数据保护公告

European Chinese Supply Chain Zrt. (以下简称为:企业)根据欧洲议会和欧洲理事会第2016/679 条例要求,通过发布本此数据隐私声明而履行其事先提供有关数据主体的个人控制数据信息的义务。欧盟该条例相关条款规定的所有信息必须以简明、透明、可理解和易于获取的形式,用清晰和通俗的语言提供给数据处理相关方。

一、数据控制者名称

在此企业通知相关方,在私人信息管理范围内被视为数据处理者。

企业名称:European Chinese Supply Chain Zrt.

注册地址:1133 Budapest, Váci út 76.

公司注册号码:01 10 049896

税号:26389686-2-41.

电子信箱:info@ecsc-logistics.com

官网:www.ecsc-logistics.com

拥有与相关数据处理目的相关访问权的本公司员工,以及根据服务合同为本公司进行数据处理活动的个人和组织,可以在履行其活动所需的范围和程度上访问个人数据。

二、数据处理者名称

本企业在自愿同意基础上,使用外部数据处理者来运营和维护其网站及处理本公司的个人信息。

企业名称:European Chinese Supply Chain Zrt.

注册地址:1133 Budapest, Váci út 76.

公司注册号码:01 10 049896

税号:26389686-2-41.

电子信箱:info@ecsc-logistics.com

官网:www.ecsc-logistics.com

三、词汇定义

1.“个人信息与已识别或可识别的自然人(“相关者”)有关的任何信息;可识别的自然人是指可以直接或间接识别的人,特别是通过参考诸如姓名、号码、位置数据、在线标识符等标识符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个因素。

2.“数据控制”:对个人数据或个人数据集进行的自动化或人工化的任何操作或一组操作,如:收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通讯传输、传播或以其他方式提供的披露、调整或组合、限制、删除或销毁。

3.“处理限制”:标记存储的个人数据以限制他们未来的处理;

4.“建档”:任何形式的个人数据自动处理,其中个人数据被用来评估或预测与自然人有关的某些个人方面,特别是分析或预测与该自然人的工作表现、经济状况、健康、个人喜好、兴趣、可靠性、行为、位置或行动有关的特征。

5.“匿名化”:在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据当事人的处理方式。此类额外信息应当单独保存,并且已有技术与组织方式应确保个人数据不能关联到某个已识别或可识别的自然人。

6.“档案系统”: 一组个人数据,通过任何方式,集中的、分散的或按功能或地理标准分类的,可根据具体标准获取的数据。

7.“数据控制者”:单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共当局、机构或任何其他机构;如果处理的目的和方式由欧盟或成员国的法律决定,控制者或指定控制者的具体标准也可由欧盟或成员国的法律决定。

8.“数据处理者”:代表控制人处理个人数据的自然人或法人、公共当局、机构或任何其他机构。

9.“接收者”:与之披露个人数据的自然人或法人、公共当局、机构或任何其他机构,无论是否为第三方。然而,根据欧盟或成员国法律在特定调查框架内可能接收个人数据的公共机构不应视为接收者;这些公共机构对这些数据的处理应根据处理的目的遵守适用的数据保护规则。

10.“第三方”:除数据当事人、控制者、处理者和在控制者或处理者的直接授权下被授权处理个人数据的自然人或法人、公共当局、机构或团体。

11.“数据当事人的同意”:任何自由给予的、具体的、知情的和不含糊的数据当事人意愿的表示,通过声明或明确的肯定行动,表示同意处理与其有关的个人数据。

12.“个人数据泄露事件”:违反安全规定,导致意外或非法破坏、丢失、改变、未经授权披露或访问传输、存储或以其他方式处理的个人数据。

13.“企业”:从事经济活动的自然人或法人,无论其法律形式如何,包括经常从事经济活动的伙伴关系或协会。

四、数据处理的合法性

1.数据当事人的同意

(1) 个人数据处理合法性应以当事人的同意为基础,以及具备法律规定的其他合法依据。

(2) 在基于数据当事人同意的处理情况下,数据当事人可以通过以下形式对其个人数据的处理表示同意:

