązanych danych analitycznych portfela oraz usunięcia wygenerowanych przez AI analiz finansowych związanych z autoryzowanymi przez użytkownika integracjami finansowymi.

10. Blokady Prawne i Wyjątki od Przechowywania

GNOMI może zawiesić normalne harmonogramy przechowywania lub usuwania, gdy dane podlegają blokadzie prawnej, sporowi, dochodzeniu, żądaniu regulacyjnemu, wymogowi audytu, incydentowi bezpieczeństwa, zobowiązaniu umownemu, zobowiązaniu księgowemu lub innemu prawnemu wymogowi biznesowemu. Dane podlegające blokadzie prawnej lub zatwierdzonemu wyjątkowi są przechowywane tylko tak długo, jak długo obowiązuje wyjątek, a następnie są zwracane do odpowiedniego procesu przechowywania i utylizacji. Bezpieczeństwo, zapobieganie oszustwom, przeciwdziałanie nadużyciom, rozwiązywanie sporów, audyt, przegląd regulacyjny lub inne prawne obowiązki zgodności mogą wymagać ograniczonego dalszego przechowywania zapisów integracji finansowych lub metadanych finansowych związanych z bezpieczeństwem.

11. Dostawcy, Podmioty Przetwarzające i Systemy Stron Trzecich

Gdy GNOMI korzysta z zewnętrznych dostawców usług do przechowywania lub przetwarzania danych, GNOMI wymaga odpowiedniego postępowania z przechowywaniem i utylizacją poprzez przegląd dostawców, zobowiązania umowne, gdy ma to zastosowanie, oraz kontrole operacyjne. W przypadku dostawców działających jako podmioty przetwarzające lub usługodawcy, GNOMI oczekuje, że zobowiązania dotyczące przechowywania, usuwania, poufności, bezpieczeństwa i pomocy będą uwzględnione w odpowiednich umowach, warunkach przetwarzania danych lub kontrolach dostawców.

GNOMI przegląda praktyki postępowania z danymi dostawców odpowiednio do charakteru usługi, wrażliwości danych oraz obowiązujących wymogów dotyczących prywatności i bezpieczeństwa. Gdy GNOMI otrzymuje zweryfikowane żądanie usunięcia, które dotyczy danych przechowywanych przez dostawcę lub podmiot przetwarzający, GNOMI podejmuje rozsądne kroki w celu przekazania lub wykonania żądania usunięcia, ograniczenia lub anonimizacji poprzez odpowiedni przepływ pracy dostawcy, z zastrzeżeniem prawnych wyjątków.

GNOMI ocenia Plaid i innych dostawców integracji finansowych pod kątem odpowiednich kontroli umownych, prywatności, bezpieczeństwa, przechowywania, usuwania, poufności i zgodności regulacyjnej.

Gdy jest to wymagane, GNOMI wdraża odpowiednie zabezpieczenia transferu danych zgodne z RODO dla przetwarzania transgranicznego obejmującego dane integracji finansowych.

12. Kopie Zapasowe i Odzyskiwanie po Awarii

Dane zawarte w kopiach zapasowych lub systemach odzyskiwania po awarii mogą utrzymywać się przez ograniczony okres po usunięciu z aktywnych systemów produkcyjnych. Dane kopii zapasowych są chronione przed nieautoryzowanym dostępem i podlegają kontrolom cyklu życia, harmonogramom przechowywania oraz zaplanowanemu nadpisywaniu lub usuwaniu. GNOMI nie wykorzystuje danych kopii zapasowych do zwykłego przetwarzania biznesowego po obowiązującym żądaniu usunięcia, z wyjątkiem sytuacji, gdy przywrócenie jest wymagane ze względów bezpieczeństwa, odzyskiwania po awarii, prawnych lub konieczności operacyjnej. Dane integracji finansowych i wygenerowane przez AI analizy finansowe przechowywane w systemach kopii zapasowych pozostają przedmiotem ograniczeń dostępu, kontroli szyfrowania, zarządzania cyklem życia i procedur bezpiecznego nadpisywania.

