GDPR

个人数据处理政策

1. 基本条款

此个人数据处理政策是根据爱沙尼亚立法《关于个人数据》（以下简称个人数据法）的要求编写的，并确定了由爱沙尼亚OÜ公司（以下简称运营商）执行的个人数据处理程序和确保个人数据安全的措施。

1.1. 运营商将尊重个人数据处理中个人和公民的权利和自由，包括对隐私、个人和家庭隐私权的保护，作为其最重要的目标和条件。

1.2. 本运营商个人数据处理政策（以下简称政策）适用于运营商可能收集的有关rue.ee网站访问者的所有信息。

2. 政策中使用的基本概念

2.1. 个人数据的自动化处理 – 使用计算机工具处理个人数据。

2.2. 个人数据的阻止是暂时停止处理个人数据（除非需要澄清个人数据的处理）。

2.3. 网站 – 图形和信息材料的集合，以及为计算机和数据库提供软件，通过rue.ee在互联网上提供这些材料。

2.4. 个人数据信息系统 – 包含在数据库中的个人数据集合，并提供其处理信息技术和技术手段。

2.5. 个人数据的匿名化 – 无法在不使用额外信息的情况下确定个人数据属于特定用户或其他个人数据主体的行动。

2.6. 个人数据的处理 – 使用个人数据或无人工具进行的任何操作（交易）或使用个人数据进行的交易（交易）的组合，包括收集、记录、系统化、积累、存储、澄清（更新、修改）、提取、使用、转让（传播、提供、访问）、去个人化、阻止、删除、销毁个人数据。

2.7. 运营商 – 国家、地方机构、法律或自然人，自主或与其他人共同组织和/或执行个人数据处理，并确定处理个人数据的目的、要处理的个人数据的组成、与个人数据一起执行的操作（交易）。

2.8. 个人数据 – 任何直接或间接与rue.ee网站特定或明确定义的用户有关的信息。

2.9. 个人数据主体允许传播的个人数据 – 个人数据，被个人数据主体授权无限数量的人员访问，个人数据主体已经按照《个人数据法》规定的方式同意处理个人数据，允许传播（以下简称允许传播的个人数据）。

2.10. 用户 – rue.ee网站的任何访问者。

2.11. 提供个人数据 – 旨在将个人数据披露给特定人或特定人群的行动。

2.12. 个人数据的传播 – 旨在将个人数据披露给无法确定的一群人的任何行动（传输个人数据），或者让无限数量的人熟悉个人数据，包括将个人数据在大众媒体中发布，在信息和电信网络中张贴或以任何其他方式提供对个人数据的访问。

2.13. 个人数据的跨境传输 – 将个人数据转移到外国国家领土上的外国国家当局，转移到外国自然人或外国法人的权力。

2.14. 个人数据的销毁 – 任何行为都会导致个人数据在个人数据信息系统和/或个人数据的物质持有者中不可能进一步恢复个人数据内容的永久销毁。

3. 运营商的基本权利和义务

3.1. 运营商有权：

• 收到个人数据主体提供的可靠信息和/或包含个人数据的文件。
• 如果个人数据主体撤回对个人数据处理的同意，运营商有权根据《个人数据法》规定的理由继续处理个人数据，即使个人数据主体未同意。
• 自行确定必要和足以确保履行《个人数据法》规定的义务的措施的组成和清单，除非《个人数据法》或其他联邦法律另有规定。

3.2. 运营商应：

• 根据请求向个人数据主体提供有关其个人数据处理的信息；
• 根据爱沙尼亚现行法律规定的程序组织个人数据的处理；
• 根据《个人数据法》的要求回应个人数据主体及其法定代表的请求和要求；
• 在30天内自收到该请求之日起，向保护个人数据主体权利的授权机构提供该机构要求的必要信息；
• 发布或以其他方式提供对个人数据处理政策的无限制访问；
• 采取法律、组织和技术措施，以防止个人数据被未经授权的人访问、破坏、修改、阻止、复制、提供、传播以及对个人数据进行其他非法行为；
• 根据《个人数据法》规定的方式，在《个人数据法》规定的情况下终止个人数据的传输（传播、提供、访问）、停止处理和销毁个人数据。
• 履行《个人数据法》规定的其他职责。

