根據《歐盟一般資料保護規則》(GDPR)第 13 條的CRM系統隱私權保護政策
前言
以下資訊概述我們對您的個人資料的處理以及資料保護法賦予您的權利。
誰負責資料處理、我應該與誰聯絡?
根據資料保護法定義,始終由 DEKRA 集團公司對您的個人資料負責,該公司單獨或與他人共同決定處理個人資料之目的及方式。這通常指已經、正在、將要或應該為您或您的雇主提供服務的 DEKRA 集團公司。
而這方面的責任方是DEKRA集團在台灣之子公司:
德凱認證 股份有限公司
經濟部營業登記地址: 新北市林口區文林街75巷6號
經濟部營業登記統一編號: 54737604
您可以透過以下方式聯絡集團資料保護長
電子郵件: Philip.Lee@dekra.com
我們使用哪些來源和資料?
我們處理在業務關係過程中從客戶或其他資料主體收到的個人資料。在某些情況下,我們會處理您透過名片或其他媒介提供給我們的個人資料,以便建立聯繫。此外,我們還處理從公開來源(如貿易名錄、網站或招聘網站的聯絡方式)合法獲得、或由其他 DEKRA 集團公司或其他協力廠商合法傳輸給我們的個人資料。
相關的個人資料可能是:個人資料(如職稱、姓氏、名字)、業務聯絡方式(如電子郵件地址、通訊地址、電話號碼)、關於您的就業資訊(如雇主、部門/地區、公司職位)。此外,這還可能包括行銷和銷售資料(包括廣告評分)、文件資料(如備忘錄)以及與上述類別相當的其他資料。
我們處理您資料的目的是什麼(處理目的)以及法律依據是什麼?
我們依照《歐盟一般資料保護規則》(GDPR) 及中華民國台灣之《個人資料保護法》的規定以及所有其他適用法律處理您的個人資料。
此外,如果有一些此處未提及的情況,我們屆時也需要處理您的個人資料。在這些情況下,如果法律要求,您將收到對應事件相關的獨立資料保護資訊。
A. 納入客戶關係管理系統 (CRM)
我們處理您的個人資料是為了將其納入我們的客戶關係管理系統 (CRM)。
這主要指個人資料、業務地址資料、業務通訊資料以及有關您的雇傭關係和公司職位的資訊。
我們 CRM 中的資料收集和記錄首先是基於我們的合法利益而進行。在進一步的溝通和由此觸發的歡迎之旅中,您有機會向我們提供其他可選處理的同意聲明,這些處理也被儲存在我們的 CRM 工具。
我們在此的合法利益可以在準備或執行合約的背景下,作為客戶或某位客戶的聯絡人與您保持聯絡和溝通。這有助於順利提供服務和維護客戶關係。
法律依據
《歐盟一般資料保護規則》(GDPR)第 6 條第 1 款 b 項和 f 項
中華民國台灣《個人資料保護法》之第三章 非公務機關對個人資料之蒐集、處理及利用
B. 以電子郵件形式傳送通訊及/或直接行銷
我們處理您個人資料之目的是透偷過即時通訊為您提供與我們產品組合相關的服務和優惠的個別化資訊(您可以在偏好設定中選擇您感興趣的內容)及/或透過電子郵件進行直接行銷。
主要包括個人資料、您所選主題領域的資訊和業務通訊資料。
如果您已經同意我們進行資料處理,您可以隨時撤銷該同意聲明,並在未來生效。在撤銷的情況下,您將不再收到我們透過電子郵件提供的任何進一步行銷資訊。
法律依據
《歐盟一般資料保護規則》(GDPR)第 6 條第 1 款 a 項。
中華民國台灣《個人資料保護法》之 第 3 條
C. 分析使用者在接收通訊時的行為
為了進行市場研究(分析通訊接收者開啟及閱讀的行為),在徵得您的同意後,我們可以評估您在通訊中的互動,並將其分配給您個人。
主要是個人資料、您收到我們通訊時使用行為的資訊和業務通訊資料。
如果您已經同意我們進行資料處理,您可以隨時撤銷該同意聲明,並在未來生效。在撤銷的情況下,我們將不再記錄和評估您接收我們通訊時的使用行為。
法律依據
《歐盟一般資料保護規則》(GDPR)第 6 條第 1 款 a 項。
中華民國台灣《個人資料保護法》之 第 3 條
D. 客戶滿意度調查
為了改進我們的產品和服務,我們將在展開客戶滿意度調查的過程中,在徵得您的同意後處理您的個人資料作為客戶滿意度調查的一部分。參與調查屬自願性質。
主要包括個人資料、您在客戶滿意度調查中的回覆和業務通訊資料。
在進行個人化客戶滿意度調查時,所收集的資料將與您在客戶資料庫中的資料合併,以建立個人檔案。您可以隨時撤銷同意,停止將您的資料用於客戶滿意度調查及其推廣用途。
如果您已經同意我們進行資料處理,您可以隨時撤銷該同意聲明,並在未來生效。在撤銷的情況下,我們將不再向您傳送任何進一步的客戶滿意度調查請求。
法律依據
《歐盟一般資料保護規則》(GDPR)第 6 條第 1 款 a 項。
中華民國台灣《個人資料保護法》之 第 3 條
誰可獲得我的資料?
