隐私政策 - Canyon Bicycles GmbH
Canyon Bicycles GmbH(以下简称为 "Canyon")衷心欢迎您访问我们的网站并对我们的自行车感兴趣。保护您的数据对我们而言非常重要。因此,我们希望通过本数据保护声明告知您在与网站交互过程中哪些数据会被处理,以及我们基于何种理由进行此类处理。通过这种方式,您可以随时了解 Canyon 如何处理您的个人数据。
鉴于法律法规变更及公司内部流程调整,本数据保护声明将定期更新,建议您经常查阅以确保及时获取最新版本。您可以随时通过我们网站的"数据保护"导航访问、保存和打印本数据保护声明。
本声明末页附有我们在 Facebook、Instagram 等社交媒体平台的隐私政策。
1. 责任方和适用范围
在《欧盟通用数据保护条例》(以下简称:GDPR)、成员国的其他国家数据保护法以及其他数据保护法规意义上的控制方为
Canyon Bicycles GmbH
Karl-Tesche-Strasse 12
56073 Koblenz
电话:+49 (0)261 - 9490 300 0
电子邮箱:privacy@canyon.com
网站:https://www.canyon.com/
本数据保护声明适用于 Canyon Bicycles GmbH 的网站,该网站可通过域名 www.canyon.com 和 www.career.canyon.com 以及各种子域名访问(以下大多统称为"我们的网站")。
2. 数据保护官
控制方的外部数据保护官为
Karsten Kinast 博士,法学硕士。
KINAST Rechtsantwaltsgesellschaft mbH
Hohenzollernring 54
D-50672 Cologne
电话:+49 (0)221 - 222 183 0
电子邮箱:team-cgn1@kinast.eu; mail@kinast.eu
网站:http://www.kinast.eu
如果您有任何与数据保护相关的问题或疑问,也欢迎直接联系我们的外部数据保护官。
3. 数据处理原则
我们仅在提供我们的网站或客户支持服务、订单处理以及与个人数据相关的所有其他服务所必需的情况下,或我们已获得您对单个数据处理操作的同意时,才收集和使用您的数据。
下方将阐述数据保护领域您应当了解的核心基础概念与关键术语:
个人数据是指与已识别或可识别的自然人相关的任何信息(参见 GDPR 第 4 条第 1 款)。这些信息包括您的姓名、年龄、地址、电话号码、出生日期、电子邮箱地址、客户编号、IP 地址或您在我们网站上的活动数据等信息。无法(或需要付出极大努力)与您个人建立联系的信息视为已匿名化,因此不属于个人数据。个人数据的处理(例如收集、检索、使用、存储或传输)始终需要法律依据或您的同意。
您的个人数据将在不再需要用于处理目的且无需考虑法律规定的保留期限时被删除。
“个人数据的"处理"”这一术语具有广泛内涵,可参见 GDPR 第 4 条第 2 款。根据定义,个人数据的处理包括对个人数据或个人数据集进行的任何操作或一系列操作,无论是否通过自动化手段,例如收集、记录、组织、结构化、存储、调整或更改、检索、咨询、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁。
处理您的个人数据的每个过程都需要法律依据。在个别情况下,也可以考虑依据欧盟各成员国的法律,例如《联邦数据保护法》(BDSG) 的法律依据。
只有在获得相应的同意后,才会定期收集和使用我们用户的个人数据,该同意反过来又构成数据处理的法律依据(参见 GDPR 第 6 条第 1 款 a 项和第 7 条)。
如果个人数据处理基于其他法律依据,情况则不同。需要特别注意的是,基于合同或合同前措施的处理(GDPR 第 6 条第 1 款 b 项),基于履行法律或法定义务的处理(GDPR 第 6 条第 1 款 c 项),或者因为我们在数据处理方面有所谓的"合法利益"(参见 GDPR 第 6 条第 1 款 f 项),前提是数据处理对于保障该合法利益是必要的,并且在个别情况下,优先于受数据处理影响的个人的基本权利和自由。
个人数据仅在实现各自存储目的相关的时间段内处理。如果存在法定保留义务和/或法定保留权利,例如来自税法或商业法律规定,数据的存储期限最长为 10 年。如果存储目的不再适用(例如取消订阅我们的新闻服务)或法定存储期限到期,相关的个人数据将根据法定规定例行删除或其处理受到限制(例如在税法或商业法律保留义务范围内的有限处理)。
我们仅在以下情况传输您的个人数据:提供服务的必要性、实现处理目的之要求、已获得您事先明确同意,或存在其他适用法律依据。这些合作方可能包括协助我们维护和管理系统的托管服务提供商或 IT 服务商,以及邮政、支付或营销服务提供商。我们已要求这些公司根据适用的数据保护法律保护您的个人数据。
在这种情况下,个人数据可能会传输到 EU/EEA 以外的不适用 GDPR 规定的国家/地区。然而,我们将根据 GDPR 的规定采取必要的预防措施,以确保您的数据在符合数据保护法规的情况下被传输。
因此,我们主要与那些所在国家/地区获得欧盟委员会充分性决定认定的企业开展合作,其中包括美国。自 2023 年 7 月 10 日起,如果美国公司向美国商务部承诺遵守适当的数据保护标准,则向美国传输数据的行为可通过所谓的欧盟充分性决定(欧盟-美国数据隐私框架)获得合法性依据。如果美国企业未作出相关承诺,且其所在国未获得欧盟充分性认定,则其数据接收标准将与其他欧盟境外企业适用同等法律要求。在 Canyon,我们仅与那些已采取法律要求措施的公司合作,以确保您的数据能够合法传输至这些国家/地区。如果第三方国家/地区未获得充分性认定,通常通过缔结标准合同条款并实施补充性措施,来确保数据保护达到规定标准。
然后,我们将在本数据保护声明的相关章节中,单独说明向这些所谓的第三国传输个人数据的情况。
我们发送电子邮件(如时事通讯、活动和服务电子邮件)并衡量其使用情况,如送达量、打开次数、点击次数、退订、取消订阅或垃圾邮件投诉。这些衡量数据有助于我们以安全的方式传递信息,精准评估传播效果与关联度,从而持续优化为您提供的服务体验。
a. 数据处理的类型和范围
为此,我们特别处理以下内容:
- 每封电子邮件和联系人的事件数据:送达量(“发送”)、打开次数、点击次数、退订、取消订阅和垃圾邮件投诉,每个数据都有时间戳,以及活动/邮件 ID 和名称,以及其他与系统相关的技术字段。
- 标识符:主要是伪 ID,如“订阅者 ID”(数字)和“订阅者密钥”(如线索/账户 ID 或由此形成的伪 ID)。在极少数特殊情况下(约 1%),电子邮件地址可能会被用作标识符;在这种情况下,我们会尽早对此类标识符进行化名处理(例如,通过不可逆转的加密哈希算法),或在技术处理后立即删除任何纯文本字段。
- 无内容分析:我们不对电子邮件内容进行评估。
所使用的服务提供商(根据 GDPR 第 28 条规定的处理方):
- Salesforce Marketing Cloud - 由 Salesforce, Inc.(美国)或 salesforce.com Germany GmbH(德国)运营:发送电子邮件并衡量互动情况(跟踪)。
- Google Cloud Platform(如 Google Cloud Storage、BigQuery)– 由 Google Cloud EMEA Limited/Google Ireland Limited(爱尔兰)以及(如适用)Google LLC(美国)运营:托管/评估报告和仪表板所需的数据。
我们的分析环境在欧盟/欧洲经济区内部署和运营。关于接收方和可能向第三国传输(包括担保)的更多一般信息,请参见第 3.5 节(“向第三方传输个人数据”)。
b. 法律依据
上述处理的法律依据为 GDPR 第 6 (1) f 条(衡量我们电子邮件通讯的成功率和优化的合法利益)。
如果在电子邮件中设置或读取跟踪技术(如跟踪像素、点击)需要征得同意,则以 TTDSG 以及 GDPR 第 6 (1) (a) 条为依据。您可以随时撤销您的同意,并在未来生效;在撤销同意之前进行的处理的合法性不受影响。此外,您还可以因您的特殊情况而反对处理(GDPR 第 21 条)。您随时有权拒绝接收直接营销信息。
c. 存储期限
