GDPR 合规说明
欧陆捷运遵守《通用数据保护条例》(GDPR)以及意大利本地隐私法规。本文档说明我们的处理依据、数据主体权利执行机制,以及跨境传输与供应链管理措施。
1. 数据控制者
Italia Logistica Group S.r.l.
注册地址:Via Torino 128, 20123 Milano, Italy
VAT:IT12345678901
电子邮箱:dpo@eu-logi.it
2. 处理依据
- 合同履行:提供物流服务、客户结算、客服支持。
- 法律义务:海关申报、税务审计、反洗钱与制裁筛查。
- 合法利益:提升服务质量、预防欺诈、维持系统安全。
- 明示同意:营销通讯、非必要通知(可随时撤回)。
3. 数据主体权利流程
如您希望行使 GDPR 赋予的权利,请按照以下流程操作:
- 发送邮件至 dpo@eu-logi.it,在主题中注明“GDPR 请求”。
- 我们将在 5 个工作日内确认请求并验证身份。
- 通常 30 天内完成处理;复杂情形可延长至 60 天,并说明原因。
- 若您对回复不满意,可向意大利隐私监管机构 Garante 或居住成员国监管机构投诉。
4. 数据主体权利概览
- 访问与更正:客户可在门户内查看数据,必要时通过 DPO 更新。
- 删除:在不影响法定义务的前提下,我们将匿名化或删除相关数据。
- 限制处理:对争议数据可暂缓处理,直至争议解决。
- 数据可携:订单、付款、联系人等数据可导出为结构化格式。
- 反对自动化决策:系统不存在自动化决策或画像;如后续引入将提供退出机制。
5. 数据处理者管理
我们与所有承运商、清关代理、IT 托管商签署 Data Processing Agreement (DPA),明确:
- 仅按我们的书面指示处理数据;
- 实施等同或更高的技术与组织安全措施;
- 协助履行数据主体权利与安全事件通报;
- 在合作终止后删除或返还数据。
6. 跨境数据传输
数据主要存储于欧盟境内。涉及中国或英国分支机构时,将基于欧盟标准合同条款(SCC)与补充措施进行传输,并在必要时征得客户书面授权。
7. 安全事件响应
我们设立 24×7 安全监控、最小权限管理与日志审计策略。一旦发现个人数据泄露,将在 72 小时内向监管机构报告,并在高风险情况下通知受影响的数据主体。
8. 数据保留政策
- 合同及账务数据:10 年(法定要求)。
- 客服与运单交互日志:自最终交付起 36 个月。
- 营销与活动数据:自最后互动起 18 个月,或根据撤回同意即刻删除。
- 未激活账户:注册后 12 个月内未使用将自动匿名化。
9. 处理活动记录与 DPIA
我们维护《处理活动记录》(ROPA),涵盖客户与承运商数据流、存储位置及安全措施。针对跨境物流与身份验证场景,已完成数据保护影响评估(DPIA),并在系统重大变更时复审。
10. 未成年人数据
服务仅面向成年客户与企业联络人。若发现 16 岁以下个人数据,我们将立即采取删除措施。
11. 数据保护官 (DPO)
数据保护官:Ms. Chen Li
Email:dpo@eu-logi.it
电话:+39 02 1234 5678(周一至周五 09:00–18:00 CET)