客户告知书

奥特斯集团客户数据保护信息

尊敬的客户:

于2018年5月25日生效的欧盟第2016/679号条例《通用数据保护条例(欧盟GDPR)以及各种适用的国家法律为个人在个人数据方面提供越来越多的保障,并规定企业有义务保护其收集或处理的条例第4(1)条中定义的个人数据(“个人数据”)。

在我们的业务关系过程中,我们需要收集和处理某些个人数据,例如,我们客户员工的联系方式,以便履行和管理我们双方共同的合同义务。本数据保护信息(“信息”)旨在告知我们的客户及其员工有关我们收集的数据类型以及处理这些数据的目的。本信息适用于奥特斯集团在世界各地的分支机构。如果当地法律有要求,我们可能会提供仅在特定国家有效的其他数据保护信息。在这种情况下,本信息将作为补充,并以当地法律为准。

处理的个人数据的控制者:

奥地利科技与系统技术股份公司或其附属公司(见附录A),统称为“奥特斯”或“奥特斯集团”。

数据保护事宜联系人:

奥特斯合规办公室
电子邮箱:privacy@ats.net

I. 处理的个人数据类型

我们将出于双方业务关系的需要处理以下类型的个人数据:

a. 姓名详情(特别是职务、名字和姓氏、性别/称呼);
b. 联系方式(特别是办公地址、邮箱地址、电话号码);
c. 组织数据(主要包括职位/职能、部门);
d. 身份识别/验证数据(特别是用户ID、密码、出生日期、身份证号码)。

奥特斯不处理敏感的个人数据,除非根据强制性法律要求,或出于令人信服的理由以确保数据主体、奥特斯人员和场所的人身安全和安保,或出于公共利益所必需。

II. 数据处理的目的和法律依据

奥特斯承诺遵守欧盟GDPR第6条的数据处理原则。处理个人数据基于欧盟GDPR第6条规定的以下合法目的:

  1. 履行供货协议项下的合同义务
    a. 通过奥特斯供应商网络下单和处理订单;
    b. 向指定(联系人)人员发送或从指定(联系人)人员处接收产品或服务;
    c. 记账、开票和发票控制;
    d. 通过电子邮件和其他电子门户或第三方平台进行日常业务沟通;
  1. 按规定履行法律和监管义务
    a. 有关我们业务交易的税务申报;
    b. 管理报关和出口管制;
    c. 与我们的业务关系有关的当局和法院的其他程序;
  1. S维护我们的合法利益
    1. 管理电子商务平台及相关系统和网络,包括安全和性能监测;
    2. 在访问我们的场所时,保护我们的财产、业务运营和员工;
    3. 为我们的业务交易购买和管理保险;
    4. 处理损害索赔;
  1. 在征得同意的情况下,例如,为了举办文化和社会活动。

我们不会出于其他目的处理或传输个人数据。我们不会向第三方出售或滥用个人数据。如果我们打算出于收集数据的目的以外的目的进一步处理个人数据,我们将相应地通知您。

III. 第三方接收者

根据适用的法律或合同协议,您的个人数据可能会被传输给以下第三方接收者:

a. 货运和报关代理;
b. 承运人、驳船和其他运输公司;
c. 仓储公司;
d. 银行和保险公司;
e. 税务顾问和公共会计师;
f. 法律顾问;
g. 其他顾问;
h. IT服务提供商;
i. 海关、税务及其他监管部门和法院。

我们专门聘用IT服务提供商(“数据处理者”),与他们签订合同协议,确保其遵守适用的数据保护法律。我们的数据处理者尤其有义务(i)维护数据的机密性,(ii)采取充分和适当的技术和组织措施,以及(iii)仅在与不时提供的服务相关的必要范围内处理数据。

IV. 将个人数据传输到第三国

在履行合同义务的必要范围内,奥特斯可能会向其欧盟和非欧盟附属公司(见附录A)以及聘用的数据处理者披露或传输个人数据。该等披露或传输在“需要知道”的基础上进行,并且仅向负责履行与我们业务关系相关职责的人员进行披露或传输。数据保护法标准所要求的个人数据保护水平通过公司间标准合同条款得到保证。此外,奥特斯已采取必要措施,以合同形式要求其人员遵守一般保密义务,包括禁止向未经授权的内部人员和第三方披露个人数据。

V. 存储期限

上述类别的个人数据将在合同关系存续期间和适用法律规定的法定期间内存储。如果处理所收集的个人数据是为了会计、成本控制或税务目的所必需的,其存储期限将根据强制性法律要求确定。

在客户访问奥特斯的场所时或在奥特斯主办的其他活动中收集的个人数据将被存储6个月,除非奥特斯的书面指示中另有说明,或除非受影响的人员另有明确同意。

尽管有上述规定,但欧盟GDPR第17条第3款中规定的对数据主体数据擦除权的限制应分别适用。

VI. 受影响主体的权利

如果奥特斯是所收集个人数据的控制者,奥特斯根据欧盟GDPR第2节保证数据主体有权访问、更正、删除和反对处理或存储其个人数据,但基于不合理的时间间隔或其数量、重复性或系统性属于明显滥用的请求,或根据适用法律无需授予访问权限的请求除外。此外,如果这样做可能严重损害奥特斯或与奥特斯有往来的其他组织的利益,并且数据主体的基本权利和自由的利益并不凌驾于这些利益之上,也可能不授予访问权限。如果通过合理努力无法确定个人数据的来源,或者个人以外的其他人的权利可能受到侵犯,则不会确定个人数据的来源。在收到更正或删除请求时,如果有令人信服的理由怀疑该请求的合法性,奥特斯可能会要求提供进一步的理由。在以下情况下,奥特斯可能不会向已向其披露数据的第三方发出有关数据更正、修改或删除的通知:奥特斯根据其自行判断认为这样做涉及不成比例的努力。

