隐私政策
很高兴您对我们的企业感兴趣。数据保护对于STM Stieler Verwaltungs - GmbH的管理来说尤其重要。使用STM Stieler Verwaltungs - GmbH的互联网页面可能并不需要个人数据;但是,如果数据主体想要通过我们的网站来使用特殊的企业服务时,那就可能需要处理个人数据了。如果需要处理个人数据,而又没有法定的依据时,我们通常都会取得数据主体的同意。
个人数据的处理,如数据主体的姓名、地址、电子邮件地址或电话号码,应始终符合《一般数据保护条例》( GDPR ),并符合适用于STM Stieler Verwaltungs - GmbH的特定国家数据保护条例。通过这份数据保护声明,我们企业希望向公众表明我们收集、使用和处理个人数据的性质、范围和目的。此外,通过这份数据保护声明,数据主体被告知他们所享有的权利。
作为控制者,STM Stieler Verwaltungs - GmbH实施了多项技术和组织措施,以确保通过本网站所处理的个人数据能够得到最全面的保护。然而,基于互联网的数据传输在原则上可能存在安全漏洞,因此无法确保绝对保护。为此,每个数据主体都可以自由选择通过其他方式(例如电话)向我们传输个人数据。
1 .定义
STM Stieler Verwaltungs - GmbH的数据保护声明基于欧洲立法机构为通过《一般数据保护条例》( GDPR )而使用的术语。我们的数据保护声明应该清晰易懂,以供广大公众以及我们的客户和业务合作伙伴理解。为此,我们首先要解释所使用的术语。
在这份数据保护声明中,我们特意使用了以下术语:
(一)个人数据
个人数据指的是任何已识别或可识别的自然人(“数据主体”)相关的信息;一个可识别的自然人是一个能够被直接或间接识别的个体,特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。
(二)数据主体
数据主体是任何已识别或可识别的自然人,其个人数据由负责处理的控制者来进行处理。
(三)处理
处理是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。
(四)限制处理
限制处理是指对存储的个人数据进行标记,以限制此后对该数据的处理行为。
(五)用户画像
用户画像指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。
(六)匿名化
匿名化指的是在采取某种方式对个人数据进行处理后,如果没有额外的信息就不能识别数据主体的处理方式。此类额外信息应当单独保存,并且已有技术与组织方式确保个人数据不能关联到某个已识别或可识别的自然人。
(七)控制者或负责处理的控制者
控制者或负责处理的控制者指的是那些决定——不论是单独决定还是共同决定——个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体;如果此类处理的方式是由欧盟或成员国的法律决定的,那么对控制者的定义或确定控制者的标准应当由欧盟或成员国的法律来规定。
(八)处理者
处理者指的是为数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体。
(九)接受者
接收者指的是接收数据的自然人、法人、公共机构、规制机构或另一实体,不论其是否为第三方。然而,公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据,则不应当被视为接收者;公共机构对此类数据的处理,应当根据处理目的遵循可适用的数据保护规则。
(十)第三方
第三方指的是除了数据主体、控制者、处理者、控制者或处理者直接授权其处理个人数据之外的自然人或法人、公共机构、规制机构或组织。
(十一)同意
数据主体的同意指的是数据主体通过一个声明,或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。
2 .控制者的名称和地址
符合《一般数据保护条例》( GDPR )、适用于欧盟成员国的其他数据保护法以及与数据保护相关的其他规定的控制者为:
STM Stieler Verwaltungs-GmbH Marie-Curie-Strasse 8
79539 Lörrach
德国
电话: +49 7621 55 00 444 电子邮件: info@stm-stieler.de 网站: www.stm-stieler.de