我们一般会将原始事件数据保存 24 个月,然后删除或汇总。短暂的临时存储(如导入/导出文件)会在短时间后自动删除。我们只在创建评估所需的时间内保存假名标识符;法定保存期不受影响。
4. 个别处理操作
以下我们将通过清单及详细说明,向您完整展示网站使用过程中可能涉及个人数据处理的所有操作环节。
首先,我们将向您展示与网站常规使用(即非主动触发数据传输的操作,如注册或在线购物)相关的所有数据处理环节及其详细信息。
a. 数据处理的类型和范围
当您访问和使用我们的网站时,我们会收集您的浏览器自动传输到我们服务器的个人数据。相关信息将临时存储在所谓的日志文件中。
当您使用我们的网站时,我们会自动收集以下技术必需型数据,用于正常显示网页内容并保障系统稳定与安全:
- 提出访问请求的设备 IP 地址
- 访问日期和时间
- 与格林尼治标准时间 (GMT) 的时差
- 访问或请求的网站
- 访问状态(http 状态码)
- 每次传输的数据量
- 您访问该网站的来源网站(即所谓的引用网址)
- 使用的浏览器、设备、操作系统以及您访问提供商的名称(如适用)
- 浏览器软件的语言和版本
此外,我们在网站中采用技术必需型和自愿型 Cookie,这些 Cookie 可能在使用我们的网页时被调用。您可以在第 5 点("Cookie 的使用")和我们的 Cookie 横幅中找到更多信息。
我们使用服务提供商来托管我们的网站。为此,我们与服务提供商签订了订单处理合同(GDPR 第 28 条)。
b. 法律依据
上述数据处理的法律依据为 GDPR 第 6 条第 1 款 f 项。上述数据处理对于网站的正常运行至关重要,此举旨在维护本公司的合法利益。
c. 存储期限
上述数据不再需要用于显示网站后,将会立即予以删除。为提供网站而收集的数据以及将数据存储在日志文件中对于网站的运行绝对至关重要。如果法律有所规定,个别情况下可能会继续存储。
a. 数据处理的类型和范围
在我们的网站上,我们为您提供通过提交个人数据进行注册的选项。
通过处理这些数据,我们将为您创建个性化用户账户,借此可自主管理愿望清单、订单概览、常用收货地址列表、消息设置等内容,从而使用网站特定功能与服务。
我们处理您的电子邮箱地址,以便为您提供账户访问数据重置服务,或发送与您的账户注册直接相关的信息。
当您添加产品至愿望清单时,即表示您同意我们向您发送关于愿望清单上所保存产品或其相关信息的电子邮件提醒。此原则同样适用于为缺货商品激活提醒功能,当商品重新到货时,我们将通过电子邮件及时通知您。
我们建议您登录注册账户后进行订单操作。此举可将您的订单与用户账户关联,从而为您提供更多数字化服务。
以下详细清单将向您介绍我们在您注册时处理的个人数据类型:
- 姓名
- 电子邮箱地址
- 出生日期(可选)
- 国家/地区和语言
- IP 地址
- 性别
通过以下清单,您可详细了解我们通过用户账户信息或关联订单可能处理的数据类型:
- 注册的自行车("自行车车库")
- 未结订单
- 姓名
- 生日
- 地址
- 不同送货地址(如适用)
- 身高和内侧腿长
- 订单
- 退货
- 愿望清单
- 新闻通讯设置
- 身高和步幅长度
- 语言设置
我们使用一家英国服务提供商来验证您的地址、电子邮箱地址和电话号码,以防止错误数据进入我们的系统。
在处理过程中,您的数据可能会传输至英国,从而进入欧盟 (EU) 或欧洲经济区 (EEA) 以外的国家/地区。欧盟委员会已经确定,英国可以保证提供与 GDPR 水平相当的充足保护。因此,根据 GDPR 第 45 条,允许将数据传输至英国。为了使数据处理合法化,我们与服务提供商签订了相应的订单处理协议。有关外部服务提供商处理您数据的更多信息,请参见本数据保护声明第 3.5. 条。
b. 法律依据
所述个人数据的处理是为了履行您和 Canyon 之间的合同或实施合同前措施,符合 GDPR 第 6 条第 1 款 b 项的规定。如果您已授予同意(例如在新闻订阅设置中),则 GDPR 第 6 条第 1 款 a 项为此类数据处理的法律依据。否则,我们仅在存在合法利益的情况下处理这些数据(GDPR 第 6 条第 1 款 f 项)。
c. 存储期限
一旦取消或修改网站上的注册,注册过程中处理的数据将予以删除。如果法律有所规定,个别情况下可能会继续存储。根据法定保留义务(特别是税务及商业法律规定),我们将在合同终止后存储特定订单、客户与合同数据,保留期限最长可达 10 年。您的数据将仅根据适用的保留期限进行处理。
d. 注册的解除
作为用户,您可以随时选择取消注册。您可以随时更改存储在您名下的数据。最佳方式如下:您可以在登录客户账户后自行更改,也可以发送电子邮件至 privacy@canyon.com 进行更改。
然而,如果处理的数据仍然是履行合同或实施合同前措施或类似请求所必需的,只有在不与合同或法律权利或义务相冲突的情况下,才能提前删除数据。
4.3.1 商品购买
a. 数据处理的类型和范围
在我们的网站上,我们为用户提供通过提交个人数据在线购买商品的渠道。所需数据将通过输入表单进行填写,经传输至我方系统后予以存储。必填字段已作特殊标注,此类数据为完成订单流程所必需。订购过程中将收集以下数据:
- 尊敬的
- 姓名
- 地址
- 电话号码
- 电子邮箱地址
- 您的订单
- 支付方式和支付信息
- 配送方式
您的数据将传输至受托承运的物流公司,此举仅限于商品配送的必要范畴。为了处理付款,我们将您的支付数据传输至受托执行业务的金融机构或支付服务提供商。这些公司只能将您的数据用于订单处理,而不能用于任何其他目的。下单后,我们将通过电子邮件向您发送订单确认。
如果您在我们的网站上购买商品并输入您的电子邮箱地址,我们可能会随后通过此方式向您发送关于类似商品或服务的通知,因为我们有诚意维护与您的客户关系,并希望向您发送我们认为您可能感兴趣的信息。您可以随时反对将您的电子邮箱地址用于此目的。
如果您在下单过程中必须中断此过程或无法完成购买,我们将在一段时间后通过电子邮件提醒您有商品放入购物车,以便您在必要时可以在稍后的日期完成该过程,而无需在网上商店中再次选购商品。我们通过 Cookie 实现此目的。您可以在第 5 点("Cookie 的使用")和我们的 Cookie 横幅中找到更多信息。
完成购买后,它将被输入到我们的客户支持平台中。我们使用一家美国外部供应商的软件,以便为您提供优化和量身定制的客户服务。在欧盟以外地区处理数据时,我们尤为重视您的数据保护权益。因此,我们已确保该服务提供商已通过欧盟-美国数据隐私框架认证(参见第 3.5. 点),并与其签订了数据处理协议(GDPR 第 28 条)。
b. 法律依据
在处理为了履行与我们签订的合同所必需的您的个人数据时,法律依据为 GDPR 第 6 条第 1 款 b 项。这也适用于为实施合同前措施所必需的处理操作。根据《德国民法典》(BGB) 第 312i 条第 1 款第 3 项,我们有义务向您发送订单确认。如果涉及法律义务,则根据 GDPR 第 6 条第 1 款 c 项处理相关数据。
根据 GDPR 第 6 条第 1 款 f 项,同时根据《反不正当竞争法》(UWG) 第 7 条第 3 款的要求,我们以合法利益为法律依据向您发送 同类商品或服务的通知。您可以随时通过点击新闻通讯末尾的退订链接来反对接收此类通知。否则,我们仅在您同意的基础上发送通知(GDPR 第 6 条第 1 款 a 项)。
基于为您提供最佳客户服务及高效处理您事务的合法利益(GDPR 第 6 条第 1 款 f 项),我们将对与商品购买相关的个人数据进行进一步处理。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
4.3.2 使用 3D Secure 2.0 程序完成信用卡支付
a. 数据处理的类型和范围
购买商品时,您可以使用信用卡付款。金额会预先保留。最终扣款和收费将于商品发货时执行。使用信用卡支付时,我们将处理持卡人姓名、卡号、有效期及安全码等个人信息。您的卡片信息将受到加密存储与安全保管。
为了确保支付处理的更高安全性,我们使用 3D Secure 2.0 流程。每笔交易发生时,相关数据要素将发送至您的信用卡公司,该公司可利用这些数据进行实时风险评估,以确认您为信用卡合法持有人。在此场景下,我们委托荷兰服务商 Adyen (Adyen N.V., Simo Carmiggelstraat 6-50, 1011 DJ) 处理信用卡支付业务,我们已通过订单处理协议要求其提供适当标准的数据保护。您的数据将仅传输至该服务提供商,不会传输至第三方。
