Legal Documents

Privacy Policy

Europe · Norway · Version 2026-05-11T14-08-46Z-d6hih8

Choose another market or language

WEXVR

PERSONVERNERKLÆRING

White Exchange S.r.l. (WHTEXCH)

Ikrafttredelsesdato: 11. mai 2026

Om denne erklæringen

Denne personvernerklæringen ("Erklæringen") forklarer hvordan White Exchange S.r.l., et italiensk selskap med registrert kontor på Via Durini 25, 20122 Milano, Italia, MVA- og skattekode nr. 12380700968 ("WHTEXCH", "vi", "oss" eller "vår"), behandler personopplysninger i forbindelse med WEXVR-tjenesten ("Tjenesten"), inkludert www.wexvr.com og WEXVR-applikasjonen tilgjengelig i Meta Horizon-økosystemet på kompatible Meta Quest-headset.

Denne erklæringen gjelder for personer som interagerer med WEXVR, inkludert besøkende, registrerte brukere, kjøpere av betalt innhold, støttekontakter, klagere, rapportører og personer identifisert i meldinger eller moderasjonsprosesser. Kanal-eiere (profesjonelle skapere) dekkes også i den grad personopplysninger om deres autoriserte representanter behandles.

Behandlingsansvarlig, DPO og kontaktinformasjon

Behandlingsansvarlig: White Exchange S.r.l., Via Durini 25, 20122 Milano, Italia. MVA/reg.nr. 12380700968.

Personvernombud (DPO): Francesca Valenti --- dpo@whtexch.com. DPO-kontakt er underrettet den italienske Datatilsynet (Garante) i henhold til artikkel 37(7) GDPR.

Personvern- og rettighetsforespørsler: dpo@whtexch.com.

Myndigheter og juridiske henvendelser: whtexchsolutionssrl@legalmail.it (PEC).

Personopplysninger vi behandler

Kategoriene av personopplysninger vi behandler avhenger av hvordan du interagerer med Tjenesten. Vi behandler vanligvis:

  • Konto- og identitetsopplysninger: navn (dersom oppgitt i brukernavn), e-post, land, språk, kundestøttehistorikk, kontostatus, detaljer om Kanal-eiers representant der det er aktuelt.

  • Autentisering og sikkerhetsdata: Magisk link eller passordfri innlogging, sesjons-tokener, IP-adresse, brukeragent, omtrentlig innloggingssted avledet fra IP, sikkerhetslogger, anti-misbruk- og anti-svindelindikatorer.

  • Transaksjons- og tilgangsdata: transaksjonsidentifikatorer, kjøpsstatus, produkt/tittel kjøpt, visningsteller, tilgangsperiode, planleggingsvindu, valuta, pålagte skatter, refusjonsstatus, tvistestatus, faktureringsbeskrivelser. Vi lagrer ikke fullstendige betalingskortopplysninger; disse behandles av Stripe og andre leverandører i deres sikre miljøer.

  • Bruks-, visnings- og engasjementsdata: åpnete titler, seerhistorikk, avspillingshendelser, likes, kommentarer, følgere/følger-relasjoner, tidsstempler, innholdsinvolveringshistorikk og relaterte tjenestebrukshendelser.

  • Moderasjons- og rapportdata: meldinger, rapporter, bevis, klager, årsaksforklaringer, interne gjennomgangsnotater, avgjørelser, gjentatte overtredere-registreringer.

  • Kommunikasjoner: e-poster og meldinger utvekslet med oss (støtte, personvern, juridisk).

Fraskrivelse: Kommentarer lagt ut gjennom Tjenesten er offentlige innenfor relevant brukerflate. Likes og seerhistorikk behandles i Tjenesten. Følger/følger-relasjoner vises ikke for andre brukere per i dag, men kan behandles internt for tjenestefunksjonalitet, moderasjon, anbefaling og rangering.

Kilder. Personopplysninger samles direkte fra deg (registrering, kjøp, støtte, rapporter); automatisk fra nettleseren, appen og headsettet ditt; fra betalingsprosessorer (Stripe og andre).

Spesielle kategorier. Vi samler ikke med hensikt inn spesielle kategorier av personopplysninger (artikkel 9 GDPR) eller sensitive personopplysninger (under amerikanske delstaters personvernlovgivning). Dersom slike data utilsiktet forekommer i bruker-generert innhold eller i støttekommunikasjon, anvender vi ekstra sikkerhetstiltak og bruker dem ikke til inferens eller profilering.

