2023 年 4 月 1 日
(A) 本政策
本政策由下文第 P 節所列各管理者實體(統稱「KLDiscovery」、「我們」或「我方」)頒佈。本政策適用對象:與我們有交涉的我方組織以外的個體,包括顧客、企業顧客人員、我方網站(我方「網站」)訪客、合夥人、供應商、求職者和我方服務的其他使用者(統稱「您」)。本政策所用術語的定義參見下文第 (R) 節。本政策也適用於我方社群媒體(參見下文)。
節所列各管理者實體(統稱「KLDiscovery」、「我們」或「我方」)頒佈。本政策適用對象
本政策可能不時修訂或更新,以便顯示事關個人資料處理的操作變更或者適用法律變更。我們鼓勵您仔細閱讀本政策,定期檢查本頁面,以便查看我們根據本政策條款作出的任何變更。
KLDiscovery 在以下品牌下營運:KLDiscovery、Ontrack、Ibas 和 ReadySuite。
(B) 處理您的個人資料
個人資料收集:我們經由以下來源收集或獲取您的個人資料:
- 提供給我們的資料:當您透過電郵、電話或任何其他管道聯繫我們或者當您向我們提供您的名片或者當您提交求職履歷表時。
- 關係資料:我們與您建立關係的正常過程中(例如我們為您或您的雇主提供服務過程中所獲取的個人資料)。
- 您公開的資料:您明確選擇公開的個人資料,包括經社群媒體公開的資料。
- 網站資料:當您訪問任何我方網站以及註冊或使用網站或經由網站提供的任何功能或資源,我們所收集或獲取的個人資料。
- 內容和廣告資訊:如果您與某網站的任何第三方內容或廣告或者第三方外掛程式和網路 cookie 有交涉,則我們會接收到您提供該內容或廣告相關第三方的個人資料。
- 第三方資訊。我們收集或獲取的個人資料來自向我們提供這些內容的第三方(例如徵信機構或執法機構)。
創建個人資料:我們也可能在提供服務的過程中創建您的個人資料,例如您我雙方的交涉記錄和訂單歷史詳情。我們還可能結合以下內容:利用任何我方網站和服務所獲取的個人資料以及經由不同來源收集的個人資料。
個人資料類別:我們處理的個人資料類別包括:
- 個人詳情: 姓名;性別;出生日期/年齡;國籍;和照片。
- 聯繫詳情:通訊或送貨位址(例如用於退回原媒體和/或儲存裝置);電話號碼;電郵地址;社群媒體資料詳情。
- 同意記錄:徵得您任何同意的記錄以及同意日期、時間、手段和任何相關資訊(例如同意標的物)。
- 付款詳情:購買資訊、定價、發票記錄、帳單位址;銀行帳號或信用卡號;持卡人或開戶人姓名;卡片或帳戶安全詳情;卡片‘生效’日期;卡片到期日。
- 看法和意見:您選擇發送給我們的任何看法和意見,或者在社群媒體平臺上公開發佈的關於我們的任何看法和意見。
- 申請詳情:您可能提交的所有類型的申請文件(職業經歷、簡歷、資格、證書、推薦信等)
- 雇主詳情:您以第三方雇員身份與我們交涉的情況下;您雇主的相關姓名、地址、電話號碼和電郵地址。
- 我方網站相關資料:裝置型號;作業系統;瀏覽器類型;瀏覽器設定;IP 地址;語言設定;聯網日期和時間;其他技術通訊資訊(其中一些可能構成個人資料);用戶名;密碼;安全登錄詳情;使用資料;綜合統計資訊。
處理目的和法律基礎
目的 | 法律基礎 |
提供網站和服務:與您交流這些網站和服務的相關內容。 |
|
展開業務:營運和管理我方網站和服務;向您提供內容;向您展示廣告和其他資訊;透過我方網站或我方服務與您交流和交涉;通知您任何我方網站或我方服務的變更。 |
|
交流和行銷:透過任何途徑(包括經電郵、電話、資訊、社群媒體、公告或面對面)與您交流,提供您可能感興趣的資訊,但始終要在適用法律要求的範圍內事前徵得您的選入同意;為您個性化設定我方網站和服務;適時保留和更新您的聯繫資訊;按要求事前徵得您的選入同意;啟動和記錄您的退出或取消訂購選擇(如適用)。 |
|
IT 系統管理:管理和運行我們的通訊、IT 和安全系統;稽核(包括安全稽核)和監控這類系統。 |
|
健康和安全:健康和安全評估以及記錄保留;在我方場地提供安全、有保障的環境;遵守相關法律義務。 |
|
財務管理:銷售;財務;公司稽核;供應商管理。 |
