資料保護聲明

首先感謝您對我們的關注。HIRTLER RE GMBH公司管理層非常重視對資訊資料的保護。訪問HIRTLER RE GMBH 的網頁原則上不需要任何使用者的個人資訊。但如果通過公司網頁接受我公司特別服務時,則可能需要對個人資訊進行處理。如果存在這種需要,卻沒有特定的法律規定可遵循,我方將徵求資料主體的同意。 對個人資訊資料,如姓名、位址、電子郵箱或電話號碼等的處理,完全遵循資訊資料保護基本條例並符合對HIRTLER RE GMBH有效的國家資料保護規定。通過本資料保護聲明我公司公開陳述我方所提取、利用和處理的個人資訊的種類、邊界和目的,並且向資料主體說明其擁有的權力。 HIRTLER RE GMBH作為資訊資料處理的責任人實施了眾多技術和組織方面的措施,以確保對通過網頁進行處理的個人資訊資料最大程度周全的保護。 儘管如此,互聯網的資料傳輸可能存在根本性的安全性漏洞,因此無法保證絕對安全。基於這個原因資料主體有權選擇以其它方式,如通過電話,向我們提供個人資訊。

1. 概念和定義

HIRTLER RE GMBH的資料保護聲明基於歐洲準則和規定制訂機構頒佈資料保護基本法(DS-GVO)時所採用的概念和定義。我們的資料保護聲明不僅對於公眾,同時對於我們的客戶以及商務夥伴都應易於閱讀理解。為確保這點,我們在此首先對所使用的概念和定義進行闡明。 在此資料保護聲明中,我們採用以下概念和定義:

a) 個人資訊

個人資訊是指所有驗明身份的或可驗明身份的自然人的資訊(以下簡稱“資料主體”)。一個自然人如果能夠直接或間接地,特別是通過識別標誌如姓名、識別碼、地點、線上識別或者一個或多個能表述此自然人身體、生理、基因、心理、經濟、文化或社會身份的獨特標記被確認身份時,稱為可驗明身份。

b) 數據主體

資料主體是指所有其個人資訊由資料處理責任人進行處理的、驗明身份的或可驗明身份的自然人。

c) 資料處理

資料處理是指所有與個人資訊資料相關聯的,如採集、獲取、組織、排序、存儲、調整或修改、讀取、查詢、使用、通過傳遞、散發或其它方式進行公開、適配或連接、削減、刪除或銷毀,借助或不借助自動方法執行的操作或所有操作序列。

d) 處理限制

處理限制是指儲存的個人資訊資料進行標記,目的是限制後續的處理。

e) 剖析

剖析是指對個人資訊資料所有形式的自動處理,目的是使用這些個人資訊對自然人特定的方面進行分析評估,特別是對該自然人的工作能力、經濟狀況、健康情況、個人愛好、興趣、可靠度、行為、居住地或搬遷等情況進行分析或預測。

f)  假名化

假名化是指某種方式的資料處理,使個人資訊在不借助額外資訊的情況下,不能明確斷定其歸屬的資料主體。這些額外資訊單獨儲存並以技術和管理措施保證不能被歸屬到驗明身份的或可驗明身份的自然人。

g) 責任人或資料處理責任人

責任人或資料處理責任人指單獨或聯合決定資料處理的目的和手段的自然人或法人、行政機關、機構或其它部門。如果歐盟法律或成員國法律對資料處理的目的和手段進行了規定,責任人或其指定標準可以依據歐盟法律或成員國法律確定。

h) 委託處理人

委託處理人指受責任人委託對個人資訊進行處理的自然人或法人、行政機關、機構或其它部門。

i)   資訊接收人

資訊接收人指獲得個人資料的自然人或法人、行政機關、機關、機構或其它部門,無論其是否作為協力廠商。但是,在基於歐盟法律或成員國法律的特定委託調查範圍內獲得個人資訊的行政機關,不屬於接收人。

j)   協力廠商

協力廠商是指除數據主體、責任人、委託處理人以及直接由責任人或委託處理人授權進行個人資訊處理人員之外的自然人或法人、行政機關、機構或其它部門。

k) 許可

許可是指所有由資料主體自願為某特定情況在知情的條件下所做的明確的意願表達,可以是聲明或以其它無歧義形式,資料主體以此宣佈同意對與其相關的個人資訊進行處理。

2. 資料處理責任人的名稱和地址

資料保護基本法和其它在歐盟成員國內有效的資料保護法律和其它具有資料保護法特徵的法規所定義的責任人為: HIRTLER RE GMBH
Zollhallenplatz 1
79106 Freiburg 弗萊堡
德國
電話: +49 761 600 896 1
電子郵箱: more@hirtler-re.de
網頁: www.hirtler-re.de

