Spreadly 网站的隐私政策

I.一般信息

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn，作为 spreadly.app 网站的运营商，我们非常重视对网站用户个人数据的保护。因此，我们希望在下文中向您详细说明，当您访问我们的网站

我们只会根据法定数据保护法（即欧盟《通用数据保护条例》（GDPR）、德国《联邦数据保护法》（BDSG-neu）和德国《电信媒体法》（TMG））处理您的个人数据。

我们收集和处理数据的范围因您访问我们的网站只是为了检索信息还是通过我们的网站使用我们提供的服务而有所不同。

以团队或公司形式使用 Spreadly 时，可在此处查看我们的分处理器列表： https://spreadly.app/zh/legal/privacy/sub-processors

II.责任方

通用数据保护条例》和其他数据保护法规所指的控制者是

Spreadly GmbH
Forstenrieder Weg 1G
82065 Baierbrunn
德国

由管理委员会代表： Darius Göttert, Florian Theimer

电子邮件: info@spreadly.app

III.定义

我们的隐私政策使用了欧盟《通用数据保护条例》（GDPR）中的术语，为了便于您理解，我们希望对这些术语进行简要解释。这些定义和其他定义请参见《欧盟一般数据保护条例》第 4 条。4 GDPR。

1.个人数据

"个人数据 "是指与已识别或可识别的自然人（以下简称 "数据主体"）有关的任何信息；可识别的自然人是指可以直接或间接识别的自然人，尤其是通过姓名、身份证号码、位置数据、在线识别码等

2.数据主体

"数据主体 "指其个人数据由控制者处理的任何已识别或可识别的自然人。

3.处理

"处理 "是指对个人数据或个人数据集进行的任何操作或一系列操作，无论是否通过自动化手段，例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提

4.处理限制

"限制处理 "是指对已存储的个人数据进行标记，以限制今后的处理。

5.化名

"假名化 "是指在处理个人数据时，在不使用附加信息的情况下，不能再将个人数据归属于某个特定的数据主体，条件是这些附加信息必须单独保存，并采取技术和组织措施，以确保个人数据不归属于

6.控制器

"控制者 "是指单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他团体；如果处理目的和方式由联盟或成员国法律决定，则控制者或其提名的具体标准可由联盟或

7.处理器

"处理者 "指代表控制者处理个人数据的自然人或法人、公共当局、机构或其他团体。

8.收件人

"接收方 "是指被披露个人数据的自然人或法人、公共当局、机构或其他团体，无论其是否为第三方。但是，根据欧盟或成员国法律在特定调查框架内接收个人数据的公共机构不应被视为接收方；这些

9.第三方

"第三方 "是指除数据主体、控制者、处理者以及在控制者或处理者直接授权下有权处理个人数据的人员之外的自然人或法人、公共当局、机构或团体。

10.常数

数据当事人的 "同意 "是指数据当事人通过声明或明确肯定的行动，表示同意处理与其有关的个人数据的任何自由、具体、知情和毫不含糊的意愿表示。

IV.关于数据处理的一般信息

1.个人资料类别

我们处理以下类别的个人数据：

• 库存数据（如姓名、地址、职务、组织隶属关系等）； - 联系数据（如电子邮件、电话/传真号码等）； - 内容数据（如文本条目、图像文件、视频等）； - 使用数据（如访问数据）； - 元数据/通

2.个人资料的接收者或接收者类别

如果我们在处理过程中向其他个人和公司（如网站托管商、合同处理商或第三方）披露数据、向其转让数据或以其他方式允许其访问数据，则必须获得法律许可（例如，如果根据第 6 条第 6 款将数据转

3.个人资料的保存期限

个人数据的保存期限以相应的法定保存期限为标准。过期后，如果不再需要相应数据来实现目的、履行合同或启动合同，则会将其删除。

4.向第三国转移

如果我们在第三国（即欧盟 (EU) 或欧洲经济区 (EEA) 以外的国家/地区）处理数据，或者在使用第三方服务或向第三方披露或转移数据的情况下处理数据，则只有在以下情况下才会这样做：为了履行我才会在第三国处理或让第三国处理数据。44 et seq.GDPR 的特殊要求，即数据处理是在特殊保障的基础上进行的，例如官方认可的与欧盟相应的数据保护水平，或遵守官方认可的特殊合同义务（所谓的 "标准合同条款"）。

