隐私与 GDPR 合规
Tilt365承诺保护所有用户的隐私和个人数据。作为这一承诺的一部分,Tilt365 遵守 GDPR(《通用数据保护条例》),并将法律保护范围扩大到欧盟内外的所有用户。以下是我们将如何遵守这套新法规的总结。
I.用户权利概述
Tilt365 系统的所有用户均有权
- 所有 Tilt365 用户在首次使用该工具之前 ,都会收到一份清晰的隐私政策概要,用户必须对此表示同意。
- 要求并获得所有个人资料的副本, 通常仅限于姓名、电子邮件地址和其他个人资料。
- 删除档案中的所有个人信息:如果您希望 Tilt365 的工作人员删除您档案中的个人资料,请发送电子邮件至support@tilt365.com。
- 一旦您的数据从我们的系统中删除,我们将采取措施防止您被重新添加为评论参与者、账户持有人或潜在销售人员。
- Tilt365采用行业标准的静态和传输技术,确保所有存储在我们系统中的数据安全。
- 在一段时间后,个人资料将被自动删除。 在客户与Tilt365的业务关系到期后90天内,客户账户中存储的所有个人资料将被删除。
II.本政策的适用范围
本政策适用于处理Tilt365在美国收到的居住在欧洲的客户的个人资料。Tilt365向企业和个人提供在线人力资源评估软件服务。
本政策不包括无法识别个人的数据或使用假名的情况。(假名的使用是指用替代物代替姓名或其他标识符,从而无法识别个人身份)。
III.责任和管理
Tilt365已指定一个内部团队来监督其信息安全计划,包括其对GDPR计划的遵守情况。必要时,内部团队应审查并批准对该计划的任何重大变更。有关本政策的任何问题、疑虑或意见,也可直接发送至support@tilt365.com。
Tilt365将维护、监控、测试和升级信息安全政策、实践和系统,以协助保护其收集的个人数据。Tilt365的工作人员将接受适当的培训,以有效执行本政策。有关Tilt365为保护个人数据而采取的措施,请参阅第7部分。
IV.政策审查与核实
Tilt365将至少每年审查其遵守GDPR的情况。作为审查的一部分,Tilt365将进行内部核查,以确保其关于客户个人数据处理的证明和主张是准确的,并且公司已经适当地实施了这些做法。具体而言,作为核查流程的一部分,Tilt365 将开展以下工作:
- 审查 GDPR 法律及其公开发布的网站隐私政策,确保这些政策准确描述了有关收集客户个人数据的做法
- 确保本政策继续符合 GDPR 原则
- 确认客户了解处理投诉的程序和任何独立的争议解决程序(Tilt365可通过其公开发布的网站、客户合同或两者进行处理)
- 审查对员工进行培训的流程和程序,使其了解 Tilt365 参与 GDPR 计划的情况以及如何妥善处理客户的个人数据。
V.个人数据的收集和使用
Tilt365向客户提供各种解决方案,客户主要是企业客户,但个人消费者购买此类产品不受限制。当客户购买我们的产品、注册我们的网站、登录他们的账户、完成调查、向我们索取信息或以其他方式与我们沟通时,Tilt365 会收集客户的个人资料。
我们收集的个人资料可能会根据客户与我们网站的互动以及对我们服务的要求而有所不同。一般来说,Tilt365 会向客户收集以下类型的个人数据:联系信息,包括联系人姓名、工作电子邮件地址、工作邮寄地址、工作电话号码、头衔和公司名称。
当潜在销售人员在线使用我们的服务时,我们会收集他们的 IP 地址和浏览器类型。我们可能会将 IP 地址和浏览器类型与特定客户联系起来。我们还可能收集通过我们的网站与我们联系以索取更多信息的人员的个人数据;在这种情况下,我们将收集联系信息(如上所述)以及该人员选择通过我们的网站提交的任何其他信息。
