SUNSTAR Suisse SA 数据保护公告
最后更新日期:2022 年 5 月 1 日
本数据保护公告中所含信息,旨在介绍 SUNSTAR Suisse SA(以下简称“SUNSTAR”或“我们”)如何收集和处理您的个人信息,以及您依据数据保护法而享有的权利。处理的数据类型因情况而异,具体取决于请求或商定的服务。在本公告的末尾部分,还专门介绍了我们网站使用的 cookie 和其他技术,以及您的可选选项。
在某些情况下,例如,当您与另一 SUNSTAR 实体直接打交道时,该实体会收集和处理您的数据,并在履约提供服务过程中担任数据控制者。有关此类处理情形的更多详细信息,请查阅相关 SUNSTAR 实体发布的数据保护公告。
详细联系方式
如果您对本公告或您个人数据的处理存在任何意见、评论或疑问,请联系我们:
SUNSTAR Suisse SA
de Pallatex 15
1163 Etoy
Switzerland
根据 GDPR 第 27 条规定任命的欧盟代表
SUNSTAR Deutschland GmbH
Aiterfeld 1
79677 Schönau im Schwarzwald
Germany
个人数据类别
一般来说,除非在个别情况下因履行合同、促进沟通或出于技术目的而需要个人数据,否则您无需向我们提供任何个人数据。所有在线表单都会明确说明,需要提供哪些个人数据才能履行合同或执行请求的特定操作。
在我们与您发展业务关系的过程中,我们会处理直接向您收集的个人数据。除了我们直接向您收集的数据之外,我们还可能从其他来源(从公共领域获得、由 SUNSTAR 集团内的其他公司或第三方提供)获得有关您的数据并处理此类数据,以便适当和充分地履行我们的监管和合同义务,以及优化、扩展和营销我们的服务产品。这些第三方包括活动服务提供商,其以我们的名义收集您的信息或在活动过程中向我们提供您的个人数据。
我们会处理以下类别的个人数据:
- 个人详细信息和联系数据(姓名、住址、电话、年龄、其他联系信息);
- 订单数据(例如,付款、配送、特殊要求);
- 因履行我们的合同义务而产生的数据;
- 广告和销售数据(包括 cookie、偏好设置、销售历史记录);
- 记录保存的数据(例如,咨询记录、通话记录、投诉);
- 与上述类别相关或类似的其他数据(例如,电子邮件、通信数据)。
数据处理的目的与合法依据
履行合同义务
在我们与您签订和履行合同的过程中,我们会处理您的数据,以便为您提供产品(包括通过 Amazon 等在线销售平台)和相关辅助服务。这类数据处理的确切性质和目的,主要基于您所请求的特定产品或服务,以及您是直接向我们购买还是通过其他供应商(例如 Amazon)下订单。
实现 SUNSTAR 和第三方的利益
为保障我们和第三方的合法利益,我们还会出于以下目的处理您的个人数据:
- 管理 SUNSTAR 内部的风险;
- 在法律纠纷中提出法律主张并进行辩护;
- 阻止违法行为;
- 确保 IT 安全和 IT 正常运营;
- 采取措施确保建筑物和系统(例如,门禁系统)安全;以及
- 采取措施进行商业管理,以及开发和营销服务和产品;
- 提供定制化客户服务
我们在这些情况下的合法权益包括:降低和管理风险、行使我们的权利、落实有效的业务流程并进行业务优化、营销和销售我们的产品和服务。
征得您的同意
在征得您同意的前提下,我方可出于您同意的目的处理您的个人数据。您可以随时撤回同意。请注意,撤回同意对之前的个人数据使用没有追溯效力。
一般来说,适用的法律会要求经过您同意之后方可向您发送资讯邮件。您可以通过两种方式随时撤回同意:单击每份资讯邮件底部的“取消订阅”链接,或者通过上述详细联系方式与我们联系。
遵守法律法规要求,维护公共或切身利益
我们必须遵守各项国家和国际监管义务,按照地区或国际法律法规要求进行数据处理。此外,在为了保护您或他人的切身利益的特殊情况下,我们可能会处理您的数据。以及在出于维护公共利益而执行任务所需的情况下,我们可能会处理您的数据。
