隐私政策

NAF NEUNKIRCHENER ACHSENFABRIK AG
Weyhausenstraße 2
91077 Neunkirchen am Brand
电子邮件： info@nafaxles.com
电话：+49 (0)9134 702 0
授权代表： Norbert Knorren 博士、Bernhard Schnabel、Erwin Urban
版本说明

数据保护方联系方式

邮寄
NAF NEUNKIRCHENER ACHSENFABRIK AG
– 数据保护–
Weyhausenstraße 2
91077 Neunkirchen am Brand

通过电子邮件：datenschutz@nafaxles.com

我们在考虑到技术水平、实施成本、处理的性质、范围、情况和目的，以及发生的不同概率和对人权利和自由的威胁程度的前提下，根据法律要求采取适当的技术和组织措施，以确保与风险相适应的保护水平。

这些措施尤其包括通过控制对数据的物理和电子访问，以及数据的访问、输入、披露、可用性保障及其分离，来保障数据的保密性、完整性和可用性。此外，我们还制定了确保行使数据主体权利、删除数据和应对数据威胁的程序。此外，在开发或选择硬件、软件和程序时，我们已根据数据保护原则，通过技术设计和数据保护友好的默认设置，将个人数据保护考虑在内。

缩短 IP 地址： 如果我们或所使用的服务提供商和技术需要处理 IP 地址时，不需要处理完整的 IP 地址，则会截短 IP 地址（也称为 “IP 屏蔽”）。在此过程中，IP 地址的最后两位数字或点后的最后部分会被删除或用占位符代替。缩短 IP 地址的目的是防止或大大提高根据 IP 地址识别个人身份的难度。

TLS 加密 (https)： 我们使用 TLS 加密技术，保护您在我们的在线服务传输的数据。您可以通过浏览器地址栏中的前缀 https:// 识别此类加密连接。

作为我们处理个人数据的一部分，数据可能会被传输或披露给其他机构、公司、法律上独立的组织单位或个人。例如，这些数据的接收方可能包括受托执行 IT 任务的服务提供商或集成到网站中的服务和内容的提供商。在这种情况下，我们会遵守法律规定，特别是与您的数据接收方签订相应的合同或协议，以保护您的数据。

组织内部的数据传输：我们可能会将个人数据传输给组织内部的其他机构，或允许他们访问这些数据。如果这种转移是出于管理目的，数据转移则是基于我们合法的业务和商业利益，或者是为了履行我们的合同义务，或者已经获得了数据主体的同意或法律许可。

在第三国处理数据：如果我们在第三国（即欧盟（EU）和欧洲经济区（EEA）之外）处理数据，或在使用第三方服务或向其他个人、机构或公司披露或转移数据的情况下处理数据，则仅在符合法律要求的情况下进行。如果第三国的数据保护水平通过适当性决定（《欧盟数据保护条例》第 45 条）得到认可，则数据传输以此为基础。否则，只有在数据保护水平得到保证的情况下，特别是通过标准合同条款（《欧盟数据保护条例》第 46 条第 2 款 c 项）、明示同意或在合同或法律要求的情况下（《欧盟数据保护条例》第 49 条第 1 款），才能进行数据传输。

此外，我们还将告知您与来自第三国的个人提供商进行第三国传输的依据，其中充分性决定优先。有关第三国传输和现有适当性决定的信息，请参见欧盟委员会提供的信息：https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de

欧盟-美国跨大西洋数据隐私框架： 作为“数据隐私框架”（DPF）的一部分，欧盟委员会在 2023 年 7 月 10 日的充分性决定中也承认一些美国公司的数据保护水平是安全的。有关 DPF 的认证公司名单和更多信息，请访问美国商务部网站 https://www.dataprivacyframework.gov/。作为数据保护信息的一部分，我们将告知您我们使用的哪些服务提供商已获得数据隐私框架认证。

