隐私权政策

隐私权政策

我们非常高兴您对我们的企业表现出兴趣。对于欧洲3HO基金会的管理层来说，数据保护是一个特别重要的优先事项。使用欧洲3HO基金会的网页可以不显示任何个人数据；但是，如果一个数据主体想通过我们的网站使用特殊的企业服务，处理个人数据可能成为必要。如果个人数据的处理是必要的，并且没有法定依据，我们一般会征得数据主体的同意。

处理个人数据，如数据主体的姓名、地址、电子邮件地址或电话号码，应始终符合《通用数据保护条例》（GDPR），并符合适用于欧洲3HO基金会的特定国家数据保护法规。通过本数据保护声明，我们的企业希望告知广大公众我们收集、使用和处理的个人数据的性质、范围和目的。此外，通过本数据保护声明，数据主体被告知他们有权享有的权利。

作为控制者，欧洲3HO基金会已经采取了许多技术和组织措施，以确保通过本网站处理的个人数据得到最完整的保护。然而，基于互联网的数据传输原则上可能存在安全漏洞，因此可能无法保证绝对保护。出于这个原因，每个数据主体都可以通过其他方式，例如电话，自由地将个人数据传输给我们。

1.定义

欧洲3HO基金会的数据保护声明是基于欧洲立法者在通过《通用数据保护条例》（GDPR）时使用的术语。我们的数据保护声明对公众以及我们的客户和商业伙伴来说应该是清晰易懂的。为了确保这一点，我们想首先解释一下所使用的术语。

在本数据保护声明中，我们特别使用以下术语：

个人数据是指与已识别或可识别的自然人（"数据主体"）有关的任何信息。可识别的自然人是指可以直接或间接识别的人，特别是通过参考诸如姓名、识别号码、位置数据、在线标识符等标识符或与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。

a) 个人数据

数据主体是指任何已识别或可识别的自然人，其个人数据由负责处理的控制器处理。

b) 数据主体

处理是指对个人数据或个人数据集进行的任何操作或一组操作，无论是否通过自动化手段，如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供披露、调整或组合、限制、删除或销毁。

c) 处理

限制处理是对存储的个人数据进行标记，目的是限制其在未来的处理。

d) 对处理的限制

剖析是指对个人数据的任何形式的自动处理，包括使用个人数据来评估与自然人有关的某些个人方面，特别是分析或预测与该自然人的工作表现、经济状况、健康状况、个人喜好、兴趣、可靠性、行为、位置或行动有关的方面。

e) 剖析

假名化是指在处理个人数据时，如果不使用额外的信息，就不能再将个人数据归属于特定的数据主体，但这种额外的信息必须单独保存，并采取技术和组织措施，以确保个人数据不归属于已识别或可识别的自然人。

f) 假名化

控制者或负责处理的控制者是指单独或与他人共同决定处理个人数据的目的和方式的自然人或法人、公共当局、机构或其他机构；如果这种处理的目的和方式是由联盟或成员国的法律决定的，控制者或其提名的具体标准可由联盟或成员国法律规定。

g) 控制器或负责处理的控制器

处理器是代表控制者处理个人数据的自然人或法人、公共当局、机构或其他机构。

h) 处理器

收件人是指自然人或法人、公共机关、机构或其他机构，个人数据被披露给他们，无论是否为第三方。然而，根据欧盟或成员国法律，在特定调查框架内可能接收个人数据的公共机关不应视为接收者；这些公共机关对这些数据的处理应根据处理目的遵守适用的数据保护规则。

i) 收件人

第三方是指除数据主体、控制者、处理者以及在控制者或处理者的直接授权下被授权处理个人数据的自然人或法人、公共当局、机构或团体。

j) 第三方

数据主体的同意是任何自由给予的、具体的、知情的和不含糊的数据主体意愿的表示，他或她通过声明或明确的肯定行动，表示同意处理与他或她有关的个人数据。

k) 同意

2.控制器的名称和地址

就《一般数据保护条例》（GDPR）、欧盟成员国适用的其他数据保护法和其他与数据保护有关的规定而言，控制者是：

欧洲3HO基金会

Den Textstraat 46

1017 ZC 阿姆斯特丹

荷兰

电话：0044 7477 147 320

电子邮件：accounts@3ho-europe.org

网站： 3ho-europe.org

3.饼干

欧洲3HO基金会的互联网页面使用了cookies。Cookies是通过互联网浏览器存储在计算机系统中的文本文件。

许多互联网网站和服务器使用cookies。许多cookies包含一个所谓的cookie ID。一个cookie ID是cookie的唯一标识符。它由一个字符串组成，通过这个字符串，互联网网页和服务器可以被分配到存储有cookie的特定互联网浏览器上。这使得被访问的互联网网站和服务器能够将数据对象的个人浏览器与包含其他cookie的其他互联网浏览器区分开来。一个特定的互联网浏览器可以通过独特的cookie ID被识别和确认。

