资料保护政策

政策自:2024年3月3日起实施

下次审查日期:2025年3月3日

导言

由 Evith Technology Ltd. 经营的 ID Analyzer 需要收集并使用某些个人信息。本政策规范在使用我们的服务 ID Analyzer 期间提交给我们公司的资料,有关网站和 Cookie 相关的隐私政策,请参考此页面

这可能包括客户、客户在使用我们服务时提交的第三方个人信息、商业联系、员工以及组织与之有关系或可能需要联系的其他人员。

本政策描述了必须如何收集、处理和存储个人资料,以符合公司的资料保护标准 —— 并遵守法律。

本政策的存在原因

ID Analyzer 是 Evith Technology 提供的一项服务,代表我们的客户处理高度敏感的个人资料,本资料保护政策确保 Evith Technology 公司:

  • 遵守资料保护法律并遵循良好实践
  • 保护员工、客户和合作伙伴的权利
  • 对于如何存储和处理个人资料保持开放
  • 保护自己免受资料泄露的风险

资料保护法

2016/679号一般资料保护条例描述了组织 —— 包括 Evith Technology —— 必须如何收集、处理和存储个人信息。

这些规则适用于无论资料是以电子方式、纸张或其他材料存储。

为了遵守法律,个人信息必须被公平且合法地收集和使用,安全地存储,并且不被非法披露。

一般资料保护条例由八个重要原则支撑。这些原则指出个人资料必须:

  1. 公平且合法地处理
  2. 仅为特定、合法目的获取
  3. 充足、相关且不过度
  4. 准确且保持最新
  5. 不得保留超过必要的时间
  6. 根据资料主体的权利进行处理
  7. 以适当方式受到保护
  8. 不得转移到欧盟以外,除非该国家或地区也确保了足够的保护水平

人员、风险与责任

政策范围

本政策适用于:

  • Evith Technology 的总部
  • Evith Technology 的所有分支机构
  • Evith Technology 的所有员工和志工
  • 代表 Evith Technology 工作的所有承包商、供应商和其他人员

它适用于公司持有的与在世个人相关的所有资料,即使该信息技术上不属于2016/679号一般资料保护条例。这可能包括:

  • 个人的姓名
  • 邮寄地址
  • 电子邮件地址
  • 电话号码
  • …以及任何直接或间接与个人相关的其他信息

资料保护风险

本政策有助于保护 Evith Technology 免受一些非常真实的资料安全风险,包括:

  • 保密性的破坏。例如,信息被不当地外泄。
  • 未能提供选择。例如,所有个人都应该自由选择公司如何使用与他们相关的资料。
  • 声誉损害。例如,如果黑客成功获取敏感资料,公司可能会受到损害。

责任

为 Evith Technology 工作或与 Evith Technology 合作的每个人都有一定的责任,确保资料被适当地收集、存储和处理。

处理个人资料的每个团队必须确保按照本政策和资料保护原则处理个人资料。

员工一般指南

  • 唯一能够访问本政策涵盖的数据的人应该是那些需要它来完成工作的人。
  • 数据不应非正式共享。当需要访问机密信息时,员工可以向他们的直线经理请求。
  • Evith Technology 将为所有员工提供培训,帮助他们了解处理数据时的责任。
  • 员工应通过采取合理的预防措施并遵循以下指南来保持所有数据的安全。
  • 特别是,必须使用强密码,且永远不应共享。
  • 个人数据不应向公司内部或外部未经授权的人员披露
  • 如果发现数据过时,应定期审查和更新数据。如果不再需要,应将其删除并处理。
  • 如果员工对数据保护的任何方面不确定,应向其直线经理或数据保护官寻求帮助
  • 员工不应携带任何能够保存任何个人数据的实体存储设备到工作场所。也不应该有任何员工使用互联网或其他通信方式与第三方共享任何个人数据。
  • 数据存储

    我们理解通过 ID Analyzer 委托敏感个人信息可能是您业务的一个主要隐私顾虑。然而,我们致力于通过我们高度安全的系统保护我们客户及其用户的隐私。

    客户对数据存储有完全的控制权。您可以选择在 API 交易期间禁用数据存储。在这种情况下,所有个人信息,包括上传的图像、请求参数和响应结果,将在您的请求完成后从我们的服务器上永久删除。

    当数据存储被禁用时,我们保留的唯一信息是我们 HTTP 日志中的匿名记录。该记录不包括个人详细信息,仅包括您服务器的 IP 地址、用户代理头和时间戳。

    这种控制和透明度水平使您可以放心使用 ID Analyzer,知道您的数据隐私是优先考虑的。

    如果启用了数据存储,提交到我们系统的证件将被存储在我们的安全数据库系统中,该系统仅通过您的网络门户或通过交易查询 API 为您提供。

    这些规则描述了数据应如何以及在哪里安全存储。

    • 数据应由强密码保护,这些密码应定期更改,并且员工之间永远不应共享。
    • 数据只能存储在指定的驱动器和服务器上,并且只能上传到获批准的云计算服务
    • 包含个人数据的服务器应位于安全位置,远离一般办公空间。
    • 数据应经常备份。这些备份应定期测试,符合公司的标准备份程序。
    • 数据绝不应直接保存到笔记本电脑或其他移动设备,如平板电脑或智能手机。
    • 所有包含数据的服务器和计算机应受到批准的安全软件和防火墙的保护
    • 所有存储数据的服务器应位于被欧洲委员会认为具有足够保护水平的国家

