資料保護資訊
保護您的個人資料對我們 (以下簡稱「DACHSER」) 而言相當重要。您的個人資料,例如您的姓名、地址、電子郵件地址或電話號碼之處理,均是依照「一般資料保護法規 (GDPR) 以及適用於 DACHSER 的國家特定之資料保護法規辦理。如有提及 GDPR 的條款,在每種情況下,亦同樣隱含其他國家特定之資料保護法規中的相對應條款。
我們的隱私權政策係對您告知我們所蒐集和處理的個人資料之種類、範圍和目的。我們也會告知您法律上的權利。如果我們希望透過我們的網站或其他途徑為您提供特定服務,而其所必要之資料處理是無法律依據的情況下,我們即必須取得您的同意。
資料保護法所定義之負責人為:
DACHSER SE
Thomas-Daachser-Straße 2
87439 Kempten
Germany
電話: +49 831 5916 0
傳真: +49 831 5916-1312
DACHSER SE 資料保護主管的姓名和聯絡方式如下:
DACHSER SE
資料保護主管
Thomas-Dachser-Str. 2
87439 Kempten, Germany
本網站會在您每次造訪時,蒐集一系列的一般性資料及資訊。此一般性資料及資訊儲存在伺服器的日誌檔案中。可能會被記錄的資料為:
所使用的瀏覽器種類和版本、
存取系統所使用的作業系統、
存取系統用以存取我們網站 (亦稱參照頁面) 的網站、
透過我們網站上的存取系統存取的子網站、
網站被存取的日期和時間、
網際網路通訊協定 (IP) 位址、
存取系統之網際網路服務供應商,及
於我們資訊技術系統受到攻擊時,可作於避免危險之其他類似資料及資訊。
在使用此一般資料和資訊時,DACHSER 不會對您進行身份識別。我們不會進行建檔。相反的,我們需要這些資訊以正確傳遞網站內容,將我們網站內容及其廣告最佳化,確保我們的資訊技術系統和網站技術能夠長期正常運作,並在發生網路攻擊時,能向執法單位提供刑事起訴所必要之資訊。
DACHSER 是以資料統計方式使用匿名取得之資料及資訊,期使能提升本公司之資料保護及資料安全層級。我們將這些匿名資料儲存在伺服器日誌檔案中,與您向我們提供的所有個人資料分開儲存。對這些資料及日誌檔案暫時儲存之法律依據是GDPR 第 6 條第 1 項第 f) 款之規定。
您可以透過我們網站上提供的聯絡表單,或透過公司資訊中提供的電子郵件地址,與我們聯絡。如果您透過其中一個管道聯絡 DACHSER,我們將自動儲存您提供的個人資料。我們會儲存此類以自願方式傳輸至 DACHSER 的個人資料,以便處理您的要求及/或與您聯絡。
DACHSER 會將這些問題及其相關個人資料,交由 DACHSER 集團內負責處理及使用的相關單位,通常是提問者所在國家的子公司,並與該子公司交換資料。舉例而言,在瑞士網站 (www.dachser.com/ch) 提出的問題及其相對應資料,會被交換至瑞士的 DACHSER 國家子公司 (DACHSER Spedition AG)。在此情況下,資料也可能會傳送到第三國的子公司。
資料處理的法律依據為GDPR 第 6 條第 1 項第 b) 款之規定,而其他所有情況所保護之合法利益則是依據GDPR 第 6 條第 1 項第 f) 款之規定。向第三國家傳送資料的法律依據為GDPR 第 49 條第 1 項第 b) 款之規定。
使用者可以在 DACHSER 網站上訂閱 DACHSER 電子報 (例如,「eLetter」)。您在訂閱電子報時,傳送至 DACHSER 的個人資料乃取決於針對此目的所使用的輸入掩碼。
DACHSER 使用電子報定期向客戶和商業夥伴,提供我們的服務和產品、目前的媒體報導、品牌資訊及在我們網站上的最新內容等方面的新聞。只有在下列情形,資料主體才能接收電子報﹔
(1) 資料主體的電子郵件地址為有效及
(2) 資料主體已註冊,可接收電子報。基於法律考量,我們會向資料主體首次輸入的電子郵件地址傳送一封確認電子郵件,以便其接收電子報。這是雙重確認程序。該確認電子郵件是用以確認電子郵件地址的持有者,已授權同意作為資料主體接收電子報。傳送電子報的法律依據為GDPR 第 6 條第 1 項第 a) 款之規定。
