第三方隐私政策

生效日期: 2022年6月22日

 

1. 本隐私政策涵盖哪些内容？

本隐私政策涵盖我们Kering访问、收集、存储、处理、使用、披露、转移或删除（以下统称为“使用”）有关为我们的服务提供商、承包商、合作伙伴、供应商（以下统称为“第三方”）工作或以此类身份行事的自然人的纸质或电子形式的个人信息。

 

2. 谁收集并使用您的个人信息？

我们Kering将担任”数据控制者”，亦即我们将决定”为何”和”如何”收集和使用您个人信息的”。我们是一家法国公司，设立于 40 RUE DE SEVRES 75007 PARIS，公司登记于法国，注册号码为 552 075 020。

 

 

3.我们为什么收集您的个人信息？

我们会将您的个人信息用于本节所述目的。个人信息的处理将遵守适用的隐私法，并参照本节规定的法律依据。当我们基于合法权益开展活动时，您的自身权益或基本权利不得凌驾于我方权益之上。

 

 

4. 我们使用哪些个人信息？

 

我们可能会收集或获取您的以下个人信息： 

• 联系方式，如姓名、居住和工作地址、电话号码、内部和外部电子邮箱地址；
• 身份证明文件、签名；
• 职称、职位、职能、公司信息、照片、以前的工作经历和教育背景；
• 进入我们的设施时的出席情况；
• 电子邮件交流，包括我们向您提供的时间和外部电子邮箱地址；
• 电子身份数据（包括登录名、密码、IP 地址和其他在线标识符，以及您对我方系统和网络的访问信息）；
• （对于作为承包商行事的自然人）服务（向我们提供或由我们提供）、产品（出借、销售或委托销售）和财务信息（包括合同、发票和银行账户信息）；
• 法律许可的情况下与以前的刑事诉讼和/或定罪有关的信息。

 

5. 我们何时收集您的个人信息？

您可能会在以下情况下与我们共享您的个人信息：

• 直接由我们委任您提供产品和服务，或在您参与我们的采购流程时；
• 您所任职的公司受我们委托或者合作进行缔约，且在此种情况下，您需要完成一项与我们相关的工作任务。

 

6. 我们如何收集您的个人信息？

我们主要是直接向您本人获取信息，并在您与我们互动时自动对其进行处理。我们还可以通过雇用您的法人实体收集您的个人信息。

我们还可以不时通过其他第三方渠道获取您的信息。我们的第三方渠道可能包括如下类别：我们的附属公司和子公司，尤其是我们的母公司开云集团 (Kering) 及其附属公司。

作为采购业务的一部分，且为了履行我们在反腐败方面承担的义务，在法律许可的情况下我们可能还必须向公共登记机构核实，贵司或其法定代表人未面临诉讼也未被刑事定罪。

 

7. 您是否应该始终与我们共享您的个人信息？

我们仅处理为实现上述目的而绝对必要的个人信息。因此，如果您不提供此类信息，我们将无法实现此类目的。例如，如果您希望您的申请被纳入 RFP，您必须提供所需的信息和证明文档。 

 

8. 我们将您的个人信息保留多久？ 

我们的一般做法是仅在必要期限内保留您的个人信息。 

我们通常在您（或您的雇主）与我们签订的协议的有效期内，以及在该协议因任何原因到期或终止之后，该协议规定的法律主张根据适用时效法规到期之前，保留您的个人信息。

某些个人信息的保留时间可能更短，某些则可能更长，例如根据相关法律要求，我们有义务这样做时。 

 

9. 我们如何保护您的个人信息？

我们坚决致力于保护您的个人信息安全。 为此，我们会在设计服务时考虑您的安全。在我们集团内部，我们有专门的团队管理和确保您个人信息的安全和隐私。我们采取了具体的技术和组织安全措施，以保护个人信息免受意外或非法毁坏、意外丢失、篡改、未经授权的披露或访问。 

例如，无论何时在您的设备和我们的服务器之间传递个人信息，我们都会在必要时确保使用安全套接字层（以下简称“SSL”）和/或其他安全方法对其进行加密。您的所有个人信息都将存储在安全的服务器上。

我们还创建了专门的个人信息安全管理系统。例如，我们会严格控制授权范围，限制有权访问我们收集和处理的个人信息的员工。我们会定期审查我们的信息收集、存储和处理行为，包括物理安全措施，以防止任何未经授权的访问和使用。