当您使用信用卡付款时,我们会收集以下数据:
- 信用卡信息
- 交易相关数据,例如指定交易和商家所需的识别号,以及购买金额和货币
- 自动传输的浏览器信息,提供有关所用终端设备和用户位置的信息。包括 IP 地址、屏幕高度和宽度尺寸以及浏览器语言设置。
- 订单的完整账单和送货地址
- 在现有客户账户中收集的客户账户相关数据。包括账户有效期、在特定时间段内完成的交易次数、密码和送货地址的更改频率等信息。
- 有关交付详情的数据,如送货方式、商品供应情况、送货时间窗口、电子邮箱地址(如果是数字商品的配送)或尚未发布的产品的初始供应日期。
我们收集此类数据仅为协助信用卡机构完成实时风险评估。如果某项交易被归类为低风险,则您可以直接授权该交易,无需采取任何进一步行动。但是,如果怀疑存在欺诈行为,您将被要求通过额外的安全提示重新确认您的身份。此项数据处理旨在:一方面满足强客户认证 (SCA) 的要求,从而提供更完善且法定的反欺诈保护;另一方面简化购买流程。
b. 法律依据
在信用卡支付过程中处理数据的法律依据为 GDPR 第 6 条第 1 款 b 项。个人数据处理是履行支付义务的必要条件。
使用 3D Secure 2.0 程序时进行数据处理的法律依据为 GDPR 第 6 条第 1 款 c 项和 f 项。此类数据处理的法定义务源于《欧盟内部市场支付服务指令》(《欧盟指令 2015/2366》)以及欧盟 2018/389 号条例的补充性监管技术标准,该标准要求实施强客户认证机制。此外还需遵循《支付服务监督法》(Zahlungsdiensteaufsichtsgesetz - ZAG) 和《德国民法典》第 675c 至 676c 条规定的法律义务。履行该义务的方法之一是使用 3D Secure 2.0 流程。此外,我们还以维护"合法利益"中的经济权益为依据,具体体现为降低购物弃单率与简化订购流程。通过根据个人数据进行的风险评估,在大多数情况下可以直接获批,而无需进一步与买方互动,从而改善用户体验。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。如果您选择存储信用卡信息以备后续订单使用,该数据将受到安全保护,直至您在 Canyon 账户中编辑或删除为止。
4.3.3 金融服务提供商
a. 数据处理的类型和范围
购买商品时,您可以选择通过支付服务提供商来处理商品购买。我们使用的支付服务提供商是 "Consors Finanz",BNP Paribas S. A. 的注册商标(在德国为 BNP Paribas S. A., Niederlassung Deutschland,地址:Senckenberganlage 19, 60325 Frankfurt am Main;在奥地利为 BNP PARIBAS PERSONAL FINANCE SA, Niederlassung Österreich,地址:Vordere Zollamtsstraße 13, 3. Stock, 1030 Wien)
此外还将从您处收集以下数据:
- 名字和姓氏
- 出生国家/地区、出生地和出生日期
- 国籍
- 地址
- 电话号码
- 电子邮箱地址
- 家庭信息,如收入
我们收集这些数据的唯一目的是履行合同关系,并将其传输至支付服务提供商,以处理付款事宜。支付服务提供商仅将您的数据用于订单处理,而不用于任何其他目的。
b. 法律依据
所呈现的个人数据处理依据为 GDPR 第 6 条第 1 款 b 项,因为此处理是履行合同的必要条件。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
4.3.4 银行转账预付款
a. 数据处理的类型和范围
在购买商品时,我们为您提供通过银行转账预付款的选项。使用这种支付方式,商品将在付款完成前为您保留。数据仅会在以下情况下传输给第三方。
在支付过程中,会收集以下数据:
- 账户持有人的姓名
- 账号
- 银行代码
- 发票金额
- 货币
- 预期用途
b. 法律依据
在处理账户数据(账户持有人的姓名、账号、银行代码、发票金额、货币、用途)以进行支付处理时,法律依据为 GDPR 第 6 条第 1 款 b 项。
这也适用于为实施合同前措施所必需的处理操作。在某些情况下,根据《欧盟指令 2015/2366》(PSD 2)关于强客户认证的实施要求,或根据《第二支付服务指令实施法》(《支付服务实施法》- ZDUG),我们可能依法负有传输您相关数据的义务。在我们依法负有传输数据义务的情况下,则以 GDPR 第 6 条第 1 款 c 项结合《欧盟指令 2015/2366》(PSD 2)或《支付服务实施法》(Zahlungsdiensteumsetzungsgesetz - ZDUG) 的相应规定作为法律依据。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
4.3.5 透過 PayPal 付款 / PayPal 分期付款 /Paypal Express
a. 資料處理的類型和範圍
您也可以透過支付服務供應商 PayPal 支付您的購買款項。這適用於透過常規 PayPal 結帳以及透過 PayPal Express 加速結帳兩種付款方式。
在此過程中,您將在訂購過程中或(使用 PayPal Express 時)點擊相應的 Express 按鈕後,自動轉至 PayPal 網站輸入您的資料。款項將在商品發貨後預留,然後才從您的帳戶中扣除。您還可以在 PayPal 網站上選擇分期付款。
使用 PayPal(包括 PayPal Express Checkout)時,您的資料將傳輸至 PayPal(即 PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg),以便您向 PayPal 授權向我們付款。 (您需要擁有一個 PayPal 帳戶)。PayPal 擔任線上支付服務提供商和受託人的角色,並提供買家保護服務。
使用 PayPal Express Checkout 時,在完成訂購流程之前,數據可能會傳輸至 PayPal,以加快訂購流程並預填訂購表格。
在支付處理過程中或使用 PayPal Express 時,以下資料將在訂購流程開始時傳輸給支付服務提供商和相關信貸機構:
- 姓名
- 電話號碼
- 電子郵件
- 用戶的設備資訊
- 送貨和發票地址
- 訂單號碼與商品編號
- 發票金額
PayPal 還保留向買方收集個人資料的權利。根據 PayPal 的說法,這些資料可能包括:
- 姓名
- 地址
- 電話號碼
- 電子郵件
- 帳號
PayPal 可能會將您的個人資料傳輸給關聯公司、服務供應商或分包商,只要這是履行合約義務所必需的,或者資料是受委託處理的。
我們傳輸給 PayPal 的個人資料可能會由 PayPal 傳輸給商業信貸機構。此傳輸旨在進行身份和信用檢查。 PayPal 將根據信用評核結果,並考慮到統計上的付款違約概率,決定是否提供相應的付款方式。信用評核報告可能包含概率值(即所謂的評分值)。如果評分值被納入信用評核報告的結果,則該評分值是基於科學認可的數學統計方法得出的。
您可以在此處查看相關徵信機構:https://www.paypal.com/de/webapps/mpp/ua/privacy-full#rAnnex
您隨時可以撤銷對 PayPal 處理您的個人資料的同意。撤銷同意後,在撤銷之前基於同意而進行的處理的合法性不受影響,前提是個人資料必須根據合同進行處理、使用或傳輸以處理付款。
您可以在 https://www.paypal.com/de/webapps/mpp/ua/privacy-full 查看 PayPal 的數據保護規定。
b. 法律依據
處理個人資料的法律依據為《通用資料保護條例》第 6 條第 1 款 b 項。處理資料是為履行合約義務(此處為支付購買價格的義務)所必需的。這也適用於與使用 PayPal Express Checkout 相關的合約前處理程序。