VR/immersiv teknologi. Tjenesten bruker for øyeblikket ikke øyesporing, ansiktsgjenkjenning, biometriske eller sammenlignbare inferenssignaler for å identifisere eller profilere brukere. Enhver enhetsnivåbehandling av slike signaler av Meta Quest-maskinvaren eller operativsystemet reguleres av Metas personvernerklæringer og headset-kontroller som er tilgjengelige for deg. Dersom vi skulle introdusere immersive funksjoner som involverer biometriske eller atferdsdata, vil vi oppdatere denne Erklæringen og anvende ekstra sikkerhetstiltak, inkludert en personvernkonsekvensvurdering (DPIA) i henhold til artikkel 35 GDPR før implementering.

Formål, lovlige grunnlag og balansertester

Der GDPR/UK GDPR gjelder, gir de angitte lovlige grunnlagene referanse til artikkel 6 GDPR (og artikkel 9 GDPR for spesielle kategorier data). For hvert artikkel 6(1)(f) (berettigede interesser) grunnlag nedenfor har WHTEXCH utført og dokumentert en vurdering av berettigede interesser (LIA), tilgjengelig på forespørsel til dpo@whtexch.com.

Formål Beskrivelse Lovlig grunnlag

Tjenesteleveranse Kontoopprettelse, autentisering, behandling av kjøp, oppheving og administrasjon av tilgang, kundeservice. Oppfyllelse av kontrakt --- art. 6(1)(b)

Betalinger og fakturering Behandling av betalinger, fakturering, refusjoner, tilbakeføringer, håndtering av tvister, regnskap. Oppfyllelse av kontrakt --- art. 6(1)(b); juridisk forpliktelse --- art. 6(1)(c)

Anti-fraud, security, abuse Fraud detection, anti-piracy, account-takeover prevention, scraping. Legal obligation --- Art. 6(1)(c); legitimate interests --- Art. 6(1)(f)

Moderation and reporting Receiving and processing notices and complaints; making moderation decisions; issuing statements of reasons; cooperating with trusted flaggers and authorities. Legal obligation --- Art. 6(1)(c) (DSA, AVMSD)

Compliance and authority cooperation Compliance with DSA, AVMSD/TUSMA, AGCOM, GDPR, sanctions, tax laws; responding to authority orders. Legal obligation --- Art. 6(1)(c)

Communications Transactional, security, billing, moderation, legal, and policy-change notices. Performance of contract; legal obligation.

Recommendation and ranking Using viewing and engagement data, including likes, follows, comments, and watch history, to improve in-service ranking, recommendation, discovery, and product integrity. Performance of contract - Art. 6(1)(b); legitimate interests - Art. 6(1)(f)

Cookies and similar technologies Strictly necessary cookies for authentication, fraud, security; analytics cookies subject to consent. Strictly necessary: Art. 6(1)(b)/(f); non-strict: consent --- Art. 6(1)(a)

Personnel and B2B Channel Owner relations Payouts, contractual administration of Channel Owner relationship. Performance of contract; legal obligation

No marketing or behavioural advertising. We do not currently use personal data for direct marketing, profiling, cross-context behavioural advertising, or targeted advertising. We do not sell personal data within the meaning of any applicable U.S. state privacy law. If we change this position, we will update this Notice and obtain any consent required by applicable law before relying on the new processing.

Automated decision-making (Article 22 GDPR). Anti-fraud and anti-piracy controls may use automated decision-making in respect of, for example, transaction declines or temporary account suspensions. Where such decisions produce legal effects or similarly significantly affect you, you have the right to obtain human intervention, to express your point of view, and to contest the decision. Substantive review is performed by trained staff of the WHTEXCH and Stripe.

No sale of personal data. We do not sell personal data within the meaning of any applicable U.S. state privacy law (including CCPA/CPRA, CPA, CTDPA, VCDPA, UCPA, TDPSA, and equivalents) and we do not share personal data for cross-context behavioural advertising. For state-specific disclosures and rights, see the U.S. State Privacy Rights Supplement.

Stripe and other payment processors

All Content on WEXVR is paid. Payments are processed by Stripe, Inc. and its affiliates and, where applicable, by other authorised processors, acquirers, or merchants of record.

