我们非常高兴你对我们公司感兴趣。数据保护对于达芬奇合伙人有限责任公司的管理层来说是一个特别重要的优先事项。使用达芬奇合伙人有限责任公司的互联网页面时,不需要显示任何个人数据;但是,如果数据主体想通过我们的网站使用特殊的公司服务,处理个人数据可能成为必要。如果个人数据的处理是必要的,并且没有法定依据,我们一般会征得数据主体的同意。
对数据主体的姓名、地址、电子邮件地址或电话号码等个人数据的处理应始终符合《通用数据保护条例》(GDPR)的规定,并在必要时符合适用于达芬奇伙伴有限责任公司的瑞士数据保护法规。通过本数据保护声明,我们公司希望告知广大公众我们收集、使用和处理个人数据的性质、范围和目的。此外,通过本数据保护声明,数据主体被告知他们有权享有的权利。
作为控制者,达芬奇合伙人有限责任公司已经实施了许多技术和组织措施,以确保通过本网站处理的个人数据得到保护。然而,基于互联网的数据传输原则上可能存在安全漏洞,因此可能无法保证绝对保护。出于这个原因,我们鼓励每个数据主体通过其他方式,例如电话,将个人数据传输给我们。
1.定义
达芬奇伙伴有限责任公司的数据保护声明是基于欧洲立法者在通过《通用数据保护条例》(GDPR)时使用的条款。我们的数据保护声明对公众以及我们的客户和商业伙伴来说应该是清晰易懂的。为了确保这一点,我们想首先解释一下所使用的术语。
在本数据保护声明中,我们特别使用以下术语。
a) 个人数据
个人数据是指与已识别或可识别的自然人("数据主体")有关的任何信息。可识别的自然人是指可以直接或间接识别的人,特别是通过参考诸如姓名、识别号码、位置数据、在线标识符等标识符,或通过与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个具体因素。
b) 数据主体
数据主体是指任何已识别或可识别的自然人,其个人数据由负责处理的控制器处理。
c) 处理
处理是指对个人数据或个人数据集进行的任何操作或一组操作,无论是否通过自动化手段,如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供披露、调整或组合、限制、删除或销毁。
d) 对处理的限制
限制处理是对存储的个人数据进行标记,目的是在未来限制其处理。
e) 剖析
剖析是指对个人数据的任何形式的自动处理,包括使用个人数据来评估与自然人有关的某些个人方面,特别是分析或预测与该自然人的工作表现、经济状况、健康状况、个人喜好、兴趣、可靠性、行为、位置或行动有关的方面。
f) 假名化
假名化是指在处理个人数据时,如果不使用额外的信息,就不能再将个人数据归属于特定的数据主体,但这种额外的信息必须单独保存,并采取技术和组织措施,以确保个人数据不会归属于已识别或可识别的自然人。
g) 控制器或负责处理的控制器
控制者或负责处理的控制者是指单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共当局、机构或其他机构;如果这种处理的目的和方式是由联盟或成员国法律决定的,控制者或其提名的具体标准可由联盟或成员国法律规定。
h) 处理器
处理器是代表控制者处理个人数据的自然人或法人、公共当局、机构或其他机构。
i) 收件人
收件人是指自然人或法人、公共机关、机构或其他机构,个人数据被披露给他们,无论是否为第三方。然而,根据瑞士或欧盟或成员国的法律,在特定调查框架内可能接收个人数据的公共机构不应视为接收者;这些公共机构对这些数据的处理应根据处理目的遵守适用的数据保护规则。
j) 第三方
第三方是指除数据主体、控制者、处理者以及在控制者或处理者的直接授权下被授权处理个人数据的自然人或法人、公共当局、机构或团体。
k) 同意
数据主体的同意是任何自由给予的、具体的、知情的和不含糊的数据主体意愿的表示,他或她通过声明或明确的肯定行动,表示同意处理与他或她有关的个人数据。
2.控制器的名称和地址
就《通用数据保护条例》(GDPR)、瑞士适用的其他数据保护法和其他与数据保护有关的规定而言,控制人是。
达芬奇合伙人有限责任公司
