MTU Aero Engines AG 关于使用 iTrust 举报系统(BKMS® System)的数据隐私政策
MTU Aero Engines AG(以下简称“MTU”)非常重视个人数据的保护。我们处理个人数据完全遵守数据保护和数据安全方面的所有适用法律法规。发送报告前,请认真阅读此数据保护信息。
§1 控制方和范围
根据欧盟《通用数据保护条例》(“GDPR”)、德国《联邦数据保护法》(“BDSG")及其他数据保护条例中的定义,控制方为:
- MTU Aero Engines AG
- Dachauer Straße 665
- 80995 Munich
- GERMANY(德国)
§2 数据保护官员
控制方的数据保护官员是:
- Helga Schorr 女士
- MTU Aero Engines AG
- Dachauer Straße 665
- 80995 Munich
- GERMANY(德国)
- 电子邮件:MTU.DSB@mtu.de
§3 什么是个人数据?
个人数据是指有关特定个人或可识别身份的自然人(即数据主体)之个人情况或重要情况的信息。这包括个人姓名、地址、电话号码、出生日期、电子邮件地址等。无法与特定个人关联的信息(或仅在付出极大努力的情况下才可与特定个人关联的信息),如匿名信息,则不构成个人数据。
§4 数据处理的一般说明
a) 范围
我们仅根据处理报告所须的程度收集和使用 iTrust 用户的个人数据。
您的个人数据不会用于任何其他目的,特别是广告目的。我们绝对不会未经您同意就将您的个人数据披露给任何第三方,以下所述情况除外,或除非我们依法有义务披露。
如必要,我们可能根据 AktG 第 15ff 条为第 5 条所列之目的与 MTU Aero Engines AG 附属公司共享个人数据。
我们还可能与法院、监管当局(尤其是航空安全局)或法律顾问共享个人信息,以遵守法律或主张、行使法律诉讼或进行抗辩(如必要)。
b) 法律根据
iTrust 服务的目的是安全、保密地接收、处理、管理与我们商业活动有关的、涉及违法犯罪行为与侵犯人权的报告。在 iTrust 框架内处理个人信息,是基于发现并防范滥用职权行为,从而避免给 MTU 及其员工和商业合作伙伴造成损害符合我们公司的合法权益。处理个人数据确保我们公司业务的合法性也符合我们的合法权益。我们处理个人数据的法律依据是 GDPR(《一般数据保护条例》)第 6(1)(f) 条。如果我们必须处理个人数据以遵守我们公司必须履行的法律义务,GDPR 第 6 条第 1(c) 款应提供法律依据。
c) 数据删除与存储期限
一旦存储您个人数据的最初目的不再适用,对这些数据将予以删除或屏蔽。如果欧洲或国家立法机构通过数据控制方必须遵守的联盟指令、法律或其他条例要求继续存储数据,则数据可在上述存储期限后继续存储。如果任何特定标准中规定的法定存储期限到期,对个人数据也将予以屏蔽或删除,除非达成或履行某一合同要求继续存储数据。
§5 数据处理的目的
在报告程序范围内,我们主要为以下目的处理个人数据:
- 风险管理,防范并调查违反合同或法律条款的行为,
- 遵守法律要求(尤其是航空法、税法、商法及出口管制法的要求);
- 主张或行使法律诉讼(在法庭上或法庭外)。
§6 个人数据的类别
使用 iTrust 是完全自愿的。当您通过 iTrust 发送检举报告时,我们收集以下个人数据和信息:
- 个人主数据,如您的名字、姓氏、办公地址、电话或传真号码及办公电子邮件地址(如果您选择披露身份),
- 您是否在 MTU 工作,以及
- 您在报告中所列之人员的姓名和其他个人数据(如适用)。
§7 为保护存储在我们系统中的数据采取的安全保障措施
