隱私通知

隱私通知

最後更新:2023 年 2 月

Iron Mountain 公司作為資料控制者

Iron Mountain Information Management, LLC(位於美國)及其子公司(下稱「Iron Mountain」或「我們」)重視您的隱私。本《隱私通知》旨在說明 Iron Mountain 在作為資料控制者時,將如何收集、使用、分享其客戶、潛在客戶、供應商、商業夥伴及網站訪客(下稱「個人資料」)的身分識別資料。資料控制者指的是能夠決定使用(處理)個人資料的原因和方式的實體。

Iron Mountain 的全球標準和當地規定

本《隱私通知》載明了我們的全球隱私標準。

除了 Iron Mountain 的全球標準以外,我們還遵守所有相關和適用的當地隱私法律。因此,根據我們將根據開展業務所在區域,相應地遵守《一般資料保護法規》2016/679 (EU General Data Protection Regulation, EU GDPR),我們業務所在歐洲經濟區國家所適用的資料保護法律,《英國一般資料保護法規》(UK General Data Protection Regulation, UK GDPR) 和 2018 年《英國資料保護法》(UK Data Protection Act,UK DPA);2018 年《加利福尼亞州消費者隱私保護法》(California Consumer Privacy Act, CCPA),2020 年《巴西一般資料保護法》(Brazil General Data Protection Law, LGPD);2021 年《中華人民共和國個人信息保護法》(Personal Information Protection Law, PIPL);2012 年《新加坡個人資料保護法》(Singapore Personal Data Protection Act, PDPA)。

國家補充資料和當地隱私通知

某些 Iron Mountain 子公司可能有義務遵守當地的資料保護法律,這些法律可能要求披露針對該國的隱私聲明(通常由我們當地的 Iron Mountain 子公司在收集個人資料時提供給您)。您可以在此處查閱特定國家的補充資料:

如需獲取本《隱私通知》的翻譯版本,請查閱相關國家版本的網站。例如,本文件的德語版本可在我們的德語網站上獲取。

資料處理的法律依據

我們在開展業務的過程中始終謹記對隱私和資料予以保護。我們確保對資料進行的處理具有法律依據並符合適用的隱私保護法律。在大多數情況下,我們根據以下法律依據收集和使用您的個人資料:

  • 合約履行:為了與我們的客戶、供應商、商業夥伴或其他利益相關者簽訂和履行合約,而必須處理資料的情況下;
  • 同意:在我們已徵得您的同意以便處理您的個人資料的情況下(例如,為了發送有關我們產品或服務的行銷通訊,或透過 Cookie 追蹤您在我們網站上的活動以改善您的客戶體驗);
  • 合法利益:在我們希望實現我們的合法商業目標的情況下(例如,為了顯示與您地理位置相關的網站內容或提供其他客製化內容)。只有當合法利益具有合理比例,並能保證我們的商業目標與您的隱私權之間達成良好平衡時,我們才會依賴此等合法利益;
  • 遵守適用法律:為了遵守我們負有的相關法律或監管義務,而必須處理資料的情況下(例如,在我們需要與公共機關和稅務機關分享個人資料的情況下)。

個人資料的收集和使用

根據您與 Iron Mountain 間的關係,以及根據適用法律法規的要求,我們可能會收集和使用您的個人資料,具體如下:

  • 商業聯絡方式(客戶、潛在客戶、供應商):商業聯絡資料(例如商業聯絡人、專業地址、電話號碼)客戶和供應商代表的個人資料(例如姓名、聯絡方式)結構化資料(例如專有資料)技術資料(例如客戶門戶、用戶 ID 和密碼、存取日誌)用於以下主要目的:合約談判和執行、監管合規、業務發展和關係、索賠管理、行政管理、會計,改善我們的服務,以及向客戶提供服務。
  • 審計、調查、盡職調查個人資料(客戶、供應商):姓名、聯絡方式(例如地址、電話號碼、電子郵件地址)職位/職能、稅號、銀行帳戶資料,以及與供應商或客戶關係有關的其他資料,用於以下主要目的:審計、調查、營運安全、監管合規、盡職調查篩查、索賠管理、訴訟目的。
  • 線上個人資料收集(網站訪客):透過 Iron Mountain 網站收集的資訊,例如聯絡方式、登入憑證、線上評論以及來自線上論壇和調查等的回饋,用於以下主要目的:使用戶能夠高效使用我們的網站,優化網站功能,透過線上論壇與客戶/潛在客戶和供應商互動,進行客戶滿意度調查和評估。
  • 透過科技手段收集個人資料(網站訪客): Iron Mountain 網站使用多種 Cookie 和類似技術。Cookie 是由您所瀏覽的網站放置在您裝置上的一個小型文本檔案。這些檔案使 Iron Mountain 網站能夠提供符合用戶興趣的內容,以及啟用其他功能,從而改善其用戶體驗。您可以透過多種不同的工具來控制由 Cookie 和類似技術所收集的資料。Iron Mountain 將在必要時使用您的 Cookie(僅在您同意的情況下)。例如,透過使用 Cookie 來向您提供客製化內容。Iron Mountain 網站允許您透過其 Cookie 同意橫幅或瀏覽器設置來控制某些 Cookie。
  • 兒童個人資料:我們關注兒童在使用網路時的安全,並且絕不會故意收集未成年人(16 歲以下兒童,或適用法律所定義的其他年齡)的個人資料。
  • 直接行銷(客戶、潛在客戶):我們可能會使用您的商業聯絡方式(例如電子郵件)向您提供我們認為可能符合您興趣的產品和服務資訊。我們也可能會為此建立一份個人檔案,其中包含您所在公司的商業相關資訊或者您與我們之間的互動,以便能夠為您和您所在的公司提供相關的資訊和適當的服務和產品優惠,並改善我們與您之間的個人溝通。Iron Mountain 僅會在您事先同意收到此類通訊(下稱「選擇同意接收」)的情況下,向您發送此類通訊(例如,透過電子郵件和/或電話聯絡),當您選擇不再接收此類通訊之後,我們將不再向您發送。撤銷同意或選擇不再接收行銷通訊:如果您目前收到行銷通訊,但不再希望繼續收到,您可以隨時點選此處撤銷您的同意選擇不再接收