  1. a) 以书面形式声明同意处理个人数据,
  2. b) 通过电子方式、在公司网站上的明确行为、打勾、或在使用信息社会服务时进行技术设置,以及在相关情况下明确表明数据当事人同意对其个人数据进行预定处理的任何其他声明或行动。

(3) 沉默、事先打勾的选框或不行动并不构成同意。

(4) 同意包括为同一目的或多个目的进行的所有处理活动。

(5) 如果处理有一个以上的目的,则必须对处理数据的所有目的给予同意。如果数据当事人在发出电子请求后表示同意,该请求必须清楚简明,而且不能不必要地妨碍使用寻求同意的服务。

(6) 数据当事人有权在任何时候撤销其同意。撤销同意并不影响在撤销前基于同意的处理的合法性。在给予同意之前,必须告知数据当事人。应该能够以与给予同意相同的简单方式撤回同意。

2.协议的履行

(1) 如果为了履行数据当事人为一方的合同,或为了在签订合同前应数据当事人的要求采取措施处理是合法的。

(2) 数据当事人对处理非履行合同所必需的个人数据的同意,不应成为订立合同的条件。

3.遵守控制人所承担的法律义务,或为了保护数据当事人或其他自然人的重要利益

(1) 在履行法律义务的情况下,数据控制的法律依据是由法律决定的,所以处理数据当事人的个人数据不需要征得其同意。

(2) 控制者应将目的、法律依据、期限、控制者的身份、数据当事人的权利和补救措施告知数据当事人。

(3) 控制者有权在撤销数据当事人的同意后,为遵守数据当事人的法律义务而处理必要的数据。

4.为了公共利益或行使赋予控制者的官方权力而执行的任务,控制者或第三方的合法利益。

(1) 控制者(包括可与之共享个人数据的控制者)或第三方的合法利益可构成处理的合法理由,但条件是数据当事人的利益、基本权利和自由不高于数据当事人的合法利益,同时考虑到数据当事人基于其与控制者的关系的合理期望。例如,这种合法利益可能存在于数据当事人和控制者之间存在相关和适当的关系,例如,数据当事人是控制者的客户或受雇于控制者。

(2) 为了确定合法利益的存在,有必要仔细评估,尤其是数据当事人在收集个人数据的时间和背景下,是否可以合理地预期将为有关目的进行处理。

(3) 如果在数据当事人不期望进一步处理的情况下处理个人数据,则数据当事人的利益和基本权利可优先于控制者的利益。

五、数据当事人在其数据控制方面的权利

1.公司提供以下关于数据当事人权利的简要信息:

数据当事人有权:

  1. 在控制过程开始前被通知,
  2. 从控制者那里得到关于其个人数据是否被控制的反馈,如果正在进行这种控制,则有权查阅个人数据和以下,
  3. 要求纠正或其数据,并从控制者收到已经执行的通知,
  4. 要求限制控制其数据,并从控制者收到已经执行的通知,
  5. 要求数据可携性,
  6. 如果您的个人数据是出于公共利益的原因或基于控制人的合法利益而被处理,您可以提出反对。
  7. 被豁免于自动决策,包括建档,
  8. 向监督机构提出投诉。数据当事人可通过以下联系当时执行其投诉权:国家数据保护和信息自由管理局,地址:1125 Budapest, Szilágyi Erzsébet fasor 22/c.,电话:+36 (1) 391-1400;传真:+36(1)391 1410.,www: http: //www.naih.hu,电子邮件:ugyfelszolgalat@naih.hu
  9. 对监督机构征求有效的司法补救措施,
  10. 针对控制者或处理者的有效司法补救措施
  11. 被告知有数据泄露的情况。

2.关于数据当事人权利的详细信息

知情权

(1) 数据当事人有权在控制操作开始之前被告知与其数据控制有关的信息。

(2) 从数据当事人收集个人数据时应提供的信息:

