CRM 系統資料隱私資訊

本通知說明我們如何處理您的個人資料，並告知您根據資料保護法所享有的權利。

誰負責資料處理，以及如有問題或疑慮我可以聯絡誰？

負責您個人資料的控制者是相應的 DEKRA德凱集團公司，該集團單獨或與他人共同決定處理您個人資料的目的和方式。通常情況下，這指的是已經、正在、將來或應該為您或您的雇主履行服務的 DEKRA德凱集團公司。
在台灣，負責資料處理之公司為：
德凱認證股份有限公司
244 新北市林口區文林街85號
電話：+886-2-7753-2700
電子郵件：info.tw@dekra.com
如對個人資料保護有任何問題，您可聯絡資料保護窗口：
電子郵件：Arthur.Chu@dekra.com

我們使用哪些來源和資料？

我們處理您提供給我們的個人資料（例如透過表單、電子郵件、電話、聊天或在活動和網路研討會期間提供），這些資料產生於我們與您互動期間（例如會議記錄、書面溝通記錄或活動參與情況），或者我們從公開來源或專業網路合法取得的個人資料。
根據您與我們互動的性質，我們可能處理以下類別的個人資料：

身分識別和聯絡詳情

稱謂、姓名、電子郵件地址、電話號碼、郵寄地址以及聯絡您所需的其他資訊。

專業或組織詳情

如果您以商業身分行事：雇主、部門、職位或角色、業務聯絡資訊、行業或專業興趣。

服務或請求相關資訊

理解並處理您的詢問或您所請求的服務所必需的詳細資訊。這可能包括預約偏好、服務偏好、詢問目的、相關產品、物體或車輛資料，或提供我們的服務所需的其他背景資訊。

上傳的資料和文件

表單和入口網站可能允許您上傳檔案。這些檔案可能包含非結構化內容，並且根據您選擇提交的內容，可能包含第三方的個人資料。我們僅在評估或回應您的請求所必需的範圍內處理此類檔案。

溝通和行銷資料

溝通偏好、訂閱狀態、同意記錄、與 DEKRA德凱互動的歷史記錄（例如詢問、會議、活動或書面記錄）。

與線上活動或電子郵件相關的技術或使用資料

對於線上活動：建立和維護工作階段所需的技術識別碼（例如 IP 位址或設備/瀏覽器資訊）、出席資料和互動資料（例如聊天、問答或投票參與情況）。
對於電子郵件通訊：用於確定郵件是否已送達或被互動的元資料（例如由追蹤像素生成的開啟或點擊訊號）。根據您的電子郵件用戶端或設定，這些訊號可能會被封鎖或匿名化。

除非您在必要時已給予同意，否則我們不會將技術識別碼用於非必要的追蹤。

我們基於什麼目的和法律依據處理您的資料？

我們根據歐盟一般資料保護規範 (GDPR) 和其他適用法律處理您的個人資料。在某些情況下，我們可能處理此處未列出的個人資料；如果法律要求，您將收到與具體情況相關的單獨隱私通知。

A. 納入客戶關係管理系統 (CRM)

我們收集並在我們的 CRM 中儲存您的詳細資訊，以管理和記錄我們與您的關係。這包括保持聯絡、回應詢問、提供您要求的資訊以及準備或履行服務。根據具體情況，這可能涵蓋身分識別和聯絡詳情、專業或組織資訊、服務相關資訊或溝通歷史記錄。我們還在 CRM 中維護資料品質（例如更新、去重和互動記錄）。

法律依據：

GDPR 第 6(1)(f) 條（合法利益）。我們的合法利益是有效的聯絡人管理、客戶相關流程的協調以及確保服務順利進行。我們已進行了要求的平衡測試，並得出結論，處理是相稱的，且不會凌駕於您的利益或基本權利之上。
GDPR 第 6(1)(b) 條（履行合約或應您要求採取措施）。這適用於處理您的資訊對於回應詢問、準備報價或與您或您的組織履行合約關係是必要的情況。

處理者：根據資料處理協議，由 Salesforce Germany GmbH 擔任。

B. 通訊和直接電子郵件行銷

如果您訂閱，我們會使用您的聯絡方式和您感興趣的服務，透過電子郵件向您發送有關我們服務的資訊。我們維護您的訂閱狀態和同意記錄，您可以隨時使用每封電子郵件中的連結或更新您的偏好來取消訂閱。
法律依據： GDPR 第 6(1)(a) 條（同意）。
處理者：根據資料處理協議，由 Salesforce Germany GmbH 擔任。