此外,根據歐盟 2015/2366 指令(PSD 2)或《第二支付服務指令實施法》(支付服務實施法——ZDUG)的規定,我們可能有法律義務傳輸與您相關的數據,以執行強客戶身份驗證。 就我們依法有義務傳輸資料而言,將以《通用資料保護條例》第 6 條第 1 款 c 項以及歐盟 2015/2366 號指令(PSD 2)或《支付服務實施法》(ZDUG)的相關規定作為法律依據。
c. 儲存期限
在合同完全履行且購買價格完全支付後,您的數據將被封鎖,無法再使用,並在稅法和商法規定的保存期限屆滿後刪除,除非您明確同意繼續使用您的數據。在個別情況下,如果法律有規定,則可以繼續保存數據。
4.3.6 通过 Klarna 支付(发票)
a. 数据处理的类型和范围
可以通过服务提供商 Klarna (Klarna AB, Sveavägen 46, 111 34 Stockholm, Sweden) 完成您的付款。选择此支付方式即视为即时结清订单款项,即便商品将于未来发货。确认订单后,系统将直接跳转至 Klarna 支付界面。在支付过程中,您将与 Klarna 签订协议,通过该协议,Klarna 可以从 Canyon 收集个人数据,如您的名字和姓氏、地址、出生日期、性别、电子邮箱地址、IP 地址和电话号码。此外,Klarna 可能会收集处理账单付款所需的其他数据,例如来自 Canyon 的商品数量和商品编号。Klarna 处理数据旨在完成您的购物流程,并执行身份验证与信用检查。Klarna 可能会向信用机构调取信息。
您可以在 https://cdn.klarna.com/1.0/shared/content/legal/terms/0/de_de/credit_rating_agencies
查看信用机构列表。
您可以在 Klarna 的数据保护声明中找到有关 Klarna 处理您数据的详细信息,网址为 https://www.klarna.com/de/datenschutz/。
b. 法律依据
处理个人数据的法律依据为 GDPR 第 6 条第 1 款 b 项。此处理是履行合同支付义务的必要条件。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
4.3.7 通过 Klarna 支付(即时银行转账)
a. 数据处理的类型和范围
您还可以通过 Sofort GmbH(Theresienhöhe 12, 80339 Munich, Germany,自 2014 年起成为 Klarna 旗下公司,以下简称 "Klarna")进行即时银行转账完成您的付款。通过此支付方式,您的个人信息(包括姓名、电子邮箱地址、电话号码、地址及 IP 地址)以及其他支付相关数据将被传输至 Klarna。此外,您的支付数据(如银行代码或银行名称、账号和网上银行的访问数据)也将被传输。通过即时银行转账支付时,您的 PIN 和 TAN 将被传输给 Klarna。支付提供商随后会登录到您的网上银行账户,自动检查您的账户余额并进行转账。随后会立即收到交易确认。登录后,还会自动检查您的交易额、透支额度的信用限额以及注册的其他账户及其余额。
您可以在 https://www.klarna.com/sofort/
找到有关即时银行转账的更多详细信息。
b. 法律依据
向 Klarna 传输数据的法律依据为您根据 GDPR 第 6 条第 1 款 a 项授予的同意,以及履行支付义务所必需的 GDPR 第 6 条第 1 款 b 项。您可以随时撤销您的同意。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
4.3.8 货到付款
a. 数据处理的类型和范围
您可以选择通过"货到付款"的方式支付您的订单。选择此付款方式,我们会直接将订单送达给您,您只需在收到商品时以现金支付即可。前提是订单需发往德国境内的收货地址,且金额不超过 3,500 欧元。选择货到付款时,我们将向供应商传输您的姓名、地址及商品价格等支付信息,以便其完成订单配送并接收您的现金支付。
b. 法律依据
货到付款场景下的个人数据处理法律依据为 GDPR 第 6 条第 1 款 b 项。此处理是履行订单以及相关的付款和交付义务的必要条件。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
4.3.9 JobRad 租赁
a. 数据处理的类型和范围
我们与 JobRad (JobRad GmbH, Heinrich-von-Stephan-Str. 13, 79100 Freiburg, Germany) 合作,这是领先的自行车租赁提供商之一。如果您是德国公司员工或常驻德国的自雇人士,并且您或您的雇主与 JobRad 存在合作关系,则您可以选择自行车租赁服务。只需在处理订单的过程中选择 "JobRad" 作为支付方式。您将收到订单确认,并且您的 Canyon 自行车将被保留三周。然后,您将收到来自您雇主的链接,您可以使用该链接登录到 JobRad 门户。JobRad 负责在平台上进行数据处理。您可以在 https://www.jobrad.org/datenschutz.html
了解更多信息。
在 JobRad 租赁过程中,我们会将签订合同所需的数据传输至 JobRad。包括您的名字和姓氏、您的地址、您的电子邮箱地址以及所选自行车的物品编号等数据。JobRad 可能会与第三方共享您的数据,例如供应商或您的雇主,以完成租赁过程。您还可以在 JobRad 的数据保护声明中找到更多信息。
b. 法律依据
处理个人数据的法律依据为 GDPR 第 6 条第 1 款 b 项。此处理是完成 Fahrrand 租赁过程的必要条件。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
4.3.10 自行车租赁
a. 数据处理的类型和范围
您可以通过 BLS Bikeleasing-Service GmbH & Co. KG (Ernst-Reuter-Straße 2, 37170 Uslar, Germany) 的自行车租赁服务租赁自行车。为此,请在支付过程中选择 Bikeleasing-Service 并按照接下来的步骤进行操作。如果您是员工,您的雇主必须在 Bikeleasing 注册。如果您是自雇人士,您必须自己在 Bikeleasing 注册。Bikeleasing 负责您注册过程中数据的处理。
作为自行车租赁服务的一部分,我们会将您的名字和姓氏、地址、电子邮箱地址以及所选自行车的物品编号等必要数据传输给我们的租赁合作伙伴。在租赁过程中,Bikeleasing 可能会将您的数据传输至第三方,例如供应商或您的雇主。您可以在 https://bikeleasing.de/datenschutz 找到有关 Bikeleasing 数据处理和传输的更多信息。
b. 法律依据
处理个人数据的法律依据为 GDPR 第 6 条第 1 款 b 项。此处理是准备或完成 Fahrrand 租赁过程的必要条件。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
4.3.11 谷歌提供的地址验证/地址建议
订购过程中,当您在本公司网站上输入您的送货地址或账单地址时,本公司会使用谷歌提供的自动地址建议和地址验证功能(例如,“Google Places API”或“Google Maps Platform”)。
服务提供商为 Google Ireland Limited(地址: Gordon House, Barrow Street, Dublin 4, Ireland)(以下简称“谷歌”),其可能与Google LLC(地址:1600 Amphitheatre Parkway, Mountain View, CA 94043, USA)共同提供。
一旦在相应的输入字段中输入地址或部分地址,该等信息即会被传送至谷歌,以便显示匹配的地址建议,并检查所输入的内容是否真实合理。这有助于本公司与您避免输入错误,并确保订单得到正确交付。此过程亦可能涉及将您的数据传输至位于第三国(特别是美国)的谷歌服务器。
出于与您订立及履行购买合同之目的,尤其是准确交付订单,本公司将在此功能范畴内对您的地址数据予以处理。
谷歌可能会出于自身目的处理所传输的数据,并将其与谷歌存储的与您相关其他数据合并。这不在本公司控制范围之内。更多相关信息,请参阅谷歌的隐私政策: https://policies.google.com/privacy
当谷歌将数据传输至第三国时,该公司声明会采用适当的保障措施,例如标准合同条款。尽管如此,仍不能排除此类第三国的政府机构可能在您无法获得有效法律救济的情况下访问您的数据。
4.3.12 制裁名单检查
a. 数据处理的类型和范围
为了检查我们的业务关系并确保我们不与受制裁人员或组织签订合同,我们会对相关国际制裁和禁运名单(例如欧盟、联合国或类似名单)进行检查。
为此,我们会特别处理以下个人数据:
- 主数据(例如姓名、地址、出生日期)
- ID 卡 ID
b. 法律依据
处理的目的是根据 GDPR 第 6 (1) (b) 条实施合同前措施并履行合同。
检查的目的是确保业务关系具有合法性,并且可以根据合同进行。
c. 存储期限
个人数据仅在开展制裁名单检查和记录允许的业务关系所需的时间内存储。
5 年后,数据将被删除或进行匿名化处理。
a. 数据处理的类型和范围
您可以在我们的网站上订阅免费的新闻通讯。为定期向您发送新闻通讯,我们仅需获取您的电子邮箱地址。在您输入后,我们将向您发送一封带有确认链接的电子邮件,以验证您是否确实是所提供的电子邮件账户的所有者(所谓的"双重选择"程序)。
如果您点击电子邮件中的链接,您将被跳转至我们的网站之一,这将确认您已成功订阅我们的新闻通讯。您可在此处自愿提供更多信息,以便我们为您定制个性化的新闻通讯内容。以下清单列明需额外提供的信息:
- 性别
- 名字和姓氏
- 出生日期
- 感兴趣的自行车类别
- 感兴趣的新闻类别
您可在账户设置中自定义共享的兴趣偏好,以个性化接收我们推送的内容。
我们使用所谓的双重选择程序发送新闻通讯,即仅在您首次通过发送给您的确认电子邮件中的链接事先确认注册后,我们才会向您发送新闻通讯。此举旨在确保仅您作为所提供电子邮箱地址的所有人可完成新闻通讯订阅。您必须在收到确认电子邮件后立即进行确认,否则您的新闻通讯注册信息将自动从我们的数据库中删除。您可以随时撤销接收新闻通讯的同意并取消订阅新闻通讯。您可以通过点击每封新闻通讯电子邮件中提供的链接或发送电子邮件至 privacy@canyon.de 来声明撤销。
在发送新闻通讯的过程中,您的数据将被转发至我们使用其软件进行客户关系管理的美国服务提供商。为此,我们与该公司签订了订单处理合同。
对于数据传输至美国的行为,欧盟委员会自 2023 年 7 月 10 日起实施的充分性决定已生效,前提是相关服务提供商需获得欧盟/美国数据隐私框架 (DPF) 认证。此认证证明该公司已达到与欧盟相当的个人数据保护水准。此类认证可在此处获得。
b. 法律依据
根据 GDPR 第 6 条第 1 款 a 项,您在双重选择加入过程中所作的同意声明是处理您的电子邮箱地址、称谓、出生日期以及您感兴趣的自行车和新闻类别以发送新闻通讯的依据。如果新闻通讯是基于既往商品购买记录发送的,此举可能同时基于我方合法利益(根据 GDPR 第 6 条第 1 款 f 项并结合 UWG 第 7 条第 3 款)。
c. 存储期限
您的电子邮箱地址存储期限将与新闻订阅状态保持同步。取消订阅新闻通讯后,您的电子邮箱地址将予以删除。在个别情况下,如果法律要求,或因存在尚未申请删除的用户资料而需要保留您的电子邮箱地址时,我们可能会进一步保存您的信息。
4.5.1 表单
a. 数据处理的类型和范围
我们为您提供通过网站表单联系的便捷渠道。在您通过联系表单或预聊天表单发送请求时,我们会提示您参考本数据保护声明。如果您使用联系表单,您将提供以下个人数据:
- 尊敬的
- 姓名
- 电子邮箱地址
- 电话号码
- 居住国家/地区
- 您的客户编号(用于退货、维修或碰撞更换政策 (CRP) 请求)
- 您的订单号(用于退货、维修或 CRP 请求)
- 您的自行车型号(用于退货、维修或 CRP 请求)
- 您的地址(用于维修或 CRP 请求)
- 描述问题的图片和详细信息(用于维修或 CRP 请求)
- 您在与我们联系过程中提供的其他个人数据
提供电子邮箱地址与居住国信息旨在精准归类您的咨询并予以回复。提供上述其他数据旨在为您预处理咨询需求并安排相应服务。使用联系表单时,您的个人数据不会传输至第三方。
为了能够为您提供优化和量身定制的客户服务,我们使用一家美国外部供应商的软件来回复您的咨询。在欧盟以外地区处理数据时,我们尤为重视您的数据保护权益。因此,我们已确保该服务提供商已通过欧盟-美国数据隐私框架认证(参见第 3.5. 点),并与其签订了数据处理协议(GDPR 第 28 条)。
b. 法律依据
上述为建立联系而进行的数据处理依据为 GDPR 第 6 条第 1 款 b 项和 f 项,目的是履行合同(前)措施或基于我们的合法利益。
c. 存储期限
待您的咨询处理完毕且相关事宜最终解决后,通过联系表单处理的个人数据将被立即删除。如果法律有所规定,个别情况下可能会继续存储。
4.5.2 通过聊天模块联系
4.5.2.1. 社区聊天
a. 数据处理的类型和范围
您可以通过我们的聊天模块联系 Canyon 社区。我们使用供应商 "guuru" (GUURU Solutions GmbH, Rothusstraße 21, 6331 Hünenberg, Switzerland) 的服务。如果您希望使用此方式与我们联系,则表示您同意 guuru 的使用条款和隐私政策。如果不同意,我们无法为您提供聊天功能。
当您通过我们的聊天与我们联系时,我们会处理您的名字、姓氏和电子邮箱地址等数据。然后,我们仅处理您在聊天过程中提供给我们的信息和数据。
提供商 "guuru" 也可以访问您通过聊天分享给我们的个人数据。如需获取更多信息,请前往 GUURU - Privacy Policy - GUURU 参阅 guuru 的隐私政策。
为了能够为您提供优化和量身定制的客户服务,我们使用一家美国外部供应商的软件系统处理您的咨询需求。在欧盟以外地区处理数据时,我们尤为重视您的数据保护权益。因此,我们已确保该服务提供商已通过欧盟-美国数据隐私框架认证(参见 3.5. 部分),并与其签订了数据处理协议(GDPR 第 28 条)。
b. 法律依据
对您个人数据的处理基于 GDPR 第 6 条第 1 款 a 项。如果您的联系旨在签订购买合同,法律依据为 GDPR 第 6 条第 1 款 b 项。
为保护您的个人数据安全,请避免提供 GDPR 第 9 条第 1 款规定的特殊类别数据(如健康数据)。
c. 存储期限
您提供的数据及与服务台的沟通记录将予以保存,用于后续咨询与联系。如果存储的目的不再适用(通常默认为 12 个月后),除非法定保留期限另有规定,否则将依据数据保护法规删除该数据。
d. Cookie
以下 Cookie/服务与社区聊天 (GUURU) 相关,并相应加载:chat.guuru。
您可以随时通过点击我们网站上的 Cookie 设置选项来更改您的 Cookie 设置。您可以管理您的 Cookie 偏好。管理 Cookie
4.5.2.2. 与员工聊天
a. 数据处理的类型和范围
您可以通过我们的聊天模块联系我们的员工。我们使用供应商 "Salesforce" (Salesforce: The #1 AI CRM, Inc. Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA) 的服务。如果您希望使用此方式与我们联系,则表示您同意 Salesforce 的使用条款和隐私政策。如果不同意,我们无法为您提供聊天功能。
当您通过我们的聊天与我们联系时,我们会处理您的名字、姓氏和电子邮箱地址等数据。然后,我们仅处理您在聊天过程中提供给我们的信息和数据。
提供商 "Salesforce" 也可以访问您通过聊天提供给我们的个人数据。如需获取更多信息,请前往 Privacy Request
参阅 Salesforce 的隐私政策。
为了能够为您提供优化和量身定制的客户服务,我们使用美国供应商 Salesforce 处理您的咨询需求。在欧盟以外地区处理数据时,我们尤为重视您的数据保护权益。因此,我们已确保该服务提供商已通过欧盟-美国数据隐私框架认证(参见第 3.5. 点),并与其签订了数据处理协议(GDPR 第 28 条)。
