隐私政策
Rhein 1905 SA 高度重视您的隐私保护,并致力于以透明方式处理您在使用 rhein1905.ch 网站时所提交之个人数据。依据2020年9月25日颁布之《瑞士联邦数据保护法》(nLPD)第19条,本政策向您说明本公司所收集之数据、处理之目的、保存期限,以及您所享有之权利。
一、数据控制人
Rhein 1905 SA
Rue du Mont-Blanc 3, CH-1201 日内瓦,瑞士
企业识别号(UID):CHE-499.589.727
电子邮箱:info@rhein1905.ch
电话:+41 22 731 88 56
就通过本网站收集之全部个人数据而言,Rhein 1905 SA 系 nLPD 第5条字母 j 所定义之数据控制人。
二、所收集之个人数据
根据您在本网站使用之服务,本公司收集并处理以下类别之数据:
| 类别 | 所涉数据 | 来源 |
|---|---|---|
| 客户账户 | 称谓、姓氏、名字、电子邮箱、密码(经哈希处理)、出生日期、首选语言 | 注册表单 |
| 地址 | 送货地址、账单地址、电话号码、国家 | 下单表单 |
| 订单 | 订单历史、产品、金额、状态、发票、售后通信 | 网站使用记录 |
| 支付 | 所用支付方式(PayPal、TWINT 等)、卡片末四位、状态。Rhein 1905 SA 绝不存储完整银行数据。 | 支付服务提供商 |
| 年龄验证(烟草 KYC) | 加密存储之官方身份证件复印件、出生日期、提取之姓名、验证状态 | 首次订购烟草制品 |
| 电子邮件订阅 | 电子邮箱、名字、语言、订阅状态、订阅 / 退订日期 | 订阅表单(经同意) |
| 技术性数据 | IP 地址、浏览器类型、操作系统、所访问页面、日期及时间 | 服务器日志、Cookie |
| Cookie | 浏览偏好、会话标识符、对分析类 Cookie 之同意 | 详见《Cookie 政策》 |
三、处理目的
所收集之数据仅就以下目的进行处理:
- 履行销售合同:接收并确认订单、备货、发货、开具发票、物流跟踪、售后服务、退货及保修;
- 管理客户账户:账户创建、身份认证、偏好管理、购物历史;
- 遵守法律:会计账簿之保存(《瑞士债务法》第957条及其后续条款)、烟草制品销售年龄验证(LPTab)、凭证之保存;
- 反欺诈:可疑支付之识别、身份核实、防范冒用;
- 市场营销通讯(须经您明确同意):电子邮件订阅之发送、新品及限量版讯息之传递;
- 网站优化:经匿名化处理之流量分析、受众测量、用户体验优化;
- 安全防护:防范入侵、访问可追溯性、数据备份。
四、处理之法律依据
依据 nLPD,前述各项处理视具体情形分别基于:
- 合同必要性(履行销售合同,nLPD 第31条第2款字母 a);
- 法定义务(会计、年龄验证、反洗钱);
- 您所给予之自由、知情且明确之同意(电子邮件订阅、分析类 Cookie);
- 数据控制人之占优合法利益(网站安全、欺诈防范、服务改进)。
五、数据接收方与受托处理人
您之数据绝不会出售予第三方。仅为履行服务之必要,本公司将数据提供予以下受托处理人,并严格遵守保密义务,所有合作均依据 nLPD 第9条订有合同:
| 接收方 | 职能 | 所在国家 |
|---|---|---|
| OVHcloud SAS | 网站托管 | 法国(欧盟 —— 数据保护水平获认可为充分) |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | 处理银行卡及 PayPal 账户支付 | 卢森堡(欧盟) |
| TWINT SA | 处理 TWINT 支付 | 瑞士 |
| 瑞士邮政股份公司 | 包裹寄送及物流跟踪 | 瑞士 |
| Sendinblue SAS (Brevo) | 电子邮件订阅之发送 | 法国(欧盟) |
| Google Ireland Ltd. / Google LLC | 本网站之匿名化受众测量(Google Analytics 4),已启用 IP 匿名化。本网站不投放任何定向广告,以符合 LPTab 就烟草制品所设之广告限制。 | 爱尔兰(欧盟)及美国 |
