Home隐私政策 - 耐扬物联网科技（上海）有限公司

隐私政策

以下内容是针对英语用户的非约束性翻译。仅西班牙语文本具有法律效力。

索引

隐私政策的目的

定义

数据控制者的身份

适用的法律法规

适用于个人数据处理的原则

执行的数据处理活动

必要信息和更新信息

未成年人的个人数据

技术和组织安全措施

相关方的权利

向监管机构投诉

隐私政策的接受和变更

1.- 隐私政策的目的

本 “隐私和数据保护政策 “的目的是披露 NAYAR SYSTEMS SL 收集和处理个人数据的条件，尽一切努力确保个人数据处理者的基本权利、荣誉和自由，遵守欧盟和西班牙成员国有关个人数据保护的法规和法律，特别是本隐私政策第 2 段所述的法规和法律。

因此，在本隐私和数据保护政策中，网站 http://www.nayarsystems.com 的用户将被告知所有相关细节，包括如何执行这些流程、出于何种目的、其他实体可能访问其数据以及用户的权利。

2.- 定义

“个人数据”：关于已识别或可识别的自然人（”网站用户”）的任何信息；可识别的自然人是指其身份可以直接或间接确定的任何人，特别是通过识别符，如姓名、身份证号码、位置数据、在线识别符或该人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个要素。

“处理 “是指对个人数据或个人数据集进行的任何操作或一系列操作，无论是否采用自动方式，如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或任何其他方式提供、比较或合并、限制、删除或销毁。

“限制处理”：对保留的个人数据进行标记，目的是限制今后对其的处理。

“剖析 “指任何形式的个人数据自动化处理，包括使用个人数据评估自然人的某些个人方面，特别是分析或预测与该自然人的专业表现、财务状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动有关的方面。

“假名化 “是指对个人数据进行处理，使其在不使用附加信息的情况下无法再归属于某个数据主体，但此类附加信息须单独列出，并须遵守旨在确保个人数据不归属于某个已识别或可识别的自然人的技术和组织措施。

“文件 “是指任何结构化的个人数据集，可根据特定标准进行访问，无论是集中式、分散式还是功能上或地理上的分布式。

“控制者 “系指单独或与他人共同决定处理目的和方式的自然人或法人、公共当局、服务机构或其他机构；如果处理目的和方式由欧盟或成员国法律决定，则控制者或其提名的具体标准可由欧盟或成员国法律规定。

“处理者 “是指代表控制者处理个人数据的自然人或法人、公共当局、服务机构或其他机构。

“接收方 “系指个人数据被披露给的自然人或法人、公共当局、服务机构或其他机构，无论是否涉及第三方。但是，根据欧盟或成员国法律在特定调查框架内可能接收个人数据的公共机构不应被视为接收方；此类公共机构对此类数据的处理应符合适用于处理目的的数据保护规则。

“第三方 “是指除数据主体、控制者、处理者以及在控制者或处理者直接授权下有权处理个人数据的人员之外的自然人或法人、公共当局、服务机构或团体。

“数据主体的同意 “是指数据主体通过声明或明确肯定的行动同意处理与其有关的个人数据的任何自由、具体、知情和明确的意愿表达。

“个人资料安全漏洞 “系指任何安全漏洞，导致传送、存储或以其它方式处理的个人资料被意外或非法破坏、丢失或篡改，或在未经授权的情况下被传播或获取；

“基因数据 “系指与自然人的遗传或后天获得的基因特征有关的个人数据，这些基因特征提供了有关该自然人生理或健康的独特信息，尤其是通过对该自然人的生物样本进行分析而获得的。

“生物识别数据 “系指通过特定技术处理获得的与自然人的身体、生理或行为特征有关的个人数据，这些特征允许或证实了对该自然人的独特识别，如面部图像或手足镜数据。

“与健康有关的数据”：指与自然人的身体或精神健康有关的个人数据，包括提供医疗保健服务，揭示其健康状况的信息。

“主要机构”：

a) 就在一个以上成员国设有机构的控制者而言，指其在欧盟的中央行政管理机构所在地，除非关于处理目的和方式的决定是在控制者在欧盟的另一机构做出的，且后一机构有权执行这些决定，在这种情况下，做出这些决定的机构应被视为主要机构；
b) 对于在一个以上成员国设有机构的处理者而言，指其在欧盟内的中央管理机构所在地；如果没有中央管理机构，则指处理者在欧盟内的机构所在地，只要处理者根据本条例承担特定义务，其主要处理活动是在该处理者机构的活动范围内进行的。

