全球隐私政策
A.一般信息
Sonova AG 根据瑞士法律注册成立,作为数据控制者,其注册地址为 Laubisrütistrasse 28, 8712 Stäfa, Switzerland,并通过其位于世界各地的关联公司(统称为“公司”或“我们”或“我们的”)开展业务运营。
鉴于公司在其日常业务中处理个人数据,特此制定并实施本全球隐私政策(以下简称为“政策”),说明公司在使用其客户、承包商和合作伙伴(以下简称“数据主体”)的个人数据方面的做法。 公司特别注意尊重隐私和个人数据,并承诺按照适用的当地法律遵守本政策。
“个人数据”指与已识别或可识别的自然人相关的任何信息。
“处理”是指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动方式,例如收集、记录、组织、结构设计、存储、改编或更改、检索、咨询、使用、通过传输进行披露、分发或以其他方式提供、调整或组合、限制、删除或销毁。
B. 本政策的适用法律
公司承诺遵守适用的数据保护法(以下简称“适用法律”)。因此,根据公司成立所处的国家/地区,个人数据的处理将受当地适用法律的约束。尽管某些要求可能因国家/地区而异,但公司特别关注数据主体的隐私,且本政策构成公司承诺遵守的全球准则。
特别是,公司承诺遵守以下适用法律:
- 欧洲议会和欧洲理事会于 2016 年 4 月 27 日发布的关于在个人数据处理和此类数据的自由流动方面保护自然人并废除 95/46/EC 指令的第 (EU) 2016/679 号条例(《通用数据保护条例》,以下简称“GDPR”)。GDPR 旨在协调和制定与欧盟境内个人数据处理相关的规则,以便为专业人士提供单一的法律框架,并寻求加强公民对其相关个人数据的可能使用情况的控制。该条例适用于欧盟公民或居民的个人数据处理,以及欧盟区域内数据控制者或处理者活动中的个人数据处理。
- 1992 年 6 月 19 日发布的《瑞士联邦数据保护法案》(以下简称“FADP”),该法于 2020 年进行了修订,以适应当前的技术要求,并与GDPR 和其他最新欧盟条例保持一致。
- 《2018 年加利福尼亚州消费者隐私法案》(以下简称“CCPA”),旨在为居住在加利福尼亚州且其个人数据由各公司处理的消费者提供更高的透明度和更大的权利保障。
- 《1996 年健康保险可携带性和责任法案》(以下简称“HIPAA”),该法案规定了美国关于医疗机构和业务合作伙伴对健康数据进行电子处理的规则。
C.收集的个人数据
公司可能处理以下个人数据:
- 身份数据:姓、名、国籍和出生日期
- 联系方式数据:邮政地址、私人电话号码、私人电子邮件地址以及紧急联系人
- 社会保险参考号和保险公司
- 财务数据:支付方式、金融机构、IBAN
- 与用户健康相关的数据:体重、身高、医疗问题、医生处方、听力、身体活动跟踪(步数、运动强度、运动分钟数)、健身数据(心率、能量消耗、血压)
- 与网站用户行为相关的数据
- 与客户购买的产品相关的数据:型号、序列号、使用数据
- 与所提供服务相关的数据
- 与客户就我们的产品和服务提供的反馈相关的数据:评论和意见
此外,由于我们的活动主要专注于打造创新的助听解决方案,因此我们可能需要收集敏感的个人数据,特别是健康数据。根据数据主体居住的国家/地区,此类敏感个人数据可能受益于特别保护,特别是在实施
的安全和保密措施方面。
D.处理个人数据的目的
公司在处理个人数据时以下述法律依据为基础。根据数据主体所居住的地区和相关适用法律,亦可能使用其他法律依据。
首先,对个人数据的某些处理可能以数据主体的同意为依据。出于此目的进行的个人数据处理可能包括:
- 进行市场推广,例如发送有关公司提供的产品和服务的时事通讯和信息
- 提高我们网站的性能
- 为您提供建议以及与您互动:为您创建帐户、通过联系表单与我们联系、供 Sonova 对用户作出回复、进行在线听力测试
此外,公司对个人数据的处理也可能以与数据主体签订合同或执行合同前措施为依据。 出于此目的进行的个人数据处理可能包括:
- 履行我们对数据主体的合同义务
- 在客户购买产品后提供售后服务
- 社会保障/保险处理
- 索赔管理
公司还可能根据其合法权益处理个人数据,特别是为了改进我们的产品和服务、客户体验以及内部流程。出于此目的进行的个人数据处理可能包括:
- 进行统计/使用情况分析
- 履行内部行政职能
- 处理客户请求
- 防止诈骗活动并提高安全性
- 管理与数据主体的关系
- 评估我们产品和服务的相关性
公司还可能为响应法律规定而处理个人数据。根据法律规定进行的处理取决于适用法律。
E. 个人数据的保留
