GDPR

个人数据处理政策

1. 基本条款

这个个人数据处理政策根据爱沙尼亚《个人数据法》（以下简称《个人数据法》）的要求编写，确定了爱沙尼亚公司Estonia OÜ（以下简称运营商）所采取的个人数据处理程序和确保个人数据安全的措施。

1.1. 运营商将尊重个人数据处理中个人和公民的权利和自由，包括对隐私、个人和家庭隐私权的保护，作为其最重要的目标和条件。

1.2. 本运营商个人数据处理政策（以下简称政策）适用于运营商可能收集的有关rue.ee网站访问者的所有信息。

2. 政策中使用的基本概念

2.1. 个人数据的自动化处理 – 使用计算机工具处理个人数据。

2.2. 个人数据的阻止是暂时停止处理个人数据（除非需要澄清个人数据的处理）。

2.3. 网站 – 图形和信息材料的集合，以及为计算机和数据库提供软件，通过rue.ee在互联网上提供这些材料。

2.4. 个人数据信息系统 – 包含在数据库中的个人数据集合，并提供其处理信息技术和技术手段。

2.5. 个人数据的匿名化 – 无法在不使用额外信息的情况下确定个人数据属于特定用户或其他个人数据主体的行动。

2.6. 个人数据的处理 – 使用个人数据或无人工具进行的任何操作（交易）或使用个人数据进行的交易（交易）的组合，包括收集、记录、系统化、积累、存储、澄清（更新、修改）、提取、使用、转让（传播、提供、访问）、去个人化、阻止、删除、销毁个人数据。

2.7. 运营商 – 国家、地方机构、法律或自然人，自主或与其他人共同组织和/或执行个人数据处理，并确定处理个人数据的目的、要处理的个人数据的组成、与个人数据一起执行的操作（交易）。

2.8. 个人数据 – 任何直接或间接与rue.ee网站特定或明确定义的用户有关的信息。

2.9. 个人数据主体允许传播的个人数据 – 个人数据，被个人数据主体授权无限数量的人员访问，个人数据主体已经按照《个人数据法》规定的方式同意处理个人数据，允许传播（以下简称允许传播的个人数据）。

2.10. 用户 – rue.ee网站的任何访问者。

2.11. 提供个人数据 – 旨在将个人数据披露给特定人或特定人群的行动。

2.12. 个人数据的传播 – 旨在将个人数据披露给无法确定的一群人的任何行动（传输个人数据），或者让无限数量的人熟悉个人数据，包括将个人数据在大众媒体中发布，在信息和电信网络中张贴或以任何其他方式提供对个人数据的访问。

2.13. 个人数据的跨境传输 – 将个人数据转移到外国国家领土上的外国国家当局，转移到外国自然人或外国法人的权力。

2.14. 个人数据的销毁 – 任何行为都会导致个人数据在个人数据信息系统和/或个人数据的物质持有者中不可能进一步恢复个人数据内容的永久销毁。

3. 运营商的基本权利和义务

3.1. 运营商有权：

• 收到个人数据主体提供的可靠信息和/或包含个人数据的文件。
• 如果个人数据主体撤回对个人数据处理的同意，运营商有权根据《个人数据法》规定的理由继续处理个人数据，即使个人数据主体未同意。
• 自行确定必要和足以确保履行《个人数据法》规定的义务的措施的组成和清单，除非《个人数据法》或其他联邦法律另有规定。

3.2. 运营商应：

• 根据请求向个人数据主体提供有关其个人数据处理的信息；
• 根据爱沙尼亚现行法律规定的程序组织个人数据的处理；
• 根据《个人数据法》的要求回应个人数据主体及其法定代表的请求和要求；
• 在30天内自收到该请求之日起，向保护个人数据主体权利的授权机构提供该机构要求的必要信息；
• 发布或以其他方式提供对个人数据处理政策的无限制访问；
• 采取法律、组织和技术措施，以防止个人数据被未经授权的人访问、破坏、修改、阻止、复制、提供、传播以及对个人数据进行其他非法行为；
• 根据《个人数据法》规定的方式，在《个人数据法》规定的情况下终止个人数据的传输（传播、提供、访问）、停止处理和销毁个人数据。
• 履行《个人数据法》规定的其他职责。