您可以使用我们的职业门户网站申请职位空缺，也可以主动向我们发送申请。我们处理您通过求职门户网站提交的个人数据是为了执行申请流程和与您联系（例如安排预约、咨询）。数据处理的目的是为了建立雇佣关系（《德国人权法案》（GDPR）第 6 条第 1 款 b 项 “合同启动”）。如果您向我们提供的数据不是强制性的，我们将根据我们使用所提供信息的合法权益进行处理（GDPR 第 6 条第 1 款 f 项）。我们将删除明显无关的数据。对于在申请过程中自愿提供的特殊类别个人数据（GDPR 第 9 条第 1 款），我们也将根据 GDPR 第 9 条第 2 款 b 项进行处理（例如，健康数据、严重残疾状况或民族血统）。此外，我们在合法权益范围内处理您的个人数据（名、姓、出生日期（如适用）），以进行制裁名单检查（欧盟反恐条例、联邦经济和出口管制局要求）。

如果签订了雇佣关系合同，我们将继续处理我们已经从您那里收到的个人数据，只要这是履行雇佣关系所必需的。我们将删除非此目的所需的申请数据。

基于我们根据《平等待遇法》（AGG）的自证义务，如果您的申请没有成功，您的数据将在申请程序结束后六个月内被删除。此外，如果在申请过程中有必要对我们提出的法律索赔进行辩护，我们可能会处理您的个人数据（《欧盟信息权法案》第 6 条第 1 款 f 项）。

任何差旅及报销费用的数据和发票将根据税法规定存档（GDPR 第 6 条第 1 款 c 项；一般为 10 年）。如果您有兴趣在未来和我们合作，并且您已经同意（GDPR 第 6 条第 1 款 a 项），我们会将您的申请文件在我们的申请人库中保存一年，以便在出现相应职位空缺时与您联系。您在未来可以随时撤销您的同意。

我们在合同和类似法律关系与相关措施，以及在与合同伙伴（或合同前）沟通的背景下，处理我们的合同伙伴和业务伙伴（如客户和相关方，统称为 “合同伙伴”）的数据，如回答询问。

我们处理这些数据是为了履行合同义务。其中尤其包括提供约定服务的义务、任何更新义务以及在保修和其他服务中断情况下的补救措施。除此之外，我们处理这些数据是为了保障我们的权利，以及处理公司组织相关的行政任务。出于适当、高效的业务管理需求，我们将基于我们的合法权益处理数据，并采取安全措施保护我们的合同合作伙伴和我们的业务运营，同时防止滥用、危害他们的数据、机密、信息和权利（例如，电信、运输和其他辅助服务以及分包商、银行、税务和法律顾问、支付服务提供商或税务机关的参与）。

在适用法律框架内，我们仅在上述目的或履行法律义务所必需的范围内将合同合作伙伴的数据提供给第三方。关于其他形式的处理，例如出于营销目的，我们将在本数据保护通知中告知合同合作伙伴。

在数据收集之前或收集过程中，我们会告知合同合作伙伴出于上述目的需要哪些数据，例如通过在线表格、特殊标签（如颜色）或符号（如星号或类似符号）或当面告知。

除非出于法律存档原因，必须保留客户账户的数据储存，我们将在法定保修期和类似义务到期，即一般在三（3）年后删除数据。

理解税法规定的相关文件以及交易账簿、存货、期初资产负债表、年度财务报表等文件所需的工作说明以及其他组织文件和会计记录的法定保存期为十（10）年，收到的商业信函和发出的商业信函复制品的法定保存期为六年。相关期限将从账簿、存货、期初资产负债表、年度财务报表或管理报告的最后一次记账、商业信函或业务信函的收发或会计文件的制作、记录的制作或其他文件对应的日历年年底开始。

通过以下数据保护信息，我们希望告知您我们处理您的个人数据（以下简称 “数据”）的目的和程度。

个人数据的处理
作为工作健康和安全的一部分，需要向访客和来宾介绍工作安全、事故预防和紧急情况。您已经看过我们的访客视频中观看了该部分内容。
为了得到相关确认，我们会收集您的名字、姓氏、电子邮件地址以及您的签名和公司名称，以便证明。这些数据仅用于证明您已通过我们的措施观看过安全视频。我们收集电子邮件地址是为了随后向您发送访客影片观看确认函和观看有效性确认函。这些数据仅用于记录目的，并仅为此目的保存一年。如果您在验证和保存期限到期后访问我们的网站，则需要重新进行说明和确认。

