隐私权

我们很高兴您对我们的企业感兴趣。数据保护是我们的首要任务。一般来说，使用我们的网站无需提供任何个人数据。但是，如果数据当事人希望通过我们的网站使用我们公司的特殊服务，则可能需要处理个人数据。如果处理个人数据是必要的，且没有法律依据，我们通常会征得数据当事人的同意。

对数据当事人的姓名、地址、电子邮件地址或电话号码等个人数据的处理，始终按照《通用数据保护条例》以及适用于我们的国家特定数据保护法规进行。通过本数据保护声明，本公司希望向公众介绍我们收集、使用和处理个人数据的类型、范围和目的。此外，数据主体还可通过本隐私政策了解其权利。

我们已采取多项技术和组织措施，确保尽可能全面地保护通过本网站处理的个人数据。然而，基于互联网的数据传输通常会存在安全漏洞，因此无法保证绝对的保护。因此，每个数据当事人都可以通过电话等其他方式向我们传送个人数据。

1. 定义

数据保护声明以欧洲立法者在通过《通用数据保护条例》（GDPR）时使用的术语为基础。我们的隐私政策应便于公众、客户和业务合作伙伴阅读和理解。为确保这一点，我们希望提前解释一下使用的术语。

除其他术语外，我们在本隐私政策中使用以下术语：

1. a) 个人数据
   个人数据是指与已识别或可识别的自然人（以下简称 “数据主体”）有关的任何信息。可识别的自然人是指可以直接或间接识别的自然人，尤其是通过姓名、身份证号码、位置数据、在线标识符等标识符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个特定因素。
2. b) 数据主体
   数据主体是其个人数据由控制者处理的任何已识别或可识别的自然人。
3. c) 处理
   处理是指对个人数据或个人数据集进行的任何操作或一系列操作，无论是否采用自动化手段，例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供进行披露、排列或组合、限制、删除或销毁。
4. d) 限制处理
   限制处理是对存储的个人数据进行标记，目的是限制今后的处理。
5. e) 剖析
   剖析是指对个人数据进行任何形式的自动处理，包括使用个人数据评估与自然人有关的某些个人方面，特别是分析或预测与该自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为、位置或行动有关的方面。
6. f) 假名化
   假名化是指在处理个人数据时，在不使用附加信息的情况下，不再将个人数据归属于某个特定的数据主体，条件是这些附加信息必须单独保存，并采取技术和组织措施，以确保个人数据不归属于某个已识别或可识别的自然人。
7. g) 控制者或负责处理的控制者
   控制者或负责处理的控制者是单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他团体。如果此类处理的目的和方式由欧盟或成员国法律确定，则欧盟或成员国法律可规定控制者或其提名的具体标准。
8. h) 处理者
   处理者是代表控制者处理个人数据的自然人或法人、公共机关、机构或其他团体。
9. i) 接收方
   接收方是向其披露个人数据的自然人或法人、公共当局、机构或其他团体，无论其是否为第三方。但是，根据欧盟或成员国法律在特定调查框架内可能接收个人数据的公共机构不应被视为接收方。
10. j) 第三方
    第三方是指除数据主体、控制者、处理者以及在控制者或处理者直接授权下有权处理个人数据的人员之外的自然人或法人、公共当局、机构或团体。
11. k) 同意
    同意是数据当事人自由作出的、具体的、知情的和明确的意愿表示，数据当事人通过声明或明确肯定的行动表示同意处理与其有关的个人数据。

2. 控制人的名称和地址

根据《通用数据保护条例》、适用于欧盟成员国的其他数据保护法律以及其他数据保护规定，控制人为

雷内-格德斯

Am Hangelstein 11

65812 陶努斯地区巴特索登

德国

电话：+49 173 1858523

电子邮件： info@galerie-gerdes.com

3. 收集一般数据和信息

每次数据主体或自动系统访问本网站时，本网站都会收集一系列一般数据和信息。这些一般数据和信息保存在服务器日志文件中。其中包括：(1) 使用的浏览器类型和版本；(2) 访问系统使用的操作系统；(3) 访问系统从哪个网站访问我们的网站（即所谓的推荐人）；(4) 通过访问系统访问我们网站的子网站、(5) 访问网站的日期和时间，(6) 互联网协议地址（IP 地址），(7) 访问系统的互联网服务提供商，以及 (8) 在我们的信息技术系统受到攻击时用于安全目的的其他类似数据和信息。

在使用这些一般数据和信息时，Rene Gerdes 不会对数据主体得出任何结论。相反，需要这些信息是为了：(1) 正确提供我们网站的内容；(2) 优化我们网站的内容和广告；(3) 确保我们信息技术系统和网站技术的长期功能；(4) 在发生网络攻击时，向执法机关提供刑事起诉所需的信息。因此，Rene Gerdes 对匿名收集的数据和信息进行统计分析，目的是加强我们企业的数据保护和数据安全，并确保我们处理的个人数据得到最佳保护。服务器日志文件中的匿名数据与数据当事人提供的所有个人数据分开存储。