4. 个人数据主体的基本权利和义务

4.1. 个人数据主体有权：

• 获得有关其个人数据处理的信息，除非联邦法律另有规定。信息将以个人数据主体可以获取的形式提供，不得包含有关其他个人数据主体的个人数据，除非有合法披露这些个人数据的理由。信息和获取信息的程序由《个人数据法》规定。
• 要求运营商澄清、阻止或销毁其个人数据，如果个人数据不完整、过时、不准确、非法获取或不符合所述处理目的，并采取法律规定的措施保护其权利。
• 要求在推广商品、作品和服务市场时处理个人数据时事先获得同意。
• 撤回对个人数据处理的同意。
• 就运营商在处理其个人数据方面的非法行为或疏漏向保护个人数据主体权利的授权机构或司法程序提出异议。
• 行使爱沙尼亚法律规定的其他权利。

4.2. 个人数据主体必须：

• 向运营商提供关于自己的可靠数据；
• 通知运营商其个人数据的澄清（更新、修改）。

4.3. 向运营商提供虚假信息或未经后者同意而提供关于另一主体的个人数据的个人，应根据爱沙尼亚法律规定承担责任。

5. 运营商可能处理用户的以下个人数据

5.1. 姓、名、父称。

5.2. 电子邮件地址。

5.3. 电话号码。

5.4. 该网站还通过互联网统计服务（Google Analytics等）收集和处理有关访问者的匿名数据。

5.5. 以上数据以下简称为个人数据。

5.6. 运营商不得处理涉及种族、国籍、政治意见、宗教或哲学信仰、私生活等的特殊类别个人数据。

5.7. 允许传播的个人数据中包括《个人数据法》规定的特殊类别个人数据，如果满足《个人数据法》规定的禁止和条件。

5.8. 用户对允许传播的个人数据的处理应单独进行，与对其它个人数据处理的同意分开。必须遵守《个人数据法》规定的条件。对此类同意的内容的要求由保护个人数据主体权利的授权机构规定。

5.8.1 用户应直接向运营商提供对允许传播的个人数据的处理的同意。

5.8.2 运营商在收到该用户的同意通知后的三个工作日内，应公布有关处理条件、禁止和个人数据允许传播的个人数据的信息。

5.8.3 个人数据主体可以随时要求终止对其允许传播的个人数据的传输（传播、提供、访问）处理。该要求必须包括个人数据主体的姓、名、父称（如有）、联系信息（电话号码、电子邮件地址或邮寄地址）以及需要终止处理的个人数据清单。在收到该要求后，该要求中指定的个人数据只能由收件人运营商处理。

5.8.4 个人数据主体根据本政策第5.8.3节的规定发送请求后，允许传播的个人数据的处理同意将立即终止。

6. 个人数据处理原则

6.1. 处理个人数据是合法和公正的。

6.2. 处理个人数据的范围限于实现具体、预先确定和合法的目的。不允许处理与个人数据收集目的不相容的个人数据。

6.3. 不得允许合并包含为相互不兼容目的而处理的个人数据的数据库。

6.4. 只有符合处理目的的个人数据才能被处理。

6.5. 处理的个人数据的内容和数量应符合所述的处理目的。不允许处理与所述处理目的相关的个人数据冗余。

6.6. 处理个人数据应确保个人数据的准确性、充分性，并在必要时与个人数据处理目的相关。运营商应采取必要的措施和/或确保采取这些措施以删除或澄清不完整或不准确的数据。

6.7. 个人数据应以允许识别个人数据主体的形式保存时间不得超过个人数据处理目的所需的时间，除非个人数据的保留期限由联邦法律、涉及个人数据主体的受益人或担保人的条约规定。处理的个人数据在达到处理目的或不需要达到这些目的时应被销毁或匿名化，除非联邦法律另有规定。

7. 个人数据处理目的

7.1. 处理用户个人数据的目的：

• 通过电子邮件通知用户
• 签订、履行和终止民事合同
• 为用户提供访问该网站上的服务、信息和/或材料。

7.2. 运营商还有权通知用户有关新产品和服务、特别优惠和各种活动。用户可以随时通过向运营商发送电子邮件到[email protected]并标记为”拒绝接收有关新产品、服务和特别优惠的通知”来拒绝接收信息。

7.3. 通过互联网统计服务收集的用户的匿名数据用于收集有关用户在网站上的活动、提高网站质量和内容。

8. 处理个人数据的法律依据

8.1. 操作人员处理个人数据的法律依据为：

• 运营商的法定文件
• 运营商与个人数据主体签订的合同
• 个人数据保护领域的其他法律、法规和法律行为
• 用户同意处理他们的个人数据，同意处理允许传播的个人数据