|
民意調查:為了獲取您關於我方網站或我方服務的看法而與您交涉。 |
|
安全:我方場地的現實安全(包括參觀我方場地的記錄);CCTV 記錄;電子安全(包括登錄記錄和存取詳情)。 |
|
調查:根據適用法律檢測、調查和預防政策違反行為和刑事犯罪。 |
|
合法合規:遵守適用法律項下的法律和監管義務。 |
|
改進我方網站和服務:找出我方網站存在的問題並規劃改進內容,以及創建新的網站或服務。 |
|
預防欺詐:檢測、預防和調查欺詐。 |
|
|
|
敏感個人資料
我們不會試圖收集或以其他方式處理敏感個人資料,但基於以下情況,將如此行事。
處理敏感個人資料的合法基礎:我們可能基於以下一個或多個法律基礎,處理與本政策所述目的相關的敏感個人資料,具體視情況而定:
- 我們已事先獲得您明確同意「處理」(此法律依據僅與完全自願的「處理」有關——它不適用於任何必須或強制性的「處理」);
- 出於以下必要的處理:事關您可能與我們簽訂的任何服務提供合約;
- 適用法律要求或批准進行處理;處理是出於提起、行使或抗辯法律主張的必要
- 處理是出於保護任何個體的切身權益的必要;或者
- 我們擁有合法權益,能夠出於管理、營運或提升我方業務等目的進行處理,而您的權益、基本權利或自由不會淩駕於該合法權益之上。
自願提供個人資料和不提供的後果:向我們提供您的個人資料係出於自願,與我們簽訂合約和我們履行對您的合約義務時,這通常是必然要求。向我們提供您的個人資料並非您的法定義務;但是,如果您決定不向我們提供您的個人資料,我們將無法與您達成合約關係,也無法履行我們對您的合約義務。
向第三方揭露個人資料
我們向 KLDiscovery 集團內的其他實體揭露您的個人資料,目的是根據適用法律履行我們對您的合約義務或出於合法經營目的(包括向您提供服務和運行我方網站)。此外,我們向以下實體揭露您的個人資料:
- 您和您指定的代表(如適用),或者您的雇主,我們向您的雇主提供服務的情況下;
- 法律或監管當局,按要求或者為了報告任何實際或疑似違反適用法律或法規的情況;
- 會計、稽核員、諮詢師、律師和 KLDiscovery 專業顧問以外的其他人,前提是受約於合約的保密義務;
- 世界各地的第三方處理機構(例如付款服務提供者、管道和零售合夥人、運輸/快遞公司;技術供應商、顧客滿意度調查提供者、「即時聊天」服務營運商和提供合規服務(例如檢查政府頒佈的禁令名單)的處理機構,如美國境外資產控制辦公室),但要符合本第 (C) 節的下列要求;
- 任何相關方、監管機構、政府當局、執法機構或法庭,出於提起、行使或抗辯合法權利的必要,或者任何相關方,出於預防、調查、檢測或起訴刑事犯罪或執行刑事處罰的目的;
- 任何相關第三方收購者或在位繼任者,如果我們出售或轉讓我方業務或資產的全部或任何相關部分(包括重組、解散或清算的情況),但僅在遵守適用法律的條件下進行;以及
- 任何相關第三方提供者,我方網站使用第三方內容、廣告、外掛程式或內容的情況下。如果您選擇接觸任何這類內容,可能與相關第三方提供者的第三方提供者分享您的個人資料。我們建議您在接觸第三方內容前審查其隱私政策。
如果我們需要第三方處理機構處理您的個人資料,我們將和該第三方處理機構納入資料處理協定和適用法律要求的足夠保證,使處理機構將受約於合約義務:(i) 僅根據我們的事前書面說明處理個人資料;(ii) 採取措施保護個人資料的機密性和安全性;以及適用法律項下的任何其他要求。任何情況下,受 KLDiscovery 委託處理個人資料的這類第三方的行為或不作為,均由 KLDiscovery 負主要責任。KLDiscovery 應確保所有這類第三方在向適用第三方傳輸這類個人資料前維持 KLDiscovery 規定的安全和資料處理措施標準。
我們可能將與網站使用相關的個人資料匿名化(例如以匯總格式記錄這類資料)並與我們的業務合夥人(包括第三方業務合夥人)分享這類匿名資料。
(D) 個人資料的國際傳輸
