隐私政策
I.本政策的目的和范围
版本:2021 年 3 月
此门户网站(下文简称“Alert Line”)由 LVMH MOËT HENNESSY LOUIS VUITTON 运营,这是一家法国欧洲股份公司(société européenne,缩写为 SE),于巴黎商业和企业注册处注册,注册编号为 775 670 417,注册地址为 22 Avenue Montaigne, 75008 Paris, 法国(以下简称“LVMH”)。
Alert Line 允许 LVMH Group(包括 LVMH 及其关联企业,统称为“ LVMH Group ”)的员工和外部利益相关者(以下简称“ 用户 ”)发送检举报告(以下简称“ 报告 ”),以善意报告:(i)刑事犯罪、明显违反适用法律,以及威胁或损害公众利益的行为;和/或(ii)明显违反集团行为准则、内部准则、原则和政策的行为。
条款和条件以及发送报告的流程在 Alert Line 简介页面中有更详细的介绍。
当用户发送报告时,无论用户受雇于哪家 LVMH Group 下属企业,LVMH 都是负责调查报告事实的主要报告接收者,详情如下。
在此方面,作为数据管理方的 LVMH 将会访问个人数据,特别是用户和报告中提及的人员(以下简称“个人数据”)。
LVMH 非常重视数据保护,并严格遵守适用的数据保护法规。本隐私政策(以下简称“政策”)旨在描述 LVMH 可能收集和处理个人数据时的条款和条件。
本政策适用于所有用户,无论其受雇于哪家下属企业。任何用户在发送任何报告之前都必须遵守本政策。
II. 所收集和处理的个人数据的类型
当用户通过 Alert Line 发送报告时,LVMH 将在处理报告所需的范围内收集和处理有关用户的个人数据,即:名字、姓氏、职能和详细信息(如果用户已提供相应信息)。
LVMH 亦会收集及处理有关报告中所提及人员(以下简称“报告数据主体”)的个人数据,其内容将视乎报告内容(及调查过程)而定。
在此方面,我们特此提醒用户,不要提供报告目的范围之外的个人数据。所提供的个人数据应充分、相关,且限于对所报告的违规行为十分必要的范围内。例如,用户应避免提供有关报告数据主体的私人生活、性格、职业技能等的详细信息,除非这些信息对于证明违规行为具有绝对必要性。报告的事实应以中立和客观的方式陈述,并明确标识为“假定”。在任何情况下,用户均不得报告国防机密、医疗保密或律师-当事人特权所涵盖范围内的事实。
III. 数据收集和处理的目的
LVMH 将以下列目的使用报告中包含的个人数据:
- 报告管理和对所报告的事实进行调查
- 如果适用,将启动必要的索赔或纪律处分程序
- 如有必要,执行适当的补救措施和/或制裁
- 如有必要,向司法或政府实体,或者根据法庭命令、法律程序或传票报告举报中的事实。
IV. 数据接收者
如通过 Alert Line 发送报告,集团道德与合规总监将立刻获得通知。您的报告将由 LVMH 及其关联企业中相关主管部门指定的、由有限数量的审查人员组成的评估团队(以下简称“评估团队”)进行审查,在审查中将考虑报告中事实的性质和严重程度以及涉及人员。评估团队成员将遵守更严格的保密义务。
为进行调查,审查人员可根据报告的具体情况酌情与所涉及 LVMH 实体内的相关主管人员或机构(尤其是报告数据主体的雇主)分享报告的事实,并在必要时分享个人数据。
出于同样的目的,LVMH 可将报告转交给协助 LVMH 处理报告的第三方供应商。这些供应商(如有)将受本政策中所规定义务的同等约束。
无论在何种情况下,报告中包含的所有信息和个人数据(以下简称“数据”),包括用户身份,将与有限数量的人员共享,并作为机密信息在法律允许的范围内以最大的谨慎度获得处理。
未经用户事先明确批准,这些信息,尤其是用户的身份不会被透露给评估团队以外的第三方。
尽管如此,在对处理报告事实具有必要性和/或法律做出规定时,或在法院命令、法律程序或传票的要求下,包括用户身份在内的数据也可能披露至主管当局和司法机构。
