通过本隐私政策,我们就与我们的活动与运营(包括我们在域名 visitgraubunden.com 下的网站)相关的个人数据处理提供信息。我们尤其说明:我们出于哪些目的、以何种方式以及在何处处理哪些个人数据。我们也会告知其数据被我们处理的个人其享有的权利。
针对个别或附加的活动与运营,我们可能会发布进一步的隐私政策或其他与数据保护相关的信息。
我们受瑞士法律约束,并在适用情况下受外国法律约束,尤其是欧盟 (EU) 的法律,包括《欧盟通用数据保护条例》 (GDPR)。
根据欧盟委员会于 2000 年 7 月 26 日的决定,欧盟委员会认可瑞士数据保护法能够确保充分的数据保护水平。欧盟委员会在其 2024 年 1 月 15 日的报告中确认了该充分性决定。
数据保护法意义上的控制者为:
Graubünden Ferien
Alexanderstrasse 24
7001 Chur
Switzerland
在个别情况下,第三方可能对个人数据处理承担责任,或可能与第三方共同作为控制者。应要求,我们将很乐意向数据主体提供关于相应责任归属的信息。
我们指定以下数据保护官或数据保护顾问,作为数据主体及主管机关就数据保护相关询问的联络窗口:
Manuela Ruinatscha
Graubünden Ferien
Alexanderstrasse 24
7001 Chur
Switzerland
我们依据 GDPR 第 27 条指定以下数据保护代表:
VGS Datenschutzpartner GmbH
Am Kaiserkai 69
20457 Hamburg
Germany
该数据保护代表作为额外联络窗口,面向欧盟 (EU) 及欧洲经济区 (EEA) 其他地区的数据主体与主管机关处理与 GDPR 相关的询问。
数据主体:我们处理其个人数据的自然人。
个人数据:与已识别或可识别的自然人相关的任何信息。
特别敏感的个人数据:与工会、政治、宗教或哲学观点及活动相关的数据;与健康、亲密生活或族裔或种族成员身份相关的数据;遗传数据;可唯一识别自然人的生物识别数据;与刑事及行政制裁或追诉相关的数据;以及与社会救助措施相关的数据。
处理:对个人数据的任何处理行为,不论所采用的手段与程序,例如:查询、比对、调整、归档、保留、读取、披露、获取、记录、收集、删除、揭示、排序、组织、存储、更改、传播、关联、销毁以及使用个人数据。
欧洲经济区 (EEA):欧盟成员国 (EU) 以及列支敦士登公国、冰岛和挪威。
我们依据瑞士法律处理个人数据,特别是《联邦数据保护法》(Data Protection Act, DPA)以及《数据保护条例》(Data Protection Ordinance, DPO)。
我们在 GDPR 适用的情形及范围内处理个人数据 – 至少基于以下法律依据之一:
《欧盟通用数据保护条例》 (GDPR) 将个人数据的处理称为个人数据处理,并将特别敏感个人数据的处理称为特殊类别个人数据的处理 (GDPR 第 9 条)。
我们处理为以长期、用户友好、安全且可靠的方式开展我们的活动与运营所必需的个人数据。所处理的个人数据尤其可能属于以下类别:浏览器与设备数据、内容数据、通信数据、元数据、使用数据、主数据(包括存货与联系人数据)、位置数据、交易数据、合同数据以及支付数据。个人数据也可能包括特别敏感的个人数据。
我们也会处理从第三方接收的个人数据、从公开可获取来源取得的个人数据,或在开展我们的活动与运营过程中收集的个人数据,只要该等处理是允许的。
如有必要,我们将在获得数据主体同意的情况下处理个人数据。在许多情况下,我们也可能在无需同意的情况下处理个人数据,例如为履行法律义务或维护优先利益。即使不需要同意,我们也可能向数据主体征求同意。
我们在实现相应目的所需的期限内处理个人数据。尤其是,我们会根据法定保留期限与时效期限,对个人数据进行匿名化和/或删除。
我们可能会向第三方披露个人数据、委托第三方处理个人数据,或与第三方共同处理个人数据。此类第三方例如可能包括我们使用其服务的专业服务提供商。
在开展我们的活动与运营过程中,我们尤其可能向以下主体披露个人数据:银行及其他金融服务提供商、主管机关、教育与研究机构、顾问与律师、利益团体、IT 服务提供商、合作伙伴、信用与商业信息机构、物流与运输公司、市场营销与广告机构、媒体、母公司、姊妹公司与子公司、组织与协会、社会机构、电信公司、保险公司以及支付服务提供商。
