GDPR和隐私政策
我们很高兴您对我们的企业表现出兴趣。数据保护对于Sinnott律师(以下称为“公司”)的管理尤为重要。
无需任何个人数据指示即可使用公司的互联网页面;但是,如果数据主体想通过我们的网站使用特殊的企业服务,则有必要处理个人数据。如果需要处理个人数据并且没有法律依据进行此类处理,我们通常会征得数据主体的同意。
个人数据的处理,例如数据主体的姓名,地址,电子邮件地址或电话号码,应始终符合《通用数据保护条例》(GDPR)并符合特定国家/地区的数据保护适用于公司的法规。通过此数据保护声明,我们的企业希望告知公众我们收集,使用和处理的个人数据的性质,范围和目的。此外,通过此数据保护声明,可以告知数据主体其应享有的权利。
作为控制者,该公司已采取多种技术和组织措施,以确保对通过此网站处理的个人数据提供最全面的保护。但是,基于Internet的数据传输原则上可能存在安全漏洞,因此可能无法保证绝对的保护。因此,每个数据主体都可以通过其他方式(例如通过电话)自由地将个人数据传输给我们。
1.控制器名称和地址
出于《通用数据保护条例》(GDPR),适用于欧洲联盟成员国的其他数据保护法律以及与数据保护有关的其他规定的目的,控制者为:
Sinnott律师事务所,教堂大街,Rathmines,都柏林6
电话:+353 1 406 2862
电子邮件:info@sinnott.ie
网站:https://sinnott.ie/
2.定义
公司的数据保护声明基于欧洲立法者通过通用数据保护条例(GDPR)所使用的条款。我们的数据保护声明对于公众以及我们的客户和业务合作伙伴来说应该清晰易懂。为了确保这一点,我们首先要解释所使用的术语。
在此数据保护声明中,我们尤其使用以下术语:
a)个人资料
个人数据是指与已识别或可识别的自然人(“数据主体”)有关的任何信息。可识别的自然人是指可以直接或间接识别的人,特别是可以参考诸如姓名,识别号,位置数据,在线标识符之类的标识符,或者针对特定于身体,生理,该自然人的遗传,心理,经济,文化或社会身份。
b)数据主体
数据主体是任何已识别或可识别的自然人,其个人数据由负责处理的控制器处理。
c)加工
处理是指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动化方式进行,例如收集,记录,组织,结构化,存储,改编或更改,检索,咨询,使用,通过传播,传播或以其他方式提供,对齐或组合,限制,擦除或破坏进行披露。
d)加工限制
限制处理是对存储的个人数据进行标记,以限制将来对它们的处理。
e)分析
分析是指对个人数据进行自动处理的任何形式,包括使用个人数据评估与自然人有关的某些个人方面,尤其是分析或预测有关该自然人的工作表现,经济状况,健康状况,个人喜好的方面,兴趣,可靠性,行为,位置或动作。
f)假名化
假名化是指以以下方式处理个人数据:在不使用附加信息的情况下,不再可以将个人数据归于特定数据主体,但前提是此类附加信息应单独保存,并受技术和组织措施的约束,以确保个人数据未归因于已识别或可识别的自然人。
g)负责处理的控制器或控制器
负责处理的控制人是自然人或法人,公共当局,机构或其他机构,它们单独或与他人共同确定处理个人数据的目的和方式;如果此类处理的目的和方式是由联盟或成员国法律确定的,则控制者或提名的具体标准可以由联盟或成员国法律规定。
h)处理器
处理者是代表控制者处理个人数据的自然人或法人,公共机构,代理机构或其他机构。
i)收件人
收件人是向其披露个人数据的自然人或法人,公共机构,代理机构或其他机构,无论是否为第三方。但是,根据联邦或成员国法律可能在特定查询框架内接收个人数据的公共当局不应被视为接收者;这些公共机构对这些数据的处理应根据处理目的遵守适用的数据保护规则。
j)第三方
第三方是自然人或法人,公共权力机构,机构或实体,但数据主体,控制者,处理者以及在控制者或处理者的直接授权下被授权处理个人数据的人除外。
k)同意