删除您的个人数据
您再注册时提供的个人数据，将会在被我们保存一年后删除。
出于商户招待需要，您的姓名和贵公司将在招待凭证上注明。该做法的法律依据是 EStG 第 4 条第 5 款第 2 项。出于商业和税法原因，我们必须保留这些信息（保存期一般为 10 年）。

数据当事人的权利
对于与您有关的个人数据，您享有以下权利，您可以向我们主张这些权利：
– 访问权（GDPR 第 15 条）、
– 更正权（《个人数据保护法》第 16 条）或删除权（《个人数据保护法》第 17 条）
– 限制处理的权利（《个人信息保护法》第 18 条）
– 反对处理的权利（GDPR 第 21 条）
– 撤销同意的权利（《个人信息保护条例》第 7 条第 3 款）
– 以结构化、通用和机器可读的格式接收数据的权利（“数据可移植性”），以及在符合《个人数据保护条例》第 20 条第 1 款 a、b 项要求的情况下将数据传输给另一控制者的权利（《个人数据保护条例》第 20 条）。
您可以通过在 “负责人 ”段落提供的联系方式通知我们，或我们指定的数据保护方，以维护您的权利。您还有权就我们对您个人数据的处理向数据保护监督机构投诉（GDPR 第 77 条）。

修改与更新数据保护信息
我们将不时调整和改进本信息和数据保护声明，特别是在适用法律或我们的内部流程发生变化时。

我们在社交网络中保持在线存在，并在此背景下处理用户数据，以便与活跃在社交网络中的用户进行交流或提供有关我们的信息。

我们希望指出，用户数据可能会在欧盟以外的地区进行处理。这可能会给用户带来风险，因为这可能会增加用户维权的难度。

此外，社交网络中的用户数据通常会以市场调研和广告目的被使用。例如，可以根据用户行为和用户兴趣创建用户档案。用户档案反过来又可用于在网络内外投放与用户兴趣相符的广告。

为此，通常会在用户电脑上存储 Cookie，其中存储了用户的使用行为和兴趣。此外，数据也可独立于与用户使用的设备，单独存储在用户配置文件中（特别是如果用户是相关平台的会员并已登录）。

有关各处理形式和退出选项的详细说明，请参阅各网络运营商提供的数据保护声明和信息。

我们还想指出，在面对提供商时，可最有效提出对于提供信息的诉求和主张数据主体权利。只有提供商才能访问用户的数据，并采取适当措施和直接提供信息。

•  处理的数据类型：联系数据（如电子邮件、电话号码）；内容数据（如在线表格中的条目）；使用数据（如访问过的网站、对内容的兴趣、访问时间）；元数据、通信和处理数据（如 IP 地址、时间数据、身份证号码、同意状态）。
  数据主体： 用户（如网站访问者、在线服务用户）。
  处理目的：联系请求和交流；反馈（如通过在线表格收集反馈）；营销。
  法律依据： 合法利益（《欧盟数据保护法》第 6 条第 1 款 f 项）。

