数据保护声明

本数据保护声明向您说明于我们在线服务内和与此相关的网页、功能和内容，以及外部页面（如我们在社交媒体的形象）内跟个人有关的数据（以下简称“数据”）处理方式、规模和目的。（以下统称为“在线服务”）。关于所用的名词，如“与个人相关的数据”或其“处理”，请参见一般数据保护条例（GDPR）第 4 条的定义。

责任方：

Gira Giersiepen GmbH & Co. KG
Dahlienstr. 12
42477 Radevormwald
科隆地方法院，HRA 16352
总经理：Christian Feltgen, Dominik Marte, Sebastian Marz
电话：02195-602-0
电子信箱：info@gira.de

数据保护负责人：

Dr. Gregor Scheja (Scheja & Partners GmbH & Co. KG)
Adenauerallee 136
D-53113 Bonn
电话: +49 (0) 228-227 226-0 传真: +49 (0) 228-227 226-26
电子信箱: info@scheja-partner.de

SSL-secure contact: https://www.scheja-partner.de/kontakt/kontakt.html Website: https://www.scheja-partner.de/

处理数据的方式：

• 盘存数据
• 联络方式
• 内容数据
• 合同数据
• 付款数据
• 使用数据
• 元数据/通信数据

处理数据类别（GDPR 第 9 条第 1 款）：

不处理特别的数据类别。

处理数据主体的类别：

• 客户/利益相关者/供货商。
• 在线服务的访客和用户。

下面我们将数据主体也统称为“用户”。

处理的目的：

• 提供在线服务、其内容以及功能。
• 提供合同规定服务项目、售后服务以及客户关怀。
• 答复联系请求以及与用户沟通交流。
• 市场营销、广告宣传以及市场研究。
• 安全措施。

版本：2018/05/25

1. 决定性的法律基础

   根据 GDPR 第 13 条的规定，我们应告知您我们数据处理的基本法规。只要在数据保护声明内未提及法规基础，则适用以下条款：取得认可的法律基础是 GDPR 第 6 条第 1 款 a 项和第 7 条；以满足我们的服务并执行合同规定的措施以及答复请求为目的进行数据处理的法律基础是 GDPR 第 6 条第 1 款 b 项；为尽我们的法定义务而进行数据处理的法律基础是 GDPR 第 6 条第 1 款 c 项；为保障我们的合法利益而进行数据处理的法律基础是 GDPR 第 6 条第 1 款 f 项。如果所涉及个人或另一自然人性命攸关的利益要求进行与其个人相关的数据处理，则以 GDPR 第 6 条第 1 款 d 项为法律基础。

2. 数据保护声明的更改和更新

   我们请您定期关注我们数据保护声明的内容。一旦这些更改需要贵方协作（例如同意），或者需要其他方面的单独通知，我们会告知您。

3. 安全措施

   按照 GDPR 第 32 条的规定，并同时考虑最新技术水平、实施成本和数据处理的方式、范围、具体情况与目的，以及自然人权利和自由风险的不同发生概率和严重程度，我们在技术和组织方面都采取了适当的风险防范措施；相关措施包括通过控制对数据的物理访问及与之相关的访问、输入、披露、可用性保障和分离等，来保证数据的机密性、完整性和可用性。除此以外，我们还制订了各种用于保障数据主体权利、数据删除以及在数据受到威胁时如何应对的程序。另外，根据通过技术设计和有利于技术保护的默认设置来保护数据的原则（GDPR 第 25 条），我们在研发、选择硬件、软件和程序时，便已参考了各项有关个人数据保护的规定。

   其中一项安全措施便是在您的浏览器与我们的服务器之间加密传输数据。

4. 与受托处理人和第三方合作

   1. 在我们处理数据的过程中，仅在您已同意的法律许可的基础上（例如根据 GDPR 第 6 条第 1 款 b 项的规定，为履行合同具有必要而将数据传输给第三方，如支付服务供应商）、基于法定义务要求或基于我们的合法权益（如委托代理人员、网络服务供应商等），才会向其他人和公司（受托处理人或第三方）披露数据、将数据传输给他们或以其他方式允许其访问数据。