数据主体的同意是对数据主体意愿的任何自由,明确,知情和明确的表示,通过陈述或明确的平权行动,他或她表示同意处理与他或她有关的个人数据。
3. Cookies
公司的Internet页面使用cookie。 Cookies是通过Internet浏览器存储在计算机系统中的文本文件。
许多Internet站点和服务器使用cookie。许多cookie包含所谓的cookie ID。 cookie ID是cookie的唯一标识符。它由一个字符串组成,通过该字符串可以将Internet页面和服务器分配给存储Cookie的特定Internet浏览器。这允许访问的Internet站点和服务器将数据主题的单个浏览器与包含其他cookie的其他Internet浏览器区分开。使用唯一的cookie ID可以识别和识别特定的Internet浏览器。
通过使用cookie,该公司可以为该网站的用户提供更加用户友好的服务,而没有cookie设置是不可能的。
通过Cookie,可以根据用户的需求优化我们网站上的信息和报价。如前所述,Cookie使我们能够识别我们的网站用户。认可的目的是使用户更容易使用我们的网站。例如,使用cookie的网站用户不必每次访问该网站时都输入访问数据,因为它由网站接管,因此cookie被存储在用户的计算机系统上。另一个示例是在线商店中购物车的cookie。在线商店会记住客户通过Cookie放置在虚拟购物车中的商品。
数据主体可以随时通过所使用的Internet浏览器的相应设置来阻止通过我们网站设置cookie,因此可以永久拒绝cookie的设置。此外,可以随时通过Internet浏览器或其他软件程序删除已设置的cookie。在所有流行的Internet浏览器中,这都是可能的。如果数据主体停用了所用Internet浏览器中的cookie设置,则可能不是我们网站的所有功能都可以完全使用。
该网站使用Mouseflow:一种网站分析工具,可提供会话重播,热图,渠道,表单分析,反馈活动以及类似的功能。 Mouseflow可能会记录您的点击,鼠标移动,滚动,表单填写(击键)的非排除字段,访问的页面和内容,网站停留时间,浏览器,操作系统,设备类型(台式机/平板电脑/电话),屏幕分辨率,访问者类型(首次访问/回访),引荐来源网址,匿名IP地址,位置(城市/国家/地区),语言和类似的元数据。 Mouseflow不会在未安装的页面上收集任何信息,也不会在Web浏览器之外跟踪或收集信息。如果您想退出,则可以访问https://mouseflow.com/opt-out。如果您想获取数据的副本,进行更正或将其删除,请首先与我们联系,或者作为第二选择,与Mouseflow联系,电子邮件为privacy@mouseflow.com。
有关更多信息,请参见http://mouseflow.com/privacy/上的Mouseflow的隐私政策。
有关Mouseflow和GDPR的更多信息,请访问https://mouseflow.com/gdpr/。
有关Mouseflow和CCPA的更多信息,请访问https://mouseflow.com/ccpa。
4.收集一般数据和信息
当数据主体或自动系统调用该网站时,该公司的网站会收集一系列常规数据和信息。此常规数据和信息存储在服务器日志文件中。收集的可能是(1)使用的浏览器类型和版本,(2)访问系统使用的操作系统,(3)访问系统从其访问我们网站的网站(所谓的引荐来源网址),(4) -网站,(5)访问Internet站点的日期和时间,(6)Internet协议地址(IP地址),(7)访问系统的Internet服务提供商,以及(8)任何其他类似数据,以及在我们的信息技术系统受到攻击时可能使用的信息。