C. 通訊互動分析

為了解哪些內容具有相關性、提高送達率並避免發送不需要的資訊，我們分析與我們電子郵件的基本互動。Salesforce Marketing Cloud 會在每封電子郵件中自動嵌入一個追蹤像素，以確定郵件是否已送達、開啟或點擊。這些互動訊號會與您的 CRM 個人資料關聯，以便我們了解我們的溝通效果隨時間的變化。
如果您撤回接收通訊的同意，我們將停止發送進一步的訊息，並停止為此目的處理互動資料。根據您的電子郵件用戶端或設定，某些互動（例如開啟）可能無法在技術上衡量。
法律依據： GDPR 第 6(1)(a) 條（同意）。
處理者：根據資料處理協議，由 Salesforce Germany GmbH 擔任。

D. 客戶滿意度調查

經您許可，我們會邀請您參加自願性調查，以協助我們改進產品和服務。我們管理邀請、收集回覆並分析結果。根據調查的不同，我們可能會將您的回覆連結到您的 CRM 個人資料，以便在具體情境下理解您的體驗，我們將在邀請中告知您這一點。您可以隨時撤回同意，我們將停止發送進一步的邀請或為此目的使用您的回覆。
法律依據： GDPR 第 6(1)(a) 條（同意）。
處理者：根據資料處理協議，由 Salesforce Germany GmbH 擔任。

E. 網路研討會和線上活動

我們註冊並主持線上活動，並處理提醒、存取連結、出席管理、相關資料、可選的調查，以及（如適用）錄製。這涉及您的身分識別和聯絡詳情、註冊和工作階段資訊、技術識別碼（例如，用於加入的設備/瀏覽器或 IP 位址）以及互動資料，如聊天、問答或投票回覆。如果會議被錄製，根據活動通知，可能會捕捉參與者的音訊和/或視訊。您可以選擇不接收非必要的後續聯絡，並且在需要時，我們會就您在錄製中的形象或聲音徵得您的具體許可。
法律依據：
GDPR 第 6(1)(b) 條（參與/註冊）
GDPR 第 6(1)(f) 條（活動營運、安全和基本分析）
GDPR 第 6(1)(a) 條（對非必要的行銷後續聯絡以及在需要時對您在錄製中的形象/聲音的同意）
處理者：根據資料處理協議，由 Livestorm SAS（網路研討會平台）和 Salesforce Germany GmbH 擔任。

誰將收到我的資料？

在 DEKRA德凱集團內部，需要您的資料以履行合約或法定義務，或追求本隱私通知中所述目的的實體將收到您的資料。這包括位於斯圖加特的 DEKRA德凱 SE 營運的計算中心，以及相應的 DEKRA德凱控制者處理您資料的本地和區域營運的計算中心。
我們的服務供應商和代理機構也可能為此目的接收資料，前提是他們遵守保密和資料保護要求。這些供應商通常在 IT 服務、電信、諮詢以及銷售和行銷領域營運。
關於向 DEKRA德凱集團外部的揭露，我們僅在法律要求、您已給予同意、為啟動、履行或終止合約關係所必需，或 DEKRA德凱集團擁有合法利益時共享個人資料。潛在的接收方包括：

公共機構和組織（例如稅務機關或檢察機關），在有法律或官方義務時
法律或法規要求的用於風險控制的其他 DEKRA德凱集團公司
作為處理者並根據資料處理協議行事的服務供應商

我們的 CRM 處理主要由我們的服務供應商 Salesforce Germany GmbH (Erika-Mann-Str. 31, 80636 Munich) 執行。我們已與 Salesforce 簽訂了資料處理協議。在處理過程中，資料可能會傳輸到位於美國的 Salesforce 伺服器。Salesforce 已採用具有約束力的公司規則 (BCR)，以促進將個人資料從歐盟/歐洲經濟區傳輸到位於歐盟/歐洲經濟區以外的 Salesforce 地點。有關 Salesforce BCR 和資料保護實務的更多資訊，請造訪 compliance.salesforce.com
對於網路研討會和線上活動，我們使用 Livestorm SAS 作為處理者。Livestorm 代表我們處理身分識別和聯絡詳情、註冊資訊、出席資料以及與工作階段相關的技術識別碼（例如 IP 位址或設備資訊）。Livestorm 可能使用位於歐盟以外的服務供應商或基礎設施；在這種情況下，Livestorm 會應用適當的保障措施，例如歐盟標準契約條款。更多資訊請造訪 livestorm.co/legal-center
其他接收方可能包括您已授予同意的對象，或者基於利益平衡我們被允許傳輸個人資料的對象。