由於我們營運國際性業務,因此我們可能需要在 KLDiscovery 集團內部傳輸您的個人資料,可能向上述第 (C) 節所述第三方傳輸您的個人資料,目的與本政策所述目的相關。為此,我們可能將您的個人資料傳輸至其他國家/地區,由於這些國家/地區的法律和資料保護合規要求與您所在國家/地區所適用的有所不同,其資料保護標準可能比歐盟低。
如果我們將您的個人資料傳輸至其他國家/地區,我們將按照適用的歐盟標準合約條款的要求行事,並且在相關情況下,將遵守依照英國和瑞士法律做出的修訂。您可以索取標準合約條款的副本,索取方式參見下文第 (P) 節提供的聯繫詳情。
根據 2021 年 6 月 28 日頒佈的充足性決策向英國傳輸個人資料 隨著英國退出歐盟並自 2020 年 12 月 31 日起成為「第三國」,2021 年 6 月 28 日,歐盟委員確定,英國保證要維持通用資料保護條例 2016/679 (「GDPR」) 第 45 章規定的充足保護水準(簡稱「充足性決策」),且事關向英國傳輸個人資料的此決策對英國有利。
如果我們出於本政策所述目的從歐盟、瑞士或歐洲經濟區的其他成員國向英國傳輸您的個人資料,自充足性決策之日起,我們將依照充足性決策行事。
(E) 美國商務部認證
KLDiscovery 獲得了美國商務部的歐盟-美國隱私保護框架和瑞士-美國隱私保護框架認證。儘管我們不會根據隱私保護框架從歐盟、英國或瑞士向美國傳輸個人資料,但我們仍將履行歐盟-美國和瑞士-美國隱私保護框架項下義務。2020 年 7 月 16 日,歐盟法院宣佈作廢基於歐盟-美國隱私保護傳輸個人資料,美國商務部遵循其決策,聲明將繼續管理隱私保護計畫,包括處理隱私保護框架自認證和重新認證的申請以及保留隱私保護名單。要瞭解更多「隱私保護」計畫及其資料保護要求及查看我們的證書,請蒞臨 https://www.privacyshield.gov/。
(F) 資料安全
我們已根據適用法律實施合理的技術和組織安全措施,旨在保護您的個人資料免受意外或非法損壞、遺失、更改、未授權揭露、未授權存取和其他非法或未授權形式的處理。
由於互聯網是公開系統,因此經互聯網傳輸資訊並非完全安全。儘管我們將實施一切合理措施來保護您的個人資料,但我們無法保證利用互聯網向我們傳輸的資料的安全,任何此類傳輸行為由您自行承擔風險,您負責確保安全傳送您發給我們的任何個人資料。
(G) 資料準確性
我們採取一切合理步驟來確保:
- 我們「處理」的您的「個人資料」是準確的,並在必要時保持最新;
- 我們「處理」的任何不準確(考慮到「處理」目的)的「個人資料」均會立即被刪除或糾正。
我們可能會不時要求您確認「個人資料」的準確性。
(H) 資料最小化
我們將採取一切合理步驟,以確保我們「處理」的您的「個人資料」僅限於與本政策所述目的(包括向您提供服務)合理相關的「個人資料」。
(I) 資料保留
我們將採取一切合理步驟,以確保僅在本政策規定的目的所必需的最短期限內「處理」您的「個人資料」。僅在以下情況中,我們將以可識別身份的形式保留您「個人資料」的副本:
- 我們與您保持持續性關係(例如,您是我方服務的使用者,或者您已合法歸入我們的郵寄名單且並未取消訂購);
- 您的「個人資料」依據本政策中規定的合法目的是必要的,對此我們擁有合法依據(例如,如果我們與您雇主簽訂的合約包含您的「個人資料」,並且我們出於業務營運及履行該合約下的義務等目的而「處理」這些資料具有合法利益);或者
- 我們徵得您同意,長期保存資料(例如,求職文件用於之後的工作機會)。
此外,我們將在以下期限內保留個人資料:
- 適用法律規定的任何適用時效期限(即,任何人可能就您的「個人資料」向我們提出法律索賠的任何期限,或者與您的「個人資料」有關的任何期限);
- 該適用時效期限結束後的另外兩 (2) 個月(因此,如果某人在時效期限結束時提出了索賠,我們仍然有合理的時間來確定與該索賠有關的任何「個人資料」),
如果任何相關的法律主張被提出,在該主張所必需的額外期限內我們可能繼續「處理」您的「個人資料」。
在上述法律主張相關期限內,我們將對您的「個人資料」的「處理」限制在儲存這些資料和維護個人資料的安全性方面,除非依據任何法律主張或適用的法律規定我們有義務審查您的個人資料。