如果您有任何此类请求或认为您的权利受到任何形式的侵犯,您可以通过以上联系方式向我们投诉。您也可以向您所在国家的数据保护机构(见附录B)投诉。但是,我们恳请您先与我们联系,我们将尽最大努力处理您的疑虑。

有关奥特斯数据保护政策的更多详细信息,请访问:https://ats.net/privacy-statement/

附录A – 奥地利科技与系统技术股份公司及其附属公司

AT&S Austria Technologie & Systemtechnik Aktiengesellschaft
Fabriksgasse 13, 8700 Leoben, Austria
公司注册号:55638x

AT&S Americas LLC
1735 N First Street Ste 245
San Jose, CA 95112, USA
公司注册号:200807510060

奥特斯亚太有限公司
香港九龙尖沙咀广东道33号
中港城3座16楼1617-19室
公司注册号:33695674

奥特斯(中国)有限公司
中国上海市闵行区莘庄工业园区金都路5000号
邮编201108
公司注册号:310000400521346(市级)

奥特斯科技(重庆)有限公司
中国重庆市江北区鱼嘴镇长和路58号
邮编401133
公司注册号:500000400059622

AT&S Deutschland GmbH
Schenkelstraße 23, 52349 Düren
Germany
公司注册号:HRB 4209

AT&S India Private Limited
12A, Industrial Area, Nanjangud
571301 Karnataka, India
公司注册号:U85110KA1988PTC025863

AT&S Japan KK
White Akasaka 8F, 5-4-13 Akasaka
Minato-ku, Tokyo 107-0052, Japan
公司注册号:0104-01-056753

AT&S Korea Company Limited
289, Sinwon-ro, Danwon-gu,
Ansan-City, Gyeonggi-do, South Korea
公司注册号:131411-0151896

AT&S Austria Technologie & Systemtechnik (Malaysia) Sdn. Bhd.
Unit No. L25-1, Level 25, TSLAW Tower, No. 39, Jalan Kamuning,
55100, Kuala Lumpur W.P. Kuala Lumpur.
公司注册号:202101018497 (1418797-X)

AT&S Skandinavia AB
Regus, Frösunda Port
Gustav III Boulevard 34, Solna 16973, Stockholm
Sweden
Company Registry: 559399-5904

台湾奥特斯股份有限公司
台湾台北市信义路5段8号新光曼哈顿大楼14楼1412室
邮编11049
公司注册号:53561873

附录B – 欧洲经济区(EEA)内的数据保护机构 (EEA)

Belgium Autorité de la protection des données https://www.autoriteprotectiondonnees.be
Bulgaria Commission for Personal Data Protection https://www.cpdp.bg
Denmark Datatilsynet http://www.datatilsynet.dk
Germany Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit http://www.bfdi.bund.de
Estonia Andmekaitse Inspektsioon http://www.aki.ee
Finland Office of the Data Protection Ombudsman https://www.tietosuoja.fi
France Commission Nationale de l’Informatique et des Libertés http://www.cnil.fr
Greece Data Protection Authority http://www.dpa.gr
Ireland Data Protection Commission http://www.dataprotection.ie
Iceland Persónuvernd https://www.personuvernd.is
Italy Garante per la protezione dei dati personali http://www.garanteprivacy.it
Croatia Personal Data Protection Agency http://www.azop.hr
Latvia Data State Inspectorate http://www.dvi.gov.lv
Liechtenstein Data Protection Authority https://www.datenschutzstelle.li
Lithuania State Data Protection Inspectorate https://vdai.lrv.lt/lt/
Luxembourg Commission Nationale pour la Protection des Données http://www.cnpd.lu
Malta Information and Data Protection Commissioner http://www.idpc.org.mt
Netherlands Autoriteit Persoonsgegevens https://autoriteitpersoonsgegevens.nl
Norway Datatilsynet https://www.datatilsynet.no/
Austria Datenschutzbehörde http://www.dsb.gv.at
Poland Urząd Ochrony Danych Osobowych https://uodo.gov.pl
Portugal Comissão Nacional de Protecção de Dados http://www.cnpd.pt
Romania Supervisory Authority for Personal Data Processing http://www.dataprotection.ro
Slovakia Office for Personal Data Protection http://www.dataprotection.gov.sk
Slovenia Information Commissioner https://www.ip-rs.si
Spain Agencia Española de Protección de Datos https://www.aepd.es
Sweden Datainspektionen http://www.datainspektionen.se
Switzerland Federal Data Protection and Information Commissioner https://www.edoeb.admin.ch
Czech Republic Office for Personal Data Protection http://www.uoou.cz
UK Information Commissioner’s Office https://ico.org.uk
Hungary Authority for Data Protection and Freedom of Information http://www.naih.hu
Cyprus Commissioner for Personal Data Protection http://www.dataprotection.gov.cy