3. 一般資料和資訊的獲取

HIRTLER RE GMBH的網頁每次由資料主體或自動系統訪問時,都會獲取一系列的一般性資料和資訊。這些資訊和資料儲存在伺服器的日誌檔中,包括(1)所使用的流覽器類型和版本,(2)發起訪問的作業系統,(3)訪問來源網頁(所謂的“引薦方”),(4)發起訪問的系統內連結我方網頁的子網頁,(5)訪問的日期和時間,(6)訪問者的IP地址,(7)發起訪問者的網路服務商以及(8)其它類似資料和資訊;這些資料和資訊在我方資訊技術系統受到攻擊時可用於防禦目的。 在使用這些一般性資料和資訊時,HIRTLER RE GMBH不會追溯到資料主體,只是用於(1)正確顯示我方網頁內容,(2)優化網頁內容和廣告,(3)保證我方資訊技術系統和網頁技術的功能長效性,以及(4)在發生網路攻擊時向刑事機關提供所需的資料資訊。因此HIRTLER RE GMBH對這些匿名獲取的資料和資訊的分析處理一方面是出於統計需要,另一方面是為了提高企業的資料保護和資料安全,以保證由我方進行處理的個人資訊和資料的最佳安全等級。伺服器日誌檔中的匿名資料與資料主體提供的個人資訊分開儲存。

4. 個人資訊的常規刪除和凍結

資料處理責任人對個人資訊資料進行處理並儲存,儲存期限以達到儲存目的或遵照歐洲準則和規定制訂機構或其它立法者在針對責任人的法律或規章中的規定。 當儲存目的不復存在,或歐洲準則和規定制訂機構或其它立法者所規定的期限到期後,個人資料將按常規並且滿足法律規定進行凍結或刪除。

5. 數據主體的權利

a) 要求確認的權利 歐洲準則和規定制訂機構賦予了所有資料主體權利,向資料處理責任人要求確認,是否會處理其個人資料。如果資料主體計畫行使該項權力,可以隨時聯繫處理責任人的工作人員。

b) 知情權 所有個人資訊受到處理的資料主體擁有歐洲準則和規定制訂機構賦予的權力,任何時間可以從處理責任人處免費獲得關於所儲存的個人資料的資訊以及影本。另外,歐洲準則和規定制訂機構還規定,資料主體有獲得以下資訊的權利:

資料處理目的

被處理的個人資料類別

獲得個人資料或將獲得個人資料的接收人或接收人分類,特別是第三國的接收人或國際組織

如可能,所計畫的個人資料儲存期限,或者,如果不可能,則提供制定儲存期限的標準和依據

是否存在對其個人資料進行更正和刪除或提出處理限制或拒絕處理的權利

是否擁有向監管部門投訴的權利

當個人資料不是來源於資料主體時,要求提供所有關於資料來源的資訊資料

是否存在資料保護基本法(DS-GVO)第22條第1和4款所述的自動決策機制包括剖析以及 – 至少在這些情況下 –有說服力的資訊資料,說明所採用的邏輯及其影響和最終通過此類處理對資料主體產生何種作用

另外,資料主體有權瞭解,個人資料是否向第三國或國際組織進行了公開。如果公開了,資料主體有權獲悉資訊傳輸方面合適的保證措施。 如果資料主體計畫行使此項知情權,可以隨時聯繫處理責任人的工作人員。

c) 數據更正權 所有個人資訊受到處理的資料主體擁有歐洲準則和規定制訂機構賦予的權利,要求立刻更正與其相關的錯誤資料。另外,資料主體有權要求在考慮到處理目的的條件下,對不完整的個人資料進行補全 — 也可以通過補充說明的方式。 如果資料主體計畫行使此項知情權,可以隨時聯繫處理責任人的工作人員。

d) 資料刪除權(被遺忘權) 所有個人資訊受到處理的資料主體擁有歐洲準則和規定制訂機構賦予的權利,當以下一條理由成立並且資料處理並非必須時,向責任人要求立刻刪除其個人資料:

所採集的資料或以其它方式進行處理之後對於當初個人資料獲取的目的來說不再是必需的

數據主體撤銷了滿足資料保護基本法(DS-GVO)第6條第1款a段或第9條第2款a段的資料處理之許可,並且不存在其它法律基礎

資料主體依據資料保護基本法(DS-GVO)第21條第1款對資料處理提出異議並且不存在資料處理優先的合法理由,或資料主體依據資料保護基本法(DS-GVO)第21條第2款對資料處理提出異議

個人資料的處理不合乎法律

為履行對責任人有效的歐盟或成員國法律規定的義務而需要刪除個人資料

個人資料是鑒於依據資料保護基本法(DS-GVO)第8條第1款所提供的資訊社會服務而採集的

只要上述理由中的一條成立並且資料主體打算刪除儲存在HIRTLER RE GMBH的個人資料,可以隨時聯繫責任人的工作人員。HIRTLER RE GMBH的工作人員將進行安排,立刻滿足資料刪除的要求。 如果個人資料已經由HIRTLER RE GMBH公開,而我方依據資料保護基本法(DS-GVO)第17條第1款作為責任人有義務刪除這些個人資料,HIRTLER RE GMBH將考慮到技術可行性和實施費用的條件下採取適當的措施,包括技術方法,告知其他處理這些個人資料的責任人,資料主體要求他們刪除所有這些個人資料的連結或拷貝或複製品,除非資料處理不可避免。HIRTLER RE GMBH的工作人員將針對個別情況安排必須的工作。

e) 要求限制處理權 所有個人資訊受到處理的資料主體擁有歐洲準則和規定制訂機構賦予的權利,在下述條件之一成立時,要求責任人限制資料處理:

資料主體不認可個人資料的正確性,並且給予責任人充分時間對這些個人資料的正確性進行審查

資料處理不合乎法律,但資料主體拒絕刪除個人資料而是要求限制使用這些個人資料

責任人不再需要這些個人資料進行處理,但資料主體仍然需要它們進行索賠、行使或維護合法要求

資料主體雖然依據資料保護基本法(DS-GVO)第21條第1款針對資料處理提出異議 ,但尚未確定,責任人的合法理由是否能占上風 只要上述條件之一成立並且資料主體打算要求對儲存在HIRTLER RE GMBH的個人資料進行處理限制,可以隨時與責任人的工作人員聯繫。HIRTLER RE GMBH的工作人員將安排資料的處理限制。

f)  資料轉讓權

所有個人資訊受到處理的資料主體擁有歐洲準則和規定制訂機構賦予的權利,從責任人處獲得之前向責任人提供的個人資料,並且是以結構化、常見、可機讀的形式。資料主體還具有權利,向其他處理責任人提供這些資料,而原先獲得個人資料的責任人不得加以阻礙,只要資料處理是基於滿足資料保護基本法(DS-GVO)第6條第1款a段或第9條第2款a段的許可或滿足第6條第1款b段規定的合約,並且資料處理借助自動方法實行,除非資料處理是為了完成責任人被賦予的、符合公共利益的任務而必不可少的。 另外,資料主體在行使符合資料保護基本法(DS-GVO)第20條第1款的資料轉讓權時還有權爭取個人資料從一個處理責任人直接轉移至另一個責任人,除非技術不可行和其他人的權益和自由受到影響。 行使資料轉讓權時資料主體可以隨時聯繫HIRTLER RE GMBH的工作人員。

g) 異議權

所有個人資訊受到處理的資料主體擁有歐洲準則和規定制訂機構賦予的權利,基於自身特殊情況造成的原因,隨時針對滿足資料保護基本法(DS-GVO)第6條第1款e或f段規定的個人資料處理提出異議,這點同樣適用於基於相同規定的用戶剖析活動。 當提出異議時,HIRTLER RE GMBH將停止處理個人資料,除非我方能夠提出充分的理由,說明資料處理高於資料主體自身的利益、權利和自由,或者用於索賠、行使或維護合法要求。 如果HIRTLER RE GMBH處理個人資料目的是用於直接廣告業務,資料主體有權隨時就此目的的處理提出異議,這點同樣適用於與直接廣告相關的用戶剖析活動。當數據主體向HIRTLER RE GMBH就用於直接廣告的資料處理提出異議時,HIRTLER RE GMBH將停止此目的的處理。 另外資料主體有權,基於自身特殊情況造成的原因,就HIRTLER RE GMBH滿足資料保護基本法(DS-GVO)第89條第1款進行的、以科學或歷史研究或統計學為目的的資料處理提出異議,除非這種處理是為了完成符合公眾利益的任務必不可少的。 行使異議權時,資料主體可以直接聯繫任何HIRTLER RE GMBH工作人員。另外,當牽涉到使用資訊社會的服務時,資料主體可不必考慮歐共體2002/58/EG號準則而採取使用技術規格的自動方式行使異議權。