Roles. Stripe processes personal data on our behalf as a data processor pursuant to Article 28 of the GDPR for the purpose of facilitating payment transactions. However, Stripe may also act as an independent data controller for certain processing activities, such as fraud prevention, anti-money laundering compliance, and other legal obligations. For more information on how Stripe processes personal data, please refer to Stripe's Privacy Policy: https://stripe.com/en-it/privacy

When you make a payment on our website, certain personal data is processed by Stripe in order to complete the transaction. This may include:

  • Full name

  • Email address

  • Billing address

  • Payment method details (e.g., credit or debit card information)

  • Transaction amount and details

Payment data is transmitted directly to Stripe via a secure SSL-encrypted connection. We do not store full payment card details on our servers.

Recipients of personal data

We share personal data only with categories of recipients required for the purposes set out above, including:

  • hosting, cloud, content-delivery, transcoding, encryption, and security providers;

  • payment processors, billing, accounting, and tax providers (Stripe and others --- see Section 5);

  • technical support, software maintenance, professional advisers, auditors, and external legal counsel;

  • authorities, courts, regulators, law-enforcement bodies, rights-holders, and other recipients where required by law or to protect rights, safety, or the integrity of the Service.

International transfers

WHTEXCH is established in Italy. Some recipients of personal data are established outside the European Economic Area, the United Kingdom, or Switzerland, including in the United States and other countries. Where transfers occur, we rely on the following safeguards under Articles 44--49 GDPR:

  • Adequacy decisions under Article 45 GDPR (e.g., EU-US Data Privacy Framework, where the recipient is certified; UK Adequacy Bridge for UK-EEA flows).

  • Standard Contractual Clauses (SCCs) vedtatt av Kommisjonens gjennomføringsbeslutning (EU) 2021/914 (juni 2021) for overføringer til EØS; U.K. International Data Transfer Addendum (IDTA) for overføringer til Storbritannia; og annexet om Sveits til SCCs for overføringer til Sveits.

En oppsummering av sikkerhetstiltakene som er på plass for en bestemt overføring, er tilgjengelig på forespørsel til dpo@whtexch.com.

Lagring

Vi beholder personopplysninger bare så lenge det er rimelig nødvendig for formålene de ble samlet inn for, med mindre en lengre lagringsperiode kreves eller rettferdiggjøres ved lov, tvist, svindelforebygging eller bevaringsbehov.

Datakategori Lagringsperiode Grunnlag

Konto- og tjenestedata Kontoens levetid + 12 måneder etter sletting Kontrakt; legitime interesser; lovbestemte foreldelsesfrister

Betaling, regnskap, faktura, skatte-, transaksjonsopplysninger Opptil 10 år Italiensk sivil- og skattelov (Art. 2220 c.c.; Art. 22 D.P.R. 600/1973)

Innloggingslogger (koreanske innbyggere) 6 måneder Koreansk nettverkslov

Kommentarer og engasjementsdata Så lenge relevant innhold er tilgjengelig på tjenesten, og lenger der det kreves for moderering, juridiske krav eller bevaringsbehov for bevis Kommentarer er offentlige innen den relevante flaten og kan fjernes eller begrenses i ettertid.

Moderering, rapport, klage, begrunnede utsagn (DSA) Minst 6 måneder fra beslutning; lenger hvis pågående etterforskning eller foreldelsesfrist krever det Artikkel 24(5) DSA

Svindelforebygging og tilbakeføringsopplysninger Opptil 13 måneder for Stripe / tvister med betalingsordning; lenger for pågående svindeletterforskning Kortordningsregler; legitime interesser

Sanksjonsdata Opptil 5 år fra slutten av forholdet Italiensk D.lgs. 231/2007

DPO-arkiv, RoPA, DPIAer, bruddsregister Uendelig (så lenge behandlingen pågår) + 5 år etterpå Ansvarlighet --- Artikkel 5(2) og Artikkel 30 GDPR

Å slette WEXVR-applikasjonen fra en enhet sletter ikke konto, kansellerer kjøp eller sletter backend-register i seg selv. Vi kan kreve identitetsbekreftelse og avslutning av åpne tvister eller aktive rettigheter før vi fullfører en sletteforespørsel, der gjeldende lov tillater det.

