KYC/AML 隐私告知
01数据控制者
本告知所述处理活动的数据控制者为:
02数据保护联系方式
我们未依据 GDPR 第 37 条指定数据保护官,因为我们的处理活动未达到强制指定的门槛。与隐私相关的事项由上述隐私联系方式处理。您可通过发送邮件至 info@vendor.energy(主题:[PRIVACY])就您个人数据的任何事项与我们联系。
03处理目的
我们基于以下具体且有限的目的处理您的个人数据:
- 投资人核实——在授予投资人数据室访问权限之前,核实您的身份与居住地址,以便评估是否开展合同订立前的接洽。
- 防范欺诈与保护知识产权——防止身份冒用,并在披露前保护我们的机密技术资料。
- 主张、行使或抗辩法律权利——保存足以主张、行使或抗辩合同订立前接洽中所产生法律权利的证据。
- 合规——履行具体法律义务,仅在此类义务在具体核实情形下对我们适用的范围内履行。
我们不会将您的核实数据用于营销、与核实无关的画像分析,或任何与上列目的不相容的用途。
04法律依据
本处理活动依据《通用数据保护条例》(GDPR,即欧盟第 2016/679 号条例)下列条款进行:
| 法律依据 | 适用范围 |
|---|---|
| 第 6 条第 1 款 b 项——合同订立前措施 | 作为投资人资格审查的一部分,在任何可能的投资或试点协议订立之前,处理身份与地址数据。 |
| 第 6 条第 1 款 f 项——正当利益 | 我们在披露有关技术的机密信息之前核实交易对手身份的正当利益,以及防范欺诈与声誉损害的正当利益。利益权衡评估可应要求提供。 |
| 第 6 条第 1 款 c 项——法律义务(在适用的情况下) | 仅在罗马尼亚或欧盟法律下具体的法律义务在相关核实情形中对我们适用的范围内适用。截至本告知发布之日,我们不依赖罗马尼亚 第 129/2019 号法律 作为对投资人访问进行常规筛查的主要依据,因为我们目前不是该法律下的申报主体,除非并直至该等义务成为适用义务。 |
| 第 9 条第 2 款 a 项——明确同意(仅限生物识别数据) | 在核实包括活体检测或人脸比对时,将涉及生物识别数据的处理。我们仅在获得您事先、明确、具体且单独给出的同意后方进行此类处理。您可随时依据第 7 条第 3 款撤回该同意。 |
05个人数据类别
我们收集并处理下列类别的数据,且仅限于核实目的所必需者:
- 身份数据——全名、出生日期、国籍、身份证件类型(护照或身份证)、证件号码、签发机关、证件有效期,以及证件的扫描件或照片。
- 地址数据——居住地址及其证明文件(例如不超过三个月的水电费账单或银行对账单)。
- 联系方式——用于核实往来的电子邮箱,以及(如您提供)电话号码。
- 生物识别数据(仅基于同意)——用于与您身份证件照片进行比对的活体自拍照或短视频。该处理由身份核实服务提供商进行;我们接收核实结果以及仅为我们复核和保存记录所必需的有限核实信息,除非为主张、行使或抗辩法律权利而确有必要获取更多信息。
- 核实元数据——核实尝试的技术记录,包括时间戳、IP 地址、核实决定以及任何复核备注。
通过本告知,我们不收集资金来源声明、政治公众人物或制裁筛查数据、受益所有人信息,或 GDPR 第 10 条意义上的刑事定罪数据。若未来出现此类处理需要,我们将更新本告知,并在必要时另行取得具体同意。
06接收方
您的个人数据可能向下列类别的接收方披露,各方均受保密义务和数据保护义务约束:
- 内部人员——我们合规、法务部门及获授权的高级管理人员,严格按照"按需知悉原则"。
- 身份核实服务提供商——外部受托处理方,依照我们根据 GDPR 第 28 条签署的数据处理协议所载书面指示行事,仅用于身份与地址的核实。该提供商负责证件真实性验证、活体检测和人脸比对,并向我们返回核实结果。
- 专业顾问——在确有必要时,受职业保密义务约束的外部法律顾问。
