資料保護政策

政策自:2024年3月3日起實施

下次審查日期:2025年3月3日

導言

由 Evith Technology Ltd. 經營的 ID Analyzer 需要收集並使用某些個人資訊。本政策規範在使用我們的服務 ID Analyzer 期間提交給我們公司的資料,有關網站和 Cookie 相關的隱私政策,請改參考此頁面

這可能包括客戶、客戶在使用我們服務時提交的第三方個人資訊、商業聯繫人、員工以及組織與之有關係或可能需要聯繫的其他人員。

本政策描述了必須如何收集、處理和儲存個人資料,以符合公司的資料保護標準 —— 並遵守法律。

本政策的存在原因

ID Analyzer 是 Evith Technology 提供的一項服務,代表我們的客戶處理高度敏感的個人資料,本資料保護政策確保 Evith Technology 公司:

  • 遵守資料保護法律並遵循良好實踐
  • 保護員工、客戶和合作夥伴的權利
  • 對於如何儲存和處理個人資料保持開放
  • 保護自己免受資料洩露的風險

資料保護法

2016/679號一般資料保護條例描述了組織 —— 包括 Evith Technology —— 必須如何收集、處理和儲存個人資訊。

這些規則適用於無論資料是以電子方式、紙張或其他材料儲存。

為了遵守法律,個人資訊必須被公平且合法地收集和使用,安全地儲存,並且不被非法披露。

一般資料保護條例由八個重要原則支撐。這些原則指出個人資料必須:

  1. 公平且合法地處理
  2. 僅為特定、合法目的獲得
  3. 充足、相關且不過度
  4. 準確且保持最新
  5. 不得保留超過必要的時間
  6. 根據資料主體的權利進行處理
  7. 以適當方式受到保護
  8. 不得轉移到歐盟以外,除非該國家或地區也確保了足夠的保護水平

人員、風險與責任

政策範圍

本政策適用於:

  • Evith Technology 的總部
  • Evith Technology 的所有分支機構
  • Evith Technology 的所有員工和志工
  • 代表 Evith Technology 工作的所有承包商、供應商和其他人員

它適用於公司持有的與在世個人相關的所有資料,即使該資訊技術上不屬於2016/679號一般資料保護條例。這可能包括:

  • 個人的姓名
  • 郵寄地址
  • 電子郵件地址
  • 電話號碼
  • …以及任何直接或間接與個人相關的其他資訊

資料保護風險

本政策有助於保護 Evith Technology 免受一些非常真實的資料安全風險,包括:

  • 保密性的破壞。例如,資訊被不當地外洩。
  • 未能提供選擇。例如,所有個人都應該自由選擇公司如何使用與他們相關的資料。
  • 聲譽損害。例如,如果黑客成功獲取敏感資料,公司可能會受到損害。

責任

為 Evith Technology 工作或與 Evith Technology 合作的每個人都有一定的責任,確保資料被適當地收集、儲存和處理。

處理個人資料的每個團隊必須確保按照本政策和資料保護原則處理和處理個人資料。

員工一般指南

  • 唯一能夠訪問本政策涵蓋的數據的人應該是那些需要它來完成工作的人。
  • 數據不應非正式共享。當需要訪問機密信息時,員工可以向他們的直線經理請求。
  • Evith Technology 將為所有員工提供培訓,幫助他們了解處理數據時的責任。
  • 員工應通過採取合理的預防措施並遵循以下指南來保持所有數據的安全。
  • 特別是,必須使用強密碼,且永遠不應共享。
  • 個人數據不應向公司內部或外部未經授權的人員披露
  • 如果發現數據過時,應定期審查和更新數據。如果不再需要,應將其刪除並處理。
  • 如果員工對數據保護的任何方面不確定,應向其直線經理或數據保護官尋求幫助
  • 員工不應攜帶任何能夠保存任何個人數據的實體存儲設備到工作場所。也不應該有任何員工使用互聯網或其他通信方式與第三方共享任何個人數據。

數據存儲

我們理解通過 ID Analyzer 委託敏感個人信息可能是您業務的一個主要隱私顧慮。然而,我們致力於通過我們高度安全的系統保護我們客戶及其用戶的隱私。

客戶對數據存儲有完全的控制權。您可以選擇在 API 交易期間禁用數據存儲。在這種情況下,所有個人信息,包括上傳的圖像、請求參數和響應結果,將在您的請求完成後從我們的服務器上永久刪除。

當數據存儲被禁用時,我們保留的唯一信息是我們 HTTP 日誌中的匿名記錄。該記錄不包括個人詳細信息,僅包括您服務器的 IP 地址、用戶代理頭和時間戳。

這種控制和透明度水平使您可以放心使用 ID Analyzer,知道您的數據隱私是優先考慮的。

如果啟用了數據存儲,提交到我們系統的證件將被存儲在我們的安全數據庫系統中,該系統僅通過您的網絡門戶或通過交易查詢 API 為您提供。

這些規則描述了數據應如何以及在哪裡安全存儲。

  • 數據應由強密碼保護,這些密碼應定期更改,並且員工之間永遠不應共享。
  • 數據只能存儲在指定的驅動器和服務器上,並且只能上傳到獲批准的雲計算服務
  • 包含個人數據的服務器應位於安全位置,遠離一般辦公空間。
  • 數據應經常備份。這些備份應定期測試,符合公司的標準備份程序。
  • 數據絕不應直接保存到筆記本電腦或其他移動設備,如平板電腦或智能手機。
  • 所有包含數據的服務器和計算機應受到批准的安全軟件和防火牆的保護
  • 所有存儲數據的服務器應位於被歐洲委員會認為具有足夠保護水平的國家