Dine personvernsrettigheter

Med forbehold om gjeldende lov har du en eller flere av følgende rettigheter angående dine personopplysninger:

GDPRRettigheterBeskrivelser
Art. 15Rett til tilgangFå bekreftelse på om det forekommer databehandling, samt tilgang til dataene, deres opprinnelse, formål, lagringsperiode, mottakere og metodene som brukes.
Art. 16Rett til rettingBe om oppdatering, korrigering eller integrering av personopplysninger behandlet av Selskapet.
Art. 17Rett til slettingBe om sletting av personopplysninger når (i) de ikke lenger er nødvendige for formålet de ble samlet inn for, (ii) samtykke trekkes tilbake, (iii) behandlingen er ulovlig, eller (iv) lov krever sletting.
Art. 19Rett til begrensning av behandlingBe om begrensning av behandlingen under spesifikke betingelser, slik at bare lagring eller midlertidig begrensning under verifiseringsprosesser relatert til andre rettigheter er tillatt.
Art. 20Rett til dataportabilitetFå data i et vanlig brukt, maskinlesbart format (f.eks. Excel-fil) og overføre det til en annen datakontrollør.
Art. 22Rett til å unngå automatiserte beslutningerBe om at data ikke behandles gjennom automatiserte beslutningsprosesser, eller bekreft at slike metoder ikke brukes.
Art. 7(3)Rett til å trekke tilbake samtykkeDu kan når som helst trekke tilbake ditt samtykke når samtykke er den rettslige basisen (uten å påvirke tidligere lovlig behandling).
Artt. 13+77Rett til å klageSend inn en klage til den kompetente tilsynsmyndigheten dersom du mener at Selskapet behandler data i strid med denne policyen eller loven.
--For klager til den italienske datatilsynsmyndigheten, bruk følgende lenke:
--https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4535524#:~:text=L'apposita%20istanza%20all'Autorit%C3%A0,rpd%40gpdp.it).

Hvordan du utøver dine rettigheter. Send en forespørsel til dpo@whtexch.com. Vi kan måtte verifisere din identitet før vi handler på en forespørsel. Dersom du handler gjennom en autorisert agent og gjeldende lov tillater det, kan vi kreve bevis på myndighet. Vi svarer innen tidsfristene satt av gjeldende lov (i EØS/UK, én måned fra mottak i henhold til artikkel 12(3) i GDPR, med mulig forlengelse på to måneder for komplekse forespørsler med varsel). For amerikanske delstaters personvernlovgivning følger vi tidsfristen krevd av den relevante delstatsloven (vanligvis 45 dager, med mulig forlengelse). For forespørsler fra California gjennom en autorisert agent, kreves skriftlig myndighet og identitetsverifisering. Forespørsler kan avslås eller begrenses der en juridisk unntak gjelder.

Universelle avmeldingssignaler. For amerikanske delstatsformål godtar WEXVR Global Privacy Control (GPC)-signalet som en avmeldingspreferanse der relevant delstatslov behandler GPC som en anerkjent avmeldingsmekanisme (California, Colorado, Connecticut, Texas, Oregon og tilsvarende). Siden WHTEXCH ikke selger eller deler personopplysninger for tverr-kontekst atferdsannonsering, er den operative effekten av GPC begrenset til å bekrefte no-sale/no-share-holdningen.

Sikkerhet

Vi implementerer tekniske og organisatoriske tiltak designet for å beskytte personopplysninger mot uautorisert tilgang, tap, misbruk, endring eller avsløring, inkludert: tilgangskontroller og multifaktorautentisering for administrativ tilgang; nøkkelhåndtering; ansvarsdeling; leverandør-due diligence og DPA-er; sårbarhets- og patchhåndtering; logging og overvåking; hendelseshåndteringsprosedyrer; opplæring av ansatte.

Informasjonskapsler og lignende teknologier

WEXVR bruker strengt nødvendige informasjonskapsler og lignende teknologier for å autentisere brukere, levere rettigheter, forhindre svindel, opprettholde økt- og plattform-sikkerhet og huske dine preferanser. Der ePrivacy-lovgivning krever det (italiensk Codice Privacy og italienske Garante-retningslinjer for informasjonskapsler og andre sporingsverktøy, juni 2021), bruker vi en samtykkemekanisme for ikke-strengt-nødvendige informasjonskapsler, med like fremtredende "godta alle" og "avvis alle" alternativer. Informasjonskapselmerknaden publisert på www.wexvr.com oppgir spesifikke kategorier informasjonskapsler, lagringstider og tredjeparters mottakere. WHTEXCH bruker ikke informasjonskapsler for tverr-kontekst atferdsannonsering.

