我们非常高兴您对我们的企业感兴趣。数据保护对于 mesics GmbH 的管理层来说具有特别重要的意义。使用 mesics GmbH 的互联网页面无需提供任何个人数据;但是,如果数据主体希望通过我们的网站使用特殊的企业服务,则可能需要处理个人数据。如果处理个人数据是必要的,并且没有此类处理的法定依据,我们通常会征得数据主体的同意。
个人数据(例如数据主体的姓名、地址、电子邮件地址或电话号码)的处理应始终符合《通用数据保护条例》(GDPR),并符合适用于 mesics GmbH 的国家特定数据保护条例。通过本数据保护声明,我们的企业希望向公众告知我们收集、使用和处理的个人数据的性质、范围和目的。此外,通过本数据保护声明,数据主体将获悉他们享有的权利。
作为控制者,mesics GmbH 实施了多项技术和组织措施,以确保通过本网站处理的个人数据得到最全面的保护。然而,基于互联网的数据传输原则上可能存在安全漏洞,因此可能无法保证绝对的保护。因此,每个数据主体都可以通过其他方式(例如通过电话)向我们传输个人数据。
1.定义
mesics GmbH 的数据保护声明基于欧洲立法者通过《通用数据保护条例》(GDPR)时使用的术语。我们的数据保护声明应清晰易懂,让公众以及我们的客户和业务合作伙伴都能理解。为了确保这一点,我们首先想解释一下所使用的术语。
在本数据保护声明中,我们特别使用以下术语:
a) 个人信息
个人信息是指与已识别或可识别的自然人(“数据主体”)有关的任何信息。可识别的自然人是指可直接或间接识别的人,特别是通过姓名、身份证号、位置数据、在线标识符或特定于该自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素来识别。
b) 数据主体
数据主体是任何已识别或可识别的自然人,其个人数据由负责处理的控制者处理。
c) 处理
处理是指对个人数据或个人数据集执行的任何操作或操作集合,无论是否采用自动化手段,例如收集、记录、组织、构建、存储、调整或更改、检索、查阅、使用、通过传输、传播或以其他方式披露、调整或组合、限制、删除或销毁。
d) 限制处理
限制处理是对已存储的个人数据进行标记,目的是限制其未来的处理。
e) 分析
分析是指对个人数据进行任何形式的自动化处理,包括使用个人数据评估与自然人有关的某些个人方面,特别是分析或预测有关自然人的工作表现、经济状况、健康状况、个人喜好、兴趣、可靠性、行为、位置或动作等方面。
f) 假名化
假名化是以这样一种方式处理个人数据,即个人数据不再能归属于特定的数据主体,除非使用额外的信息,但前提是这些额外的信息是单独保存的,并且受到技术和组织措施的约束,以确保个人数据不属于已识别或可识别的自然人。
g) 控制者或负责处理的控制者
控制者或负责处理的控制者是单独或与他人共同决定个人数据处理的目的和方法的自然人或法人、公共主管机关、机构或其他机构;如果此类处理的目的和方法由联盟或成员国法律确定,则控制者或其提名的具体标准可由联盟或成员国法律规定。
h) 处理者
处理者是代表控制者处理个人数据的自然人或法人、公共主管机关、机构或其他机构。
i) 接收者
接收者是向其披露个人数据的自然人或法人、公共当局、机构或其他机构,无论是否为第三方。但是,根据联盟或成员国法律,在特定调查框架内可能接收个人数据的公共当局不应被视为接收者;这些公共当局对这些数据的处理应根据处理目的遵守适用的数据保护规则。
j) 第三方
第三方是除数据主体、控制者、处理者以及在控制者或处理者的直接授权下有权处理个人数据的人员之外的自然人或法人、公共主管部门、机构或团体。
k) 同意
数据主体的同意是数据主体自由给出的、具体的、知情的和明确的意愿表明,通过声明或明确的肯定行动,表示同意处理与其相关的个人数据。
2. 控制者的名称和地址
《通用数据保护条例》(GDPR)、欧盟成员国适用的其他数据保护法以及其他与数据保护相关的规定的控制者是:
梅西克斯有限公司
施赖伯街 24
48149 明斯特
德国
电话:+49 251 2026 2005
邮箱: sales@mesics.de
网址:www.lactate-express.de
3. 一般数据和信息的收集
当数据主体或自动化系统调用网站时,mesics GmbH 的网站会收集一系列一般数据和信息。这些一般数据和信息存储在服务器日志文件中。收集的信息包括 (1) 使用的浏览器类型和版本、(2) 访问系统使用的操作系统、(3) 访问系统到达我们网站的网站(所谓的引荐来源)、(4) 子网站、(5) 访问互联网网站的日期和时间、(6) 互联网协议地址 (IP 地址)、(7) 访问系统的互联网服务提供商,以及 (8) 在我们的信息技术系统受到攻击时可能使用的任何其他类似数据和信息。
