本数据保护信息将告知您位于德国杜塞尔多夫的Gerresheimer AG公司及其在欧盟的附属公司是如何根据《欧洲通用数据保护条例》(以下简称“GDPR”)来处理您的个人数据的。
1.范围
本数据保护信息适用于我方为履行您作为客户或供应商与我方约定的服务而采集您的个人数据,以及为进一步定期交流与合同服务有关的信息而采集您的个人数据。
2.数据控制者
如本隐私政策中无其他说明,则负责处理您的个人数据的数据控制者为:
位于德国杜塞尔多夫的Gerresheimer AG及其在欧盟的附属公司。
www.gerresheimer.com
3.数据保护官的详细联系方式
有关数据保护的任何问题,请直接向以下人员提出:
系统数据保护咨询
地址:Rebenlaube 12
D-45133 埃森市
www.systemdatenschutzconsulting.de
r.schroeder@systemdatenschutzconsulting.de
4.定义
本数据保护信息是根据以下列数据保护术语编制的,我们对此类术语进行了定义,以方便理解:
GDPR是指《欧洲通用数据保护条例》(欧洲议会和理事会2016年4月27日关于在处理个人数据方面保护自然人和此类数据自由流动的条例(EU)2016/679,该条例同时废除了第95/46/EC号指令)。
接收者:接收数据的自然人、法人、公共机构、规制机构或另一实体,不论其是否为第三方。然而,公共机构基于欧盟或成员国法律的某项特定任务而接收个人数据,则不应当被视为接收者;此类公共机构对数据的处理应根据处理目的符合适用的数据保护规则。根据您选择的付款方式,您个人资料的接收者可能包括银行或与我们合作提供服务的其他服务供应商。
作为合同关系的一部分,我们可能有必要将您的个人数据转发给某次级供应商(处理者)。为此,我们已经按照GDPR第28条的规定履行了我们的义务,即与相关处理者签订了补充协议,并坚信其会按照适用的法律规定处理您的个人数据。
个人数据:任何与已识别或可识别的自然人相关的信息。在GDPR的语言中,该等自然人被称为“数据主体”。可识别的自然人是指一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。个人数据可能包括您的姓名、联系信息和银行信息。
数据控制者:决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体。如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。就本隐私政策中描述的数据处理而言,数据控制者是(见上文第2条)。
处理:任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
5.我们要采集您的哪些数据?
为了执行我们的合同服务,我们在必要时会直接向您采集个人数据:
个人身份数据:
名和姓、公司、地址、出生日期、电子邮件地址、电话号码和传真。
处理合同时涉及的其他数据:
银行详情、员工数据(如适用)
6.处理您个人数据的目的和法律依据
合同服务以及与之有关的进一步定期信息交流
我们需要您的数据来处理我们的合同服务。这包括访问你的个人数据(见第5节)。
数据采集的法律依据是根据GDPR第 6 (1)(1)(b)条的规定建立合同关系。
7.保存和删除您的个人数据
首先,我们会在本隐私政策规定的目的范围内保留您的个人数据(见上文第6节)。
一旦不再需要将这些数据用于本隐私政策第6条规定的目的,我们将进一步保留您的个人数据,且在保留期间,您有权向我方提出索赔的期间,或者反之亦然(法定时效期)。
此外,我们也会在法律规定的时间和范围内保存您的个人数据。提供证明和保留数据的相应职责在德国商法典(Handelsgesetzbuch)、税务条例(Abgabenordnung)和反洗钱法(Geldwäschegesetz)等法律中都有规定。根据这些法律,保留期最长为10年,从完成相关程序的历年年底开始计算。
8.个人数据接收者的类别
在提供、实施和管理我们的服务时(见第1节),作为内部协作过程的一部分,我们也会将您的个人数据传送给格雷斯海姆集团的其他公司。传输这些数据是为了我们的合法利益,以有效和协作的方式执行内部行政任务,并根据GDPR第 6 (1)(b)条和(f)条改进我们的产品和服务,并且要根据GDPR第 28条的规定订立处理者合同。
