本通知自2025年7月10日起生效。

目的

Atreo 致力于在收集和使用个人数据方面保持透明。本声明阐述了 Atreo 对隐私、数据保护以及与个人数据相关的个人权利和义务的承诺。

本通知适用于客户、临床试验参与者、供应商、求职者、员工、承包商、前员工以及Atreo网站访问者(例如Cookie和网络信标)向Atreo提供的,或由Atreo收集和处理的所有个人数据。

Atreo 尊重个人隐私,并珍视客户、员工、临床试验参与者、消费者、商业伙伴及其他相关方的信任。Atreo 致力于按照其开展业务所在国家的法律规定收集、使用和披露个人数据,同时在商业实践中始终秉持最高道德标准。

Atreo数据保护官的职责是就数据保护义务向Atreo提供信息和建议。如需联系数据保护官,请发送邮件至DPO@Atreo.io

如对本通知有任何疑问或需要进一步信息,请联系数据保护官。Atreo 严格遵守《通用数据保护条例》(GDPR)。

本通知可能会不时更新。如有重大更新,页面末尾将显示最后修订日期。

定义

“数据控制者”是指单独或与他人共同决定个人数据处理目的和方式的自然人、法人、公共机构、机关或其他组织。

“数据主体”是指已被识别或可被识别的在世自然人。

“GDPR”是欧盟的《通用数据保护条例》

“个人数据”是指与在世个人有关的、且可通过该信息识别该个人的任何信息。根据《通用数据保护条例》(GDPR),此类数据被称为“个人身份信息”。

“处理”是指对数据的任何使用,包括收集、存储、修改、披露或销毁数据。

“数据处理者”是指代表数据控制者处理个人数据的自然人、法人、公共机构、机关或其他组织。

“特殊类别的个人数据”是指有关个人种族或族裔、犯罪记录、政治观点、宗教或哲学信仰、工会会员身份、健康状况、性生活或性取向以及生物识别信息的数据,属于个人数据的一种形式。

“犯罪记录数据”是指有关个人刑事定罪和犯罪行为的信息,以及与刑事指控和诉讼程序相关的信息。

数据保护原则

Atreo 根据以下数据保护原则处理个人数据:

  • 以公平、合法且透明的方式处理个人数据。
  • 仅出于特定、明确且合法的目的收集个人数据。
  • 仅在个人数据充分、相关且仅限于处理目的所需范围内时,方可对其进行处理。
  • 确保个人数据的准确性,并采取一切合理措施,确保不准确的个人数据得到及时更正或删除。
  • 仅在处理所需的期限内保留个人数据。
  • 采取适当措施,确保个人数据的安全,并防止其遭受未经授权或非法的处理,以及意外丢失、毁损或破坏。

Atreo 对个人数据的收集、处理和销毁承担责任,并确保遵守上述原则。

当被视为数据控制者时,Atreo 会在其隐私声明中向个人说明处理其个人数据的原因、数据的使用方式以及处理的法律依据,且不会出于其他原因处理个人的个人数据。当 Atreo 以合法利益作为处理数据的依据时,将进行评估以确保个人的权利和自由不会凌驾于这些利益之上。 若个人告知其信息已变更或存在不准确之处,Atreo将及时更新相关个人数据。

在被视为数据处理者或次级处理者的情况下,Atreo 仅会根据适用法律、规则、法规以及数据控制者的具体指示处理个人数据。

在雇员及承包商关系存续期间收集的个人数据,将以纸质或电子形式保存在个人人事档案中,并存储于Atreo人力资源系统内。Atreo保存此类人力资源相关个人数据的期限,详见向个人发布的隐私声明。

Atreo的运营和维护承包商在向Atreo提供产品或服务过程中,有时会有限度地接触个人数据。 这些承包商对个人数据的访问仅限于其为 Atreo 履行有限职能所合理必要的范围。Atreo 要求其运营和维护承包商:(1) 按照本声明的规定保护任何个人数据的隐私;以及 (2) 除法律要求向 Atreo 提供产品和服务外,不得将个人数据用于任何其他目的。

Atreo 根据《通用数据保护条例》(GDPR)的要求,对其个人数据处理活动进行记录。

个人权利

作为数据主体,个人对其个人数据享有若干权利。

个人数据访问请求

个人有权了解Atreo正在控制和处理哪些与其相关的个人数据,并确保此类个人数据准确且与Atreo收集该数据的目的相关。如果个人提出合理请求,Atreo将告知其:

