Swopli logo

Lijst van Subverwerkers

Versie: v1.0
Voorlopige versie — onderworpen aan juridische beoordeling
Nesta página

    1. Doel

    Dit document vermeldt alle externe dienstverleners ("subverwerkers") die Swopli LTDA (CNPJ 61.902.473/0001-79) inschakelt om persoonsgegevens namens Swopli-gebruikers te verwerken.

    Deze lijst wordt bijgehouden met het oog op transparantie en om te voldoen aan verplichtingen inzake gegevensbescherming uit hoofde van:

    • de Braziliaanse Lei Geral de Proteção de Dados (LGPD), Law 13.709/2018
    • de Algemene verordening gegevensbescherming van de EU (GDPR), Regulation 2016/679
    • overige toepasselijke wetten inzake gegevensbescherming in de 70 landen waar Swopli actief is

    Voor volledige informatie over de wijze waarop Swopli persoonsgegevens verwerkt, raadpleegt u ons Privacybeleid.

    2. Kennisgeving van wijzigingen

    Swopli zal 30 dagen vooraf kennisgeven van iedere wijziging in deze lijst van subverwerkers, waaronder:

    • toevoeging van een nieuwe subverwerker
    • verwijdering van een bestaande subverwerker
    • materiële wijzigingen in de rol of gegevensverwerkingsactiviteiten van een subverwerker

    De kennisgeving wordt per e-mail verzonden naar het adres dat aan uw Swopli-account is gekoppeld. U kunt zich tevens abonneren op updates via swopli.com/nl/juridisch/subverwerkers.

    Indien u bezwaar maakt tegen de toevoeging van een nieuwe subverwerker, kunt u uw account binnen de kennisgevingstermijn van 30 dagen beëindigen. Voor nadere informatie over de beëindiging van accounts raadpleegt u onze Servicevoorwaarden.

    3. Huidige subverwerkers

    Onderstaande tabel vermeldt alle subverwerkers die momenteel door Swopli worden ingeschakeld, het doel waarvoor zij gegevens verwerken, de categorieën verwerkte gegevens, hun locatie en links naar hun verwerkersovereenkomsten of privacybeleid.

    Subverwerker Doel Verwerkte gegevens Locatie Link verwerkersovereenkomst
    Supabase, Inc. Database, authenticatie, opslag Accountgegevens, productvermeldingen, berichten, handelsregistraties, afbeeldingen Verenigde Staten (AWS us-east-1) met gegevensresidentie in Brazilië (AWS sa-east-1) supabase.com/legal/dpa
    Stripe, Inc. Betalingsverwerking, uitbetalingen Betaalmethoden, transactiegegevens, factuuradres, bankrekeninggegevens (verkopers), afleveradres Verenigde Staten (met Braziliaanse entiteit Stripe Payments Brasil Serviços Financeiros Ltda.) stripe.com/legal/dpa
    RevenueCat, Inc. Platformoverstijgende abonnementsorkestratie (iOS/Android/Web via Paddle-synchronisatie), Customer Center, beheer van VIP-rechten Aankoopbewijzen, abonnementsstatus, gebruikers-ID, apparaatgegevens Verenigde Staten revenuecat.com/dpa
    Paddle.com Market Limited Merchant of Record voor het webbetaalproces (VIP/Boost), wereldwijde belastinginning, automatische valutaconversie Betaalmethoden, transactiegegevens, factuuradres, e-mailadres, IP-adres Verenigd Koninkrijk, Verenigde Staten paddle.com/legal/dpa
    Apple Inc. In-app aankopen (iOS) Aankoopbewijzen, Apple ID (gehasht), apparaatgegevens Verenigde Staten apple.com/legal/privacy (Apple treedt op als Merchant of Record)
    Google LLC In-app aankopen (Android) Aankoopbewijzen, Google-accountgegevens, apparaatgegevens Verenigde Staten policies.google.com/privacy (Google treedt op als Merchant of Record)
    Resend, Inc. Levering van transactionele e-mail E-mailadres, naam, e-mailinhoud (accountbevestigingen, handelsmeldingen, ondersteuningsreacties) Verenigde Staten (AWS us-east-1) resend.com/legal/dpa
    Cloudflare, Inc. CDN, DDoS-bescherming, verwerking aan de netwerkrand IP-adres, gebruikersagent, metadata van verzoeken (logbestanden gedurende 24 uur) Verenigde Staten (met wereldwijd netwerk van randlocaties) cloudflare.com/cloudflare-customer-dpa
    Sentry (Functional Software, Inc.) Foutmonitoring, storingsrapportage Foutlogboeken, aanroepstapels, apparaatgegevens, gebruikers-ID, IP-adres Verenigde Staten sentry.io/legal/dpa
    PostHog, Inc. Productanalyse (op basis van voorafgaande toestemming voor EU/EER/VK/CH) Gebeurtenisgegevens, gebruikers-ID, apparaatgegevens, functiegebruik, geanonimiseerd gedrag Europese Unie (PostHog Cloud EU) posthog.com/docs/privacy/dpa
    Nominatim (OpenStreetMap) Omgekeerde geocodering voor weergave van locatie Coördinaten, locatiezoekopdrachten Europese Unie (zelf gehost) osmfoundation.org/wiki/Privacy_Policy
    OpenAI OpCo, LLC / OpenAI Ireland Ltd. Moderation API for automated trust & safety review before publication Product listings, messages, profile text/images, moderation metadata United States / Ireland (where applicable) openai.com/policies/data-processing-addendum
    Melhor Envio Genereren van verzendlabels, tracering, retourlogistiek (uitsluitend Brazilië) Traceercodes, adressen van afzender/ontvanger, pakketafmetingen, verzendstatus Brazilië melhorenvio.com.br/termos-de-uso