b. 法律依据
对您个人数据的处理基于 GDPR 第 6 条第 1 款 a 项。如果您的联系旨在签订购买合同,法律依据为 GDPR 第 6 条第 1 款 b 项。
为保护您的个人数据安全,请避免提供 GDPR 第 9 条第 1 款规定的特殊类别数据(如健康数据)。
c. 存储期限
您提供的数据及与服务台的沟通记录将予以保存,用于后续咨询与联系。如果存储的目的不再适用(通常默认为 12 个月后),除非法定保留期限另有规定,否则将依据数据保护法规删除该数据。
d. Cookie
以下 Cookie/服务与员工聊天 (Salesforce) 相关,并相应加载:language, liveagent_invite_rejected_*, liveagent_chatted, liveagent_oref, liveagent_vc, liveagent_ptid, liveagent_sid
您可以随时通过点击我们网站上的 Cookie 设置选项来更改您的 Cookie 设置。您可以管理您的 Cookie 偏好。管理 Cookie
4.5.3 通过电子邮件联系
a. 数据处理的类型和范围
您也可通过电子邮件直接发送咨询内容至我方邮箱地址,无需使用联系表单。如果您使用此选项,除了电子邮件中提供的内容外,以下个人数据将默认被处理:
- 电子邮箱地址
- 姓名
提供电子邮箱地址旨在准确归类您的咨询并及时予以回复。通过电子邮件与我们联系时,您的个人数据不会传输至第三方。
为了能够为您提供优化和量身定制的客户服务,我们使用一家美国外部供应商的软件系统处理您的咨询需求。在欧盟以外地区处理数据时,我们尤为重视您的数据保护权益。因此,我们已确保该服务提供商已通过欧盟-美国数据隐私框架认证(参见第 3.5. 点),并与其签订了数据处理协议(GDPR 第 28 条)。
b. 法律依据
为响应您的咨询而临时进行的数据处理依据为 GDPR 第 6 条第 1 款 b 项(合同履行)与 f 项(合法利益)。与联系表单类似,提供沟通接口系基于我方合法利益,该利益通常与您追求快捷联系渠道的诉求相一致。
c. 存储期限
待您的咨询处理完毕且相关事宜最终解决后,通过电子邮件处理的个人数据将被立即删除。如果存在合法利益(GDPR 第 6 条第 1 款 f 项),个别情况下或可延长存储期限。
4.5.4 电话联系
a. 数据处理的类型和范围
如果需进一步澄清问题,您亦可拨打咨询热线 0261 9490 30000 联系我们。除电话号码外,我们还将处理您在通话过程中提供的个人数据。
为了能够为您提供优化和量身定制的客户服务,我们使用一家美国外部供应商的软件系统处理您的咨询需求。在欧盟以外地区处理数据时,我们尤为重视您的数据保护权益。因此,我们已确保该服务提供商已通过欧盟-美国数据隐私框架认证(参见第 3.5. 点),并与其签订了数据处理协议(GDPR 第 28 条)。
b. 法律依据
联系过程中传输的数据处理法律依据为 GDPR 第 6 条第 1 款 f 项,如果您主动联系我们,处理数据的必要合法利益在于有效响应您的诉求。
如果您的联系旨在签订合同,则数据处理的法律依据为 GDPR 第 6 条第 1 款 b 项。
为保护您的个人数据安全,请避免提供 GDPR 第 9 条第 1 款规定的特殊类别数据 (例如健康信息)。
c. 存储期限
数据将在不再需要用于收集目的时删除。当根据情况可以推断相关事项已得到最终解决时,聊天将结束。如果法律要求或存在合法利益(GDPR 第 6 条第 1 款 f 项),个别情况下或可延长数据存储期限。
a. 数据处理的类型和范围
您可以在我们的网站上在线申请我们发布的职位,从而成为 Canyon 大家庭的一员。如果您在线申请,我们将在您申请流程中收集并处理以下数据:
- 您的职业水平
- 您的姓名
- 您的电子邮箱地址,
- 您的电话号码,
- 您的地址
- 您的工作时间安排
- 您的申请文件(包括申请信、简历、推荐信、证书等)
- 您在 XING 和 LinkedIn 上的在线档案链接(如适用)
- 您可能的入职日期
- 您期望的薪资
- 以及在申请过程中(如适用)提供的其他个人说明
在线填写的数据仅用于 Canyon Bicycles GmbH 岗位招聘之目的。只有公司内负责申请流程的部门和相关职位人员才能访问您的数据。您的申请数据不会用于任何其他目的或传输至第三方。
b. 法律依据
在求职申请中处理您的个人数据的法律依据为 GDPR 第 6 条第 1 款 b 项。如果您通过选项菜单(参见 c. 项)明确允许我们将您的申请文档存储至本轮招聘结束后,例如在未来的职位空缺中再次考虑您,则此操作根据 GDPR 第 6 条第 1 款 a 项进行。
c. 存储期限
您的申请数据将在申请流程完成后 6 个月内自动删除。如果法律规定不得删除或为了主张任何合法权益或提供证据的目的需要进一步存储,则此规定不适用。除此之外,只能在您同意的基础上进一步存储。例如,如果我们目前没有职位空缺可以提供,但您的个人资料可能适合未来的职位空缺,这可能会有所帮助。这种程序特别用于未申请岗位的主动投递,前提是您已明确同意此类存储和使用。您可以随时撤销此同意,最好通过职位招聘部分的联系表单发送消息或发送电子邮件至 karriere@canyon.com。
我们从技术架构与组织管理双维度采取多项防护措施,全力保障您的数据安全。您的在线申请数据将加密传输。您的数据将保存在一个独立于所有其他系统的数据库中,只有人力资源团队的相关负责人才能访问该数据库。
a. 数据处理的类型和范围
您可通过我们网站实时追踪订单状态。我们需要您提供以下信息,以查询数据库:
- 电子邮箱地址
- 订单号
在跟踪货物时,您的数据不会传输至第三方。
b. 法律依据
为了跟踪您的订单而进行的数据处理法律依据为 GDPR 第 6 条第 1 款 f 项,即基于我们的合法利益,使您能够跟踪您的交货状态,从而能够保证客户友好的订单处理。
c. 存储期限
待合同完全履行且金额全部结清后,您的数据将被限制使用,并在税法与商业法律规定的保存期限届满后删除,除非您明确同意数据继续使用。如果法律有所规定,个别情况下可能会继续存储。
a. 数据处理的类型和范围
您收到我们出售给您的商品后,我们可能会发送后续电子邮件以征求您的反馈意见。本次调查过程中,我们会处理您的姓名和电子邮箱地址,以及与您的订单相关的部分数据,例如商品编号。您在调查中的反馈有助于我们改进订单相关流程和程序。出于此目的,我们处理以下个人数据:
- 名字和姓氏
- 电子邮箱地址
- 订单或订单信息
- 交付日期
b. 法律依据
处理您的数据以发送调查的法律依据为 GDPR 第 6 条第 1 款 f 项所述合法利益,同时符合竞争法(参见 UWG 第 7 条的要求)。
c. 存储期限
我们仅在上述目的所需的时间内处理这些数据。如果没有相反的法定保留期限,这些数据将被删除。
a. 数据处理的类型和范围
您可以选择使用Apple 的登录插件注册使用我们的服务。为此,我们使用身份供应商 "Salesforce"(salesforce.com Germany GmbH, Erike-Mann-Str. 31, 80636 Munich, Germany)的单点登录解决方案进行一次性用户身份验证。如果使用该选项,在您同意注册后,系统会将您跳转至该供应商的页面,您可在该页面使用您的用户数据完成注册。通过此操作,您在该供应商平台的个人资料将与我们的服务相关联。
当您使用 Apple ID(Apple Inc.,701 One Apple Park Way, Cupertino, 95014 CA, USA)登录时,我们会自动从 "Apple" 获取以下信息:姓名、电子邮件地址。
从技术层面而言,各相关供应商均会集成相应的按钮(即 “社交插件”)。在我们的注册页面或登录页面上,您可以找到我们网站支持的社交网络各自供应商的按钮。
点击相应按钮后,将打开一个新窗口,在该窗口中您可以使用社交网络的登录数据进行登录。登录成功后,社交网络将会告知您,在注册或登录过程中,哪些数据(如姓名和电子邮件地址)将传输给我们,用以身份验证。如果您同意此次数据传输,我们将使用所传输的数据填写注册所需的字段内容。