我们处理个人数据,以便能够与个人以及主管机关、组织与公司进行沟通。在此过程中,我们尤其处理数据主体在联系时向我们提供的数据,例如通过邮寄或电子邮件联系。我们可能会将此类数据存储在通讯录中或使用类似工具进行存储。
向我们提供关于其他个人数据的第三方,有义务自行确保相关数据主体的数据保护。尤其是,他们必须确保该等数据准确且可被传输。
我们使用由适当提供商提供的精选服务,以实现并改进与个人及其他沟通对象的沟通。通过此类服务,我们也可能在直接沟通之外管理数据主体的数据,并将其用于其他目的进行处理。
尤其是,我们使用:
我们处理与申请人相关的个人数据,只要为评估其是否适合建立雇佣关系或为后续履行雇佣合同所必需。所需的个人数据尤其来自被要求提供的信息,例如作为招聘广告的一部分。我们可能在适当第三方的帮助下发布招聘广告,例如在电子与纸质媒体或在招聘门户网站与招聘平台上。
我们也会处理申请人自愿提供或发布的个人数据,尤其包括求职信、简历及其他申请文件以及在线资料中的信息。
我们在 GDPR 适用的情形及范围内,尤其依据 GDPR 第 9 条第 2 款 (b) 处理与申请人相关的个人数据。
我们采取适当的技术与组织措施,以确保与相应风险相匹配的数据安全。通过这些措施,我们尤其确保所处理个人数据的保密性、可用性、可追溯性与完整性,但我们无法保证绝对的数据安全。
访问我们的网站以及我们其他数字化展示,均通过传输加密进行保护(SSL / TLS,尤其使用 超文本传输安全协议(HTTPS))。大多数浏览器会对访问未进行传输加密的网站发出警告。
我们的数字化通信 – 就像基本上任何数字化通信一样 – 可能会被瑞士、欧洲其他地区、美利坚合众国 (USA) 以及其他国家的安全机关在无理由或无具体怀疑的情况下进行大规模监控。我们无法直接影响情报机构、警察机关及其他安全机关对个人数据的相应处理。我们也无法排除数据主体被针对性监控的可能。
我们主要在瑞士及欧洲经济区 (EEA) 内处理个人数据。然而,我们也可能将个人数据出口或传输至其他国家,尤其为在当地处理或委托在当地处理之目的。
在当地法律依据瑞士联邦委员会的决定确保充分数据保护的情况下,我们可以将个人数据出口至地球上的所有国家以及宇宙中的其他地方;并且 – 在 GDPR 适用的情形及范围内 – 也应符合欧盟委员会的决定。
我们可以将个人数据传输至法律不确保充分数据保护的国家,但前提是可基于其他原因确保数据保护,尤其是基于标准数据保护条款或其他适当保障措施。作为例外,如满足具体的数据保护要求(例如数据主体的明确同意,或与合同的订立或履行存在直接关联),我们也可将个人数据出口至不具备充分或适当数据保护的国家。应要求,我们将很乐意向数据主体提供关于任何保障措施的信息或提供任何保障措施的副本。
我们向数据主体授予适用法律下的全部权利。尤其是,数据主体享有以下权利:
在法律允许的范围内,我们可能会推迟、限制或拒绝数据主体权利的行使。我们可能会告知数据主体行使其数据保护权利必须满足的任何要求。例如,我们可能基于保密义务、优先利益或对其他人的保护,而全部或部分拒绝提供访问。又如,我们也可能基于法定保留义务而全部或部分拒绝删除个人数据。
在例外情况下,我们可能会就权利的行使收取费用。我们将提前告知数据主体任何费用。
我们有义务通过采取适当措施识别请求访问或主张其他权利的数据主体。数据主体有义务予以配合。
数据主体有权通过法院强制执行其数据保护权利,或向数据保护监管机关提交报告和/或投诉。
瑞士境内针对私营控制者及联邦机构的数据保护监管机关为 联邦数据保护与信息专员 (FDPIC / EDÖB)。
欧洲数据保护监管机关以欧洲数据保护委员会 (EDPB) 成员形式组织。在欧洲经济区 (EEA) 的一些成员国,数据保护监管机关以联邦制方式设置,尤其是在德国。
我们可能会使用 cookies。Cookies – 包括我们自己的 cookies(第一方 cookies)以及来自我们所使用服务的第三方 cookies(第三方 cookies) – 是存储在浏览器中的数据。该等存储数据不一定仅限于传统的基于文本的 cookies。