拉特豪斯大街1号
9320 阿邦
瑞士
电话。+41712301000
电子邮件:gygli@davincipartners.com
网站:www.davincipartners.com
3.收集一般数据和信息
当数据主体或自动系统调用网站时,达芬奇伙伴有限责任公司的网站会收集一系列的一般数据和信息。这些一般数据和信息被储存在服务器日志文件中。收集的内容可能是:(1)使用的浏览器类型和版本;(2)访问系统使用的操作系统;(3)访问系统到达我们网站的网站(所谓的推荐人);(4)子网站;(5)访问互联网网站的日期和时间;(6)互联网协议地址(IP地址);(7)访问系统的互联网服务提供商;以及(8)任何其他类似的数据和信息,在我们的信息技术系统受到攻击时可能使用。
在使用这些一般数据和信息时,达芬奇伙伴有限责任公司并不对数据主体作出任何结论。相反,这些信息是需要(1)正确提供我们网站的内容,(2)优化我们网站的内容以及广告,(3)确保我们的信息技术系统和网站技术的长期可行性,以及(4)在网络攻击的情况下向执法当局提供刑事诉讼所需的信息。因此,达芬奇合伙人有限责任公司对匿名收集的数据和信息进行统计分析,目的是提高我们公司的数据保护和数据安全,并确保对我们处理的个人数据进行最佳保护。服务器日志文件的匿名数据将与数据主体提供的所有个人数据分开存储。
4.通过网站联系的可能性
达芬奇伙伴有限责任公司的网站包含了能够快速与我们公司进行电子联系以及与我们直接沟通的信息,其中还包括所谓的电子邮件的一般地址(电子邮件地址)。如果数据主体通过电子邮件或联系表格与控制器联系,数据主体所传送的个人数据将被自动储存。数据主体在自愿的基础上传送给数据控制者的这些个人数据将被储存起来,用于处理或联系数据主体的目的。这些个人数据不会转移给第三方。
5.个人数据的常规删除和屏蔽
数据控制者应仅在实现存储目的所需的时间内处理和存储数据主体的个人数据,或在瑞士立法者或控制者所遵守的法律或法规的其他立法者授予的范围内。
如果存储目的不适用,或者欧洲立法者或其他主管立法者规定的存储期限已过,则根据法律规定,个人数据将被例行封锁或删除。
6.数据主体的权利
a) 确认权
每个数据主体都有欧洲立法者授予的权利,从控制者那里获得有关他或她的个人数据是否被处理的确认。如果数据主体希望利用这一确认权,他或她可以在任何时候联系控制器的任何员工。
b) 获取权
每个数据主体都可以拥有瑞士立法者授予的权利,在任何时候从控制者那里免费获得有关其存储的个人数据的信息以及该信息的副本。此外,欧洲指令和法规可授予数据主体获取以下信息的权利。
处理的目的。
有关个人数据的类别。
已经或将要向其披露个人数据的接收方或接收方类别,特别是第三国或国际组织的接收方。
在可能的情况下,设想的个人数据存储期限,或者,如果不可能,用于确定该期限的标准。
有权要求控制人纠正或删除个人数据,或限制处理有关数据主体的个人数据,或反对这种处理。
存在向监督机构提出申诉的权利。
如果个人数据不是从数据主体那里收集的,则应提供有关其来源的任何可用信息。
存在GDPR第22(1)和(4)条中提到的自动决策,包括剖析,至少在这些情况下,提供有关所涉及的逻辑的有意义的信息,以及这种处理对数据主体的重要性和设想的后果。
此外,数据主体应有权获得关于个人数据是否被转移到第三国或国际组织的信息。在这种情况下,数据主体应有权被告知与转移有关的适当保障措施。
如果数据主体希望利用这一访问权,他或她可以在任何时候与控制器的任何雇员联系。
c) 纠正的权利
每个数据主体都应享有瑞士立法者授予的权利,即在不无故拖延的情况下从控制者那里获得关于他或她的不准确的个人数据的纠正。考虑到处理的目的,数据主体应有权要求完成不完整的个人数据,包括通过提供补充说明。
如果数据主体希望行使这一纠正权,他或她可以在任何时候与控制器的任何雇员联系。
d) 删除权(被遗忘权)
每个数据主体都可以行使瑞士立法者赋予的任何权利,从控制者那里获得关于他或她的个人数据的删除,而控制者有义务在下列理由之一适用的情况下,只要处理没有必要,就应毫不拖延地删除个人数据。
