隐私政策
非常感谢您对我们公司感兴趣。数据保护对于ecom 有限责任公司的管理尤为重要。当您使用ecom GmbH的互联网页面时,原则上不需要提供任何个人数据。但是,如果资料当事人希望通过我们的网站使用我们公司的特殊服务,则可能需要提供个人数据进行处理。如果要求处理个人资料,但是对于个人资料的处理不存在相关法律依据,我们一般会征求资料当事人的许可。
对资料当事人的姓名、地址、电子邮件地址或电话号码等个人信息的处理,应当始终遵循数据保护条例的规定,并遵循适用于ECOM公司的联邦州相关数据保护法规的规定。通过本隐私政策,本公司力求向公众通报我们收集、使用和处理个人信息的性质、范围和使用目的。此外,资料当事人也可以借助本隐私政策明确其所享有的权利。
我们请您定期查阅我们的隐私政策的内容。只要我们对数据处理所进行的变更要求我们调整隐私政策,我们就会对其进行调整。一旦变更需要您的参与(例如同意)或其他个人声明,我们会尽快通知您。
ecom公司作为负责数据处理的一方,采取了大量技术和组织措施,以确保通过本网站处理的个人数据能够获得最全面的保护。然而基于互联网的数据传输往往存在安全漏洞的现象,我们无法保证绝对的信息安全。因此,每个资料当事人都可以通过其他方式向我们提交个人信息,例如通过电话。
一、定义
ecom公司的隐私政策的概念术语是基于欧盟指令和条例颁布机构在颁布《通用数据保护条例(DS-GVO)》时所使用的术语。我们的隐私政策应易于公众和我们的客户、业务合作伙伴阅读与理解。为了确保这一点,我们想提前解释本隐私政策中所使用的术语。
我们在本隐私政策中使用以下概念术语,包括但不限于:
a)个人资料
个人资料是指与已有身份识别或可以进行身份识别的自然人(以下简称“资料当事人”)有关的全部信息。可以进行身份认证的自然人是指,直接或间接地,特别是通过分配的识别符,例如姓名、识别号、位置数据,或者在线标识符或者一个或多个特殊标识可以确定这个自然人的身体、生理、遗传、心理、经济、文化或社会身份的标示符,来确认其身份的人。
b)资料当事人
资料当事人是指数据处理责任方需要对其个人数据进行处理的每一个已有身份识别或可以进行身份识别的自然人。
c)处理
处理是指与个人数据相关的任何借助或不借助自动化方法实施的过程或任何此类过程序列,例如收集、汇总、整理、组织、存储、改编或更改、读取、查询、使用,通过传输、传播或其他任何形式发布,匹配或链接、限制,删除或销毁。
d)处理限制
处理限制是指对存储的个人数据进行标记,其目的在于限制今后对这些数据的处理。
e)档案分析
档案分析是指对个人数据的任何类型的自动处理,包括使用相关个人信息来评估与自然人有关的某些个人方面,尤其是为了对自然人的工作表现、经济状况、健康、偏好、兴趣、可靠性、行为、居留地点或地点变更进行分析或预测。
f)假名化
假名化是指,在无其他附加信息辅助的条件下,相关个人数据不再能被归类到某一特定的资料当事人身上,通过这种方式对个人数据进行处理,这些附加信息是单独保存的,并需要采取技术和组织措施,以确保个人数据不会分配给已有身份识别或可以进行身份识别的自然人。
g)责任方或负责数据处理的一方
责任方或负责数据处理的一方是指有权单独或与他方共同决定个人数据处理的目的和手段的自然人或法人、政府部门、机构或其他团体。如果数据处理的目的和手段是由欧盟法律或成员国的法律决定的,则责任方及其任命的具体标准可以根据联盟或国家法律规定。
h)委托处理人
委托处理人是指根据责任方的委托处理个人数据的自然人或法人、政府部门、机构或其他团体。
i)获取人
获取人是指获得个人数据的自然人或法人、政府部门、机构或其他团体,无论其是否属于第三方。但是,依照欧盟法律或成员国法律的规定在特定的调查任务框架内可能获取个人数据的政府部门,不被视为获取人。
j)第三方
第三方是指除了资料当事人、责任方、委托处理人以及受责任方或委托处理人直接管辖的个人数据处理人员之外的其他自然人或法人、政府部门、机构或其他团体。
k)许可
许可是指资料当事人以声明或其他表意明确的意愿声明的方式,采用声明或其他经过确认的明确行动,自愿针对特定情况作出的表态,表示资料当事人同意对其相关个人数据的处理。
二、数据处理责任方的名称和地址
本隐私政策、欧盟成员国的其他数据保护法和其他数据保护相关规定意义上的责任方如下所示:
ecom 有限责任公司
地址:德国伊瑟隆
Am großen Teich 2号,邮编:58640
电话:02371/945 5
电子邮件:info@ecom.de
网址:www.ecom.de
三、数据保护专员的联系方式
数据处理责任方的数据保护专员的联系方式如下所示:
Arndt Halbach
Wetterauer Str. 6
42897 Remscheid
Tel. +49 2191 909 430
网址:www.ecom.de
任何资料当事人如果有任何关于数据保护问题和建议,都可以随时联系我们的数据保护专员。
四、Cookies
ecom公司的网站的互联网页面使用cookies。Cookies是通过互联网浏览器保存和存储在计算机系统上的文本文件。
大量网站和服务器都使用Cookies。许多Cookies包含一个所谓的Cookie ID。 Cookie ID是Cookies的唯一标识符。它由一个字符串组成,通过它,互联网页面和服务器可以对保存Cookie的具体网络浏览器进行归类。这使人们可以将访问过的网站和服务器,即资料当事人的个人浏览器与其他包含有其他Cookies的网页浏览器区分开来。借助唯一的Cookie ID,可以重新辨认和识别一个特定的网页浏览器。
通过使用Cookies,ecom公司可以为其网站用户提供更多便捷有利的服务,而如果没有Cookies设置,这些服务就无法提供了。
借助Cookies,我们可以在页面上为我们的用户提供优化的的信息和服务。正如之前所说的那样,Cookies帮助我们重新识别曾经访问过我们网站的用户。这种重新识别的目的在于让用户更方便的使用我们的网站。例如,使用Cookies的网站的用户在每次访问网站时,不再需要重新输入他们的登录信息,因为这是通过网站和存储在用户计算机系统上的Cookies完成的。另一个例子是网上商店购物篮的Cookies。网上商店记住客户通过Cookies放置在虚拟购物车中的商品。