BKMS® System 由德国的一家专业公司 EQS Group GmbH 代表 MTU 运营,地址是 Bayreuther Str.35, 10789 Berlin。
输入举报系统的个人数据和信息存储在由 EQS Group GmbH 运营的一个高度安全的数据中心的数据库中。只有 MTU 可以看到这些数据。EQS Group GmbH 与其他第三方无法访问数据。通过全方位技术和组织措施,我们在认证程序中对此予以确保。
所有数据通过多重密码保护加密存储,仅 MTU 内少数经明示授权的人员具有访问权限。
§8 报告的保密处理
仅 MTU 合规组织和单位中少数经明示授权、经过特别培训的员工将收到提交的报告,且报告将始终保密处理。MTU 合规组织和单位员工对事件进行评估,根据具体案件所需进一步开展调查。
处理报告或开展具体调查时,可能须与 MTU 其他员工或集团其他公司的员工共享报告,例如当报告涉及在子公司发生的事件时。子公司可能位于欧盟或欧洲经济区之外的国家,这些拥有不同的个人数据保护法规。我们将始终确保共享报告时遵守适用的数据保护法规。
所有拥有数据访问权限的人员均有保密义务。
§9 有关被告方的信息
当信息披露不会再危及调查的情况下,我们在法律上有义务向被告方告知针对其所接收的任何报告的存在。您作为举报人的身份将不会被透露,除非我们有法律义务这样做。
§10 举报门户的使用
您计算机和举报系统之间的通信通过加密连接(SSL)进行。您的 IP 地址不会在使用举报系统时被存储。为了保持您计算机和 BKMS® System 之间的连接,将在您的电脑上储存一个 cookie,仅包含会话 ID(所谓的会话 cookie)。此 Cookie 有效期只至您的会话结束,并在您关闭浏览器时到期。
您可以在举报系统中设置信箱,并以自行选择的假名/用户名和密码进行保密。由此您可以将报告实名或以匿名方式安全地发送给 MTU 的相关责任员工。此系统仅在举报系统中保存数据,这使得其尤为安全。这并非普通的电子邮件通信形式。
§11 有关发送附件的说明
提交报告或补充报告时,您可以同时将附件发送给 MTU 责任员工。如果您希望发送匿名检举报告,请注意以下安全提示:文件可能包含隐藏的个人数据,这将会损害您的匿名性。发送前请删除此类数据。如果无法删除这些数据或不确定如何操作,则可将附件内容复制到检举报告文本框内,或以匿名方式将文档打印件发送至脚注中列出的报告收件人处,同时注明报告流程结束时获取的参考编号。
§12 数据主体的权利
如果我们处理您的个人数据,您可能拥有某些权利。可能包括以下权利:
1.访问权
您可以询问控制方您的任何个人数据是否被处理,并获得确认。
如果数据被处理,您可要求控制方提供以下信息:
- 处理您个人数据的目的,
- 所处理个人信息的类别,
- 您已经或将向其披露相关个人信息的接收者或接收者类别,
- 您个人数据的预定存储期限或如果没有存储期限的相关具体信息,确定存储期限的标准是什么,
- 是否存在修改或删除个人数据的权利、限制控制方处理数据的权利、反对处理您数据的权利,
- 是否存在对监管当局提出控告的权利,
- 如果数据并非直接向数据主体收集得来,要求提供有关数据来源的所有可得信息。
您有权索取将您的个人数据披露给第三方国家或国际组织接收者的相关信息。在此情况下,您可根据 GDPR 第 46 条要求获知适当的安全保护措施。
2.修改权
如果您的个人数据不准确或不完整,您有权通过控制方修改和/或完善您的数据。控制方必须立即做出修改。
3.限制处理权
如果出现以下情况,您可要求对您个人数据的处理予以限制:
- 如果您否定一段时期内您个人数据的准确性,
- 如果您的数据遭到非法处理,但您选择限制您个人数据的使用而不是要求删除您的个人数据,