在訂閱電子報時,我們會儲存資料主體在註冊時所使用電腦系統的網際網路服務供應商 (ISP) 所指派的 IP 位址,以及註冊的日期和時間。我們必須蒐集這些資料,以便能夠在日後追蹤資料主體的電子郵件地址是否 (可能) 遭誤用,以及用以確保 DACHSER 的法律保障。就傳送電子報之事宜,DACHSER 茲委託 Atrivio GmbH, Albert-Einstein-Str.6, 87437 Kempten, Germany,為該目的進行蒐集、處理、使用及/或儲存此資料。
在訂閱電子報時所蒐集的個人資料,將僅限用於下列目的:
- 傳送電子報
- 建議和廣告
- 設計電子報以符合需求
- 彙集符合您感興趣的電子報主題
我們亦會就必要的電子報服務運作,或其註冊相關事宜,透過電子郵件通知電子報訂閱者,例如電子報訂閱條件變更或技術條件變更。
資料主體同意我們儲存其所提供用於傳送電子報的個人資料,此等同意得隨時撤銷。每則電子報中都附有撤銷同意之連結。您也可以隨時根據第 1 節所載的詳細聯絡資訊通知 DACHSER,直接取消註冊。
我們的電子報含有「追蹤像素」。追蹤像素是一種微型圖形,內嵌在以 HTML 格式傳送的電子郵件中,以啟用日誌檔案記錄和分析。如此便能對線上行銷活動的成功或失敗進行統計評估。根據內嵌的追蹤像素,DACHSER 便能查看資料主題是否以及何時開啟電子郵件,以及資料主體存取電子郵件中的哪些連結。
DACHSER 會儲存及評估此類透過電子報所含的追蹤像素所蒐集的個人資料,以最佳化電子報的配發,及調整未來電子報的內容更能符合資料主體的興趣。資料主體有權隨時撤回其透過雙重確認程序所為之個別同意聲明。同意經撤回後,DACHSER 將會刪除此個人資料。如您取消註冊電子報,DACHSER 將自動視其為撤回同意。
本網站使用 Cookie。Cookie 是透過網際網路瀏覽器所建立及儲存在電腦系統上的文字檔。透過使用 Cookie,DACHSER 便能為您提供更易於使用的服務,若沒有設定 Cookie,將無法提供該服務。Cookie 讓我們得以辨識我們網站的使用者。例如,使用 Cookie 的網站使用者每次造訪該網站時都不必重新輸入登入資料,因為網站和儲存在使用者電腦系統上的 Cookie 能夠代勞。
本網站供應商使用來自德國漢堡 (www.etracker.com) eTracker GmbH 的服務來分析使用資料。依預設值,eTracker 不使用 Cookie。若您明確同意分析 Cookie (Cookie 統計) 的設定,Cookie 便會對訪客使用本網站的情況進行統計分析,以及顯示與使用相關的內容或廣告。Cookie 是由網際網路瀏覽器儲存在使用者裝置上的小型文字檔。eTracker Cookie 不包含可識別使用者的資訊。
eTracker 產生的資料是由 eTracker 代表本網站供應商在德國專門處理和儲存,因此受到嚴格的德國和歐洲的資料保護法和標準的規範。eTracker 已通過獨立測試、認證並ePrivacyseal獲得資料保護認證標籤。
資料處理是根據一般資料保護法規 (GDPR) 第 6 條第 1項第 f) 款 (合法利益) 之法規進行。我們在 GDPR (合法利益) 的意義上所關切的是我們線上服務和網站的最佳化。對我們而言,訪客的隱私至關重要,因此可能作為個人資料的參考,例如 IP 位址、登入或裝置 ID,將會儘快以匿名或假名處理。不得進行其他用途、與其他資料合併使用,或傳輸至第三方。
您可以隨時按一下滑塊以反對所述的資料處理。反對無任何不利後果。若未顯示滑塊,表示已透過其他封鎖方式禁止資料收集。
在 此處 可以找到更多關於 etracker 資料保護的資訊。
我們使用的 podcast 代管平台服務供應商是 Podigee GmbH, Schlesische Straße 20, 10997 Berlin, Germany。podcasts 是由 Poidgee 載入或透過 Poidgee 傳送。
以我們的合法利益為基礎所使用,亦即安全和有效提供利益,分析和最佳化我們的 podcast 服務,法律依據為 GDPR 第 6 條第 1 項第 f) 款之規定。
Podigee 會處理 IP 位址和裝置資訊,以啟用 podcast 下載/重播,並決定統計資料,例如收聽計數。這些資料會在儲存於資料庫之前由 Podigee 匿名或假名處理,除非有提供 podcast 的要求。