个人数据就其收集或处理的目的而言已不再需要。
数据主体根据GDPR第6(1)条(a)点或GDPR第9(2)条(a)点撤回处理的同意,并且没有其他法律理由进行该处理。
数据主体根据GDPR第21(1)条反对处理,并且没有压倒性的合法理由,或者数据主体根据GDPR第21(2)条反对处理。
个人数据已被非法处理。
为了遵守控制人所遵守的法律义务,必须删除个人数据。
个人数据的收集与GDPR第8(1)条所述的信息社会服务的提供有关。
如果上述原因之一适用,并且数据主体希望要求删除达芬奇合伙人有限责任公司存储的个人数据,他或她可以在任何时候联系控制器的任何员工。达芬奇合伙人有限责任公司的员工应确保删除请求毫不拖延地得到满足。
如果控制器已经公开了个人数据,并且根据第17条第1款有义务删除个人数据,控制器应考虑到现有的技术和实施成本,采取合理的步骤,包括技术措施,通知其他处理个人数据的控制器,数据主体已经要求这些控制器删除与这些个人数据的任何链接、副本或复制,只要处理不需要。达芬奇伙伴有限责任公司的员工将在个别情况下安排必要的措施。
e) 限制处理的权利
在下列情况下,每个数据主体都可以行使瑞士立法者授予的任何权利,从控制者那里获得对处理的限制。
数据主体对个人数据的准确性提出异议,在一段时间内使控制者能够核实个人数据的准确性。
处理过程是非法的,并且数据主体反对删除个人数据,而是要求限制其使用。
控制者不再需要个人数据用于处理目的,但数据主体需要它们来建立、行使或捍卫法律要求。
数据主体根据GDPR第21(1)条反对处理,等待核实控制者的合法理由是否高于数据主体的理由。
如果符合上述条件之一,并且数据主体希望要求限制达芬奇合伙人有限责任公司存储的个人数据的处理,他或她可以在任何时候联系控制器的任何员工。达芬奇合伙人有限责任公司的员工将根据法律规定安排限制处理。
f) 数据可移植的权利
每个数据主体都可以行使瑞士立法者授予的任何权利,以结构化的、常用的和机器可读的格式接收提供给控制器的有关他或她的个人数据。只要根据GDPR第6(1)条(a)点或GDPR第9(2)条(a)点的规定,处理是基于同意,他或她应有权将这些数据传输给另一个控制器,而不会受到向其提供个人数据的控制器的阻挠。或根据GDPR第6(1)条(b)点的合同,并且该处理是通过自动化手段进行的,只要该处理不是为了执行为公共利益或行使赋予控制者的官方权力而必须进行的任务。
此外,在根据GDPR第20(1)条行使他或她的数据可移植性权利时,如果技术上可行,并且这样做不会对他人的权利和自由产生不利影响,数据主体应有权将个人数据从一个控制者直接传送到另一个控制者。
为了维护数据可移植性的权利,数据主体可以在任何时候联系达芬奇合伙人有限责任公司的任何员工。
g) 反对的权利
每个数据主体都有权在任何时候以与他或她的特殊情况有关的理由,反对基于GDPR第6(1)条(e)或(f)点的有关他或她的个人数据处理。这也适用于基于这些条款的分析。
达芬奇伙伴公司在收到反对意见时将不再处理个人数据,除非我们能证明处理的正当理由高于数据主体的利益、权利和自由,或用于建立、行使或捍卫法律主张。
如果达芬奇公司为直接营销目的处理个人数据,数据主体有权在任何时候反对为此类营销处理有关他或她的个人数据。这也适用于与此类直接营销有关的特征分析。如果数据主体向达芬奇公司反对为直接营销目的进行处理,达芬奇公司将不再为这些目的处理个人数据。
此外,数据主体有权基于与其特殊情况有关的理由并根据瑞士法律,反对达芬奇伙伴有限责任公司为科学或历史研究目的或根据GDPR第89(1)条为统计目的而处理有关他或她的个人数据,除非该处理是为执行出于公共利益的任务所必需。
为了行使反对权,数据主体可以联系达芬奇合伙人有限责任公司的任何员工。此外,在使用信息社会服务的情况下,尽管有第2002/58/EC号指令,数据主体可以自由使用他或她的权利,通过使用技术规范的自动化手段进行反对。
h) 自动的个人决策,包括特征分析