13. Egzekwowanie i Odpowiedzialności

Zarząd GNOMI, personel ds. bezpieczeństwa, inżynierii, produktu, operacji i zgodności są odpowiedzialni za stosowanie niniejszej polityki w swoich obszarach odpowiedzialności. Pracownicy i wykonawcy muszą przestrzegać zatwierdzonych procedur przechowywania, usuwania, kontroli dostępu i utylizacji. Nieautoryzowane przechowywanie, eksportowanie, kopiowanie lub utylizacja danych poza zatwierdzonymi procesami jest zabroniona.

14. Okresowy Przegląd

Niniejsza polityka jest przeglądana co najmniej raz w roku oraz po istotnych zmianach w produktach, systemach, dostawcach, działaniach przetwarzania danych, wymogach prawnych, zobowiązaniach umownych lub postawie bezpieczeństwa GNOMI. Przeglądy mają na celu potwierdzenie, że standardy przechowywania, procedury utylizacji, praktyki zgodne z RODO, kontrole dostawców i egzekwowanie operacyjne pozostają odpowiednie i skuteczne. Przeglądy muszą uwzględniać nowe funkcje integracji finansowych, funkcjonalność analizy finansowej AI, systemy analityki portfela, zmiany w integracjach Plaid oraz ewoluujące zobowiązania dotyczące prywatności lub danych finansowych.

15. Potwierdzenie Zgodności

GNOMI utrzymuje niniejszą politykę jako aktywną dokumentację firmową dotyczącą przechowywania, usuwania i utylizacji danych. Niniejsza polityka została zaprojektowana w celu wspierania zgodności z obowiązującymi przepisami o ochronie danych, w tym RODO, gdy ma to zastosowanie, oraz w celu zapewnienia zdefiniowanych i wykonalnych ram dotyczących tego, jak GNOMI przechowuje, usuwa, anonimizuje i utylizuje dane.

16. Zatwierdzenie

Zatwierdzone przez zarząd GNOMI jako aktywna polityka firmowa dotycząca Przechowywania i Utylizacji Danych, w tym praktyk przechowywania i usuwania zgodnych z RODO.

12. Polityka Bezpieczeństwa Informacji

Obejmująca RODO i Kontrole Obowiązującego Prawa o Ochronie Prywatności

2. Zakres

Niniejsza polityka ma zastosowanie do wszystkich pracowników GNOMI, założycieli, członków kierownictwa, wykonawców, konsultantów, dostawców usług, dostawców, systemów, aplikacji, środowisk chmurowych, baz danych, repozytoriów kodu źródłowego, zasobów produkcyjnych, urządzeń firmowych, danych użytkowników, danych partnerów oraz wszelkich innych zasobów informacyjnych wykorzystywanych do dostarczania produktów i usług GNOMI.

Niniejsza polityka ma zastosowanie do danych firmowych, klienckich, użytkowników, finansowych, technicznych, operacyjnych, uwierzytelniających, API oraz danych zarządzanych przez dostawców, w tym danych rachunków maklerskich autoryzowanych przez użytkowników, danych relacji bankowych, zasobów portfelowych, metadanych transakcji, tokenów integracji finansowych, analiz portfelowych generowanych przez AI oraz wyników analiz finansowych, w tym Danych Osobowych, danych wrażliwych i danych regulowanych przetwarzanych przez GNOMI lub w jego imieniu.

