本文件依据《通用数据保护条例》(General Data Protection Regulation,简称GDPR,欧盟条例2016/679)的要求编制, 旨在向欧洲经济区(EEA)及相关区域的数据主体说明北京市运骥峰哗信息科技有限公司(以下简称"我们") 在数据处理活动中履行的义务及您所享有的权利。
GDPR是欧盟于2018年5月25日正式实施的数据保护法规,旨在统一欧盟成员国的数据保护标准,强化个人数据主体的权利保障。该条例具有域外效力,凡向欧盟居民提供产品或服务、或监控其行为的组织,均受其约束。
即便本公司注册于中华人民共和国,如我们的服务涉及处理欧洲经济区居民的个人数据,我们承诺遵循GDPR的相关要求。
根据GDPR第6条,我们处理个人数据必须具有以下合法依据之一:
| 处理活动 | 法律依据 |
|---|---|
| 账户注册与身份验证 | 履行合同(第6(1)(b)条) |
| 业务申请处理 | 履行合同(第6(1)(b)条) |
| 发送服务通知 | 履行合同(第6(1)(b)条) |
| 营销邮件(如适用) | 用户同意(第6(1)(a)条) |
| 安全日志记录 | 合法利益(第6(1)(f)条) |
| 法律合规 | 法律义务(第6(1)(c)条) |
作为数据主体,您在GDPR框架下享有以下完整权利:
您有权在数据收集时获得有关处理目的、法律依据、保留期限及您的权利等信息,本文件即履行此告知义务。
您有权获取我们处理的关于您的个人数据副本,包括处理目的、数据类别、接收方等信息,我们将在30天内予以回应。
若您的个人数据不准确或不完整,您有权要求我们予以更正。
在以下情形下,您有权要求删除您的个人数据:
在特定情形下,您有权要求限制对您数据的处理活动,如您对数据准确性有异议期间。
对于基于同意或合同履行而处理的数据,您有权以结构化、通用且可机读的格式接收数据副本,并将其传输至其他数据控制者。
您有权基于您的特殊情况,随时反对我们基于合法利益对您数据的处理。
对于基于您同意而处理的数据,您可随时撤回同意,但撤回不影响撤回前已进行处理的合法性。
就GDPR而言,您个人数据的控制者为:
我们的服务器位于中华人民共和国境内。如涉及向欧盟/EEA以外的区域传输个人数据,我们将采取以下适当保障措施:
| 数据类型 | 保留期限 |
|---|---|
| 账户信息 | 账户有效期内,注销后最长保留3年 |
| 业务申请记录 | 最长保留5年(合规要求) |
| 访问日志 | 最长保留12个月 |
| 通讯记录 | 最长保留3年 |
在发生可能影响您权益的个人数据安全事件时,我们将:
根据对本公司业务规模及数据处理活动的评估,目前本公司尚未依法律要求强制指定数据保护官。如您有任何数据保护相关问题,请通过以下联系方式直接与我们沟通。
如果您认为我们处理您个人数据的方式违反了GDPR,您有权向您所在成员国的数据保护主管机构提出投诉。在中国境内,您可向网络安全主管部门反映相关问题。
如需行使您在GDPR下享有的任何权利,或对本文件有任何疑问,请联系: