铁山隐私政策
最后更新:2023 年 2 月
隐私声明
Iron Mountain 公司作为数据控制者
Iron Mountain Information Management, LLC(位于美国)及其子公司(下称“Iron Mountain”或“我们”)重视您的隐私。本《隐私通知》旨在说明 Iron Mountain 在作为数据控制者时,将如何收集、使用、分享其客户、潜在客户、供应商、商业伙伴及网站访客(下称“个人数据”)的身份识别信息。数据控制者指的是能够决定使用(处理)个人数据的原因和方式的实体。
Iron Mountain 的全球标准和当地规定
本《隐私通知》载明了我们的全球隐私标准。
除了 Iron Mountain 的全球标准以外,我们还遵守所有相关和适用的当地隐私法律。因此,根据我们将根据开展业务所在区域,相应地遵守《一般数据保护法规》2016/679 (EU General Data Protection Regulation, EU GDRU),我们业务所在欧洲经济区国家所适用的数据保护法律,《英国一般数据保护法规》(UK General Data Protection Regulation, UK GDRU) 和 2018 年《英国数据保护法》(UK Data Protection Act, UK DPA);2018 年《加利福尼亚州消费者隐私保护法》(California Consumer Privacy Act, CCPA),2020 年《巴西一般数据保护法》(Brazil General Data Protection Law, LGPD);2021 年《中华人民共和国个人信息保护法》(Personal Information Protection Law, PIPL);2012 年《新加坡个人数据保护法》(Singapore Personal Data Protection Act, PDPA)。
国家补充资料和当地隐私通知
某些 Iron Mountain 子公司可能有义务遵守当地的数据保护法律,这些法律可能要求披露针对该国的隐私声明(通常由我们当地的 Iron Mountain 子公司在收集个人数据时提供给您)。您可以在此处查阅特定国家的补充资料:
如需获取本《隐私通知》的翻译版本,请查阅相关国家版本的网站。例如,本文件的德语版本可在我们的德语网站上获取。
我们如何使用您的个人数据
数据处理的法律依据
我们在开展业务的过程中始终谨记对隐私和数据予以保护。我们确保对数据进行的处理具有法律依据并符合适用的隐私保护法律。在大多数情况下,我们根据以下法律依据收集和使用您的个人数据:
- 合约履行:为了与我们的客户、供应商、商业伙伴或其他利益相关者签订和履行合约,而必须处理数据的情况下;
- 同意:在我们已征得您的同意以便处理您的个人数据的情况下(例如,为了发送有关我们产品或服务的营销通讯,或通过 Cookie 追踪您在我们网站上的活动以改善您的客户体验);
- 合法利益:在我们希望实现我们的合法商业目标的情况下(例如,为了显示与您地理位置相关的网站内容或提供其他定制化内容)。只有当合法利益具有合理比例,并能保证我们的商业目标与您的隐私权之间达成良好平衡时,我们才会依赖此等合法利益;
- 遵守适用法律:为了遵守我们负有的相关法律或监管义务,而必须处理数据的情况下(例如,在我们需要与公共机关和税务机关分享个人数据的情况下)。
个人数据的收集和使用
个人数据的收集和使用
根据您与 Iron Mountain 间的关系,以及根据适用法律法规的要求,我们可能会收集和使用您的个人数据,具体如下:
- 商业联系方式(客户、潜在客户、供应商):商业联系信息(例如商业联系人、专业地址、电话号码);客户和供应商代表的个人数据(例如姓名、联系方式);结构化数据(例如专有数据);技术数据(例如客户门户、用户 ID 和密码、存取日志),用于以下主要目的:合约谈判和执行、监管合规、业务发展和关系、索赔管理、行政管理、会计,改善我们的服务,以及向客户提供服务。
- 审计、调查、尽职调查个人数据(客户、供应商):姓名、联系方式(例如地址、电话号码、电子邮件地址)、职位/职能、税号、银行账户信息,以及与供应商或客户关系有关的其他信息,用于以下主要目的:审计、调查、营运安全、监管合规、尽职调查筛查、索赔管理、诉讼目的。
- 在线个人数据收集(网站访客):通过 Iron Mountain 网站收集的信息,例如联系方式、登录凭证、在线评论以及来自在线论坛和调查等的反馈,用于以下主要目的:使用户能够高效使用我们的网站,优化网站功能,通过在线论坛与客户/潜在客户和供应商互动,进行客户满意度调查和评估。
- 通过科技手段收集个人数据(网站访客): Iron Mountain 网站使用多种 Cookie 和类似技术。Cookie 是由您所浏览的网站放置在您设备上的一个小型文本文件。这些文件使 Iron Mountain 网站能够提供符合用户兴趣的内容,以及启用其他功能,从而改善其用户体验。您可以通过多种不同的工具来控制由 Cookie 和类似技术所收集的数据。Iron Mountain 将在必要时使用您的 Cookie(仅在您同意的情况下)。例如,通过使用 Cookie 来向您提供定制化内容。Iron Mountain 网站允许您通过其 Cookie 同意横幅或浏览器设置来控制某些 Cookie。
- 儿童个人数据:我们关注儿童在使用网络时的安全,并且绝不会故意收集未成年人(16 岁以下儿童,或适用法律所定义的其他年龄)的个人数据。
- 直接营销(客户、潜在客户):我们可能会使用您的商业联系方式(例如电子邮件)向您提供我们认为可能符合您兴趣的产品和服务信息。我们也可能会为此建立一份个人档案,其中包含您所在公司的商业相关信息或者您与我们之间的互动,以便能够为您和您所在的公司提供相关的信息和适当的服务和产品优惠,并改善我们与您之间的个人沟通。 Iron Mountain 仅会在您事先同意收到此类通讯(下称“选择同意接收”)的情况下,向您发送此类通讯(例如,通过电子邮件和/或电话联系),当您选择不再接收此类通讯之后,我们将不再向您发送。 撤销同意或选择不再接收营销通讯:如果您目前收到营销通讯,但不再希望继续收到,您可以随时点击此处撤销您的同意或选择不再接收。
我们如何收集您的个人数据
我们从以下来源收集个人数据:
- 客户和潜在客户(法人和个人)
- 客户的代表和代理人(例如,代表公司进行合约管理的个人)
- Iron Mountain 网站访客
- 第三方(Iron Mountain 的供应商)
- Iron Mountain 公司、附属公司
- 公共执法机关,包括税务机关、法院、行政机关等
- 公开来源(专业社交媒体;官方注册等),但仅在适用法律法规允许的范围内。
作为数据处理者收集个人数据
我们以数据处理者的身份对客户的个人数据进行处理,但我们并不审查此类个人数据的内容或来源。我们可能全权代表我们的客户并根据其指示来收集、存储、处理此类个人数据。当客户以这种方式使用我们的服务,客户的身份即为数据控制者,应负责就此类信息的收集和使用,征得任何必要的同意、许可并提供必要的隐私通知。
我们如何分享您的个人数据
我们可能在内部(在 Iron Mountain 公司集团内部)和外部(与 Iron Mountain 的供应商、顾问、商业伙伴等第三方)分享您的个人数据。我们可能在遵守适用法律法规的前提下,按照本节所述的方式分享和/或披露您的个人数据。
内部分享:Iron Mountain 的总部位于美国马萨诸塞州波士顿市,但在全球开展业务。因此,为了实现商业目标,我们可能会根据本通知的规定,与其他 Iron Mountain 子公司分享您的个人数据,但在此过程中我们将始终谨记保护隐私。
外部分享: 我们也可能与第三方分享您的个人数据,包括:
- Iron Mountain 供应商:提供服务给 Iron Mountain 时,可能需要处理您的个人数据(例如,提供客户关系管理工具或一般 IT 支持,分发营销材料等)。在此情况下,这些实体可能仅根据 Iron Mountain 的指示,并且出于为我们提供服务之目的,而接收和处理您的个人数据。
- 其他第三方(出于出售、合并、转让业务或部门之目的):这也包括尽职调查筛查目的,并且可能也需要向 Iron Mountain 的顾问或财务审计人员披露个人数据。
- 公共机关:我们也可能负有法律义务,须在未经您许可的情况下披露您的个人数据。此类披露的目的包括但不限于:(a) 响应公共机关、监管机构和执法机关的合法请求,以及 (b) 保护 Iron Mountain 的权利和财产。
IIron Mountain 数据分享标准
我们不会在未经您同意的情况下与第三方分享您的个人数据,除非是为了:(a) 履行 Iron Mountain 的合法商业目标(例如,使用供应商提供的服务);(b) 响应公共机关合法授权的请求;(c) 遵守适用的法律法规;(d) 强制执行/保护 Iron Mountain 的权利和财产;或 (e) 在适用法律允许的情况下,依法保护我们的员工及其他使用 Iron Mountain 财产之个人的权利。我们不出售并且未来也不会出售您的个人数据。
我们如何在国际间转移您的个人数据
我们可能会将您的个人数据转移给全球各地其他 Iron Mountain 公司、子公司和第三方,或供其进行存取。接收者所位于的国家可能无法对您的个人数据提供充分的保护(从来源国家的角度来看)。
我们将按照来源国家所适用的数据保护法的要求,确保所转移的个人数据受到充分的保护。在转移您的个人数据时,我们通常会依赖以下一项或多项:
- 标准合约条款(Standard Contractual Clauses,下称“SCCs”),适用于国际个人数据转移,但需在适用且相关的情况下(例如,将欧盟/英国/瑞士的个人数据转移到美国和印度等国家)。如果您希望获取有关适当保障措施的更多信息,并/或希望收到一份 SCC 副本以供您查阅,请联系我们:global.privacy@ironmountain.com。
- 我们将会根据适用法律的要求,请求您同意转移您的个人数据。
- Iron Mountain 已在其集团内部签订了关于转移和处理个人数据的公司间协议,以便在集团内部转移个人数据。
- Iron Mountain 严格遵守欧盟-美国以及瑞士-美国Privacy Shield框架的原则,但根据欧盟法律,Iron Mountain 不再依赖欧盟-美国隐私之盾框架作为个人数据转移的法律基础。
我们保留您的个人数据的期限
我们将出于本通知中所说明的个人数据收集目的,在合理必要的期限内保留您的个人数据。在某些情况下,我们可能会在更长的期限内保留您的个人数据,例如在我们必须根据法律、监管、税务或会计要求保留更长期限的情况下。在特定情况下,我们可能会在更长的期限内保留您的个人数据,以便我们能拥有您与我们之间交易的准确记录,用于应对可能出现的任何投诉或质疑,或者应对我们合理认为可能发生的与您个人数据或交易相关的诉讼。
如果我们为了向您提供我们产品和服务的营销信息而取得您的个人数据,我们存储您个人数据的期限将持续至您改变主意不再接收此类信息为止,或者在法律要求的情况下,如果在我们发出通讯之后,您并未对我们的产品和服务表示出任何兴趣(即您是非活跃用户),我们将提前删除您的个人数据,以避免后续因营销目的而与您联系。我们维护有一份关于数据保留的通知,该通知适用于我们所保管的记录。当我们不再需要您的个人数据时,我们要么会删除您个人数据的电子档案并销毁实体记录,要么会将您的个人数据匿名化,以使我们无法再识别您的身份。Iron Mountain 制定有专门的内部政策,以确保我们符合关于数据保留的规定。
我们如何保护您的个人数据
我们将始终按照最高的安全标准保护您的个人数据。为确保您的个人数据不会遗失或遭到未经授权的使用、存取或披露,我们将始终采取适当的技术、组织和行政措施。我们采取的一些措施包括:对我们的工作人员和服务提供商设置保密要求;当个人数据已不再需要用于收集时的目的,将个人数据销毁或永久匿名化。我们将持续确认现行市场标准规范(例如国际标准化组织(International Standards Organization, ISO) 规范),并随时掌握适合用于保护您个人数据的最新安全措施。
数据主体/消费者权利:如何存取和控制您的个人数据
我们尊重您的数据主体/消费者权利,您可以根据适用隐私法律的规定,行使您的以下权利:
- 存取您的个人数据和取得副本 – 请注意,我们可能需要先验证您的身份,以避免披露给任何未经授权的人士,并在允许您存取或复制个人数据时尊重其他个人的隐私权;
- 更正或删除您的个人数据 – 如果数据不准确或不完整;
- 限制处理您的个人数据 – 例如,当您质疑处理的准确性时,此外,在您的请求得到验证之前,我们将限制个人数据的处理;
- 删除或匿名化您的个人数据(根据 GDPR“被遗忘权”),除非存在例外,例如,当法律允许我们进行此类处理时;
- 确保所谓的“个人数据可移植性”– 在您提出要求时,Iron Mountain 可能会将您的个人数据“转移”给另一个组织/公司,前提是此等处理已征得您的同意或是为了履行合约;
- 反对处理您的个人数据 – 例如,当我们基于我们的合法利益或出于直接营销目的而处理您的个人数据,并且此等处理是由自动手段进行的;
- 取得个人数据保障措施(用于在您管辖区外进行的转移)的副本 – 例如 SCC 的副本;
- 向您当地的监管机构提交投诉:数据保护机关,例如英国的信息专员公署(Information Commissioner's Office, ICO);
- 撤销您对于处理您个人数据的同意(但对于在撤销同意之前基于同意进行的处理,其合法性不受影响)。
根据法律的要求以及其他许可注意事项,我们将采取一切合理努力尽快响应您的请求(在任何情况下,都将在法定期限内),或者告知您:我们需要获取进一步的信息来满足您的请求。在某些情况下,根据适用法律的要求或许可,您存取或控制您个人数据的能力可能会受到限制。在向您披露所请求的个人数据之前,我们可能会要求您提供额外的信息,以便验证您的身份并确保安全。在某些情况下,我们也保留收取费用的权利(在法律允许的情况下),例如如果您的请求明显是无根据的或过度的。
如何联系我们
如果您对 Iron Mountain 有任何隐私方面的顾虑、投诉或问题,请联系我们:
全球隐私与合规部
全球隐私官
欧洲经济区/英国集团数据保护官
global.privacy@ironmountain.com
您可以点击此处,通过选择区域和国家,找到我们当地子公司的名称和联系方式(Crozier 实体请点击此处)。我们将致力于确保您的投诉得到及时妥善的解决,并将对您的请求和投诉予以保密。在收到您的投诉后,我们的代表将在合理的时间内与您联系,如有任何当地规定指出须在具体期限内解决您的请求,我们将予以遵守。
本隐私通知的更改
我们将在对本《隐私通知》进行更新后及时发布其修订版本,并在文件中载明具体的修订日期。您可以方便地通过各 Iron Mountain 网站上的隐私通知/政策链接找到本《隐私通知》的最新版本。