通过使用cookies，欧洲3HO基金会可以为本网站的用户提供更加人性化的服务，而这些服务在没有设置cookies的情况下是不可能实现的。

通过cookie，我们网站上的信息和报价可以根据用户的需要进行优化。如前所述，Cookies使我们能够识别我们的网站用户。这种识别的目的是为了使用户更容易利用我们的网站。使用cookies的网站用户，例如，在每次访问网站时不必输入访问数据，因为这由网站接管，因此cookie存储在用户的计算机系统中。另一个例子是网上商店里的购物车的cookie。网上商店通过cookie记住了顾客放在虚拟购物车中的物品。

数据主体可以在任何时候通过所使用的互联网浏览器的相应设置来阻止通过我们的网站设置cookies，从而可以永久拒绝设置cookies。此外，已经设置的cookies可以在任何时候通过互联网浏览器或其他软件程序删除。这在所有流行的互联网浏览器中都是可能的。如果数据主体在所使用的互联网浏览器中停用Cookies的设置，我们网站的所有功能可能无法完全使用。

4.收集一般数据和信息

当数据主体或自动系统调用网站时，欧洲3HO基金会的网站会收集一系列的一般数据和信息。这些一般数据和信息被储存在服务器日志文件中。收集的内容可能是：（1）使用的浏览器类型和版本；（2）访问系统使用的操作系统；（3）访问系统到达我们网站的网站（所谓的推荐人）；（4）子网站；（5）访问互联网网站的日期和时间；（6）互联网协议地址（IP地址）；（7）访问系统的互联网服务提供商；以及（8）任何其他类似的数据和信息，在我们的信息技术系统受到攻击时可能使用。

在使用这些一般数据和信息时，欧洲3HO基金会不会对数据主体作出任何结论。相反，这些信息是为了（1）正确提供我们网站的内容，（2）优化我们网站的内容以及广告，（3）确保我们的信息技术系统和网站技术的长期可行性，以及（4）在发生网络攻击的情况下向执法部门提供刑事诉讼所需的信息。因此，欧洲3HO基金会对匿名收集的数据和信息进行统计分析，目的是提高我们企业的数据保护和数据安全，并确保对我们处理的个人数据提供最佳保护。服务器日志文件的匿名数据将与数据主体提供的所有个人数据分开存储。

5.在我们的网站上注册

数据主体有可能在控制器的网站上注册，并显示个人数据。哪些个人数据会被传送到控制器，由注册时使用的各自输入掩码决定。数据主体输入的个人数据被收集和储存，仅供控制器内部使用，并用于其自身目的。控制者可以要求转移到一个或多个处理者（如包裹服务），这些处理者也将个人数据用于属于控制者的内部目的。

通过在控制器的网站上注册，由互联网服务提供商（ISP）分配并由数据主体使用的IP地址--注册日期和时间也被存储。储存这些数据的背景是，这是防止滥用我们的服务的唯一方法，如果有必要，可以对所犯的罪行进行调查。从这个意义上说，存储这些数据是为了保证控制器的安全。除非有法定义务传递数据，或者传递数据是为了达到刑事起诉的目的，否则不会将这些数据传递给第三方。

数据主体的注册，自愿表明个人数据，是为了使控制器能够向数据主体提供由于有关事项的性质而可能只提供给注册用户的内容或服务。注册者可随时更改注册时指定的个人数据，或从控制器的数据库存中完全删除这些数据。

数据控制者应在任何时候应要求向每个数据主体提供信息，说明储存了关于数据主体的哪些个人数据。此外，在没有法定存储义务的情况下，数据控制者应根据数据主体的要求或指示，纠正或删除个人数据。在这方面，控制人的所有员工都可以作为联系人向数据主体提供服务。

6.订阅我们的新闻简报

在欧洲3HO基金会的网站上，用户有机会订阅我们企业的通讯。用于此目的的输入掩码决定了哪些个人数据被传输，以及何时向控制器订购通讯。

欧洲3HO基金会定期通过简讯向其客户和商业伙伴通报企业的信息。只有在(1)数据主体拥有有效的电子邮件地址和(2)数据主体注册订阅通讯的情况下，数据主体才能收到该企业的通讯。出于法律原因，在双重选择程序中，将向数据主体首次注册的电子邮件地址发送确认电子邮件。该确认邮件用于证明作为数据主体的电子邮件地址的所有者是否被授权接收通讯。