3 . COOKIES
STM Stieler Verwaltungs - GmbH的互联网页面使用cookies。cookies是通过互联网浏览器存储在计算机系统中的文本文件。
许多网站和服务器都使用cookies。许多cookies都含有所谓的cookie ID。cookie ID是cookie的唯一标识符。它由一个字符串组成,通过该字符串可以将Internet页面和服务器分配给存储cookie的特定Internet浏览器。这使得被访问的互联网站点和服务器能够区分数据主体的单个浏览器与包含其他cookies的别的互联网浏览器。使用唯一的cookie ID能够识别和区分出特定的互联网浏览器。
通过使用cookie,STM Stieler Verwaltungs - GmbH可以为使用该网站的用户提供更多易于操作的服务,如果没有cookie设置,这是便无法实现。
借助cookie,我们能够基于用户考虑对网站上所提供的信息和产品进行优化。正如前面所提到的,cookies使得我们能够识别出我们的网站用户,其目的是为了让用户更方便地使用我们的网站。例如,使用cookies的网站用户不必在每次访问网站时都要输入访问数据,因为这已由网站接管,因此cookie就被存储在用户的计算机系统中了。另一个例子是网上商店购物车的cookie。网上商店会记得顾客通过cookie放在虚拟购物车中的物品。
数据主体可以随时通过所使用的互联网浏览器的相应设置,阻止我们网站的cookies设置,从而永久拒绝设置cookies。此外,已经设置的cookies可以通过互联网浏览器或其他软件程序随时删除。市面上所有的互联网浏览器几乎都可以做到。如果数据主体停用所使用互联网浏览器中的cookies设置,可能会造成我们网站上的一些功能无法使用。
4 .一般数据和资料的收集
当数据主体或自动化系统使用网站时,STM Stieler Verwaltungs - GmbH的网站会收集一系列一般数据和信息。这些一般数据和信息会被存储在服务器的日志文件中。被收集的可能包括:( 1 )所使用的浏览器类型和版本,( 2 )访问系统所使用的操作系统,( 3 )访问系统到达我们网站所通过的网站(即所谓的引用页),( 4 )子网站,( 5 )访问网站的日期和时间,( 6 )访问系统的互联网协议地址( IP地址),( 7 )访问系统的互联网服务提供商,以及( 8 )以及任何其他有可能被用来攻击我们信息技术系统的类似数据和信息。
STM Stieler Verwaltungs - GmbH在使用这些一般数据和信息时,并不会对数据主体做出任何论断。而是,我们需要这些信息来: ( 1 )正确传达我们网站的内容,( 2 )优化我们网站的内容以及广告,( 3 )确保我们的信息技术系统和网站技术的长期可行性,( 4 )在网络攻击案件中为执法当局提供刑事诉讼所需的信息。因此,STM Stieler Verwaltungs - GmbH会对匿名收集的数据和信息进行统计分析,其目的是为了加强我们企业的数据保护和数据安全,并确保我们经我们处理的个人数据能够得到最佳的保护。服务器日志文件中的匿名数据与数据主体提供的所有个人数据会被分开存储。
5 .个人数据的例行擦除和屏蔽
数据控制人只有在实现存储目的所需的时间内,或者在控制者所遵守的法律或法规中获得欧洲立法机构或其他立法机构允许的范围内,才能对数据主体的个人数据进行处理和储存。
如果存储目的并不符合规定,或是欧洲立法机构或其他主管立法机构规定的存储期限到期,个人数据将按照法律要求被例行屏蔽或擦除。
6 .数据主体的权利
(一)确认权
数据主体应当有权获得欧洲立法机构授予的权利,从控制者那里确认其相关个人数据是否正在被处理。如果数据主体希望行使这一确认权,他或她可以随时联系控制者的任何员工。
(二)访问权
数据主体应当有权获得欧洲立法机构授予的权利,随时从控制者那里获得有关其被储存的个人数据的免费信息以及该信息副本。此外,欧洲的指令和条例允许数据主体访问以下信息:
处理的目的;
相关个人数据的类型;
个人数据已经被或将被披露给接收者或接收者的类型,特别是当接收者属于第三国或国际组织时;
在可能的情形下,个人数据将被储存的预期期限,或者如果不可能的话,确定此期限的标准;
数据主体要求控制者纠正或擦除个人数据、限制或反对对数据主体相关的个人数据进行处理的权利;
向监管机构进行申诉的权利;