每个数据主体都有权不接受完全基于自动处理的决定,包括特征分析,该决定对他或她产生法律效力,或对他或她产生类似的重大影响,只要该决定(1)不是为了签订。或履行数据主体与数据控制者之间的合同,或(2)没有得到控制者所遵守的法律的授权,该法律还规定了适当的措施来保障数据主体的权利和自由以及合法利益,或(3)不是基于数据主体的明确同意。
如果该决定(1)对数据主体与数据控制者之间签订或履行合同是必要的,或(2)是基于数据主体的明确同意,达芬奇伙伴有限责任公司应采取适当的措施来保障数据主体的权利和自由及合法利益,至少有权获得控制者方面的人工干预,表达他或她的观点并对该决定提出异议。
如果数据主体希望行使有关自动化个人决策的权利,他或她可以在任何时候联系达芬奇合伙人有限责任公司的任何员工。
i) 撤销数据保护同意的权利
每个数据主体都有瑞士立法者授予的权利,可以在任何时候撤回对其个人数据处理的同意。
如果数据主体希望行使撤销同意的权利,他或她可以在任何时候联系达芬奇合伙人有限责任公司的任何员工。
7.申请和申请程序的数据保护
数据控制者应收集和处理申请人的个人数据,用于处理申请程序的目的。该处理也可以通过电子方式进行。特别是,如果申请人通过电子邮件或网站上的网络表格向控制人提交相应的申请文件,就属于这种情况。如果数据控制者与申请人签订了雇佣合同,所提交的数据将被储存起来,用于处理符合法律要求的雇佣关系。如果控制器没有与申请人签订就业合同,那么在通知拒绝决定的两个月后,申请文件将被自动删除,前提是控制器的其他合法利益不反对删除。这方面的其他合法利益是,例如,根据《一般平等待遇法》(AGG)的程序中的举证责任。
8.处理的法律依据
瑞士法律是我们为特定的处理目的获得同意的处理业务的法律依据。如果个人数据的处理对于履行数据主体为一方的合同是必要的,例如,当处理操作对于供应货物或提供任何其他服务是必要的,处理可能基于GDPR第6(1)条b项。这同样适用于为执行合同前措施而必须进行的处理操作,例如,在有关我们的产品或服务的查询中。如果我们的公司受到法律义务的约束,需要对个人数据进行处理,例如为了履行税收义务,处理可能是基于GDPR第6(1)条。6(1) lit. c GDPR。在极少数情况下,个人数据的处理可能是为了保护数据主体或其他自然人的重要利益。例如,如果游客在我们公司受伤,他的姓名、年龄、健康保险数据或其他重要信息必须被传递给医生、医院或其他第三方,就会出现这种情况。那么该处理可能是基于第6条第1款d项GDP的规定。6(1) lit. d GDPR。最后,处理操作可能是基于GDPR第6(1)条f项。这一法律依据用于不属于上述任何法律依据的处理操作,如果处理是我们公司或第三方追求的合法利益所必需的,除非这些利益被需要根据瑞士法律保护个人数据的数据主体的利益或基本权利和自由所压倒。这种处理操作是特别允许的,因为欧洲或瑞士的立法者已经特别提到了这些操作。他认为,如果数据主体是控制者的客户,就可以假定有合法利益(例如,见Recital 47 Sentence 2 GDPR)。
9.控制者或第三方所追求的合法利益
如果个人数据的处理是基于GDPR第6(1)条f款,我们的合法利益是为了有利于我们所有员工和股东的福祉而开展业务。
10.个人资料的保存期限
用于确定个人数据存储期限的标准是各自的法定保留期。该期限届满后,只要不再需要履行合同或启动合同,相应的数据应被例行删除。
11.作为法定或合同要求提供个人数据;签订合同所需的要求;数据主体提供个人数据的义务;不提供这些数据的可能后果
我们澄清,个人数据的提供部分是由法律要求的(如税收规定),或者也可能是合同规定的结果(如关于合同伙伴的信息)。有时,为了缔结合同,数据主体可能需要向我们提供个人数据,这些数据随后必须由我们处理。例如,当我们公司与之签订合同时,数据主体有义务向我们提供个人数据。不提供个人数据的后果是,与数据主体的合同无法签订。在数据主体提供个人数据之前,数据主体必须联系任何员工。该员工向数据主体澄清,提供个人数据是否为法律或合同所要求,或为缔结合同所必需,是否有义务提供个人数据以及不提供个人数据的后果。