一旦上述期限在各自適用的範圍內結束,我們將:(i) 永久刪除或銷毀相關個人資料;或 (ii) 將相關個人資料匿名化。
(J) 您的法律權利
在遵守適用法律的前提下,您可能具有關於「處理」您「個人資料」的一些權利,包括:
- 有權不向我們提供您的個人資料(但是,請注意,如果您不向我們提供您的個人資料,我們將無法向您提供我方網站或服務的全部利益,例如,我們在缺乏必要詳情的情況下可能無法處理您的請求);
- 有權要求存取或複製我們所處理或控制的您的「個人資料」,以及有關這些「個人資料」的來源、用途、「處理」性質和揭露情況的資訊;
- 有權要求更正我們所處理或控制的任何不正確的您的個人資料;
- 有權合法要求:
- 刪除我們所處理或控制的您的個人資料;
- 限制我們處理或控制您個人資料的處理方式;
- 有權合法拒絕我們或我們的代表處理您的個人資料;
- 有權將我們所處理或控制的您的個人資料傳輸給其他管理者,只要適用,且以常用的機器可讀取的結構形式傳輸;
- 有權撤銷處理同意,前提是徵得同意後處理才具合法性(注意,這類撤銷行為並不影響我們接收這類撤銷通知前已執行的任何處理行為的合法性,也不會阻止在任何其他可用法律基礎上處理您的個人資料);以及
- 有權向資料保護當局提出與我們或我們的代表處理您的個人資料相關的投訴。當局位址見以下連結:https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm
這並不影響您的法定權利。
重要通知
在遵守適用法律的前提下,您還可能具有以下有關「處理」您「個人資料」的其他權利:
- 有權基於您的特定情況而反對由我們或我們的代表「處理」您的「個人資料,其中這類處理基於 GDPR 第 6(1)(e) 條(公共利益)或第 6(1)(f) 條(合法權益);以及
- 有權拒絕我們或我們的代表出於直接營銷目的而「處理」您的「個人資料」。
為了行使其中一項或多項權利,或者提出與這些權利或本政策的任何其他規定或我們對您的個人資料處理有關的問題,請使用下文第 (P) 節提供的聯繫詳情。
如果我們根據訂單向您提供服務,則提供給您的合約條款將監管這類服務。若這類條款與本政策出現不一致,則本政策作為補充。
(K) 網路 cookie 和類似技術
網路 cookie 是指您瀏覽網站(包括我方網站)時,儲存在您裝置上的小型檔案。它記錄與您的裝置、瀏覽器,有時還有偏好和瀏覽習慣等相關資訊。我們可能根據我們的 透過網路 cookie 技術處理您的個人資料,該政策也描述了我們的網路cookie同意工具的工作原理。使用我們的網路cookie同意工具,您可以批准或拒絕嚴格來講並非必要的網路 cookie 設定。
(L) 分析工具和第三方服務商提供的工具
當您訪問本網站,可能對您的瀏覽模式進行統計分析。主要使用我們所說的分析程式來展開這類分析。關於這些不同分析程式的詳細資訊參見:第三方工具的使用。
(M) 社群媒體的使用
我方網站並不使用社群媒體外掛程式。只能透過我方網站內的連結登錄社群媒體網站。因此,訪問我方網站時,不會有任何個人資料傳輸至任何社群媒體網站。關於社群媒體使用的詳細資訊參見:社群媒體使用。
(N) 使用條款
使用我方網站須遵守我們的使用條款。我們建議您定期查看我們的使用條款,以便查看我們可能不時作出的任何變更。
(O) 直接行銷
根據適用法律,如果您已依照適用法律給出明確同意或者我們向您發送與我們的類似產品和服務相關的廣告和行銷通訊,則我們可能處理您的個人資料,以便透過電郵、電話、直接郵寄或其他通訊方式聯繫您,為您提供您可能感興趣的資訊或服務。如果我們向您提供服務,則在始終遵守適用法律的情況下,我們可能透過您提供給我們的聯繫詳情向您發送我方服務和接下來的促銷等資訊以及您可能感興趣的其他資訊。
您只需按一下我們發送的每封電郵或簡訊包含的取消訂購連結,便可隨時取消訂購我們的促銷電郵清單或簡訊。取消訂購後,我們不再向您發送其他電郵,但我們可能出於您要求的任何服務的必要,繼續與您聯繫。(P) 管理者詳情