有关处理操作、程序和服务的更多信息：

• Facebook 页面： Facebook 社交网络中的个人资料 – 我们与 Meta Platforms Ireland Ltd. 共同负责收集（但非进一步处理）我们 采集Facebook 页面（称为 “粉丝页面”）访问者的数据。这些数据包括用户浏览或互动的内容类型，或他们采取的行动（参见 Facebook 数据政策中 “您和他人所做和提供的内容 ”部分：https://www.facebook.com/policy），以及用户使用的设备信息（例如 IP 地址、操作系统、浏览器类型、语言设置、cookie 数据；参见 Facebook 数据政策中 “设备信息 ”部分：https://www.facebook.com/policy）。如 Facebook 数据政策中 “我们如何使用这些信息？”一节所述，Facebook 还收集和使用信息，用于页面运营者提供分析服务，即所谓的 “页面洞察”，以便他们能够深入了解用户如何与其页面及相关内容互动。我们与 Facebook 签订了一份特别协议（“关于页面洞察的信息”，https://www.facebook.com/legal/terms/page_controller_addendum），其中特别规定了 Facebook 必须遵守的安全措施，以及 Facebook 同意履行数据主体的权利（例如，用户可以直接向 Facebook 发送信息或删除请求）。用户的权利（尤其是知情权、删除权、反对权以及向主管监督机构投诉的权利）不受与 Facebook 签订的协议的限制。更多信息请参见 “页面洞察信息” (https://www.facebook.com/legal/terms/information_about_page_insights_data)；
  服务提供商： Meta Platforms Ireland Ltd, Merrion Road, Dublin 4, D04 X2K5, Ireland；
  法律依据：合法权益（《欧洲个人信息权公约》第 6 条第 1 款第 1 句 f 项）；
  网站：https://www.facebook.com；
  隐私政策：https://www.facebook.com/about/privacy；
  第三国传输依据：欧盟-美国数据隐私框架 (DPF)、标准合同条款 (https://www.facebook.com/legal/EU_data_transfer_addendum)；
  更多信息： 联合控制权协议：https://www.facebook.com/legal/terms/information_about_page_insights_data。联合控制权仅限于由 Meta Platforms Ireland Ltd. 一家位于欧盟的公司收集数据并将数据传输给该公司。数据的进一步处理由 Meta Platforms Ireland 有限公司全权负责，尤其是将数据传输至位于美国的母公司 Meta Platforms, Inc. 根据 Meta Platforms Ireland 有限公司与 Meta Platforms, Inc.）
• 领英：社交网络；
  服务提供商： LinkedIn Ireland Unlimited Company, Wilton Plaza Wilton Place, Dublin 2, Ireland；
  法律依据：正当利益（《欧洲个人信息权公约》第 6 条第 1 款 f 项）
  网站：https://www.linkedin.com；
  隐私政策：https://www.linkedin.com/legal/privacy-policy；
  订单处理协议：https://legal.linkedin.com/dpa；
  第三国转让依据：标准合同条款 (https://legal.linkedin.com/dpa)；
  反对选择（退出）：https://www.linkedin.com/psettings/guest-controls/retargeting-opt-out。
• X：社交网络；
  服务提供商 Twitter International Company, One Cumberland Place, Fenian Street, Dublin 2 D02 AX07, Ireland；
  法律依据：正当利益（《欧洲个人信息权公约》第 6 条第 1 款 f 项）
  隐私政策：https://twitter.com/privacy，（设置：https://twitter.com/personalization）。
• YouTube： 社交网络和视频平台；
  服务提供商： Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland；
  法律依据：合法权益（《欧盟信息权法案》第 6 条第 1 款 f 项）；
  隐私政策：https://policies.google.com/privacy；
  第三国转让依据：欧盟-美国数据隐私框架 (DPF)；
  反对选择（退出）：https://adssettings.google.com/authenticated

Cookies 是一种小型文本文件或其他存储符，用于在终端设备上存储信息，并从终端设备上读取信息。例如，存储客户账户的登录状态、电子商店购物篮的内容、访问的内容或使用的在线优惠功能。Cookie 还可用于多种目的，例如确保在线服务的功能性、安全性和便利性，以及对访客流量进行分析。

关于同意的声明： 我们根据法律规定使用 cookies。因此，除非法律另有规定，我们会事先征得用户的同意。如果在特殊情况下，为了向用户提供其明确要求的远程媒体服务时（即我们的在线服务），存储和读取信息（包括 cookie）是绝对必要的，则该情况下无需征得同意。绝对必要的 Cookie 通常包括具有以下功能的 Cookie：在线服务的显示和可操作性、负载平衡、安全性、用户偏好和选择选项的存储，或与提供用户所要求的在线服务的主要和次要功能有关的类似用途。可撤销的同意将明确告知用户，并包含有关使用 cookies 的信息。

有关数据保护法规定的法律依据的信息：根据数据保护法的规定，我们利用 cookies 处理用户个人数据的法律依据取决于我们是否征求用户的同意。如果用户同意，处理其数据的法律依据就是他们所给予的许可。否则，使用 Cookie 处理的数据将以我们的合法利益为基础进行处理（例如，在我们的在线产品的商业运作和提高其可用性方面），如果是在履行我们的合同义务的情况下进行处理，则使用 Cookie 是履行我们的合同义务所必需的。我们会在本隐私政策或我们的同意和处理程序中解释我们处理 cookies 的目的。