更多關於異議的進一步資訊和選項,請參閱 Podigee 隱私權政策:https://www.podigee.com/en/about/privacy
DACHSER 透過網站上的 DACHSER Platform 工具提供服務。DACHSER Platform 的核心功能包括線上決定運費、記錄運輸訂單,以及利用追蹤與追溯來追蹤貨運。
DACHSER 會將註冊指派至 DACHSER Platform,以及將處理和使用所需的相關個人資料指派給 DACHSER 集團內的相關單位,通常是要求者所在國家的子公司,並與該子公司交換資料。舉例而言,在瑞士網站 (www.dachser.com/ch) 上 DACHSER Platform 的註冊以及用於註冊的資料,會被交換至瑞士的 DACHSER 國家公司 (DACHSER Spedition AG)。在此情況下,資料也可能會傳送到第三國的公司。無論有無個別註冊,使用者皆可使用 DACHSER Platform 的應用程式。註冊後,個別國家公司將在驗證成功後啟用使用者。已註冊使用者會比未註冊使用者擁有更多「憑證」,也就是說,已註冊使用者能存取更多服務。傳輸至 DACHSER 的個人資料是由用於註冊的個別輸入畫面所決定。
使用 DACHSER Platform 時的資料用途,僅以提供上述服務為限。籌備或履行合約時處理資料之法律依據為 GDPR 第 6 條 (1) (b),所有其他情況之法律基礎則是 GDPR 第 6 條 (1) (f),以利保護合法利益。若要將資料傳輸至第三國,法律依據為 GDPR 第 49 條 (1) (b)。
DACHSER 在其網站藉由 eLogistics 工具提供服務。eLogistics 入口網站的核心功能包括線上決定運費、記錄運輸訂單,以及利用追蹤與追溯來追蹤貨運。
DACHSER 會將 eLogistics 註冊及其相關個人資料問題,交由 DACHSER 集團內負責處理及使用的相關單位,通常是提問者所在國家的子公司分行,並與該子公司分行交換資料。舉例而言,在瑞士網站 (www.dachser.com/ch) 所用於註冊 eLogistics 的註冊和資料,會被交換至瑞士的 DACHSER 國家子公司 (DACHSER Spedition AG)。在此情況下,資料也可能會傳送到第三國的子公司。使用者無論是否經個人註冊,均可使用 eLogistics 應用程式。如經註冊,相應的國家子公司會在使用者驗證成功後,啟動使用者帳戶。經註冊使用者會比未註冊使用者擁有更多「憑證」,也就是說,已註冊使用者能存取更多服務。傳送至 DACHSER 的個人資料是由註冊所使用的個別輸入掩碼所決定。
在使用 eLogistics 服務時,個人資料之使用目的,是以提供前述服務為限。資料處理的法律依據為第 6 條第 1 項第 b) 款之規定,而其他所有情況所保護之合法利益則是依據第 6 條第 1 項第 f) 款之規定。向第三國家傳送資料的法律依據為第 49 條第 1 項第 b) 款之規定。
本網站使用 Google 地圖對應服務。供應商是 Google Ireland Limited (以下簡稱「Google」), Gordon House, Barrow Street, Dublin 4, Ireland。母公司:Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA。我們能在網站上直接展示互動地圖,讓您能輕鬆簡單使用地圖功能。
當您造訪本網站,Google 就會取得您曾在我們網站上存取其對應子網站之相關資訊。此外,第 2 節所述之資訊,也會受到傳輸。無論 Google 是否能提供讓您登入的帳戶,或您是否有帳戶,Goolge 均會蒐集這些資料。如果您已登入 Google,系統會將您的資料直接分配至您的帳戶。如果您不希望此資料分配到您 Google 上的個人檔案,您必須在啟用按鈕前先登出。Google 會把您的資料以使用設定檔案方式儲存,並用於廣告、市場研究及/或其網站之需求導向設計相關用途。此類評估 (即使是未登入的使用者) 是特別為了提供需求導向廣告而進行,並向其他社群網路使用者告知您在我們網站上的活動。您有權反對建立這些使用者設定檔,然而您必須聯絡 Google 才能行使此權利。如需更多關於外掛程式供應商資料蒐集及資料處理的目的和範圍之資訊,請參閱服務供應商的隱私權政策。