资料当事人可以在我们的网站上随时借助其所使用的网页浏览器的设置阻止使用Cookies,从而实现长期停用Cookies。此外,已经设置的Cookies 也可以随时借助网页浏览器或其他软件程序删除。在所有常见的互联网浏览器中都是可以实现这样的操作的。如果数据资料当事人在其所使用的互联网浏览器中停用Cookies,则可能导致我们网站的功能无法全部使用。
五、一般数据和信息的采集
a)与委托处理人和第三方的合作
资料当事人每次访问ecom公司的网页时,网页都会通过资料当事人或自动系统采集一系列的一般数据和信息。这些一般数据和信息被保存在服务器的日志文档中。可以采集到的信息包括:(1)使用的浏览器类型和版本,(2)使用的操作系统,(3)操作系统在我们的网站上访问的页面(所谓的Referrer),(4)通过我们网站上的访问系统访问的子网页,(5)访问网站的日期和时间,(6)互联网协议地址(IP地址),(7)访问系统的互联网服务提供商,(8)对我们消除威胁—如当我们的信息技术系统遭受攻击时—有利的其他类似数据和信息。
在使用这些一般数据和信息时,ecom公司不会对资料当事人作出任何推论。反之,需要这些信息,是为了:(1)正确地提供我们网站的内容,(2)优化我们网站的内容以及广告,(3)确保我们的信息技术系统和我们网站的技术的持续运作,(4)在发生网络攻击时为执法部门提供必要的犯罪跟踪信息。这种匿名收集的数据和信息一方面由ecom公司进行统计评估,另一方面旨在提高公司的数据保护级别,提升数据安全性,以确保为我们处理的个人数据提供最佳保护。 服务器日志文件的匿名数据与资料当事人提供的所有个人数据是分开存储的。
b)与委托处理人和第三方的合作
如果我们在我方数据处理的框架内,向其他个人或公司(委托处理人或第三方)披露、传输数据,或允许他们以其他形式访问数据,一切行为都建立在法律许可的基础上进行(例如,依照DSGVO第6条第1款字母b项的规定,为了履行合同,将数据传送到第三方,如付款服务商),当在法律上有义务提供信息或基于我们的合法利益需要提供信息时,您同意我们提供相关数据(例如,委派专员,虚拟主机等)。
如果我们在所谓的“委托处理合同”的基础上委托第三方处理数据,则必须遵照DSGVO第28条的规定。
c)转发到第三国
如果我们需要或者根据第三方服务提供商的要求在第三国(即欧盟(EU)或欧洲经济区(EWR)以外的国家)处理数据或将数据披露和转发给位于第三国的第三方,只有在这是为了履行我们的(预先)合同义务,并取得了您的同意,并且基于法定义务或基于我们的合法权益的情况下,才允许这样做。根据法律或合同许可,我们只有在DSGVO 第44条及之后条款中规定的特殊情况下,才能在第三国处理或委托他人处理数据。也就是说,例如在特定保证的基础上——例如确认其数据保护等级与欧盟水平相当(例如美国的PrivacyShield(隐私之盾)),或遵守官方认可的特定合同义务(所谓的“标准合同条款”)——才能进行数据处理。
d)行政管理、财务会计、办公室组织、联络管理
在我们企业管理和运营规划、财务会计和履行法定义务(例如存档)的框架下,我们会对数据进行处理。对此,我们所处理的是与我们在履行合同服务框架内相同的数据。数据处理的基础是DSGVO第6条第1款字母c项和第6条第1款字母f项 的规定。这种数据处理会涉及到客户、利益相关方、业务合作伙伴和网站访问者。数据处理的目的和我方的利益在于行政管理、财务会计、办公室组织和数据归档,这些都是为了维持我们的公司运营、履行我们的职责以及提供服务所需要完成的任务。删除的有关合同履行和合同通讯方面的数据是在处理过程中获得的信息。
我们会向税务部门、咨询师——例如税务顾问或审计师——以及其他费用代理机构和付款服务商披露和传输数据。
此外,我们会在我方商业利益的基础上保存供应商、活动主办方和其他业务合作伙伴的信息,目的是譬如为了便于以后联系。我们通常会永久存储大部分公司的相关数据。
e)商业分析和和市场研究
为了开展业务,发现市场趋势、了解客户需求和用户要求,我们需要对我们现有的业务过程、合同、询价等数据进行分析。对此,我们会在DSGVO第6条第1款字母f项的基础上,对相关客户、利益相关方、业务合作伙伴、网站访客和用户的库存数据、通信数据、合同数据、付款数据、使用数据、大数据进行处理。
数据分析是为了进行商业评估、市场营销和市场研究。在这里,我们可以关注注册用户的档案及其购买交易。这些分析帮助我们提升了用户友好度,优化了我们所提供的服务和报价以及商业价值。这些分析仅供我们使用,除非是匿名的汇总数据分析,否则不会对外披露。
如果上述分析和档案与个人相关,则随着用户解约,或者在合同结束后两年内,这些信息将被删除或匿名化。此外,如果可能的话,整体业务分析和总体趋势预定,是匿名创建的。
六、在我们的网站上注册
资料当事人可以通过提供个人数据在数据处理责任方的网站上注册。其向数据处理责任方提交的个人数据来源于用于注册的相应输入掩码。资料当事人登记的个人数据的采集和保存,仅供数据处理责任方内部用于自己的用途。数据处理责任方可以将其转发给一个或多个委托处理人,例如包裹服务商,委托处理人也同样只允许将资料当事人登记的个人数据用于内部用途。
此外,通过在数据处理责任方的网站上注册,还会保存资料当事人的互联网服务提供商(ISP)分配的IP地址、注册的日期和时间。保存这些数据的背景是,只有这样才能防止滥用我们的服务,并且在需要的情况下这些数据能够调查犯罪行为。在这方面,数据处理责任方需要存储这些数据来保护自身。除非法律规定了数据转移或有义务或将其转发给刑法查案,否则原则上不会向第三方披露这些数据。
资料当事人自愿提供个人数据完成注册,这帮助数据处理责任方为资料当事人提供基于属性和实际情况只能向注册用户提供的内容或服务。注册人员可以随时修改注册时提供的个人数据,或者从数据处理责任方的数据库中将其完全删除。
数据处理责任方应当根据各个资料当事人的征询,随时向其告知保存了他的哪些个人数据。此外,除非违背相关法定保存规定,否则数据处理责任方应根据资料当事人的要求或说明更改或删除其个人数据。在这种情况下,数据处理责任方的全体员工都可视为资料当事人的联系人。
七、订阅我们的通讯
在ecom公司的网站上,用户可以订阅我们公司的通讯。
在订阅通讯时需要向数据处理责任方提供哪些个人数据,这取决于所使用的输入掩码。