我们从各供应商处获取的信息对于我们提供客户专区服务、完成合同签订至关重要,这些信息有助于我们在您选择通过社交网络登录时进行身份识别。同时,我们也会向该供应商发送与用户登录相关的信息(例如,您正在使用我们服务、状态通知等)。除身份验证流程外,我们平台上创建的客户账户与您在相应社交网络上的账户之间不存在任何关联。
点击相应按钮后,您的 IP 地址将被传输到相应的社交网络/供应商,以便进行注册和登录验证。我们对该社交网络供应商的数据收集目的、范围及其后续数据处理,不会产生任何影响。更多信息,请参见相关供应商的隐私政策。
在使用过程中,个人数据可能会被传输到欧盟/欧洲经济区以外的国家(如美国)。Google 和 Facebook 已在“数据隐私框架”下注册,具有适当的数据保护级别。Apple Inc. 并非属于在数据隐私框架下注册的公司。为了保证在将您的个人数据传输至这些第三国时,能够充分保护您的个人数据,我们与供应商签订了欧盟-美国标准合同条款”
b. 法律依据
使用社交插件以及后续读取经此方式处理的数据,其法律依据是基于您根据《德国电信媒体法》(TTDSG)第 25 条第 1 款第 1 句作出的同意。您可随时发送电子邮件至 privacy@canyon.com 撤销该同意,撤销效力溯及未来。 为验证身份之目的而对您的个人数据进行的后续处理,其依据是您根据《通用数据保护条例》(DSGVO)第 6 条第 1 款 a )项作出的明确同意。您亦可随时发送电子邮件至 privacy@canyon.com 撤销该同意,撤销效力同样溯及未来。
c. 存储期限
一旦数据不再需要用于用户身份验证,即会被删除。通常情况下,在您退出登录时即会执行删除操作。
a. 数据处理的类型和范围
我们在网站上使用 Cookie。Cookie 是我们在您访问我们的网站时发送到您终端设备浏览器并存储在那里的小型文件。本网站使用 Cookie 来改善您的体验,并为您提供个性化的内容和功能。Cookie 不会对您的终端设备造成任何损害。它们不能执行任何程序,也不携带病毒。在此声明中,我们希望告知您我们使用的不同类型的 Cookie 以及如何管理您的 Cookie 设置。您可以在我们的 Cookie 横幅中找到有关各个 Cookie 的更详细信息。
(1) 必需 Cookie:
这些 Cookie 对于确保网站正常运行是必不可少的。例如,它们能帮助您浏览网站、填写表单和访问您的购物车。如果禁用此类 Cookie,网站部分功能将无法正常运行。
(2) 性能和营销 Cookie:
这些 Cookie 收集有关您如何使用我们网站的信息。它们通过提供统计和分析数据帮助我们衡量和改善网站的性能。我们利用这些数据持续优化内容,提升用户体验与信息精准度。由此,我们得以让网站更贴合您的使用习惯,提供更高效的服务体验。
您可以随时通过点击我们网站上的 Cookie 设置选项来更改您的 Cookie 设置。您可以管理您的 Cookie 偏好。管理 Cookie
b. 法律依据
使用技术必需型 Cookie 在您的终端设备上存储及读取信息的法律依据为《电信与数字服务数据保护法》(TDDDG) 第 25 条第 2 款 第 2 项。根据 GDPR 第 6 条第 1 款 f 项,对您的个人数据进行以下处理是基于我们的合法权益。
使用性能或营销 Cookie 及其在您的终端设备上存储的法律依据为 GDPR 第 25 条第 1 款。在此基础上收集的个人数据的处理完全基于您根据 GDPR 第 6 条第 1 款 a 项授予的同意。
关于向位于 EU/EEA 以外的公司进行数据传输,您对使用相应 Cookie 的同意也包括将您的个人数据传输至第三国(GDPR 第 49 条第 1 款 a 项)。
c. 存储期限
一旦不再需要为实现上述目的而通过 Cookie 向我们传输数据,我们将会删除这些信息。如果法律有所规定,个别情况下可能会继续存储。
您可以在我们的 Cookie 横幅中找到关于各自存储期限的更详细信息。
d. 浏览器设置配置
大多数浏览器默认设置为自动接受 Cookie。但是,您可以配置某些浏览器,使其仅接受某些 Cookie 或不接受任何 Cookie。不过,我们在此提醒,如果您在我们网站上的浏览器设置中禁用 Cookie,则您可能无法继续使用我们网站的所有功能。您也可以通过浏览器设置删除已存储在浏览器中的 Cookie。您也可将浏览器设置为存储 Cookie 前主动发出提示。由于不同的浏览器在各自功能上可能有所不同,我们建议您使用浏览器的帮助菜单查看具体配置选项。如果您希望全面了解第三方对您网络浏览器的所有访问情况,我们建议您安装专门为此开发的插件。
6. 超链接
我们的网站包含其他提供商的网站超链接。如果您激活这些超链接,您将直接从我们的网站转到其他提供商的网站。例如,您可以通过 URL 的更改来识别这一点。我们无法对这些第三方网站上数据的保密处理承担任何责任,因为我们无法影响这些公司是否遵守适用的数据保护法规。在这方面,我们建议您参考各个网站运营商提供的数据保护声明和其他信息。
如果我们与网站运营商共同负责某些数据处理操作,您可以在第 10 点找到更多信息。
7. 数据主体的权利
作为个人数据处理的数据主体,GDPR 赋予您以下权利:
- 根据 GDPR 第 15 条,您有权要求获取我们处理的个人数据相关信息。需要特别注意的是,您可以要求我们提供以下方面的信息:处理目的、个人数据类别、已向或将向其披露您的数据的接收者类别、计划存储期限、是否存在更正、删除、限制处理或反对的权利、是否存在投诉权利、您的数据来源(如果数据并非由我们收集)、向第三方国家/地区或国际组织传输的情况,以及是否存在自动决策(包括剖析研究),如适用,还可获取关于其细节的实质性信息。
- 根据 GDPR 第 16 条,您可以立即要求更正错误的个人数据或完善我们存储的个人数据。
- 根据 GDPR 第 17 条,如果数据处理对于行使自由表达和信息的权利、履行法律义务、符合公共利益,或主张、行使或捍卫合法权益而言并不具有必要性,您可以要求我们删除存储的您的个人数据。
- 根据 GDPR 第 18 条,如果您对数据的准确性提出异议、处理不合法或我们不再需要该数据并且您拒绝删除这些数据,因为您需要使用其主张、行使或捍卫合法权益,则您可以要求限制对您的个人数据的处理。如果您根据 GDPR 第 21 条反对处理,您也有权根据 GDPR 第 18 条行使权利。
- 根据 GDPR 第 20 条,您可以要求以结构化、常用和机器读取的格式接收您向我们提供的个人数据,或者您可以要求将这些数据传输给其他控制方。
- 根据 GDPR 第 7 条第 3 款,您可以随时撤销对我们的同意。基于此操作,未来我们可能不再继续依据该同意进行数据处理。
- 根据 GDPR 第 77 条,您有权向监管机构提出投诉。一般而言,您可以联系常住地、工作地或我们公司总部的监管机构提出投诉。
8. 数据安全和安全措施
为了防止您存储在我们这里的数据被篡改、丢失或滥用,我们采取了大量技术和组织安全预防措施,并定期进行审核,以根据技术进步进行调整。其中包括使用公认的加密方法(SSL 或 TLS)。但是,我们特此告知,受到互联网结构的限制,数据保护规则和上述安全措施可能会被我们职责范围之外的其他人或机构所忽视。需要特别注意的是,未加密披露的数据(例如通过电子邮件披露)可能会被第三方阅读。我们无法采取技术手段加以限制。用户有责任通过加密或其他方式保护其提供的数据不被滥用,或避免传输敏感/个人数据。
9. 社交媒体平台数据保护声明
在使用我们社交媒体服务的过程中,Canyon Bicycles GmbH(以下简称"我们"或" Canyon"),与各社交媒体平台的运营商分别承担部分责任。然而,对于个别处理操作,例如" Facebook Insights",相应的社交媒体提供商和我们共同承担责任(参见 GDPR 第 26 条)。在下文中,我们将告知您涉及哪些数据、如何处理以及您在这方面拥有哪些权利。
您可以通过以下方式联系我们:
Canyon Bicycles GmbH
Karl-Tesche-Strasse 12
56073 Koblenz
电话:+49 (0)261 - 9490 300 0
电子邮箱:privacy@canyon.com
网站:https://www.canyon.com/
本数据保护声明适用于 Canyon Bicycles GmbH 的各社交媒体平台(参见 10.3.)。