使用 Google Maps 處理您個人資料的法律依據為 GDPR第 6 條第 1 項第 f) 款之規定。在缺乏適足性認定的情況下,資料傳輸至第三國是以公認的標準合約條款為基礎。詳細資料請參閱 此處 及此處。
如需更多關於處理使用者資料的資訊,請參閱Google 的隱私權政策。
我們的網站使用 Facebook、Twitter、YouTube、Xing 和 LinkedIn 的社群外掛 (以下簡稱「外掛」)。我們使用外掛,主要是讓您能夠與社群網路的其他使用者分享我們網站上的內容,或讓您能請他們來參閱這些內容。您可以藉由外掛供應商的識別標誌或首字母來辨識供應商。
當您造訪我們網站時,我們起初並不會向外掛供應商傳輸任何個人資料。然而,如果您按一下醒目標示的欄位,個人資料就會被直接傳送到個別的外掛供應商處理 - 可能會是第三國家,例如美國。在您點擊外掛欄位後,您的瀏覽器會開啟新視窗,並叫出個別社群網路供應商的網頁。無論您在該外掛供應商的社群網路是否有帳號,您的資料都會被傳輸至該外掛供應商。如果您已登入外掛供應商,我們所蒐集的資料將直接分配到您現有的外掛供應商帳戶。
對於使用外掛所蒐集及處理資料及範圍,我們無法控管,我們也不知道其資料蒐集之完整範圍、處理目的或儲存期間。根據外掛的供應商表示,傳輸的資料包括您的瀏覽器、您曾造訪過的網站,以及造訪的日期和時間等資訊。外掛供應商處理這些資訊,以便建立您的使用者檔案,以及顯示需求導向的廣告。您有權反對建立這些使用者檔案,然而您必須聯絡個別的外掛供應商以行使反對權。如需進一步資訊,請參閱各供應商的網頁和資料保護聲明。
使用社群外掛處理您的個人資料的法律依據是 GDPR 第 6 條第 1 項第 f) 款之規定。使用 Facebook、Twitter、YouTube 和 LinkedIn 提供的服務時,資料可以傳輸到全球第三國家,例如美國。在這些情況下,我們將確保資料保護有足夠的層級,以實施歐洲法律的要求。這通常是使用可接受的標準合約條款和其他適宜的保證來完成。
我們營運網站所使用的服務供應商以及承包商,在技術上有辦法存取個人資料。這些第三方供應商有義務僅限於提供我們要求的服務,或以我們的指示的其他方式,而使用您的個人資料。
DACHSER 於本隱私權政策所述目的,會在 DACHSER 集團內傳輸您的個人資料,並將其交給個別國家子公司。DACHSER 公司也可能位於歐盟或歐洲經濟區之外。DACHSER 有責任告知您身為資料主體,在適用的資料保護法架構下,所具有的權利。您可以直接向 DACHSER 提出關於您個人資料的問題和申訴。DACHSER 集團內的其他 DACHSER 公司,亦會處理您的個人資料、與我們合作並支援我們回應此類要求或申訴。
除上述資料傳輸外,我們不會將您的個人資料傳輸、銷售或行銷給其他第三方,例如其他公司或組織,惟若經您明示表達同意,或該資料傳輸係為履行我們對您 (即網站使用者) 的合約義務所必要者,則不在此限。
個人資料儲存期間以個別的法定保留期間為準。此期間屆滿後,只要是履行或締結合約不再需要的相關資料,我們即會定期刪除。
若儲存目的已失效,或是歐洲立法機構或其他有關立法機關所規定的儲存期間屆滿者,將依據法律規定,定期封鎖或刪除該個人資料。
身為資料主體,您有權對 DACHSER 主張 GDPR 第 15-21 條所規定之權利,但必須符合該條款所訂之前提條件。該等權利包含資訊權 (GDPR 第 15 條)、修正權 (GDPR 第 16 條)、刪除權 (GDPR 第 17 條)、處理限制 (GDPR 第 18 條)、資料可攜性 (GDPR第 20 條) 以及反對權 (GDPR 第21 和 22 條)。此外,您有權依據GDPR 第 77 條之規定向監管機關提出申訴。
Google Ads 讓使用者在 Google 上輸入某些搜尋字詞時,可以讓我們在 Google 搜尋引擎結果中顯示廣告 (即關鍵字定位)。Google Ads 是 Google 公司提供的一項服務,公司地址為 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA。我們使用 Google Ads 來統計出透過 Google 搜尋引擎顯示廣告而進入我們網站的訪客數量,並評估哪些搜尋字詞引導出我們廣告的投放。轉換追蹤僅能使用無 Cookie 的網路分析工具 eTracker 來進行,且該工具僅收集統計資料。我們不使用再行銷功能,您在造訪我們的網站後,將不會再收到我們的任何廣告。此資料處理的法律依據,是我們在最佳化我們的線上服務和行銷措施方面擁有合法利益。您可以隨時反對上述資料之處理。