4 个人数据的例行清除和封锁

控制者处理和存储数据当事人的个人数据的期限应仅限于实现存储目的所需的时间，或在欧洲立法者或控制者所遵守的法律或法规中的其他立法者允许的范围内。

如果存储目的不再适用，或者欧洲立法机构或其他主管立法机构规定的存储期限已过，将根据法律规定对个人数据进行例行封存或删除。

5 资料当事人的权利

1. a) 确认权
   欧洲立法者赋予每个数据当事人向控制者确认其个人数据是否被处理的权利。如果数据当事人希望行使这一确认权，可随时联系控制者的任何员工。
2. b)    Recht auf Auskunft

   Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner hat der Europäische Richtlinien- und Verordnungsgeber der betroffenen Person Auskunft über folgende Informationen zugestanden:
   1.                die Verarbeitungszwecke
   1.                die Kategorien personenbezogener Daten, die verarbeitet werden
   1.                die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
   1.                falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
   1.                das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
   1.                das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
   1.                wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten
   1. 是否存在 GDPR 第 22 条第(1)款和第(4)款所述的自动决策，包括定性分析，并至少在这些情况下，提供有意义的信息，说明所涉及的逻辑，以及此类处理对数据主体的意义和预期后果
3. 此外，数据当事人有权了解个人数据是否已被转移到第三国或国际组织。在这种情况下，数据当事人还有权获得有关转移的适当保障措施的信息。如果数据当事人希望行使这一访问权，可随时联系控制方的任何员工。
4. c) 更正权
   任何受个人数据处理影响的人都有权要求立即更正与其有关的不准确的个人数据。考虑到处理目的，数据当事人还有权要求补全不完整的个人数据，包括提供补充说明。如果数据当事人希望行使这一更正权，可随时联系控制方的任何员工。
5. d)    Recht auf Löschung (Recht auf Vergessen werden)

   Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:
   1.                Die personenbezogenen Daten wurden für solche Zwecke erhoben oder auf sonstige Weise verarbeitet, für welche sie nicht mehr notwendig sind.
   1.                Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 Buchstabe a DS-GVO oder Art. 9 Abs. 2 Buchstabe a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
   1.                Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein.
   1.                Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
   1.                Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
   1. 个人数据的收集与根据《欧洲个人信息权公约》第 8 条第 1 款提供的信息社会服务有关。
6. 如果上述原因之一适用，且数据当事人希望要求删除 Rene Gerdes 存储的个人数据，他或她可以随时联系控制器的任何员工。Rene Gerdes 的员工应立即确保立即满足删除请求。如果 Rene Gerdes 已公开个人数据，且根据 GDPR 第 17 条第 1 款的规定，我公司有义务删除个人数据，则 Rene Gerdes 应采取适当措施，包括技术措施，并考虑现有技术和实施成本，通知处理已公开个人数据的其他数据控制者，数据主体已要求这些其他数据控制者删除与该个人数据的所有链接，或该个人数据的副本或复制件，只要处理没有必要。Rene Gerdes 公司的员工将在个别情况下安排必要的措施。
7. e)    Recht auf Einschränkung der Verarbeitung
   