本政策針對如下管理者頒佈:
國家/地區 | 公司名 | 註冊位址和聯繫方式 |
KLDiscovery Ontrack Limited | UK Data Privacy Queries, Nexus, 25 Farringdon Street, London, EC4A 4AB | |
KLDiscovery Limited | UK Data Privacy Queries, Nexus, 25 Farringdon Street, London, EC4A 4AB | |
愛爾蘭 | KLDiscovery Limited | Irish Data Privacy Queries, 25-28 North Wall Quay, Dublin 1, DO1 H104 |
丹麥 | Ibas Ontrack ApS | Danish Data Privacy Queries, C/O Regus Center Christians Brygge 28, 1559 København V |
芬蘭 | Ibas Ontrack Oy | Finnish Data Privacy Queries, Mannerheimintie 12 B, 00100 Helsinki |
荷蘭 | KLDiscovery Ontrack B.V | Dutch Data Privacy Queries, De Brand 22, 3823 LJ Amersfoort |
瑞典 | Ibas Ontrack AB | Swedish Data Privacy Queries, Box 1005, 751 40 Uppsala |
挪威 | IBAS Ontrack AS | Norwegian Data Privacy Queries, Fjellgata 2, 2212 Kongsvinger |
德國 | KLDiscovery Ontrack GmbH | German Data Privacy Queries, |
義大利 | KLDiscovery Ontrack Srl | Italian Data Privacy Queries, Gallarate (VA) Via |
波蘭 | KLDiscovery Ontrack Sp. z o.o | Polish Data Privacy Queries, Katowice (40-082), ul.Jana III Sobieskiego 11 |
新加坡 | KLDiscovery Ontrack Pte Ltd | Singapore Data Privacy Queries, 10 Collyer Quay 10 - 01, Ocean Financial Centre, 049315 |
中國 | 克安資訊技術服務(上海)有限公司 | 中國上海 |
日本 | KLDiscovery Ontrack K.K. | Japanese Data Privacy Queries, 2-2-3 Uchisaiwaicho Chiyoda-ku, Tokyo 100-0011 |
香港 | KLDiscovery Ontrack (HK) Limited | 香港灣仔 |
西班牙 | KLDiscovery Ontrack SL | Spanish Data Privacy Queries, Paseo de la Castellana, Num 81, Planta 11, 28046, Madrid |
法國 | KLDiscovery Ontrack Sarl | French Data Privacy Queries, 2, impasse de la Noisette, 91371 Verriéres-le-Buisson Cedex 413 |
瑞士 | KLDiscovery Ontrack (Switzerland) GmbH | Swiss Data Privacy Queries, Hertistrasse 25, 8304 Wallisellen |
