附件一

CPM HOLDINGS, INC. 摄影比赛隐私声明

1. 简介

本摄影比赛隐私声明(“注意”)描述了 CPM 控股公司 (“公司”,“我们“ 或者 ”我们”),隶属于 CPM 集团公司(“每千次展示费用 团体”,“我们“ 或者 ”我们”),采取保护我们为 CPM 摄影大赛而处理的有关我们员工的个人数据的措施(“摄影比赛”)。在您参与摄影大赛期间,无论是作为摄影师还是作为摄影大赛照片的主体,我们都会收集、存储、使用并以其他方式处理您的个人信息,用于下文所述的各种营销目的。公司致力于根据《欧盟通用数据保护条例》(“GDPR”)。 

本通知仅适用于所有摄影比赛个人数据,并不修改或取代 CPM 员工隐私通知。

本通知可能会不时修订。我们将在变更生效日期前的合理时间内通知您有关变更。

本通知中使用的大写术语在本通知第 9 节中定义。

2. 数据控制者和隐私官的身份

公司负责处理您的个人数据,并且是数据控制者。此外,公司还任命了一名隐私官,您可以通过以下联系方式联系该隐私官: 

姓名电话号码
肖恩·M·卡利森319-493-3906

3. 处理个人信息的目的和法律依据

本公司依靠 您的同意 处理您在摄影比赛期间提交的个人信息,用于以下目的:

4. 我们处理的个人信息的类别和来源

公司将出于这些目的处理以下类别的个人数据:

我们不会处理与摄影比赛有关的任何特殊类别的个人数据,例如与您的健康、性生活或性取向有关的个人数据。

我们处理的大部分个人信息都是直接从您处获取的。其他个人信息可能由: 您的经理、人力资源部、为您拍照的员工或其他人。

5.您的权利

GDPR 为您提供了与处理您的个人数据相关的某些权利,包括:

请注意,您的个人数据的处理不用于自动决策(包括分析)。  

另请注意,提供您的个人资料并非法定或合同义务,也不是与您签订协议的条件。但是,如果您希望参加摄影比赛,您需要向我们提供某些有限的信息。

如果您希望行使 GDPR 赋予的权利,请联系法律部门。

如果您对公司处理您的个人数据的方式不满意,并且我们无法为您的请求提供令人满意的解决方案,您也有权向主管数据保护监督机构提出投诉。

6. 数据共享和国际数据传输:集团内部和第三方

a) 国际数据传输

当我们将您的个人信息传输到位于欧洲经济区以外国家/地区的 CPM 集团公司时,如果欧盟委员会认为这些公司未对您的个人数据提供足够的保护,我们只会在有适当的保障措施保护您的个人数据的情况下传输您的个人数据。企业集团内的国际转移受欧盟委员会批准的控制方标准合同条款和(如适用)处理方标准合同条款的约束。

您可以向法律部门索取一份标准合同条款的副本。

b) 第三方供应商 

公司与外部第三方共享个人数据,其中包括我们聘请的代表我们并按照我们的指示执行服务或功能的外部营销和广告代理机构以及网络管理服务。如果这些第三方位于欧盟境内,他们对您的数据的处理将受到 GDPR 要求的约束。公司还将确保与这些第三方签订的合同确保他们仅根据我们的指示处理个人数据,以便提供约定的服务并保护委托给他们的个人数据的完整性和机密性,符合 GDPR 要求。

我们聘请的负责处理摄影比赛个人数据的第三方中,有些位于欧洲经济区之外。当我们将您的个人信息传输给位于欧洲经济区之外的国家/地区的第三方时,如果欧盟委员会认为这些国家/地区的第三方无法为您的个人数据提供足够的保护,我们将仅在执行了提供适当或合适保护措施的标准合同条款后才传输您的个人数据。

7. 个人信息的保留

公司将仅在与您受雇于公司相关的收集目的所需的时间内保留和处理您的个人数据,除非公司有法定权利或义务在更长时间内保留数据,或这些数据对于建立、行使或辩护合法索赔是必要的。 

8.联系信息

如果您对本通知有任何疑问,请联系法律部。

9. 定义

本通知中使用的下列术语定义如下:

CPM 控股公司” 是一家特拉华州公司。 

CPM 集团” 是由 CPM Holdings, Inc. 直接或间接持有和/或控制的公司集团,该公司的主要营业地点位于 9879 Naples St NE. Blaine, MN 55449 USA。

数据控制者”是指单独或与他人共同决定处理个人数据的目的和方法的自然人或法人、公共主管机关、机构或任何其他机构;如果处理的目的和方法由国家或欧盟法律或法规决定,则控制者或其提名的具体标准可以由国家或欧盟法律指定。

数据处理器”是指代表数据控制者处理个人数据的自然人或法人、公共主管机关、机构或任何其他机构。

雇员”是指临时、全职和兼职合同雇员、实习生、临时工、退休人员和前雇员。

CPM 摄影大赛“ 或者 ”摄影比赛”指公司市场营销部举办的摄影比赛,员工在比赛中提交自己或其他员工的照片,最佳照片将获得奖品,部分照片将用于市场营销目的。 

欧洲经济区“ 或者 ”欧洲经济区”指欧盟成员国加上挪威、冰岛和列支敦士登。  

GDPR”指欧盟《通用数据保护条例》2016/679,包括实施或补充 GDPR 的国家法律。

个人资料”是指与已识别或可识别的自然人(也称为“数据主体”)有关的任何信息;可识别的人是指可直接或间接识别的人,特别是通过参考标识符,例如姓名、身份证号、位置数据、在线标识符或特定于自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素来识别。

摄影比赛个人资料”指作为摄影比赛的一部分提交的与员工相关的任何个人数据。 

过程“ 或者 ”加工”指对个人数据或个人数据集执行的任何操作或操作集合,无论是否采用自动化手段,例如收集、记录、组织、构建、存储、调整或更改、检索、查阅、使用、通过传输、传播或以其他方式提供披露、调整或组合、限制、删除或销毁。  

隐私官”是指监督 GDPR 适用和遵守情况的人员。隐私官不是 GDPR 所定义的数据保护官。

特殊类别的个人资料”是指揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据,以及为识别个人而处理的基因数据、生物特征数据、有关健康的数据或有关自然人的性生活或性取向的数据。  

监管机构” 指成员国根据 GDPR 第 51 条设立的独立公共机构(在荷兰为“奥图里特 个人冲突”)。