根据《欧盟通用数据保护条例》(GDPR)第 13 条,关于 CRM 系统的数据保护信息
前言
以下信息将为您提供关于我们对您的个人数据的处理以及数据保护法赋予您的权利的概述。
谁负责数据处理?我应该联系谁?
在数据保护法的意义上,对您个人数据负责的始终是 DEKRA 集团公司,该公司单独或与他人共同决定处理您个人数据的目的和方式。这通常是指已经、正在、将要或应该为您或您的雇主提供服务的 DEKRA 集团公司。
作为集团的母公司,这方面的责任方是
DEKRA SE,
总部设在斯图加特,
在斯图加特地方法院的商业登记处登记的公司注册号为 734316,
Handwerkstr.15, 70565, Stuttgart
您可以通过以下方式联系我们的集团数据保护官
在中国大陆的责任方是
DEKRA Shanghai Co. Ltd.
设在上海,
上海市静安区江场三路250号10楼
您可以通过以下方式联系我们的地区数据保护官
电子邮箱:
cynthia.xu@dekra.com
我们使用哪些来源和数据?
我们处理在业务关系过程中从客户或其他数据主体收到的个人数据。在某些情况下,我们会处理您通过名片或其他媒介提供给我们的个人数据,以便建立联系。此外,我们还处理从公开来源(如贸易名录、网站或职业网络上的联系方式)合法获得的、或由其他 DEKRA 集团公司或其他第三方合法传输给我们的个人数据。
相关的个人数据可能是:个人数据(如称谓、姓氏、名字)、业务联系方式(如电子邮件地址、地址、电话号码)、关于您的雇佣关系的信息(如雇主、部门/地区、公司职位)。此外,这还可能包括营销和销售数据(包括广告评分)、文件数据(如备忘录)以及与上述类别相当的其他数据。
处理数据的目的是什么以及法律依据是什么?
我们依照《欧盟通用数据保护条例》(GDPR)和《中华人民共和国个人信息保护法》的规定以及所有其他适用法律法规处理您的个人数据。
此外,有一些其他需要处理您的个人数据的情况,如果法律要求,您将收到与相应事件相关的数据保护信息。
A. 纳入客户关系管理系统(CRM)
我们处理您的个人数据是为了将其纳入我们的客户关系管理系统(CRM)。
这主要是指个人数据、业务地址数据、业务通信数据以及有关您的雇佣关系和公司职位的信息。
CRM 中的数据收集和记录是基于我们的合法利益而进行的。在进一步的沟通和合作中,您可以向我们提供不同可选处理的同意声明。届时,这些同意声明也被存储在我们的 CRM 工具中。
在这种情况下的合法利益是,我们希望与您保持联系,并以客户或客户联系人的身份与您沟通,以便订立合同或履行合同。
法律依据
《欧盟通用数据保护条例》(GDPR)第 6 条第 1 款 b 项和 f 项;
《中华人民共和国个人信息保护法》第 13 条第 2 款和第 7 款。
B. 以电子邮件形式发送通讯和/或直接营销
处理您个人数据的目的是通过通讯和/或通过电子邮件直接广告提供产品组合相关的服务和优惠的个性化信息(您可以在我们的偏好中心表明您的兴趣)。
这主要包括个人数据、您所选择主题领域的信息和业务通信数据。
如果您已经同意我们进行数据处理,您可以随时撤销该同意。如果您撤销此同意,您将不再收到营销信息的电子邮件。
法律依据
《欧盟通用数据保护条例》(GDPR)第 6 条第 1 款 a 项;
《中华人民共和国个人信息保护法》第 13 条第 1 款。
C. 分析用户在接收通讯时的行为
为了进行市场研究(分析通讯接收者的打开和阅读行为),在征得您的同意后,我们将分析您在我们的通讯中的互动,并将其与您的个人使用习惯联系起来。
这主要包括个人数据、基于您使用习惯的信息数据和业务通信数据。
如果您已经同意我们进行数据处理,您可以随时撤销该同意。如果您撤销此同意,我们将不再记录和评估您接收我们的通讯信息时的使用行为。
法律依据
《欧盟通用数据保护条例》(GDPR)第 6 条第 1 款 a 项;
《中华人民共和国个人信息保护法》第 13 条第 1 款。
D. 客户满意度调查
为了改善我们的产品和服务,我们将在征得您的同意后,对您进行客户满意度调查。
这主要包括个人数据、您在客户满意度调查中的回答和业务通信数据。
如果您已经同意我们进行数据处理,您可以随时撤销该同意。如果您撤销此同意,我们将不再向您发送客户满意度调查。
法律依据
《欧盟通用数据保护条例》(GDPR)第 6 条第 1 款 a 项;
《中华人民共和国个人信息保护法》第 13 条第 1 款。
谁可获得我的数据?