ecom公司定期通过通讯通知其客户和业务合作伙伴公司的商品。我们公司的通讯原则上只有相关的资料当事人才能接收到,前提是资料当事人拥有有效的电邮地址,并且(2)资料当事人注册了通讯发送服务。出于法律方面的原因,在首次向资料当事人注册通讯发送服务时提供的电子邮件地址发送信息时,需要使用双选入程序确认回复邮件。这封确认邮件用于检查电子邮箱的所有人是否是被授权接收通讯的资料当事人。
此外,在订阅通讯时,我们会保存资料当事人在订阅时所使用的计算机系统的IP地址(由互联网服务提供商(ISP)提供)以及订阅的日期和时间。必须采集这些信息,是为了之后能够发现(可能)滥用资料所有人电子邮件的情况,因此用于数据处理责任方的法律保护。
在订阅通讯的框架内采集的个人数据,仅限用于发送通讯。此外,通讯的订阅用户也可以通过电子邮件收到通知,如果这对于开展通讯服务或相关的注册而言是必要的,例如当发生通讯变更或者技术条件变更等时。在通讯服务的框架内采集的个人数据,不会被转发给第三方。资料当事人可以随时终止订阅我们的通讯。资料当事人因订阅通讯而允许我们保存其相关个人数据的同意声明也是可以随时撤销的。每封通讯中都有一个相应的链接,可用于撤销同意声明。此外,资料当事人也可以随时直接在数据处理责任方的网站上取消订阅通讯,或者以其他方式通知数据处理责任方取消订阅通讯。
八、通讯跟踪
ecom公司的通讯包含所谓的计数信标。计数信标是嵌入此类以HTML格式发送的电子邮件中的一种微型图像,用于实现日志文件记录和日志文件分析。由此可以对在线市场营销活动的成败进行统计评估。借助嵌入的计数信标,ecom公司能够发现资料当事人是否打开了电子邮件,是在何时打开的电子邮件,以及资料当事人是否打开了电子邮件中的链接。
数据处理责任方会对这种通过嵌入通讯的计数信标获取的个人数据进行保存和评估,以便对通讯发送服务进行优化,以及调整通讯的内容,以更好的匹配资料当事人的兴趣。这些个人数据不会被转发给第三方。资料当事人随时有权撤销与之相关的、单独通过双选加入程序作出的单独同意声明。撤销后,相关个人数据将被数据处理责任方删除。取消订阅通讯,ecom公司将自动认定撤销。
九、通过网站联络
根据法律法规,ecom公司网站上包含可与我们公司通过电子方式快速取得联系,以及与我们直接通信的地址的信息——其中也包括所谓的电子邮件(电子邮件地址)。 如果资料当事人通过电子邮件或联系表格与数据处理责任方 取得联系,则资料当事人提交的个人数据将被自动保存。这些资料当事人在自愿基础上提交给数据处理责任方的个人数据将被保存,用于处理或联系资料当事人。这些个人数据不会被转发给第三方。
十、定期删除和封锁个人数据
只有在为实现保存目的所必需的期限内,或者在数据处理责任方 必须遵守的欧盟指令和条例颁布机构或其他立法者规定的期限内,数据处理责任方才能处理和保存资料当事人的个人数据。如果保存目的已不存在,或者欧盟指令和条例颁布机构或其他立法者规定的保存期限到期,则必须依照法律规定,定期封锁或删除个人数据。
十一、资料当事人的权利
a)确认权
每个资料当事人都享有欧盟指令和条例颁布机构赋予的权利,要求数据处理责任方确认是否对其相关的个人数据进行了处理。如果资料当事人想要行使确认权,则可以随时向数据处理责任方的任何一名员工提出。
b)知情权
每个涉及到个人数据处理的资料当事人都享有欧盟指令和条例颁布机构赋予的权利,随时从数据处理责任方处无偿获悉保存的关于其个人数据的情况以及相关情况的副本。此外,欧盟指令和条例颁布机构须告知资料当事人下列信息:
- 信息处理目的。
- 所处理的个人数据的类别。
- 个人数据披露的获取人或获取人的类别,特别是位于第三国的获取人或国际组织。
- 如果有可能的话,个人数据的计划保存期限,或者如果实现不了,确定该期限的标准。
- 纠正或删除相关个人数据的权利,或者责任方限制和处理个人数据的权利,或者反对此类处理的撤销权利。
- 向监察机构提出申诉的权利。
- 如果个人数据不是从资料当事人处收集的:关于信息来源的所有可用信息。
- 自动决策,包括 DS-GVO第22条第1款和第4款规定的档案分析和——至少在这些情况下——有关所涉逻辑的有说服力的信息,以及此类处理对资料当事人的影响和预期效果。
此外,资料当事人还享有以下知情权:个人数据是否被发送到第三国或某一国际组织。如果是这种情况,则资料当事人也有权获悉与此种信息转发相关联的适当保证。
如果资料当事人想要行使知情权,则可以随时向数据处理责任方的任何一名员工提出。
c)纠正权
每个涉及到个人数据处理的资料当事人都享有欧盟指令和条例颁布机构赋予的权利,要求立即纠正与其相关的错误的个人数据。此外,资料当事人结合对处理目的的考量,还有权要求完善不完整的个人数据,也包括通过补充声明的形式。
如果资料当事人想要行使纠正权,则可以随时向数据处理责任方的员工提出。
d)删除权(遗忘权)
只要涉及到下列任何一个理由,且数据处理是不必要的,则每个涉及到个人数据处理的资料当事人都享有欧盟指令和条例颁布机构赋予的权利,要求数据处理责任方立即删除与其相关的个人数据:
- 采集或以其他形式处理个人数据的目的不再是必要的。
- 资料当事人撤销了允许DSGVO第6条第1款字母a项或DSGVO第9条第2款字母a项的规定意义上的数据处理的同意声明,并且缺乏数据处理的其他法律依据。
- 资料当事人依照DSGVO第21条第1款的规定提交了反对处理其个人数据的意见,且不存在数据处理的优先法律依据;或者资料当事人依照DSGVO第21条第2款的规定提交了反对处理其个人数据的意见。
- 个人数据被非法处理。
- 为了履行数据处理责任方必须遵守的欧盟或欧盟成员国相关法律的法定义务,必须删除个人数据。
- 根据DS-GVO第8条第1款的规定采集与信息社会所提供服务相关的个人数据。
如果涉及到上述任何一个理由,且资料当事人希望删除在ecom公司保存的个人数据,则可以随时向数据处理责任方的任何一名员工提出。ecom公司的员工将会立即安排执行删除申请。
如果个人数据是由ecom公司发布的,而且根据DSGVO第17条第1款的规定,我们公司作为数据处理责任方,对个人数据的删除负有责任,则ecom公司会根据关于可用技术和执行成本的考量,采取适宜的措施,也包括技术措施,通知其他处理已发布的个人数据的责任方,资料当事人要求这些处理已发布个人数据的责任方也必须删除不再需要处理的个人数据的全部链接或其个人数据的复印件或副本。ecom公司的员工将结合具体情况推动完成必要的操作。
e)限制处理权