  1. 数据控制者及(如存在)数据控制者代表方的身份和联系方式;
  2. 数据保护官员的详细联系方式(如果有的话);
  3. 控制个人数据的目的以及控制的法律依据;
  4. 在基于条例第6条第(1)款(f)点进行控制的情况下,数据控制者或第三方的合法利益;
  5. 个别情况下,个人数据的接收者和接收者的类别(如果有的话);
  6. 个别情况下,控制者打算将个人数据转移到第三国或国际组织的事实,和是否具备委员会的符合性决策,或在《条例》第46条、第47条或第49条第(1)段第二项所述的转让情况下,说明适当和合适的保障措施,并提及获得其副本的方法或其可用性。

(3) 除了第1款中提到的信息外,为了确保公平和透明的控制,控制者在获得个人资料时,应向资料当事人提供以下额外信息:

  1. 个人数据的存储期限,或者在不可能的情况下,确定该期限的标准;
  2. 数据当事人有权要求控制者完成针对其个人数据的检查、纠正、消除或限制,并反对针对这些个人数据的控制,以及有权移植其数据;
  3. 如果是基于《条例》第6条第(1)段(a)点或第9条第(2)段(a)点的控制,则有权在任何时候撤销,但不影响在撤销之前基于同意进行的控制的合法性;
  4. 有权向监督机构提出申诉;
  5. 个人数据的提供是否基于法律或合同义务,或者是缔结合同的前提条件,数据当事人是否有义务提供个人数据以及不提供数据的预期后果;
  6. 有关《条例》第22条第1和第4段中所陈述的自动决策情况(包括建档在内),至少在这些情况下,明确说明所使用的逻辑和这种控制的重要性及其对数据当事人的预期后果。

(4) 如果所获得的个人信息非从数据当事人处所获,数据控制者应向数据当事人提供以下信息:

  1. 数据控制者及(如存在)数据控制者代表方的身份和联系方式;
  2. 数据保护官员的详细联系方式(如果有的话);
  3. 控制个人数据的目的以及控制的法律依据;
  4. 相关个人信息的类别;
  5. 个人数据的接收者和接收者的类别(如果有的话);
  6. 在适用的情况下,数据控制者打算将个人数据转移给第三国的接收者或国际组织,以及是否存在委员会的适当决定,或者在条例第46条、第47条或第49条第(1)款第二项提及的转移的情况下,说明适当和适合的保障措施,并提及获得副本的方式或其可用性。

(5) 除了第4款提及的信息外,数据控制者应向数据当事人提供以下必要的额外信息,以确保对数据当事人进行公平和透明的控制:

  1. 个人数据的存储期限,或者在不可能的情况下,确定该期限的标准;
  2. 在基于条例第6条第(1)款(f)点进行数据控制的情况下,数据控制者或第三方的合法利益;
  3. 数据当事人有权要求控制者完成针对其个人数据的检查、纠正、消除或限制,并反对针对这些个人数据的处理,以及有权移植其数据;
  4. 如基于《条例》第6条第(1)段(a)点或第9条第(2)段(a)点的控制,则有权在任何时候撤销,但不影响在撤销之前基于同意进行的控制的合法性;
  5. 有权向监督机构提出申诉;
  6. 个人数据的来源,以及在个别情况下,数据是否来自于公开来源;及
  7. 有关《条例》第22条第1和第4段中所陈述的自动决策情况(包括建档在内),至少在这些情况下,明确说明所使用的逻辑和这种控制的重要性及其对数据当事人的预期后果。

(6) 如果数据控制者计划与获取此数据不同的目的而进一步控制个人数据,则将在进一步控制之前将该其他目的和第4款中提到的任何相关补充信息告知数据当事人。

(7) 在下列情况下,以及在此范围内,不应适用第3-6款:

  1. 数据当事人已经拥有该信息;
  2. 提供有关信息证明是不可能的,或将涉及不相称的努力,特别是在为公共利益的存档目的、科学或历史研究目的或统计目的进行控制的情况下,第89(1)条所述的条件和保障,本条第1款所述的义务可能会使这种控制的目的无法实现或受到严重损害情况下。在这种情况下,数据控制者必须采取适当的措施,包括公开信息,以保护数据当事人的权利、自由和合法利益。
  3. 获取或披露数据是适用于数据控制者的欧盟或成员国法律明确要求的,该法律规定了适当的措施来保护数据当事人的合法利益;或
  4. 根据欧盟或成员国法律规定的职业保密义务,包括任何基于法律的保密义务,必须对个人数据进行保密。