h) 每個活動,包括剖析時的自動決策機制 所有個人資訊受到處理的資料主體擁有歐洲準則和規定制訂機構賦予的權利, 不接受僅僅基於自動處理機制的決策 — 包括剖析,特別是當這種決策可能導致法律後果或以其它方式對資料主體造成影響,除非這種決策(1)對於簽訂和執行資料主體和責任人之間的合同必不可少,或(2)根據對責任人有效的歐盟或成員國的法律規定有效並且這些法律規定包含了維護資料主體的權利和自由及其它合法利益的適當措施,或(3)建立在資料主體明確同意的基礎上。 如果決策(1)對於簽訂和執行資料主體和責任人之間的合同是必不可少的,或(2)建立在資料主體明確同意的基礎上的,HIRTLER RE GMBH將採取適當措施,維護 資料主體的權利和自由及其它合法利益,至少包括允許責任人方面人為介入,以及表達自身立場觀點和提出申訴的權利。 如數據主體計畫行使自動決策方面的權利,可以隨時聯繫責任人的工作人員。

i)   撤銷許可的權利 所有個人資訊受到處理的資料主體擁有歐洲準則和規定制訂機構賦予的權利,隨時撤銷個人資料處理許可。 如數據主體計畫行使撤銷許可的權利,可以隨時聯繫責任人的工作人員。

6. 資料處理的法律基礎

資料保護基本法(DS-GVO)第6條第1款a段是我公司資料處理過程的法律基礎,針對特定處理目的我方將徵求資料主體的許可。如果個人資料的處理是對於執行一方為資料主體的合同必不可少的,例如以貨物供應或其它服務為目的的資料處理過程,則資料處理的基礎為資料保護基本法(DS-GVO)第6條第1款b段。這一點同樣適用於執行草約必不可少的處理過程,如垂詢我方產品或服務。如果個人資料處理對於我方盡法律義務必不可少的,如稅務責任,則適用資料保護基本法(DS-GVO)第6條第1款c段。少數情況下個人資料處理可能對於保護資料主體或其他自然人生命攸關的權益必不可少,例如,當訪客在我公司內受傷時,必須將其姓名、年齡、醫療保險或其它涉及生命的資訊傳達給醫生、醫院或其它協力廠商。這時適用資料保護基本法(DS-GVO)第6條第1款d段 。其它資料處理過程,如不能為以上幾段所涵蓋,但是對於維護我公司或協力廠商的合法權益必不可少的,而且這些利益、基本權利和自由不高於資料主體的,適用資料保護基本法(DS-GVO)第6條第1款f段。我們特別允許進行此類資料處理,是因為歐盟立法者專門提及並認為,當資料主體是責任人的客戶時,可能存在合法利益。(考慮基礎 47,第2句)。

7. 責任人或協力廠商資料處理牽涉的合法利益

如果個人資料處理基於資料保護基本法(DS-GVO)第6條第1款f段,我方的合法利益則為利於我方員工和股東的安康和福祉的業務經營。

8. 個人資料儲存期限

個人資料的儲存期限以適用法律的規定為准。到期後如果資料對於執行合同或啟動新合同不再是必不可少,則相應的資料將被常規刪除。

9. 提供個人資料的法律和合同規定;簽約的必要性;提供個人資料的資料主體的義務;拒絕提供的可能後果

在此我們向您說明,提供個人資料可以是法律(如稅務規定)或合同的規定(如提供合同方資訊)。有時可能在簽訂合同時資料主體必須向我們提供個人資料進行處理 。例如在簽訂合同時,資料主體有義務向我們提供個人資料,而拒絕提供將導致與資料主體的合同無法簽訂。在提供其個人資料之前,資料主體務必與我們的工作人員聯繫。我們的工作人員將根據具體情況向資料主體進行說明和解釋,是否按法律或合同規定或合同簽訂要求必須提供個人資料,是否有義務提供個人資料,以及拒絕提供可能導致的後果。

10. 自動決策機制

作為一家具有責任心的企業,我們放棄採用自動決策機制或進行剖析活動。 本資料保護聲明由德國資料保護有限責任公司DGD,對外稱外聘資料保護專家Straubing 公司的資料保護聲明生成器生成,並與資料保護律師  Christian Solmecke合作最終制訂。