当个人数据不是从数据主体那里收集的,关于来源的任何信息;
根据22(1)和(4)条所规定的包括用户画像在内的自动决策,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
此外,数据主体应当有权获得个人数据是否被转移到第三国或国际组织的信息。当个人数据被转移到第三国或一个国际组织,数据主体应当有权获知和转移相关的恰当的保障措施。
如果数据主体希望行使这一访问权,他或她可以随时联系控制者的任何员工。
(三)更正权
数据主体应当有权获得欧洲立法机构授予的权利,要求控制者及时更正其相关的不正确信息。在考虑处理目的的前提下,数据主体应当有权完善不充分的个人数据,包括通过提供额外声明的方式来进行完善。
如果数据主体希望行使这一更正权,他或她可以随时联系控制者的任何员工。
(四)擦除权(被遗忘权)
数据主体应当有权获得欧洲立法机构授予的权利,要求控制者及时擦除其相关个人数据,当具有如下情形之一时,只要处理并不是必要的,控制者有责任及时擦除个人数据:
个人数据对于实现其被收集或处理的相关目的不再必要。
处理是根据GDPR第6(1)条(a)点,或者GDPR第9(2)条(a)点而进行的,并且没有处理的其他法律根据,数据主体撤回在此类处理中的同意。
数据主体反对根据GDPR第21(1)条进行的处理,并且没有压倒性的正当理由可以进行处理,或者数据主体反对根据GDPR第21(2)条进行的处理。
已经存在非法的个人数据处理。
为了履行欧盟或成员国法律为控制者所设定的法律责任,个人数据必须被擦除。
已经收集了GDPR第8(1)条所规定的和提供信息社会服务相关的个人数据。
如果上述原因之一适用,并且数据主体希望请求删除STM Stieler Verwaltungs - GmbH所存储的个人数据,他或她可以随时联系控制者的任何员工。STM Stieler Verwaltungs - GmbH的员工应及时确保立即满足其擦除需求。
当控制者已经公开个人数据,并且负有第1段所规定的擦除个人数据的责任,控制者应当考虑可行技术与执行成本,采取包括技术措施在内的合理措施告知正在处理个人数据的控制者们,数据主体已经要求他们擦除那些和个人数据相关的链接、备份或复制,主要处理不是必需的。STM Stieler Verwaltungs - GmbH的员工将在个别情况下安排必要的措施。
(五)限制处理权
当存在如下情形之一时,数据主体有权获得欧洲立法机构授予的权利,要求控制者对处理进行限制:
数据主体对个人数据的准确性有争议,并给与控制者以一定的期限以核实个人数据的准确性。
处理是非法的,并且数据主体反对擦除个人数据,要求对使用其个人数据进行限制。
控制者不再需要个人数据以实现其处理的目的,但数据主体为了提起、行使或辩护法律性主张而需要该个人数据。
数据主体根据GDPR第21(1)条的规定而反对处理,因其需要确定控制者的正当理由是否优先于数据主体的正当理由。
如果满足上述条件之一,并且数据主体希望请求对STM Stieler Verwaltungs - GmbH所存储的个人数据进行处理限制,他或她可以随时联系控制者的任何员工。STM Stieler Verwaltungs - GmbH的员工将安排处理的限制。
(六)数据携带权
数据主体应当有权获得欧洲立法机构授予的权利,获得其提供给控制者的相关个人数据,且其获得个人数据应当是经过整理的、普遍使用的和机器可读的,数据主体有权无障碍地将此类数据从其提供给的控制者那里传输给给另一个控制者,只要处理是建立在GDPR第6(1)条(a)点或GDPR9(2)条(a)点所规定的同意,或者GDPR6(1)条所规定的合同的基础上的,并且处理是通过自动化方式的,只要处理不是对于实现公共利益的某项任务所必要的。
此外,在根据GDPR第20 ( 1 )条行使数据携带权时,数据主体应有权在技术上可行且不会对他人的权利和自由产生不利影响的情况下,将个人数据直接从一名控制者传输到另一名控制者。
为了维护数据携带权,数据主体可以随时联系STM Stieler Verwaltungs - GmbH的任何员工。
(七)反对权
对于根据GDPR第6 ( 1 )条( e )或( f )点,基于他或她的具体情况,数据主体应当有权随时反对有关他或她个人数据的处理。这也适用于基于这些规定的用户画像。