Cookies 可在浏览器中临时存储为“会话 cookies”,或在一定期限内存储为所谓“持久 cookies”。“会话 cookies”会在浏览器关闭时自动删除。持久 cookies 具有特定的存储期限。Cookies 尤其使得我们能够在下次访问网站时识别浏览器,并从而(例如)衡量我们网站的覆盖范围。持久 cookies 也可用于(例如)在线营销。
可随时在浏览器设置中全部或部分禁用、限制或删除 cookies。浏览器设置通常也允许自动删除及对 cookies 的其他管理。若无 cookies,我们的网站可能无法再完全可用。我们会主动请求 – 至少在适用法律要求的情形及范围内 – 对使用 cookies 的明确同意。
对于用于性能与覆盖衡量或用于广告的 cookies,可通过以下途径对众多服务进行一般性反对(“选择退出”):AdChoices(加拿大数字广告联盟),Network Advertising Initiative (NAI),YourAdChoices(数字广告联盟),或 Your Online Choices(欧洲互动数字广告联盟,EDAA)。
每次访问我们的网站及其他数字化展示时,我们可能会记录至少以下信息,前提是该等信息在此类访问期间按标准由我们的数字基础设施确定或传输:日期与时间(含时区)、IP 地址、访问状态(HTTP 状态码)、操作系统(含用户界面与版本)、浏览器(含语言与版本)、访问的我们网站的具体子页面(含传输的数据量)、同一浏览器窗口中此前访问的最后一个网站(referer/referrer)。
我们将此类信息(其亦可能构成个人数据)记录在日志文件中。该等信息为以长期、用户友好且可靠的方式提供我们的数字化展示所必需。该等信息也为确保数据安全所必需 – 包括通过第三方或在第三方协助下。
我们可能会在我们的数字化展示中集成跟踪像素。跟踪像素也称为网络信标(web beacons)。跟踪像素 – 包括来自我们所使用服务的第三方的跟踪像素 – 通常是小型、不可见的图像或以 JavaScript 编写的脚本,在访问我们的数字化展示时会被自动调用。跟踪像素至少可以收集与在日志文件中记录的日志信息相同的信息。
通知与沟通可能包含网络链接或跟踪像素,用以记录某条沟通是否被打开以及哪些网络链接被点击。该等网络链接与跟踪像素也可能以个人为基础记录通知与沟通的使用情况。我们需要对使用情况进行上述统计记录,以开展性能与覆盖衡量,从而能够根据收件人的需求与阅读习惯,以有效、用户友好且长期、安全、可靠的方式发送通知与沟通。
您通常必须同意我们使用您的电子邮箱地址及其他联系地址,除非基于其他法律原因该等使用是允许的。为获取任何经双重确认的同意,我们可能采用“双重确认(double opt-in)”程序。在此情况下,您将收到一则通知,其中包含双重确认的说明。出于举证与安全原因,我们可能记录已获得的同意,包括 IP 地址与时间戳。
您可以在任何时候一般反对接收通知与沟通(例如新闻通讯)。通过这样做,您也可以反对为绩效与覆盖范围衡量而进行的使用情况统计记录。这不影响与我们的活动与运营相关的任何必要通知与沟通。
我们在专业服务提供商的帮助下发送通知与沟通。
尤其是,我们使用:
我们在社交媒体平台及其他在线平台上维持存在,以便与感兴趣的人士沟通并提供关于我们活动与运营的信息。与此类平台相关,个人数据也可能在瑞士及欧洲经济区 (EEA) 之外被处理。
相应平台运营方的一般条款与条件 (GTC) 及使用条款,以及隐私政策和其他规定,也分别适用。这些规定尤其提供关于数据主体相对于相应平台所享有权利的信息,例如访问权。
就我们的Facebook 社交媒体存在(包括所谓 Page Insights)而言,我们 – 在 GDPR 适用的情形及范围内 – 与 Meta Platforms Ireland Limited (Ireland) 共同负责。Meta Platforms Ireland Limited 属于 Meta companies 的一部分(包括位于 USA 的实体)。Page Insights 提供关于访问者如何与我们的 Facebook 存在互动的信息。我们使用 Page Insights,以便能够以有效且用户友好的方式提供我们在 Facebook 上的社交媒体存在。