数据处理者的类别
SUNSTAR 非常重视数据保护。只有 SUNSTAR 内部出于以下目的而需要访问权限的人员才能访问您的个人数据:为了充分适当地履行 SUNSTAR 的法律和合同义务并提供所请求的产品或服务,以及为执行我们的业务流程。在这种情况下,我们委托的服务提供商和分包商将出于相同目的处理您的数据,同时需遵循相关数据保护的要求和我们的操作说明。此类公司提供包括 IT、通讯、咨询以及分销和营销在内的各种服务。每一个数据处理者都经过慎重挑选而确定,而且 SUNSTAR 与他们之间签订了数据处理协议,其中包含必备的技术和组织措施并且满足适用的数据保护要求。
这些数据处理者包括:
- CRM 和 CMS 提供商
- 资讯服务提供商
- 设计和营销机构
- 服务器、存储和其他 IT/电信服务提供商
- 活动管理服务提供商
- 配送和订单履行服务提供商
- 会计和财务服务提供商
个人数据的传输
根据 GDPR 规定的要求,如果您居住在欧洲经济区(EEA),我们只在 EEA 司法管辖区之内传输您的个人数据。
仅在特定条件下才允许向 EEA 管辖区之外传输个人数据(详见 GDPR 第 5 章)。从根本上来说,数据处理必须符合数据处理所在的国家/地区的法律规定。而且只有在确保接收国家/地区会充分保护数据安全的情况下,才能进行数据传输。这种决定的依据是欧盟委员会发布并定期调整的能够充分保护数据安全的国家名单(详见 GDPR 第 45 条)、适当的数据保护措施(详见 GDPR 第 46 条)、具有约束力的公司规定(详见 GDPR 第 47 条)、行为准则(详见 GDPR 第 40 条)以及认证程序。在传输您的个人数据之前,SUNSTAR 将确保满足必要的先决条件以提供充分的数据保护。如果您对此类数据传输存在任何疑问,请按照上文所述的详细信息联系我们以获取更多信息。
通过 cookie 和其他网站技术收集的信息主要在 EEA 内处理。 某些情况下,会将数据传输到美国。请在我们的同意管理平台中查看各项技术和您的选择。
根据欧盟数据保护标准,欧洲法院评定美国为数据保护不力的国家。美国当局可能出于管控和监控目的处理您的数据,甚至可能无法补救。如果您拒绝这些服务供应商,则将不会进行上述数据传输。根据 GDPR 第 49 条第 1 段第 1 款第 a 项的规定,同意上述美国服务提供商使用 cookie,即表示您同意在美国传输和处理您的数据。在传输您的个人数据之前,SUNSTAR 将采取适当的额外安全措施(例如,与服务提供商签订根据欧盟标准合同条款拟定的合同),以提供充分的数据保护。如果您对此类数据传输存在任何疑问,请按照上文所述的详细信息联系我们以获取更多信息。
存储期限
我们仅在履行相关法律或合同义务或者维护自身合法商业目的时,才会收集和处理您的个人数据。
如果数据不再需要用于当初收集时的目的,除非对该数据的进一步处理受到时间限制,否则我们有责任及时删除数据或进行匿名化处理,以遵守法律规定的数据保留期限。
在瑞士,如果您的合同数据符合《瑞士义务法》的商业文档保留要求,则相关数据通常会从创建之日起至少存储 10 年。Cookie 和其他网站相关的数据,其保留期限要短得多。更多详细信息,请查看下文的“Cookie 和网站技术”部分。
您的权利
如果您居住在 EEA,则您对自己的个人数据享有以下权利(详见 GDPR 第 13 至 22 条):
- 根据 GDPR 第 15 条的规定,您有权请求访问个人数据以及个人数据处理信息。这具体包括:您能够收到我们保留的您的个人数据副本,并查看我们是否合法处理这些数据。
- 请求更正(修正)我们保留的关于您的个人数据。这让您能够更正我们保留的不完整或不准确的个人数据。
- 请求擦除您的个人数据。这让您能够在某些情况下要求我们删除或移除个人数据。当您行使反对数据处理的权利时,您也有权利要求我们删除或移除您的个人数据(请看下文)。