- 如果数据控制方不再需要您的个人数据用于处理,但您需要这些数据主张、行使法律诉讼或进行抗辩,或
- 如果您根据 GDPR 第 21 条第 1 款反对处理您的个人数据,但数据控制方的合法权益是否优于您的反对理由还有待判定。
如果您的个人数据处理受到限制,您的数据可能仅在获得您同意的情况下进行处理——以下情况除外:数据存储;用于主张、行使法律诉讼或进行抗辩;用于保护另一自然人或法人的权利或出于欧盟或其某一成员国重大公共利益之原因。
如果任何上述原因适用,限制因此得以规避,数据控制方将在撤销限制前告知您。
4.删除权
a) 删除的义务
如果以下任一原因适用,您可以要求数据控制方立即删除您的个人数据,数据控制方必须遵照行事:
- 不再需要您的个人数据用于收集数据或另行处理数据时的目的。
- 您根据 GDPR 第 6 条第 1(a) 款或第 9 条第 2(a) 款撤销数据处理所依据的同意,且没有其他法律依据可以证明数据处理的正当性。
- 您根据 GDPR 第 21 条第 1 款反对数据处理,且控制方在处理数据上没有优先的合法权益,或您根据GDPR 第 21 条第 2 款反对数据处理。
- 您的个人数据遭到非法处理。
- 为遵守管辖数据控制方的欧盟法律或成员国法律项下的某项法律义务必须删除您的个人数据。
- 您的个人数据根据 GDPR 第 8 条第 1 款为提供信息社会服务被收集。
b) 向第三方披露信息
如果控制方已公开个人信息,且根据 GDPR 第 17 条第 1 款必须删除个人信息,控制方应在考虑可用技术及实施成本的情况下,采取合理措施(包括技术措施)告知正在处理数据主体要求其删除之个人信息的控制方与这些个人数据的任何关联或其拷贝或复制。
c) 例外情况
如果数据处理为以下行为所必须,则删除权不适用:
- 行使自由言论和自由信息权,
- 遵守管辖控制方之欧盟法律或成员国法律项下要求处理数据的法律义务或数据处理是履行某一符合公共利益的任务或行使赋予控制方之职权所必须,
- 根据 GDPR 第 9 条第 2(h) 款和第 9 条第 3 款,因公共卫生领域的公共利益原因;
- 根据 GDPR 第 89 条第 1 款为实现公共利益目的、科学或历史研究目的或统计目的,前提是 a) 项下规定的权利可能导致数据处理的特定目标无法实现或对其实现造成严重阻碍,或
- 为提起、行使法律诉讼或进行抗辩。
5.知情权
如果您已对控制方行使了修改权、删除权或限制权,控制方必须告知向其披露了您个人数据的所有接收者此等数据限制或删除或对其处理的限制,除非此等告知不可能做到或必须付出极大努力才可能做到。
您有权要求控制方告知您这些接受者是谁。
6.数据可携权
您有权以常用的、可机读的结构化格式获取您提供给控制方的个人信息。您亦有权将这些数据传输给另一控制方,不受已向其提供了个人数据的控制方之阻碍,条件是
- 数据处理根据 GDPR 第 6(1) 条 (a) 点或 GDPR 第 9(2) 条 (a) 点给予的同意进行或根据 GDPR 第 6(1) 条 (b) 点的合同进行,且
- 处理为自动化操作。
在行使数据可携权时,您亦有权在技术上可行的情况下将个人数据直接从一个控制方传输给另一控制方。这不得影响其他人的权利和自由。
如果数据处理是履行某一符合公共利益的任务或行使赋予控制方之职权所必须,则数据可携权不适用。
7.撤销同意权
您有权随时撤销同意。撤销同意不影响撤销前根据同意所开展数据处理的合法性。
8.对监管当局提起控告权
在不影响任何其他行政或司法补救措施的情况下,如果您认为对您个人数据的处理违反了 GDPR,您有权对监管当局提起控告,特别是您居住地、工作地或所指控违法行为发生地所在的成员国内的监管当局。
