GDPR 合规

本 GDPR 通知说明 RemotIQ Pty Ltd 在《通用数据保护条例》(欧盟法规 2016/679,GDPR)与《英国通用数据保护条例》(UK GDPR)适用情形下如何处理个人数据。本通知是我们《隐私政策》的补充。在 GDPR 或 UK GDPR 专门规范的事项上,如本通知与《隐私政策》存在冲突,对适用范围内的个人,以本通知为准。

适用对象

GDPR 适用于对欧洲经济区(EEA)内个人之个人数据的处理。UK GDPR 适用于对英国境内个人之个人数据的处理。我们在两者适用时均予遵守。本通知中对 GDPR 的引用,对英国境内个人而言,应理解为对 UK GDPR 的引用。

我们的角色:控制者与处理者

依据具体活动,我们承担两类不同的角色。作为控制者,我们就网站访客、潜在客户、客户、供应商、求职者及企业联系人决定处理目的与方式;详见《隐私政策》。作为处理者,我们在提供服务时代表客户处理个人数据——例如运营或维护包含客户终端用户数据的系统。在该情形下,客户为控制者,我们的处理依其文件化指示及双方签署的《数据处理协议》(DPA)进行。

个人数据类别

作为控制者,通常处理:身份与联系数据(姓名、电邮、电话、职位、雇主);商业数据(提案、发票、支付元数据);技术数据(IP 地址、设备标识符、严格必要时的浏览器指纹、与服务交互的日志);求职者数据(姓名、联系方式、CV 及您主动提供的其他信息)。作为处理者,数据类别由客户决定并体现在其 DPA 与指示中;我们不会自行额外采集。

合法性基础(作为控制者)

我们依据 GDPR 第 6 条的下列基础进行处理。合同履行——以提供服务、管理账户、出具发票及响应请求。正当利益——以与主动联系的潜在客户沟通、维护与改进服务、保留必要记录、安全管理及以适度方式经营业务。同意——用于非必要 Cookie、必要时的营销通讯及任何以同意为最适当基础的处理;同意可随时撤回。法律义务——以遵守适用法律,包括税务、会计、反洗钱及来自当局的合法请求。我们不进行 GDPR 第 22 条意义上的、产生法律或类似重大效果的自动化决策。

为客户进行处理(作为处理者)

作为处理者,我们遵守 GDPR 第 28 条。仅依控制者文件化指示处理个人数据,包括关于国际传输,法律另有要求的除外。确保有访问权限的人员承担保密义务。采取适当的技术与组织措施。仅经控制者授权方使用次级处理者并向其传导等同义务。在考量处理性质与可获信息的前提下,协助控制者履行对数据主体的义务及安全与违规通知义务。在合作终止时删除或返还个人数据,法律要求保留的除外。

次级处理者

我们使用经过审慎选择的次级处理者——例如基础设施、邮件与支付服务商。客户在 DPA 项下可获取最新清单。如有新增或更换,我们提前通知客户,并赋予控制者反对权。我们通过合同确保次级处理者承担与我们 DPA 等同的数据保护义务,特别是提供实施适当技术与组织措施的充分保证。

国际数据传输

我们总部位于澳大利亚,欧盟委员会尚未依 GDPR 第 45 条认定其具备充分保护水平。当我们将个人数据从 EEA 或英国传输至澳大利亚或其他第三国时,对来自 EEA 的传输依赖《标准合同条款》(欧盟执行决定 (EU) 2021/914),对来自英国的传输依赖英国信息专员办公室(ICO)发布的《国际数据传输附录》(UK Addendum)。我们进行传输影响评估并采取补充措施——传输与静态加密、访问控制、必要时的假名化——以保护数据。可向 privacy@remotiq.com.au 索取适用传输机制副本。

安全

我们采取适当的技术与组织措施,以防止个人数据遭受意外或非法的损毁、丢失、变更、未经授权披露或访问。包括:在传输(TLS)和受支持时的静态状态下进行加密;按最小权限原则的访问控制;管理账户启用多因素认证;安全的开发实践;客户环境之间的隔离;供应商风险管理;日志与监控;备份及经过验证的恢复流程;事件响应程序。我们定期评审上述措施,并依风险与业界最新水平进行更新。

个人数据违规通知

作为控制者,我们在知悉个人数据违规后无不当延迟,并尽可能不晚于 72 小时,通知主管监管机构,除非该违规不太可能对自然人的权利与自由造成风险。当违规可能造成高风险时,我们无不当延迟通知受影响个人。作为处理者,我们在知悉影响客户数据的违规后无不当延迟通知客户,并提供其履行自身义务所需信息。

您的权利

EEA 与英国境内的个人享有以下权利:知情权;访问权;更正权;在特定情形下的删除权(被遗忘权);处理限制权;对您所提供且基于同意或合同并自动化处理之数据的可携带权;对基于正当利益的处理(包括画像)及在任何时候对直接营销提出反对的权利;在不影响先前处理合法性的前提下随时撤回同意的权利;不受仅基于自动化处理且产生法律或类似重大效果之决策约束的权利。

如何行使您的权利

若我们是您数据的控制者,请发邮件至 privacy@remotiq.com.au。我们将在 30 天内回复;如请求复杂或量大,可再延长至多两个月并向您说明原因。除非请求明显无理或过度,我们不收取费用。为保护您的数据,我们可能需要核实您的身份。若我们仅作为处理者代客户保有您的数据,我们将无不当延迟地将您的请求转给该客户(控制者);您也可直接联系该客户。

未成年人

我们的服务面向组织及其专业人士。我们不会在未取得家长或监护人可核实同意的情况下,有意收集 16 岁以下儿童(或当地法定数字同意年龄)的个人数据。如您认为我们持有儿童的数据,请联系 privacy@remotiq.com.au,我们将予以删除。

保留

作为控制者,我们仅在收集目的所需期间内保留个人数据,包括法律、会计或报告要求。典型保留期限见《隐私政策》。作为处理者,我们在合作期间内保留客户数据,并依 DPA 在合作结束时删除或返还,法律要求保留的除外。

数据处理协议(DPA)

需签 DPA 的客户可向 privacy@remotiq.com.au 索取我们的标准 DPA。该 DPA 在适用时纳入欧盟《标准合同条款》及《英国国际数据传输附录》,并涵盖次级处理者治理、安全措施、违规通知与对数据主体权利的协助。在 GDPR 或 UK GDPR 适用并需为客户处理个人数据前,我们将先签署 DPA。

监管机构

您有权向监管机构提出投诉,尤其是在您惯常居住地、工作地或所主张违规发生地的成员国。在英国,监管机构为 Information Commissioner's Office(ICO)— ico.org.uk。欧盟监管机构名单由欧洲数据保护委员会发布于 edpb.europa.eu。但我们仍希望先有机会直接处理您的诉求——请联系 privacy@remotiq.com.au。

欧盟与英国代表

我们目前在欧盟与英国均无设立。当 GDPR 或 UK GDPR 第 27 条要求我们指定代表时,我们将指定并在本通知中更新其联系方式。在此之前,所有咨询请发往 privacy@remotiq.com.au。

本通知的变更

当我们的处理发生变化,或监管机构指南或判例使澄清成为必要时,我们会更新本通知。下方生效日期表示当前版本。重大变更将提前向受影响的个人与客户通报。

联系

隐私与 GDPR 咨询:privacy@remotiq.com.au。邮寄:RemotIQ Pty Ltd, #203 Hampton Rd, Northampton WA 6535, Australia。