STM Stieler Verwaltungs - GmbH在有反对的情况下将不再进行这部分个人数据的处理行为,除非我们能够证明相比数据主体的利益、权利和自由,具有压倒性的正当理由需要进行处理,或者处理是为了提起、行使或辩护法律性主张。
如果STM Stieler Verwaltungs - GmbH因为直接营销目的而处理个人数据,则数据主体有权随时反对为了此类营销而处理相关个人数据,包括反对和此类直接营销相关的用户画像。当数据主体反对STM Stieler Verwaltungs - GmbH为了直接营销目的而进行的处理,STM Stieler Verwaltungs - GmbH将不能为了此目的而处理个人数据。
此外,数据主体有权根据其具体情况,反对STM Stieler Verwaltungs - GmbH出于科学或历史研究目的或根据GDPR第89(1)条出于统计目的处理与其相关的个人数据,除非处理对于实现公共利益的某项任务是必要的。
为了行使反对权,数据主体可以联系STM Stieler Verwaltungs - GmbH的任何员工。此外,在使用信息社会服务的情况下,尽管有2002 / 58 / EC号指令的规定,数据主体仍可利用技术条件通过自动化方式行使反对权。
(八)自动化个人决策,包括用户画像
只要决策 ( 1 )不是对于数据主体与数据控制者的合同签订或合同履行所必要的,或者(2)不是控制者所要遵守的欧盟或成员国的法律所授权的,并且已经制定了恰当的措施保证数据主体的权利、自由与正当利益;或者(3)不是建立在数据主体的明确同意基础之上,数据主体应当有权获得欧洲立法机构授予权利,反对完全依靠自动化处理,包括用户画像在内的对数据主体产生具有法律影响或类似重要影响的决策。
如果决策(1)是对于数据主体与数据控制者的合同签订或合同履行是必要的,(2)是建立在数据主体的明确同意基础之上,STM Stieler Verwaltungs - GmbH应当采取适当措施保障数据主体的权利、自由、正当利益,至少数据主体能够对控制者进行人工干涉,以便表达其观点和对决策进行异议的基本权利。
如果数据主体希望行使有关自动化个人决策的权利,他或她可以随时联系STM Stieler Verwaltungs - GmbH的任何员工。
(九)撤回数据保护同意书的权利
数据主体应当有权被欧洲立法机构授予随时能够撤回其对处理个人数据的同意。
如果数据主体希望行使撤回同意书的权利,他或她可以随时联系STM Stieler Verwaltungs - GmbH的任何员工。
7 .GOOGLE ANALYTICS应用和使用的数据保护规定(带有匿名功能)
在这个网站上,控制者集成了Google Analytics 的组件(与匿名器功能)。Google Analytics 是一项网络分析服务。网络分析是对与网站访问者行为有关的数据进行收集、收集和分析。除其他外,网络分析服务会收集某人来自的网站(所谓的引用页)、访问了哪些子页面、查看子页面的频率和时间等相关数据。网络分析主要用于网站优化以及对互联网广告进行成本效益分析。
Google Analytics组件的运营商是位于美国加利福尼亚洲(CA 94043-1351)圣克拉拉县山景市1600号的Google公司。
控制者使用应用程序“ gat”。 anonymizeIp”,来通过Google Analytics进行网络分析。通过这一应用程序,数据主体的互联网连接IP地址被Google删减,并在从欧盟成员国或《欧洲经济区协定》另一缔约国访问我们的网站时匿名。
Google分析组件的目的是用来分析我们网站上的流量。Google利用收集到的数据和信息来评估我们网站的使用情况,提供显示我们网站活动的在线报告,并为我们提供有关使用我们网站的其他服务。
Google Analytics将cookie放在数据主体的信息技术系统上。cookies的定义如上所述。通过设置cookie,Google可以分析我们网站的使用情况。每次使用由控制者操作并集成了Google分析组件的该互联网站点中的单个页面时,数据主体的信息技术系统上的互联网浏览器将自动通过Google分析组件提交数据,用于在线广告和向Google结算佣金。在这一技术过程中,Google公司会获得个人信息的知识,例如数据主体的IP地址,除其他外,它还使Google了解访问者和点击的来源,并随后创建佣金结算。
