隐私政策

                                                                                                                    目录 

1. 通用规定
2. 信息主体和适用范围
3. 处理的个人信息的类型和来源
4. 个人信息处理的法律依据和用途。信息保留期限
5. 处理负责人和处理人
6. (网站导航)隐蔽个人数据的处理
7. 个人数据处理和传输的方法及位置
8. 信息主体的权利

1. 通用规定

1.1 简介。本网站(网址:www.nordenmachinery.com,“网站”)指由本网页所列所有公司(“Coesia实体”)组成的国际工业集团Coesia S.p.A. (“Coesia”)的旗下公司(“Norden”)之一。本隐私政策说明了如何根据关于个人数据保护的国家现行法律(“国家数据保护法”)和《欧盟一般数据保护条例》2016/679中关于个人数据的处理、此类数据的自由流动以及废止95/46/EC指令(“GDPR”)的规定,对第2.1条所述数据主体的信息和数据(“个人数据”)进行处理。

1.2 控制者和联合控制者。 按照国家数据保护法和GDPR定义,公司作为控制者(或联合控制者,具体视情况而定)处理个人数据。公司身份与联系方式详情参见网站页脚。尤其是根据本隐私政策第4.1条及Coesia与相关Coesia实体之间签署的联合控制协议的规定,对于作为客户/潜在客户与公司建立了商业/合同/合同前关系的任何个人/实体/自然人或客户法律实体代表,由公司和Coesia联合处理其个人数据。

1.3 修订。若国家和欧盟关于个人数据保护的法律和法规有任何新条款或条款修订情况,控制者保留修订和更新本《隐私政策》的权利。《隐私政策》发布在网站上,并标有发布月份。除非另有规定,新版《隐私政策》应在官网发布以替代旧版, 并自公布之日起生效和执行。

1.4 适用规则。控制者遵照下列规则处理个人数据:(i) 在隐私政策发布日生效的国家数据保护法规定;(ii) GDPR条款,尤其是其中所规定的原则,如合法性、公平性、透明性、目的限制、数据完整性和数据最小化、责任和准确性,以及在任何处理活动之前的设计隐私和默认隐私原则;(iii) 主管监督机构(“监督机构”)发布的规则和决定。

2. 信息主体和适用范围

2.1 数据主体。 公司的数据处理活动涉及:(i) 任何访问网站的个人(“访客”);及 (ii) 在注册/参与公司活动和/或订阅信息、信息材料、新闻简报和其他通讯时与公司建立关系的任何个人/实体/自然人或客户法律实体代表,以及作为客户/潜在客户与公司建立商业/合同/合同前关系的任何个人/实体/自然人或客户法律实体代表(统称为“用户”)。就本隐私政策而言,依据国家数据保护法和GDPR的规定,访客和/或用户将被视为数据主体。

2.2 适用范围。 本隐私政策适用于访客和/或用户,但公司作为控制者/联合控制者,仅对自己能力、职责和责任下的个人数据处理负责。对于可通过公司网站转到的第三方网站,本隐私政策不对此类第三方的任何处理活动具有效力或可执行性。

3. 处理的个人信息的类型和来源

3.1 数据来源。 公司拥有: 

a.作为控制者/联合控制者收到的、用户提供的用户个人数据(见下方所述); 

b. 作为控制者收到的访客个人数据(见下方所述),以及网站遵照所发布 Cookie 政策条款、使用 Cookie 在网站上收集到的任何相关数据。 

3.2 识别数据。 公司拥有包含常用个人数据的访客和用户个人数据;(现行国家数据保护法中定义的)敏感和/或司法数据、和/或特殊类别的个人数据,以及GDPR中规定的健康相关个人数据明确排除在本隐私政策范围内的公司处理活动之外(所有此类个人数据以下统称为“特殊数据”)。访客和用户数据中所包含的个人数据可能有:

a. 导航数据。如 IP 地址、连接到网站用户所用电脑的域名、请求资源的 URI(统一资源标识符)地址、请求时间、服务器查询方法、回复文件大小、服务器状态代码("good" - 良好、"error" - 错误等)、与访客的操作系统和信息环境有关的其他参数;但这些数据仅用于提取关于网站及网站供能情况的匿名统计信息,在相关处理活动结束时,这些数据会被立刻取消。 

b. 用户自愿或在合同/合同前步骤中提供的个人数据,如姓、名(包括用户供职所在公司/实体的法定代表人姓名)、担任的专业职务、税务和VAT(增值税)号码、位置/户籍(亦为税务目的)、联系方式详情(包括移动电话号码、传真号码和/或其他识别号码)、邮政地址和电子邮件地址(包括用户雇员/合作方的商务电邮地址;在适用时也包括认证电邮地址)、邮政编码、银行账户详情和/或支付相关数据等。