- 有管辖权的机关——仅在收到有效法律命令或合法请求时,且仅在遵守该等命令或请求所必需的范围内。
当前身份核实服务提供商的身份,可通过上述隐私联系方式按要求获取。
07国际传输
若身份核实服务提供商或任何其他接收方在欧洲经济区之外处理您的数据,传输仅在 GDPR 第 V 章规定的适当保障措施基础上进行,具体为:
- 根据第 45 条作出的欧盟委员会充分性决定;或
- 根据第 46 条第 2 款 c 项订立的标准合同条款,必要时辅以其他技术与组织措施;或
- 在无其他适用依据且符合相应条件的情况下,根据第 49 条适用的减损规定。
当前受托处理方所适用保障措施的副本可应要求提供。
08保留期限
我们依本告知处理的个人数据,仅在为其收集目的所必需的期限内予以保留:
| 情形 | 保留期限 |
|---|---|
| 访问被拒绝或未形成投资人关系 | 自核实决定作出之日起至多 1 年,作为所作决定的证据;但为主张、行使或抗辩法律权利而有必要延长保留的除外。 |
| 形成投资人关系或开展合同订立前接洽 | 自关系或合同订立前接洽结束之日起至多 3 年,与罗马尼亚《民法典》第 2517 条规定的民事诉讼一般时效一致。 |
| 法律诉讼、调查或监管要求 | 在主张、行使或抗辩法律权利所必需的期间内,或在遵守适用法律保留义务所必需的期间内,以较长者为准。 |
由身份核实服务提供商处理的生物识别数据,将在完成核实并保留相关记录所需的最短期限内予以保存,其后由该受托处理方按数据处理协议删除。
09您的权利
在 GDPR 规定的条件和例外范围内,您享有下列权利:
- 访问权(第 15 条)——获得处理确认及您数据的副本。
- 更正权(第 16 条)——要求及时更正不准确的数据。
- 删除权(第 17 条)——以第 17 条第 3 款规定的例外为限,特别是在为主张、行使或抗辩法律权利而确有必要时。
- 限制处理权(第 18 条)——在特定情形下限制处理。
- 数据可携权(第 20 条)——在适用的情况下,即处理基于同意或合同且以自动化方式进行时。
- 反对权(第 21 条)——就您的特定情形出发,反对基于我们正当利益的处理;除非我们证明存在压倒性的正当理由,否则我们将停止处理。
- 撤回同意权(第 7 条第 3 款)——就生物识别处理,可随时行使,不影响撤回前处理的合法性。
- 投诉权(第 77 条)——向监管机关投诉,特别是向罗马尼亚国家个人数据处理监管局(ANSPDCP),或您常居地或工作地的监管机关。
如需行使上述任一权利,请联系 info@vendor.energy。我们将在 GDPR 第 12 条第 3 款规定的期限内作出回应。
10不提供数据的后果
提供本告知所述的个人数据是访问投资人数据室的前提条件,而非一般意义上的法定或合同义务。您没有义务提供该等数据。
但如您不提供所需的身份与地址数据,或核实无法以合理标准完成,我们将不予授予数据室访问权限。您不提供该等数据的决定本身,不会对您产生其他不利后果。
11自动化核实与人工复核
身份核实服务提供商采用自动化手段,评估您身份证件的真实性,并在采用生物识别核实时,评估您的活体图像与证件照片之间的一致性。该提供商返回建议结果,而非最终决定。
关于授予投资人数据室访问权限的最终决定,由我们团队中的 人工审核人员 作出,其在作出决定时会综合考虑提供商的结果及任何补充信息。因此,该处理不构成 GDPR 第 22 条第 1 款所指的、仅基于自动化处理并对您产生法律效力或类似重大影响的决定。
如您希望对结果提出异议或进一步了解自动化评估如何参与最终决定,请联系上述隐私联系方式;我们将作出具有实质内容的回应。
12投诉与联系
如您认为我们对您个人数据的处理违反 GDPR,请先通过 info@vendor.energy 与我们联系,以便我们处理您的关切。
您亦有权随时向监管机关提出投诉,特别是:
您亦可向您在欧盟常居地或工作地的监管机关提出投诉。