隐私和 cookie 政策与客户数据处理

根据欧盟通用数据保护条例 (GDPR) 第 13 条和第 14 条在信息方面的义务。

本隐私政策在第 I 节对苏尔寿的个人数据处理进行了整体说明。第 II 节包含对特定应用情形的特殊规定。

一般信息

此信息的接收对象是谁?

通过此客户信息,苏尔寿集团将根据欧盟通用数据保护条例 (GDPR)告知关于Sulzer Ltd.各公司 及其关联方(合称“苏尔寿”)如何处理个人数据的情况,只要它们未被苏尔寿其他政策所涵盖或者根据情况显而易见或适用法律有规定。个人数据指所有与已识别的或可识别的人有关的所有信息。以下人士根据此客户信息视为是苏尔寿的客户:

  • 业务联系人、潜在客户、供应商以及各自的员工
  • 目前和以前的客户、供应商以及各自的员工
  • 经销商、代理商、其他中间商以及各自的员工
  • 金融界人士(例如,股东投资人、经纪人、分析师)
  • 新闻记者
  • 苏尔寿设施和场所的访客;以及
  • 在苏尔寿登记的网站访客和用户 
谁负责处理个人数据?

每个网站(包括针对特殊活动或优惠设置的网站门户和小型网站)以及在社交媒体、多媒体门户、聊天机器人和苏尔寿每个应用程序(分别被单独称为“网站”)上的活动在苏尔寿内部都有控制者,根据欧盟通用数据保护条例 (GDPR)(或可适用的数据保护法律的同等规定)收集个人数据。除在网站上另有规定外(根据版本说明、使用条款等),Sulzer Management AG 为控制者。

苏尔寿通过其他沟通方式(如电子邮件、信件、电话、面谈等)沟通时,相关子公司或关联方为控制者。若一家苏尔寿公司或关联方出于接收公司或关联方的目的向该家苏尔寿公司或关联方披露个人数据,根据 GDPR 第 4(7) 条,该披露数据的公司或关联方为控制者。

任何有关本隐私政策和苏尔寿(全部公司和关联方)数据隐私的详细信息、主张或疑问的询问可以发送给以下联系人:

苏尔寿全球数据隐私官
Sulzer Management Ltd.
Neuwiesenstrasse 15
8401 Winterthur, Switzerland
电子邮件:privacy [at] sulzer.com

苏尔寿收集哪些个人数据?

苏尔寿在使用网站的过程中、在苏尔寿的活动上或在通过电子邮件、电话或任何其他方式沟通时,一般是直接收集客户的个人数据。然而,个人数据在某些情况下也会从其他渠道(如债务登记册、商业和协会登记册、新闻媒体、互联网)间接收集,或者在苏尔寿集团内部或从其他第三方( 如征信机构、服务提供商)合法转移,或从并合数据集中获得。

根据适用法律且只要是为了必要目的而处理的,苏尔寿可处理以下类别的个人数据: 

业务联系人、潜在客户、供应商以及各自的员工

i) 个人数据和联系信息:姓氏和名字、业务联系方式、地址、住所、电话号码、电子邮件地址、通信往来数据等;

ii) 与产品和服务营销有关的数据:诸如选择使用和停用新闻通讯、收到的文件、受邀参加活动和特殊活动、个人喜好和兴趣等信息; 

iii) 与沟通有关的数据:诸如首选沟通方式、与苏尔寿的通信往来和沟通(包括沟通记录)、关于其功能的信息、与之前这些个人接触的联系人有关的信息、关于营销活动的数据(如新闻通讯的接收)、关于业务交易的信息、申请、报价、标书、条款与合同、与个人的职业或其他兴趣有关的信息等;