存储期：关于存储期，我们对以下几种 cookie 进行了区分：

•  临时 cookie（也称会话 cookie）： 临时 cookie 最迟在用户离开在线服务并关闭终端设备（如浏览器或移动应用程序）后删除。
• 永久 cookie：永久 cookie 即使在终端设备关闭后仍会保存。例如，当用户再次访问网站时，可以保存登录状态或直接显示最喜欢的内容。借助 Cookie 收集的用户数据还可用于衡量覆盖率。如果我们没有向用户提供关于 Cookie 类型和存储期限的明确信息（例如在获得同意时），用户应假定 Cookie 是永久性的，可存储长达两年。

关于撤销和反对（所谓 “退出”）的一般信息： 用户可随时撤销，并根据法律规定反对处理。除其他外，用户还可以在浏览器设置中限制 cookie 的使用（但这也可能限制我们在线服务的功能）。也可以通过网站 https://optout.aboutads.info 和 https://www.youronlinechoices.com/ 声明反对出于在线营销目的使用 cookies。

Cookie 设置/反对选项：
许可管理器说明

• 法律依据：合法权益（《信息权法案》第 6 条第 1 款第 1 句第 f 项）；同意（《信息权法案》第 6 条第 1 款第 1 句第 a 项）。

有关处理操作、程序和服务的更多信息：

• 在用户同意的基础上处理 cookie 数据： 我们使用 cookie 许可管理程序，用户可通过该程序获得、管理和撤销对使用 cookie 或 cookie 许可管理程序中提及的处理和提供商的许可。同意声明将被保存，以便无需再次请求，并可根据法律义务证明同意。同意书可以存储在服务器和/或 Cookie 中（所谓的选择性 Cookie 或借助类似技术），以便将同意书分配给用户或其设备。以下信息适用于 Cookie 管理服务提供商的个别信息： 同意书最多可保存两年。创建一个假名用户标识符，并将其与同意时间、同意范围信息（例如哪些类别的 cookie 和/或服务提供商）以及所使用的浏览器、系统和终端设备一起保存；法律依据：同意（《欧洲个人信息权公约》第 6 条第 1 款 a 项）

本网站使用网络分析服务 Plausible Analytics 进行访客统计。

• 提供者： OÜ Plausible Insights, Västriku tn 2, Tartu 50403, Estonia; (EU) (https://plausible.io/imprint)
• 隐私政策：见plausible.io/privacy 和 plausible.io/data-policy。
• 处理目的：网络分析。该分析基于匿名数据，不使用cookies。无法识别您的个人身份。
• 处理数据:
  当您访问网站时，Plausible Analytics将存储以下数据：
  -访问页面或文件的URL、
  -您访问我们网站的页面URL（推荐人）
  -您在我们网站上点击的外链的URL（外链）、
  -浏览器类型和版本、设备操作系统和设备类型、
  -根据您的 IP 地址大致确定您的位置信息（国家、地区和城市），但不会存储 IP 地址本身。

法律依据：对网站使用情况进行统计分析的合法权益（《欧洲个人信息权公约》第 6 条第 1 款 f 项）。

我们在在线产品中加入了从各自供应商（以下简称 “第三方供应商”）服务器获取的功能和内容元素。例如，这些元素可能是图形、视频或城市地图（以下统称为 “内容”）。
整合的前提是这些内容的第三方提供商处理用户的 IP 地址，因为如果没有 IP 地址，他们就无法将内容发送到用户的浏览器。因此，显示这些内容或功能需要 IP 地址。我们尽量只使用其提供商仅使用 IP 地址传送内容的内容。第三方提供商也可能出于统计或营销目的使用所谓的像素标签（不可见图形，也称为 “网络信标”）。像素标签可用于分析本网站页面的访问流量等信息。假名信息也可能存储在用户设备的 cookies 中，除其他外，可能包含浏览器和操作系统的技术信息、引用网站、访问时间和使用我们在线服务的其他信息，以及与其他来源的此类信息的链接。