在自願同意且隨時可撤銷的前提下,我們在部分網頁上使用 Brightcove Inc.(公司地址:美國波士頓 290 Congress Street,MA 02142)(以下簡稱「Brightcove」)的「影片雲端」服務提供及播放影片。Brightcove 承擔託管影片的任務,同時提供與我們的網站影片綁定使用的播放器。在與 Brightcove 伺服器連線期間(當您在網站上觀看嵌入式影片時),供應商使用 Cookies 並收集裝置相關資料。
Brightcove 技術主要用於向您展示符合相關網頁主題的 DACHSER 影片。此外,Brightcove Analytics 還可以分析使用者對所提供影片內容的存取情況,以提高網站的吸引力並改善功能。為此,Brightcove 使用 Cookies 並收集裝置相關資料(例如瀏覽器資訊),包括存取所提供影片內容的使用者 IP 位址。這些資訊在檢索後立即以匿名及非個人化的形式儲存。Brightcove 不儲存任何有關使用者個人身份的資訊。
您可以在此處瀏覽 Brightcove 的隱私權政策:https://www.brightcove.com/en/legal/privacy/ 。
根據《歐盟資料保護條例》(DSGVO) 第 6 條第 1 款第 1 項 a 點的規定,使用 Brightcove Analytics 具備法律基礎。可以透過「隱私設定」在保證網站正常運行基本功能的同時,禁用該項服務。
我們已經採用《歐盟資料保護條例》(DSGVO) 第 44 條及後續規定中必要的預防性措施,以確保符合接收國當地資料保護標準。
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (「Google」) 的「Google Tag Manager (GTM)」讓我們能夠管理 JavaScript 和 HTML 標籤,使用自己的軟體和第三方軟體進行追蹤和分析。標籤是小型程式碼元素,可協助我們衡量流量和訪客行為、瞭解廣告的影響、設定再行銷和目標鎖定,以及進行網站測試和最佳化。GTM 只是輔助服務,透過介面促進標籤整合與管理。GTM 僅執行標籤,因此不使用自己的 cookie (處於空狀態) 且本身不會收集任何個人資料。
如果在網域或 cookie 層級進行停用並使用 Google Tag Manager 執行標籤,則停用將適用於所有追蹤標籤。只有在依據 GDPR 第 6 條第 1 款 a) 項明確同意的情況下,才會進行這些處理作業。如果您同意 cookie 同意橫幅中的廣告類別,則我們保留使用 Google Tag Manager 對 Google Ads 廣告活動進行轉換追蹤的權利。Google Tag Manager (GTM) 只是輔助服務,不使用自己的 cookie 且本身不會收集任何個人資料。
如需更多關於 Google Tag Manager 和 Google 隱私權政策的資訊,請造訪 https://policies.google.com/privacy?hl=en 和 https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/。
涉及商業關係的資料保護資訊
1. 一般資訊和定義
如果您聯絡 德莎远东有限公司 以建立商業關係,或是您與 德莎远东有限公司 已有商業關係,我們會根據下列條款處理個人資料。
德莎远东有限公司 的隱私權政策是以歐洲立法機關在採用一般資料保護法規 (GDPR) 所使用的條款為基礎。因此,我們希望您能參考 GDPR 第 4 條的定義。GDPR 請參閱 此處。瑞士資料保護法案 (DSG) 所適用之範圍內,應類推適用 DSG 所對應的條款與定義。
2.控制者和資料保護代表的名稱和地址
GDPR、適用於歐盟會員國的其他資料保護法,以及與資料保護相關的其他條款所定義之控制者為:
德莎远东有限公司, 亚太区总部, 香港荃湾沙咀道6号嘉达环球中心20楼, 电话: +852 2796 2111, 传真: +852 2796 2769,, dachser.apac-asl@dachser.com, dachser.com.hk
依照 GDPR 規定,德莎远东有限公司 的資料保護代表的聯絡方式為:
DACHSER SE, Data Protection Officer, Thomas-Dachser-Straße 2, 87439 Kempten, Germany、電子郵件:data.protection@dachser.com
3.資料處理的一般資訊
3.1 個人資料處理的範圍和目的
我們可能處理各種類別的個人資料,特別是:
- 姓名、詳細聯絡資料 (例如地址、電話號碼、電子郵件地址)、性別
- 關於您的雇主、職稱、職位的資訊
- 語言偏好設定
- 合約資料
我們蒐集並使用商業合作夥伴的個人資料,主要用於締結合約或處理我們的訂單和合約。包括所必須或利於達成、履行與執行合約的所有活動,例如處理訂單、報價、締結合約以及在我們的網站上註冊、管理合約關係,包括付款處理,通信與收款。我們也會在受允許,且我們認為適當的範圍內,基於其他目的處理您的個人資料:
- 法律保障:我們也可能會為了執行索賠,在法院程序前、法庭內、法庭外,以及德國和國外主管機關前,或是為我們自己針對法律上的要求進行抗辯,而處理個人資料。
- 為遵守法律之要求:包括例如處理申訴和其他報告、對法院或主管機關之命令的遵循、偵測及釐清濫用情形的措施,以及我們在適用法律、自律或業界標準下有義務採取的一般措施。
- 管理以及支援:為了讓內部處理程序更有效率,我們依 IT 管理、會計或資料歸檔之必要而處理資料。
- 我們也可能基於其他目的處理資料。包含商業管理,包括業務組織與開發、其他內部程序與行政目的 (例如管理主要資料、會計與歸檔)、訓練與教育目的,以及準備和處理業務單位、公司或部分公司及其他公司法律交易的買賣、個人資料的相關傳輸,以及商業管理措施與保護其他合法利益。
3.2 個人資料之處理
一般而言,除非法律標準明確允許處理資料,否則禁止蒐集,處理或使用個人資料。根據 GDPR 的規定,可以蒐集、處理或使用個人資料需依下列原則:
- 與資料主體現有合約關係的情形。
- 在與資料主體締結或處理合約的過程中。
- 資料主體是否已給予其同意,以及其同意之程度。
若僅適用瑞士 DSG,則第 3.2 節之規定不適用。
3.3 處理個人資料的法律依據
在我們取得資料主體的同意以處理個人資料的範圍,其法律依據為 GDPR 第 6 條第 1 項第 a) 款之規定。
為履行以資料主體為當事人之合約,而有必要處理個人資料時的法律依據為 GDPR 第 6 條第 1 項第 b) 款之規定。這也適用於執行簽約前所必要的處理作業措施。
為履行本公司所規範之法律義務而處理個人資料所必要之範圍,其法律依據為 GDPR 第 6 條第 1 項第 c) 款之規定。
如果為了保障本公司或第三方的合法利益而有處理之必要,且資料主體的利益、基本權利和自由不超過該等合法利益,其法律依據為 GDPR 第 6 條第 1 項第 f) 款之規定。
3.4 資料主體群組及其資料的類別
如有必要,下列資料類別可用於執行商業活動及履行與其相關的所有義務:
- 客戶資料及其聯絡人,以及客戶在處理訂單和顧客支援的必要範圍內所傳輸的顧客資料。
- 向顧客、服務供應商及供應商履行訂單時的必要範圍內,服務供應商、供應商及其聯絡人的資料。
在使用個人資料,以及蒐集資料範圍方面,資訊自主決定權與其他資料保護標準為基本規則,特別是預防性禁止原則、目的限制、透明度、資訊與通知義務,資料迴避原則和資料經濟,同時亦遵守修正權、封鎖權、刪除權、反對權。
個人資料的蒐集和處理均屬法律允許範圍內。為此,對敏感資料的蒐集和處理的特別要求,必須遵守 GDPR 第 第 9 條第 1 項之規定。原則上,只能處理及使用工作執行績效所必要的以及與處理目的直接相關的資料。
如果其他主體要求關於資料主體的資訊,只有在資主體的法律義務或公司合法利益證明此類揭露存在時,以及查詢者的身份明確建立時,才會在未經資料主體同意的情況下揭露該資訊。
3.5 個人資料的接收者
個人資料僅會傳送給涉及履行合約的第三方,例如子公司、合作夥伴或承包商,以提供您委託的物流服務。物流服務的相關人員的個人資料將傳送給物流服務顧客 (例如送達收據)。