3.3 洞察数据。对于被认定为代表高潜力成交客户开展行为的特定数据主体,本公司将对其个人数据进行专项处理。该处理包括分析数据主体与公司为营销沟通目的发送的材料的互动行为(例如:是否打开通讯、阅读新闻通讯的时间、下载附件文件和/或点击链接),此类数据称为“洞察数据”。这种对用户行为进行评估的处理符合GDPR第4(4)条中所述“特征分析”定义。

3.3 特殊数据。 可通过网站开展的活动不需要任何特殊数据,数据主体无需提供和/或以任何方式向公司披露任何特殊数据。除非有明确书面同意,否则控制者应取消和/或移除或以任何方式匿名化处理数据主体意外提供的特殊数据。

4. 个人信息处理的法律依据和用途。信息保留期限

4.1 法律依据。 公司处理个人数据的法律依据是:(i) 履行与数据主体签署的合同,或在为第4.2条 C)项下所述目的签署合同之前,应数据主体要求采取的步骤;(ii) 数据主体的同意;(iii) 公司和Coesia的合法利益,尤其是为防止欺诈或为在法庭上行使权力或进行辩护而必须处理个人数据时。即使数据处理活动是为了所谓的“软垃圾邮件”目的,公司和Coesia的合法利益也构成适用的法律依据;(iv) 遵守数据控制者承担的法律义务。

4.2 用途。 控制者/联合控制者按照以下用途(详见下方表格)处理个人数据。表格中还进一步重点说明了(a) 个人数据处理是否需要明确同意,及 (b) 数据留存期: 

 

用途

同意

信息保留

  1.  

使公司和/或Coesia完成法律规定的所有手续,其中包括行政和税务/财政类手续

不需要

在适用法指定的数据保留期限内保留

  1.  

分析访客和/或用户的导航和/或网站使用方式,从而改进网站

不需要

不适用(聚合或匿名数据)

  1.  

为参与Coesia/公司组织的活动而登记的身份和联系数据,及/或发送通信和回复关于Coesia/公司活动和/或与用户之间的合同或合同前关系的问询 

不需要

回复所需期限以及合同关系的整个存续期

  1.  

发送与网站功能、公司和Coesia集团活动相关的一般信息和广告性质简报,及/或为直接营销通信目的发送的其他材料。

(i)需要:新闻简报,为广告或直接电子营销通讯目的而发送的其他材料(即通过电子通讯渠道发送的营销通讯,如电子邮件、传真、SMS和MMS类信息)、发送给访客的问卷和调查。

(ii)不需要:根据适用法律,向用户发送的与收件人已经提供或购买的产品/服务相关的邮寄和/或电子邮件营销通信(所谓的软垃圾邮件),特别是代表客户(潜在客户/客户)进行操作的用户。该处理的依据是公司和Coesia向其客户/潜在客户进行营销活动的合法权益。

直到同意撤销或收到拒绝通知

  1.  

向Coesia以外的其他Coesia实体传递和共享个人数据,以便接收上述营销和商业信息、新闻通讯和/或材料(C项和D(ii)项下所述),以及使接收者能够在G项规定的相同条件下处理洞察数据。

需要

截至许可撤销

  1.  

为统计数据分析目的处理个人数据

不需要

不适用(聚合或匿名数据)

  1.  

处理洞察数据以评估和分析用户行为,用于制定营销策略

需要

 

直至收到拒绝通知

  1.  

在法庭上行使法律权利或进行辩护

不需要

直到解决争议

  1.  

履行法律义务

不需要

根据适用的法律条款

 4.3个人数据的自愿提供。除上文另有约定外,个人数据的提供完全出于自愿,且无需支付任何费用。但如数据主体未提供相关个人数据,可能无法获取其请求的信息推送、回复及/或参与相关活动。

4.4同意声明和撤销。针对上表中D(i)、E和G项所述目的,数据主体可通过电子邮件和电话等任何方式和形式告知本公司和/或Coesia关联实体撤销同意;但针对D(i)项所述目的,为了促进所有与所述请求相关的手续的完成,包括从通信列表中删除或移除电子邮件地址,数据主体宜按照本公司和/或任何Coesia关联实体发送的各简报/通信中所述指导撤销同意。若数据主体撤销上表D、E和G项中所述用途相关的同意,相关Coesia关联实体的处理活动则将中止。