就某些产品而言,Tilt365 是客户的服务提供商。作为服务提供商,我们将接收、存储和/或处理客户拥有和/或控制的个人数据,包括其员工、客户、顾客、代理人或其他个人的信息。在这种情况下,我们作为数据处理者,将代表每位客户并在其指导下处理个人信息。我们以此身份从客户处收集的信息将用于管理交易、报告、开具发票、续订、其他与向客户提供服务相关的操作,以及客户要求的其他用途。
Tilt365作为服务提供商,将直接从客户和客户的客户处间接收集的个人数据用于以下商业目的,但不限于:(1) 维护和支持其产品,交付和提供所需的产品/服务,并遵守与此相关的合同义务(包括管理交易、报告、发票、续订以及与向客户提供服务相关的其他操作);(2) 满足政府报告、税收和其他要求(例如,进口/出口);(3) 管理交易、报告、发票、续订以及与向客户提供服务相关的其他操作;(4) 管理交易、报告、发票、续订以及与向客户提供服务相关的其他操作;(5) 管理交易、报告、发票、续订以及与向客户提供服务相关的其他操作、(3) 在位于美国的计算机数据库和服务器中存储和处理数据,包括个人数据;(4) 验证身份(例如,在线访问账户);(5) 应客户要求;(6) 适用的当地法律法规允许或要求的其他业务相关用途;以及 (7) 法律要求的其他用途。
VI.个人数据的披露/转发
除本条款另有规定外,Tilt365仅向合理需要了解此类数据的第三方披露个人数据。这些接收方必须同意遵守保密义务。可能收到个人信息的第三方包括代表您的雇主(与我们签订合同的客户)签约的分析师或顾问,他们只会提前收到书面通知。所有接收个人信息的第三方必须在客户与第三方、Tilt365与第三方之间签订符合或超过GDPR标准的书面保密协议。
Tilt365可能会将个人数据提供给作为代理、顾问和承包商的第三方,以代表我们并在我们的指示下执行任务。例如,Tilt365可能会将这些个人数据存储在第三方运营的设施中。这些第三方必须同意仅将这些个人数据用于其受雇于Tilt365的目的,并且他们必须:(1) 遵守GDPR原则或适用的欧洲数据保护法允许的其他机制来传输和处理个人数据;或 (2) 同意为个人数据提供不低于本政策规定的适当保护。当数据主体同意或要求披露个人数据时,Tilt365也可能出于其他目的或向其他第三方披露个人数据。
Tilt365可能会在公认的公共机构提出要求的情况下,或者在满足国家安全和执法要求的情况下,被迫披露个人的个人信息。
VII.敏感数据
Tilt365不会收集客户的敏感数据。
VIII.数据完整性和安全性
Tilt365将您和您客户的个人数据存储在位于美国的Tilt365云数据库管理服务的服务器上。Tilt365由AWS托管,AWS宣布遵守GDPR。有关其服务器和安全性的更多信息,请参阅AWS安全白皮书(https://aws.amazon.com/whitepapers/overview-of-security-processes/)。
Tilt365会尽合理努力保持个人数据的准确性和完整性,并在适当的时候进行更新。Tilt365采取了物理和技术保障措施,以保护个人数据免遭丢失、滥用和未经授权的访问、披露、篡改或破坏。例如,电子存储的个人数据存储在一个安全的网络上,并有防火墙保护,进入Tilt365的电子信息系统需要用户通过密码或类似方式进行验证。Tilt365还采用访问限制措施,限制员工访问客户个人资料的范围。此外,Tilt365还使用安全加密技术来保护某些类别的个人数据。
尽管采取了这些预防措施,但任何数据安全保障措施都不能保证始终100%安全。
IX.通知
Tilt365通过其公开发布的网站隐私政策通知客户其遵守GDPR原则,网址为:www.tilt365.com/ 。
IX.访问个人数据
Tilt365工作人员只有在获得授权的情况下才能访问和使用个人数据,并且只能用于获得授权的目的。
X.访问、更改或删除个人数据的权利