在使用这些一般数据和信息时,mesics GmbH 不会对数据主体得出任何结论。相反,这些信息是必要的,以便 (1) 正确提供我们网站的内容,(2) 优化我们网站的内容及其广告,(3) 确保我们的信息技术系统和网站技术的长期可行性,以及 (4) 在发生网络攻击时向执法机构提供刑事起诉所需的信息。因此,mesics GmbH 对匿名收集的数据和信息进行统计分析,目的是提高我们企业的数据保护和数据安全,并确保我们处理的个人数据达到最佳保护水平。服务器日志文件的匿名数据与数据主体提供的所有个人数据分开存储。
4. 定期删除和屏蔽个人数据
数据控制者应当仅在达到存储目的所需的期限内,或在欧洲立法者或其他立法者在控制者所遵守的法律或法规中授予的期限内,处理和存储数据主体的个人数据。
如果存储目的不适用,或者欧洲立法者或其他主管立法者规定的存储期限到期,则个人数据将根据法律要求定期被阻止或删除。
5. 数据主体的权利
a) 确认权
每位数据主体均享有欧洲立法者授予的权利,有权从控制者处获得有关其个人数据是否正在处理的确认。如果数据主体希望行使此确认权,他或她可以随时联系控制者的任何员工。
b) 访问权
每位数据主体均享有欧洲立法者授予的权利,可随时从控制者处免费获取有关其个人数据的信息以及这些信息的副本。此外,欧洲指令和法规还授予数据主体访问以下信息的权限:
此外,数据主体有权获得有关个人数据是否被转移到第三国或国际组织的信息。在这种情况下,数据主体有权被告知与转移有关的适当保障措施。
如果数据主体希望利用此访问权,他或她可以随时联系控制者的任何员工。
c) 更正权
每位数据主体均享有欧洲立法者授予的权利,有权要求控制者在不无故拖延的情况下更正与其相关的不准确个人数据。考虑到处理的目的,数据主体有权补充不完整的个人数据,包括通过提供补充声明。
如果数据主体希望行使此更正权,他或她可以随时联系控制者的任何员工。
d) 删除权(被遗忘权)
每个数据主体均享有欧洲立法者授予的权利,有权要求控制者毫不拖延地删除与其有关的个人数据,且只要处理不是必要的,在下列任一情况下,控制者有义务毫不拖延地删除个人数据:
如果上述原因之一适用,并且数据主体希望请求删除 mesics GmbH 存储的个人数据,他或她可以随时联系控制者的任何员工。mesics GmbH 的员工应立即确保立即遵守删除请求。
如果控制者已公开个人数据,并且根据第 17(1) 条有义务删除个人数据,则控制者应考虑现有技术和实施成本,采取合理措施(包括技术措施)通知处理个人数据的其他控制者,数据主体已要求这些控制者删除这些个人数据的任何链接或副本或复制品,只要不需要处理。 mesics GmbH 的员工将在个案中安排必要的措施。
e) 限制处理的权利
每个数据主体均享有欧洲立法者授予的权利,在以下情况之一适用时,从控制者处获得处理限制:
如果满足上述条件之一,并且数据主体希望请求限制 mesics GmbH 存储的个人数据的处理,他或她可以随时联系控制者的任何员工。mesics GmbH 的员工将安排限制处理。
f) 数据可携性权利
每个数据主体均享有欧洲立法者授予的权利,以结构化、常用和机器可读的格式接收提供给控制者的与其相关的个人数据。他或她有权将这些数据传输给另一个控制者,而不会受到提供个人数据的控制者的阻碍,只要处理是基于 GDPR 第 6(1) 条第 (a) 点或第 9(2) 条第 (a) 点的同意,或基于 GDPR 第 6(1) 条第 (b) 点的合同,并且处理是通过自动化方式进行的,只要处理不是为执行公共利益任务或行使控制者所拥有的官方权力所必需的。
此外,根据 GDPR 第 20(1) 条规定,数据主体在行使数据可携性权利时,有权将个人数据直接从一个控制者传输到另一个控制者,只要技术上可行,并且这样做不会对他人的权利和自由造成不利影响。
为了主张数据可携带权,数据主体可以随时联系 mesics GmbH 的任何员工。
g) 反对权
每位数据主体均享有欧洲立法者授予的权利,基于与其特殊情况有关的理由,随时反对根据 GDPR 第 6(1) 条第 (e) 或 (f) 点对其个人数据进行处理。这也适用于基于这些规定的分析。
提出异议后,mesics GmbH 将不再处理个人数据,除非我们能够证明处理具有压倒数据主体的利益、权利和自由的令人信服的合法理由,或为了建立、行使或辩护合法索赔。