Endringer i denne merknaden

Vi kan oppdatere denne merknaden fra tid til annen for å gjenspeile endringer i tjenesten, våre behandlingsaktiviteter, lovkrav, regulatorveiledning, betalingsleverandørkrav eller sikkerhetspraksiser. Vesentlige endringer som påvirker brukere vil bli varslet gjennom tjenesten eller på annen rimelig måte med rimelig forhåndsvarsel. "Ikrafttredelsesdato" øverst i denne merknaden. Tidligere versjoner er tilgjengelig på forespørsel til dpo@whtexch.com.

Regionsspesifikk informasjon

Den europeiske økonomiske region, Italia og Storbritannia

Dersom GDPR eller UK GDPR gjelder, har du fordel av rettighetene beskrevet i seksjon 9. Hvis du har klager på hvordan vi håndterer dine data, kan du kontakte vår DPO på dpo@whtexch.com eller sende inn en klage til den italienske Garante (www.gpdp.it) eller til tilsynsmyndigheten i ditt vanlige oppholdsland. Brukere i Storbritannia kan klage til Information Commissioner's Office (ICO, www.ico.org.uk).

Sveits

Hvis sveitsisk lov (revFADP) gjelder, kan du be om informasjon om behandlingen av dine personopplysninger og be om korrigering av uriktige personopplysninger. WHTEXCH utpeker for tiden ikke en sveitsisk representant i henhold til artikkel 14 revFADP fordi behandlingen ikke oppfyller de kumulative vilkårene om regelmessig behandling av høyrisikodata; dette vurderes periodisk på nytt. Klager kan rettes til Federal Data Protection and Information Commissioner (FDPIC, www.edoeb.admin.ch).

Canada

Hvis kanadisk lov (PIPEDA, Quebec Law 25, Alberta PIPA, B.C. PIPA eller annen gjeldende provinsiell lovgivning) gjelder, kan du be om tilgang til og korrigering av dine personopplysninger, tilbakekalle samtykke (hvis samtykke er rettsgrunnlaget), og utøve andre gjeldende rettigheter. For Quebec er personvernansvarlig Francesca Valenti, dpo@whtexch.com; klager kan rettes til Commission d'accès à l'information (CAI). Obligatorisk varsel om brudd til CAI gis uten forsinkelse når bruddet utgjør risiko for alvorlig skade.

Australia

Hvis Australian Privacy Act 1988 (Cth) gjelder (for tiden underlagt et omsetningskrav på AUD 3 millioner), har du rettighetene som er fastsatt i Australian Privacy Principles. Klager kan først sendes til oss, og hvis ikke løst der, til Office of the Australian Information Commissioner (OAIC, www.oaic.gov.au).

New Zealand

Hvis New Zealand Privacy Act 2020 gjelder, har du rett til tilgang, korrigering og klage til oss og (hvis ikke løst) til New Zealand Privacy Commissioner (www.privacy.org.nz).

Tillegg nedenfor:

  • Liste over underleverandører

  • US States

  • Republikken Korea

***

UNDERLEVERANDØRLISTE

Ikrafttredelsesdato: 11. mai 2026

1. Formål

Denne listen over underleverandører identifiserer tredjeparter som faktisk behandler personopplysninger til WEXVR-brukere i driften av tjenesten. Verktøy som ikke behandler personopplysninger er med vilje ikke oppført her.

Behandlingsansvarlig. White Exchange S.r.l. --- Via Durini 25, 20122 Milano, Italia --- VAT/Reg.nr. 12380700968 --- DPO: Francesca Valenti --- dpo@whtexch.com.

2. Liste over underleverandører

Underbehandler Tilbyderenhet & etableringsland Tjeneste / funksjon Kategorier av personopplysninger som behandles

Meta --- Meta Quest / Meta Horizon Meta Platforms Ireland Limited (Irland) for brukere i EØS; Meta Platforms, Inc. (USA) for brukere utenfor EØS. Operativsystem og distribusjonsmiljø for applikasjoner for WEXVR-appen på Meta Quest-headset; kontolinking med Meta Horizon for levering av rettigheter. Meta-kontoidentifikator; enhetsidentifikator; metadata for rettighetslenke; teknisk telemetri som vises til appen.