“代表 “是指在欧盟境内设立的自然人或法人，根据《GDPR》第27条，由控制者或处理者书面指定，代表控制者或处理者履行本条例规定的各自义务。

“企业”：指从事经济活动的自然人或法人，不论其法律形式如何，包括定期开展经济活动的公司或合伙企业。

“监督机构”：成员国根据《个人信息保护条例》第 51 条规定设立的独立公共机构。在西班牙，该机构是西班牙数据保护局。

“跨境处理 “是指

a) 如果控制者或处理者设立在一个以上的成员国，在一个以上的成员国的控制者或处理者的机构活动范围内进行的个人数据处理；或
b) 个人数据的处理是在控制者或处理者在欧盟的单一机构的活动范围内进行的，但实质上影响或可能实质上影响一个以上成员国的数据主体。

“信息社会服务 “是指任何信息社会服务，即通常有偿提供的、远距离的、电子手段的和应服务接受者个人要求的任何服务。

3.- 数据控制者的身份

数据控制者是指具有公共或私人性质的自然人或法人，或单独或与他人共同决定个人数据处理目的和方式的行政机构；如果处理目的和方式由欧盟或西班牙成员国的法律决定。

在本隐私和数据保护政策中，数据控制方的身份和联系方式如下

NAYAR SYSTEMS SL – CIF B12757795

Avda. 12005, Castellón de la Plana (Castellón), Spain

电子邮件：legal@nayarsystems.com – 电话：964 06 69 95

4.- 适用的法律法规

本隐私和数据保护政策依据以下数据保护法律法规制定：

2016 年 4 月 27 日欧洲议会和欧盟理事会关于在处理个人数据时保护自然人以及个人数据自由流动的第 2016/679 号条例（欧盟）。以下简称 GDPR。

2018 年 12 月 5 日关于保护个人数据和保障数字权利的第 3/2018 号组织法。以下简称 LOPD/GDD。

2002 年 7 月 11 日第 34/2002 号法律，关于信息社会服务和电子商务。以下简称 LSSICE。

5.- 个人数据处理的适用原则

通过本网站收集和处理的个人数据将按照以下原则处理：

合法、公平和透明原则：通过本网站对个人数据进行的任何处理都将是合法和公正的，在收集、使用、查询或处理与用户有关的个人数据时，用户将完全清楚。与所进行的处理有关的信息将事先以简单明了的语言传送，便于获取和理解。

准确性原则：数据应准确无误，必要时应及时更新，并采取一切合理措施，确保毫不拖延地删除或纠正与处理目的不符的个人数据。

存储期限限制原则：数据的保存形式应能识别数据主体，保存时间不得超过处理个人数据所需的时间。

完整性和保密性原则：处理数据的方式应确保个人数据的适当安全，包括通过采取适当的技术和组织措施，防止未经授权或非法处理数据以及防止意外丢失或损坏数据。

主动负责原则：拥有网站的实体应负责遵守本段规定的原则，并应能够证明这一点。

6.- 数据处理活动

下文详细介绍了通过网站开展的数据处理活动，并对以下各部分作了说明：

活动：数据处理活动名称

目的：对所收集的数据进行的每项使用和处理。

法律依据：使数据处理合法化的法律依据。

处理的数据：处理的数据类型

来源：数据从何处获得

保留：数据保留期限。

接受者：接受数据的个人或第三方。

国际传输：欧盟以外的跨境数据传输

6.1 主要处理活动

这些数据处理活动的目的是提供服务所必需和必要的。

网站查询

法律依据通过合同或预先合同与相关方存在合同关系。

目的答复通过网站电子表格收到的询问

数据类别和组别网络联系人（身份识别数据）

数据来源相关方或其法定代表

接收者类别未预见

国际转让未预见

保存期限数据保存期限为实现获取数据的目的以及确定该目的和数据处理可能产生的责任所需的时间。

工作机会

法律依据通过合同或预合同与相关方存在合同关系。

目的人员甄选

数据类别和组别职位候选人（身份数据；学术和专业数据；个人特征；社会环境；工作详情）

数据来源相关方或其法定代表

接收者类别未预见

国际转让未预见

保存期限将在必要的时间内保存这些数据，以实现获取数据的目的，并确定因该目的和数据处理而可能产生的责任。

6.2 可选处理活动（如用户已标明接受）

这些个人数据处理活动的目的并非提供服务所必需，只有在用户在同意执行这些活动时标明 “是 “的情况下才会执行。

商业通信

法律依据当事人的明确同意

目的营销、广告和商业推广

数据类别和组别客户（身份识别数据）。供应商（识别数据）。潜在客户（身份识别数据）

数据来源相关方或其法定代表

接收者类别未预见

国际转让未预见

保存期限只要相关方不要求删除，这些数据将无限期保存。

通讯

法律依据当事人的明确同意

目的订阅定期通讯和公告

数据类别和群体客户（身份识别数据）。潜在客户（身份识别信息）

数据来源相关方或其法定代表

接收者类别未预见

国际转让未预见

保存期限只要相关方不要求删除，这些信息将无限期保存。

7.- 必要信息和更新信息

必须填写网站表格中所有标有星号（*）的栏目，否则将无法提供所要求的服务或信息。

您必须提供真实信息，以便所提供的信息始终是最新的且不包含任何错误，您必须尽快通过电子邮件通知数据控制员您的个人数据发生的更改和更正，电子邮件地址为：legal@nayarsystems.com。