我们的外部数据保护官为:
Karsten Kinast 博士,法学硕士。
KINAST Rechtsantwaltsgesellschaft mbH
Hohenzollernring 54
D-50672 Cologne
电话:+49 (0)221 - 222 183 0
电子邮箱:team-cgn1@kinast.eu; mail@kinast.eu
如果您有任何与数据保护相关的问题或疑问,也欢迎直接联系我们的外部数据保护官。
以下列出的社交媒体提供商网站上的数据保护官的联系方式可以在他们的隐私政策中找到。
您可以在以下社交媒体网站上找到我们:
- Facebook:https://www.facebook.com/Canyon.DE
- Instagram:
- https://www.instagram.com/Canyon
- https://www.instagram.com/cllctv_mtb/
- https://www.instagram.com/cllctv_grvl/
- YouTube:https://www.youtube.com/@CanyonBicycles
- Strava:https://www.strava.com/clubs/3812
- TikTok:https://www.tiktok.com/@canyon_bicycles
- X:https://x.com/canyon_bikes
我们在此明确指出,我们对社交媒体平台的基本功能没有影响。因此,各个平台的运营以及您个人数据的后续处理方式主要由各自的运营商负责。更多信息请参阅他们各自的隐私政策。因此,对于这方面的进一步问题,您应联系各自的平台运营商。
此外,我们将在下方告知我们社交媒体网站上的数据处理程序:
a. 联系和发送消息
上述社交媒体渠道提供通过直接发消息与我们联系的选项。在这些情况下,我们处理传输给我们的个人数据,通常包括您指定的用户名、消息发送时间和"已读/未读"状态。我们想在此指出,联系时也不可避免地会传输数据给各自的社交媒体运营商。因此,如果您对这些消息的保密性有任何担忧,请通过其他方式与我们联系。
以这种方式传输给我们的个人数据的处理法律依据为 GDPR 第 6 条第 1 款 b 和 f 项。
我们仅在这些消息对于各自的处理目的所需的时间内存储,然后删除它们,前提是没有相反的法定保留期限规定。请注意,特别是公开发送给我们的消息受社交媒体运营商的各自保留期限的约束,我们无法对此完全控制。
b. 与我们内容的互动
各社交媒体平台提供不同的功能,让您可以以多种方式与我们的发布的帖子互动。具体包括对帖子发送"点赞"、评论和其他互动反应。请注意,我们的社交媒体内容均为公开可见,您与帖子的所有互动行为(如点赞/评论)均可被平台访客轻易查看。
我们对社交媒体帖子互动的处理依据为 GDPR 第 6 条第 1 款 f 项所述的合法利益。
这些互动通常会被无限期存储。如果您无法自行删除内容,我们建议您联系相应的平台运营商。然而,如果您希望删除特定帖子,也欢迎您告知我们,我们可以协助您。否则,这属于相应平台运营商的责任。
c. 向 EU/EEA 以外的国家/地区传输数据
绝大多数社交媒体提供商都位于 EU/EEA 以外的国家/地区,即在 GDPR 规定不直接适用的国家/地区。然而,我们采取了 GDPR 要求的预防措施,以确保您的数据传输符合数据保护法规。
因此,我们主要与那些所在国家/地区获得欧盟委员会充分性决定认定的企业开展合作,其中包括美国。自 2023 年 7 月 10 日起,如果美国公司向美国商务部承诺遵守适当的数据保护标准,则向美国传输数据的行为可通过所谓的欧盟充分性决定("欧盟-美国数据隐私框架")获得合法性依据。如果美国企业未作出相关承诺,且其所在国未获得欧盟充分性认定,则其数据接收标准将与其他欧盟境外企业适用同等法律要求。在 Canyon,我们仅与那些已采取法律要求措施的公司合作,以确保您的数据能够合法传输至这些国家/地区。如果第三方国家/地区未获得充分性认定,通常通过缔结标准合同条款并实施补充性数据保护措施,来确保数据保护达到规定标准。
在某些情况下,为优化产品服务及线上平台运营,各平台运营商通过社交媒体渠道向我方提供的个人追踪与分析数据,将会传输至我们位于美国的外部软件服务提供商,该供应商的软件被应用于我们的客户关系管理系统之中。为此,我们与该公司签订了订单处理合同。
如果您已对此授予同意,该数据处理将基于 GDPR 第 6 条第 1 款 a 项(个别涉及欧盟境外数据传输的情形,同时根据第 49 条第 1 款 a 项)进行合法性认定。此外,根据具体情况,此类数据处理也可能依据我们优化线上平台的合法利益而开展。
我们仅在我们的责任范围内存储此数据,只要这是出于相应目的所必需的。如果没有相反的法律保留期限,则此数据随后会被删除。
d. 共同责任:跟踪和分析
对于平台运营商的各自跟踪和分析功能,我们通常与他们共同作为所谓的"共同控制方"(参见 GDPR 第 26 条)。
虽然各个平台收集相应的个人数据并将其用于优化服务和投放广告的目的,但我们通常会收到关于访问者及其与我们各页面互动的匿名统计数据。为了让我们更好地了解您如何与我们的社交媒体平台互动,有时还会根据收集并提供给我们的信息生成人口统计学和地理分析。我们可以利用这些信息投放有针对性的基于兴趣的广告,而无需直接了解访问者的身份。例如,当访客在多台设备上使用 Facebook 平台时,如果其已注册并登录个人账户,相关数据可能实现跨设备收集与分析。我们对跟踪的方式没有任何影响,只接收匿名统计数据。用户可通过各平台运营商的设置选项与数据保护声明,阻止此类数据处理机制的运行。
该数据处理的法律依据为 GDPR 第 6 条第 1 款 f 项,即我们通过追踪技术优化社交媒体运营及客户服务的合法利益。
我们以这种方式处理的数据的存储期限由各自的平台运营商负责。
这也适用于使用 TikTok Technology Limited, 10 Earlsfort Terrace, Dublin, D02 T380, Ireland 的 TikTok 像素技术。该像素技术允许 TikTok 在用户查看或点击 TikTok 广告后跟踪其行为。这使我们能够衡量 TikTok 广告活动的效果,进行统计评估,并优化未来的广告措施。处理是基于您根据 GDPR 第 6 条第 1 款 a 项授予的同意,您可以通过我们的 Cookie 同意工具授予同意。有关 TikTok 数据处理的更多信息,请访问:隐私政策 | TikTok
如果您希望就我们能够影响的特定数据处理行使所谓的数据主体权利,欢迎随时通过上述联系方式以非正式方式与我们或我们的数据保护官联系。然后我们将审核您的请求(例如信息请求或异议),或者如果请求涉及平台运营商的数据处理,则将其转发给负责的社交媒体平台。
在这方面,您拥有以下权利:
- 获取有关数据处理的信息和已处理数据副本的权利(GDPR 第 15 条规定的访问权),
- 要求更正不准确数据或补充不完整数据的权利(GDPR 第 16 条规定的更正权),
- 要求删除个人数据的权利,并且如果个人数据已公开,则通知其他控制方删除请求(GDPR 第 17 条规定的删除权),
- 要求限制数据处理的权利(GDPR 第 18 条规定的限制处理权),
- 以结构化、通用和机器可读的格式接收数据主体个人数据的权利,并要求将此数据传输给其他控制方。然而对于社交媒体渠道,您通常仅能向平台运营商主张此项权利,因为唯有运营商有权访问您的个人资料数据(GDPR 第 20 条规定的数据可携权),
- 有权反对数据处理以阻止其进行(GDPR 第 21 条规定的反对权),如果您的数据系基于合法利益(GDPR 第 6 条第 1 款 f 项)进行处理,您有权对此提出异议。如果因您的特殊情境存在优于我方继续处理数据的合法利益之事由,我们将终止相关数据处理。您可随时通过我们提供的联系方式(优先推荐)告知我方此项主张,
- 同时保留随时撤回同意以终止基于同意进行数据处理的权利。撤回同意的行为不影响此前基于同意进行的数据处理的合法性(GDPR 第 7 条规定的撤回权),
- 如果您认为数据处理违反 GDPR 规定,有权向监管机构提出投诉(GDPR 第 77 条规定的向监管机构投诉的权利)