如果 mesics GmbH 出于直接营销目的处理个人数据,则数据主体有权随时反对将与他或她有关的个人数据用于此类营销。这适用于与此类直接营销相关的分析。如果数据主体反对 mesics GmbH 出于直接营销目的进行处理,mesics GmbH 将不再出于这些目的处理个人数据。
此外,数据主体有权基于与其特殊情况有关的理由,反对 mesics GmbH 出于科学或历史研究目的或根据 GDPR 第 89(1) 条出于统计目的处理与其有关的个人数据,除非处理是出于公共利益原因执行任务所必需的。
为了行使反对权,数据主体可以联系 mesics GmbH 的任何员工。此外,数据主体在使用信息社会服务的背景下,尽管存在 2002/58/EC 指令,仍可以自由使用技术规范通过自动化手段行使其反对权。
h) 自动化个人决策,包括分析
每位数据主体均享有欧洲立法者赋予的权利,即不受仅基于自动化处理(包括分析)的决策的约束,该决策对其产生法律效力,或对其产生类似重大影响,只要该决策 (1) 不是数据主体与数据控制者之间达成或履行合同所必需的,或 (2) 不是由控制者所遵守的联盟或成员国法律授权的,并且该等法律还规定了适当措施来保障数据主体的权利和自由以及合法利益,或 (3) 不是基于数据主体的明确同意。
如果该决定 (1) 是数据主体与数据控制者之间签订或履行合同所必需的,或 (2) 该决定基于数据主体的明确同意,则 mesics GmbH 应实施适当措施,以保障数据主体的权利和自由以及合法利益,至少有权获得控制者方面的人为干预,表达他或她的观点并对该决定提出异议。
如果数据主体希望行使有关自动化个人决策的权利,他或她可以随时联系 mesics GmbH 的任何员工。
i) 撤回数据保护同意的权利
每个数据主体应享有欧洲立法者授予的权利,可以随时撤回其对处理其个人数据的同意。
如果数据主体希望行使撤回同意的权利,他或她可以随时联系 mesics GmbH 的任何员工。
6. 关于应用和使用 Google Analytics(具有匿名功能)的数据保护规定
在此网站上,控制者集成了 Google Analytics 组件(具有匿名功能)。Google Analytics 是一种网络分析服务。网络分析是收集、汇总和分析有关网站访问者行为的数据。网络分析服务收集的数据包括用户来自哪个网站(所谓的引荐来源)、访问了哪些子页面,或者查看子页面的频率和持续时间。网络分析主要用于优化网站和进行互联网广告的成本效益分析。
Google Analytics 组件的运营商是 Google Ireland Limited,地址为:Gordon House, Barrow Street, Dublin, D04 E5W5, Ireland。
对于通过 Google Analytics 进行的网络分析,控制者使用应用程序“_gat. _anonymizeIp”。通过此应用程序,当数据主体从欧盟成员国或欧洲经济区协议的其他缔约国访问我们的网站时,数据主体的互联网连接的 IP 地址将被 Google 压缩并匿名化。
Google Analytics 组件的目的是分析我们网站的流量。Google 使用收集的数据和信息,除其他外,评估我们网站的使用情况并提供在线报告,显示我们网站上的活动,并为我们提供与使用我们互联网网站相关的其他服务。
Google Analytics 在数据主体的信息技术系统上放置 cookie。Cookie 的定义如上所述。通过设置 cookie,Google 可以分析我们网站的使用情况。每次访问由控制者运营并集成了 Google Analytics 组件的此互联网网站的单个页面之一时,数据主体信息技术系统上的互联网浏览器都会通过 Google Analytics 组件自动提交数据,用于在线广告和向 Google 结算佣金。在此技术程序过程中,Google 企业会了解个人数据,例如数据主体的 IP 地址,这些信息可用于 Google 了解访问者和点击的来源等,并随后创建佣金结算。
该 cookie 用于存储个人信息,例如访问时间、访问地点以及数据主体访问我们网站的频率。每次访问我们的网站时,这些个人数据(包括数据主体使用的互联网访问的 IP 地址)都会传输到美国的 Google。这些个人数据由 Google 存储在美国。Google 可能会将通过技术程序收集的这些个人数据传递给第三方。
如上所述,数据主体可以随时通过对所使用的网络浏览器进行相应调整来阻止通过我们的网站设置 cookie,从而永久拒绝设置 cookie。对所使用的互联网浏览器进行此类调整还将阻止 Google Analytics 在数据主体的信息技术系统上设置 cookie。此外,Google Analytics 已使用的 cookie 可能会随时通过网络浏览器或其他软件程序删除。