关于数据处理的性质、范围与目的的进一步信息、关于数据主体权利的信息,以及 Facebook 的联系信息和 Facebook 数据保护官的联系信息,可在 Facebook Privacy Policy 中查阅。我们与 Facebook 签订了所谓 “Controller Addendum”,从而特别约定由 Facebook 负责确保数据主体的权利。关于所谓 Page Insights 的相关信息可在 “Information About Page Insights” 页面中找到,包括 “Information About Page Insights Data”。
我们使用专业第三方的服务,以便以长期、用户友好、安全且可靠的方式开展我们的活动与运营。借助此类服务,我们可以(除其他外)在我们的网站中嵌入功能与内容。在此类嵌入的背景下,所使用的服务出于技术上必要的原因,至少会临时收集用户的 IP 地址。
出于必要的安全相关、统计及技术目的,我们所使用服务的第三方可能会以汇总、匿名化或假名化的形式处理与我们的活动与运营相关的数据。例如,这可能包括性能或使用数据,以便能够提供相应服务。
尤其是,我们使用:
我们使用专业第三方的服务,以使用与我们的活动与运营相关所需的数字基础设施。这例如包括由选定提供商提供的托管与存储服务。
尤其是,我们使用:
我们使用专业平台来集成并连接现有的第三方应用与服务。通过此类“no-code”平台,我们也可能借助第三方应用与服务实现工作流程与运营的自动化。
我们使用专业的音频与视频会议服务以进行在线沟通。例如,我们可能召开虚拟会议或进行在线培训与网络研讨会。参与音频与视频会议时,除本隐私政策外,相应服务的法律文本(例如隐私政策与使用条款)亦适用。
根据您的具体情况,我们建议在参加音频或视频会议时默认将麦克风静音,并对背景进行模糊处理或使用虚拟背景。
尤其是,我们使用:
我们使用第三方服务以实现在线协作。除本隐私政策外,所使用服务直接展示的任何条款(例如使用条款或隐私政策)也可能适用。
尤其是,我们使用:
我们使用第三方服务以在我们的网站中嵌入地图。
我们使用与社交媒体平台与搜索引擎等第三方投放定向广告的选项,以支持我们的活动与运营。
通过此类广告,我们尤其旨在触达已对我们的活动与运营感兴趣或可能对其感兴趣的人群(再营销(remarketing)与定向(targeting))。为此,我们可能向使该等广告成为可能的第三方传输相关信息 – 其中可能包括个人数据 –。我们也可能确定我们的广告是否成功,尤其是其是否带来对我们网站的访问(转化跟踪(conversion tracking))。
与我们投放广告的第三方,以及您在其处注册为用户的第三方,可能会将您对我们网站的使用与您在其处的个人资料关联起来。
尤其是,我们使用:
我们使用网站扩展,以便能够使用附加功能。我们可能使用由合适提供商提供的选定服务,或在我们自己的数字基础设施上运营此类扩展。
尤其是,我们使用:
我们致力于衡量我们的活动与运营的成功与覆盖范围。在此背景下,我们也可能衡量第三方引用的影响,或检查我们数字化展示的不同部分或版本如何被使用(“A/B 测试”方法)。基于绩效与覆盖范围衡量的结果,我们尤其可能修复错误、强化受欢迎的内容或作出改进。
为进行绩效与覆盖范围衡量,在大多数情况下会记录单个用户的 IP 地址。在此情况下,IP 地址通常会被缩短(“IP 掩码处理(IP masking)”),以通过相应的假名化遵循数据最小化原则。
为进行绩效与覆盖范围衡量,可能会使用 cookies 并创建用户档案。任何创建的用户档案例如可能包含:访问过的单个页面或在我们的数字化展示中浏览过的内容、屏幕或浏览器窗口的大小信息,以及 – 至少大致 – 的位置。原则上,任何用户档案仅以假名化形式创建,并不用于识别单个用户。用户已在其处注册的个别第三方服务,可能会将其对我们在线服务的使用与该服务的用户账户或用户档案关联起来。
尤其是,我们使用:
我们使用 data protection generator(由 Datenschutzpartner 提供)编制了本隐私政策 。本隐私政策为对原始德文版本的非官方翻译。
我们可随时更新本隐私政策。我们将以适当方式告知您更新内容,尤其会在我们的网站上发布隐私政策的当前版本。