目录
Water African Project(下称"WAP")高度重视其业务活动中所处理个人数据的保护。本政策旨在告知数据主体其数据如何被收集、使用、保留和保护,符合2016年4月27日欧盟2016/679号条例("GDPR")及1978年1月6日法国第78-17号法律(已修订,"《信息与自由法》")的规定。
WAP是一家法国中小企业,业务以出口为主,客户主要位于非洲,供应商主要位于欧洲和亚洲。本政策的制定充分考虑了公司实际运营情况,秉持透明度与问责制原则(GDPR第5.2条所述的accountability原则)。
第1条——数据控制方
个人数据的控制方为Water African Project(WAP),简易股份公司,注册地址:5 avenue du canal Philippe Lamour, 30660 Gallargues-le-Montueux, 法国。
如对个人数据有任何疑问或请求,您可通过本站联系表单并注明主题"个人数据",或致电+33 9 73 26 90 30。
第2条——适用范围
本政策适用于WAP处理的以下相关人员的个人数据:
- www.waterafricanproject.com网站访问者
- 潜在客户
- 客户
- 供应商与服务提供方
- 合作伙伴
- 项目执行过程中接触的专业人员
第3条——处理的数据类别
可能处理的数据类别如下。
3.1 身份与联系数据
姓、名、职务、公司、办公邮寄地址、邮箱、电话。
3.2 商业关系数据
书面往来、报价单、订单、信函、关系历史记录。
3.3 项目数据
技术文档、信函、任务相关文件,以及业务准备、执行和跟进所需的内容。
3.4 供应商与服务提供方数据
商务联系信息、合同文件、证明材料。
3.5 偶发性身份证件
对于涉及行政手续的项目(邀请函、签证申请、海关手续),数据主体或其对应方可能传送某些身份证件(复印件或护照号码)。这些文件仅用于相关手续,不进行结构化储存。
3.6 浏览数据
与网站浏览相关的技术数据(参见第14条——Cookies)。
第4条——处理目的
个人数据处理用于以下目的:
- 回复通过本站或其他渠道收到的请求
- 商业关系管理(潜客开发、报价、订单、项目、开票)
- 履行税务、会计、海关及行政义务
- 保障内部组织和信息系统安全
- 办理项目相关手续(邀请、签证、运输)
- 管理Cookies和网站运行
第5条——处理的法律依据
依据GDPR第6条,WAP开展的处理活动依据以下法律依据:
- 同意(第6.1.a条),用于非严格必要的通讯及非必要Cookies
- 合同前及合同履行(第6.1.b条),用于报价、订单、项目、发票及合同相关手续
- 法定义务(第6.1.c条),用于会计、税务及海关的数据保留
- 正当利益(第6.1.f条),用于商业关系管理、定向B2B潜客开发、系统安全及专业联系人档案维护
第6条——数据的必填或选填属性
部分信息为处理您的请求或履行合同所必需,缺失则WAP可能无法跟进。其他信息为选填,您可自行决定是否提供。
第7条——数据来源
WAP所处理的个人数据来源包括:
- 直接来自数据主体本人
- 项目相关同事、雇主或专业对应方
- 通过专业交流(邮件、即时通讯、会议、拜访)
- 通过项目相关文件的传送
- 通过网站(联系表单、浏览)
- 通过公开的专业资料来源(名录、展会、出版物)
第8条——数据接收方
个人数据可能传达至:
- WAP经授权的员工,限于其职责范围内
- 技术服务提供方(参见第9条——分处理方)
- 必要时的外部顾问(注册会计师、法律顾问)
- 项目执行严格必需时的供应商、承运人或合作伙伴
- 履行法定义务时的主管机关
第9条——分处理方
WAP的主要技术分处理方包括:
- Microsoft Ireland Operations Ltd——提供Microsoft 365、Exchange Online、Microsoft Teams、OneDrive、SharePoint及Dynamics 365服务
- OVH SAS / OVHcloud——网站托管
这些分处理方与WAP之间订立了符合GDPR第28条要求的数据处理协议(Data Processing Agreement),相关协议在上述服务商各自平台上公开发布、可公开访问。
第10条——数据存放地
WAP所使用主要服务的静态数据存放于法国:
- Exchange Online(邮件)——法国
- Microsoft Teams——法国
- OneDrive——法国
- SharePoint——法国
- Dynamics 365——WAP Crm PROD环境——法国