目前和以前的客户、供应商以及各自的员工

i) 个人数据和联系信息:姓氏和名字、业务联系方式、地址、住所、电话号码、电子邮件地址、通信往来数据等;

ii) 与产品和服务营销有关的数据:诸如选择使用和停用新闻通讯、收到的文件、受邀参加活动和特殊活动、个人喜好和兴趣等信息;

iii) 与沟通有关的数据:诸如首选沟通方式、与苏尔寿的通信往来和沟通(包括沟通记录)、关于其功能的信息、与之前这些个人接触的联系人有关的信息、关于营销活动的数据(如新闻通讯的接收)、关于业务交易的信息、申请、报价、标书、条件与合同、与个人的职业或其他兴趣有关的信息等;

iv) 与订单和购买有关的数据:支付信息、信用卡详情及其他支付详情、账单和送货地址、订购和购买的产品与服务、与涉及产品和服务或已达成的相关合同的询问、投诉和争议(如保修索赔、合同解除和争议)有关的信息等;

经销商、代理商、其他中间商以及各自的员工

i) 个人数据和联系信息:姓氏和名字、业务联系方式、地址、住所、电话号码、电子邮件地址、通信往来数据等;

ii) 与产品和服务营销有关的数据:诸如选择使用和停用新闻通讯、收到的文件、受邀参加活动和特殊活动、个人喜好和兴趣等信息;

iii) 与沟通有关的数据:诸如首选沟通方式、与苏尔寿的通信往来和沟通(包括沟通记录)等;

iv) 与订单和购买有关的数据:支付信息、信用卡详情及其他支付详情、账单和送货地址、订购和购买的产品与服务、与涉及产品和服务或已达成的相关合同的询问、投诉和争议(如保修索赔、合同解除和争议)有关的信息等;

金融界人士(例如,股东投资人、经纪人、分析师)

i) 个人数据和联系信息:姓氏和名字、联系方式、雇主、关于共享拥有的详细信息、住所、电话号码、电子邮件地址、通信数据等;

新闻记者

i) 个人数据和联系信息:姓氏和名字、联系方式、地址、电话号码、电子邮件地址、通信往来数据等;

苏尔寿设施和场所的访客

i) 个人数据和联系信息:姓氏和名字、联系方式、地址、电话号码、电子邮件地址、雇主、访问目的等;

在苏尔寿登记的网站访客和用户

i) 个人数据和联系信息:姓氏和名字、业务联系方式、地址、住所、电话号码、电子邮件地址、雇主和工作职能、通信往来数据等;

ii) 关于网站使用的数据:IP 地址和其他识别信息(例如,社交媒体的用户名、智能手机或计算机的 MAC 地址、cookie)、访问网站的日期和时间、访问的网站和内容、引用网站等;

iii) 网站用户的数据,这些数据没有在苏尔寿登记,但可能构成个人数据,例如在社交媒体登记的数据,关于就网站使用从客户处收集的数据应相应地适用本政策规定,即使访客的身份通常不能为苏尔寿所确认。 

苏尔寿如何使用个人数据(处理目的)以及法律依据是什么?

根据适用法律,苏尔寿出于以下目的处理个人数据:

i) 就提供的服务,签署合同和采购、执行合同 (即采购合同以及关于参加客户计划和活动的合同)、维护和发展客户关系、沟通、客户服务及支持、推广、广告和营销(包括新闻通讯和邮寄推广材料); 

ii) 网站用户管理以及客户参与的其他活动、网站(包括提供需要识别特征或其他个人数据的功能)以及其他 IT 系统的运营与加强、身份验证;

iii) 保护客户、员工及其他个人,保护苏尔寿的和委托给苏尔寿的数据、秘密和资产,苏尔寿系统和场所的安全; 

iv) 遵守法律法规要求和苏尔寿的内部规章,执行和行使法定权利和主张,对法律主张、诉讼、申索提出抗辩,打击滥用行为,参与法律调查和程序,以及响应公共部门的问询; 

v) 业务部门、公司或公司部分的出售或收购,以及其他公司交易和有关客户数据的转移;