  • 其个人数据是否被处理,若被处理,原因是什么;涉及的个人数据类别;以及若数据并非直接从本人处收集,其来源是什么;
  • 数据将被或可能被披露的对象,包括位于欧洲经济区(EEA)以外的接收方,以及适用于此类数据传输的保障措施;
  • 其个人数据将被保存多长时间(或该期限是如何确定的);
  • 其更正或删除数据的权利,或限制或反对处理数据的权利;
  • 如果他/她认为Atreo未遵守其数据保护权利,他/她有权向相关数据隐私监管机构提出投诉;以及
  • Atreo 是否进行自动化决策,以及此类决策所涉及的逻辑。

Atreo还将向个人提供在处理过程中收集到的个人数据的副本。如果个人通过电子方式提出请求,该副本通常将以电子形式提供,除非个人另有要求。

如果个人需要额外副本,Atreo可能会收取合理费用,该费用将根据提供额外副本所产生的行政成本确定。

如需提交个人数据访问请求,请直接发送电子邮件至 DPO@Atreo.io。在绝大多数情况下,Atreo 依法必须在处理请求前要求提供身份证明。此外,在某些情况下,如果 Atreo 是数据处理者(或次级处理者),则可能需要联系数据控制者(如适用)。

Atreo通常会在收到请求之日起一个月内予以回复。在某些情况下,例如Atreo需要处理大量个人数据时,可能会在收到请求之日起三个月内予以回复。若出现此类情况,Atreo将在收到原始请求后一个月内致函当事人,告知其相关情况。

如果数据主体的访问请求明显缺乏依据或过于繁琐,Atreo 没有义务予以满足。此外,Atreo 也可以同意予以答复,但将收取费用,该费用将根据处理该请求所需的行政成本确定。例如,如果某项请求已被 Atreo 答复过,但该数据主体仍重复提出该请求,则该请求很可能被视为明显缺乏依据或过于繁琐。 若个人提交的请求缺乏依据或过度,Atreo 将通知其该请求存在上述情况,并告知是否予以回应。

其他权利

个人对其个人数据还享有其他若干权利。个人可以要求 Atreo:

  • 告知他们有关其个人数据的收集和使用情况;
  • 更正不准确的个人数据;
    停止处理或删除不再用于处理目的的个人数据;
  • 继续存储其个人数据,但不加以使用;
  • 尊重个人在某些情况下(例如直接营销)反对对其个人数据进行处理的权利;
  • 以可移植的形式向用户提供其个人数据,以便该数据能够轻松转移到另一个IT环境中。我们通常会通过提供“逗号分隔值”(CSV)文件的形式来满足这一请求;
  • 尊重个人基于其个人数据进行自动化决策的相关权利;
  • 如果个人的利益优先于 Atreo 处理个人数据的合法依据(即 Atreo 以自身合法利益作为处理个人数据的理由),则应停止处理或删除个人数据;
  • 如果处理行为违法,则应停止处理或删除个人数据;以及
  • 如果数据不准确,或者对于个人的利益是否优先于 Atreo 处理个人数据的合法理由存在争议,则应暂停处理个人数据。

如需请 Atreo 采取上述任何措施,请直接发送电子邮件至DPO@Atreo.io

欧盟公民(欧盟数据主体)可向其所在地的数据保护机构提出投诉,并可针对某些无法通过其他救济机制解决的剩余索赔请求启动具有约束力的仲裁程序。

如果您有任何意见或疑虑无法通过直接联系我们得到解决,您也可以联系当地的主管数据保护机构。

数据安全

Atreo 高度重视个人数据的安全。Atreo 已制定内部政策和管控措施,以保护个人数据免遭丢失、意外销毁、滥用或泄露,并确保除员工在正常履行职责外,任何人都无法访问这些数据。