在注册通讯时，我们也会存储由互联网服务提供商（ISP）分配的、数据主体在注册时使用的计算机系统的IP地址，以及注册的日期和时间。收集这些数据是必要的，以便日后了解数据主体的电子邮件地址（可能）被滥用的情况，因此它有助于实现对控制器的法律保护的目的。

作为通讯注册的一部分而收集的个人数据将只用于发送我们的通讯。此外，只要是为了通讯服务的运行或相关注册的需要，通讯订阅者可以通过电子邮件得到通知，因为这可能是对通讯服务进行修改的情况下，或技术情况发生变化的情况下。我们不会将通讯服务所收集的个人数据转移给第三方。数据主体可以在任何时候终止订阅我们的时事通讯。数据主体对储存个人数据的同意，即为寄送通讯的同意，可以随时撤销。为了撤销同意的目的，在每份通讯中都有相应的链接。也可以在任何时候直接在控制器的网站上取消订阅通讯，或以不同的方式向控制器传达。

7.通讯-追踪

欧洲3HO基金会的通讯包含所谓的跟踪像素。追踪像素是嵌入在此类电子邮件中的微型图形，以HTML格式发送，以实现日志文件的记录和分析。这允许对在线营销活动的成功或失败进行统计分析。根据嵌入的跟踪像素，欧洲3HO基金会可以看到数据主体是否和何时打开了电子邮件，以及数据主体调用了电子邮件中的哪些链接。

在通讯中包含的跟踪像素中收集的这些个人数据被控制器存储和分析，以优化通讯的运输，以及使未来的通讯内容更符合数据主体的兴趣。这些个人数据不会被传递给第三方。数据主体有权在任何时候撤销通过双重选择程序发出的各自的单独同意声明。撤销后，这些个人数据将被控制器删除。欧洲3HO基金会自动将撤回对通讯的接收视为一种撤销。

8.通过网站联系的可能性

欧洲3HO基金会的网站包含了能够快速与我们的企业进行电子联系，以及与我们直接沟通的信息，其中还包括所谓的电子邮件的一般地址（电子邮件地址）。如果数据主体通过电子邮件或联系表格与控制器联系，数据主体所传送的个人数据将被自动储存。数据主体在自愿的基础上传送给数据控制者的这些个人数据将被储存起来，用于处理或联系数据主体的目的。这些个人数据不会转移给第三方。

9.个人数据的常规删除和屏蔽

数据控制者应仅在实现存储目的所需的时间内处理和存储数据主体的个人数据，或在欧洲立法者或控制者所遵守的法律或法规的其他立法者授予的范围内。

如果存储目的不适用，或者欧洲立法者或其他主管立法者规定的存储期限已过，则根据法律规定，个人数据将被例行封锁或删除。

10.数据主体的权利

每个数据主体都有欧洲立法者授予的权利，从控制者那里获得有关他或她的个人数据是否被处理的确认。如果数据主体希望利用这一确认权，他或她可以在任何时候联系控制器的任何员工。

a) 确认权

每个数据主体都有欧洲立法者授予的权利，可以从控制者那里免费获得关于他或她在任何时候储存的个人数据的信息，以及这些信息的副本。此外，欧洲指令和法规授予数据主体获得以下信息的权利：

此外，数据主体应有权获得关于个人数据是否被转移到第三国或国际组织的信息。在这种情况下，数据主体应有权被告知与转移有关的适当保障措施。

如果数据主体希望利用这一访问权，他或她可以在任何时候与控制器的任何雇员联系。

处理的目的；

有关个人数据的类别；

已经或将要向其披露个人数据的接收者或接收类别，特别是第三国或国际组织的接收者；

在可能的情况下，设想的个人数据存储期限，或者，如果不可能，用于确定该期限的标准；

有权要求控制人纠正或删除个人数据，或限制处理有关数据主体的个人数据，或反对这种处理；

存在向监督机构提出申诉的权利；

如果个人数据不是从数据主体那里收集的，则应提供有关其来源的任何可用信息；

存在GDPR第22(1)和(4)条中提到的自动决策，包括剖析，至少在这些情况下，提供有关所涉及的逻辑的有意义的信息，以及这种处理对数据主体的重要性和设想的后果。

b) 获取权

每个数据主体应享有欧洲立法者授予的权利，即在不无故拖延的情况下从控制者那里获得关于他或她的不准确的个人数据的纠正。考虑到处理的目的，数据主体应有权要求完成不完整的个人数据，包括通过提供补充说明的方式。

