隐私政策

​

我们很高兴您对我们的企业表现出兴趣。数据保护对于 Lenus Health 的管理具有特别高的优先级。可以使用 Lenus Health 的 Internet 页面，而无需任何个人数据指示；但是，如果数据主体想通过我们的网站使用特殊的企业服务，则可能需要处理个人数据。如果需要处理个人数据且此类处理没有法定依据，我们通常会征得数据主体的同意。

个人数据的处理，例如数据主体的姓名、地址、电子邮件地址或电话号码，应始终符合通用数据保护条例 (GDPR)，并符合特定国家/地区的数据保护适用于 Lenus Health 的法规。通过本数据保护声明，我们的企业希望将我们收集、使用和处理的个人数据的性质、范围和目的告知公众。此外，通过本数据保护声明，数据主体被告知他们有权享有的权利。

作为控制者，Lenus Health 实施了多项技术和组织措施，以确保对通过本网站处理的个人数据进行最全面的保护。但是，基于 Internet 的数据传输原则上可能存在安全漏洞，因此可能无法保证绝对的保护。因此，每个数据主体都可以通过其他方式（例如通过电话）自由地将个人数据传输给我们。

1. 定义

Lenus Health 的数据保护声明基于欧洲立法者采用的通用数据保护条例 (GDPR) 的条款。我们的数据保护声明应为公众以及我们的客户和业务合作伙伴清晰易懂。为了确保这一点，我们想首先解释所使用的术语。

在本数据保护声明中，除其他外，我们使用以下术语：

一个）  个人资料

个人数据是指与已识别或可识别的自然人（“数据主体”）相关的任何信息。可识别的自然人是指可以直接或间接识别的人，特别是通过参考诸如姓名、身份证号、位置数据、在线标识符或特定于身体、生理、该自然人的遗传、心理、经济、文化或社会身份。

b) 数据主体

数据主体是任何已识别或可识别的自然人，其个人数据由负责处理的控制者处理。

C）  加工

处理是对个人数据或个人数据集执行的任何操作或一组操作，无论是否通过自动方式，例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、对齐或组合、限制、删除或破坏进行披露。

d)  处理限制

处理限制是对存储的个人数据的标记，目的是限制将来对其进行处理。

e)  剖析

剖析是指任何形式的个人数据自动处理，包括使用个人数据来评估与自然人有关的某些个人方面，特别是分析或预测与该自然人的工作表现、经济状况、健康、个人偏好有关的方面、兴趣、可靠性、行为、位置或动作。

F）  化名

假名化是指以这样一种方式处理个人数据，即在不使用附加信息的情况下，个人数据不能再归属于特定数据主体，前提是此类附加信息单独保存并受技术和组织措施的约束，以确保个人数据不属于已识别或可识别的自然人。

G）  负责处理的控制器或控制器

控制者或负责处理的控制者是单独或与他人共同确定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他机构；如果此类处理的目的和方式由联盟或成员国法律确定，则控制者或其提名的具体标准可能由联盟或成员国法律规定。

H）  处理器

处理者是代表控制者处理个人数据的自然人或法人、公共机构、机构或其他机构。

一世）    接受者

接收方是向其披露个人数据的自然人或法人、公共机构、机构或其他机构，无论是否为第三方。但是，根据欧盟或成员国法律可能在特定调查框架内接收个人数据的公共当局不应被视为接收者；这些公共机构对这些数据的处理应根据处理目的遵守适用的数据保护规则。

j)    第三者

第三方是除数据主体、控制者、处理者和在控制者或处理者的直接授权下被授权处理个人数据的人之外的自然人或法人、公共当局、机构或团体。

k)  同意

数据主体的同意是对数据主体意愿的任何自由、具体、知情和明确的指示，通过声明或明确的肯定行动，表明同意处理与他或她有关的个人数据.