   2. 只要我们在一个所谓“委托处理合同”基础上委托第三方处理数据，会按照 GDPR 第 28 条的基本规定进行。

5. 转给第三国

   只要我们在第三国（即欧洲联盟 (EU) 或欧洲经济共同体 (EWR) 以外的国家）处理数据，或者利用第三国的数据处理服务，或者将数据向第三国公开或转交给第三国，这只能在您同意的基础上、因为一项法定义务或者在我们的合法利益基础上进行，以满足我们的（事前）合同规定的义务。在保留法律和合同性许可的前提下，我们处理数据，或者只有在 GDPR 第 44 条的特别前提条件存在的情况下，我们才让数据在第三国得到处理。即，处理以特殊保证为基础，例如已获欧盟官方认可的数据保护等级（如美国的“隐私盾”）或遵守官方认可的特殊合同义务（所谓的“标准合同条款”）。

6. 数据主体的权利

   1. 根据 GDPR 第 15 条的规定，您有权要求确认个人数据是否正在被处理，以及有权在此情况下要求获得有关此数据的信息，以及其他进一步的信息和数据副本。

   2. 根据 GDPR 第 16 条的规定，您有权要求将您的个人数据补充完整或纠正错误的个人数据。

   3. 根据 GDPR 第 17 条的规定，您有权要求无不当延误地删除相关个人数据，或根据 GDPR 第 18 条的规定，您有权限制数据处理。

   4. 根据 GDPR 第 20 条的规定，您有权要求获得您向我们提供的相关个人数据，并要求传输给其他负责人。

   5. 此外，根据 GDPR 第 77 条的规定，您有权向有关监管机构提出投诉。

7. 撤回权

   根据 GDPR 第 7 条第 3 款的规定，您有权随时撤回同意，并在未来生效。

8. 拒绝权

   根据 GDPR 第 21 条的规定，您有权在任何时候拒绝处理您的个人数据。特别是有权拒绝为了直接营销的目的而处理您的个人数据。

9. 直接营销中的 Cookie 和拒绝权

   我们会使用临时性和永久性的 Cookie，即存储在用户设备上的小文件。这些 Cookie 一方面用于确保安全性，或者是在线服务运营（例如用于网站展示）所必须的，又或者需要用户在确认 Cookie 横幅时自行决定是否保存。

10. 删除数据

    1. 根据 GDPR 第 17 条和第 18 条的规定，您有权要求我们删除处理的数据或限制我们对数据的处理。除非本数据保护声明中明确说明，否则我们所保存的数据在不再需要用于预期用途、且删除不与任何法定保存要求冲突的情况下会被立即删除。在因其他合法用途而不允许删除数据时，会限制其处理。即，这些数据将被锁定，不允许因其他目的而获得处理。这适用于例如因商业或税务原因而必须保存的数据。

    2. 《德国商法典》（HGB）第 257 条第 1 款中规定的（交易账簿、库存记录、期初资产负债表、年度财务报表、贸易信函、会计凭证等的）保存期限为 6 年；《德国税收通则》（AO）第 147 条第 1 款中规定的（会计账簿、记录、库存报告、会计凭证、商业和业务信函、税务相关文件等的）保存期限为 10 年。

11. 合同服务的提供

    1. 根据 GDPR 第 6 条第 1 款 b 项的规定，我们会对基本数据（例如用户的姓名和地址及联系方式）、合同数据（例如所需的服务、联系人姓名、付款信息）等进行处理，以履行我们的合同义务并提供服务。在线表格中标注为必填项目的数据，是签署合同所必需的数据。

    2. 用户可以选择创建一个用户帐户，通过帐户尤其还可以查看订单。在注册过程中，会要求用户提供必需的必填信息。用户帐户并非公开帐户，因此搜索引擎无法进行索引。用户在终止用户帐户后，除了根据 GDPR 第 6 条第 1 款 c 项规定因商业或税法原因而必须保存的数据外，会删除其他与用户帐户相关的用户数据。在成功终止帐户之后，用户有责任在合同结束前自行对其数据进行备份。我们有权删除在合同存续期内保存的所有用户数据，其中的数据在删除后就无法再恢复。

    3. 在注册和重新登录以及使用我们的在线服务过程中，会保存用户的 IP 地址及进行操作的时间。这类保存基于我们的合法权益，并可以保护用户以防滥用和其他未经授权的使用。原则上不会将数据披露给第三方，除非在对我们的权利要求进行跟踪时有此需要，或根据 GDPR 第 6 条第 1 款 c 项的规定对于履行法律义务具有必要性。

    4. 根据 GDPR 第 6 条第 1 款 f 项的规定，我们可以因广告目的而处理用户资料中的使用数据（例如访问过的在线服务网页、对我们产品的兴趣），和内容数据（例如在联系表格或用户资料中输入的数据），从而能根据用户之前使用过的服务，为用户显示其他产品广告提示（直接营销）。