数据当事人的同意

(1) 数据当事人有权从控制者那里得到关于其个人数据是否被控制的反馈,如果正在进行这种控制,则有权查阅个人数据和以下:

  1. 数据被控的目的;
  2. 相关个人信息的类别;
  3. 已向或将向其披露个人数据的接收者或接收类别,特别是包括第三国或国际组织的接收者;
  4. 个别情况下个人数据的存储期限,或者在不可能的情况下,确定该期限的标准;
  5. 数据当事人有权要求控制者完成针对其个人数据的检查、纠正、消除或限制,并反对针对这些个人数据的控制,以及有权移植其数据;
  6. 有权向监督机构提出申诉;
  7. 如果这些数据不是从数据当事人那里收集的,那么关于其来源的任何可用信息;
  8. 有关《条例》第22条第1和第4段中所陈述的自动决策情况(包括建档在内),至少在这些情况下,明确说明所使用的逻辑和这种控制的重要性及其对数据当事人的预期后果。

(2) 如果个人数据被转移到第三国或国际组织,根据第46条,数据当事人有权被告知转移的适当保障措施。

(3) 数据控制者应向数据当事人提供一份被控个人数据的副本。于数据当事人要求的额外副本,控制者可以根据行政成本收取合理的费用。如果数据当事人以电子方式提出要求,则应以常用的电子格式提供该信息,除非数据当事人另有要求。

 

 

数据当事人有关纠正和删除的权利

纠正权

(1)  数据当事人有权根据自己的要求,在没有无故拖延的情况下对有关其不准确的个人资料的进行纠正。考虑到数据被控的目的,数据当事人有权要求(通过补充声明的方式)补充不完整的个人数据。

删除权(被遗忘的权利

  1. 个人数据对收集或处理这些数据的目的不再存在;
  2. 数据当事人根据条例第6条第(1)款(a)点(有关同意处理个人数据)或条例第9条第(2)款(a)点(有关明确同意)撤回其同意,并且没有其他法律依据来处理;
  3. 数据当事人根据《条例》第21条第(1)段(有关反对权)反对控制处理,并且没有优先处理掌控的合法理由,或者数据当事人根据《条例》第21条第(2)段(有关反对为商业目的处理)而反对处理控制数据;
  4. 个人资料被非法处理;
  5. 为了遵守适用于控制者的欧盟或成员国法律规定的法律义务,必须删除个人数据;
  6. 在提供第8条第(1)款所述的信息社会服务中而收集的个人数据。

(2) 如果控制者已经披露了个人数据,并有义务应数据当事人的要求将其删除,则应采取合理的步骤,包括技术措施,同时考虑到现有的技术和实施成本,通知处理数据的其他控制方,数据当事人已经要求删除有关个人数据的链接或副本。

(3) 因以下情况下须完成数据控制而无法履行第1及第2条:

  1. 行使言论和信息自由的权利;
  2. 为了遵守欧盟或成员国法律规定的义务,控制者必须履行个人数据处理的义务,或为了履行公共利益或行使控制者的官方权力而进行的任务;
  3. 根据《条例》第9条第(2)段(h)点和(i)点以及《条例》第9条第(3)款,以公共卫生领域的公共利益为由;
  4. 协调《条例》第89条第(1)款统计目的,为公共利益的存档目的、科学或历史研究目的或,第1款中提到的权利可能会使这种处理不可能或严重损害;或
  5. 提出、执行或维护法律索赔。

限制处理的权利

  1. 数据当事人对个人数据的准确性提出异议,在这种情况下,该限制适用于允许控制者核实个人数据准确性的必要时间;
  2. 数据处理是非法的,并且数据当事人反对删除数据,而是要求限制其使用;
  3. 控制者不再需要这些个人数据用于处理目的,但数据当事人需要它们来建立、行使或捍卫法律索赔;或
  4. 数据当事人根据条例第21条第(1)款反对处理;在这种情况下,该限制应适用于该期间,直到确定控制者的合法理由是否高于数据当事人的理由。

