隐私策略

数据保护

在欧洲个人数据保护条例的适用范围内，PROTEOR 承诺：

1. 处理数据仅用于与数据处理相关的唯一用途。

2. 按照数据控制方记录的指令处理数据。

3. 在任何时候，保证所处理的个人数据的安全性。其中尤其涉及以下安全标准：机密性、完整性、可用性和持久性。

4. 确保经授权处理个人数据的人员：

o 维护数据安全，

o 接受个人数据保护方面的必要培训。

5. 在工具、产品、应用程序或服务方面重视通过设计保护数据的原则和默认的数据保护原则（原则：通过设计保护隐私、默认保护隐私）

6. 分包商：

PROTEOR 可以聘用其他处理方来执行特定的数据处理活动。在此情况下，其应事先以书面形式（如适用）告知数据控制方关于增添或更换其他分包商的任何预期变更。

处理方有义务代表控制方并按照控制方的指示履行本合同的义务。

7. 个人权利的行使

PROTEOR 承诺尊重受个人数据影响的个人所享有的权利，并履行其义务，遵照关于行使受影响个人之权利的要求：

此等权利包括知情权、访问权、更正权、删除权和反对权、限制处理权、数据可携权、不受自动化个体决策（包括档案分析）约束的权利。

所有的请求都将受到调查，且必须回复申请人。

8. 安全措施

GDPR 第 32 条规定，控制方和处理方负责落实安全措施。各方针对需要落实的措施所承担的责任如下。

PROTEOR 承诺谨遵使命，落实技术性和组织性措施，确保达到与风险相对应的安全级别

9. 处理结束时对数据的处置

在处理服务结束时，PROTEOR 承诺：

o 根据规定的义务，对数据进行归档

o 根据具体情况销毁数据

10. 数据保护官 (DPO)

PROTEOR 设有 DPO 职能部门。

所有关于个人数据保护的问题应 PROTEOR DPO 提出

DPO 联系方式：dpo@proteor.com

11. 处理活动类别登记：

PROTEOR 声明保留了代表数据控制方执行的所有类别处理活动的书面记录，记录中至少包含以下信息：

o 代其行事的控制方、任何分包商及数据保护官（如适用）的名称及联系方式；

o 代表控制方执行的处理活动类别

o 在适用情况下，将个人数据传输至第三国或国际组织

o 在可能的情况下，对技术性和组织性安全措施作一般性说明，其中应适当包含：

• 个人数据匿名化和加密处理；
• 确保处理系统和服务的持续保密性、完整性、可用性和恢复性的方法
• 发生物理或技术事件时及时恢复个人数据可用性和可访问性的方法
• 定期测试、分析和评估技术性和组织性措施的有效性以确保数据处理安全性的规程。