2. 控制器名称和地址

就《通用数据保护条例》(GDPR)、适用于欧盟成员国的其他数据保护法以及与数据保护相关的其他规定而言，控制者是：

莱纳斯健康有限公司

赫尔曼黑森大街 17 号

72221 海特巴赫

德国

电话：+4917694912765

电子邮件：  david@bausch-alfdorf.de

网站：  http://www.lenus-healthcare.de

3. 一般数据和信息的收集

当数据主体或自动化系统调用网站时，Lenus Health 的网站会收集一系列一般数据和信息。这些一般数据和信息存储在服务器日志文件中。收集的可能是（1）使用的浏览器类型和版本，（2）访问系统使用的操作系统，（3）访问系统到达我们网站的网站（所谓的引用者），（4）子- 网站，(5) 访问互联网站点的日期和时间，(6) 互联网协议地址（IP 地址），(7) 访问系统的互联网服务提供商，以及 (8) 任何其他类似数据和在我们的信息技术系统受到攻击时可能使用的信息。

在使用这些一般数据和信息时，Lenus Health 不会就数据主体得出任何结论。相反，需要这些信息来 (1) 正确提供我们网站的内容，(2) 优化我们网站的内容及其广告，(3) 确保我们的信息技术系统和网站技术的长期可行性，以及 (4) 向执法当局提供在发生网络攻击时进行刑事起诉所需的信息。因此，Lenus Health 对匿名收集的数据和信息进行统计分析，旨在提高我们企业的数据保护和数据安全性，并确保对我们处理的个人数据提供最佳保护水平。服务器日志文件的匿名数据与数据主体提供的所有个人数据分开存储。

4. 个人数据的日常删除和屏蔽

数据控制者应仅在达到存储目的所必需的期限内处理和存储数据主体的个人数据，或者在欧洲立法者或其他立法者在其所遵守的法律或法规中授予的期限内到。

如果存储目的不适用，或者如果欧洲立法者或其他主管立法者规定的存储期限届满，则个人数据将根据法律要求定期被阻止或删除。

5. 数据主体的权利

a) 确认权

每个数据主体都应有权获得欧洲立法者的授权，以从控制者处获得关于是否正在处理有关他或她的个人数据的确认。如果数据主体希望利用此确认权，他或她可以随时联系控制者的任何员工。

b) 访问权

每个数据主体都应有权获得欧洲立法者的授权，以从控制者处获取有关其随时存储的个人数据的免费信息以及该信息的副本。此外，欧洲指令和法规允许数据主体访问以下信息：

处理的目的；
有关个人资料的类别；
已经或将要向其披露个人数据的接收者或接收者类别，特别是第三国或国际组织的接收者；
在可能的情况下，个人数据将被存储的预期期限，或者，如果不可能，用于确定该期限的标准；
是否有权要求控制者更正或删除个人数据，或限制处理与数据主体有关的个人数据，或反对此类处理；
是否有权向监管机构提出投诉；
如果个人数据不是从数据主体那里收集的，则有关其来源的任何可用信息；
GDPR 第 22 条第 1 款和第 4 款中提到的自动化决策（包括分析）的存在，以及至少在这些情况下，有关所涉及的逻辑的有意义的信息，以及重要性和预期后果对数据主体的此类处理。
此外，数据主体有权获得有关个人数据是否被转移到第三国或国际组织的信息。在这种情况下，数据主体应有权被告知与传输有关的适当保护措施。

如果数据主体希望利用此访问权，他或她可以随时联系控制者的任何员工。

c) 整改权

每个数据主体都应有权获得欧洲立法者的授权，以便及时从控制者处获得更正与其有关的不准确的个人数据。考虑到处理的目的，数据主体有权完成不完整的个人数据，包括通过提供补充声明的方式。