我们会定期开设安全和隐私保护培训课程和测试，以提高员工对保护个人信息重要性的认识。我们会采取商业上合理的措施来确保我们的业务合作伙伴和第三方服务提供商能够保护您的个人信息。我们的员工以及可以访问您个人信息的业务合作伙伴和第三方服务提供商的员工，受可强制执行的合同保密义务和特定合同隐私条款的约束。

我们制定了紧急响应计划，如果安全事件引发任何个人信息违规行为（依法确定），可防止此类安全事件的影响扩大。此外，根据适用法律的要求，我们将向相关监管机构报告此类个人信息违规行为，并通过适当渠道通知您。 

还请注意，为保护您的个人信息安全，我们可能会不时重置您的密码。 

但您应该知道，没有任何服务百分百安全，您在保证您的个人信息安全方面发挥着关键作用。为在我们的控制限度外尽可能保护您的个人信息，您的设备应受到保护（例如使用最新版防病毒软件），您的互联网服务提供商应采取适当措施确保网络传输个人信息的安全（例如使用防火墙和反垃圾邮件过滤功能）。当您在我们的场所内执行任务或访问我们的 IT 系统时，您同意遵守开云集团在您进入我们的服务时提供的文件中确立的网络安全方面的指导原则。您接受通过互联网进行互动所带来的固有安全隐患，且不会要求我们或我们的合作伙伴对任何安全事件或个人信息违规行为承担责任，由于我们的疏忽造成的除外。

如果您担心您的个人信息面临风险，例如某人可能已查出您的密码或登录名，请尽快与我们联系。 

 

10. 我们将您的个人信息存储在哪里？

 

一般原则是，我们向您收集的个人信息将存储在位于欧盟或瑞士的服务器中。但请注意，出于法律和/或技术限制，我们可能会将您的个人信息存储在欧盟或瑞士以外的其他地方。

我们依赖欧盟或瑞士以外的处理者代表我们开展处理活动就明显属于这种情况。在这种情况下，您的个人信息将被视为已转移到这些国家/地区。 

有关您个人信息存储位置的更多信息，请通过 privacy@kering.com（或参见“您如何联系我们？”）与我们联系 

无论您想在何处访问，也无论您想出于何种原因使用，我们都想确保您的个人信息始终可以安全使用并供您获取。

当我们共享、使用或传输个人信息时（特别是从您居住的国家/地区），我们会使用欧盟委员会批准的标准合同条款，或根据适用的隐私法采取其他措施，以确保此类传输提供充分的保护措施。您可以通过 privacy@kering.com（或参见“您如何联系我们？”）与我们联系，获取有关此类保护措施的更多信息，包括如何获取本信息的副本。

 

11. 我们是否会出售您的个人信息？ 

 

我们不会向第三方出售您的个人信息。 

但根据加利福尼亚州的隐私法，我们将您的个人信息传输给特定第三方可能会被解释为“出售”，在此范围内，如果您是加利福尼亚州居民，您有权选择退出该销售活动。

12. 我们与谁共享您的个人信息？

出于上述目的，我们可能会与下方列出的各类别接收者共享和披露您的个人信息。我们还可能将其中一些接收者用作第三方渠道，向其获取您的个人信息。 

所有接收者都有义务实施相应的安全措施来保护他们处理的个人信息，并受严格的保密协议和关于允许他们代表我们使用您个人信息的“方式”和“时间”的具体合同条款约束。

如果您想了解有关共享您个人信息的更多信息，包括接收者列表，请通过 privacy@kering.com（或参见“您如何联系我们？”）与我们的隐私团队和数据保护官联系。

• 我们的母公司开云集团及其附属公司；
• 交付供应商、履行公司和交易伙伴；
• 向我们提供服务的其他承包商（例如 IT 服务提供商、会计师、律师）；
• （为遵守适用法律和维护我们的权利和权益）执法机构、监管机构、政府机构、法院和/或法务人员
• 参与我方业务或资产任何部分的出售或重组的利益相关者（例如潜在买家及其顾问）。

 

13. 您对您的个人信息享有什么权利？ 

根据您适用的隐私法，您可能有权享有以下一项或多项权利，并有权自行或通过代表您行事的法定代表人行使这些权利。我们承诺保护您的权利，并允许您行使这些权利。只要您根据任何适用的隐私法善意行使您的权利，您就不会受到差别对待。 

如果您需要有关您的权利以及如何行使这些权利的任何进一步信息，或如果您对我们的隐私实践有任何不满或问题，请通过 privacy@kering.com，或填写在此提供的表格（或参见“您如何联系我们？”）与我们的隐私团队和数据保护官联系。