    数据保留

    除非另有说明,当客户选择在使用 ID Analyzer API 时启用数据存储,所有提交的个人信息都将安全存储并可检索至少 5 年。然而,在以下情况下,存储的个人信息可以全部或部分删除:

    • 根据客户的书面请求
    • 由客户通过 API 或网络门户发起
    • 客户账户超过 24 个月不活跃
    • 客户有未付的未付账单
    • 应要求从系统中擦除其信息的个人(擦除权)
    • ID Analyzer 停止运营的情况

    数据使用

    为了改进 ID Analyzer 服务并为我们的客户提供支持,我们公司需要在严格指导方针管理的环境下处理客户数据。我们了解当访问和使用个人数据时,可能会面临最大的丢失、损坏或盗窃风险:

    • 在处理个人数据时,员工应确保电脑屏幕在离开时始终被锁定
    • 个人数据不应非正式共享。特别是,绝不应通过电子邮件发送,因为这种通信方式不安全。
    • 数据在电子转移前必须加密。IT 经理可以解释如何将数据发送给授权的外部联系人。
    • 个人数据绝不应转移到公司本地局域网络之外,除非经过验证的客户要求。
    • 员工不应将个人数据的副本保存到自己的电脑上。始终访问和更新任何数据的中央副本。

    数据准确性

    法律要求 Evith Technology 采取合理步骤确保数据保持准确和最新。

    个人数据的准确性越重要,Evith Technology 应该投入更多努力来确保其准确性。

    所有处理数据的员工都有责任采取合理步骤确保数据尽可能保持准确和最新。

    • 数据将尽可能少的地方保存。员工不应创建任何不必要的额外数据集。
    • 员工应抓住一切机会确保数据更新。例如,通过在他们打电话时确认客户的详细信息。
    • Evith Technology 将使数据主体容易更新 Evith Technology 持有的有关他们的信息。例如,通过公司网站。
    • 在发现不准确性时应更新数据。例如,如果无法再通过其存储的电话号码联系到客户,应将其从数据库中删除。
    • 确保营销数据库每六个月与行业压制文件核对是营销经理的责任。

    国际数据传输

    ID Analyzer 运营两个 API 区域:美国 (US) 和位于法兰克福的欧盟 (EU)。为了确保遵守数据保护法规,我们坚持严格的数据居住政策。通过我们的 API 上传的所有个人信息将仅在提交的区域内存储和处理。这意味着不会在美国和欧盟区域之间进行个人数据的国际传输。这种方法保护了您的数据,并确保遵守欧洲经济区 (EEA) 用户的一般数据保护条例 (GDPR) 等法规。

    数据拥有者(客户)的权利和责任

    • 负责向 ID Analyzer 提供准确和合法的数据。
    • 有权访问、更正和删除 ID Analyzer 存储的其数据。
    • 应及时通知 ID Analyzer 任何数据的变更或更新。
    • 指定其对数据存储和处理的偏好。
    • 在整个处理过程中保留对数据及其使用的控制权。
    • 有权获得有关其数据处理方式的清晰信息,包括数据的用途、类别和接收者。

    数据处理者(ID Analyzer)的权利和责任

    • 代表数据拥有者以公平和合法的方式处理数据。
    • 实施安全措施以在处理过程中保护数据。
    • 为数据拥有者提供管理其数据所需的工具和流程。
    • 遵守数据拥有者关于数据处理的偏好和指示。
    • 保持数据处理活动和实施的安全措施的记录。
    • 在发生数据泄露或未经授权的访问时,及时通知数据拥有者。

    主体访问请求

    所有 Evith Technology 持有其个人数据的个体都有权:

    • 询问公司持有关于他们的哪些信息以及原因。
    • 询问如何获取该数据。
    • 被告知如何保持数据更新
    • 被告知公司如何履行其数据保护义务

    如果个人联系公司请求此信息,这称为主体访问请求。

    个人应通过电子邮件向数据控制者提出主体访问请求,发送至 ID Analyzer 联系信箱。数据控制者可以提供标准请求表格,尽管个人不必使用此表格。

    个人不能被收费以满足主体访问请求。数据控制者将致力于在 30 天内提供相关数据。

    数据控制者在提供任何信息之前,将始终验证发出主体访问请求者的身份。

    出于其他原因披露数据

    在某些情况下,一般数据保护条例允许在未经数据主体同意的情况下向执法机构披露个人数据。

    在这些情况下,Evith Technology 将披露所请求的数据。然而,数据控制者将确保请求是合法的,必要时寻求董事会和公司法律顾问的协助。

    提供信息

    Evith Technology 旨在确保个人知道他们的数据正在被处理,并且他们了解:

    • 数据如何被使用
    • 如何行使他们的权利

    为此,公司有一份隐私声明,阐明公司如何使用与个人相关的数据。