Stripe --- Betalinger Stripe Payments Europe Ltd (Irland) for brukere i EØS; Stripe, Inc. (USA) og konserntilknyttede selskaper for backend-behandling. Betalingsbehandling, svindelkontroll, sanksjonskontroll, tiltak mot hvitvasking, håndtering av tvister og refusjoner, rapportering til myndigheter. Kortinnehaverdata (behandles i Stripes sikre miljø, lagres ikke av WHTEXCH); transaksjonsidentifikatorer og beløp; faktureringsnavn og adresse; land; risikofaktorer; metadata for tvister og refusjoner.

Clerk --- Autentisering og brukerstyring Clerk, Inc. (USA). Brukerregistrering, autentisering, sesjonsstyring, magisk lenke og passordfri flyt, sosial innlogging (f.eks. Google), utstedelse av sesjonsnøkler. E-postadresse; kontolegitimasjon og tokens; IP-adresse; enhetsidentifikator og brukeragent; omtrentlig innloggingssted (geolokasjon utledet fra IP); nettleser- og OS-metadata; bruksdata i Clerk-dashbord.

Supabase --- Applikasjonsdatabase (Postgres) Supabase Inc. (USA). Primær relasjonsdatabutikk for WEXVR-applikasjonen: brukerprofiler, kanaler, innholdsmetadata, rettigheter, seerdata, moderering og rapporter. Konto- og identitetsdata; e-post; transaksjoner og rettighetsdata; bruks- og seerdata; moderering og rapportdata; kanal-eierens profilmetadata for B2B-brukere.

Upstash --- Redis-caching og arbeidsflytstatus Upstash, Inc. (USA). Delt cache (ratebegrensning, sesjonsstatus, enhetsautorisasjonsflyt); arbeidsflytstatus med mulighet for gjenavspilling ved feil. IP-adresse; enhetsfingeravtrykk; sesjons- og ratebegrensningstellere; midlertidige arbeidsflytpayloads (som kan inkludere kontoidentifikator, transaksjonsreferanse).

Google Cloud Platform (GCP) --- Hosting-infrastruktur Google Cloud EMEA Limited (Irland) for EØS-kunder, med Google LLC (USA) som tilknyttet databehandler der det er aktuelt. Compute, lagring, nettverk, containerorkestrering, hemmelighetshåndtering, observasjon og annen primær infrastruktur som WEXVR-tjenestene kjører på. Alle kategorier av personopplysninger som behandles i forbindelse med tjenesten, både under overføring og lagring på GCP-infrastrukturen (konto, transaksjon, telemetri, moderering, kundestøttekommunikasjon).

Resend --- Transactional e-mail delivery Resend, Inc. (United States). Sending of transactional and service e-mails (purchase confirmations, withdrawal-acknowledgement messages on durable medium, security alerts, statements of reasons, password-reset, refund updates). Recipient e-mail address; e-mail content (which may include name, transaction identifier, and case-specific information); sending and delivery metadata.

WEXVR U.S. STATE PRIVACY RIGHTS SUPPLEMENT

Applies only to residents of U.S. states whose privacy laws apply to WEXVR

Effective date: 11 May 2026

This Supplement provides additional privacy disclosures for residents of U.S. states that grant consumer privacy rights and that apply to White Exchange S.r.l. and the WEXVR service. It should be read together with the WEXVR Privacy Notice. If there is a conflict between this Supplement and the general Privacy Notice, this Supplement governs only to the extent required by applicable U.S. state law.

1. Scope and current WEXVR position

WEXVR is a paid, account-based digital content service. We currently do not sell personal information, do not share personal information for cross-context behavioural advertising or comparable targeted advertising, and do not knowingly permit under-13 users on the Service. WEXVR is not directed to children under 13, and we do not knowingly sell or share personal information of users we know to be children within the meaning of applicable law.

WEXVR also does not currently use personal information to make decisions that produce legal or similarly significant effects through solely automated profiling. If our practices materially change, we will update the Privacy Notice and this Supplement where required.

2. Rights that may be available

Depending on your state of residence and the thresholds or exemptions that apply, you may have some or all of the following rights: to know whether we process your personal information; to access a copy of personal information we maintain about you; to correct inaccurate personal information; to delete personal information; to obtain a portable copy of certain personal information; to appeal a refusal of a privacy-rights request; and, where applicable, to opt out of sales, targeted advertising, or profiling in furtherance of decisions that produce legal or similarly significant effects.