vi) 出于其他目的,只要法律义务要求进行处理且该处理根据相关情况是显而易见的或在收集时已指出;以及

vii) 按照第 II 节的规定或适用的数据保护法,依据单独的信息根据相关情况可以显而易见地看出的其他目的。

根据适用的数据保护法,苏尔寿还可能处理

viii) 有关网站访客的用于以下用途的数据,用于维护和发展网站(包括提供需要识别特征或其他个人数据的功能),对网站使用情况进行统计分析,以及用于打击滥用行为。数据也可能会出于法律调查或程序以及为响应公共部门的问询之目的进行处理;以及

ix) 关于业务联系人和潜在客户的数据,以便达成和履行合同及其他业务关系、推广、广告及营销、沟通、邀请参加活动和参与推广活动、组织共同活动的数据。为遵守法律、法规要求和苏尔寿的内部规章,执行和行使法定权利和主张,对法律主张、诉讼、申索提出抗辩,打击滥用行为,参与法律调查和程序以及响应公共部门的问询,为了出售或收购业务部门、公司或公司部分以及其他公司交易及数据的相关转移,也可能会处理数据。

所有处理目的应对整个苏尔寿适用,即不仅仅是对首次收集个人数据的公司适用。客户个人数据的收集用于所有苏尔寿公司的目的。 

苏尔寿基于以下合法依据处理个人数据,以实现处理目的:

i) 履行与客户达成的合同;

ii) 遵守苏尔寿的法律义务; 

iii) 取得客户的同意(只要处理是基于特定的问询且可以随时撤销,即接收客户已登记接收的新闻通讯);

iv) 苏尔寿的合法权益,尤其是:

 
  • 产品和服务的购买及交付,也涉及不属直接合同伙伴的个人(例如,接受礼物的个人); 
  • 开展广告和营销活动; 
  • 高效且有效的客户支持,维护合同关系,以及与合同处理以外的与客户的其他沟通; 
  • 了解客户行为、活动、关注点和需求,市场研究;  
  • 高效且有效地改进现有产品和服务,开发新产品和服务; 
  • 高效且有效地保护客户、员工及其他个人,以及保护苏尔寿的或委托给苏尔寿的数据、秘密和资产,苏尔寿系统和场所的安全; 
  • 维护并安全、高效且有效地组织经营活动,包括确保网站及其他 IT 系统的安全、高效和有效运行及进一步成功开发; 
  • 合理的企业治理和发展; 
  • 成功出售和收购业务单位、公司或公司部分,以及其他公司交易; 
  • 遵守法律法规要求和苏尔寿的内部规章;以及
  • 有关预防欺诈、违规和犯罪的关注,以及涉及此类违规和其他不当行为的调查,处理向苏尔寿提起的索赔和诉讼,在法律诉讼中合作和与公共部门合作,以起诉、采取法律行动和对法律行动提出抗辩。 
谁可以访问个人数据以及苏尔寿向哪里传输个人数据?

苏尔寿可能会将个人数据传输给以下接收人,接收人应根据处理目的,代表苏尔寿或出于自身目的处理数据: 

i) 在”有必要了解”的基础上,被授权处理员工相关个人数据的苏尔寿员工

ii) 包括数据处理者在内的服务提供方(苏尔寿内部或外部)

iii) 交易方、供应商及其他商业合作伙伴;

iv) 苏尔寿的客户; 

v) 地方、国家和外国政府机构; 

vi) 媒体; 

vii) 公众,包括苏尔寿网站和社交媒体的访客; 

viii) 行业组织、协会、机构及其他委员会; 

ix) 竞争对手; 

x) 业务部门、公司和苏尔寿其他部分的收购者和潜在收购者; 

xi) 可能的或实际的法律诉讼中的其他当事方

xii) 苏尔寿的其他公司 

苏尔寿可在其内部,也可向世界各地任何国家/地区的第三方披露个人数据,一般是向代表苏尔寿的公司、关联方或其他办事处和代表人所在的国家/地区披露,以及向苏尔寿的服务提供方处理其数据所在的国家/地区披露。作为基本原则,个人数据储存在欧盟和瑞士。如果数据是向不能保证提供充分保护的国家披露或储存在此类国家,苏尔寿将确保根据适用的数据隐私法,通过落实充分的合同保障,即以欧盟标准条款、有约束力的企业规则为基础,确保充分地保护数据,或者将数据传输建立在同意豁免、签署或履行合同、认定、执行或强制执行合法要求、公共利益优先的基础之上,或者它是为保护个人诚信而披露数据。客户可以从上述联系人获得一份合同副本形式的保证,或者被该联系人告知从何处获得该等副本。苏尔寿保留出于数据保护或保密目的而编辑该等副文本的权利。

苏尔寿将保存个人数据多长时间?