如果数据主体希望行使此纠正权，他或她可以随时联系控制者的任何员工。

d) 删除权（被遗忘权）

每个数据主体均有权由欧洲立法者授予从控制者处立即删除与其有关的个人数据，并且控制者有义务在以下情况下立即删除个人数据适用，只要处理不是必需的：

就收集或以其他方式处理的目的而言，不再需要个人数据。
数据主体根据 GDPR 第 6 条第 1 款第 (a) 项或 GDPR 第 9 条第 2 款第 (a) 项撤回同意，并且没有其他法律依据用于处理。
数据主体根据 GDPR 第 21 条第 1 款反对处理，并且没有压倒一切的合法理由进行处理，或者数据主体根据 GDPR 第 21 条第 2 款反对处理。
个人数据已被非法处理。
必须删除个人数据以遵守控制者所遵守的联盟或成员国法律中的法律义务。
个人数据的收集与 GDPR 第 8 条第 1 款所述的信息社会服务的提供有关。
如果上述原因之一适用，并且数据主体希望请求删除 Lenus Health 存储的个人数据，他或她可以随时联系控制者的任何员工。 Lenus Health 的员工应立即确保立即遵守删除请求。

如果控制者已公开个人数据并根据第 17 条第 1 款有义务删除个人数据，则控制者应在考虑可用技术和实施成本的情况下采取合理措施，包括技术措施，通知其他人处理数据主体已要求此类控制者删除这些个人数据的任何链接、复制或复制的个人数据的控制者，只要不需要处理。 Lenus Health 的员工将在个别情况下安排必要的措施。

e) 限制处理权

每个数据主体应有权获得欧洲立法者授予的权利，以从控制者处获得以下适用之一的处理限制：

个人数据的准确性受到数据主体的质疑，在一段时间内，控制者可以验证个人数据的准确性。
处理是非法的，数据主体反对删除个人数据，而是要求限制其使用。
控制者不再需要个人数据来进行处理，但数据主体需要它们来建立、行使或捍卫法律主张。
数据主体反对根据 GDPR 第 21 条第 1 款进行处理，等待核实控制者的合法理由是否高于数据主体的合法理由。
如果满足上述条件之一，并且数据主体希望请求限制对 Lenus Health 存储的个人数据的处理，他或她可以随时联系控制者的任何员工。 Lenus Health 的员工将安排处理的限制。

f) 数据可移植性的权利

每个数据主体都应有权获得欧洲立法者授予的以结构化、常用和机器可读格式提供给控制者的有关他或她的个人数据。他或她有权将这些数据传输给另一个控制者，而不会受到提供个人数据的控制者的阻碍，只要处理是基于第 6 条第 1 款 (a) 点的同意。 GDPR 或 GDPR 第 9(2) 条 (a) 点，或根据 GDPR 第 6(1) 条 (b) 点签订的合同，并且处理是通过自动化方式进行的，只要该处理对于执行为公共利益或行使授予控制者的官方权力而执行的任务不是必需的。

此外，在根据 GDPR 第 20 条第 1 款行使其数据可移植性的权利时，数据主体有权将个人数据从一个控制者直接传输到另一个控制者，在技术上可行且这样做不可行的情况下对他人的权利和自由产生不利影响。

为了主张数据可移植性的权利，数据主体可以随时联系 Lenus Health 的任何员工。

g) 反对权

每个数据主体都应有权根据欧洲立法者的特殊情况，随时反对处理与他或她有关的个人数据，这是基于 (e) 或 (f) 点) 的 GDPR 第 6(1) 条。这也适用于基于这些规定的分析。

如有异议，Lenus Health 将不再处理个人数据，除非我们能够证明有令人信服的合法理由进行处理，这些处理凌驾于数据主体的利益、权利和自由之上，或建立、行使或捍卫法律索赔。

如果 Lenus Health 出于直接营销目的处理个人数据，则数据主体有权随时反对处理与其相关的个人数据以进行此类营销。这适用于与此类直接营销相关的分析。如果数据主体反对 Lenus Health 出于直接营销目的进行处理，Lenus Health 将不再为这些目的处理个人数据。

此外，数据主体有权基于与其特定情况相关的理由，反对 Lenus Health 出于科学或历史研究目的或根据第 89 条的统计目的处理与其有关的个人数据(1) GDPR，除非出于公共利益的原因执行任务需要处理。