數據保留

除非另有說明,當客戶選擇在使用 ID Analyzer API 時啟用數據存儲,所有提交的個人信息都將安全存儲並可檢索至少 5 年。然而,在以下情況下,存儲的個人信息可以全部或部分刪除:

  • 根據客戶的書面請求
  • 由客戶通過 API 或網絡門戶發起
  • 客戶賬戶超過 24 個月不活躍
  • 客戶有未付的未付賬單
  • 應要求從系統中擦除其信息的個人(擦除權)
  • ID Analyzer 停止運營的情況

數據使用

為了改進 ID Analyzer 服務並為我們的客戶提供支持,我們公司需要在嚴格指導方針管理的環境下處理客戶數據。我們了解當訪問和使用個人數據時,可能會面臨最大的丟失、損壞或盜竊風險:

  • 在處理個人數據時,員工應確保電腦屏幕在離開時始終被鎖定
  • 個人數據不應非正式共享。特別是,絕不應通過電子郵件發送,因為這種通信方式不安全。
  • 數據在電子轉移前必須加密。IT 經理可以解釋如何將數據發送給授權的外部聯繫人。
  • 個人數據絕不應轉移到公司本地區域網絡之外,除非經過驗證的客戶要求。
  • 員工不應將個人數據的副本保存到自己的電腦上。始終訪問和更新任何數據的中央副本。

數據準確性

法律要求 Evith Technology 採取合理步驟確保數據保持準確和最新。

個人數據的準確性越重要,Evith Technology 應該投入更多努力來確保其準確性。

所有處理數據的員工都有責任採取合理步驟確保數據盡可能保持準確和最新。

  • 數據將在盡可能少的地方保存。員工不應創建任何不必要的額外數據集。
  • 員工應抓住一切機會確保數據更新。例如,通過在他們打電話時確認客戶的詳細信息。
  • Evith Technology 將使數據主體容易更新 Evith Technology 持有的有關他們的信息。例如,通過公司網站。
  • 在發現不準確性時應更新數據。例如,如果無法再通過其存儲的電話號碼聯繫到客戶,應將其從數據庫中刪除。
  • 確保市場營銷數據庫每六個月與行業壓制文件核對是市場營銷經理的責任。

國際數據傳輸

ID Analyzer 運營兩個 API 區域:美國 (US) 和位於法蘭克福的歐盟 (EU)。為了確保遵守數據保護法規,我們堅持嚴格的數據居住政策。通過我們的 API 上傳的所有個人信息將僅在提交的區域內存儲和處理。這意味著不會在美國和歐盟區域之間進行個人數據的國際傳輸。這種方法保護了您的數據,並確保遵守歐洲經濟區 (EEA) 用戶的一般數據保護條例 (GDPR) 等法規。

數據擁有者(客戶)的權利和責任

  • 負責向 ID Analyzer 提供準確和合法的數據。
  • 有權訪問、更正和刪除 ID Analyzer 存儲的其數據。
  • 應及時通知 ID Analyzer 任何數據的變更或更新。
  • 指定其對數據存儲和處理的偏好。
  • 在整個處理過程中保留對數據及其使用的控制權。
  • 有權獲得有關其數據處理方式的清晰信息,包括數據的用途、類別和接收者。

數據處理者(ID Analyzer)的權利和責任

  • 代表數據擁有者以公平和合法的方式處理數據。
  • 實施安全措施以在處理過程中保護數據。
  • 為數據擁有者提供管理其數據所需的工具和流程。
  • 遵守數據擁有者關於數據處理的偏好和指示。
  • 保持數據處理活動和實施的安全措施的記錄。
  • 在發生數據洩露或未經授權的訪問時,及時通知數據擁有者。

主體訪問請求

所有 Evith Technology 持有其個人數據的個體都有權:

  • 詢問公司持有關於他們的哪些信息以及原因。
  • 詢問如何獲取該數據。
  • 被告知如何保持數據更新
  • 被告知公司如何履行其數據保護義務

如果個人聯繫公司請求此信息,這稱為主體訪問請求。

個人應通過電子郵件向數據控制者提出主體訪問請求,發送至ID Analyzer聯絡信箱。數據控制者可以提供標準請求表格,儘管個人不必使用此表格。

個人不能被收費以滿足主體訪問請求。數據控制者將致力於在30天內提供相關數據。

數據控制者在提供任何信息之前,將始終驗證發出主體訪問請求者的身份。

出於其他原因披露數據

在某些情況下,一般數據保護條例允許在未經數據主體同意的情況下向執法機構披露個人數據。

在這些情況下,Evith Technology 將披露所請求的數據。然而,數據控制者將確保請求是合法的,必要時尋求董事會和公司法律顧問的協助。

提供信息

Evith Technology 旨在確保個人知道他們的數據正在被處理,並且他們了解:

  • 數據如何被使用
  • 如何行使他們的權利

為此,公司有一份隱私聲明,闡明公司如何使用與個人相關的數據。