我們從以下來源收集個人資料:

  • 客戶和潛在客戶(法人和個人)
  • 客戶的代表和代理人(例如,代表公司進行合約管理的個人)
  • Iron Mountain 網站訪客
  • 第三方(Iron Mountain 的供應商)
  • Iron Mountain 公司、附屬公司
  • 公共執法機關,包括稅務機關、法院、行政機關等
  • 公開來源(專業社交媒體;官方註冊等),但僅在適用法律法規允許的範圍內。

作為資料處理者收集個人資料

我們以資料處理者的身分對客戶的個人資料進行處理,但我們並不審查此類個人資料的內容或來源。我們可能全權代表我們的客戶並根據其指示來收集、存儲、處理此類個人資料。當客戶以這種方式使用我們的服務,客戶的身分即為資料控制者,應負責就此類資料的收集和使用,徵得任何必要的同意、許可並提供必要的隱私通知。

我們可能在內部(在 Iron Mountain 公司集團內部)和外部(與 Iron Mountain 的供應商、顧問、商業夥伴等第三方)分享您的個人資料。我們可能在遵守適用法律法規的前提下,按照本節所述的方式分享和/或披露您的個人資料。

內部分享:Iron Mountain 的總部位於美國馬薩諸塞州波士頓市,但在全球開展業務。因此,為了實現商業目標,我們可能會根據本通知的規定,與其他 Iron Mountain 子公司分享您的個人資料,但在此過程中我們將始終謹記保護隱私。

外部分享:我們也可能與第三方分享您的個人資料,包括:

  • Iron Mountain 供應商:提供服務給 Iron Mountain 時,可能需要處理您的個人資料(例如,提供客戶關係管理工具或一般 IT 支援,分發行銷材料等)。在此情況下,這些實體可能僅根據 Iron Mountain 的指示,並且出於為我們提供服務之目的,而接收和處理您的個人資料。
  • 其他第三方(出於出售、合併、轉讓業務或部門之目的):這也包括盡職調查篩查目的,並且可能也需要向 Iron Mountain 的顧問或財務審計師披露個人資料。
  • 公共機關:我們也可能負有法律義務,須在未經您許可的情況下披露您的個人資料。此類披露的目的包括但不限於:(a) 回應公共機關、監管機構和執法機關的合法請求,以及 (b) 保護 Iron Mountain 的權利和財產。

Iron Mountain 資料分享標準

我們不會在未經您同意的情況下與第三方分享您的個人資料,除非是為了:(a) 履行 Iron Mountain 的合法商業目標(例如,使用供應商提供的服務);(b) 回應公共機關合法授權的請求;(c) 遵守適用的法律法規;(d) 強制執行/保護 Iron Mountain 的權利和財產;或 (e) 在適用法律允許的情況下,依法保護我們的員工及其他使用 Iron Mountain 財產之個人的權利。我們不出售並且未來也不會出售您的個人資料。

我們可能會將您的個人資料轉移給全球各地其他 Iron Mountain 公司、子公司和第三方,或供其進行存取。接收者所位於的國家可能無法對您的個人資料提供充分的保護(從來源國家的角度來看)

我們將按照來源國家所適用的資料保護法的要求,確保所轉移的個人資料受到充分的保護。在轉移您的個人資料時,我們通常會依賴以下一項或多項:

  • 標準合約條款Standard Contractual Clauses, 下稱「SCCs」),適用於國際個人資料轉移,但需在適用且相關的情況下(例如,將歐盟/英國/瑞士的個人資料轉移到美國和印度等國家)。如果您希望獲取有關適當保障措施的更多資訊,並/或希望收到一份 SCC 副本以供您檢閱,請聯絡我們:global.privacy@ironmountain.com
  • 我們將會根據適用法律的要求,請求您同意轉移您的個人資料。
  • Iron Mountain 已在其集團內部簽訂了關於轉移和處理個人資料的公司間協議,以便在集團內部轉移個人資料。
  • Iron Mountain 嚴格遵守歐盟-美國以及瑞士-美國Privacy Shield框架的原則,但根據歐盟法律,Iron Mountain 不再依賴歐盟-美國隱私之盾框架作為個人資料轉移的法律基礎。

