通用数据保护条例政策

最后更新：2025年1月31日

Beeble 特别重视个人数据保护，包括通过数据加密等手段提供高水平的安全保障。

1. 简介

1.1. 本个人数据保护政策是一份文件，描述了个人数据的处理方式以及 Beeble 作为与其业务相关的个人数据管理员的义务。

1.2. Sikneco Technologies SIA，注册号：40203391789，地址：拉脱维亚里加 Skanstes Street 25，LV-1013，声明其为 2016 年 4 月 27 日欧洲个人数据保护条例意义上的数据控制方，负责个人数据保护。关于相关条件的规则及废除第 95/46/EC 号指令的规则——以下简称 GDPR，依 GDPR 规定在特定规则下委托执行。

1.3. 词汇表：

• 控制方 — 自然人或法人、公共机构、单位或其他实体，独立或与他人共同确定个人数据处理的目的和方式；
• 用户数据 — 加密形式的个人数据；该数据主要包括在提供服务过程中注册期间收集的关于特定自然人的信息，以及分配给该自然人以进行识别的标识符；
• 个人数据（数据）— 关于已识别或可识别自然人的信息；可识别的自然人是指可直接或间接识别的人；
• 个人数据保护违规 — 安全漏洞，导致意外或非法销毁、丢失、篡改、未经授权披露或未经授权访问所传输、存储或以其他方式处理的个人数据；
• 接收方 — 自然人或法人、公共机构、实体或其他实体，无论是否为第三方，均可接收个人数据；依据欧盟成员国法律在特定程序中可接收个人数据的公共机构不属于接收方；
• 处理方 — 代表控制方处理个人数据的自然人或法人、公共机构、实体或其他实体；
• 处理 — 以自动化或非自动化方式对个人数据或个人数据集执行的一项或一组操作，例如收集、记录、组织、存储、调整或修改、下载、浏览、使用、通过发送、分发或其他方式披露、匹配或合并、限制、删除或销毁；
• 条例（GDPR）— 欧洲议会和理事会 2016 年 4 月 27 日第 (EU) 2016/679 号条例，关于在处理个人数据方面保护个人及个人数据的自由流动，并废除第 95/46/EC 号指令。

2. 个人数据处理原则

2.1. 管理员依据 GDPR 第 5 条意义上的个人数据处理规则处理个人数据：

• 合法性 — 数据处理具有适当的法律依据，并以此为基础进行；
• 可靠性与正确性 — 确保数据是最新且正确的；
• 透明性 — 以对数据主体透明的方式处理数据（特别是告知数据处理情况）；
• 目的性 — 为特定、明确和合法的目的处理数据，且不以与这些目的不一致的方式处理数据；
• 充分性 — 数据与收集目的相关；
• 最小化 — 数据处理范围不超过获取目的所必需的限度；
• 存储限制 — 数据存储时间不超过获取个人数据目的所必需的期限；
• 完整性与保密性 — 注重数据安全，包括使用适当的技术或组织措施防止未经授权或非法处理以及意外丢失、销毁或损坏。

2.2. 管理员确保问责制——能够证明遵守第 2.1 条所述的所有原则，特别是通过实施适当的政策和程序。

3. 管理员职责

3.1. 管理员采用技术和组织措施，确保所处理个人数据的适当安全级别，同时考虑技术知识现状、实施成本、处理的性质、范围、情境和目的，以及不同发生概率和威胁严重程度的权利或自由侵犯风险。管理员为此特别采用：

• 数据加密；
• 确保处理系统和服务保密性、完整性、数据可用性和弹性的措施；
• 定期测试、衡量和评估这些措施的有效性。

3.2. 管理员仅允许经管理员授权且已提交保密声明（关于数据保存及保护方式）的人员处理个人数据。
3.3. 管理员保存授权人员登记册并存储声明内容。
3.4. 管理员已制定并实施程序，确保在管理员参与个人数据的新项目、投资和流程变更阶段对隐私的保护。
3.5. 管理员定期对有权访问数据的员工进行培训，并提高其个人数据安全领域的知识水平。
3.6. 如果管理员对导致损害的事件不负责任，则管理员免除与处理必要个人数据相关的责任。此外，管理员不对用户存储的数据及用户之间的传输方式负责。
3.7. 每位数据主体均有权向监管机构投诉，特别是在其惯常居住地、工作地点或涉嫌违规地所在成员国，如果数据主体认为对其个人数据的处理违反本条例。

4. 数据访问权

4.1. 应客户请求，管理员向其提供有关其个人数据处理方式及处理范围的信息。
4.2. 应客户请求，管理员免费向其提供其个人数据的第一份副本。对于每份后续副本，管理员可收取适当金额的费用。
4.3. 如数据副本请求以电子形式提交给管理员且客户未另行说明，则副本以相同形式提供。
4.4. 如因技术原因无法按客户选择的方式提供副本，管理员可以不同方式提供副本（例如由于电子版本文件格式原因），管理员应立即通知客户无法按其选择方式提供副本及拟议的替代方案。
4.5. 管理员允许客户在其个人数据不正确或过时时立即予以更正，或进行补充。
4.6. 管理员可要求客户提供相关文件，以确认个人数据变更的合法性和正当性。

5. 个人数据违规

5.1. 管理员已制定并实施处理个人数据保护违规或疑似违规的程序。
5.2. 管理员保存个人数据违规登记册，并记录与违规相关的所有情况。

6. 同意处理个人数据

6.1. 其数据被处理的人员声明已阅读个人数据处理政策（GDPR）并同意处理其个人数据。