为了行使反对权，数据主体可以联系 Lenus Health 的任何员工。此外，尽管有 2002/58/EC 指令，在使用信息社会服务的情况下，数据主体可以自由使用他或她使用技术规范通过自动方式反对的权利。

h) 自动化的个人决策，包括分析

每个数据主体均应享有欧洲立法者授予的权利，不受仅基于自动处理（包括分析）的决定的约束，该决定对他或她产生法律效力，或类似地显着影响他或她，只要该决定(1) 不是数据主体与数据控制者之间签订或履行合同所必需的，或 (2) 未经控制者所遵守的欧盟或成员国法律授权，并且该法律也规定采取适当措施维护数据主体的权利和自由和合法利益，或者（3）不是基于数据主体的明确同意。

如果决定 (1) 是数据主体与数据控制者之间签订或履行合同所必需的，或 (2) 基于数据主体的明确同意，Lenus Health 应采取适当措施维护数据主体的权利、自由和合法利益，至少有权获得控制者的人为干预，表达自己的观点并对决定提出异议。

如果数据主体希望行使有关自动个人决策的权利，他或她可以随时联系 Lenus Health 的任何员工。

i) 撤回数据保护同意的权利

每个数据主体都应有权由欧洲立法者授予随时撤回其对处理其个人数据的同意。

如果数据主体希望行使撤回同意的权利，他或她可以随时联系 Lenus Health 的任何员工。

6. 处理的法律依据

艺术。 6（1）点亮。 GDPR 作为处理操作的法律依据，我们为特定处理目的获得同意。如果个人数据的处理对于履行数据主体作为一方的合同是必要的，例如，当处理操作对于供应商品或提供任何其他服务是必要的时，处理是根据第 6(1) 条点燃。 b GDPR。这同样适用于执行合同前措施所必需的此类处理操作，例如在查询我们的产品或服务的情况下。我们公司是否承担需要处理个人数据的法律义务，例如为了履行纳税义务，处理基于 Art. 6（1）点亮。 c GDPR。在极少数情况下，可能需要处理个人数据以保护数据主体或其他自然人的切身利益。例如，如果访客在我们公司受伤，并且必须将他的姓名、年龄、健康保险数据或其他重要信息传递给医生、医院或其他第三方，就会出现这种情况。然后处理将基于Art。 6（1）点亮。 d GDPR。最后，处理操作可以基于第 6(1) 条。 f GDPR。该法律依据用于处理不属于上述任何法律依据的操作，如果为了我们公司或第三方追求的合法利益的目的需要处理，除非此类利益被利益凌驾于利益之上或需要保护个人数据的数据主体的基本权利和自由。这种处理操作是特别允许的，因为它们已被欧洲立法者特别提及。他认为，如果数据主体是控制者的客户，则可以假定其具有合法利益（GDPR 第 47 句第 2 句）。

7. 控制者或第三方所追求的合法利益

个人数据的处理基于第 6(1) 条。 f GDPR 我们的合法利益是为了我们所有员工和股东的福祉而开展业务。

8. 个人资料的保存期限

用于确定个人数据存储期限的标准是各自的法定保留期限。在该期限届满后，只要不再需要履行合同或启动合同，相应的数据就会被例行删除。

9. 作为法定或合同要求提供个人数据；签订合同所需的要求；数据主体提供个人数据的义务；未能提供此类数据的可能后果

我们澄清，个人数据的提供部分是法律要求的（例如税收法规），也可能是合同规定的结果（例如合同伙伴的信息）。有时可能需要签订合同，要求数据主体向我们提供个人数据，这些数据随后必须由我们处理。例如，当我们公司与他或她签订合同时，数据主体有义务向我们提供个人数据。不提供个人资料会导致无法与资料当事人订立合约。在数据主体提供个人数据之前，数据主体必须联系任何员工。员工向数据主体明确提供个人数据是否是法律或合同要求或合同订立所必需的，是否有义务提供个人数据以及不提供个人数据的后果数据。

10. 自动化决策的存在

作为一家负责任的公司，我们不使用自动决策或分析。

本隐私政策由德国数据保护协会的隐私政策生成器生成，该生成器是与科隆 WILDE BEUGER SOLMECKE 的隐私律师合作开发的。