資料是否會傳輸到第三國或國際組織？

個人資料可能會傳輸到歐盟以外國家（第三國）的接收方，前提是這對於 CRM 營運、通訊服務或提供網路研討會和線上活動是必要的。此類傳輸僅在適當的保障措施確保保護程度等同於歐盟的情況下進行。
特別是：

Salesforce 可能根據其已獲歐洲資料保護機構批准的具有約束力的公司規則，將資料傳輸到美國和其他第三國的伺服器。
Livestorm 可能在位於歐盟以外的伺服器上或透過位於歐盟以外的次處理者處理資料。這些傳輸根據歐盟標準契約條款或其他合法保障措施進行。
支援 DEKRA德凱營運的其他 IT 服務供應商可能在第三國處理個人資料，但僅在具備適當保障措施（例如具有約束力的公司規則、標準契約條款或充分性決定）的情況下進行。

向第三國公共機構的傳輸僅在適用法律要求並在相關資料保護保障措施約束下進行。

我的資料將被儲存多久？

我們在履行合約和法定義務所需的期限內，或在我們能證明處理具有合法利益的期限內處理您的個人資料。如果您已給予同意，我們將在您撤回同意前處理您的資料。
當處理不再合理時，個人資料將被定期刪除，除非出於以下目的之一需要在有限期限內繼續處理：

履行商業和稅法規定的保留義務，例如德國商業法典 (HGB) 或稅收通則 (AO) 規定的義務。保留和文件記錄期通常為 6 至 10 年。
在法定時效期內保留證據。根據德國民法 (BGB) 第 195 條及後續條款，這些時效期最長可達 30 年，但常規時效期為 3 年。

我擁有哪些資料保護權利？

在法律要求的前提下，您擁有以下權利：

存取我們處理的資料（GDPR 第 15 條），
更正不準確的資料（GDPR 第 16 條），
刪除我們儲存的資料（GDPR 第 17 條），
限制處理（GDPR 第 18 條），
資料可攜性（GDPR 第 20 條），
反對處理（GDPR 第 21 條），
隨時撤回同意，且撤回不影響未來處理的效力（GDPR 第 7(3) 條），
向監管機構提出投訴，如果您認為個人資料的處理違反了 GDPR（GDPR 第 77 條）。

我有義務提供資料嗎？

在我們的業務關係過程中，您必須提供開始、履行和結束關係以及履行相關合約義務所必需的個人資料，或者我們有法律義務收集的資料。沒有這些資料，我們可能無法與您或您的雇主訂立、履行或完成合約。

在多大程度上使用自動決策或設定檔分析？

我們不在 GDPR 第 22 條的含義內使用完全自動化的決策。
在某些情況下，我們使用自動分析來更了解興趣並定製溝通，這構成 GDPR 第 4(4) 條含義內的設定檔分析。例如，這包括根據互動歷史、溝通偏好或服務興趣對聯絡人進行細分，並利用這些細分群體提供更相關的資訊或優先安排後續活動。這些分析不會對您產生法律效力，也不會以類似方式對您產生重大影響。
如果我們在個別情況下引入額外形式的自動決策，我們將在法律要求時另行通知您。

關於根據 GDPR 第 21 條享有的反對權的資訊

基於具體情況的反對權

基於您的具體情況，您有權隨時反對基於 GDPR 第 6(1)(e) 條（為公共利益處理）和 GDPR 第 6(1)(f) 條（基於利益平衡的處理）對您的個人資料進行的處理。這也適用於基於這些規定、在 GDPR 第 4(4) 條含義內進行的設定檔分析。如果您反對，我們將不再處理您的個人資料，除非我們能夠證明存在令人信服的、凌駕於您的利益、權利和自由之上的合法處理理由，或者處理是為了建立、行使或捍衛法律主張所必需的。

反對為直接行銷目的進行處理的權利

在個別情況下，我們會處理您的個人資料用於直接行銷。您有權隨時反對為直接行銷目的處理您的個人資料。這也適用於與此類直接行銷相關的設定檔分析。如果您反對為直接行銷目的進行處理，我們將不再為此目的處理您的個人資料。

發送反對或撤回同意的地址

您可以將您的反對或同意撤回發送給控制者或資料保護長。無需特定格式。為確保流程順暢快捷，我們請您使用為此目的提供的[線上表格]。您也可以點擊您收到的資訊性電子郵件末尾提供的連結。除了按基本費率計算的傳輸費用外，您無需承擔任何其他傳輸費用。

本隱私通知的更新

本隱私通知最後更新於 2026 年 3 月。我們保留在未來根據適用的資料保護法修改本隱私通知並在必要時使其適應變化情況的權利。我們將就內容的重大變更另行通知您。