此外,数据主体可以反对 Google Analytics 收集与本网站使用相关的数据,以及反对 Google 对这些数据的处理并有机会阻止任何此类行为。为此,数据主体必须从链接 https://tools.google.com/dlpage/gaoptout 下载并安装浏览器插件。此浏览器插件通过 JavaScript 告知 Google Analytics,任何有关网页访问的数据和信息都不得传输到 Google Analytics。安装浏览器插件被视为 Google 的反对行为。如果数据主体的信息技术系统后来被删除、格式化或重新安装,则数据主体必须重新安装浏览器插件以禁用 Google Analytics。如果浏览器插件被数据主体或任何属于其职权范围的其他人卸载或禁用,则可以重新安装或重新激活浏览器插件。
更多信息和 Google 适用的数据保护规定可访问 https://www.google.com/intl/en/policies/privacy/ 和 http://www.google.com/analytics/terms/us.html。Google Analytics 的更多说明请参见以下链接 https://www.google.com/analytics/。
7. 关于 Jetpack for WordPress 的应用和使用的数据保护规定
控制者在此网站上集成了 Jetpack。Jetpack 是一个 WordPress 插件,它为基于 WordPress 的网站运营商提供附加功能。Jetpack 允许互联网网站运营商概览网站访问者。通过显示相关帖子和出版物,或在页面上分享内容的能力,还可以增加访问者数量。此外,Jetpack 中还集成了安全功能,因此使用 Jetpack 的网站可以更好地抵御暴力攻击。Jetpack 还可以优化和加速网站上的图像加载。
Jetpack Plug-Ins for WordPress 的运营公司是 Aut O’Mattic A8C Ireland Ltd.,地址为爱尔兰都柏林 1 国际金融服务中心 Lower Mayor 街 1 号商业中心。
Jetpack 在数据主体使用的信息技术系统上设置 cookie。上面解释了 cookie 的定义。每次调用此互联网网站的单个页面之一时,该互联网网站由控制者运营,并集成了 Jetpack 组件,数据主体信息技术系统上的互联网浏览器都会自动提示通过 Jetpack 组件向 Automattic 提交数据以供分析。在此技术程序过程中,Automattic 会收到用于创建网站访问概览的数据。以这种方式获得的数据可用于分析数据主体的行为,该数据主体可以访问控制者的互联网页面,并进行分析以优化网站。未经数据主体事先单独明确同意,不会使用通过 Jetpack 组件收集的数据来识别数据主体。Quantcast 也会注意到这些数据。Quantcast 使用这些数据的目的与 Automattic 相同。
如上所述,数据主体可以随时通过对所使用的网络浏览器进行相应调整来阻止通过我们的网站设置 cookie,从而永久拒绝设置 cookie。对所使用的互联网浏览器进行此类调整还将阻止 Automattic/Quantcast 在数据主体的信息技术系统上设置 cookie。此外,Automattic/Quantcast 已使用的 cookie 可随时通过网络浏览器或其他软件程序删除。
此外,数据主体可以反对收集与使用本网站相关的数据(这些数据由 Jetpack cookie 生成)以及 Automattic/Quantcast 对这些数据的处理,并有机会阻止任何此类操作。为此,数据主体必须按下链接 https://www.quantcast.com/opt-out/ 下的“退出”按钮,以设置退出 cookie。为此目的设置的退出 cookie 放置在数据主体使用的信息技术系统上。如果数据主体系统上的 cookie 被删除,则数据主体必须再次调用链接并设置新的退出 cookie。
然而,设置退出 cookie 后,数据主体可能无法再完全使用控制者的网站。
Automattic 的适用数据保护条款可在 https://automattic.com/privacy/ 下查阅。Quantcast 的适用数据保护条款可在 https://www.quantcast.com/privacy/ 下查阅。