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
   1.                Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
   1.                Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten.
   1.                Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
   1. 在核实控制方的合法理由是否优先于数据当事人的合法理由之前，数据当事人已根据 GDPR 第 21(1)条反对处理。
8. 如果符合上述条件之一，且数据当事人希望要求限制对 Rene Gerdes 存储的个人数据的处理，他或她可以随时联系控制方的任何员工。Rene Gerdes 公司员工将安排限制处理。
9. f) 数据携带权
   任何受个人数据处理影响的人都有权按照欧洲立法者的规定，以结构化、通用和机器可读的格式接收其向控制者提供的与其有关的个人数据。他们还有权在不受提供个人数据的控制者阻碍的情况下，将这些数据传输给另一个控制者，如果数据处理是基于 GDPR 第 6(1)条第(a)点或 GDPR 第 9(2)条第(a)点规定的同意，或基于 GDPR 第 6(1)条第(b)点规定的合同，并且数据处理是通过自动化手段进行的，除非数据处理是为了公共利益或控制者行使官方权力而执行任务所必需的。此外，在根据《欧盟数据保护条例》第 20 (1) 条行使数据可移植性权利时，数据当事人有权在技术可行且不会对他人的权利和自由造成不利影响的情况下，将个人数据从一个控制者直接传输到另一个控制者。为了维护数据可携性的权利，数据当事人可随时联系 Rene Gerdes 公司的任何员工。
10. g) 反对权
    任何受个人数据处理影响的人都有权根据欧洲立法者赋予的权利，以与其特殊情况相关的理由，随时反对基于《欧洲个人数据保护公约》第 6(1)条第(e)或(f)点对其个人数据的处理。这也适用于根据这些条款进行的个人资料分析。如果提出异议，Rene Gerdes 将不再处理个人数据，除非我们能证明处理数据的正当理由高于数据当事人的利益、权利和自由，或用于建立、行使或捍卫法律主张。如果 Rene Gerdes 公司出于直接营销目的处理个人数据，数据当事人有权随时反对出于此类营销目的处理与其相关的个人数据。这也适用于与此类直接营销相关的个人资料分析。如果数据当事人向 Rene Gerdes 表示反对用于直接营销目的的处理，Rene Gerdes 将不再出于这些目的处理其个人数据。此外，数据当事人有权以其特殊情况为由，反对 Rene Gerdes 将其个人数据用于科学或历史研究目的，或根据 GDPR 第 89(1)条用于统计目的，除非该处理是出于公共利益执行任务所必需的。为了行使反对权，数据当事人可以联系 Rene Gerdes 的任何员工。此外，在使用信息社会服务的情况下，尽管有第 2002/58/EC 号指令的规定，数据当事人仍可通过使用技术规范的自动化手段自由行使其反对权。
11. h) 个别情况下的自动决定，包括特征分析
    每个数据主体都有权不接受欧洲立法者授予的、完全基于自动化处理（包括特征分析）做出的、对其产生法律效力或类似重大影响的决定、但前提是：(1) 该决定对于数据主体与控制方之间合同的签订或履行并非必要；或 (2) 该决定得到控制方所遵守的欧盟或成员国法律的授权，且该法律还规定了适当的措施以保障数据主体的权利和自由以及合法利益；或 (3) 该决定基于数据主体的明确同意。如果该决定 (1) 是数据主体与数据控制方之间签订或履行合同所必需的，或 (2) 是基于数据主体的明确同意，Rene Gerdes 应采取适当措施保障数据主体的权利、自由和合法利益，至少有权获得控制方的人工干预，表达其观点并对该决定提出异议。如果数据当事人希望行使与个人自动决策相关的权利，可随时联系控制方的任何员工。
12. i) 根据数据保护法撤销同意的权利
    受个人数据处理影响的任何人都有权随时撤销对个人数据处理的同意，这是欧洲指令和法规的立法者所赋予的权利。如果数据当事人希望行使撤销同意的权利，可随时联系控制方的任何员工。

6. 处理的法律依据

GDPR 第 6 条第 I 款第 a 项规定，本公司在处理业务时以特定处理目的为法律依据。如果个人数据的处理对于履行数据主体作为一方的合同是必要的，例如，对于交付货物或提供其他服务或报酬是必要的处理操作，则处理依据为 GDPR 第 6 条 I 款 b 项。这同样适用于为履行合同前措施而必须进行的处理操作，例如有关我们产品或服务的咨询。如果我公司受法律义务的约束，需要处理个人数据，例如履行纳税义务，则根据 GDPR 第 6 条第 I 款 c 项进行处理。在极少数情况下，为了保护数据当事人或其他自然人的重要利益，可能有必要对个人数据进行处理。例如，访客在本公司受伤，其姓名、年龄、医疗保险详情或其他重要信息必须提供给医生、医院或其他第三方。这种情况下的信息处理将依据《欧洲个人信息保护条例》第 6 条第 I 款 d 项进行。最终，处理操作将依据《个人数据保护条例》第 6 条第 I 款第 f 项进行。如果为维护本公司或第三方的合法权益而有必要进行处理，且数据主体的利益、基本权利和自由不受影响，则上述法律依据未涵盖的处理操作均以该法律依据为基础。我们之所以被允许进行此类处理操作，特别是因为欧洲立法机构已特别提及。在这方面，欧洲立法机构认为，如果数据主体是控制者的客户，则可以认为存在合法权益（《欧盟数据保护条例》第 47 条第 2 款）。

7. 控制者或第三方在处理过程中所追求的合法利益

如果个人数据的处理依据的是《欧洲个人数据保护公约》第 6 条第 I 款 f 项，则我们的合法权益是为了我们所有员工和股东的利益而开展业务活动。

8. 个人资料的保存期限

个人数据的保存期限以相应的法定保存期限为标准。过期后，如果履行或启动合同不再需要相应的数据，则会例行删除。

9. 提供个人资料的法律规定或合同规定；签订合同的必要性；资料当事人提供个人资料的义务；不提供的可能后果

我们希望告知您，提供个人数据部分是法律要求的（如税务规定），也可能是合同规定的（如合同伙伴的信息）。有时，为了签订合同，数据当事人必须向我们提供随后必须由我们处理的个人数据。例如，如果我们公司与数据主体签订合同，数据主体有义务向我们提供个人数据。不提供个人数据将意味着无法与数据当事人签订合同。在数据当事人提供个人数据之前，数据当事人必须联系我们的一名员工。我们的员工将根据具体情况告知数据当事人，提供个人数据是否是法律或合同的要求，或者是否是签订合同的必要条件，是否有义务提供个人数据，以及不提供个人数据的后果。

10. 是否存在自动决策

作为一家负责任的公司，我们不使用自动决策或特征分析。

本隐私政策由 DGD（您的外部 DPO）的隐私政策生成器生成，该生成器是与科隆WILDE BEUGER SOLMECKE律师事务所的德国律师合作开发的。