使用这些一般数据和信息时,公司不会对数据主体得出任何结论。而是需要此信息来(1)正确交付我们网站的内容,(2)优化我们网站的内容及其广告,(3)确保我们信息技术系统和网站技术的长期生存能力(4)向执法机构提供发生网络攻击时进行刑事起诉所需的信息。因此,公司将对匿名收集的数据和信息进行统计分析,以提高我们企业的数据保护和数据安全性,并确保为我们处理的个人数据提供最佳保护水平。服务器日志文件的匿名数据与数据主体提供的所有个人数据分开存储。
5.在我们的网站上注册
数据主体可以在控制器的网站上注册并显示个人数据。哪个个人数据被发送到控制器由用于注册的相应输入掩码确定。由数据主体输入的个人数据将被收集和存储,仅供控制器内部使用并用于其自身目的。控制器可以请求转移到一个或多个处理器(例如包裹服务),这些处理器也出于归因于控制器的内部目的使用个人数据。
通过在控制器的网站上进行注册,还可以存储IP地址(由Internet服务提供商(ISP)分配并由数据主体使用)的注册日期和时间。这些数据的存储是在这样的背景下进行的,即这是防止滥用我们的服务的唯一方法,并且在必要时可以调查违法行为。就此而言,必须存储此数据以保护控制器。除非有法定义务将这些数据传递给第三方,或者如果转移是出于刑事起诉的目的,否则不会将该数据传递给第三方。
数据主体的注册,带有个人数据的自愿指示,旨在使控制器能够提供由于相关问题的性质而只能提供给注册用户的数据主体内容或服务。注册人员可以随时更改在注册过程中指定的个人数据,也可以将其完全从控制者的数据库中删除。
数据控制器应随时根据要求向每个数据主体提供有关存储有关该数据主体的哪些个人数据的信息。此外,在没有法定存储义务的情况下,数据控制者应应数据主体的要求或指示更正或删除个人数据。在此方面,数据主体可以作为联系人与本数据保护声明中特别指定的数据保护官以及控制人的全体员工联系。
6.订阅我们的新闻通讯
在公司的网站上,用户有机会订阅我们企业的新闻通讯。用于此目的的输入掩码确定要传输的个人数据,以及从控制器订购时事通讯的时间。
该公司通过有关企业要约的新闻通讯定期通知其客户和业务合作伙伴。如果(1)数据主体具有有效的电子邮件地址,并且(2)数据主体注册了新闻通讯的发布,则数据主体只能接收企业的新闻通讯。出于法律原因,出于双重原因,确认邮件将首次发送到数据主体注册的电子邮件地址,以进行时事通讯。该确认电子邮件用于证明作为数据主题的电子邮件地址的所有者是否被授权接收新闻通讯。
在注册时事通讯期间,我们还会存储Internet服务提供商(ISP)分配的计算机系统的IP地址,以及注册时数据主体所使用的计算机系统的IP地址。为了理解(可能的)滥用数据主体的电子邮件地址(以后),有必要收集这些数据,因此,它的目的是为控制者提供法律保护。
作为新闻通讯注册的一部分而收集的个人数据将仅用于发送我们的新闻通讯。此外,新闻通讯的订阅者可以通过电子邮件获得通知,只要这对于新闻通讯服务或相关注册的运营是必要的,因为在修改新闻通讯要约时可能会出现这种情况,或技术环境发生变化时。新闻通讯服务收集的个人数据不会转移给第三方。数据主体可以随时终止对我们新闻通讯的订阅。数据主体为运输时事通讯而提供的对个人数据存储的同意可以随时被撤销。为了撤销同意,在每个新闻通讯中都找到一个相应的链接。还可以随时直接在控制器的网站上退订新闻通讯,或以其他方式将其传达给控制器。
7.通讯跟踪
该公司的新闻通讯包含所谓的跟踪像素。跟踪像素是嵌入在此类电子邮件中的微型图形,该图形以HTML格式发送以实现日志文件的记录和分析。这可以对在线营销活动的成功或失败进行统计分析。根据嵌入式跟踪像素,公司可以查看数据主体是否以及何时打开电子邮件,以及数据主体是否调用了电子邮件中的哪些链接。
由控制器存储并分析在新闻通讯中包含的跟踪像素中收集的此类个人数据,以优化新闻通讯的发送,以及使未来新闻通讯的内容更好地适应数据主体的利益。这些个人数据不会传递给第三方。数据主体在任何时候都有权撤销通过双重选择程序发布的各自独立的同意声明。撤销后,这些个人数据将被控制器删除。该公司自动将从收到时事通讯中撤回视为撤销。
8.通过网站联系的可能性