我們尤其不會將您的個人資料銷售或以其他方式行銷給第三方。
3.6 將資料傳輸至第三國家
資料僅於履行委託的物流服務之目的傳輸到第三國家。為了資料經濟的利益,只有在發送和交付商品給客戶的顧客時,所需的資料才會傳輸到 DACHSER 集團內的國內和國外公司,以及外部服務供應商。在此情況下,資料可能會傳送給全球第三國家的接收者。
如果是為履行資料主體與控制者之間的合約而必須傳輸資料,前提是該資料傳輸為履行合約所必要者,則可以允許在沒有適當的資料保護層級下傳輸資料至第三國家。
3.7 外部服務供應商/訂單處理/維護
必要時,會根據 GDPR 第 28 條或歐盟標準合約條款,與外部服務供應商達成協議。
3.8 IT 安全概念
除了已採取的技術和組織措施外,為了資訊安全的基本重要性,Dachser 也會提出適當的補充準則。
DACHSER IT 總部的資訊安全管理系統 (ISMS),自 2011 年起即已獲得 ISO 27001 認證。
3.9 資料刪除與儲存期間
資料主體的個人資料將會在儲存目的停止適用時立即刪除或封鎖。若歐盟規範內的歐洲或國家立法機關,控制者所受規範的法律或其他規範所規定,則亦可能進行儲存。如果前述標準規定的儲存期間屆期,除非基於締結合約或履行合約而有進一步儲存資料之需求,否則資料也會遭到封鎖或刪除。
4.資料主體的權利
如果您的個人資料受到處理,您就是 GDPR 規範內所稱之資料主體,而且您對資料控制者擁有下列權利。在瑞士資料保護法適用範圍內,該資料保護法的條款將優先第 4 節 資料主體權利行使之規定。
4.1 存取權
您可以向控制者要求確認我們是否正在處理您的個人資料。
若有此等處理情形,您可以向控制者要求以下資訊:
- 處理個人資料的目的;
- 正在處理之個人資料的類別;
- 與您相關已被揭露或將被揭露之個人資料的接收者或接收者的類別;
- 您個人資料之預定儲存期限,或,若無法提供特定資訊,則提供決定儲存期限的標準;
- 您有權修正或刪除與您相關的個人資料,亦有限制控制者處理或對此類處理提出反對之權利;
- 向監管機構提出上訴的權利;
- 當資料主體未被蒐集個人資料時,所有資料來源的可用資訊;
- 存在 GDPR 第 22 條第 1 項和第 4 項的自動化決策,包括建檔,以及 - 至少在該等情況下- 為資料主體之處理所涉及的邏輯性有意義的資訊,以及其範圍和預設結果。
您有權要求瞭解您的相關個人資料是否被傳送至第三國家或國際組織。在此情況下,您可以要求被告知根據 GDPR 第 46 條與傳輸相關的適當保證。
4.2 修正權
如果處理與您有關的個人資料不正確或不完整,您有權修正及/或完成控制者所持有的資料。控制者必須毫不遲延立即進行修正。
4.3 限制處理權
您得在下列條件下,要求對您的個人資料進行限制處理:
- 如果您對於您相關的個人資料準確性有爭議,而這段時間又能允許控制者驗證個人資料的準確性;
- 如果為不法之處裡,且您拒絕刪除個人資料,並要求限制使用個人資料;
- 如果控制者而不再需要這些個人資料用於處理目的,但您需要這些資料以建立、行使或為法律上的請求抗辯者,或是
- 如果您依據 GDPR 第 21 條1 項之規定對處理提出反對,且尚未釐清控制者的正當理由是否超過您的理由。
如果關於您的個人資料處理受到限制,這些資料僅得在您的同意下,或以建立、行使或為法律上的請求抗辯者,或為保護另一自然人或法人的權利,或是基於歐盟或會員國的重要公共利益的理由,才可以被處理 – 除了儲存之外。
如果根據上述條件限制處理,在解除限制之前,控制者會告知您。
4.4 刪除權
4.4.1 刪除的義務
您得要求控制者立即刪除與您相關的個人資料,而控制者應有義務立即刪除該資料,但必須符合下列其中一項原因:
- 您的相關個人資料已不再需要用於當初被蒐集時或相關處理之目的。
- 您依據 GDPR 第 6 條1 項第 a) 款或第 9 條2 項第 a) 款之規定對於處理程序撤回您的同意,而且該處理程序沒有其他法律依據。
- 您依據 GDPR 第 第 21 條1 項之規定對處理提出反對,且沒有凌駕性的正當理由,或者您依據 GDPR 第 第 21 條第 2 項對處理提出反對。
- 與您相關的個人資料已受不法處理。