3. Zgodność Prawna, Regulacyjna i z Przepisami o Ochronie Prywatności

GNOMI projektuje i prowadzi swój program bezpieczeństwa w celu wspierania zgodności ze wszystkimi obowiązującymi przepisami, zasadami, regulacjami i wymogami umownymi dotyczącymi bezpieczeństwa informacji i prywatności, istotnymi dla jego działalności, w tym, tam gdzie mają zastosowanie:

• Ogólne Rozporządzenie o Ochronie Danych (RODO) oraz obowiązujące wymogi ochrony danych UE/EOG;
• Wymogi UK GDPR i Data Protection Act, tam gdzie mają zastosowanie;
• Przepisy stanowe USA dotyczące prywatności i bezpieczeństwa, w tym CCPA/CPRA oraz New York SHIELD Act, tam gdzie mają zastosowanie;
• Wymogi GLBA i FTC Safeguards Rule w zakresie, w jakim GNOMI przetwarza dane podlegające tym zobowiązaniom;
• Umowne zobowiązania partnerów w zakresie bezpieczeństwa, w tym ochrony danych, poufności, kontroli dostępu, powiadamiania o incydentach oraz wymogów bezpieczeństwa dostawców;
• Obowiązujące wymogi dotyczące powiadamiania o naruszeniach, minimalizacji danych, retencji, usuwania oraz praw użytkowników;
• Umowne zobowiązania Plaid dotyczące bezpieczeństwa i obsługi danych mające zastosowanie do środowisk integracji finansowych;
• Obowiązujące zobowiązania dotyczące prywatności danych finansowych, zabezpieczeń i ochrony konsumentów odnoszące się do integracji finansowych autoryzowanych przez użytkowników.

Tam gdzie przepisy, umowy lub wymogi partnerów nakładają surowsze zobowiązania niż niniejsza polityka, stosuje się surowszy standard. GNOMI okresowo przegląda niniejszą politykę w celu zapewnienia, że pozostaje ona zgodna z obowiązującymi wymogami prawnymi, regulacyjnymi, partnerskimi i bezpieczeństwa.

4. Wymogi RODO i Prywatności przez Projektowanie

GNOMI stosuje zasady prywatności przez projektowanie i bezpieczeństwa przez projektowanie do systemów i procesów obejmujących Dane Osobowe. Tam gdzie ma zastosowanie RODO, kontrole bezpieczeństwa i prywatności GNOMI są zaprojektowane w celu wspierania następujących zasad:

• Zgodność z prawem, rzetelność i przejrzystość w działaniach przetwarzania danych;
• Ograniczenie celu i wykorzystywanie danych wyłącznie do uzasadnionych celów biznesowych, produktowych, prawnych, bezpieczeństwa lub celów autoryzowanych przez użytkownika;
• Minimalizacja danych i gromadzenie wyłącznie danych racjonalnie niezbędnych do określonego celu;
• Prawidłowość oraz odpowiednie procesy korygowania lub usuwania;
• Ograniczenie przechowywania poprzez określone standardy retencji i usuwania;
• Integralność i poufność poprzez odpowiednie środki techniczne i organizacyjne;
• Rozliczalność poprzez dokumentację, odpowiedzialność, przegląd i egzekwowanie kontroli prywatności i bezpieczeństwa.
• Przetwarzanie danych finansowych autoryzowanych przez użytkownika musi być ograniczone do zakresu zgody, konieczności umownej lub innej prawnej podstawy mającej zastosowanie do żądanej funkcjonalności.
• Funkcje analizy finansowej oraz funkcjonalność analizy portfelowej generowanej przez AI muszą uwzględniać minimalizację danych, dostęp oparty na zasadzie najmniejszych uprawnień, bezpieczne przetwarzanie oraz odpowiednie kontrole przejrzystości dla użytkownika.

GNOMI wspiera procesy realizacji praw osób, których dane dotyczą, w tym dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu, tam gdzie mają zastosowanie. Wnioski są oceniane zgodnie z obowiązującym prawem oraz wewnętrznymi wymogami GNOMI dotyczącymi prywatności, bezpieczeństwa, retencji i blokad prawnych.