(2) 在根据第1款限制处理的情况下,只有在征得数据当事人的同意,或为了建立、行使或捍卫法律要求,或为了保护另一个自然人或法人的权利,或为了欧盟或成员国的重要公共利益,才能处理这些个人数据,但存储除外。

(3) 控制者应在解除限制前通知根据第1款要求限制处理的数据当事人。

通知纠正或删除个人数据或限制处理的义务

(1) 控制者应将纠正、删除或限制处理的情况通知所有接受个人数据的人,除非这被证明是不可能的或涉及不相称的努力。

(2) 应数据当事人的要求,控制器应将这些接收者告知数据当事人。

数据可移植性的权利

1) 数据当事人有权获得其以结构化的、常用的、机器可读的格式提供给控制者的有关其的个人资料,并有权将这些资料传送给另一个控制者,而不受向其提供个人资料的控制者的阻碍,如果:

  1. 数据当事人根据条例第6条第(1)款(a)点(有关同意处理个人数据)或条例第9条第(2)款(a)点(有关明确同意)同意,并且按第6条第1款b点中所续协议为基础;及
  2. 数据处理为自动化完成。

(2) 在根据第(1)款行使数据可移植性的权利时,数据当事人应有权要求在技术上可行的情况下,在控制者之间直接转移个人数据。

(3) 本条第1款所述权利的行使应不影响《条例》第17条的规定。上述权利不适用于为执行公共利益或为行使控制人的官方权力而必须进行的处理。

(4) 第1款中提到的权利不得对他人的权利和自由产生不利影响。

抗议的权利

(1) 数据当事人有权在任何时候以与其特殊情况有关的理由,反对为了公共利益或行使官方权力而对其的个人数据进行处理,或反对为了控制者或第三方所追求的合法利益而进行的必要处理(基于条例第6条第(1)款(e)点或(f)点的处理),包括基于这些条款的建档。在这种情况下,控制者不可再处理个人数据,除非控制者证明因令人信服的合法理由来处理这些数据,这些理由凌驾于数据当事人的利益、权利和自由之上,或者用于建立、行使或捍卫法律主张。

(2) 如果个人数据用于直接营销目的而被掌控,数据当事人应有权在任何时候反对为这些目的而处理有关其个人数据,包括与直接营销有关的建档。

(3) 如果数据当事人反对为直接营销目的处理个人数据,则不应再为这些目的处理个人数据。

(4) 第(1)和(2)款中提到的权利应最迟在与数据当事人首次接触时明确提请当事人注意,并且该信息应与任何其他信息分开明确显示。

(5) 在使用信息社会服务的情况下,通过对2002/58/EC指令的减损,数据当事人可以通过基于技术规范的自动化手段行使反对权。

(6) 如果根据条例第89条第(1)款,为科学或历史研究目的或统计目的处理个人数据,数据当事人应有权以与他或她的特殊情况有关的理由,反对处理有关他或她的个人数据,除非该处理是为执行出于公共利益的任务所必需。

豁免自动决策的权利

(1) 数据当事人有权不接受完全基于自动处理(包括建档)的决定,该决定对其产生法律效力或对其产生类似的重大影响。

2) 第(1)款不适用于以下决策:

  1. 为缔结或履行数据当事人与控制者之间的合同所必需。
  2. 适用于控制者的欧盟或成员国法律所允许的,该法律还规定适当的措施来保护数据当事人的权利和自由及合法利益;或
  3. 基于数据当事人的明确同意。

(3) 在第2款(a)和(c)点所述情况下,控制者应采取适当措施,以保障数据当事人的权利、自由和合法利益,至少包括获得控制者的人工干预、表达自己的观点和反对决定的权利。

(4) 第(2)款所指的决定不得基于条例第9条第(1)款所指的特殊类别的个人数据,除非第9条第(2)款(a)点或(g)点适用,并且已采取适当措施保障数据当事人的权利、自由和合法利益。