4. 个人数据主体的基本权利和义务

4.1. 个人数据主体有权：

• 获得有关其个人数据处理的信息，除非联邦法律另有规定。信息将以个人数据主体可以获取的形式提供，不得包含有关其他个人数据主体的个人数据，除非有合法披露这些个人数据的理由。信息和获取信息的程序由《个人数据法》规定。
• 要求运营商澄清、阻止或销毁其个人数据，如果个人数据不完整、过时、不准确、非法获取或不符合所述处理目的，并采取法律规定的措施保护其权利。
• 要求在推广商品、作品和服务市场时处理个人数据时事先获得同意。
• 撤回对个人数据处理的同意。
• 就运营商在处理其个人数据方面的非法行为或疏漏向保护个人数据主体权利的授权机构或司法程序提出异议。
• 行使爱沙尼亚法律规定的其他权利。

4.2. 个人数据主体必须：

• 向运营商提供关于自己的可靠数据；
• 通知运营商其个人数据的澄清（更新、修改）。

4.3. 向运营商提供虚假信息或未经后者同意而提供关于另一主体的个人数据的个人，应根据爱沙尼亚法律规定承担责任。

5. 运营商可能处理用户的以下个人数据

5.1. 姓、名、父称。

5.2. 电子邮件地址。

5.3. 电话号码。

5.4. 该网站还通过互联网统计服务（Google Analytics等）收集和处理有关访问者的匿名数据。

5.5. 以上数据以下简称为个人数据。

5.6. 运营商不得处理涉及种族、国籍、政治意见、宗教或哲学信仰、私生活等的特殊类别个人数据。

5.7. 允许传播的个人数据中包括《个人数据法》规定的特殊类别个人数据，如果满足《个人数据法》规定的禁止和条件。

5.8. 用户对允许传播的个人数据的处理应单独进行，与对其它个人数据处理的同意分开。必须遵守《个人数据法》规定的条件。对此类同意的内容的要求由保护个人数据主体权利的授权机构规定。

5.8.1 用户应直接向运营商提供对允许传播的个人数据的处理的同意。

5.8.2 运营商在收到该用户的同意通知后的三个工作日内，应公布有关处理条件、禁止和个人数据允许传播的个人数据的信息。

5.8.3 个人数据主体可以随时要求终止对其允许传播的个人数据的传输（传播、提供、访问）处理。该要求必须包括个人数据主体的姓、名、父称（如有）、联系信息（电话号码、电子邮件地址或邮寄地址）以及需要终止处理的个人数据清单。在收到该要求后，该要求中指定的个人数据只能由收件人运营商处理。

5.8.4 个人数据主体根据本政策第5.8.3节的规定发送请求后，允许传播的个人数据的处理同意将立即终止。

6. 个人数据处理原则

6.1. 个人数据的处理是合法和公正的。

6.2. 个人数据的处理受限于实现特定、预先定义和合法目的。不允许处理与个人数据收集目的不相容的个人数据。

6.3. 不得允许合并包含为不相容目的而处理的个人数据的数据库。

6.4. 只有符合处理目的的个人数据才能被处理。

6.5. 处理的个人数据的内容和数量与所述处理目的相符。不允许处理与所述处理目的不相符的个人数据的冗余。

6.6. 个人数据的处理确保个人数据的准确性、充分性，以及在必要时与处理目的的相关性。运营商应采取必要措施和/或确保采取这些措施，以删除或澄清不完整或不准确的数据。

6.7. 个人数据应以允许识别个人数据主体的方式保存，不得超过个人数据处理所需目的的时间，除非个人数据的保存期由联邦法律、个人数据的受益人或保证人制定，该法律、合同中个人数据的受益人或保证人。

6.8. 在实现处理个人数据的目的或无需实现这些目的的需要时，应销毁或匿名处理所处理的个人数据。

7. 个人数据处理目的

7.1. 处理用户个人数据的目的：

• 通过电子邮件通知用户
• 签订、履行和终止民事合同
• 为用户提供访问该网站上的服务、信息和/或材料。

7.2. 运营商还有权通知用户有关新产品和服务、特别优惠和各种活动。用户可以随时通过向运营商发送电子邮件到[email protected]并标记为”拒绝接收有关新产品、服务和特别优惠的通知”来拒绝接收信息。