DEKRA 集團內部需要您的資料以履行合約和法律義務的部門可以獲得您的資料。除了由 DEKRA SE(斯圖加特)集中運營的資料中心外,DEKRA 集團還有許多本地或區域營運的資料中心,由各自負責的 DEKRA 集團公司處理您的資料。
如果我們使用的服務提供者和代理能夠遵守這個特殊的保密性和資料保護要求,他們也可能因上述目的收到資料。這些公司屬於 IT 服務、電信、諮詢以及銷售和行銷的類別。
關於向 DEKRA 集團以外的接收方傳輸資料,我們只在法律要求、客戶同意,或為準備、執行或終止與您的合約關係所必需的情況下,或 DEKRA 集團對此擁有合法利益時,才會轉發客戶的資訊。在這些條件下,個人資料的接收者如下:
- 有法律或官方義務(如法律通知義務)情況下的公共機關和機構(例如稅務機關、執法機構),
- 因法律或官方義務而進行風險管理的 DEKRA 集團其他公司,
- 我們在訂單處理關係中使用的服務提供者。
在我們的 CRM 處理資料主要是透過位於 Erika-Mann-Str. 31, 80636 慕尼克 (Salesforce) 的服務提供者 Salesforce Germany 有限公司進行。已與 Salesforce 公司簽訂一份訂單處理合約。在處理過程中,資料也可能被傳輸到美國的 Salesforce 伺服器。Salesforce 透過具約束力的公司規則(BCR,具約束力的內部資料保護規則),允許將個人資料從歐盟和歐洲經濟區傳輸到歐盟和歐洲經濟區以外的 Salesforce 地點。您可以在 https://compliance.salesforce.com/en/salesforce-bcrs 找到 Salesforce 具約束力的公司規則,或者透過向 info-de@salesforce.com 傳送非正式的電子郵件索取。有關 Salesforce 處理資料的更多資訊,請訪問: https://www.salesforce.com/de/company/privacy/full_privacy/
其他資料接收者可能是您已經同意我們向其傳輸資料的機構,或者是我們基於利益平衡的考量有權向其傳輸個人資料的機構。
是否會將資料傳輸給協力廠商國家或國際組織?
滿足下列條件時會將資料傳輸到歐盟以外(所謂的協力廠商國家)的機構:
- 在個別情況下,如果必要,您的個人資料可能被傳輸到美國或其他協力廠商國家的 IT 服務提供者,以確保 DEKRA 集團的 IT 營運符合歐洲的資料保護水準。
- 對 DEKRA 產品感興趣的人的個人資料也可以在其同意的情況下,在 CRM 系統在美國進行處理。在徵得當事人同意的情況下,或根據打擊洗錢、資助恐怖主義和其他犯罪行為的法律規定,以及在利益平衡的情況下,個人資料(例如合法性資料)在個別情況下將按照歐盟資料保護水準進行傳輸。
我的資料將被儲存多長時間?
我們僅在履行我們的合約和法律義務是必要情況下處理您的個人資料,或者我們能夠證明擁有處理資料的合法權益。如果您已經同意,我們會處理您的資料,直到您撤銷您的同意為止。
當黨我們無法再證明我們有權按照這些規定傳輸您的個人資料時,則定期刪除個人資料,除非出於以下目的需要在有限時間內為特定目的進行進一步處理:
- 履行商法和稅法規定的保存義務,這些義務可能來自:《德國商法》(HGB) 或《德國財政法》(AO) 及台灣《公司法》與《稅務法規》。此類法案規定儲存或記錄的期限一般為 6 年至 10 年。
- 在法定時效範圍內保存證據。根據《德國民法》(BGB) 第 195 條,這些時效期限最長可達 30 年,常規時效期限為 3 年(歐盟地區),或至少5年(台灣)。
我擁有哪些資料保護權利?