5. Zarządzanie Bezpieczeństwem i Odpowiedzialność

• Kierownictwo wykonawcze jest odpowiedzialne za zapewnienie, że GNOMI utrzymuje program bezpieczeństwa informacji odpowiedni do wielkości firmy, profilu ryzyka, produktów, danych i zobowiązań wobec partnerów.
• Obowiązki w zakresie bezpieczeństwa są przypisane odpowiednio do interesariuszy z działów inżynierii, produktu, operacji, prawnego i kierownictwa wykonawczego.
• Wymagania bezpieczeństwa są włączane do rozwoju produktu, wyboru dostawców, zarządzania dostępem, reagowania na incydenty, obsługi danych i podejmowania decyzji operacyjnych.
• GNOMI utrzymuje wewnętrzne procedury i wspierające kontrole w celu wdrożenia niniejszej polityki, w tym kontrole dostępu, przechowywanie danych, reagowanie na incydenty, zarządzanie dostawcami i praktyki bezpiecznego rozwoju.

6. Zarządzanie Ryzykiem

GNOMI identyfikuje, ocenia, łagodzi i monitoruje ryzyka bezpieczeństwa informacji, które mogą wpływać na poufność, integralność, dostępność, prywatność lub zgodność prawną. Przegląd ryzyka może obejmować architekturę systemu, przepływy danych, zależności od dostawców, kontrole uwierzytelniania, uprawnienia dostępu, środowiska produkcyjne, nowe funkcje produktu, integracje z podmiotami trzecimi i historię incydentów.

Istotne ryzyka są eskalowane do odpowiedniego kierownictwa w celu naprawy, akceptacji, przeniesienia lub dodatkowych kontroli. Decyzje dotyczące postępowania z ryzykiem muszą uwzględniać wymagania prawne, zobowiązania wobec partnerów, wpływ na użytkowników, wpływ na bezpieczeństwo i ciągłość działania.

Oceny ryzyka muszą uwzględniać integracje finansowe, zależności od Plaid, funkcjonalność analizy finansowej generowanej przez AI, systemy analityki portfela, kontrole dostępu do danych finansowych, wyniki modeli i przepływy danych finansowych podmiotów trzecich.

7. Klasyfikacja i Obsługa Danych

GNOMI klasyfikuje i chroni dane zgodnie z wrażliwością, wartością biznesową, zobowiązaniami prawnymi i ryzykiem. Kategorie danych mogą obejmować dane publiczne, wewnętrzne, poufne, wrażliwe, osobowe, finansowe, uwierzytelniające, kod źródłowy, bezpieczeństwo i dane partnerów.

• Dane Wrażliwe i Dane Osobowe muszą być dostępne tylko dla upoważnionego personelu z uzasadnionym potrzebą biznesową.
• Dane muszą być przechowywane, przesyłane i przetwarzane przy użyciu zatwierdzonych systemów i odpowiednich zabezpieczeń.
• Sekrety, dane uwierzytelniające, tokeny, klucze API, klucze prywatne i certyfikaty nie mogą być przechowywane w repozytoriach w postaci zwykłego tekstu, niezabezpieczonych dokumentach, wiadomościach czatu lub nieautoryzowanych systemach.
• Dane produkcyjne nie mogą być kopiowane do środowisk nieprodukcyjnych, chyba że zostały zatwierdzone i odpowiednio chronione, zminimalizowane, zanonimizowane lub pseudonimizowane, gdzie jest to możliwe.
• Obsługa danych musi być zgodna z wymaganiami GNOMI dotyczącymi przechowywania, usuwania, utylizacji i prywatności.
• Dane konta maklerskiego autoryzowane przez użytkownika, informacje bankowe, zasoby portfela, metadane transakcji, spostrzeżenia finansowe generowane przez AI i wyniki sentymentu portfela muszą być klasyfikowane jako Dane Wrażliwe.
• Dane integracji finansowej mogą być przetwarzane wyłącznie przez zatwierdzone systemy i autoryzowane przepływy pracy.
• Produkcyjne dane integracji finansowej nie mogą być kopiowane do środowisk deweloperskich lub testowych, chyba że są zminimalizowane, zanonimizowane, pseudonimizowane lub w inny sposób odpowiednio chronione.