1. 访问、更正和删除权

在特定情况下，您可能有权要求访问我们可以处理的关于您的任何个人信息并获取其副本。此类访问权还包括获取信息的权利，尤其是有关处理目的、相关个人信息类别、可能向其披露个人信息的接收者类别以及个人信息的预期保留期限的信息。

您也可以要求更正与您有关的任何不准确的个人信息，以及要求删除您的个人信息。您可以通过 privacy@kering.com 向我们的隐私团队发送电子邮件（或参见“您如何联系我们？”）获取并更新此类个人信息。

2. 个人信息可携带权

在特定情况下，您可能有权以结构化且常用的机器可读格式，获取您向我们提供的个人信息，且如果技术上可行，您还有权要求我们将其传输给其他数据控制者。

3. 限制处理权

在符合适用于您的隐私法的前提下，您可能有权限制我们处理您的个人信息，尤其是针对以下情况： 

•  
• 您质疑个人信息的准确性（直到我们采取充分措施纠正或核实其准确性）； 
• 处理是非法的，但您不希望我们删除个人信息；
• 我们不再出于处理目的而需要您的个人信息，但您需要此类个人信息来确立或行使法律主张或为其进行辩护；或 
• 因我们是否拥有具有充分的合法理由继续处理的问题待核实，您反对出于合法权益进行处理。

如果个人信息以此种方式受到限制，我们将根据本地法律，仅在您同意或为确立或行使法律主张或为其进行辩护的情况下予以处理。

4. 反对处理权

如果我们出于合法权益处理个人信息，您可能有权反对该处理行为。在这种情况下，我们必须停止出于此目的使用您的个人信息，除非我们可以证明该处理行为具有令人信服的合法理由，从而凌驾于您的权益、权利和自由之上，或者我们需要处理该个人信息，以确立或行使法律主张或为其进行辩护。如果我们以合法权益为正当处理理由，我们相信我们可以证明该等令人信服的合法理由，但我们会个别考虑每种情况。

5. 已故人士的隐私权

为代表已故人士行使权利，您可能需要向我们提供证据，证明您是该已故人士的近亲属或遗嘱执行人。根据适用的隐私法，我们可以不支持您的请求。请注意，根据特定法律（例如在法国），您可以就您去世后个人信息的存储、删除和传递作出指示。

6. 投诉权

如果您认为您个人信息的处理违反了适用法律，您亦有权向您所在地的监管机构提出投诉。 

如果您是欧洲经济区成员国的居民，您可以参考在此提供的欧洲经济区数据保护机构名单。 

7. 响应您请求的方式、其他信息或援助 

如果您需要有关您的权利或如何行使这些权利的任何进一步信息，或如果您对我们的隐私实践有任何不满或问题，请通过 privacy@kering.com，或填写在此提供的表格（或参见“您如何联系我们？”）与我们的隐私团队和数据保护官联系。

为帮助保护您的隐私并维护安全，我们会采取措施，并可能在允许您访问您的个人信息或满足您的请求之前要求您提供特定信息以验证您的身份。 

在适用法律允许的情况下，例如如果您的请求明显没有依据或很过分，我们保留收取费用的权利，以覆盖您的请求所产生的管理成本。我们会努力尽快响应您的请求，任何情况下都不会超出适用的时间范围。

 

14. 作为第三方，你有哪些义务？  

作为第三方，您在处理个人信息的过程中发挥极为重要的作用。您必须遵守与您共享个人数据的控制者（开云或开云旗下机构）制定的隐私法规则。这意味着您应当实施适当的技术和组织措施，以确保您收到的个人数据获得保护。

为务求合规，我们谨慎挑选能为实施该等措施提供保证的第三方。此外，针对涉及第三方的安全违规行为，我们也制定了明确的处理程序，并确保在与第三方签订的数据处理协议中订明您为遵守适用隐私法要求而必须履行的适当义务。

需要注意的是，我们有责任确保第三方遵守隐私法的要求。这意味着您可能需要接受开云或其旗下任何机构的定期审核，以核证是否遵守隐私法要求。审核流程可能涵盖数据保护政策、流程和程序、数据保护评估和安全测试等领域。

遵守隐私法要求并实施适当的技术和组织措施，将帮助您确保正确处理个人数据并保护数据主体的基本权利。这也有助于您的公司与开云集团和数据主体建立信任，并保护数据主体的隐私权。