- Exchange Online Protection——欧盟 / 欧洲自由贸易联盟(EFTA)
- Viva Connections——欧盟 / 欧洲自由贸易联盟(EFTA)
上述存放地已由WAP在Microsoft管理界面(Microsoft 365 Admin Center及Power Platform Admin Center)中核验。如有充分理由,可应请求提供证明材料。
第11条——向欧盟境外传输数据
WAP的业务以出口为主,客户主要位于非洲,服务商主要位于欧洲和亚洲。在此背景下,部分数据(商务联系信息、项目文件、行政手续所需身份证件)可能传输至欧盟境外的国家。
WAP不在欧盟境外维持任何有组织的主要存储。数据传输属偶发性质,且严格限于相关项目所必需的范围。
11.1 适用法律框架
当此类传输发生于未获得欧盟委员会充分性决定的国家时,依据GDPR第49条规定的例外条款进行,特别是:
- 数据主体与WAP之间合同履行的必要性(第49.1.b条)
- 为数据主体利益缔结的合同履行的必要性(第49.1.c条)
- 数据主体自行传送其文件以达成该目的时,已表达的明示同意(第49.1.a条)
11.2 标准合同条款
若相关服务商可提供欧盟委员会通过的标准合同条款(SCCs,2021年6月4日第2021/914号执行决定),WAP将依据该等条款进行。
11.3 数据主体知情权
您可通过本站表单注明主题"个人数据"与我们联系,索取已实施的保障措施信息。
第12条——保留期限
WAP不实施自动化清除。数据保留遵循务实、现实的逻辑,与实际业务需求相符,符合GDPR第5条的最小化和存储限制原则。
- 专业联系人——只要对业务关系仍有价值则保留。当联系人明显失效(职务变更、离职、辞世、业务终止、长期无交流)时,予以删除或更新。
- 项目数据——只要仍有价值即无限期保留(技术参考、潜在项目重启、保修或索赔义务、文献价值)。依据:GDPR第5.1.e条。
- 邮件中的偶发性数据——随时间渐进式删除,无统一的固定保留期。
- 会计文件——10年(《法国商法典》第L.123-22条)。
- 税务文件——6年(《法国税务程序法》第L.102 B条)。
- Cookies——不超过13个月,符合CNIL建议。
第13条——数据安全
WAP采取与其业务规模和性质相适应的技术和组织措施。包括:
- 按角色进行访问管理与权限隔离
- 对支持强认证的工具启用强认证
- 工作站防护(更新、杀毒、锁屏)
- 通过SharePoint及Dynamics 365进行结构化文档组织
- 在Dynamics 365环境启用审计,日志保留365天
- 主要处理活动专属使用结构化专业工具(Microsoft 365、Dynamics 365)
WAP系小型机构,无专职IT部门。上述措施反映实际运营情况,与所处理范围内识别出的风险相称。
第14条——Cookies
本网站可能使用:
- 严格必要的Cookies——保障网站正常运行(安全、同意状态记录、语言偏好),依据适用法规无需事先同意即可设置;
- 视所启用的服务,亦可能提供功能性、分析性或营销性Cookies。
非严格必要的Cookies须经您本人选择,可通过首次访问时显示的提示横幅接受、拒绝或逐项配置。该选择可随时通过站内设置修改。
WAP不主动利用非必要Cookies的数据。所实际使用的Cookies详情,请参阅Cookies政策。
第15条——画像与自动化决策
WAP不实施任何画像,亦不进行任何对数据主体产生GDPR第22条所述法律或重大影响的完全自动化决策。
第16条——数据主体的权利
依据GDPR第15至22条及《信息与自由法》,您对其个人数据享有以下权利:
- 访问权(GDPR第15条)
- 更正权(GDPR第16条)
- 在GDPR规定条件下的删除权(GDPR第17条)
- 限制处理权(GDPR第18条)
- 反对权,特别是针对基于正当利益的处理(GDPR第21条)
- 适用情况下的数据可携权(GDPR第20条)
- 随时撤回同意之权,不溯及既往
- 就身故后数据处置发出指示之权(第78-17号法律第85条)
如需行使上述权利,请通过本站联系表单并注明主题"个人数据",或致电+33 9 73 26 90 30。我们将在收到您请求之日起一个月内答复,遇请求复杂或数量较多时可延长两个月。
第17条——向监管机构投诉权
您有权向法国监管机关——国家信息与自由委员会(CNIL)——投诉。
第18条——政策更新
本政策可随时修订,以反映法规、技术或组织上的变化。现行有效版本为本站发布的版本,文件顶端标明最近更新日期。
建议数据主体定期查阅本政策,以了解相关变更。