- 反对我们基于公共利益或自身合法利益(或第三方的利益)处理您的个人数据。如果您反对,我们将不再处理您的个人数据,除非我们能够证明处理数据的合法理由不可抗拒,比您的利益、权利和自由更重要;或者处理数据是为了主张、行使或捍卫合法要求。如果我们出于直接营销目的处理您的个人数据,您有权随时反对出于此类营销目的(包括与此类直接营销相关的分析)处理您的个人数据。如果您反对,我们将不再使用您的个人数据进行直接营销。
- 请求限制处理您的个人数据。这让您能够要求我们暂停处理您的个人数据,例如,您希望我们确保数据准确性或正确使用数据。在下述情况下拥有限制处理的权利:
- 如果您对我们存储的个人数据的准确性提出异议,我们通常需要一些时间进行核实。在审核期间,您有权请求我们限制处理您的个人数据。
- 如果对您个人数据的处理违反法律,则您可以要求限制数据处理而不是删除数据。
- 如果我们不再需要您的个人数据,但是您的确需要这些数据来主张、行使或捍卫合法要求,则您有权要求限制处理您的个人数据而不是删除数据。
- 如果您已经根据 GDPR 第 21 条第 1 段的规定提出异议,则必须在您的个人利益与我们的利益之间达成平衡。在无法明确哪一方的利益占主导地位的情况下,您有权要求限制处理您的个人数据。
- 如果您已要求限制处理您的个人数据,则此类数据除了用于存储之外,只能在下列情况下进行处理:已征得您的同意;为了主张、行使或捍卫合法要求;保护另一自然人或法人的权利;维护欧盟或成员国的重要公共利益。
- 请求将您的个人数据传输给已征得您同意的数据处理方或通过自动方式进行数据处理的另一方。如果您请求将数据直接传输给另一方,则只有在技术条件允许的情况下我们才会这样做。
- 要撤回同意,即表示您已允许我们向您发送营销邮件,或者以任何其他方式收集或使用您的个人数据。
如果违反 GDPR 的规定,则您有权向所在居住地、工作地或涉嫌侵权地的成员国的监管机构提出上诉(详见 GDPR 第 77 条)。这种上诉权对其他行政或司法补救措施并无影响。
请注意,您行使其中的某些权利可能意味着我们无法向您提供服务,因为缺乏我们能够提供服务的必备信息。在其他情况下,这可能意味着我们基于不完整的信息向您提供服务,进而意味着这些服务可能无法满足您的需求。
SUNSTAR Suisse SA 不执行 GDPR 第 22 条中规定的自动化决策。
如果您不是居住在 EEA,则第 8 条 DSG 将用于裁定您是否有权请求访问数据和获取有关数据处理的信息。
资讯/营销电子邮件
无论是哪种联系类型,我们只会将您的电子邮件地址用于我司广告宣传目的。在向潜在客户发送营销电子邮件过程中处理个人数据,其依据是 GDPR 第 6 条第(1)款第 a 项的规定。您可以随时撤消同意,但这不会影响在您撤消同意之前进行的数据处理的合法性。您可以使用电子邮件中的相应链接或以其他方式通知我们,随时取消订阅营销电子邮件。然后,我们会从邮件列表中移除您的电子邮件地址。
如果您进行注册以接收营销电子邮件,我们将通过电子方式记录和存储您提供的个人数据。这种处理的目的最初是执行所谓的双重选择加入程序,选择加入即表示您同意定期接收营销电子邮件。这意味着,在您提交个人数据和信息后,我们将向您提供的电子邮件地址发送一封邮件,并在此邮件中要求您确认自己希望接收营销电子邮件。如果未收到您的注册确认回复,我们将删除您的数据。
在您确认后,我们将存储您的 IP 地址和确认时间。完成这个步骤是为了证明您已注册接收营销电子邮件,并在必要时检测和防范可能发生的个人数据滥用行为。这种处理的法律依据是我们要履行记录同意的法律义务。
现有客户
在您购买商品或服务之后,我们可能会向您发送类似产品和服务的营销电子邮件。这种数据处理的依据是我们拥有宣传自己产品和服务的合法利益(详见 GDPR 第 6 条第(1)款第 f 项)。
资讯邮件分析
SUNSTAR 会在营销电子邮件中使用所谓的资讯跟踪技术。我们会记录并存储收件人的各项操作(打开邮件、单击文本和图像链接、使用电子邮件程序下载图像)。