7.3. 通过互联网统计服务收集的用户的匿名数据用于收集有关用户在网站上的活动、提高网站质量和内容。

8. 处理个人数据的法律依据

8.1. 操作人员处理个人数据的法律依据为：

• 运营商的法定文件
• 运营商与个人数据主体签订的合同
• 个人数据保护领域的其他法律、法规和法律行为
• 用户同意处理他们的个人数据，同意处理允许传播的个人数据

8.2. 只有在用户通过位于rue.ee网站上的特定表格自主填写和/或发送其个人数据，或通过电子邮件发送给运营商时，运营商才会处理用户的个人数据。

8.3. 如果用户的浏览器设置允许，运营商会处理用户的匿名数据（包括保存”cookie”文件和使用JavaScript技术）。

8.4. 个人数据主体自行决定是否提供其个人数据，并自愿、自愿地、自愿地提供同意。

9. 处理个人数据的条件

9.1. 处理个人数据应在个人数据主体对其个人数据的处理表示同意的情况下进行。

9.2. 处理个人数据是实现爱沙尼亚国际条约或法律规定的目的，以使运营商履行由爱沙尼亚法律赋予的职能、权限和义务所必需的。

9.3. 处理个人数据是为了行使司法职能、执行法院裁决、另一机构或官员的法令，该法令按照爱沙尼亚强制执行程序法律进行强制执行。

9.4. 处理个人数据是为了履行个人数据的受益人或保证人是个人数据主体的合同，以及个人数据主体为受益人或保证人而签订合同或签订个人数据主体。

9.5. 处理个人数据是为了行使运营商或第三方的权利和合法利益，或为实现具有社会意义的目的，前提是不侵犯个人数据主体的权利和自由。

9.6. 处理个人数据，对于个人数据主体或根据其请求（以下简称为公共个人数据）允许对个人数据进行传播的无限数量的人可以访问。

9.7. 根据联邦法律的规定，允许发布或强制披露的个人数据的处理。

10. 个人数据的收集、存储、传输和其他处理程序

运营商通过实施法律、组织和技术措施来确保个人数据的安全，以完全符合个人数据保护领域的法律要求。

10.1. 运营商应确保个人数据的保存，并采取一切可能的措施，防止未经授权的人员访问个人数据。

10.2. 用户的个人数据在任何情况下都不会被转移给第三方，除非与现行立法相关或在个人数据主体同意将数据转移给第三方以履行民事合同的义务的情况下。

10.3. 如果发现个人数据中的错误，用户可以通过发送通知到运营商的电子邮件地址[email protected]并标记为”更新个人数据”来更新它们。

10.4. 处理个人数据的期限由收集个人数据的目的决定，除非合同或现行立法规定了其他期限。

用户可以随时通过向运营商发送电子邮件到运营商的电子邮件地址[email protected]并标明”撤销个人数据处理同意”来撤销其个人数据的处理同意。

10.5. 由第三方服务（包括支付系统、通信手段和其他服务提供商）收集的所有信息，包括个人数据，由指定人员（运营商）根据其用户协议和隐私政策存储和处理。个人数据主体和/或用户有责任及时熟悉这些文件。运营商不对第三方的行为承担责任，包括本段中指定的服务提供商。

10.6. 运营商应确保他们的员工遵守爱沙尼亚法律规定的法律和组织措施，以保护个人数据的安全。

11. 个人数据传输的程序

11.1. 个人数据主体和/或用户可以将其个人数据传输给运营商通过rue.ee网站上指定的方法或向运营商的指定电子邮件地址发送。

11.2. 运营商对通过电子邮件传输的个人数据的安全性不负责，这种传输的不安全性由运营商和第三方之间的电信运营商决定。

12. 最终规定

12.1. 本政策是开放的，每个人都可以在rue.ee网站上自由阅读。

12.2. 运营商有权在未事先通知个人数据主体的情况下更改本政策的规定，如《个人数据法》的新要求，以及在个人数据保护领域的其他现行规定的变化。

12.3. 运营商不对个人数据主体和/或用户的行为负责，即便他们未按照本政策的规定行事。

12.4. 运营商对爱沙尼亚法律规定的行为违反行为负责。