在 DEKRA 集团内部,那些需要您的数据来履行我们合同和法律义务的部门可以获得您的数据。除了由 DEKRA SE(斯图加特)集中运营的数据中心外,DEKRA 集团还有许多本地或区域运营的数据中心,由各自负责的 DEKRA 集团公司处理您的数据。
如果我们使用的服务提供商和代理能够遵守这个保密制度和数据保护要求,他们也可能会因为上述目的获得数据。这些公司主要来自 IT 服务、电信、咨询以及销售和营销等行业。
若需要向 DEKRA 集团以外的接收方传输数据,只在法律要求、客户同意,或为准备、执行或终止与您的合同关系所必需的情况下,或 DEKRA 集团对此拥有合法利益时,才会转发客户的信息。在这些条件下,个人数据的接收者可以是例如:
- 有法定或官方义务(如法律通知义务)的公共机关和机构(如税务机关、执法机构),
- 因法定或官方义务而进行风险管理的 DEKRA 集团其他公司,
- 在合同合作关系中使用的服务提供商。在我们的 CRM 中处理数据主要是通过我们的服务提供商 Salesforce Germany 有限公司进行的, 地址为 Erika-Mann-Str. 31, 80636 慕尼黑 (Salesforce)。已与 Salesforce 公司签订了一份订单处理合同。在处理过程中,数据也可能被传输到美国的 Salesforce 服务器。Salesforce 通过了有约束力的公司规则(BCR,有约束力的内部数据保护规则),允许将个人数据从欧盟和欧洲经济区传输到欧盟和欧洲经济区以外的 Salesforce 地点。您可以在 https://compliance.salesforce.com/en/salesforce-bcrs 找到 Salesforce 有约束力的公司规则,或者通过向 info-de@salesforce.com 发送非正式的电子邮件获取。有关 Salesforce 处理数据的更多信息,请访问: https://www.salesforce.com/de/company/privacy/full_privacy/
其他数据接收者可能是那些您已经同意我们向其传输数据的机构,或者是我们基于利益平衡的考虑有权向其传输个人数据的机构。
是否会将数据传输给第三方国家或国际组织?
满足下列条件时,会将数据传输到欧盟以外(所谓的第三方国家)的机构:
- 在个别情况下,如果必要,您的个人数据可能会被传输到美国或其他第三方国家的 IT 服务提供商,以确保 DEKRA 集团的 IT 运营符合欧洲的数据保护水平。
- 对 DEKRA 德凯产品感兴趣的人的个人数据也可以在其同意的情况下,在 CRM 系统中在美国进行处理。
在征得当事人同意的情况下,或根据打击洗钱、资助恐怖主义和其他犯罪行为的法律规定,以及在利益平衡的情况下,个人数据(如合法性数据)在个别情况下将按照欧盟数据保护水准进行传输。
我的数据将会被存储多长时间?
若为必要的合同履行和法定义务履行,或者能够证明是处理数据的合法权益,我们才可处理您的相关数据。如果您已经同意,我们则有权处理您的数据。同时,您随时有权撤回同意。
一旦我们无法再证明我们有权按照这些规定处理您的个人数据,它们将被定期删除,除非出于以下目的需要在有限时间内为特定目的进行进一步处理:
在互联网行业,根据《互联网信息服务管理办法》、《电子商务法》和《电子签名法》数据存储和备份的留存期限从60日到5年不等;在汽车行业,根据《信息安全技术汽车采集数据的安全要求》和《缺陷汽车产品召回管理条例》相关数据存储和信息记录的保存期限最短不超过14天,最长不得少于10年。
在法定时效范围内保存证据。根据《个人信息保护法》第 19 条,除法律、行政法规另有规定外,信息保存期限应当为实现处理目的所必要的最短时间。
我拥有哪些数据保护权利?