数据当事人的投诉和寻求补救的权利

有权向监督机构提出申诉。

(1) 如果数据当事人认为与其有关的个人数据处理违反了本条例,数据当事人有权根据《条例》第77条向监督机构提出申诉。

(2) 数据当事人可通过以下联系当时执行其投诉权:

国家数据保护和信息自由管理局,1125 Budapest, Szilágyi Erzsébet fasor 22/c.,电话:+36 (1) 391-1400;传真:+36 (1) 391-1410;www: http://www.naih.hu,电子邮件:ugyfelszolgalat@naih.hu

(3) 接受投诉的监督机构应将有关投诉的程序进展和结果通知客户,包括客户根据条例第78条寻求司法补救的权利。

对监督机构采取有效司法补救措施的权利

(1) 在不影响任何其他行政或非司法补救措施的情况下,任何自然人或法人都有权对监督机构有关该人的具有法律约束力的决定获得有效的司法补救。

2) 在不影响其他行政或非司法补救措施的情况下,如果主管监督机构不处理投诉或不在三个月内将有关根据本条例第77条提出的投诉的程序发展或投诉的结果通知当事人,任何当事人都有权获得有效的司法补救。

(3) 针对监督机构的诉讼应在监督机构所在的成员国的法院提起。

4) 如果对监督机构的决定提起诉讼,而理事会先前已根据一致性机制发表意见或作出决定,监督机构应将该意见或决定送交法院。

对控制者或处理者采取有效司法补救措施的权利

(1) 在不影响现有的行政或非司法补救措施的情况下,包括根据第77条在内的,向监督机构提出投诉的权利下,任何数据当事人如果认为其在本条例下的权利因其个人数据的处理不符合本条例而受到侵犯,应享有有效的司法补救措施。

(2) 针对控制者或处理者的诉讼应在控制者或处理者所在的成员国的法院递交。类似诉讼也可以在数据当事人惯常居住地的成员国法院递交,除非控制者或处理者是一个行使官方权力的成员国的公共机构。

限制条款

(1) 适用于控制者或处理者的欧盟或成员国法律可以通过立法措施限制第12至22条和第34条规定的权利以及第12至22条规定的权利,第5条规定的权利和义务,条件是这种限制尊重基本权利和自由的基本内容,并且是民主社会中保护以下内容的必要和相称的措施:

  1. 国家安全;
  2. 国防;
  3. 公共安全;
  4. 预防、侦查、侦察或起诉刑事犯罪或执行刑事处罚,包括保护和预防对公共安全的威胁;
  5. 欧盟或成员国普遍关心的其他重要目标,特别是欧盟或成员国的重要经济或财政利益,包括货币、预算和税收问题、公共卫生和社会安全;
  6. 司法机构的独立性和对司法程序的保;
  7. 防止、调查、侦查和起诉受监管行业的道德违规行为;
  8. 在(a)至(e)和(g)点提及的情况下(甚至偶尔进行)与行使官方权力有关的控制、检查或监管活动;
  9. 为了保护数据当事人或保护他人的权利和自由;
  10. 实施民事索赔。

(2) 第1款中提到的立法措施个别情况下至少包含详细的规定:

  1. 数据处理的目的或类别,
  2. 个人信息的类别,
  3. 施加限制的范围,
  4. 防止误用或未经授权的访问或披露的保障措施,
  5. 来定义控制者或定义控制者的类别,
  6. 储存期限和适用的保障措施,同时考虑到处理或处理类别的性质、范围和目的,
  7. 对数据当事人的权利和自由的风险,以及
  8. 数据当事人有权被告知该限制,除非这可能会破坏该限制的目的。

关于数据泄露事件的通知

(1) 如果个人数据泄露事件可能导致对自然人的权利和自由的高风险,控制者应将个人数据泄露告知数据当事人,不得无故拖延。

(2) 第1款中提到的提供给数据当事人的信息应明确和突出地描述个人数据泄露的性质,并应至少包括数据保护官员或其他将提供进一步信息的联系人的姓名和联系方式,个人数据泄露的可能后果,控制者为补救个人数据泄露所采取或设想的措施,包括酌情减轻个人数据泄露的任何不利后果。

(3) 如果符合以下任何条件,则无需按第1款所述通知数据当事人:

  1. 控制者已经实施了适当的技术和组织保护措施,并且这些措施已经适用于受个人数据泄露影响的数据,特别是使用加密等措施,使未经授权访问个人数据的人无法理解这些数据;
  2. 控制者在个人数据泄露事件发生后采取了额外的措施,以确保第1款中提到的对数据当事人的权利和自由的高风险不再可能发生;
  3. 信息将需要付出不等超多的努力。在这种情况下,应通过公开披露的信息或采取类似措施,确保以同样有效的方式告知数据当事人。

(4) 如果控制者尚未将个人数据泄露事件通知数据当事人,监督机构在考虑了个人数据泄露事件是否可能带来高风险后,可以命令通知数据当事人,或确定符合第3款中提到的条件之一。

六、数据当事人要求下应遵循的程序

(1) 企业应促进数据当事人行使权利,并且不得拒绝遵守本隐私通知中规定的数据当事人行使权利的要求,除非证明无法识别数据当事人。

(2) 公司应在不无故拖延的情况下,并在任何情况下,在收到请求后一个月内,将针对请求所采取的措施通知有关人员。如有必要,考虑到申请的复杂性和请求的数量,这一期限可再延长两个月。数据控制者应在收到请求后一个月内通知数据当事人延长时限,并说明延迟的原因。

(3) 如果数据当事人以电子方式提交请求,则应尽可能以电子方式提供信息,除非数据当事人另有要求。

(4) 如果企业未能按资料当事人的要求采取行动,则应毫不迟疑地通知数据当事人,但最迟应在收到要求后一个月内告知其未能采取行动的原因,以及数据当事人向监督机构提出申诉和行使其司法补救权利的可能性。

(5) 企业应免费向数据当事人提供以下信息和措施:对个人数据处理的反馈、对所处理数据的访问、纠正、补充、删除、限制处理、数据可移植性、反对处理、关于数据泄露的信息。

(6) 如果数据当事人的要求明显没有根据或过度,特别是由于其重复性,控制者应考虑到提供所要求的信息或资料或采取所要求的行动所产生的行政费用:收取5000福林的费用,或拒绝对该请求采取行动。

(7) 证明该请求明显没有根据或过度的责任在于控制者。

(8) 在不影响《条例》第11条的情况下,如果控制者对根据《条例》第15至21条提出要求的自然人的身份有合理的怀疑,它可以要求提供进一步的必要信息,以确认数据对象的身份。

发生个人数据泄露事件(PERSONAL DATA BREACH)时应遵循的程序

(1) 个人数据泄露是指《条例》意义上的安全漏洞,导致意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。以其他方式处理的个人数据。

(2) 包含个人数据的设备(笔记本电脑、移动电话)的丢失或被盗,以及数据控制者用于解密文件的解密代码的丢失或流失,或失去对这些数据的访问,应被视为数据保护事件。感染勒索软件(勒索病毒),使控制器处理的数据无法访问,直到支付赎金、IT系统受到攻击、含有错误的个人数据的电子邮件或地址列表被披露,等等。

(3) 在发现数据泄露的情况下,企业代表应迅速进行调查,以确定数据泄露及其可能的后果。  必须采取必要的措施来补救损害。

(4) 应将数据保护事件通知主管监督机构,不得无故拖延,如有可能,应在注意到数据保护事件后72小时内通知,除非数据保护事件不太可能对自然人的权利和自由构成风险。  如果没有在72小时内发出通知,则必须附带说明延迟的理由。

(5) 处理者在意识到个人数据泄露后,应及时通知控制者,不得有不当的延误。

6) 第3款中提到的通知应至少包括:

  1. 描述个人数据泄露的性质,包括在可能的情况下,数据当事人的类别和大约数量,以及受泄露影响的数据当事人的类别和大约数量;
  2. 数据保护官员或其他可提供进一步信息的联系人的姓名和联系方式;
  3. 解释数据泄露的可能后果;
  4. 描述控制者为补救个人数据泄露所采取或设想的措施,包括在适当情况下,为减轻个人数据泄露的任何不利后果而采取的措施。

