介绍和范围
本《通用数据保护通知(“通知”)》适用于采埃孚股份公司及其欧盟分支机构(作为采埃孚集团全球范围内的一部分)对个人数据的处理。就本通知而言,分支机构指采埃孚股份公司直接或间接拥有超过 50% 股份的任何公司,统称采埃孚 ("ZF")。
采埃孚把保护所有客户和业务合作伙伴的个人数据看作是重中之重。这包括作为最终客户的消费者,以及我们业务合作伙伴的员工,后者在业务关系中扮演联系人和代表的角色。
采埃孚承诺负责任地处理个人数据,并遵守采埃孚运营所在国家/地区适用的数据保护法律。本通知描述了采埃孚收集的个人数据类型、采埃孚如何使用该个人数据、采埃孚与谁共享您的个人数据以及您作为数据主体在采埃孚个人数据使用方面的相关权利。本通知还介绍了采埃孚为保护数据安全所采取的措施,以及如何与我们联系以了解我们的数据保护措施。
数据控制方的联系方式
在您所在国家出于本通知所述目的负责收集和使用您的个人数据的法人实体(“数据控制方”)包含在附件通用数据保护通知中。
数据保护官的联系方式
根据适用法律的要求,为每个法人实体指定数据保护官 ("DPO")。DPO 参与与您个人数据保护相关的所有事项。特别是,DPO 负责监督并确保遵守本通知和适用的数据保护法律。
ZF Friedrichshafen AG
Corporate Headquarters / ZF Forum
Löwentaler Straße 20
88046 Friedrichshafen
Germany
您也可以通过电子邮件联系采埃孚集团数据保护协调员,地址:dataprotection@zf.com.
所处理的个人数据类别
出于诸多业务目的,我们处理以下方面的个人数据:
• 客户和业务合作伙伴联系人的联系信息,如姓名、地址、电子邮件地址、电话号码、传真号码、公司名称、职称、职能、部门、管理级别、直线经理;
• 消费者的合同信息(前提是他们是最终客户),包括银行账户信息、信誉、支付条款和筹资等财务数据,以及
• 来自最终客户车辆的数据,包括车辆识别号 (VIN),车牌号以及与个人驾驶相关的传输记录。
处理的个人数据仅限于执行业务目的所必须收集的数据。采埃孚在个人数据维护方面确保其准确性、完整性且保持最新状态。
ZF 将使用一般规则直接从数据主体收集个人数据。 但是,根据法律规定,也可以从第三方收集数据。 特别是,如果汽车制造商将销售给他们的采埃孚产品退回并安装到他们的车辆中,则这尤其适用于有关最终使用客户车辆的数据。
数据处理的目的及法律依据
采埃孚根据适用的数据保护法律和法规处理个人数据,仅用于有限、明确和合法的目的。采埃孚不会将个人数据用于与其收集的原始目的不相容的任何目的,除非您事先明确同意进一步的使用。
与客户和业务合作伙伴相关的个人数据可能会被处理以用于:
• 管理与现有和潜在客户以及供应商等业务合作伙伴的商业关系和战略;
• 开展宣传和营销活动;
• 管理采埃孚的外部会计、税务和财务系统;
• 管理采埃孚的 IT 客户关系和服务运营;
• 进行质量审核、评估和投诉管理;
• 管理产品研发(“R&D”);以及
• 产品支持和维护、故障诊断和故障模式识别。
上述目的的法律依据是与客户或业务合作伙伴签订的基本合同,签订合同前数据主体允许采埃孚在签订合同之前采取措施的请求,或适用的法律规定,例如:税法或产品责任法。此外,我们的客户和业务合作伙伴(包括其联系人和销售代表)的个人数据将被处理,处理目的为采埃孚的合法商业利益,包括客户关系管理、质量保证、投诉管理、营销和促销活动,并且前提是采埃孚的合法利益不会被数据主体的利益或基本权利和自由所推翻,或已经取得数据主体的同意。