个人数据的保存时间不超过上述目的所需的时间。这意味着,实现处理个人数据的目的后,会立即删除个人数据。但是,如果为遵守适用法律或者保护或行使我们的权利而有必要,公司可在适用数据保护法律许可的范围内,将个人数据保留更长的时间。
在保留期结束时,为遵守适用法律的要求,公司可能还需要将个人数据存档保存一段有限的时期并限制其访问权限。
此类保留期限可能因数据主体所在的国家/地区和适用法律而异。
F. 个人数据的披露
根据您的同意或其他相关法律依据,公司可与以下第三方共享个人数据:
- 本集团的其他公司,例如子公司和关联公司
- 代表我们提供服务的可信赖业务合作伙伴,例如用于提供技术支持、进行市场推广或其他类型的服务交付
- 政府机构和公共机构,前提是共享个人数据对于以下目的是必需的:提供任何已请求或授权的服务,保护客户、承包商及合作伙伴的权利或者保护我们或他人的权利、财产或安全,维护我们所提供的服务的安全;或者适用法律、法院或其他政府规定要求我们这样做;或者此类披露是支持任何法律或刑事调查或法律诉讼所必需的
根据适用法律,我们与一些第三方签订合同,确保根据我们的指示,并遵照本政策及任何其他适当的保密和安全措施,处理个人数据。
G.个人数据的传输
上述 我们可能向其披露个人数据的第三方(例如附属公司和子公司,以及业务合作伙伴、公共机构)可能位于数据主体所在国家/地区境外,其中可能包括数据保护法律可能与数据主体所在国家/地区不同的国家/地区。
如果在欧盟/欧洲经济区内处理个人数据,并且将个人数据披露给位于欧盟委员会认为未提供足够保护的国家/地区内的第三方,则公司将确保:
- 实施适当程序以遵守适用法律,特别是在需要向主管监管机构申请授权的情况下
- 实施适当的组织、技术和法律保护措施来规管上述数据传输,并确保根据适用法律提供必要和充分的保护
- 如有必要,实施欧盟委员会通过的标准合同条款
- 如有必要,采取补充措施,例如在评估传输情况和评估第三国/地区立法后,如果确定有必要对传输的个人数据进行保护,则完成数据传输充分性评估
如果个人数据不在欧盟/欧洲经济区内处理,并且将个人数据披露给数据主体所处司法管辖区境外的第三方,公司将确保采取适当保护措施,通过实施相应的法律机制保护个人数据。此类机制可能因国家/地区和相关适用法律而异。
H.个人数据安全
公司根据适用法律实施了各种安全措施,保护个人数据不会遭受任何安全事故或未经授权的披露,以及更普遍的个人数据泄露。此类安全措施为业界认可的适当安全标准,包括访问控制、密码、加密和定期安全评估等。
如果发生个人数据泄露,特别是如果存在安全漏洞,意外或非法导致破坏、丢失、更改、未经授权披露或访问所传输、存储或以其他方式处理的个人数据,公司将采取适当的措施,例如:
- 开展调查和分析,以确定个人数据泄露的后果,特别是其是否可能对受影响者的权利和自由造成风险
- 如果分析表明受影响者的权利和自由存在风险,公司将通知主管机构,并在存在高风险时,通知受影响者
- 尽快实施补救和缓减个人数据泄露的必要措施
- 记录个人数据泄露情况,确保其可追溯性
发生个人数据泄露事件时采取的相应措施和程序可能会有所不同,具体取决于发生数据泄露的国家/地区、数据泄露类型以及相关适用法律。
I. 与个人数据相关的隐私权
根据相关适用法律的不同,数据主体拥有与其个人数据相关的权利,例如请求访问、更正、删除其个人数据,以及限制处理、反对处理、请求数据迁移的权利、知情以及撤回其对“根据其同意处理其个人数据”的同意的权利。如果数据主体对自动化个人决策存有顾虑,则其也可以反对进行此类处理。
此外,在某些司法管辖区,您可就您的个人数据在完成其用途后的保留、通信和删除作出指示。
此类权利的行使并非绝对性的,须遵守适用法律规定的限制。
如果数据主体认为其个人数据的处理违反了适用法律,则其有权向当地监督机构或主管监管机构提出投诉。
如需行使此类隐私权,数据主体可按照下文“如何与我们联系”一节所述方式与我们联系。为回应您的请求,我们可能会要求您提供身份证明。如果我们无法满足您的要求(拒绝或限制),我们将以书面形式说明我们所做决定的理由。
J. 本政策的更新
如有必要,我们可能不时对本政策进行更新,以反映新的或不同的隐私实践。在此类情况下,我们会在此页面上发布本政策的更新版本。修订后的政策仅适用于其生效日期之后收集的数据。我们鼓励您定期查看此页面,以获取有关我们隐私实践的最新信息。
K. 如何与我们联系
如有关于本政策的任何问题、意见或疑虑,或如需行使适用法律所允许的与个人数据相关的隐私权,请通过以下地址联系我们的数据保护官:Sonova AG, Laubisruetistrasse 28, 8712 Stäfa, Switzerland 或发送电子邮件至:privacy@sonova.com