8. Zarządzanie Tożsamością i Dostępem

GNOMI egzekwuje kontrole dostępu zaprojektowane w celu ograniczenia dostępu do zasobów produkcyjnych, zasobów chmurowych, narzędzi administracyjnych, systemów, repozytoriów kodu źródłowego i Danych Wrażliwych. Dostęp jest przyznawany na podstawie roli, potrzeby biznesowej, najmniejszych uprawnień i wymagań zatwierdzenia.

• Kontrola dostępu oparta na rolach (RBAC) jest stosowana tam, gdzie jest wspierana przez systemy i aplikacje.
• Dostęp uprzywilejowany i administracyjny jest ograniczony do upoważnionego personelu i przeglądany okresowo.
• Scentralizowane rozwiązania zarządzania tożsamością i dostępem są stosowane tam, gdzie jest to właściwe, w celu zarządzania uwierzytelnianiem i autoryzacją użytkowników.
• Uwierzytelnianie wieloskładnikowe jest wymagane dla kont uprzywilejowanych i systemów krytycznych, gdzie jest wspierane.
• Przeglądy i audyty dostępu są przeprowadzane okresowo w celu potwierdzenia, że dostęp pozostaje odpowiedni.
• Dostęp jest modyfikowany lub cofany, gdy personel zmienia role, przenosi obowiązki lub kończy swoją relację z GNOMI.
• Uwierzytelnianie nieludzkie, w tym konta usług, tokeny OAuth, dane uwierzytelniające API i certyfikaty TLS, muszą być zatwierdzone, bezpiecznie przechowywane, ograniczone do minimalnych wymaganych uprawnień oraz rotowane lub cofane, gdy nie są już potrzebne.
• Dostęp do systemów integracji finansowej, środowisk administracyjnych Plaid, systemów inteligencji finansowej AI i zbiorów danych finansowych użytkowników musi być ograniczony do upoważnionego personelu z uzasadnioną potrzebą operacyjną, bezpieczeństwa, zgodności lub wsparcia.
• Dostęp administracyjny do systemów zdolnych do pobierania lub analizowania danych konta finansowego autoryzowanych przez użytkownika wymaga uwierzytelniania wieloskładnikowego, gdzie jest wspierane.

9. Bezpieczeństwo Zasobów Produkcyjnych

• Środowiska produkcyjne muszą być chronione poprzez kontrole dostępu, rejestrowanie zdarzeń, monitorowanie, bezpieczną konfigurację oraz praktyki zarządzania zmianami.
• Dostęp do środowisk produkcyjnych jest ograniczony do personelu posiadającego zatwierdzone potrzeby operacyjne lub inżynieryjne.
• Zmiany w systemach produkcyjnych muszą przebiegać zgodnie z odpowiednimi praktykami przeglądu, testowania, zatwierdzania i wdrażania, w oparciu o ryzyko i pilność.
• Wrażliwe dane produkcyjne nie powinny być eksportowane, pobierane ani przekazywane, chyba że jest to autoryzowane w uzasadnionym celu biznesowym, prawnym, związanym z bezpieczeństwem lub operacyjnym.
• Awaryjny dostęp do środowisk produkcyjnych musi być ograniczony, rejestrowany i przeglądany po użyciu.
• Systemy przetwarzające dane integracji finansowych autoryzowane przez użytkownika muszą wdrażać odpowiednie kontrole rejestrowania, monitorowania, szyfrowania, ograniczania dostępu oraz bezpiecznej konfiguracji.
• Dostęp do wygenerowanych przez AI analiz finansowych oraz wyników analityki portfela musi być ograniczony zgodnie z wrażliwością powiązanych danych finansowych użytkownika.