公司的网站包含的信息可以使我们与企业进行快速的电子联系,以及与我们的直接通信,其中还包括所谓电子邮件的一般地址(电子邮件地址)。如果数据主体通过电子邮件或联系表格与控制器联系,则数据主体传输的个人数据将自动存储。出于处理或联系数据主体的目的,存储由数据主体自愿向数据控制器传输的此类个人数据。此个人数据不会转移给第三方。
9.网站博客中的评论功能
该公司为用户提供了在管理员的网站上的博客上对单个博客贡献发表单个评论的可能性。博客是一个基于Web的,可公共访问的门户,通过该门户,一个或多个称为博客作者或网络博客的人可以在所谓的博客文章中发表文章或写下想法。博客文章通常可以由第三方发表评论。
如果数据主体在此网站上发布的博客上留下评论,则该数据主体发表的评论以及有关注释日期和数据主体选择的用户(假名)的信息也将被存储和发布。 。此外,还将记录Internet服务提供商(ISP)分配给数据主体的IP地址。 IP地址的存储出于安全原因,并且在数据主体侵犯了第三方权利或通过给定注释发布非法内容的情况下进行。因此,这些个人数据的存储符合数据管理员的个人利益,因此在发生侵权时,他可以免责。除非法律要求这种转移或出于保护数据控制者的目的,否则收集的个人数据不会传递给第三方。
10.订阅网站博客中的评论
公司博客中的评论可能会被第三方订阅。特别地,评论者有可能在其对特定博客帖子的评论之后订阅该评论。
如果数据主体决定订阅该选项,则控制器将发送一条自动确认电子邮件,以检查重复选择过程,以确定指定电子邮件地址的所有者是否决定支持该选项。订阅评论的选项可以随时终止。
11.常规擦除和阻止个人数据
数据控制者仅应在达到存储目的所需的时间内,或在欧洲立法者或其他立法者在其所遵循的法律或法规允许的范围内处理和存储数据主体的个人数据。至。
如果存储目的不适用,或者欧洲立法机构或另一位主管立法机构规定的存储期限到期,则会根据法律要求例行阻止或删除个人数据。
12.数据主体的权利
a)确认权
每个数据主体均应具有欧洲立法者授予的权利,要求其从主计长处获取有关是否正在处理与他或她有关的个人数据的确认。如果数据主体希望利用这种确认权,则他或她可以随时联系我们的数据保护官或控制人的另一名雇员。
b)访问权
每个数据主体均应具有欧洲立法者授予的权利,可随时从控制者那里获取有关其个人数据的免费信息以及该信息的副本。此外,欧洲指令和法规授予数据主体访问以下信息的权限:
- 处理目的;
- 有关个人资料的类别;
- 曾经或将要披露其个人数据的收件人或收件人类别,特别是第三国或国际组织中的收件人;
- 在可能的情况下,设想的个人数据存储期限,或者,如果不可能的话,用于确定该期限的标准;
- 是否存在向控制者要求纠正或删除个人数据,或限制处理与数据主体有关的个人数据或反对这种处理的权利;
- 有向监管机构提出投诉的权利;
如果不是从数据主体收集个人数据,则有关其来源的任何可用信息; - GDPR第22(1)和(4)条所述的自动决策(包括配置文件)的存在,以及至少在这些情况下,有关所涉及逻辑的有意义信息以及其重要性和预期后果对数据主体的这种处理。
此外,数据当事人有权获得有关个人数据是转移到第三国还是国际组织的信息。在这种情况下,数据当事人应有权被告知与传输有关的适当保护措施。
如果数据主体希望利用此访问权,则他或她可以随时联系我们的数据保护官或控制者的另一名雇员。
c)纠正权
每个数据主体均应具有欧洲立法者授予的权利,可从控制者那里获得有关他或她的不正确个人数据的更正。考虑到处理的目的,数据主体应有权完成不完整的个人数据,包括通过提供补充声明的方式。
如果数据主体希望行使此项更正权,则他或她可以随时联系我们的数据保护官或控制人的另一名雇员。
d)删除权(被遗忘的权利)
每个数据主体均应具有欧洲立法者授予的权利,可从控制者处无不当拖延地删除与其有关的个人数据,并且,出于以下原因之一,控制者有义务无故拖延地删除个人数据。适用,只要不需要处理:
就收集或处理个人目的而言,个人数据不再是必需的。