当满足下列任何一个前提条件时,每个涉及到个人数据处理的资料当事人都享有欧盟指令和条例颁布机构赋予的权利,要求数据处理责任方对数据的处理做出限制:
- 资料当事人否认个人数据的正确性,即在数据处理责任方能够对个人数据的正确性进行审核的期限内。
- 数据的处理是非法的,资料当事人拒绝删除个人数据,要求限制个人数据的使用。
- 数据处理责任方不再需要个人数据,但是资料当事人却需要这些数据,以便提出权利主张、行使或捍卫法律诉求。
- 资料当事人依照DSGVO第21条第1款的规定提出了反对数据处理的意见,尚不明确数据处理责任方的合法权益是否优先于资料当事人。
如果符合上述任何一个前提条件,且资料当事人要求对ecom公司存储的个人数据的处理做出限制,则可以随时向数据处理责任方的员工提出。ecom公司的员工将启动处理限制操作。
f)数据传输权
每个涉及到个人数据处理的资料当事人都享有欧盟指令和条例颁布机构赋予的权利,以一个结构化的、通用的、机器可读取的格式,获取其提供给数据处理责任方的个人数据。此外,资料当事人还有权将这些数据提供给其他的数据处理责任方,提供给其上述结构化个人资料的责任方不得对其进行限制,前提是数据的处理基于DS-GVO第6条第1款字母a项或DS-GVO第9条第2款字母a项的规定,或者基于DS-GVO第6条第1款字母b项规定的合同,并且数据的处理是借助自动化方法完成的,只要数据的处理对于执行公共利益的任务,或行使法律赋予数据处理责任方的公共权力并不是必需的。
此外,资料当事人在依照DS-GVO第20条第1款的规定行使数据传输权时,有权要求,直接将其个人数据从一个数据处理责任方发送给另外一个数据处理责任方,前提是技术上可行,并且不会损害他人的权利和自由。
如需行使数据传输权,资料当事人可以随时联系ecom公司的任何一名员工。
g)反对权
每个涉及到个人数据处理的资料当事人都享有欧盟指令和条例颁布机构赋予的权利,根据其特殊情况,随时对依照DS-GVO第6条第1款字母e或f项规定进行的个人数据的处理,提出反对意见。这也适用于规定保护的档案分析。
如遇反对,ecom公司将不再对个人数据进行处理,除非我们能够证明存在强制进行数据处理的理由,且该理由优先于资料当事人的利益、权利和自由,或者数据的处理服务于主张、行使或捍卫合法诉求。
如果ecom公司处理个人数据是为了发送直接针对消费者的广告,则资料当事人有权随时就将其个人数据用于此类广告提出反对。这也适用于与此类直接广告相关联的档案分析。如果资料当事人向ecom公司提出反对将个人数据用于投放直接广告,则ecom公司将不再把其个人数据用于此目的。
此外,资料当事人有权根据其特殊情况,随时对ecom公司依照DS-GVO第89条第1款的规定为经济或历史或统计目的而进行的对个人数据的处理,提出反对意见,除非这种处理是为了执行公共利益任务所必需的。
如需行使反对权,资料当事人可以直接联系ecom公司的任何一名员工。此外,涉及到信息社会服务应用,不论2002/58/ EC号指令的规定,资料当事人还可以借助采用技术规范的自动程序行使反对权。
h)在具体情况下——包括档案分析——的自动化决定
每个涉及到个人数据处理的资料当事人都享有欧盟指令和条例颁布机构赋予的权利,不受完全基于自动化处理(包括档案分析)的、对其有法律效力的或以类似方式对其产生重大妨碍的决定的约束,只要:(1)该决定对于资料当事人和数据处理责任方之间订立的合同及其执行不是必要的;或者(2)基于数据处理责任方必须遵守的欧盟或其成员国法律——其中包含维护资料当事人权利、自由和合法利益的条款——允许不遵守上述决定;或者(3)经资料当事人明确同意。
如果决定(1)对于资料当事人和数据处理责任方之间订立的合同及其执行是必要的;或者(2)经资料当事人明确同意,则ecom公司可采取适当措施,以保障资料当事人权利、自由和合法利益,至少有权要求数据处理责任方派人干预,表明自己的立场以及对决定提出反驳。
如需行使与自动化决定相关的权利,则资料当事人可以随时联系ecom公司的任何一名员工。
i)撤销数据保护许可的权利
每个涉及到个人数据处理的资料当事人都享有欧盟指令和条例颁布机构赋予的权利,随时撤销数据保护许可。如需行使撤销数据保护许可的权利,则资料当事人可以随时联系ecom公司的任何一名员工。
十二、申请和申请程序中的数据保护
数据处理责任方采集和处理申请人的个人数据,用于执行申请过程。这种处理也可以采用电子方式完成。尤其是当申请人以电子方式向数据处理责任方提交申请材料时,例如通过电子邮件或通过网页上的申请表。如果数据处理责任方与申请人签订了雇佣合同,那么其所提供的数据将被保存,用于在相关法律的指导下开展雇佣关系。如果数据处理责任方没有与申请人签订雇佣合同,那么发布公告后的两个月内,应当自动删除申请人的申请资料,前提是删除这些资料不会违背数据处理责任方的其他合法权益。从这个意义上来讲,其他合法权益是指,例如《一般平等待遇法(AGG)》规定的诉讼程序中的举证义务。
十三、使用Facebook的数据保护规定
数据处理责任方已经将Facebook组件集成到了本公司的网页中。Facebook是一个社交网络。社交网络是一个基于互联网的社交场所,一个在线社区,通常允许用户彼此通信,并在虚拟空间进行交互往来。社交网络可以作为交换意见和经验的平台,或者也可以协助互联网社区提供个人或商业信息。Facebook允许社交网络用户创建个人账户,上传照片,并通过好友请求进行社交。
Facebook的运营公司是Facebook公司,位于美国门洛帕克市Hacker Way1号(邮编:CA 94025)。如果资料当事人来自于美国或加拿大以外的其他国家和地区,则其个人数据处理责任方为Facebook爱尔兰公司(地址:爱尔兰都柏林大运河港Grand Canal Square4号)。
每次打开由数据处理责任方运营的并集成了Facebook组件(Facebook的插件)的网站上的某个单独网页时,互联网浏览器将在资料当事人的信息技术系统的基础上通过相应的Facebook组件被自动激活,下载相应的Facebook组件并展示。关于所有Facebook插件的概览,可以在https://developers.facebook.com/docs/plugins/?locale=de_DE上查看。在该技术进程中,Facebook可以了解到资料当事人具体访问了我们网站上的哪些子页面上的信息。