8. 关于 YouTube 的应用和使用的隐私保护规定
在此网站上,控制者集成了 YouTube 的组件。YouTube 是一个互联网视频门户网站,视频发布者可以免费设置视频片段和其他用户,还可以免费观看、评论和评论这些片段。YouTube 允许您发布各种视频,因此您可以访问完整的电影和电视广播,以及音乐视频、预告片和用户通过互联网门户网站制作的视频。
YouTube 的运营公司是 Google Ireland Limited,地址为:Gordon House, Barrow Street, Dublin, D04 E5W5, Ireland。
每次访问由控制者运营并集成了 YouTube 组件(YouTube 视频)的互联网网站的单个页面时,数据主体信息技术系统上的互联网浏览器都会自动下载相应 YouTube 组件的显示。有关 YouTube 的更多信息,请访问 https://www.youtube.com/yt/about/en/。在此技术程序过程中,YouTube 和 Google 会了解数据主体访问了我们网站的哪些特定子页面。
如果数据主体登录了 YouTube,YouTube 会在每次调用包含 YouTube 视频的子页面时识别出数据主体访问了我们网站的哪个特定子页面。这些信息由 YouTube 和 Google 收集并分配给数据主体的相应 YouTube 帐户。
如果数据主体在访问我们的网站时登录了 YouTube,则 YouTube 和 Google 将通过 YouTube 组件收到数据主体访问过我们网站的信息;无论该人是否点击 YouTube 视频,都会发生这种情况。如果数据主体不希望将此类信息传输给 YouTube 和 Google,则如果数据主体在访问我们的网站之前从其自己的 YouTube 帐户注销,则可以阻止传输。
YouTube 的数据保护条款(可在 https://www.google.com/intl/en/policies/privacy/ 上查阅)提供了有关 YouTube 和 Google 收集、处理和使用个人数据的信息。
9. 处理的法律依据
GDPR 第 6(1) 条 a 项是处理操作的法律基础,我们针对特定处理目的获得同意。如果处理个人数据对于履行数据主体作为一方当事人的合同是必要的,例如,当处理操作对于供应货物或提供任何其他服务是必要的时,则处理基于 GDPR 第 6(1) 条 b 项。这同样适用于执行合同前措施所必需的处理操作,例如在查询我们的产品或服务时。如果我们公司有法律义务需要处理个人数据,例如为了履行纳税义务,则处理基于 GDPR 第 6(1) 条 c 项。在极少数情况下,为了保护数据主体或其他自然人的切身利益,可能需要处理个人数据。例如,如果访客在我们公司受伤,需要将他的姓名、年龄、健康保险数据或其他重要信息传递给医生、医院或其他第三方。那么处理将基于 GDPR 第 6(1) 条 d 项。最后,处理操作可以基于 GDPR 第 6(1) 条 f 项。此法律基础用于不受上述任何法律依据约束的处理操作,如果处理对于我们公司或第三方追求的合法利益而言是必要的,除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所取代。此类处理操作是特别允许的,因为它们已被欧洲立法者特别提及。他认为,如果数据主体是控制者的客户,则可以假定存在合法利益(GDPR 第 47 条第 2 句)。
10. 控制者或第三方追求的合法利益
当个人数据的处理基于 GDPR 第 6(1) 条 f 项时,我们的合法利益是开展业务,造福所有员工和股东。
11. 个人信息保存期限
确定个人数据保存期限的标准是相应的法定保留期限。该期限到期后,只要不再需要履行合同或签订合同,相应的数据就会被定期删除。
12. 根据法律或合同要求提供个人数据;签订合同的必要条件;数据主体提供个人数据的义务;不提供此类数据的可能后果
我们澄清,提供个人数据部分是法律要求的(例如税收法规),也可能是合同条款的结果(例如有关合同伙伴的信息)。有时可能需要签订合同,要求数据主体向我们提供个人数据,随后我们必须处理这些数据。例如,当我们的公司与数据主体签订合同时,数据主体有义务向我们提供个人数据。不提供个人数据会导致与数据主体的合同无法签订。在数据主体提供个人数据之前,数据主体必须联系任何员工。员工向数据主体澄清提供个人数据是否是法律或合同的要求或为签订合同所必需的,是否有提供个人数据的义务以及不提供个人数据的后果。
13. 自动化决策的存在
作为一家负责任的公司,我们不使用自动决策或分析。