我們將出於本通知中所說明的個人資料收集目的,在合理必要的期限內保留您的個人資料。在某些情況下,我們可能會在更長的期限內保留您的個人資料,例如在我們必須根據法律、監管、稅務或會計要求保留更長期限的情況下。在特定情況下,我們可能會在更長的期限內保留您的個人資料,以便我們能擁有您與我們之間交易的準確記錄,用於應對可能出現的任何投訴或質疑,或者應對我們合理認為可能發生的與您個人資料或交易相關的訴訟。

如果我們為了向您提供我們產品和服務的行銷資訊而取得您的個人資料,我們存儲您個人資料的期限將持續至您改變主意不再接收此類資訊為止,或者在法律要求的情況下,如果在我們發出通訊之後,您並未對我們的產品和服務表示出任何興趣(即您是非活躍用戶),我們將提前刪除您的個人資料,以避免後續因行銷目的而與您聯絡。我們維護有一份關於資料保留的通知,該通知適用於我們所保管的紀錄。當我們不再需要您的個人資料時,我們要麼會刪除您個人資料的電子檔案並銷毀實體紀錄,要麼會將您的個人資料匿名化,以使我們無法再識別您的身分。Iron Mountain 制定有專門的內部政策,以確保我們符合關於資料保留的規定。

我們將始終按照最高的安全標準保護您的個人資料。為確保您的個人資料不會遺失或遭到未經授權的使用、存取或披露,我們將始終採取適當的技術、組織和行政措施。我們採取的一些措施包括:對我們的工作人員和服務提供商設置保密要求;當個人資料已不再需要用於收集時的目的,將個人資料銷毀或永久匿名化。我們將持續確認現行市場標準規範(例如國際標準化組織(International Standards Organization, ISO)規範),並隨時掌握適合用於保護您個人資料的最新安全措施。

我們尊重您的資料主體/消費者權利,您可以根據適用隱私法律的規定,行使您的以下權利:

  1. 存取您的個人資料和取得副本 – 請注意,我們可能需要先驗證您的身分,以避免披露給任何未經授權的人士,並在允許您存取或複製個人資料時尊重其他個人的隱私權;
  2. 更正或刪除您的個人資料 – 如果資料不準確或不完整;
  3. 限制處理您的個人資料 – 例如,當您質疑處理的準確性時,此外,在您的請求得到驗證之前,我們將限制個人資料的處理;
  4. 刪除或匿名化您的個人資料(根據 GDPR「被遺忘權」),除非存在例外,例如,當法律允許我們進行此類處理時;
  5. 確保所謂的「個人資料可攜性」– 在您提出要求時,Iron Mountain 可能會將您的個人資料「轉移」給另一個組織/公司,前提是此等處理已徵得您的同意或是為了履行合約;
  6. 反對處理您的個人資料 – 例如,當我們基於我們的合法利益或出於直接行銷目的而處理您的個人資料,並且此等處理是由自動手段進行的;
  7. 取得個人資料保障措施(用於在您管轄區外進行的轉移)的副本 – 例如 SCC 的副本;
  8. 向您當地的監管機構提交投訴:資料保護機關,例如英國的信息專員公署(Information Commissioner's Office, ICO);
  9. 撤銷您對於處理您個人資料的同意(但對於在撤銷同意之前基於同意進行的處理,其合法性不受影響)。

根據法律的要求以及其他許可注意事項,我們將採取一切合理努力儘快回應您的請求(在任何情況下,都將在法定期限內),或者告知您:我們需要獲取進一步的資訊來滿足您的請求。在某些情況下,根據適用法律的要求或許可,您存取或控制您個人資料的能力可能會受到限制。在向您披露所請求的個人資料之前,我們可能會要求您提供額外的資料,以便驗證您的身分並確保安全。在某些情況下,我們也保留收取費用的權利(在法律允許的情況下),例如如果您的請求明顯是無根據的或過度的。

如果您對 Iron Mountain 有任何隱私方面的顧慮、投訴或問題,請聯絡我們:

全球隱私與合規部
全球隱私官
歐洲經濟區/英國集團資料保護官
global.privacy@ironmountain.com

您可以點選此處,透過選擇區域和國家,找到我們當地子公司的名稱和聯絡方式(Crozier 實體請點選此處)。我們將致力於確保您的投訴得到及時妥善的解決,並將對您的請求和投訴予以保密。在收到您的投訴後,我們的代表將在合理的時間內與您聯絡,如有任何當地規定指出須在具體期限內解決您的請求,我們將予以遵守。

我們將在對本《隱私通知》進行更新後及時發布其修訂版本,並在文件中載明具體的修訂日期。您可以方便地透過各 Iron Mountain 網站上的隱私通知/政策連結找到本《隱私通知》的最新版本。