资料当事人如果同时也登录了Facebook,则当资料当事人每次打开我们网站时以及在我们网站停留的整个期间,Facebook都能识别资料当事人具体访问了我们网站上的哪些子页面上的信息。这些信息是由Facebook组件汇总的,并由Facebook归类到资料当事人的Facebook账户中。如果资料当事人点击了集成在我们网站上的Facebook按钮,例如点击了“喜欢”按钮,或者如果资料当事人发表了评论,则Facebook会将这个信息对应到资料当事人的个人Facebbook用户账户中,并且保存其个人数据。
如果资料当事人在访问我们网站的同时也登录了Facebook,则Facebook可以通过Facebook组件获悉资料当事人访问我们的网站;无论资料当事人是否点击了Facebook组件,Facebook都能了解相关情况。如果资料当事人不希望将此类信息发送给Facebook,则可以在打开我们网站之前,登出自己的Facebook账户,这样就可以阻止信息的发送了。
Facebook发布的数据政策,可以通过以下网址查看:https://de-de.facebook.com/about/privacy/,其中提供了关于Facebook采集、处理和使用个人数据的信息。此外还展示了,Facebook提供了哪些保护资料当事人隐私的设置。 另外,也可以使用不同的应用程序,以阻止向Facebook传输数据。 资料当事人可以使用此类应用程序来阻止向Facebook发送数据。
十四、使用Google Analytics(分析)(含匿名功能)的数据保护规定
数据处理责任方已经将Google Analytics(分析)组件(含匿名功能)集成到了本公司的网页中。Google Analytics(分析)是一项网络分析服务。网络分析是指收集、汇总和评估互联网用户的行为数据。除此之外,网络分析服务用于收集关于资料当事人从哪个网站跳转到当前网站的信息(所谓的Referrer),以及其访问了网站的哪些子页面,或者其查阅子页面的频率和停留时间。网络分析主要用于优化网站广告和成本效益分析。
Google Analytics(分析)组件的运营公司是Google公司,位于美国山景城Amphitheatre Pkwy1600号(邮编CA 94043-1351)。
数据处理责任方使用Google Analytics(分析)提供的网络分析插件“_gat._anonymizeIp”。如果在欧盟成员国或欧洲经济区缔约国范围内访问我们的网站,借助该插件,Google会缩短资料当事人的网络IP地址并将其匿名。
Google Analytics(分析)组件的用途在于对我们网站的访问量进行分析。除此之外,Google使用所获得的数据和信息来评估我们网站的使用情况,为我们编制在线报告,显示我们网站上的活动,并提供与使用我们网站相关的其他服务。
Google Analytics(分析)会在资料当事人的信息技术系统中设置一个Cookies。上文已经解释了什么是Cookies。通过使用Cookies,Google可以对我们网站的使用情况进行分析。每次打开数据处理责任方运营的并集成了Google Analytics(分析)组件的网站上的某个单独页面,互联网浏览器将在资料当事人的信息技术系统的基础上通过相应的Google Analytics(分析)组件被自动激活,将信息发送给Google,以便进行在线分析。 在技术进程的框架内,Google可以了解到资料当事人的IP地址,追踪访问者的来源和点击次数,并随后计算佣金。
借助Cookies ,可以保存个人信息,例如访问时间、访问地点以及资料当事人访问我们网站的频率。每次访问我们网站时,资料当事人的个人数据,包括其所使用的网络连接的IP地址,都会被发送到位于美国的Google公司。这些个人数据将被保存在位于美国的Google公司。Google公司通过技术手段将采集的个人数据发送给第三方。
如上文所述,资料当事人可以随时通过其所使用的网络浏览器上的相应设置阻止在我们的网站上使用Cookies,并借此长久禁用Cookies。在网络浏览器上进行的这种设置,也可以阻止Google在资料当事人的信息技术系统上设置Cookies。此外,可以随时通过互联网浏览器或其他软件程序删除Google Analytics(分析)已经设置的Cookies。
此外,资料当事人可以反对和阻止Google通过Google Analytics(分析)采集生成数据、使用网站相关数据,以及对这些数据进行处理。为此,资料当事人需要通过链接https://tools.google.com/dlpage/gaoptout下载并安装浏览器插件。该浏览器插件通过JavaScript通知 Google Analytics(分析),不允许将有关网站访问的数据和信息传输给Google Analytics(分析)。如若安装此插件,则Google将认定用户反对采集和处理数据。如果日后资料当事人的信息技术系统被删除、格式化或重新安装,则当事人必须重新安装浏览器插件才能停用Google Analytics(分析)。如果资料当事人或其控制下的任何其他人员卸载或禁用了浏览器加载项,则后续还可以重新安装或重新启用浏览器加载项。
Google的更多信息和适用的数据保护规定,请参见以下网址: https://www.google.de/intl/de/policies/privacy/ 和http://www.google.com/analytics/terms/de.html 。关于Google 分析,在以下网址有更为详尽的介绍:https://www.google.com/intl/de_de/analytics/ 。
十五、使用Google+ 的数据保护规定
数据处理责任方已经将Google+组件集成到了本公司的网页中。Google+是一个社交网络。社交网络是一个基于互联网的社交场所,一个在线社区,通常允许用户彼此通信,并在虚拟空间进行交互往来。社交网络可以作为交换意见和经验的平台,或者也可以协助互联网社区提供个人或商业信息。 Google+允许社交网络用户创建个人账户,上传照片,并通过好友请求进行社交。
Google+的运营公司是Google公司,位于美国山景城Amphitheatre Pkwy1600号(邮编CA 94043-1351)。