cookie用于存储个人信息,例如数据主体的访问时间、访问地点以及访问我们网站的频率。每次访问我们的网站,这些个人数据,包括数据主体使用的互联网接入IP地址,都会被传输到位于美国的Google公司。这些个人数据由Google在美国进行存储。Google可能会将通过技术程序收集的这些个人数据传输给第三方。
如上所述,数据主体可以通过相应调整使用的网络浏览器,随时阻止通过我们的网站设置cookies,从而永久拒绝cookies设置。对所使用的互联网浏览器进行的这种调整也将阻止Google Analytics在数据主体的信息技术系统上设置cookie。此外,Google Analytics已经使用的cookies可以随时通过网络浏览器或其他软件程序进行删除。
此外,数据主体有可能反对Google Analytics生成的与使用此网站相关的数据收集,以及Google对这些数据的处理和排除任何此类数据的机会。为此,数据主体必须在 https://tools.google.com/dlpage/gaoptout 的链接中下载并安装浏览器加载项。这个浏览器加载项通过JavaScript告诉Google Analytics,任何关于访问互联网页面的数据和信息都不能传输给Google Analytics。安装浏览器加载项被Google视为反对。如果数据主体的信息技术系统后来被删除、格式化或新安装,那么数据主体必须重新安装浏览器加载项以禁用Google Analytics。如果浏览器加载项是由数据主体或属于其权限范围的任何其他人卸载或禁用的,则可以重新安装或重新激活浏览器加载项。
更多信息以及Google所适用的数据保护条款可访问 https://www.google.com/intl/en/policies/privacy/ 和 http://www.google.com/analytics/terms/us.html。关于Google Analytics的更多介绍,可访问以下链接 https://www.google.com/analytics/。
8. 处理的法律依据
第6 ( 1 )条。a GDPR是我们为特定处理目获得同意的处理操作的法律依据。如果对个人数据进行处理对于履行数据当事人所签订的合同所必需的,例如,当提供货物或提供任何其他服务需要处理操作时,处理是基于第6 ( 1 )条。b GDPR。这同样适用于执行合同前所必需的此类处理操作,例如在对我们的产品或服务的事前咨询中。本公司是否有法律义务处理个人资料,例如履行纳税义务,处理依据第6 ( 1 )条。c GDPR。在极少数情况下,可能需要处理个人数据,以保护数据主体或其他自然人的重要利益。例如,如果一名访客在我们公司受伤,他的姓名、年龄、健康保险数据或其他重要信息必须传递给医生、医院或其他第三方。那么处理将基于第6 ( 1 )条。d GDPR。最后,处理运营可基于第6 ( 1 )条。f GDPR。本法律依据用于处理不属于上述任何法律依据范围的业务,如果处理是为了我们公司或第三方追求的合法利益所必需的,除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所凌驾。这种处理操作是特别允许的,因为欧洲立法者特别提到了这些操作。他认为,如果数据主体是控制者的客户,则可以假定有正当利益(叙文47第2句 GDPR)。
9. 控制人或第三方追求的合法利益
个人数据的处理基于第6 ( 1 )条。f GDPR。我们的合法利益是为了我们所有员工和股东的福祉开展我们的业务。
10. 个人资料储存期间
用于确定个人数据存储期限的标准是各自的法定保留期限。该期限届满后,只要不再需要履行合同或启动合同,相应的数据将被例行删除。
11. 作为法定或合同要求提供个人资料;订立合同所必需的条件;数据主体提供个人数据的义务;未能提供此类数据的可能后果
我们澄清,提供个人资料部分是法律规定的(例如:税务条例),或者也可以是合同规定的结果(例如关于合同伙伴的信息)。有时可能需要订立一份合同,由数据主体向我们提供个人数据,这些数据随后必须由我们处理。例如,当我们公司与他或她签订合同时,数据主体有义务向我们提供个人数据。不提供个人资料会导致无法与资料当事人订立合约。在数据主体提供个人数据之前,数据主体必须联系任何员工。员工向数据主体澄清,提供个人数据是法律还是合同规定的,还是订立合同所必需的,是否有义务提供个人数据,以及不提供个人数据的后果。
12. 自动化决策的存在
作为一家负责任的公司,我们不会使用自动化决策或用户画像。