澳大利亞 | KLDiscovery Ontrack Pty Ltd | Australian Data Privacy Queries, 9/28 Donkin St, West End QLD 4101 |
美國 | KLDiscovery Ontrack, LLC | American Data Privacy Queries, Attn: Jason Davison, 9023 Columbine Road |
KLDiscovery Inc | American Data Privacy Queries, Attn: Jason Davison, 9023 Columbine Road | |
KLDiscovery Franchising, LLC | American Data Privacy Queries, Attn: Jason Davison, 9023 Columbine Road | |
加拿大 | KLDiscovery Ontrack Canada Co | Canadian Data Privacy Queries, 1871 Hollis Street, Suite 200, Halifax, NS, B3J 0C3 |
希臘 | KLDiscovery Ontrack Single Member Private Company | Greek Data Privacy Queries, 15 Theanos Street |
請注意,如果所列控制者位於歐盟以外,則您可以聯繫您所在管轄區的實體。
(Q) 代表
上述第 (P) 節列出的在歐盟經濟區以外成立的各控制者出於 GDPR 第 27 章所述目的,已任命 KLDiscovery Ontrack GmbH, Hanns-Klemm-Str.5, 71034 Böblingen, Germany 為其代表。
上述第 (P) 節列出的在英國以外成立的各控制者出於 UK GDPR 第 27 章所述目的,已任命 KLDiscovery Limited, Nexus, 25 Farringdon Street, London, EC4A 4AB 為其代表。
(R) 定義
- 「控制者」是指決定如何及為何「處理」「個人資料」的實體。在許多司法管轄區,「控制者」對適用資料保護法律的遵守負有主要責任。
- 「資料保護機構」是指獨立的公共機構,其法律職責是監督對適用資料保護法律的遵守情況。
- ‘EEA’ 是指歐盟經濟區。
- 「GDPR」 是指通用資料保護條例 (EU) 2016/679。
- 「個人資料」是指有關任何個人的資訊,或者可以直接或間接識別任何個人的資訊,特別是透過參考諸如姓名、身份證號碼、位置資料、線上標識之類的識別字,或一個或多個特定於該個人的生理、心理、遺傳、精神、經濟、文化或社會身份的因素。
- 「處理」、「正在處理」或「已處理」指對任何「個人資料」所做的任何事情,無論是否透過自動化手段進行,例如收集、記錄、組織、結構化、儲存、改編或更改、檢索、諮詢、使用,透過傳輸揭露、傳播或其他方式提供、對齊或組合、限制、刪除或銷毀。
- ‘處理機構’是指代表控制者處理個人資料的任何個人或實體(控制者員工除外)。
- ‘服務’ 是指 KLDiscovery 提供的任何服務或產品。
- 「敏感個人資料」指有關種族或民族、政治見解、宗教或哲學信仰、工會會員身份、生物特徵資料、身體或精神健康、性生活、任何實際或所謂的刑事犯罪或處罰、國家身份證號碼或依據適用法律可能被視為敏感資訊的任何其他資訊。
- 「標準合約條款」指由歐盟委員會採用或由資料保護機構採用並經歐盟委員會批准的傳輸條款範本。
- 「UK GDPR」 是指根據 2018 年歐盟(退出)法案第 3 節歸屬英國適用法律的 GDPR 部分,其依照 2019 年資料保護、隱私和電子通訊(修訂等)(歐盟退出)條例 (SI 2019/419) 附表 2 進行應用和修改或不時依照英國適用的其他法律進行修改。
2023 年 4 月 1 日