每次打开由数据处理责任方运营的并集成了Google+按钮的网站上的某个单独网页时,互联网浏览器将在资料当事人的信息技术系统的基础上通过相应的Google+按钮被自动激活,下载并展示相应的Google+。在该技术进程中,Google可以了解到资料当事人具体访问了我们网站上的哪些子页面上的信息。关于Google+的详细信息可以查阅以下网址:https://developers.google.com/+/。
资料当事人如果同时也登录了Google+,则当资料当事人每次打开我们网站时以及在我们网站停留的整个期间,Google都能识别资料当事人具体访问了我们网站上的哪些子页面上的信息。这些信息是由Google+按钮汇总的,并由Google归类到资料当事人的Google+账户中。
如果资料当事人点击了集成在我们网站上的Google+按钮,或者如果资料当事人发表了Google+1推荐,则Google会将这个信息对应到资料当事人的个人Google+用户账户中,并且保存其个人数据。Google保存资料当事人的Google+1推荐,并根据资料当事人接受的条件公开发布。资料当事人在本网站发布的Google+1推荐,后续会和其他个人数据一起——如同资料当事人所使用的Google+1账户的用户名和其他Google服务中保存的照片,例如Google搜索引擎的搜索结果,资料当事人的Google账户或其他譬如网页或与广告相关的位置——进行保存和处理。另外,Google还可以将本网站上的访问与Google上保存的其他个人数据联系起来。Google还会记录这些个人信息,用于改进和优化Google的各种服务。
如果资料当事人在访问我们网站的同时也登录了Google+,则Google可以通过Google+按钮获悉资料当事人访问我们的网站;无论资料当事人是否点击了Google+按钮,Google都能了解相关情况。
如果资料当事人不希望将此类信息发送给Google ,则可以在打开我们网站之前,登出自己的Google +账户,这样就可以阻止信息的发送了。
Google的更多信息和适用的数据保护规定,请参见以下网址: https://www.google.de/intl/de/policies/privacy/ 。关于Google+1界面的更多详情,请参见以下网址: https://developers.google.com/+/web/buttons-policy 。
十六、使用Google-AdWords的数据保护规定
数据处理责任方已经将Google AdWords 组件集成到了本公司的网页中。Google AdWords 是一项网络广告服务,可以让广告运营方同时在Google搜索引擎结果和Goolge广告网络中同时展示广告。Google AdWords允许广告运营方预先设定几个关键词,以便当用户在搜索引器中查询关键词相关的搜索结果时,在Google的搜索引擎结果中显示其广告。在Google广告网络中,会借助自动算法并根据预先定义的关键字,在主题网页上自动发布广告。
Google AdWords 的运营公司是Google公司,位于美国山景城Amphitheatre Pkwy1600号(邮编CA 94043-1351)。
Google AdWords的用途在于通过在第三方网站和Google搜索引擎的搜索引擎结果中显示用户会感兴趣的广告,并在我们的网站上展示广告,来宣传我们的网站。
如果资料当事人通过我们的网站打开某一Google广告,则Google就会将所谓的转换Cookie存储在资料当事人的信息技术系统上。上文已经解释过什么是Cookies了。转换Cookies在三十天后失效,不再用于识别资料当事人。只要转换Cookies尚未失效,则可以借助转换Cookies跟踪用户在我们的网站上访问了哪些子网页,例如在线商店系统的购物车。通过转换Cookies,我们和Google都可以了解某位通过我们的网站打开一则Google广告的资料当事人是否产生了消费,即是否完成或取消了购买行为。
Google通过使用转换Cookies采集的数据和信息,创建我们网站的访问统计信息。而我们使用这些访问统计信息来计算用户的总数,这些用户是通过AdWords广告发送给我们的,以便确定每则AdWords广告的成功或失败以及今后优化我们的AdWords广告。无论是我们公司还是Google-AdWords的其他广告客户都不会从Google获取任何可能识别资料当事人身份的信息。
借助转换Cookies,可以保存诸如资料当事人访问的网站等个人信息。每次访问我们的网站时,资料当事人的个人数据,包括其所使用的网络连接的IP地址,都会被发送到位于美国的Google公司。这些个人数据将被保存在位于美国的Google公司。Google公司通过技术手段将采集的个人数据发送给第三方。
如上文所述,资料当事人可以随时通过其使用的网络浏览器上的相应设置阻止在我们的网站上使用Cookies,并借此长期禁用Cookies。在网络浏览器上进行的这种设置,也可以阻止Google在资料当事人的信息技术系统上设置转换Cookies。此外,可以随时通过互联网浏览器或其他软件程序删除Google AdWords已经设置的Cookies。
此外,资料当事人可以反对和阻止Google的广告。为此,资料当事人需要通过链接 www.google.de/settings/ads,并进行相应的设置。
Google的更多信息和适用的数据保护规定,请参见以下网址:https://www.google.de/intl/de/policies/privacy/。
十七、使用Instagram的数据保护规定
数据处理责任方已经将Instagram组件集成到了本公司的网页中。Instagram 是一个视听平台,其允许用户分享一部分照片和视频,并将这些数据传播给其他社交网络。
Instagram的运营公司是Instagram公司,位于美国加利福尼亚门洛帕克Hacker Way1号14号楼1楼。
每次打开由数据处理责任方运营的并集成了Instagram组件(Instagram按钮)的网站上的某个单独网页时,互联网浏览器将在资料当事人的信息技术系统的基础上通过相应的Instagram组件被自动激活,下载并展示相应的Instagram组件将。在该技术进程中,Instagram可以了解到资料当事人具体访问了我们网站上的哪些子页面上的信息。