最后,Alert Line 由德国专业企业 EQS Group AG(Bayreuther Str. 35, 10789 Berlin, 德国)(以下简称“EQS Group AG”)负责运维。输入至 Alert Line 中的个人数据和信息将被存储在由 EQS Group AG 维护的数据库中,此数据库位于高度安全的数据中心当中。仅 LVMH 有权访问数据。EQS Group AG 与其他第三方无法访问数据。通过全方位技术和组织措施,我们在认证程序中对此予以确保。
V. 数据传输
所有输入由 EQS Group AG 运维的 Alert Line 的个人数据将被传输至由 EQS Group AG 运维的数据库中,此数据库位于德国的一座高度安全的数据中心当中。
此外,个人数据可能会被转移至其他 LVMH 实体,包括欧洲经济区(EEA)以外的实体,这具体取决于报告数据主体的雇主的所在地点。
所有 LVMH Group 内员工个人数据的传输均遵守 LVMH 约束性公司规则(Binding Corporate Rules, BCR)。任何不受约束性公司规则(BCR)管辖的个人数据,如需被传输至无法提供适当保护级别的国家,则需签署由欧盟委员会根据适用数据保护法规提供的、或以适用数据保护法规允许的任何其他合法手段为基础的标准合同条款。
VI. 数据保存期限
为下文中目的所收集的数据将按照以下规定进行存储。
如果所报告的事实不在 Alert Line 范围内,则数据将被立即删除(或在匿名处理后存档 5 年)。
如果所报告的事实属于 Alert Line 范围,但在调查之后,最终不会启动任何司法或纪律处分措施,则应在调查程序结束后 2 个月内删除数据(或在匿名处理后存档 5 年),除非根据适用法律,数据必须接受诉讼保留处理。在这种情况下,删除将被暂停,直至判决结束。
如果启动了司法或纪律处分程序,则数据将被存储,直至相应程序结束,包括任何可能的上诉时间和/或处罚执行时间(或者在友好协商情况下的和解时间)。
VII. 安全性
LVMH 将为数据提供适当的保护,并确保采取适当的技术和组织安全措施来保护数据(包括相关人员的教育和培训),防止意外或非法破坏、意外丢失或更改、未经授权的披露或访问,并防止所有其他非法形式的处理。
在这方面,请特别注意,EQS Group AG 的数据中心位于归属欧洲经济区的德国的一座高安全性数据中心。所有数据均经过加密并通过多层密码保护进行存储。
VIII. 用户的权利
用户可以要求访问所维护的关于其的个人数据,或者获取在 Alert Line 上保存的关于其的个人数据的副本。用户也可以要求修改、修正、删除或限制处理关于其的个人数据。用户也可以随时撤回其之前给予 LVMH 的任何许可,或者在理由合法的前提下表明他们反对处理其个人数据。
如果有任何滥用其个人数据的情况,用户也有权向主管监督机构(CNIL)提出投诉。
为了行使这些权利,用户可以通过 dpo.holding@lvmh.com 与 LVMH 取得联系;在收到请求后,相关机构将会立即给予答复。
IX. 政策的更改
LVMH 保留随时修改本政策的权利,特别是为了适应 LVMH Alert Line 或适用法律法规的更新。如果政策获得修改,用户会被要求接受这些更改,以继续使用 LVMH Alert Line。无论如何,在发送任何新报告之前,用户将被要求接受该政策。LVMH 强烈建议用户在每次发送新报告时仔细阅读本政策。
X. Cookies
用户计算机和 Alert Line 之间的通信通过加密连接(SSL)进行。用户的 IP 地址不会在其使用 Alert Line 时被存储。但是,为了保持用户计算机和 Alert Line 之间的连接,将在用户电脑上储存一个 Cookie,仅包含会话 ID(即所谓的“会话 Cookie”)。此 Cookie 有效期只至用户会话结束,并在用户关闭其浏览器时到期。
XI.联系方式
如果用户针对 Alert Line 框架内对其个人数据的保护有任何疑问,或者对本政策有任何一般性疑问,可以通过以下电子邮件地址与 LVMH 取得联系: dpo.holding@lvmh.com。
XII.适用法律
本政策受法国法律管辖。