数据主体撤回根据GDPR第6(1)条(a)或GDPR第9(2)条(a)进行处理的同意,并且没有其他法律依据用于处理。
数据主体反对根据GDPR第21条第(1)款进行的处理,并且没有凌驾于一切之上的合法依据,或者数据主体反对根据GDPR第21条第(2)款进行处理。
个人数据已被非法处理。
为了遵守控制者所受的联盟或成员国法律的法律义务,必须删除个人数据。
已经收集了与GDPR第8(1)条所述的信息社会服务有关的个人数据。
如果存在上述原因之一,并且数据主体希望请求删除公司存储的个人数据,则他或她可以随时联系我们的数据保护官或控制人的另一名员工。公司或另一名员工的数据保护官应立即确保立即遵守删除请求。
如果控制者已公开个人数据并根据第17条第(1)款有义务删除个人数据,则控制者应考虑可用技术和实施成本,应采取包括技术措施在内的合理步骤,以告知其他在不需要处理的情况下,处理此类数据主体要求删除的个人数据的任何链接,或复制或复制到这些个人数据的控制器。公司或另一名员工的数据保护官将在个别情况下安排必要的措施。
e)限制加工权
在下列情况之一适用的情况下,每个数据主体均应具有欧洲立法者授予的从管制员那里获得处理限制的权利:
个人数据的准确性受到数据主体的争辩,持续了一段时间,使控制器可以验证个人数据的准确性。
处理是非法的,数据主体反对删除个人数据,而是要求限制其使用。
控制者不再需要出于处理目的的个人数据,而是数据主体为建立,行使或主张法律主张而需要的个人数据。
在验证控制者的合法理由是否凌驾于数据主体的合法依据之前,数据主体已反对根据GDPR第21(1)条进行处理。
如果满足上述条件之一,并且数据主体希望请求限制公司存储的个人数据的处理,则他或她可以随时联系我们的数据保护官或控制人的另一名员工。公司或其他员工的数据保护官将安排处理限制。
f)数据携带权
每个数据主体均应具有欧洲立法者授予的权利,以结构化,常用和机器可读格式接收与他或她有关的个人数据,该数据已提供给控制者。只要根据第6条第1款第(a)项的同意进行处理,他或她有权将这些数据传输到另一控制人,而不受提供个人数据的控制人的阻碍。 GDPR或GDPR第9条第2款第(a)项,或根据GDPR第6条第1款第(b)项签订的合同,并且处理过程以自动化方式进行,只要为执行出于公共利益或行使控制人所赋予的官方权力而执行的任务不是必需的处理。
此外,根据GDPR第20条第1款行使其数据可移植性的权利,数据主体应有权在技术上可行且在这样做不可行的情况下,将个人数据直接从一个控制人传输给另一控制人对他人的权利和自由产生不利影响。
为了主张数据可移植性的权利,数据主体可以随时与公司或另一名员工指定的数据保护官联系。
g)反对权
欧洲立法者应授予每个数据主体基于任何特定情况而反对基于(e)或(f点)处理其个人数据的权利。 GDPR第6(1)条)。这也适用于基于这些规定的配置文件。
除非有异议,否则公司将不再处理个人数据,除非我们能够证明令人信服的合法理由进行处理,这些理由凌驾于数据主体的利益,权利和自由之上,或者为确立,行使或捍卫法律主张。
如果公司出于直接营销目的处理个人数据,则数据主体有权在任何时候反对处理有关他或她的个人数据以进行此类营销。这适用于与这种直接营销有关的分析。如果数据主体拒绝公司进行直接营销目的处理,则公司将不再出于这些目的处理个人数据。
此外,根据第89条,数据主体有权基于与他或她的特定情况有关的理由,反对公司出于科学研究或历史研究目的或出于统计目的而处理与他或她有关的个人数据。 1),除非出于公共利益的考虑而执行任务所需的处理。
为了行使异议权,数据当事人可以直接与公司或另一名员工的数据保护官联系。此外,尽管有2002/58 / EC指令,但在使用信息社会服务的情况下,数据主体是免费的,可以使用技术规范通过自动方式使用其异议权。
h)自动化的个人决策,包括分析