10. Szyfrowanie, Sekrety i Zarządzanie Kluczami

GNOMI stosuje odpowiednie zabezpieczenia techniczne w celu ochrony wrażliwych danych, danych uwierzytelniających i komunikacji. Szyfrowanie musi być stosowane dla wrażliwych danych w tranzycie oraz dla wrażliwych danych w spoczynku, tam gdzie jest to wspierane i odpowiednie. Sekrety, tokeny, certyfikaty, klucze i dane uwierzytelniające muszą być przechowywane w zatwierdzonych bezpiecznych systemach i chronione przed nieautoryzowanym użyciem lub ujawnieniem.

Klucze i dane uwierzytelniające muszą być rotowane, wyłączane lub unieważniane w przypadku ich kompromitacji, gdy nie są już potrzebne lub gdy zmienia się dostęp personelu lub dostawcy. Dane uwierzytelniające nie mogą być współdzielone między użytkownikami, z wyjątkiem przypadków, gdy stosowane są zatwierdzone kontrole kont usługowych.

Dane uwierzytelniające API Plaid, tokeny integracji finansowych, dane uwierzytelniające OAuth, sekrety webhook, tokeny odświeżania oraz powiązane sekrety integracji finansowych muszą być szyfrowane, bezpiecznie przechowywane i chronione przed nieautoryzowanym dostępem.

11. Rejestrowanie Zdarzeń, Monitorowanie i Przegląd Bezpieczeństwa

GNOMI utrzymuje praktyki rejestrowania zdarzeń i monitorowania odpowiednie do swoich systemów i profilu ryzyka. Logi mogą obejmować zdarzenia uwierzytelniania, działania administracyjne, zdarzenia aplikacji, aktywność systemową, zmiany produkcyjne, zmiany dostępu oraz błędy lub alerty związane z bezpieczeństwem.

• Logi są przeglądane w razie potrzeby w celu zbadania zdarzeń bezpieczeństwa, problemów operacyjnych, anomalii dostępu oraz incydentów.
• Zdarzenia związane z bezpieczeństwem są eskalowane do odpowiedzialnego personelu w celu zbadania i naprawy.
• Kontrole monitorowania i alertowania są aktualizowane w miarę ewolucji systemów, dostawców i ryzyk biznesowych.
• Logi zawierające Dane Osobowe lub informacje wrażliwe muszą być chronione i przechowywane zgodnie z obowiązkami GNOMI dotyczącymi retencji i prywatności.
• Monitorowanie bezpieczeństwa powinno obejmować aktywność integracji finansowych, zdarzenia integracji Plaid, zdarzenia zarządzania tokenami, uprzywilejowany dostęp do zbiorów danych finansowych oraz anomalne wzorce dostępu dotyczące informacji finansowych użytkownika.

12. Bezpieczne Wytwarzanie Oprogramowania i Zarządzanie Zmianami

GNOMI włącza bezpieczeństwo do procesu wytwarzania oprogramowania i dostarczania produktów. Wymagania bezpieczeństwa są uwzględniane podczas projektowania, wytwarzania, testowania, wdrażania i utrzymania systemów GNOMI.

• Zmiany w kodzie powinny być przeglądane przed wdrożeniem do środowiska produkcyjnego, tam gdzie jest to odpowiednie.
• Zmiany wpływające na bezpieczeństwo muszą być oceniane pod kątem ryzyka, w tym zmiany dotyczące uwierzytelniania, autoryzacji, przepływów danych, API, integracji, infrastruktury produkcyjnej lub wrażliwych danych.
• Zależności, biblioteki i komponenty stron trzecich powinny być przeglądane i aktualizowane w odpowiedni sposób w celu zmniejszenia znanych podatności.
• Podatności zidentyfikowane poprzez przegląd wewnętrzny, raporty stron trzecich, monitorowanie lub powiadomienia dostawców muszą być klasyfikowane i naprawiane w oparciu o ich dotkliwość i wpływ na działalność.
• Zmiany wpływające na bezpieczeństwo, dotyczące integracji finansowych, API Plaid, analityki portfela generowanej przez AI, funkcjonalności analizy finansowej lub przepływów danych finansowych użytkownika, muszą przejść odpowiedni przegląd bezpieczeństwa i prywatności przed wdrożeniem.