在满足前提条件的情况下,您有权享有以下法定数据主体权利:
- 根据《欧盟通用数据保护条例》(GDPR)第 15 条、《个人信息保护法》第 44 条获取关于我们处理您的哪些数据信息的权利,
- 根据《欧盟通用数据保护条例》(GDPR)第 16 条、《个人信息保护法》第 46 条更正不正确数据的权利;
- 根据《欧盟通用数据保护条例》(GDPR)第 17 条、《个人信息保护法》第 47 条删除我们存储的数据的权利;
- 根据《欧盟通用数据保护条例》(GDPR)第 18 条、《个人信息保护法》第48 条限制我们对存储的数据进行处理的权利;
- 根据《欧盟通用数据保护条例》(GDPR)第 20 条、《个人信息保护法》第 45 条的可传输数据的权利;
- 根据《欧盟通用数据保护条例》(GDPR)第 21 条、《个人信息保护法》第 44 条提出异议的权利;
- 如果您已经同意我们进行数据处理,根据《欧盟通用数据保护条例》(GDPR)第 7 条第 3 款、《个人信息保护法》第 15 条,您可以随时撤销该同意声明,并在未来生效;
- 如果您认为处理您的个人数据违反了《欧盟通用数据保护条例》(GDPR)的规定,您有权根据《欧盟通用数据保护条例》(GDPR)第 77 条、《个人信息保护法》第 65 条向监管机构投诉。
我是否有提供数据的义务?
作为我们业务关系的一部分,您必须提供建立、履行和终止业务关系、履行相关合同义务所需的、或我们有法律义务收集的个人数据。没有这些数据,我们可能无法与您或您所在集团签订、履行和终止合同。
在多大程度上存在自动决策或人物特征分析
原则上,《欧盟通用数据保护条例》(GDPR)第 22 条、《个人信息保护法》第 24 条的自动化决策并不适用。如果在个别情况下需要使用自动化决策,我们将在法律规定的范围内,单独通知您以及告知您在这方面的权利。
您的部分数据将被自动处理,目的是分析某些特定的个人特征(剖析)。我们在以下情况下使用人物特征分析,例如:
- 由于法律和监管要求,我们有义务打击洗钱、资助恐怖主义和危害资产的犯罪行为。针对上述情况我们也进行数据评估(特别是在支付交易中)。同时,这些措施也有助于保护您。
- 为了能够为您提供有针对性的产品信息和建议,我们使用了评估工具。这些可以实现基于需求的沟通和营销,包括市场调查和民意调查。
您基于《欧盟通用数据保护条例》(GDPR)第 21 条和《个人信息保护法》第 15 条和第 44 条,根据个体情况提出异议的权利
您有权基于您的特殊情况,随时对根据 《欧盟通用数据保护条例》(GDPR)第 6 条第 1 款 e 项、《个人信息保护法》第 13 条第 5 款(基于公共利益进行数据处理)和《欧盟通用数据保护条例》(GDPR)第 6 条第 1 款 f 项(基于利益权衡进行数据处理)处理与您有关的个人数据的行为,提出异议。对于基于上述规定的、《欧盟通用数据保护条例》(GDPR)第 4 条第 4 款和《个人信息保护法》第 24 条意义上的人物特征分析,也同样适用此条。如果您提出撤销同意声明,除非我们能证明是出于强制性的合法原因,需要对您的个人数据进行处理,而且该原因的重要性高于您的利益、权利和自由,或者该处理是基于强制执行、履行或保护法定权利要求而进行,否则我们将不再对其进行处理。
反对出于直接营销目的处理数据的权利
在个别情况下,我们出于直接营销目的处理您的个人数据。您有权随时反对出于此类营销目的处理与您相关的个人数据,除根据基本费率的传输费用外,不会产生任何费用;这也适用于与此类直接营销有关的人物特征分析。如果您反对出于直接营销目的进行处理,我们将不再为这些目的处理您的个人数据。
异议或撤销的接收方
您可以任何形式向相关负责人或数据保护官提出异议或撤销要求。为实现快速、顺利的处理流成,请使用为此准备的在线表格。或者点击您收到的信息邮件末尾的链接。除了根据基本费率的传输费用,不会对您产生任何其他费用。
本数据保护声明的版本和更改情况
本数据保护声明的最后修订日期为 2023 年 1 月。
我们保留将来在适用的数据保护法框架内更改本数据保护声明的权利,并在必要时根据变更的实际数据处理情况进行调整。如果内容发生任何重大变化,我们将另行通知您。