每个数据主体均应具有欧洲立法者授予的权利,不受制于仅基于自动化处理(包括配置文件)的决定,只要该决定会对他或她产生法律效力,或者类似地对他或她产生重大影响, (1)不需要在数据主体与数据控制者之间订立合同或履行合同,或者(2)未经控制者所遵循的联盟或成员国法律授权,并且采取适当措施保障数据当事人的权利,自由和合法权益,或者(3)并非基于数据当事人的明确同意。
如果决定(1)对于数据主体与数据控制人之间的合同订立或履行是必要的,或者(2)该决定基于数据主体的明确同意,则公司应采取适当的措施来保护数据主体的权利,自由和合法权益,至少是控制者获得人为干预以表达其观点并反对该决定的权利。
如果数据主体希望行使有关自动化个人决策的权利,则他或她可以随时直接与我们公司的数据保护官或控制人的另一名雇员联系。
i)撤回数据保护同意的权利
每个数据主体均应具有欧洲立法者授予的随时撤回其处理其个人数据的同意的权利。
如果数据主体希望行使撤回同意的权利,则他或她可以随时直接与公司的数据保护官或控制人的另一名雇员联系。
13.应用程序和应用程序的数据保护
数据控制者应收集并处理申请人的个人数据,以处理申请程序。该处理也可以电子方式进行。尤其是当申请人通过电子邮件或通过网站上的网络表格向控制者提交相应的申请文件时,就是这种情况。如果数据控制者与申请人签订了雇佣合同,则提交的数据将被存储,以便根据法律要求处理雇佣关系。如果控制人未与申请人签订雇佣合同,则在通知拒绝决定的两个月后,应自动删除申请文件,前提是控制人的其他合法权益均不反对删除。这种关系中的其他合法利益是,例如,《一般平等待遇法》(AGG)规定的举证责任。
14.处理的法律依据
艺术。 6(1)亮起。 GDPR是我们为特定加工目的而获得同意的加工业务的法律基础。如果对个人数据的处理对于履行数据主体所签约方的合同是必要的,例如(例如)在进行商品供应或提供任何其他服务所需的处理操作时,则该处理为根据第6条第1款的规定。 b GDPR。同样的情况也适用于执行合同前措施所必需的此类加工操作,例如在查询我们的产品或服务时。我们公司是否有法律义务要求处理个人数据,例如为了履行税收义务,处理基于Art。 6(1)亮起。 c GDPR。在极少数情况下,可能有必要处理个人数据以保护数据主体或另一自然人的切身利益。例如,如果来访者在我们公司中受伤并且必须将其姓名,年龄,健康保险数据或其他重要信息传递给医生,医院或其他第三方,则情况就是如此。然后,该处理将基于Art。 6(1)亮起。 d GDPR。最后,处理操作可以基于第6条第1款。 f GDPR。如果出于本公司或第三方追求的合法利益的目的而有必要进行处理,则该法律依据用于上述任何法律依据均不涉及的处理操作,除非这些利益被利益所覆盖或需要保护个人数据的数据主体的基本权利和自由。这种处理操作是特别允许的,因为欧洲立法者已经特别提到了它们。他认为,如果数据主体是控制人的客户,则可以假定具有合法利益(第47句第2 GDPR)。
15.控制人或第三方追求的合法利益
凡根据第6条第1款处理个人数据的地方。 f GDPR我们的合法利益是开展业务以维护全体员工和股东的福祉。
16.个人数据的存储期限
用于确定个人数据存储期限的标准是相应的法定保留期限。在该期限到期后,只要不再需要履行合同或启动合同,便会相应地删除相应的数据。
17.根据法定或合同要求提供个人数据;订立合同的必要条件;数据主体有义务提供个人数据;无法提供此类数据的可能后果
我们澄清说,个人数据的提供部分是法律要求的(例如,税收法规),或者也可以是合同条款的结果(例如,关于合同伙伴的信息)。有时可能需要签订合同,规定数据主体向我们提供个人数据,随后我们必须对其进行处理。例如,当我们的公司与他或她签订合同时,数据主体有义务向我们提供个人数据。不提供个人数据将导致无法与数据主体签订合同。在由数据主体提供个人数据之前,数据主体必须与我们的数据保护官联系。我们的数据保护官向数据主体澄清个人数据的提供是法律还是合同所要求的,或者是订立合同所必需的,是否有义务提供个人数据以及不予提供数据的后果个人资料。
18.自动决策的存在
作为一家负责任的公司,我们不使用自动决策或分析