- 访问权。作为 Tilt365 工具的用户,您有权随时访问您的数据。资料当事人有权知道数据库中包含了哪些关于他们的个人资料,并确保这些个人资料准确无误,且与Tilt365收集个人资料的目的相关。在适用法律允许的情况下,数据主体可以查看数据库中存储的自己的个人数据,并更正、删除或阻止任何不正确的数据。根据合理要求和 GDPR 原则的要求,Tilt365 允许客户访问其个人数据,以更正或修改不准确的数据。请注意,在客户账户关闭后,个人资料将从我们的系统中永久删除,在这种情况下,个人信息将不再可访问或编辑。
客户可通过登录其账户资料或通过电话或电子邮件联系Tilt365来编辑其个人资料。在修改个人资料时,资料当事人必须提供真实、完整和准确的信息。如需删除个人资料,客户应向当地的Tilt365办事处提交书面申请。已向Tilt365客户提交个人资料的个人,应第一时间联系客户更新其资料。 - 个人资料申请。当出现以下情况时,Tilt365将跟踪每一种情况,并根据法律和合同向相关方发出通知:(a) 除非法律法规禁止,否则执法机关要求披露个人数据的请求具有法律约束力;或 (b) 收到数据主体的请求。如果Tilt365从客户的客户处收到访问其个人资料的请求,则除非法律或与该客户的合同另有规定,否则Tilt365将把该资料当事人转介给客户。
- 满足访问、修改和更正请求。Tilt365将努力及时回应所有合理的查看、修改或停用个人数据的书面请求。
- 限制个人数据的使用。 您可以通过support@tilt365.com 联系我们,要求限制本协议中规定的个人数据的使用。
XI.本政策的变更
本政策可根据 GDPR 原则和适用的数据保护与隐私法律和原则不时进行修订。我们将通过在内联网上发布、电子邮件或其他方式让员工了解本政策的变更。如果我们所做的更改对我们处理之前收集的个人数据的方式产生实质性影响,我们将通知客户,并允许客户选择是否以任何实质性不同的方式使用其个人数据。
XII.问题或投诉
客户如对本政策有任何疑问或投诉,可通过以下地址联系Tilt365:support@tilt365.com。
XIII.执行和争议解决
如果客户对其个人数据的使用有任何问题或疑虑,请通过support@tilt365.com 与我们联系。根据GDPR原则,Tilt365承诺解决有关我们收集或使用您个人信息的投诉。欧盟国家的个人如对我们的政策有疑问或投诉,请首先联系support@tilt365.com。
XIV.定义
本隐私政策中的术语具有以下含义:
- "客户"是指Tilt365潜在的、当前的或以前的合作伙伴(分销商或转售商)、销售商、供应商、客户或客户。该术语还包括Tilt365客户的任何个人代理人、雇员、代表、客户或委托人,如果Tilt365在与客户的业务关系中从该客户处获得了其个人数据。
- "数据主体"是指可识别的自然人。可识别的人是指可以通过姓名或其个人生理、心理、精神、经济、文化或社会特征的一个或多个独特因素直接或间接识别的人。对于居住在瑞士的客户,数据主体也可包括法律实体。
- "雇员"是指Tilt365或其任何附属机构或子公司的雇员(无论是临时雇员、长期雇员、兼职雇员或合同雇员)、前雇员、独立承包商或求职者,同时也是欧洲经济区国家的居民。
- "欧洲"或 "欧洲人 "是指欧洲经济区内的国家。
- 欧盟指令 95/46/EC 中定义的 "个人数据"是指可识别个人身份或可用于识别个人身份的数据,包括个人姓名、出生国家、婚姻状况、紧急联系方式、工资信息、就业条件、工作资历(如所获教育学位)、地址、电话号码、电子邮件地址、用户 ID、密码和身份证号码。个人数据不包括去标识化、匿名或公开的数据。在瑞士,"个人 "一词包括自然人和法律实体,无论法律实体的形式如何。
- "敏感数据"指披露数据主体的医疗或健康状况、种族或民族、政治、宗教或哲学归属或观点、性取向或工会成员身份的个人数据。
- "第三方"指既非 Tilt365 也非 Tilt365 雇员、代理、承包商或代表的任何个人或实体。