8.2. 只有在用户通过位于rue.ee网站上的特定表格自主填写和/或发送其个人数据，或通过电子邮件发送给运营商时，运营商才会处理用户的个人数据。

8.3. 如果用户的浏览器设置允许，运营商会处理用户的匿名数据（包括保存”cookie”文件和使用JavaScript技术）。

8.4. 个人数据主体自行决定是否提供其个人数据，并自愿、自愿地、自愿地提供同意。

9. 处理个人数据的条件

9.1. 处理个人数据应在个人数据主体对其个人数据的处理表示同意的情况下进行。

9.2. 处理个人数据是实现爱沙尼亚国际条约或法律规定的目的，以使运营商履行由爱沙尼亚法律赋予的职能、权限和义务所必需的。

9.3. 处理个人数据是为了行使司法职能、执行法院裁决、另一机构或官员的法令，该法令按照爱沙尼亚强制执行程序法律进行强制执行。

9.4. 处理个人数据是为了履行个人数据的受益人或保证人是个人数据主体的合同，以及个人数据主体为受益人或保证人而签订合同或签订个人数据主体。

9.5. 处理个人数据是为了行使运营商或第三方的权利和合法利益，或为实现具有社会意义的目的，前提是不侵犯个人数据主体的权利和自由。

9.6. 处理个人数据，对于个人数据主体或根据其请求（以下简称为公共个人数据）允许对个人数据进行传播的无限数量的人可以访问。

9.7. 根据联邦法律的规定，允许发布或强制披露的个人数据的处理。

10. 个人数据的收集、存储、传输和其他处理程序

由运营商处理的个人数据的安全性是通过实施法律、组织和技术措施来确保的，这些措施必须完全符合当前个人数据保护领域的法律要求。

10.1. 运营商应确保个人数据的保存，并采取一切可能的措施防止未经授权的人员访问个人数据。

10.2. 用户的个人数据在任何情况下都不得转移给第三方，除非与现行法律的实施相关或者在个人数据主体已经同意将数据转移到第三方以履行民事合同义务的情况下。

10.3. 如果发现个人数据不准确，用户可以通过向运营商的电子邮件地址[email protected]发送带有“更新个人数据”的标记的通知来更新它们。

10.4. 个人数据的处理期限由收集个人数据的目的的实现确定，除非合同或现行法律另有规定。

用户可以随时通过发送电子邮件至运营商的电子邮件地址[email protected]，标记为“撤销个人数据处理的同意”，来撤销他对个人数据处理的同意。

10.5. 由第三方服务（包括支付系统、通讯手段和其他服务提供商）收集的所有信息均由指定的人（运营商）根据他们的用户协议和隐私政策存储和处理。个人数据主体和/或用户有义务及时了解这些文件。运营商对包括本段指定的服务提供商在内的第三方的行为不承担责任。

10.6. 个人数据主体对个人数据的传输（除了授予访问权限）和/或处理（除了访问权限）的禁止，在爱沙尼亚法律规定的公共、公共或其他公共利益的情况下不适用。

10.7. 运营商在处理个人数据时确保个人数据的保密性。

10.8. 运营商应以允许识别个人数据主体的形式保存个人数据的时间不得超过个人数据处理目的所需的时间，如果个人数据的保留期限没有由联邦法律或个人数据的受益人或担保人的协议规定。

10.9. 终止处理个人数据的条件可能是达到个人数据处理目的、个人数据主体的同意期限到期或个人数据主体撤销同意，以及发现个人数据非法处理。

11. 个人数据传输的程序

11.1. 个人数据主体和/或用户可以将其个人数据传输给运营商通过rue.ee网站上指定的方法或向运营商的指定电子邮件地址发送。

11.2. 运营商对通过电子邮件传输的个人数据的安全性不负责，这种传输的不安全性由运营商和第三方之间的电信运营商决定。

12. 最终规定

12.1. 在开始跨境转移个人数据之前，运营商必须确保个人数据转移的外国国家提供主体个人数据的安全性。

12.2. 在不符合上述要求的外国境内进行个人数据的跨境转移，只有在个人数据主体书面同意跨境转移他的个人数据和/或履行个人数据主体是一方的合同的情况下才能进行。

13. 最终规定

运营商和其他有权访问个人数据的人员不得向第三方披露或分发

未经个人数据主体同意，不得公开个人数据，除非联邦法律另有规定

14. 最终规定

14.1. 用户可以通过发送电子邮件至运营商的电子邮件地址[email protected]来获得有关处理他个人数据的任何澄清。

14.2. 本文件将反映运营商个人数据处理政策的任何变更。该政策有效期不限，直到被新版本替换。

14.3. 免费访问政策的当前版本可在互联网上的rue.ee上获取。