| 公共机构(联邦公共卫生局、税务局、司法机关) | 仅依法律强制要求 | 瑞士 |
六、跨境数据传输
当数据传输涉及瑞士境外时,Rhein 1905 SA 将确保:
- 目的地国家具备瑞士联邦委员会所认可之充分数据保护水平(尤其是欧洲经济区国家);或
- 否则,采取适当之合同保障措施(标准合同条款、相关认证或具约束力之企业内部规则),依据 nLPD 第16条及其后续条款。
就 Google Analytics 而言,部分经匿名化之技术性数据(已截断之 IP 地址、会话标识符、浏览行为)可能传输至 Google LLC 位于美国之服务器。该等传输受欧盟委员会通过、并经瑞士认可之标准合同条款,以及瑞士联邦委员会2024年8月14日决定之约束;该决定自2024年9月15日起生效,认可《瑞士—美国数据隐私框架》(Swiss–U.S. Data Privacy Framework)对依该框架取得认证之美国企业具备充分之数据保护水平。
本公司不会在事先未取得上述任一保障之情形下,将数据传输至不具备同等保护水平之国家之接收方。
七、保存期限
| 数据 | 期限 |
|---|---|
| 客户账户(未活动) | 自最后一次登录起3年,届满后系统自动删除或匿名化 |
| 订单及发票 | 自相应会计年度结束起10年(会计法定义务,《瑞士债务法》第958f条) |
| 烟草 KYC 身份证明文件 | 自最近一次订购烟草制品起保存5年 —— 系 Rhein 1905 SA 之内部政策,与 LPTab 所规定之可追溯性义务通行期限保持一致。届满后,相关证明文件将以安全方式予以销毁。 |
| 支付数据(末四位、状态) | 10年(与会计保存期限保持一致) |
| 电子邮件订阅 | 订阅期间,以及退订后再加12个月(用于留存同意之证据) |
| 连接 / 服务器日志 | 12个月 |
| 分析类 Cookie | 最长13个月 |
所列保存期限届满后,数据将被不可逆转地删除或匿名化。
八、数据安全
依据 nLPD 第8条及《数据保护条例》(OPDo),Rhein 1905 SA 采取适当之技术及组织措施,保护您之数据免受未经授权之访问、丢失、更改或泄露。该等措施尤其包括:
- 通过 TLS / HTTPS 加密本网站之连接;
- 对 KYC 身份证明文件实施静态加密保存;
- 对服务器及数据库实行严格之访问控制;
- 对敏感数据之访问行为进行日志记录;
- 定期进行加密之数据备份;
- 实施严格之密码强度政策,并在员工离职后立即撤销其访问权限。
九、您之权利
依据 nLPD 第25条及其后续条款,您随时享有以下权利:
- 访问权:确认是否存在涉及您本人之数据处理活动,并取得相关数据之副本(nLPD 第25条);
- 更正权:更正不准确或不完整之数据;
- 删除权:在数据已不再为既定目的所必要时,要求删除您之数据,但法律强制保存义务除外;
- 可携权:以结构化、通用且机器可读之格式接收您之数据,或在技术上可行时,要求将数据直接传输至另一数据控制人(nLPD 第28条);
- 反对权:基于您本人之特殊情况,反对基于合法利益所进行之处理;
- 撤回同意权:在处理基于您之同意时,您随时有权免费撤回该同意。
如行使上述任一权利,请发送电邮至 info@rhein1905.ch,并附上一份足以证明您身份之文件复印件。本公司将在收到您请求之日起30日内给予书面之答复。
十、向监管机构投诉
如您认为 Rhein 1905 SA 处理您之个人数据不符合瑞士法律,您有权向瑞士联邦数据保护及透明度专员(PFPDT / EDÖB)提出投诉:
Feldeggweg 1, CH-3003 伯尔尼,瑞士
www.edoeb.admin.ch
十一、Cookie
rhein1905.ch 网站使用网站正常运行所必需之技术性 Cookie,并在征得您同意之前提下,使用用于受众测量及优化用户体验之 Cookie。有关所用 Cookie 之详情、保存期限及管理方式,请参阅本公司之《Cookie 政策》。
十二、政策修订
本政策可能因法律、技术或运营之变化而随时修订。适用之版本始终为您与本网站交互当时所公布之版本。最后更新日期载于下方。