关于处理付款以及在适用的情况下进行退款,我们会根据GDPR第6(1)(1)(b)条将您的个人数据(取决于您选择的付款方式)传送给银行、支付服务供应商、金融服务供应商和信用卡公司。
如果出现任何法律纠纷,我们会将您的数据传送给主管法院和您的律师(如果您已经指定了律师),以便处理纠纷。我们根据GDPR第6(1)(c)条规定的法律职责处理您的个人数据,并会依据我们的合法权益,来根据GDPR第6(1)(f)条的规定执行、实施和/或保护我们的合法权益。
此外,我们只会在法律规定的范围内传输您的个人数据。我们将根据GDPR第6(1)(1)(c)条的规定传输这些数据(如向警方和监管机构提供数据来协助对不良行为和/或刑事犯罪的调查,或将数据提供给数据保护机构)。
作为我们合同关系的一部分,我们或我们指定的服务供应商可能会酌情开展客户调查和其他广告和营销活动。我们会将您的个人数据提供给指定的服务供应商,以进行客户调查。我们会根据GDPR第6(1)(1)(f)的规定,在保证我方合法权益的情况下,对您的个人数据进行处理,以改进我们的产品和服务。
9.向某第三方国家传送数据
您的数据可能会被传送到第三方国家,以提供合同服务。请联络
位于德国杜塞尔多夫的Gerresheimer AG,以获得更多信息。
www.gerresheimer.com
10.当我们有合法权益处理您的数据时,您有权提出异议
我们会处理您的个人身份数据,以便行使、实施和维护我们的合法利益(包括在法庭上),以及以有效和协作的方式进行内部管理。
只要我们根据这些合法利益处理您的个人数据(GDPR第6(1)(1)(f)条),您就有权在任何时候以您的具体情况为由反对我们处理您的数据。如有任何要求,请直接联系:
位于德国杜塞尔多夫的Gerresheimer AG。www.gerresheimer.com
如果您反对我们处理您的数据,我们将为回应您的要求而处理在这方面收集的个人数据。在这种情况下,应根据GDPR第6条第(1)(1)(c)款的规定的法律义务处理个人数据。
如果您反对,我们将不再处理您的个人数据,除非我们能证明这样做有令人信服的合法理由,且该理由高于您的利益、权利和自由,或者处理您的个人数据是为了建立、行使或捍卫任何法律要求。
11.您的额外权利
根据GDPR,您可以在任何时候对我们行使以下权利:
GDPR第15条规定的访问权
您有权获取我们存储的与您个人数据相关的信息。
GDPR第16条规定的更正权
如果您发现对您数据的处理有不正确之处,您可以要求更正这些数据。为处理之目的,不完整的数据应补充完整。
GDPR第17条规定的删除权
如果理由合适,则您有权要求删除您的数据。特别是当不需要将数据用于最初的采集或处理目的时,更应该这样做。
GDPR第18条规定的限制处理权
您有权限制对您数据的处理。这意味着,尽管您的数据不会被删除,但将被标记,以限制对数据的进一步处理或使用。
数据携带(GDPR第20条)
对于您提供给我们的个人数据,您有权进行数据转移。这使您能要求我们在技术上可行的范围内将这些数据传输给您或其他人。
对不合理的数据处理进行反对的权利(GDPR第21条)
作为一项基本原则,您也有权反对出于公共利益、行使官方权力、或基于个人合法利益的合法数据处理。
如有任何要求,请直接联系:位于德国杜塞尔多夫的Gerresheimer AG。
www.gerresheimer.com
如果您向我们主张权利,我们将为回应您的要求而处理在这方面收集的个人数据。在这种情况下,我们会根据GDPR第6(1)(1)(c)条的规定的法律义务处理个人数据。
提起申诉的权利(GDPR第77条)
在不影响您其他权利的前提下,如果您认为对您个人数据的处理违反了GDPR,则您有权向数据保护机构提出申诉(GDPR第77条)。
负责数据控制者的主管监督机构是:
北莱茵-威斯特伐利亚州数据保护和信息自由专员
地址:P.O. BOX 200444
D-40102 杜塞尔多夫
电话: +49 (0)211/38424-0
传真:+49(0)211/38424-10
电子邮箱:poststelle@ldi.nrw.de