这种处理的目的是提高电子邮件的质量并优化我们的服务。这种处理的法律依据是我们拥有 GDPR 第 6 条第(1)款第 f 项规定的合法利益,确保只向收件人提供相关信息,并且可以从列表中删除那些不感兴趣的收件人。
如果您在电子邮件程序中默认已禁用图像显示,则不会发生此类跟踪。这种情况下,资讯邮件可能不会完整显示,您可能无法使用所有功能。一旦您选择显示图像,就会激活刚才所述的跟踪功能。
撤回同意或反对
您可以通过两种方式随时撤回同意或反对此类数据处理,并取消订阅直接营销邮件:发送一封包含取消订阅请求的电子邮件至 privacy@ch.sunstar.com,或者单击每封营销邮件底部的“取消订阅”链接。
Amazon 订单
为了履行我们对客户的合同义务,我们会使用外部配送合作伙伴和其他服务提供商的服务。根据 GDPR 第 6 条第(1)款第 b 项的规定,我们仅出于配送货物之目的向选定的配送合作伙伴提供您的姓名和收货地址。
Amazon 隐私声明注意事项
您已在 Amazon 提供的数据保护公告中了解了关于个人数据的收集和存储、数据类型以及数据用途等信息。在您进行注册时,Amazon 已获得您对此类数据处理所必需的知情同意。除了 Amazon 提供的个人数据之外,我们不会进一步收集您的任何个人数据。Amazon 出于履行合同之目的向我们传输您的个人数据。我们会按照本《数据保护公告》中的说明,存储和处理 Amazon 传输给我们的这些个人数据。
Amazon 平台上超出本《数据保护公告》所述之数据处理情况的所有其他进一步数据处理事宜,均由 Amazon 全权负责,包括 Amazon 网站上提供的支付方式。有关 Amazon 数据处理的更多信息,请查看 Amazon《隐私声明》:www.amazon.de/gp/help/customer/display.html?ie=UTF8&nodeId=201909010&ref_=footer_privacy
版本管理与通用备注
我们保留随时更改本《数据保护公告》的权利。请以此文档的最新版本为准。
本《数据保护公告》的生效日期是 2022 年 5 月 1 日。
适用于加州居民的 Sunstar 隐私政策
作为 Sunstar 数据保护公告所含内容之补充,本适用于加州居民的 Sunstar 隐私政策只适用于居住在加州境内的所有访问者、用户及其他人(以下简称“消费者”或“您”)。我们采用本隐私政策是为了遵守 2018 年公布的《加州消费者隐私法案》(CCPA),且本隐私政策中使用的术语与 CCPA 中定义的术语均具有相同的含义。
Sunstar 收集的信息
sunstar.com、sunstar-engineering.com、sunstar-foundation.org 网站(统称“网站”)会收集各种直接或间接地识别、关联、描述、参考、能够相关联或合理链接到特定消费者或设备的信息(统称为“个人信息”)。要特别指出的是,网站在过去 12 个月内收集了关于消费者以下类别的个人信息:
个人信息不包括:
- 来自政府记录的公开信息。
- 已消除识别的信息或汇总的消费者信息。
- 不在 CCPA 范围之内的信息,例如:
- 受 1996 年《健康保险流通与责任法案》(HIPAA)和《加州医疗信息保密法》(CMIA)保护的健康或医疗信息,或者临床试验数据;
- 受特定行业隐私法保护的个人信息,包括《公平信用报告法》(FRCA)、《金融服务现代化法案》(GLBA)或《加州金融信息隐私法》(FIPA),以及 1994 年《驾驶员隐私保护法》。
Sunstar 获取上述个人信息类别的来源有以下几类:
- 直接来自您。例如,通过您填写的表格或您购买的产品和服务。
- 间接来自您。例如,通过观察您在我们网站上的各项操作。
使用个人信息
Sunstar 可能会出于下述一个或多个目的,使用或披露收集到的个人信息:
- 实现或满足您提供信息的理由。例如,如果您在咨询我们的产品或服务时提供了个人姓名和联系信息,我们将使用这些个人信息来回复您的疑问。如果您在购买产品或服务时提供了个人信息,我们将使用这些信息来处理付款和推进配送。我们也可能会保存您的信息,用于促成新产品订单或处理退货。
- 提供、支持、定制和开发我们的网站、产品和服务。
- 在我们的网站上注册、维护、自定义和保护您的帐号。
- 处理请求、购买、交易和付款,并防范交易诈骗。
- 为您提供支持并答复您的咨询,包括调查和解决您的疑虑,以及跟踪和改善我们的回复。
- 为您提供个性化的网站使用体验。
- 用于测试、研究、分析和产品开发,包括开发和优化我们的网站、产品和服务。
- 根据适用法律、法院命令或政府法规的要求,回应相关的执法请求。
- 收集个人信息时所描述目的或根据 CCPA 中所述的规定。
Sunstar 不会收集其他额外类别的个人信息,也不会在没有事先通知的情况下,将收集到的个人信息用于实质上不同、不相关或不兼容的目的。
共享个人信息
Sunstar 可能会出于商业目的披露您的个人信息。当我们出于商业目的披露个人信息时,我们会与数据接收方签订一份描述该目的的合同,并要求接收方做到两点:对披露的个人信息保密;不得将这些信息用于履行除合同规定之外的任何目的。
我们会与以下类别的第三方共享您的个人信息:
- 附属公司和子公司。
- 承包商以及各个服务供应商。
- 数据汇集者。
- 我们与之合作向您提供产品和服务的第三方。
出于商业目的披露个人信息
在过去的 12 个月中,Sunstar 出于商业目的向上述各方披露了以下类别的个人信息:
A 类:标识符。
B 类:加州客户记录个人信息类别。
C 类:受加州法案或联邦法律保护的分类特征。
D 类:商业信息。
F 类:互联网或其他类似的网络活动。
G 类:地理位置数据。
出售个人信息
在过去的 12 个月内,Sunstar 没有出售任何个人信息。
数据访问权和数据迁移权
您有权请求 Sunstar 向您披露在过去 12 个月内我们收集和使用您个人信息的特定信息。收到且确认您提交的可验证消费者请求(参阅“行使数据访问权、数据迁移权和删除权”)后,我们将向您披露:
- 我们收集到的与您相关的个人信息类别。
- 我们收集到的与您相关的个人信息来源类别。
- 我们收集这些个人信息的业务或商业目的。
- 我们与之共享这些个人信息的第三方类别。
- 我们收集的关于您的特定个人信息(也称为“数据迁移”请求)。
- 如果我们出于商业目的出售或披露您的个人信息,还会提供两份单独的列表:
- 数据出售表,指明每个类别的数据接收方购买的个人信息类别;以及
- 商业数据披露表,指明每个类别的数据接收方获得的个人信息类别。
删除权
除某些例外情况外,您有权请求 Sunstar 删除从您那里收集并保留的个人信息。收到且确认您提交的可验证消费者请求(参阅“行使数据访问权、数据迁移权和删除权”)后,我们将从记录中删除(并且要求我们的服务提供商删除)您的个人信息,除非有例外情况。
如果在下列情况下我们或我们的服务提供商有必要保留信息,我们可能会拒绝您的删除请求:
- 收集个人信息以完成交易、提供您请求的产品或服务、在我们与您保持业务关系期间采取适当的预期行动,或者以其他方式履行我们与您之间的合同。
- 检测安全事件,防范恶意、欺骗、欺诈或非法活动,或起诉此类活动的责任人。
- 调试产品以发现和修复削弱现有预期功能的错误。
- 行使言论自由,确保其他消费者行使其言论自由的权利,或行使法律规定的其他权利。
- 遵守《加州电子通信隐私法案》(加州《刑法典》第 1546 条等)。
- 遵守所有其他适用的道德和隐私法,参与符合公共利益的公开或经过同行评审的科学、历史或统计研究,如果您之前已提供知情同意书,则这种情况下删除个人信息可能会使研究无法进行或严重损害研究成果。
- 根据您与我们的关系,只允许符合消费者合理期望的内部使用。
- 遵守法律义务。