资料当事人如果同时也登录了Instagram,则当资料当事人每次打开我们网站时以及在我们网站停留的整个期间,Instagram都能识别资料当事人具体访问了我们网站上的哪些子页面上的信息。这些信息是由Instagram组件汇总的,并由Instagram归类到资料当事人的Instagram账户中。如果资料当事人点击了集成在我们网站上的Instagram按钮,则Instagram会将这个信息对应到资料当事人的个人Instagram用户账户中,并且保存其个人数据。
如果资料当事人在访问我们网站的同时也登录了Instagram,则Instagram可以通过Instagram组件获悉资料当事人访问我们的网站;无论资料当事人是否点击了Instagram按钮,Instagram都能了解相关情况。如果资料当事人不希望将此类信息发送给Instagram,则可以在打开我们网站之前,登出自己的Instagram账户,这样就可以阻止信息的发送了。
Instagram的更多信息和适用的数据保护规定,请参见以下网址:https://help.instagram.com/155833707900388、https://www.instagram.com/about/legal/privacy/ 。
十八、使用Twitter的数据保护规定
数据处理责任方 已经将Twitter 组件集成到了本公司的网页中。Twitter 是一项多语言、公用的微博客服务,允许用户发布和编辑所谓的推文,即字数不超过280字的短消息。这些短消息可供任何人使用,包括非Twitter用户。 推文也显示给相应用户的所谓粉丝。 粉丝是追随用户推文的其他Twitter用户。 Twitter还允许用户通过主题标签、链接或转发来联系广泛的受众群体。
Twitter 的运营公司是Twitter 公司,位于美国旧金山Market Street1355号800公寓(邮编CA 94103)。
每次打开由数据处理责任方运营的并集成了Twitter组件(Twitter按钮)的网站上的某个单独网页时,互联网浏览器将在资料当事人的信息技术系统的基础上通过相应的Twitter组件被自动激活,下载并展示相应的Twitter组件。更多关于Twitter按钮的信息,请查阅以下链接:https://about.twitter.com/de/resources/buttons。在该技术进程中,Twitter 可以了解到资料当事人具体访问了我们网站上的哪些子页面上的信息。集成Twitter组件的目的在于,用户能够转发我们网站上的内容,在网络世界中推广我们的网站,提高我们的访客数量。
资料当事人如果同时也登录了Twitter,则当资料当事人每次打开我们网站时以及在我们网站停留的整个期间,Twitter都能识别资料当事人具体访问了我们网站上的哪些子页面上的信息。这些信息是由Twitter组件汇总的,并由Twitter归类到资料当事人的Twitter账户中。如果资料当事人点击了集成在我们网站上的Twitter按钮,则Twitter会将这个信息对应到资料当事人的个人Twitter用户账户中,并且保存其个人数据。
如果资料当事人在访问我们网站的同时也登录了Twitter,则Twitter可以通过Twitter组件获悉资料当事人访问我们的网站;无论资料当事人是否点击了Twitter按钮,Twitter都能了解相关情况。如果资料当事人不希望将此类信息发送给Twitter,则可以在打开我们网站之前,登出自己的Twitter账户,这样就可以阻止信息的发送了。
Twitter的适用的数据保护规定,请参见以下网址:https://twitter.com/privacy?lang=de。
十九、使用Xing的数据保护规定
数据处理责任方已经将Xing组件集成到了本公司的网页中。Xing是一个社交网络。社交网络是一个基于互联网的社交场所,允许用户与现有的业务伙伴联系,以及建立新的商业联系。Xing的每个用户都可以创建一个个人档案。公司可以创建公司档案,或者在Xing上发布招聘岗位信息。
Xing的运营公司是Xing公司,位于德国汉堡Dammtorstraße大街30(邮编20354)。
每次打开由数据处理责任方运营的并集成了Xing组件(Xing插件)的网站上的某个单独网页时,互联网浏览器将在资料当事人的信息技术系统的基础上通过相应的Xing组件被自动激活,下载并展示相应的Xing组件。更多关于Xing组件的信息,请查阅以下链接:https://dev.xing.com/plugins。在该技术进程中,Xing可以了解到资料当事人具体访问了我们网站上的哪些子页面上的信息。
资料当事人如果同时也登录了Xing,则当资料当事人每次打开我们网站时以及在我们网站停留的整个期间,Xing都能识别资料当事人具体访问了我们网站上的哪些子页面上的信息。这些信息是由Xing组件汇总的,并由Xing归类到资料当事人的Xing账户中。如果资料当事人点击了集成在我们网站上的Xing按钮,则Xing会将这个信息对应到资料当事人的个人Xing用户账户中,并且保存其个人数据。
如果资料当事人在访问我们网站的同时也登录了Xing,则Xing可以通过Xing组件获悉资料当事人访问我们的网站;无论资料当事人是否点击了Xing按钮,Xing都能了解相关情况。如果资料当事人不希望将此类信息发送给Xing,则可以在打开我们网站之前,登出自己的Xing账户,这样就可以阻止信息的发送了。
Xing 发布的数据保护规定,请参见以下网址:https://www.xing.com/privacy,其中提供了关于Xing采集、处理和使用个人数据的信息。此外,Xing通过以下网址发布了XING共享按钮的隐私声明:https://www.xing.com/app/share?op=data_protection。
二十、使用YouTube的数据保护规定
数据处理责任方已经将YouTube组件集成到了本公司的网页中。YouTube是一个网络视频门户网站。发布视频的人可以免费创建视频剪辑,其他用户也可以免费欣赏、评价和评论视频剪辑。YouTube允许发布任何类型的视频,因此无论是通过互联网门户网站提供的完整的电影和电视广播,还是音乐视频、预告片或用户制作的视频,都可以在该门户网站上发布。
YouTube的运营公司是YouTubeLLC公司,位于美国圣布鲁诺Cherry Ave901号(邮编CA 94066)。YouTubeLLC是位于美国山景城Amphitheatre Pkwy1600号(邮编CA 94043-1351)的Google公司的一家子公司。