• 处理的数据类型： 使用数据（如访问过的网站、对内容的兴趣、访问时间）；元数据、通信和处理数据（如 IP 地址、时间数据、识别码、同意状态）；库存数据（如姓名、地址）；联系数据（如电子邮件、电话号码）；内容数据（如在线表格中的条目）；位置数据（有关设备或个人地理位置的信息）。
• 数据主体： 用户（如网站访问者）
• 处理目的：提供在线服务和用户友好性
• 法律依据：合法权益（《欧盟数据保护法》第 6 条第 1 款 f 项）。

有关处理操作、程序和服务的更多信息：

• 谷歌地图： 我们整合了谷歌提供的 “谷歌地图 ”服务的地图。处理的数据尤其包括 IP 地址和用户位置数据；
  服务提供商：Google Cloud EMEA Limited，地址：70 Sir John Rogerson’s Quay, Dublin 2, Ireland；
  法律依据：合法权益（《欧盟信息权法案》第 6 条第 1 款 f 项）
  网站：https://mapsplatform.google.com/；
  隐私政策：https://policies.google.com/privacy；
  第三国转让依据：欧盟-美国数据隐私框架 (DPF)。
• YouTube 视频： 视频内容；服务提供商： 服务提供商：Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland；
  法律依据：合法利益（《欧盟数据保护条例》第 6 条第 1 款 f 项）；
  网站：https://www.youtube.com；
  隐私政策：https://policies.google.com/privacy；
  第三国转让依据：欧盟-美国数据隐私框架 (DPF)；
  反对的权限（退出）： 退出插件：https://tools.google.com/dlpage/gaoptout?hl=de；
  广告显示设置：https://adssettings.google.com/authenticated

一旦处理同意被撤销或其他授权不再适用（例如，处理该数据的目的不再适用或该目的不再需要该数据），我们将根据法律要求删除处理的数据。如果因为其他法律允许的目的而需要数据，但数据未被删除，则数据处理仅限于这些目的。这意味着数据将被封锁，不得用于其他目的。例如，适用于因商业法或税法原因而必须保存的数据（保存期一般为 10 年），或因主张、行使或捍卫法律要求或保护其他自然人或法人的权利而必须保存的数据。我们的数据保护通知还可能包含有关保留和删除数据的进一步信息，这些信息在相应的处理操作中具有优先权。

作为数据主体，您有权根据《欧盟数据保护条例》（GDPR）享有各种权利，尤其是《欧盟数据保护条例》第 15 至 21 条规定的权利：

• 反对权：您有权根据与您的特殊情况相关的理由，随时反对基于 GDPR 第 6(1)条第(e)或(f)点对与您相关的个人数据进行处理，包括基于这些条款进行特征分析。如果有关您的个人数据的处理是出于直接营销的目的，您有权在任何时候反对出于此类营销目的对您的个人数据进行处理，包括与此类直接营销相关的貌相处理。
• 反对权：您有权在任何时候以您的特殊情况为由反对处理与您有关的个人数据： 您有权随时撤销同意。
• 访问权：您有权要求确认是否正在处理与您有关的个人数据，并有权根据法律要求获取有关这些数据的信息、进一步信息和数据副本。
• 更正权：根据法律规定，您有权要求完善与您相关的数据或更正与您相关的不准确数据。
• 删除和限制处理的权利：根据法律规定，您有权要求立即删除与您有关的数据，或者根据法律规定要求限制数据的处理。
• 数据可移植性权利：您有权根据法律要求，以结构化、常用和机器可读的格式接收您提供给我们的与您有关的数据，或要求将其传输给另一个控制者。
• 数据可移植性权利：您有权根据法律要求，以结构化、常用和机器可读的格式接收您提供给我们的与您有关的数据，或要求将其传输给另一个控制者。

请定期了解我们的数据保护信息内容。一旦我们进行的数据处理发生变化，我们将立即对其进行调整。一旦变更需要您的合作（如同意）或其他个人通知，我们将立即通知您。

如果我们在本数据保护通知中提供了公司和组织的地址和联系信息，请注意，这些地址可能会随着时间的推移而改变，请在联系我们之前核对信息。

自2024年10月02日