- 根据您提供个人信息的背景条件,允许将这些信息用于其他内部和合法用途。
行使权利
若要行使上述数据访问权、数据迁移权和删除权,请将可验证的消费者请求提交至:
SUNSTAR Suisse SA
de Pallatex 15
1163 Etoy
Switzerland
只有您本人,或者已向加州州务卿处登记且获得授权代表您行事的人,才能提出关于您个人信息的可验证的消费者请求。您还可以代表您的未成年子女提出可验证的消费者请求。
在 12 个月内,您只能提出两次可验证的消费者数据访问或数据迁移请求。可验证的消费者请求必须:
- 提供充足的信息,以便我们能够合理地验证您就是我们收集个人信息的对象或其授权代表。
- 充分详细地描述您的请求,以便我们能够正确理解、评估和回复。
如果我们无法验证您的身份或提出请求的权限并确认与您相关的个人信息,则将无法回复您的请求或向您提供个人信息。
提出可验证的消费者请求不需要您在我们的网站上创建帐户。对于可验证的消费者请求中提供的个人信息,我们只会将其用于核实请求者的身份,或者验证其是否具备提出请求的权限。
回复和格式
在收到可验证的消费者请求后,我们会努力在四十五天之内作出回复。如果我们需要更多时间(至多 90 天),我们将以书面形式告知您具体原因和延长期限。
如果您在我们的网站上已有帐户,我们会将书面回复发送至该帐户。如果您在我们的网站上没有帐户,我们会依据您的选择,以邮寄或电子方式发送回复。
我们提供的披露信息,仅涵盖收到可验证的消费者请求之前的 12 个月。适用情况下,我们会在提供的回复中说明我们无法满足您请求的原因。对于数据迁移请求,我们将选择一种易于使用的格式来提供个人信息,让您能够顺利地将个人信息从一个实体传输到另一个实体。
我们会免费处理或回复可验证的消费者请求,过度的、重复的或毫无根据的请求不在此列。如果我们确定您的请求需要付费,则在处理完您的请求之前,我们会告知收费原因并提供费用估算。
个人信息出售的选择加入与选择退出权
如果您已年满 16 岁,则有权随时要求我们不出售您的个人信息(选择退出权)。我们不会出售任何已知的未满 16 岁消费者的个人信息,除非我们获得了 13 至 16 岁消费者本人或者其父母或监护人的肯定授权(选择加入权)。选择加入信息出售的消费者,可随时选择退出未来的信息出售。
无差别待遇
我们不会因您行使任何 CCPA 权利而歧视您。除非 CCPA 有所规定,否则我们不会:
- 拒绝向您提供商品或服务。
- 对于商品或服务向您收取不同的价格或费用,包括给予折扣或其他优惠,或征收罚款。
- 向您提供不同级别或质量的商品或服务。
- 暗示您可能会收到不同价格或费用的商品或服务,或者不同级别或质量的商品或服务。
但是,我们可能会向您提供符合 CCPA 规定的某些财务激励计划,这可能会导致不同的价格、费用或质量水平。我们提供的所有符合 CCPA 规定的财务激励计划,不仅会适度关联您的个人信息价值,而且包含描述该计划的金钱奖励的书面术语。必需同意选择加入,才能参与财务激励计划,您可以随时撤消同意。
加州法案赋予的其他权利
《加州阳光法》(民法第 1798.83 条)规定,作为加利福尼亚居民的网站用户,有权请求提供关于我们出于直接营销目的向第三方披露其个人信息的特定信息。若要提出此类请求,请写信或发送电子邮件联系我们:
SUNSTAR Suisse SA
Route de Pallatex 15
1163 Etoy
Switzerland
适用于加州居民的 Sunstar 隐私政策变更
Sunstar 保留随时自行决定修改本隐私政策的权利。如果决定修改本隐私政策,我们将会在网站上发布最新公告,并更新政策变更的生效日期。在我们发布政策变更后,如果您继续使用我们的网站,即表示您接受此类更改。
Cookie 和网站技术
为了在网站上提供服务和宣传产品,我们使用了一些 cookie 和其他技术。具体内容将在今后详细描述,并将提供适用的选择退出选项。