当 Atreo 委托第三方代为处理个人数据时,该等第三方须依据书面指示行事,承担保密义务,并有责任采取适当的技术和组织措施以确保数据安全。

Atreo 认识到在个人数据可能被转移给第三方的情况下可能产生的法律责任。在未首先确保第三方遵守提供充分且同等保护水平的原则或类似法律之前,Atreo 不会将任何个人数据转移给第三方。除非根据客户或其他数据控制者的合法指示,否则 Atreo 不会将个人数据转移给无关的第三方。 例如,此类情况包括法律或法律程序要求披露客户的个人数据,或为可识别个人的重大利益(如涉及生命、健康或安全)而进行的披露。 若 Atreo 被要求向无关第三方转移个人数据,Atreo 将确保该第三方提供充分且等效的保护水平。若 Atreo 获悉从 Atreo 处接收个人数据的无关第三方以违反本声明的方式使用或披露个人数据,Atreo 将采取合理措施以防止或停止该使用或披露行为。

影响评估

Atreo 进行的部分数据处理可能会对隐私构成风险。如果数据处理会对个人的权利和自由造成高风险,Atreo 将进行数据保护影响评估,以确定该处理的必要性和相称性。这将包括考虑开展该活动的目的、对个人造成的风险,以及为减轻这些风险可采取的措施。

数据泄露

如果 Atreo 发现发生了可能危及个人权利和自由的个人数据泄露事件,将在发现后 72 小时内向信息专员报告。无论影响如何,Atreo 都将记录所有数据泄露事件。

如果数据泄露事件可能对个人的权利和自由造成高风险,该机构将通知受影响的个人已发生数据泄露,并向其提供有关该事件可能造成的后果以及已采取的缓解措施的信息。

国际数据传输

Atreo 控制或处理的个人数据可能会被转移至欧洲经济区(EEA)以外的国家。

Atreo 通过采用适用的《标准合同条款》,并全面调查及努力解决任何涉及违反本声明使用或披露个人数据的投诉或争议,以确保遵守本声明。

欧盟地区的个人如对我们的《隐私政策》有任何疑问或投诉,请首先联系 Atreo:

DPO@Atreo.io

Atreo 员工职责

有权访问个人数据的员工必须:

  • 仅访问其有权访问的数据,且仅用于授权目的;
  • 除已获得适当授权的Atreo内部或外部人员外,不得披露任何数据;
  • 为确保数据安全,例如遵守有关进入办公场所、使用计算机(包括密码保护)以及文件安全存储和销毁的规定;
  • 未经采取适当的安全措施(如加密或密码保护)以确保数据和设备安全,不得将个人数据,或含有个人数据或可用于访问个人数据的设备,带离Atreo办公场所;
  • 不得将个人数据存储在本地驱动器或用于工作用途的个人设备上;
  • 一旦发现数据泄露事件,应立即向数据保护官报告。

若未遵守这些要求,可能构成违纪行为,将根据Atreo的纪律政策和程序予以处理。

作为入职培训流程的一部分,Atreo 将向所有员工提供关于其数据保护职责的培训,此后还将定期进行此类培训。

对于因工作职责需要定期接触个人数据,或负责执行本通知、或根据本通知处理数据主体访问请求的员工,将接受额外培训,以帮助其了解自身职责及如何履行这些职责。

互联网隐私

Atreo 或受 Atreo 指示的第三方可能会通过其网站以及访客与网站各元素的互动收集个人数据,此类数据同样受本声明约束。  当个人提交其姓名和/或地址时,可能会收集此类个人数据。Atreo 或受 Atreo 指示的第三方,还可通过各种自动化数字手段(如 IP 地址、Cookie 标识符、像素以及最终用户的网站活动)收集有关访问 Atreo 网站的信息,而无需个人主动提交信息。 尽管通过此类自动化数字手段收集的信息无法直接识别特定个人,但互联网网页浏览器会自动向 Atreo 网站传输有关用户计算机所运行软件的信息,例如 IP 地址和浏览器版本。若无其他可识别信息,通过这些技术收集的信息无法用于识别个人身份。

Cookies

Atreo 使用 Cookie,即由我们的平台生成并存储在您设备上的小型数据文件。 本网站使用由我们或第三方设置的 Cookie,用于多种目的,包括运营和个性化网站以提升用户体验。Cookie 可能在您的浏览会话结束时过期,也可能存储在您的计算机中,以便您下次访问网站时使用。您可以通过调整浏览器设置来阻止 Cookie 的设置(具体操作方法请参阅浏览器的“帮助”部分)。禁用 Cookie 将影响您浏览本网站的体验。

让您最宝贵的资源ー时间,价值最大化。

*”表示必填项

此字段仅用于验证,请勿修改。