Because WEXVR does not currently sell personal information or use personal information for targeted advertising, many opt-out rights will ordinarily be addressed by confirming that such processing is not presently carried out. If that changes, we will publish an updated process for exercising those rights.

3. How to exercise your rights

You may submit privacy requests by emailing dpo@whtexch.com. Please identify the right you wish to exercise, the state in which you reside, the email address associated with your WEXVR account (if any), and enough information for us to locate and verify the relevant records.

If you are a parent or legal guardian making a request on behalf of a minor, or an authorised agent acting on behalf of another person, we may require additional verification, proof of authority, or signed authorisation before acting on the request.

We may deny, limit, or defer a request where permitted by law, including where we cannot verify identity or authority, where an exemption applies, or where the request would compromise security, fraud prevention, legal compliance, or the rights of others.

4. Appeals

If applicable law gives you the right to appeal a refusal of your request, you may submit an appeal to dpo@whtexch.com with the subject line "Privacy Appeal". Please include the original request, our response (if any), the state whose law you believe applies, and why you believe the request should be reconsidered.

5. California-specific disclosures

For California residents, and only to the extent the California Consumer Privacy Act as amended applies, the categories of personal information WEXVR may collect are described in the WEXVR Privacy Notice and may include identifiers, account information, payment and transaction information, internet or other electronic network activity information, device and technical information, coarse geolocation or country information, customer-support communications, moderation and reporting records, and inferences reasonably drawn from such information for service, security, or fraud-prevention purposes.

The categories of sources from which we may collect personal information include: directly from you; automatically from your device, browser, headset, or app session; from payment processors such as Stripe; from analytics, fraud-prevention, hosting, and infrastructure providers acting on our behalf; from Meta or compatible-device ecosystem providers where relevant to account or entitlement support; from other users, Channel Owners, rights holders, or authorities who submit reports or complaints; and from publicly available or compliance-related sources where necessary.

The categories of recipients to whom we may disclose personal information for business purposes include service providers, payment processors, infrastructure and security providers, professional advisers, authorities or courts where legally required, and corporate counterparties in connection with a transaction subject to appropriate protections. WEXVR does not currently sell personal information and does not currently share personal information for cross-context behavioural advertising.

California residents may designate an authorised agent to make a request on their behalf, subject to verification and proof of authority. We will not discriminate against you for exercising rights granted by applicable law.

6. Retention

We retain personal information only for as long as reasonably necessary for the purposes described in the WEXVR Privacy Notice, including account administration, entitlement management, payment and accounting, fraud prevention, moderation, legal compliance, dispute handling, and records retention. Different categories of data may be kept for different periods depending on operational, tax, anti-fraud, or legal needs.

7. Changes to this Supplement

We may update this Supplement from time to time to reflect changes in WEXVR's practices, changes in U.S. state privacy laws, regulator guidance, or operational needs. The most current version will be made available with an updated effective date.

8. Contact

Privacy questions and privacy-rights requests should be sent to dpo@whtexch.com.

White Exchange S.r.l. | Via Durini 25, 20122 Milan, Italy | VAT / Reg. no. 12380700968

PRIVACY NOTICE --- REPUBLIC OF KOREA

1. Controller and contact

White Exchange S.r.l. (the "Controller"), an Italian limited liability company with registered office at Via Durini 25, 20122 Milan, Italy, VAT/Tax No. 12380700968, is the controller for the personal information of Republic of Korea residents processed in connection with the WEXVR service.

Personal Information Protection Manager (개인정보 보호책임자): Francesca Valenti, Data Protection Officer --- dpo@whtexch.com --- White Exchange S.r.l., Via Durini 25, 20122 Milan, Italy.

Personal information rights and complaints: dpo@whtexch.com.

General support: support@wexvr.com.

Domestic agent (PIPA Art. 31-2): Not appointed at this date because WHTEXCH does not meet the thresholds under Article 32-2 of the PIPA Enforcement Decree (01, 10 billion KRW Korean information service revenue, OR 1 million daily active users in Korea, OR processing of sensitive data of more than 50,000 Korean data subjects on average daily).