如果数据主体希望行使这一纠正权，他或她可以在任何时候与控制器的任何雇员联系。

c) 纠正的权利

每个数据主体都有欧洲立法者授予的权利，可以从控制者那里获得关于他或她的个人数据的删除，而控制者有义务在下列理由之一的情况下，只要处理没有必要，就应不加拖延地删除个人数据：

如果上述原因之一适用，并且数据主体希望要求删除欧洲3HO基金会存储的个人数据，他或她可以在任何时候联系控制器的任何员工。欧洲3HO基金会的员工应迅速确保删除请求立即得到遵守。

如果控制人已经公开了个人数据，并且根据第17条第1款有义务删除个人数据，控制人在考虑到现有技术和实施成本的情况下，应采取合理的步骤，包括技术措施，通知其他处理个人数据的控制人，数据主体已经要求这些控制人删除与这些个人数据的任何链接、副本或复制，只要处理是不需要的。欧洲3HO基金会的员工将在个别情况下安排必要的措施。

个人数据就其收集或处理的目的而言已不再需要。

数据主体根据GDPR第6(1)条(a)点或GDPR第9(2)条(a)点撤回处理的同意，并且没有其他法律理由进行该处理。

数据主体根据GDPR第21(1)条反对处理，并且没有压倒性的合法理由，或者数据主体根据GDPR第21(2)条反对处理。

个人数据已被非法处理。

必须删除个人数据，以遵守控制人所遵守的欧盟或成员国法律中的法律义务。

个人数据的收集与GDPR第8（1）条所述的信息社会服务的提供有关。

d) 删除权(被遗忘权)

在下列情况下，每个数据主体都有欧洲立法者授予的权利，从控制者那里获得对处理的限制：

如果符合上述条件之一，并且数据主体希望要求限制对欧洲3HO基金会存储的个人数据的处理，他或她可以在任何时候联系控制器的任何员工。欧洲3HO基金会的员工将安排限制处理。

数据主体对个人数据的准确性提出异议，在一定时期内使控制者能够核实个人数据的准确性。

处理过程是非法的，并且数据主体反对删除个人数据，而是要求限制其使用。

控制者不再需要个人数据用于处理目的，但数据主体需要它们来建立、行使或捍卫法律要求。

数据主体根据GDPR第21(1)条反对处理，等待验证控制者的合法理由是否高于数据主体的理由。

e) 限制处理的权利

每个数据主体都有权获得欧洲立法者授予的权利，以结构化的、常用的和机器可读的格式接收提供给控制器的关于他或她的个人数据。只要根据GDPR第6(1)条(a)点或GDPR第9(2)条(a)点的规定，处理是基于同意，他或她应有权将这些数据传输给另一个控制器，而不受向其提供个人数据的控制器的阻挠、或根据GDPR第6(1)条(b)点的合同，并且该处理是通过自动化手段进行的，只要该处理不是为了执行为公共利益或行使赋予控制者的官方权力而必须进行的任务。

此外，在根据GDPR第20(1)条行使他或她的数据可移植性权利时，如果技术上可行，并且这样做不会对他人的权利和自由产生不利影响，数据主体应有权将个人数据从一个控制者直接传送到另一个控制者。

为了维护数据可移植性的权利，数据主体可以在任何时候联系欧洲3HO基金会的任何员工。

f) 数据可移植的权利

每个数据主体都有权在任何时候以与他或她的特殊情况有关的理由，反对基于GDPR第6（1）条（e）或（f）点的有关他或她的个人数据处理。这也适用于基于这些条款的分析。

在遭到反对的情况下，欧洲3HO基金会将不再处理个人数据，除非我们能够证明处理的正当理由高于数据主体的利益、权利和自由，或者为了建立、行使或捍卫法律主张。

如果欧洲3HO基金会为直接营销目的处理个人数据，数据主体有权在任何时候反对为此类营销处理有关他或她的个人数据。这也适用于与此类直接营销有关的特征分析。如果数据主体向欧洲3HO基金会反对出于直接营销目的的处理，欧洲3HO基金会将不再为这些目的处理个人数据。

此外，数据主体有权以与其特殊情况有关的理由，反对欧洲3HO基金会为科学或历史研究目的，或根据GDPR第89(1)条为统计目的而处理有关他或她的个人数据，除非该处理是为执行出于公共利益的任务所必需。