    5. 在法规规定的保修和类似义务到期后会删除数据，每三年会检查一次保存数据的必要性；在法律规定的存档义务框架内，在义务到期后（商法规定的保存义务为 6 年，税法规定的保存义务为 10 年）才会删除数据；用户帐户中的信息在终止帐户时才会删除。

12. 联系方式

    1. 在与我们联系（通过联系表格或电子邮件）时，我们将根据 GDPR 第 6 条第 1 款 b 项的规定，对用户提供的信息进行处理，以便对联系查询及其后续进行处理。

    2. 用户数据可保存在我们的客户关系管理系统（“CRM 系统”）或类似的查询组织系统中。

    3. 不再需要这些数据时，我们便会删除这些数据。我们每两年会检查一次保存数据的必要性；我们会永久保存来自拥有用户帐户的客户的查询，在删除时会提请参考用户帐户中的详细信息。如果适用法律规定的存档义务，则在保存义务到期后（商法规定为 6 年，税法规定为 10 年）才会删除数据。

13. 评论和留言

    1. 如果用户留下评论或其他留言，则根据 GDPR 第 6 条第 1 款 f 项的规定，我们将基于我们的合法权益保存用户的 IP 地址 7 天。

    2. 保存的目的在于保证我们的安全，以防有用户在评论和留言中留下各种非法内容（侮辱性语言、被禁止的政治宣传等）。在此情况下，我们可能会因评论或留言的内容而被起诉，从而需要追查其作者的身份。

14. 收集访问数据和日志文件

    1. 根据 GDPR 第 6 条第 1 款 f 项的规定，我们将基于自身的合法权益，收集用户在每次访问服务所在服务器的数据（即所谓的服务器日志文件）。访问数据包括：调用的网站名称、文件、调用日期和时间、传输的数据量、成功调用的信息、浏览器类型及版本、用户的操作系统、引荐 URL 网址（之前访问的网页）、IP 地址和发出请求的供应商。

    2. 出于安全原因会保存日志文件信息（例如用于滥用或欺诈行为的调查），最迟在七天后删除。对于因保存证据需要而保存的数据，在最终澄清相应事件之前都不会删除。

15. 社交媒体专页

    1. 我们在社交网络和平台上设有专页，以便与活跃于社交网络和平台中的客户、潜在客户和用户进行交流，并向他们推广我们的服务。在调用相应的网络和平台时，适用各运营商的服务条款和数据处理准则。

    2. 除非我们的数据保护声明中另有规定，我们会处理用户在社交网络和平台中与我们交流时生成的数据，例如针对我们的网站发布的留言或向我们发送的消息。

16. Cookie 与覆盖面衡量

    1. Cookie 是由我们的网络服务器或第三方网络服务器传输到用户的网页浏览器上，并保存在那里供日后调用的信息。Cookie 可以是小文件或以其他方式保存的信息。

    2. 我们使用“会话 Cookie”，仅在您访问我们的网站期间才会保存此类 Cookie（其用途在于保存您的登录状态或购物车功能，以便您能够使用我们的在线服务）。在会话 Cookie 中，会保存随机生成的唯一标识号，即所谓的会话 ID。此外，Cookie 中还包含有关来源和保存期限的信息。这类 Cookie 无法保存其他数据。当您退出我们的在线服务，例如注销或关闭浏览器时，便会删除会话 Cookie。

    3. 此外，我们还使用永久性 Cookie，也称为持续性 Cookie。持续性 Cookie 会在指定的一段时间后自动删除，具体时间取决于 Cookie 的不同。您可以随时在浏览器的安全设置上删除 Cookie。

    4. 如果用户不希望保存 Cookie，则可以使用以下链接调整您在 Gira 网站上的 Cookie 设置。也可以在浏览器的系统设置中删除已保存的 Cookie。禁用 Cookie 可能导致在线服务的功能受限。

       我在 Gira 网站上的 Cookie 设置

    5. 对于用于覆盖面衡量和广告用途的 Cookie，您还可以通过网络广告促进会（Network Advertising Initiative）的禁用页面（http://optout.networkadvertising.org/），以及通过美国方面提供的网站（http://www.aboutads.info/choices），或欧洲方面提供的网站（http://www.youronlinechoices.com/uk/your-ad-choices/）拒绝。