2. Categories of personal information collected

Category Items Source

Account / identity E-mail, password (hashed), age confirmation, country, language preference Provided by user at registration

Transaction Purchased title, transaction ID, amount, currency, payment status, refund / dispute status, billing descriptor Stripe, payment processors (Stripe acts partly as processor and partly as independent controller for fraud / sanctions / regulatory reporting)

Device / technical IP address, device identifier, headset model, firmware version, app version, OS, language, timezone, session and crash logs Auto-collected from user device / browser

Usage / viewing Titles unlocked, view counts consumed, time spent, feature usage Auto-collected

Moderation / report Reports, complaints, evidence, statements of reasons, decisions User submissions

Communications Support emails / messages Provided by user

3. Purposes and legal grounds (consent-based)

Personal information is processed only for the purposes set out below. For Korean residents, processing is based on user consent (PIPA Art. 15(1)(1)) unless another legal basis applies (e.g., performance of contract, legal obligation).

Purpose Required / optional Legal basis

Service delivery, account, Entitlement Required Consent (PIPA Art. 15(1)(1)) and contract (PIPA Art. 15(1)(4))

Payment processing and billing Required Consent + legal obligation (PIPA Art. 15(1)(2))

Anti-fraud, security, abuse prevention Required Legitimate interests (PIPA Art. 15(1)(6)) + legal obligation

Moderering, rapporter, klager Obligatorisk Juridisk forpliktelse + legitime interesser

Serviceanalyse og forbedring Valgfritt Samtykke (separat godkjenning)

4. Oppbevaring

Personopplysninger oppbevares kun for den perioden som er nødvendig for å oppfylle det relevante formålet, deretter slettes eller anonymiseres de, med mindre oppbevaring kreves etter koreansk lov.

Data Oppbevaringstid

Konto- / tjenestedata Levetiden til kontoen + 12 måneder etter sletting

Transaksjonsopplysninger (Koreansk handelslov / e-handelslov) 5 år

Innloggingslogger (Nettverkslov) 6 måneder

Moderering / rapportregistre 6 måneder fra avgjørelse; lenger for pågående undersøkelser

5. Overføring av personopplysninger på tvers av landegrenser (PIPA Art. 28-8)

Personopplysninger om koreanske innbyggere overføres til Italia (Behandlingsansvarligens etablering) og til andre land hvor den behandlingsansvarliges tjenesteleverandører opererer. Den behandlingsansvarlige innhenter spesifikt samtykke for slik overføring ved registrering, med de opplysninger som kreves i henhold til PIPA Artikkel 28-8.

Element Opplysninger

Mottakeridentitet White Exchange S.r.l. (Behandlingsansvarlig) --- Italia. Stripe, Inc. --- USA og Irland. Meta Platforms --- USA og Irland. Skytjenester og CDN-leverandører --- EU og USA.

Mottakers kontaktinformasjon dpo@whtexch.com (Behandlingsansvarlig). Behandlingsansvarliges prosessors databeskyttelsesavtaler er tilgjengelige på forespørsel.

Overførte elementer Alle kategorier beskrevet i Seksjon 2.

Formål med overføringen Tjenesteleveranse, betalingsbehandling, svindelbekjempelse, sikkerhet, moderering, support.

Oppbevaring Som angitt i Seksjon 4.

Overføringsmetode Kryptert elektronisk overføring (TLS 1.2+) over offentlige nettverk.

Dato og frekvens Kontinuerlig, etter behov for tjenesteleveranse.

6. Rettigheter for koreanske innbyggere

Koreanske innbyggere har følgende rettigheter under PIPA: (i) be om innsyn i personopplysninger; (ii) retting; (iii) sletting (underlagt juridiske unntak); (iv) suspensjon av behandling; (v) tilbakekall av samtykke når som helst; (vi) klage til PIPC (www.pipc.go.kr) eller Personopplysningsklagenemnda.

Hvordan benytte: Send en forespørsel til dpo@whtexch.com. Den behandlingsansvarlige svarer innen 10 dager i henhold til PIPA Art. 35(3).

7. Bruk av informasjonskapsler og nettidentifikatorer (Nettverkslov)

WEXVR bruker strengt nødvendige informasjonskapsler og lignende teknologier for autentisering, rettighetsleveranse, svindelforebygging og sikkerhet. Valgfrie analyseinformasjonkapsler brukes kun med samtykke gjennom samtykkestyringsmekanismen, med lik verdi mellom "aksepter alle" og "avvis alle". Den behandlingsansvarlige bruker ikke informasjonskapsler for tverr-kontekst atferdsannonsering.