    4. Doorgiftemechanismen

    4.1 Internationale doorgifte van persoonsgegevens

    Enkele subverwerkers zijn gevestigd buiten de Europese Economische Ruimte (EER), Brazilië of uw land van verblijf. Swopli waarborgt dat alle internationale doorgiften van persoonsgegevens worden beschermd door passende waarborgen, waaronder:

    • EU-standaardcontractbepalingen (SCC's): Voor doorgiften vanuit de EU/EER naar landen zonder adequaatheidsbesluit (bijv. Verenigde Staten, Brazilië) sluiten Swopli en de subverwerker de standaardcontractbepalingen van de Europese Commissie (Modules 2 en 3, voor zover van toepassing).
    • Beoordeling van de doorgifte-effecten (TIA): Swopli heeft voor alle doorgiften met een hoog risico een beoordeling van de doorgifte-effecten uitgevoerd om te waarborgen dat de SCC's in de praktijk daadwerkelijke bescherming bieden.
    • Braziliaanse (LGPD) standaardcontractbepalingen (SCC's): Voor doorgiften waarbij persoonsgegevens van Braziliaanse gebruikers betrokken zijn, gebruikt Swopli de met de LGPD verenigbare standaardcontractbepalingen of baseert Swopli zich, waar vereist op grond van Article 33 van de LGPD, op de uitdrukkelijke toestemming van de gebruiker.
    • Verwerkersovereenkomst (DPA): Alle subverwerkers hebben verwerkersovereenkomsten gesloten waarin de toepasselijke SCC's zijn opgenomen en die de subverwerker verplichten passende technische en organisatorische maatregelen te implementeren ter bescherming van persoonsgegevens.

    4.2 Sub-subverwerkers

    Enkele hierboven vermelde subverwerkers kunnen eigen subverwerkers inschakelen (bijv. aanbieders van cloudinfrastructuur). Indien dit gebeurt:

    • blijft de primaire subverwerker volledig aansprakelijk jegens Swopli voor de naleving door de sub-subverwerker;
    • worden relaties met sub-subverwerkers beheerst door de verwerkersovereenkomst en het privacybeleid van de primaire subverwerker (waarnaar in bovenstaande tabel wordt verwezen);
    • controleert Swopli primaire subverwerkers om te waarborgen dat zij gelijkwaardige verplichtingen inzake gegevensbescherming doorleggen aan sub-subverwerkers.

    4.3 Gegevensresidentie

    • Brazilië: Persoonsgegevens van gebruikers die ingezetene zijn van Brazilië worden via Supabase opgeslagen in AWS sa-east-1 (São Paulo), in overeenstemming met goede praktijken voor gegevensresidentie onder de LGPD.
    • EU/EER: PostHog-gegevens worden in de EU opgeslagen via PostHog Cloud EU. Andere subverwerkers kunnen gegevens opslaan in de Verenigde Staten of wereldwijd, met inachtneming van SCC's.
    • Rest van de wereld: De opslaglocatie van gegevens verschilt per subverwerker. Zie de kolom "Locatie" hierboven.

    5. Uw rechten

    Op grond van toepasselijke wetgeving inzake gegevensbescherming hebt u het recht om:

    • inzage te verkrijgen in de persoonsgegevens die wij over u bewaren
    • rectificatie te verkrijgen van onjuiste of onvolledige gegevens
    • uw gegevens te laten wissen (behoudens wettelijke bewaarplichten)
    • bezwaar te maken tegen verwerking op basis van gerechtvaardigde belangen
    • de verwerking te laten beperken in bepaalde omstandigheden
    • gegevensoverdraagbaarheid uit te oefenen (uw gegevens te ontvangen in een gestructureerd, machineleesbaar formaat)

    Om deze rechten uit te oefenen, bezoekt u swopli.com/nl/privacy/mijn-gegevens of e-mailt u naar dpo@swopli.com.

    Voor volledige informatie over uw rechten en over de wijze waarop Swopli persoonsgegevens verwerkt, raadpleegt u ons Privacybeleid.

    6. Vragen

    Indien u vragen hebt over deze lijst van subverwerkers, gegevensdoorgiften of onze praktijken inzake gegevensbescherming:

    Voor gebruikers in de EU/EER kunt u tevens contact opnemen met onze GDPR-vertegenwoordiger (Article 27):

    • EU-vertegenwoordiger: Benoeming in behandeling — neem in de tussentijd contact op met dpo@swopli.com