每次打开由数据处理责任方运营的并集成了YouTube组件(YouTube视频)的网站上的某个单独网页时,互联网浏览器将在资料当事人的信息技术系统的基础上通过相应的YouTube组件被自动激活,下载并展示相应的YouTube组件。更多关于YouTube组件的信息,请查阅以下链接:https://www.youtube.com/yt/about/de/。在该技术进程中,YouTube可以了解到资料当事人具体访问了我们网站上的哪些子页面上的信息。
资料当事人如果同时也登录了YouTube,则当资料当事人每次打开含有YouTube视频的子页面时,YouTube都能识别资料当事人具体访问了我们网站上的哪些子页面上的信息。这些信息是由YouTube和Google汇总的,并由YouTube归类到资料当事人的YouTube账户中。
如果资料当事人在访问我们网站的同时也登录了YouTube,则YouTube和Google可以通过YouTube组件获悉资料当事人访问我们的网站;无论资料当事人是否点击了YouTube视频,YouTube都能了解相关情况。如果资料当事人不希望将此类信息发送给YouTube,则可以在打开我们网站之前,登出自己的YouTube账户,这样就可以阻止信息的发送了。
YouTube发布的数据保护规定,请参见以下网址:https://www.google.de/intl/de/policies/privacy/,其中提供了关于YouTube和Google采集、处理和使用个人数据的信息。
二十一、付款方式:以Paypal作为付款方式的数据保护规定
数据处理责任方已经将PayPal组件集成到了本公司的网页中。PayPal是一个在线支付服务提供商。用户可以通过所谓的PayPal账户进行付款。这些账户都是虚拟的私人账户或企业账户。此外如果用户没有PayPal账户,也可以在PayPal上通过信用卡处理虚拟付款。PayPal账户是通过电子邮件地址进行管理的,因此没有传统的账户号码。通过PayPal,可以启动对第三方的在线支付或接收付款。此外PayPal还能提供信托功能和提高买家保护服务。
PayPal的欧洲运营公司是PayPal(欧洲)S.à.r.l. & Cie. S.C.A.公司,位于卢森堡Boulevard Royal22-24号(邮编2449)。
如果资料当事人在我们网上商店的订购过程中选择“PayPal”作为付款方式,则资料当事人的数据将自动传输到PayPal。 通过选择此项付款方式,资料当事人同意支付所需的个人资料的传输。
向PayPal传输的个人数据通常是指传输付款处理所需的名字、姓氏、地址、电子邮件地址、IP地址、电话号码、手机号码或其他数据。为了执行购买合同,也需要与订购有关的个人信息。
传输数据的目的在于处理付款和防止欺诈。尤其是在存在数据传输的正当利益的情况下,数据处理责任方将向PayPal传输个人数据。PayPal也有可能将其与数据处理责任方之间交换的个人数据转发给信用报告机构。这种转发的目的在于进行身份和信用审核。
在某些情况下,PayPal也会将个人数据发送给关联公司和服务提供商或分包商,前提是这对于履行合同义务是必要的,或者是这些公司受委托代为处理数据。
资料当事人可以随时撤销PayPal处理其个人数据的同意声明。为了执行(合同约定的)付款而强制需要进行处理、使用或转发的个人数据,则不受撤销同意声明的影响。
PayPal适用的数据保护规定,请查阅以下网址:https://www.paypal.com/de/webapps/mpp/ua/privacy-full。
二十二、数据处理的法律基础
DS-GVO第6I条字母a项的规定是我们公司对于已取得处理同意声明的数据进行处理的法律依据。如果对于履行资料当事人作为缔约方的合同而言,必须要对其个人数据进行处理,例如为了交付货物或提供任何其他服务或对等服务而必须进行数据处理,这种情况下,这里的数据处理基于DS-GVO第6I条字母b项的规定。这同样也适用于执行合同之前所需的数据处理过程,例如在对我们的产品和服务进行询价的情况下。如果我们公司承担着对个人数据进行处理的法定义务,例如为了履行纳税义务,则这里的数据处理基于DS-GVO第6I条字母c项的规定。在极少数情况下,为了保护资料当事人或其他自然人的切身利益,需要对个人数据进行处理。例如,如果我们公司的访客受伤,那么其姓名、年龄、医疗保险信息或其他非常重要的信息都会被转发给医生、医院或其他第三方。在这种情况下,对其个人数据的处理基于DS-GVO第6I条字母d项的规定。最后,数据处理过程也可能基于DS-GVO第6I条字母f项的规定。如果数据的处理对于保护本公司或第三方的合法权益是必需的,且只要资料当事人的利益、基本权利和基本自由不占据优先地位,那么不包含在上述法律基础范围内的数据处理过程,都是基于这一条规定的。对于我们而言,尤其允许执行这些数据处理过程,因为这是欧洲立法机构特别谈到的一点。欧洲立法机构表示,如果资料当事人是数据处理责任方的客户,则可以认定存在相关的合法利益(DS-GVO详述第2句)。
二十三、数据处理责任方 或第三方正在进行的数据处理的合法权益
如果对个人数据的处理是基于DS-GVO第6I条字母f项的规定,则我方的合法权益在于为了我们所有员工和股东的利益而开展业务。
二十四、个人数据保存期限
个人数据保存期限的标准为各个相关的法定保存期限。到期之后,如果不再需要相关数据来履行合同或启动合同,则应当定期删除相关数据。
二十五、关于提供个人数据的法律或合同规定;签订合同的必要性;提供个人数据的资料当事人的义务;不提供数据的可能的后果
我们要向您澄清的是,提供个人数据在一定程度上是法律要求(例如刑法)或合同规定(例如合同缔约方的信息)。有时候,为了签订合同,需要资料当事人向我们提供个人数据,然后这些数据必须由我们后续进行处理。例如, 当我们公司与资料当事人签订合同时,其有义务向我们公司提供数据。如果不提供个人数据,则可能会导致无法与资料当事人签订合同。资料当事人在提供任何个人数据之前,必须与我公司的相关员工联系。在具体情况下,我们的员工会告知资料当事人,个人数据的提供是否属于法律或合同规定,或者其对于合同的签订是否是必要的,资料当事人是否有义务提供个人数据,以及如果不提供个人数据会有什么后果。
二十六、自动化决定
作为负责任的公司,我们放弃进行自动化决定或档案分析。