4.5 反对权。 。针对上文表格中D(ii)项及G项所述的处理目的,用户可随时对该等数据处理行为提出反对,要求停止为此类目的处理其个人数据。数据主体如需提出反对,应按照本公司发送的每一份通讯中的指引操作。

5. 处理负责人和处理人

5.1数据处理控制者和负责人。根据国家数据保护法和GDPR第29条签署的授权书之规定,本公司和/或Coesia之董事、员工和独立合作人(独立于相关的合同关系)可以数据处理负责人的身份处理个人数据。数据处理负责人受过相关培训并获得授权,可根据隐私政策规定和所履行的工作及职责需要,对个人数据进行访问。

5.2共同控制者和处理者。控制者可指派内部和外部实体/个人为处理者,包括但不限于(法务和税务)顾问及第三方公司(尤其是CRM供应商、互联网服务提供商及其他IT服务提供商,以及使用云平台)。数据主体可向控制者发送电子邮件(控制者电子邮件地址参见隐私政策第8.1条),索取所有处理者的完整名单。 对于上表D(ii)、E和G项所述目的,根据GDPR第26条规定,Coesia、本公司和/或与其交流及分享用户个人数据的相关Coesia关联实体为共同处理者,并已就此签署一份具体的共同控制协议。 

5.3 限制。数据处理负责人及受聘的处理者,均应接受相应培训并获正式授权,可在其被指派的具体工作职责和任务范围内,依照本隐私政策访问和使用个人数据。 

6. (网站导航)隐蔽个人数据的处理

6.1浏览数据。控制者将依据Cookie政策,处理在用户浏览本网站过程中收集的匿名个人数据。 

6.2 链接。本网站可能包含指向不受本公司管理、与本公司无任何关联的其他网站的超文本链接。控制者没有此类网站的访问权限或控制权。对于数据主体可能从本公司网站访问的此类第三方网站,控制者要求数据主体查阅此类网站的隐私政策,了解其个人数据收集和处理办法。

7. 个人数据处理和传输的方法及位置

7.1处理方法。数据主体的个人数据几乎完全通过自动程序、使用计算机系统和软件处理,少数情况下会通过手动方式(例如纸质)处理,但任何情况下,此类数据均需采用符合GDPR和国家数据保护法规定的方法收集,以确保数据安全。

7.2自动数据处理地点。个人数据处理在控制者和/或处理者和/或共同控制者(如有指派)的办公总部进行。个人数据保存在控制者/共同控制者办公总部的实体服务器中,部分情况下保存在为个人数据存储提供云服务的第三方服务器。

7.3个人数据的传输。为组织管理及/或商业经营目的,个人数据可传输至Coesia旗下其他公司,无论该等公司位于欧盟境内或欧盟以外的第三国。若传输至欧盟以外第三国,控制者/共同控制者需先评估该等传输行为是否完全符合GDPR的规定,尤其是该条例第44条及第45条的要求。例如,针对为实现本政策D(ii)、E和G项所述目的,共同使用客户关系管理系统而产生的个人数据传输,Coesia各关联实体已签署专门的标准合同条款。

7.4人工数据处理地点。若个人数据通过线下方式收集(如纸质文件),载有该等数据的全部文件均存储在控制者/共同控制者,或被指定的数据处理者及服务提供商的总部 ,并归入相应档案库管理。 

7.5个人数据的传播。个人数据不会被传播。个人数据可传送给外部处理者和/或服务提供商(如CRM、云服务提供商),或在符合上述第4.2、5.2和7.3条规定的情况下,传送给Coesia关联实体。

8. 信息主体的权利

8.1数据主体的权利。数据主体可直接向数据控制者/共同控制者,或其指定的处理者提出请求,以行使其依据国家数据保护法律及GDPR第15条及其后续条款的规定所享有的各项权利;具体包括访问其个人数据、要求更新和更正、删除其个人数据、限制个人数据处理、基于合法理由反对个人数据处理(本隐私政策约定的相关效力适用),以及获取个人数据可携权。数据主体可通过向邮箱privacy@coesia.com 发送邮件主张上述权利;针对通讯推送、直邮营销及画像分析相关行为,亦可通过点击“取消订阅” 按钮,或按照本网站发布的指引、本公司和/或Coesia其他关联实体通知的指引操作。  

8.2投诉权。 尽管有上文约定,依据GDPR第13条及第15条的规定,数据主体为主张上述权利,可向主管监管机构提出投诉。 

版本:2025年6月