作为基本原则,苏尔寿可在与客户的合同关系存续期间以及合同关系终止后十年内保留个人数据。出于举证原因或其他正当原因,基于一事一议的原则可以适用更长时间的法定保存义务,或者要求提前删除数据(由于不再需要数据或苏尔寿被要求删除相应数据)。

对于含有个人数据的经营数据(如协议、日志),一般来说适用较短的 12 个月保留期。商业记录(包括通信记录)只要苏尔寿对其存在利益(出于为主张提供证据、为遵守特定法律或其他要求而进行的存档、对非个性化分析存在利益的原因)或有义务如此做(通过合同、法律或其他规定)便会进行保留。对于数据作匿名化或假名化,保留法律义务不适用的权利。

是否存在自动决策?

根据 GDPR 第 22 条的规定,苏尔寿一般不使用任何自动决策或用户画像解析。若苏尔寿作出此类自动化决定,受影响的个人将会根据适用法律随后被告知或另行事先被告知。

客户在他们的数据方面有哪些权利?

任何受影响的人,包括任何客户、访客和业务联系人,均可要求苏尔寿提供有关他们的数据是否被处理的信息。此外,他们还有权要求更正、销毁或限制有关于他们的个人数据,还有权拒绝对个人数据的处理。若个人数据的处理是基于同意,则受影响的人可随时撤消该同意。这种撤消并不具有追溯效力。苏尔寿保留将个人数据的处理建立在一个或多个不同法律依据之上的权利。在欧盟和欧洲经济区国家,受影响的个人在某些情况下可能有权以结构化的、通用且机器可读的格式(允许作进一步使用和传输,即数据的可移植性),获得使用在线服务时产生的数据。可根据第 2 章的规定向控制者提交申请。苏尔寿保留根据适用法律来限制受影响个人之权利的权利,例如不披露综合信息或不删除数据。

对个人数据的处理提出投诉的任何受影响人可以将问题交给苏尔寿全球数据保护官,或向主管的数据保护机构投诉,若是在瑞士的苏尔寿控制者,则向瑞士联邦数据保护和信息委员会 (http://www.edoeb.admin.ch) 投诉。

关于特定处理形式的额外信息

Sulzer.com 网站

Sulzer.com 网站的相关规定可以在苏尔寿网站的隐私和 cookie 政策以及使用条款中找到。

新闻通讯

苏尔寿可能向客户和商业伙伴发送新闻通讯或其他与其产品和服务有关的商业通讯。根据适用法律,苏尔寿保留在未事先获得现有客户和商业伙伴同意的情况下这样做的权利。相应的客户和商业伙伴有权通过其在相应网站上的帐户或通过每封邮件中指出的链接,随时拒绝向其进一步寄送新闻通讯或其他商业通讯。一个新闻通讯的终止可能不会导致终止其他新闻通讯。苏尔寿可能会在新闻通讯和其他营销电子邮件中嵌入编码,让它能确定收件人是否打开了电子邮件或下载了电子邮件包含的图片。收件人可在自己的电子邮件应用程序中阻止这种应用。

本隐私政策自 2018 年 5 月 24 日起生效。 苏尔寿有权随时修改本隐私政策,且无需事先通知或宣布。根据 Sulzer.com 的最新版本适用。若隐私政策构成与客户达成的协议的一部分,苏尔寿可通过电子邮件或以其他适当方式,将更新或修订告知客户。除非在收到通知后 30 天内提出异议,否则修订将视为已接受。若有异议,苏尔寿可以自由地以特殊方式终止协议,终止立即生效。