13. Bezpieczeństwo Dostawców i Stron Trzecich

GNOMI ocenia dostawców zewnętrznych, podmioty przetwarzające, podpodmioty przetwarzające oraz partnerów integracyjnych w oparciu o rodzaj przetwarzanych danych, świadczone usługi, zależność operacyjną, stan bezpieczeństwa, obowiązki prawne oraz wymagania umowne.

• Dostawcy, którzy przetwarzają dane wrażliwe, osobowe, finansowe lub dane użytkowników, muszą być sprawdzani pod kątem odpowiednich zabezpieczeń bezpieczeństwa i prywatności.
• Umowy powinny zawierać zobowiązania dotyczące poufności, ochrony danych, bezpieczeństwa, kontroli dostępu, powiadamiania o incydentach, przechowywania, usuwania i podwykonawców, tam gdzie jest to właściwe.
• Dostęp dostawców do systemów lub danych GNOMI musi być ograniczony do autoryzowanego użytku i cofnięty, gdy nie jest już wymagany.
• GNOMI monitoruje istotne ryzyka związane z dostawcami i może żądać od dostawców dokumentacji bezpieczeństwa, atestacji lub dowodów zgodności, gdy jest to właściwe.
• Dostawcy integracji finansowych, w tym Plaid i powiązani podwykonawcy, muszą być oceniani pod kątem postawy bezpieczeństwa, kontroli ochrony danych, zgodności z przepisami regulacyjnymi oraz umownych zobowiązań dotyczących prywatności.
• Transfery transgraniczne obejmujące dane integracji finansowych z UE lub Wielkiej Brytanii muszą wykorzystywać odpowiednie zgodne z prawem mechanizmy transferu, tam gdzie jest to wymagane.

14. Reagowanie na Incydenty i Powiadamianie o Naruszeniach

GNOMI utrzymuje procedury reagowania na incydenty w celu identyfikacji, badania, powstrzymywania, naprawiania, dokumentowania i komunikowania incydentów bezpieczeństwa. Incydenty bezpieczeństwa mogą obejmować nieautoryzowany dostęp, ujawnienie danych, kompromitację danych uwierzytelniających, kompromitację systemu, utratę danych, złośliwe oprogramowanie, zakłócenie usług lub podejrzenie naruszenia poufności, integralności lub dostępności.

• Incydenty muszą być niezwłocznie eskalowane do odpowiednich wewnętrznych interesariuszy.
• GNOMI oceni charakter, zakres, dotknięte systemy, dotknięte dane, wpływ na użytkowników, wpływ na partnerów, zobowiązania prawne oraz środki naprawcze.
• Powiadomienie użytkowników, organów regulacyjnych, partnerów, dostawców lub innych stron zostanie dokonane, gdy jest to wymagane przez obowiązujące prawo, umowę lub ustalenia GNOMI dotyczące reagowania na incydenty.
• Wnioski wyciągnięte z incydentów mogą być wykorzystane do poprawy kontroli, procedur, szkoleń, monitorowania i nadzoru nad dostawcami.
• Incydenty dotyczące systemów integracji finansowych, danych uwierzytelniających Plaid, informacji maklerskich lub bankowych, systemów analityki portfela lub wyników inteligencji finansowej generowanej przez AI muszą być traktowane priorytetowo w zakresie badania i powstrzymywania.

15. Przechowywanie Danych, Usuwanie i Blokada Prawna

GNOMI przechowuje informacje tylko tak długo, jak jest to racjonalnie konieczne do celu, w którym zostały zebrane lub przetworzone, w tym dostarczania produktu, zarządzania kontami użytkowników, bezpieczeństwa, zapobiegania oszustwom, analityki, zgodności prawnej, dokumentacji finansowej, zobowiązań umownych, rozstrzygania sporów i uzasadnionych operacji biznesowych.