(7) 如果不可能在同一时间传递信息,可以在以后分批传递,不再无故拖延。

(8) 控制者应保留一份个人数据泄露的记录,说明与个人数据泄露有关的事实、其影响以及为补救而采取的措施。该登记册将使监管机构能够核实对《条例》第33条要求的遵守情况。

八、与网站有关的数据处理

关于公司网站访问者的信息

(1) 在访问本公司网站期间,一个或多个cookies — 由服务器发送至浏览器并由浏览器就每个指向服务器的请求返回至服务器的小信息包 — 被发送到访问网站人的计算机上,通过它将唯一地识别其浏览器,前提是访问网站的人在被明确和毫不含糊地告知后继续浏览网站,明确(主动)同意这样执行。

(2) Cookies仅用于改善用户体验,并使登录过程自动化。网站上使用的cookies并不存储个人身份信息,本公司在这方面不处理任何个人数据。

注册

(1) 在注册的情况下,数据处理的法律依据是数据当事人的同意,数据当事人在被告知其数据处理后,在公司网站的 “注册 “文本旁边的方框内打勾。

(2) 注册情况下的数据当事人:任何希望注册并同意处理其个人数据的自然人。

3) 注册时处理的数据:姓名、地址、电子邮件地址、电话号码、访问密码。

(4) 在注册的情况下,数据处理的目的:为准备合同或直接营销查询进行联系,在网站上向数据当事人提供免费服务,访问网站的非公开内容。

(5) 在注册的情况下,数据的接收者(可能有机会接触到数据):公司的经理、客户联系人、运营公司网站的数据处理者的雇员。

(6) 登记情况下的数据处理期限:在登记的情况下,直到应数据当事人的要求删除。

(7) 数据当事人可以在任何时候要求删除其注册(个人数据)。

九、与履行合同有关的数据处理

(1) 企业应处理与其签订合同的自然人–客户、买方、供应商–与合同关系有关的个人数据。对其个人数据的处理必须告知数据当事人。

(2) 数据当事人群:与本企业建立合同关系的所有自然人。

(3) 数据处理的法律依据是合同的履行,数据处理的目的是为了保持联系,执行合同产生的索赔,并确保遵守合同义务。

(4) 个人资料的接收者:企业负责人,根据工作职能执行客户服务和会计任务的企业员工,资料处理者。

(5) 处理的个人资料包括:姓名、地址、注册办公室、电话号码、电子邮件地址、税号、银行账号、企业家的身份证号码、农民证号码。

(6) 处理期限:自合同终止起5年。

十、关于数据安全的条款

1) 企业只能根据本政策中规定的活动和处理目的来处理个人数据。

2) 企业应确保数据的安全,并在这方面承诺采取一切必要的技术和组织措施,以执行有关数据安全、数据保护和保密规则的法律规定,并制定执行上述法律规定所需的程序规则。

(3) 企业应采取适当措施保护数据,防止未经授权的访问、更改、披露、传输、公布、删除或销毁、意外销毁或损坏,以及防止因所使用的技术变化而无法访问。

(4) 企业为确保数据安全而实施的技术和组织措施应在公司的隐私政策中列出。

5) 在确定和应用数据安全的措施时,企业应考虑到技术水平,在有几种可能的数据处理方案的情况下,应选择能确保对个人数据进行更高水平保护的方案,除非这意味着不相称的困难。

十一、关于数据处理的规则

  1. 关于数据处理的一般规则

1) 数据处理者在处理个人数据方面的权利和义务应由控制器在法律和适用于处理的具体法律范围内确定。

(2) 企业声明,在其活动过程中,数据处理者无权对个人数据的处理作出任何实质性的决定,只能按照控制者的规定处理其知晓的个人数据,不得为自己的目的处理个人数据,并应按照控制者的规定储存和保留个人数据。

(3) 企业应负责向处理者发出的有关处理业务指示的合法性。

(4) 公司有义务告知数据当事人关于数据处理者的身份和处理地点。

(5) 公司不应授权数据处理者使用任何其他数据处理者。

6) 处理数据的合同必须是书面形式的。处理过程不得委托给从事涉及处理个人数据的商业活动实体