- 為履行歐盟法律或控制者所遵守之成員國法律規定的法律義務,您必須刪除與您相關的個人資料。
- 有關資訊社會服務蒐集您的相關個人資料,其法律依據為 GDPR 第 第 8 條第 1 項之規定。
4.4.2 第三方資訊
如果控制者已將您的個人資料公開,以及控制者有義務刪除該資料的法律依據為 GDPR 第 第 17 條1 項之規定,控制者應考量現有技術與執行成本,有義務採取適當措施,包括技術措施、通知正在處裡個人資料之資料控制者,您身為資料主體已要求刪除該個人資料的所有連結,或該個人資料的副本或複本。
4.4.3 例外
如果個人資料有必要處理,則刪除權不存在:
- 行使言論與資訊自由的權利;
- 為履行控制者所應遵守之歐盟或成員國法律規定的法律義務,或為履行公共利益之職務,或行使賦予控制者的公權力而必須處理者;
- 基於公共衛生領域上的公共利益,且符合 GDPR 第 第 9 條2 項第 h) 款和 i) 款以及第 9 條3 項之規定者;
- 為實現公共利益、科學或歷史研究的存檔目的,或用於統計目的,且符合 GDPR 第 89 條第 1 項之規定者,但在第 a) 款所述權利可能會讓該處理目標無法實現或嚴重損害,或
- 為了建立、行使或為法律上的請求抗辯者。
4.5 資訊權
如果您已對控制者主張修正權、刪除權或限制處理權,控制者有義務針對您已揭露之個人資料的所有接收者,進行此修正或刪除資料或限制處理的通知,除非證明其為不可能,或不符合比例原則。您有讓控制者告知您這些接收者的權利。
4.6 資料可攜權
您有權以結構化、通用且機器可讀的格式收到您提供給控制者的相關個人資料。此外,您有權將此資料傳送給其他控制者,而不受提供個人資料之控制者的阻礙,只要
- 此項處理是依據 GDPR 第 6 條第 1 項第 a) 款或 GDPR 第 9 條2 項第 a) 款之規定,或合約上依據 GDPR 第 6 條第 1 項第 b) 款之規定以及
- 使用自動化程序進行處理。
- 在行使此權利時,您也有權要求由控制者直接將與您相關的個人資料傳輸給另一個控制者,因為這在技術上是可行的。但其他人士的自由與權利不得因此受到影響。
資料可攜權不適用於為執行公共利益工作或行使委派給控制者之公共權力所必須處理的個人資料。
4.7 反對權
您有權在任何時候以您的特殊情況為由反對處理與您相關的個人資料,其法律依據為 GDPR 第 6 條第1 項第 e) 款或 f) 款之規定;這也適用於基於這些條款的建檔。
控制者應停止處理與您相關的個人資料,除非控制者能證明其處理的正當理由優於您的利益、權利和自由,或這些處理乃為建立、行使或為法律上之要求為抗辯。
如果處理您的相關個人資料是基於直銷目的,您有權隨時反對基於此類行銷目的處理與您相關的個人資料;這也適用於與此種直銷有關的建檔。
如果您反對以直銷目的進行處理,與您相關的個人資料將不再以此類目的進行處理。在使用資訊社會服務的前提下,儘管有 2002/58/EC 指令的規定,您可選擇使用技術規格以自動化方式行使反對權。
4.8 根據資料保護法撤銷同意聲明的權利
您有權隨時根據資料保護法律撤銷您的同意聲明。撤銷同意並不會影響在撤銷前依據該同意所進行之處理的合法性。
4.9 自動決策的個別案例,包括建檔
您有權不接受僅基於自動處理的任何決定約束,包括對您具有法律效力或以類似顯著方式影響您的建檔。如決策有下列情形,則不適用:
- 為達成您與控制者之間締結或履行合約所必要者;
- 歐盟法律或控制者所在會員國法律允許,而這些法律包含可保護您權利和自由及合法利益的適當措施,或
- 是在您明確同意的情況下進行。
- 然而,這些決策在 GDPR 第 9 條第1 項之規定下,可能無法適用於個人資料的具體類別,除非適用 GDPR 第 9 條第2 項第 a) 款或 g) 款,並已採取適當措施來保護權利和自由以及您的合法利益。
關於 (1) 和 (3) 中參照的案例,控制者應採取適當措施以保護權利和自由,以及您的合法利益,包括至少有權取得控制者方介入,表達自己的立場並質疑決策。
4.10 向監管機關提出申訴之權利
如果您認為個人資料的處理違反 GDPR,在不影響任何其他行政或司法救濟的情況下,您有權向監管機關提出申訴,特別是在您居住地點、工作地點或涉及侵權的會員國。
受理申訴的監管機關應告知申訴的狀態與結果,包括在 GDPR 第 第 78 條採取司法救濟的可能性。