• Dane Osobowe muszą być usunięte, zanonimizowane lub bezpiecznie zutylizowane, gdy nie są już wymagane, z zastrzeżeniem prawnych, regulacyjnych, umownych, bezpieczeństwa lub uzasadnionych biznesowych potrzeb przechowywania.
• Żądania usunięcia użytkownika i zamknięcia konta są obsługiwane zgodnie z obowiązującymi przepisami o ochronie prywatności i wymogami przechowywania GNOMI.
• Kopie zapasowe i dzienniki są przechowywane i usuwane zgodnie z określonymi praktykami cyklu życia i mogą podlegać opóźnionemu usunięciu ze względu na wymagania techniczne, bezpieczeństwa lub prawne.
• Blokady Prawne mogą zawiesić usuwanie lub utylizację, gdy jest to konieczne do zachowania informacji w celach prawnych, regulacyjnych, audytowych, dochodzeniowych lub spornych.
• Dane integracji finansowych i spostrzeżenia finansowe generowane przez AI muszą być usunięte, zanonimizowane, ograniczone lub odwołane tokeny, gdy nie są już wymagane do autoryzowanej funkcjonalności, z zastrzeżeniem zgodnych z prawem wymogów przechowywania.

16. Bezpieczeństwo Personelu i Szkolenia

Personel GNOMI i wykonawcy z dostępem do systemów firmowych, zasobów produkcyjnych lub danych wrażliwych muszą przestrzegać niniejszej polityki i obowiązujących procedur bezpieczeństwa. Oczekuje się, że personel będzie chronić dane uwierzytelniające, używać zatwierdzonych systemów, zgłaszać podejrzane incydenty bezpieczeństwa i obsługiwać dane zgodnie z klasyfikacją i wymogami potrzeby wiedzy.

Świadomość bezpieczeństwa i prywatności może być zapewniana poprzez wdrożenie, wytyczne specyficzne dla roli, komunikację wewnętrzną i bieżące aktualizacje w miarę ewolucji produktów, ryzyk i zobowiązań dotyczących zgodności GNOMI.

Personel z dostępem do systemów integracji finansowych lub danych finansowych autoryzowanych przez użytkownika może otrzymać dodatkowe wytyczne dotyczące obsługi danych finansowych, zobowiązań dotyczących prywatności, bezpiecznego przetwarzania, zapobiegania phishingowi, bezpieczeństwa tokenów i procedur eskalacji incydentów.

17. Ciągłość Działania i Dostępność

GNOMI utrzymuje rozsądne środki wspierające ciągłość i dostępność krytycznych usług. Kontrole mogą obejmować odporność chmury, kopie zapasowe, monitorowanie, eskalację incydentów, przegląd zależności od dostawców, planowanie odzyskiwania po awarii i procedury reagowania operacyjnego w oparciu o krytyczność systemu i ryzyko. Planowanie ciągłości działania powinno uwzględniać zależności od Plaid i innych dostawców integracji finansowych, w tym ryzyka dostępności, awarie dostawców, awarie tokenów i zakłócenia usług integracji finansowych.

18. Wyjątki

Każdy wyjątek od niniejszej polityki musi być zatwierdzony przez odpowiednie kierownictwo GNOMI na podstawie potrzeby biznesowej, ryzyka, kontroli kompensacyjnych, czasu trwania oraz wymogów prawnych lub umownych. Wyjątki muszą być udokumentowane, tam gdzie jest to właściwe, i przeglądane okresowo do czasu naprawienia lub formalnego zaakceptowania.

19. Egzekwowanie

Nieprzestrzeganie niniejszej polityki może skutkować cofnięciem dostępu, wymogami naprawczymi, działaniami wobec dostawcy, działaniami dyscyplinarnymi, rozwiązaniem umowy lub innymi środkami odpowiednimi do charakteru i wagi naruszenia. GNOMI może badać podejrzane naruszenia i podejmować działania naprawcze w celu ochrony systemów firmowych, użytkowników, partnerów i danych.