在滿足前提條件的情況下,您有權享有以下法定資料主體權利:
- 根據《歐盟一般資料保護規則》(GDPR)第 15 條獲得我們處理您的哪些資料資訊的權利,
- 根據《歐盟一般資料保護規則》(GDPR)第 16 條更正不正確資料的權利,
- 根據《歐盟一般資料保護規則》(GDPR)第 17 條刪除我們儲存的資料的權利,
- 根據《歐盟一般資料保護規則》(GDPR)第 18 條限制我們對儲存的資料進行處理的權利,
- 根據《歐盟一般資料保護規則》(GDPR)第 20 條的可傳輸資料的權利,
- 根據《歐盟一般資料保護規則》(GDPR)第 21 條提出異議的權利,
- 如果您已經同意我們進行資料處理,您可以隨時撤銷該同意聲明,並在未來生效,《歐盟一般資料保護規則》(GDPR)第 7 條第 3 款,
- 如果您認為處理您的個人資料違反《歐盟一般資料保護規則》(GDPR)的規定,您有權根據《歐盟一般資料保護規則》(GDPR)第 77 條向監管機構投訴。
我是否有提供資料的義務?
作為我們業務關係的一部分,您必須提供建立、履行和終止業務關係、履行相關合約義務所需、或我們有法律義務收集的個人資料。沒有這些資料,我們可能無法與您或您的雇主簽訂、履行和終止合約。
自動化決策或人物特徵分析的使用程度
原則上,我們不會根據《歐盟一般資料保護規則》(GDPR)第 22 條使用全自動化決策。如果我們在個別情況下使用這些程序,我們將在法律要求的範圍內,單獨通知您這一點以及您在這方面的權利。
我們會自動處理您的一部分資料,目的是評估某些特定的個人特徵(分析)。我們在以下情況下使用人物特徵分析,例如:
- 由於法律和監管要求,我們有義務打擊洗錢、恐怖主義資助和危害資產的犯罪行為。在這種情況下,我們也進行資料評估(特別是在支付交易中)。這些措施也有助於保護您。
- 我們使用評估工具為您提供針對性產品的資訊及建議。這些可以實現基於需求的溝通和行銷,包括市場調查和民意調查。
您基於《歐盟一般資料保護規則》(GDPR)第 21 條的提出異議權利,根據個體情況提出異議的權利
您有權基於您的特殊情況,隨時對根據 《歐盟一般資料保護規則》(GDPR)第 6 條第 1 款 e 項(基於公共利益進行資料處理)和《歐盟一般資料保護規則》(GDPR)第 6 條第 1 款 f 項(基於利益權衡進行資料處理)處理與您有關的個人資料的行為提出異議。對於基於上述規定、《歐盟一般資料保護規則》(GDPR)第 4 條第 4 款意義上的人物特徵分析,同樣適用此條款。如果您提出撤銷同意聲明,除非我們能證明是出於強制性的合法原因需要對您的個人資料進行處理,而且該原因的重要性高於您的利益、權利和自由,或者該處理是基於強制執行、履行或保護法定權利要求而進行,否則我們將不再對其進行處理。
反對出於直接行銷目的處理資料的權利
在個各別情況下,我們出於直接行銷目的處理您的個人資料。您有權隨時反對出於此類行銷目的處理與您相關的個人資料,除根據基本費率的傳輸費用外,不會產生任何費用;這也適用於此類直接行銷有關的人物特徵分析。如果您反對出於直接行銷目的進行處理,我們將不再為這些目的處理您的個人資料。
異議或撤銷的接收方
您可以任何形式向相關負責人或資料保護長提出異議或撤銷要求。為實現快速、順利的處理流程,請使用為此準備的線上表格。或者點擊您收到的資訊郵件末尾下方的連結。除了根據基本費率的傳輸費用,不會對您產生任何其他費用。
本資料保護聲明的版本和修訂情況
本資料保護聲明的最後修訂日期為 2022 年 10 月。
我們保留將來在適用的資料保護法架構內修訂本資料保護聲明的權利,並在必要時根據變更的實際資料處理情況進行調整。如果內容發生任何重大變化,我們將另行通知您。