同样，通过点击上述表格中的 “我接受 “按钮（或类似按钮），您声明您在表格中提供的信息和数据是准确和真实的，以及您理解并接受本隐私政策。

8.- 未成年人数据

根据 RGPD 第 8 条和 LOPD/GDD 第 7 条的规定，只有年满 14 周岁的人才能同意 NAYAR SYSTEMS SL 以合法的方式处理其个人数据。

因此，未满 14 周岁的未成年人未经其父母、监护人或法定代理人事先授权，不得使用本网站提供的服务，他们应对其监护下的未成年人通过本网站实施的所有行为全权负责，包括填写包含未成年人个人数据的远程表格，以及酌情在表格附带的方框中进行标记。

9.- 技术和组织安全措施

数据控制方采取必要的组织和技术措施，以确保您的数据安全和隐私，避免数据被篡改、丢失、未经授权的处理或访问，这取决于技术水平、所存储数据的性质以及所面临的风险。

其中，以下措施尤为突出：

确保治疗系统和服务的持续保密性、完整性、可用性和复原力。

在发生物理或技术事故时，迅速恢复个人数据的可用性和访问。

定期核查、评估和评价为确保处理安全而实施的技术和组织措施的有效性。

在敏感数据的情况下，对个人数据进行匿名化和加密。

另一方面，数据控制者决定根据以下原则管理信息系统：

遵守法规原则：所有信息系统都应遵守影响信息安全的适用法律、法规和行业标准，特别是与个人数据保护、系统安全、数据、通信和电子服务有关的标准。

风险管理原则：应将风险降至可接受的水平，并在安全控制和信息性质之间寻求平衡。应制定和审查安全目标，并与信息安全方面保持一致。

提高认识和培训原则：在信息安全方面，将为所有接触信息的用户制定培训计划，开展宣传和提高认识活动。

相称性原则：在实施降低资产安全风险的控制措施时，应力求在安全措施、性质和信息与风险之间取得平衡。

责任原则：数据控制机构的所有成员都应对其信息安全行为负责，遵守既定规则和控制措施。

持续改进原则：将对组织内实施的安全控制的有效性进行定期审查，以提高其适应风险和技术环境不断演变的能力。

10.- 相关方的权利

现行数据保护条例保护用户在使用其数据方面的一系列权利。每项权利都是非个人的、不可转让的，也就是说，只有数据所有者在核实其身份后才能行使这些权利。

网站用户的权利详述如下：

访问权：网站用户有权确认数据控制者是否正在处理其个人数据，如果正在处理，则有权获得有关其具体个人数据和数据控制者已进行或正在进行的处理的信息，以及除其他外，有关这些数据的来源和已进行或计划进行的通信的接收者的信息。

更正权：网站用户有权在证明其个人资料不准确或不完整时，根据处理目的对其个人资料进行修改。

删除权：该权利通常被称为 “被遗忘权”，是指网站用户在其个人数据不再需要用于收集或处理目的时，在现行法律没有另行规定的情况下，有权要求删除其个人数据；用户已撤回对处理的同意，且没有其他法律依据；用户反对处理，且没有其他合法理由继续处理；个人数据被非法处理；个人数据是通过向 14 岁以下未成年人直接提供信息社会服务而获得的。除删除数据外，数据控制者还应考虑现有技术及其实施成本，采取合理措施，将数据当事人要求删除与该个人数据的任何链接的请求通知可能正在处理该个人数据的其他数据控制者。

数据限制权：网站用户有权限制对其个人数据的处理。在以下情况下，网站用户有权要求限制对其个人数据的处理：对其个人数据的准确性提出质疑；数据处理不合法；控制方不再需要个人数据，但用户需要这些数据进行索赔；以及网站用户反对处理时。

数据携带权：在通过自动化手段进行处理的情况下，网站用户有权从数据控制者处以结构化的、常用的、机器可读的格式接收其个人数据，并将其传输给另一个数据控制者。只要技术上可行，数据控制者应直接将数据传输给另一个数据控制者。

反对权：这是用户不要求数据控制者处理其个人数据或停止处理其个人数据的权利。

不接受自动决策和/或特征分析的权利：除非法律另有规定，否则网站用户有权不接受仅基于对其个人数据的自动处理（包括特征分析）而做出的个性化决定。

撤销同意的权利：网站用户有权随时撤销对其数据处理的同意。

网站用户可通过联系数据控制者行使上述任何权利，在确认用户身份之前，可使用以下联系信息：

负责人 NAYAR SYSTEMS SL

地址： Casalduch, 9： Casalduch, 9. 12005, Castellón de la Plana (Castellón), Spain

电话：964 06 69 95

电子邮件：legal@nayarsystems.com

网站： http://www.nayarsystems.com

11.- 向监管机构投诉的权利