采埃孚确保我们的内部管理程序明确说明将个人数据用于其它处理目的的决策原因。如果要将您的个人数据用于最初收集目的以外的目的,则您将事先被告知此新目的。
数据安全
采埃孚实施了适当的技术和组织措施,以确保适合相应风险的安全级别,此类风险分析包括分析数据主体权利受损风险、实施成本以及数据处理的性质、范围、背景和目的。
措施包括:
(一)适用/适当的情况下加密个人数据;
(二)有能力确保处理系统和服务的持续机密性、完整性、可用性和适应性;
(三)有能力在发生物理或技术事故时及时恢复个人数据的可用性和访问;以及
(四)实施流程,以定期测试和评估技术和组织措施的有效性从而确保处理的安全性。
个人资料的接收者
采埃孚股份公司是采埃孚集团的企业总部。由于采埃孚集团内部共享的企业 IT 系统以及我们业务的国际性,出于上述目的,采埃孚股份公司及其子公司(“采埃孚法人实体”)收集和处理的个人数据可与其他采埃孚法人实体共享或共享访问权。向欧盟以外的采埃孚法人实体进行数据传输只能根据本通知第八部分规定的国际数据传输规定进行(见下文)。可以在此找到属于采埃孚集团的采埃孚法人实体概览:
收集的个人数据只会根据采埃孚在遵守适用的法律和合同义务方面的指示转移到精心挑选的数据处理者。采埃孚仅在需要知道的情况下授予对个人数据的访问权限,并且此类访问将仅限于执行授予职能所必需的个人数据。针对个人数据访问的授权将始终与相应职能相关联,不会扩大至个人名义的访问。服务提供商和其他数据处理者只可根据与采埃孚所签订服务协议中说明的目的接收个人数据。
国际数据传输
国际数据传输是指在欧洲经济区 ("EEA") 之外的个人数据传输。采埃孚的国际活动涉及向其他集团公司或第三方转移个人数据,这些公司或第三方可能位于欧洲经济区以外,包括美利坚合众国。采埃孚将确保根据欧盟委员会的规范将个人数据传输到具有足够数据保护标准的国家/地区。或者,数据仅在实施适当的保护措施后转移,以充分保护个人数据并确保此类数据传输符合适用的数据保护法律。采埃孚所实施的数据传输协议基于欧盟模式条款,以覆盖国际数据传输。可以联系采埃孚集团数据保护协调员以获得这些协议的副本(参见上文第三部分)。
保留个人数据
采埃孚对您个人数据保留的时间不会超过适用的数据保护法律和法规所允许的时间,也不会超过其最初收集目的所需的合理时间。一般情况下,一旦与客户/业务合作伙伴不再存在业务关系,或者在 2 年内没有通讯交流的情况下,收集的数据将被删除。但是,根据适用的法规,收集的数据可能需要遵守保留要求。在其他情况下,只要与针对采埃孚的法律要求相关的法定时效尚未过期,就可以存储和保留个人数据。
数据保护权利
根据适用的数据保护法,您享受以下权利。您可以随时联系采埃孚集团数据保护协调员,以行使这些权利(参见上文第三部分):
• 访问、纠正和删除个人数据的权利;
• 限制处理的权利;
• 适用范围内的数据转移权利;
• 在需要同意才能进行处理的情况下撤销同意的权利;
• 向监管机构提出投诉的权利以及
• 反对处理的权利。
通知合规性和联系信息
采埃孚集团数据保护协调员和您当地的 DPO(如果适用)负责监控并确保采埃孚内部的个人数据处理符合本通知和适用的数据保护法律和法规。
就任何与您个人数据处理相关的事项,您都可以联系采埃孚集团数据保护协调员,以行使您上述的权利。
其他
本通知自 2018 年 5 月 25 日起生效,适用于采埃孚(有关范围的精确定义,请参见上文第一部分)。
本通知可能会不时修订和修改,并会对有关任何修改进行适当的通知。
只有在为了符合当地立法的情况下,采埃孚才被允许对本通知文本进行调整,调整形式为给本通知加上附录。
如果本通知与根据当地法律制定的特定当地附录之间存在任何差异,则以后者的条款为准。