为了行使反对权，数据主体可以联系欧洲3HO基金会的任何员工。此外，在使用信息社会服务的情况下，尽管有第2002/58/EC号指令的规定，数据主体可以自由地使用他或她的权利，通过使用技术规范的自动化手段来反对。

g) 反对的权利

每个数据主体都有权不接受完全基于自动处理的决定，包括特征分析，该决定对他或她产生法律效力，或类似地对他或她产生重大影响，只要该决定(1)不是订立或履行数据主体之间的合同所必需的、数据主体与数据控制者之间的合同，或(2)没有得到控制者所遵守的欧盟或成员国法律的授权，并且还规定了适当的措施来保障数据主体的权利和自由以及合法利益，或(3)不是基于数据主体的明确同意。

如果该决定(1)是为了订立或履行数据主体与数据控制者之间的合同所必需的，或(2)是基于数据主体的明确同意，欧洲3HO基金会应采取适当的措施来保障数据主体的权利和自由以及合法利益，至少有权获得控制者方面的人工干预，表达他或她的观点并对该决定提出异议。

如果数据主体希望行使有关自动化个人决策的权利，他或她可以在任何时候联系欧洲3HO基金会的任何员工。

h) 自动的个人决策，包括特征分析

每个数据主体都有欧洲立法者授予的权利，可以在任何时候撤销他或她对其个人数据处理的同意。

如果数据主体希望行使撤销同意的权利，他或她可以在任何时候联系欧洲3HO基金会的任何员工。

i) 撤销数据保护同意的权利

11.申请和申请程序的数据保护

数据控制者应收集和处理申请人的个人数据，用于处理申请程序的目的。该处理也可以通过电子方式进行。特别是，如果申请人通过电子邮件或网站上的网络表格向控制人提交相应的申请文件，就属于这种情况。如果数据控制者与申请人签订了雇佣合同，所提交的数据将被储存起来，用于处理符合法律要求的雇佣关系。如果控制器没有与申请人签订就业合同，在通知拒绝决定两个月后，申请文件将被自动删除，前提是控制器的其他合法利益不反对删除。这方面的其他合法利益是，例如，根据《一般平等待遇法》（AGG）的程序中的举证责任。

12.处理的法律依据

艺术。6(1) lit. a GDPR作为处理业务的法律依据，我们为特定的处理目的获得同意。如果个人数据的处理对于履行数据主体为一方的合同是必要的，例如，当处理操作对于供应货物或提供任何其他服务是必要的，则处理是基于GDPR第6(1)条b项。这同样适用于为执行合同前措施而必须进行的处理操作，例如，在有关我们的产品或服务的查询中。如果我们的公司受到法律义务的约束，需要对个人数据进行处理，例如为了履行税收义务，处理过程是基于GDPR第6（1）条。6(1) lit. c GDPR。在极少数情况下，个人数据的处理可能是必要的，以保护数据主体或其他自然人的重要利益。例如，如果游客在我们公司受伤，他的姓名、年龄、健康保险数据或其他重要信息必须被传递给医生、医院或其他第三方，就会出现这种情况。那么，处理将基于第6(1)条。6(1) lit. d GDPR。最后，处理操作可以基于GDPR第6(1)条f项。该法律依据用于不属于上述任何法律依据的处理操作，如果处理是我们公司或第三方追求的合法利益所必需的，除非这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒。这种处理操作是特别允许的，因为欧洲立法者已经特别提到了。他认为，如果数据主体是控制者的客户，就可以假定有合法的利益（Recital 47 Sentence 2 GDPR）。

13.控制者或第三方所追求的合法利益

如果个人数据的处理是基于GDPR第6(1)条f款，我们的合法利益是为了有利于我们所有员工和股东的福祉而开展业务。

14.个人资料的保存期限

用来确定个人数据存储期限的标准是各自的法定保留期。该期限届满后，只要不再需要履行合同或启动合同，相应的数据将被例行删除。

15.作为法定或合同要求提供个人数据；签订合同的必要要求；数据主体提供个人数据的义务；未能提供此类数据的可能后果

我们澄清，提供个人数据部分是法律要求的（如税收规定），也可能是合同规定的结果（如关于合同伙伴的信息）。有时，为了缔结合同，数据主体可能需要向我们提供个人数据，这些数据随后必须由我们处理。例如，当我们公司与之签订合同时，数据主体有义务向我们提供个人数据。不提供个人数据的后果是，与数据主体的合同无法签订。在数据主体提供个人数据之前，数据主体必须联系任何员工。该员工向数据主体澄清，提供个人数据是否是法律或合同所要求的，或者是缔结合同所必需的，是否有义务提供个人数据以及不提供个人数据的后果。

16.自动决策的存在

作为一家负责任的公司，我们不使用自动决策或剖析。

本隐私政策由德国数据保护协会的隐私政策生成器生成，该生成器是与科隆WILDE BEUGER SOLMECKE的隐私律师合作开发的。