V.访问我们网站时的数据处理

1.日志文件

每次数据主体访问我们的网站时，一般数据和信息都会存储在我们系统的日志文件中：

• 请求的日期和时间（时间戳）； - 请求详情和目标地址（协议版本、HTTP 方法、推荐人、用户代理字符串）； - 请求的文件名和传输的数据量（请求的 URL，包括查询字符串、大小（字节））； - 请求是否成功的信息（HTTP 状态代码）。

在使用这些一般数据和信息时，我们不会对数据主体做出任何结论。我们不会对数据进行个人评估，也不会出于营销目的或个人特征描述而对数据进行评估。在此情况下，不会存储 IP 地址。

临时存储数据的法律依据是第 6 条第 6 款。6 para.1 lit.收集用于提供网站服务的数据以及将数据保存在日志文件中对于我们网站的安全运行是绝对必要的。因此，数据当事人无权反对。

2.恶意软件检测和日志数据分析

我们收集公司通信技术运行过程中产生的日志数据，并对其进行自动评估，只要这是检测、限制或消除通信技术故障或错误，或防御对我们信息技术的攻击，或检测和防御恶意软件所必需的。

临时存储和分析数据的法律依据是《公约》第 6 条第 6 款。6 para.1 lit.数据的存储和分析对于网站的提供和安全运行是绝对必要的。因此，数据当事人无权反对。

3.饼干

我们的网站使用 Cookie。Cookie 是网络浏览器和主机服务器之间交换的小型文本文件。Cookies 存储在用户的计算机上，并通过计算机传输到我们的网站。在您使用的网络浏览器中，您可以通过选择适

使用 Cookie 处理个人数据的法律依据是第 6 条第 6 款。6 para.1 lit.

我们使用服务提供商 Cybot A/S（位于丹麦哥本哈根 1058 号）提供的 cookie 许可工具 Cookiebot 来获得您的许可，该许可符合第 6 条第 6 款的规定。6 para.1 sentence 1 lit. a GDPR）的含义获使用Cookiebot的技术需要。当您第一次访问我们的网站时，Cookiebot会以弹出窗口的形式显示，您可以在其中激活某些功能组的cookie。这些数据将被保存，但不会传递给服务提供商。

您所做的cookie设置和所收集的数据将被保存，直到您要求我们删除或您自己删除Cookiebot cookie，或者数据保存的目的不再适用。强制性法定保留期限不受影响。

有关 Cookiebot 的更多信息，请访问 https://www.cookiebot.com/de/privacy-policy/。

4.

我们使用的托管服务提供以下服务：基础设施和平台服务、计算能力、存储空间和数据库服务、安全服务和技术维护服务，我们使用这些服务的目的是运营我们的网站。

在此过程中，我们或我们的处理者会根据我们的合法权益处理我们网站用户的库存数据、联系数据、内容数据、合同数据、使用数据、元数据和通信数据，以便根据第 6 条第 6 款高效、安全地提供在线

5.社交媒体

我们不在网站上使用社交媒体插件，而是使用所谓的社交书签（这些书签被整合为相应服务的链接。如果用户点击了集成的图形，就会跳转到相应服务提供商的页面）。我们想指出的是，作为我们网站的

6.Hubspot

本网站使用综合软件解决方案 HubSpot。

可以根据处理过的数据创建假名用户配置文件。我们只使用激活了 IP 匿名化的 Hubspot。这意味着在欧盟成员国或欧洲经济区协议的其他缔约国内，用户的 IP 地址会被 Hubspot 缩短。只有在特殊情户可以通过对浏览器软件进行相应设置来阻止 Cookie 的存储。

处理个人数据的法律依据是第 6 条第 6 款。6 para.1 lit. b 或 lit. f。

HubSpot 是一家来自美国的软件公司。为了使向美国传输数据合法化，HubSpot 公司依据欧盟标准合同条款：https://legal.hubspot.com/dpa。

有关数据保护的更多信息，请参阅 HubSpot 的隐私政策： - HubSpot 隐私政策：HubSpot 隐私政策 - HubSpot 有关欧盟 GDPR 的信息：[HubSpot 安全 - 有关 HubSpot 使用的 Cookie 的信息：HubSpot 在访问者浏览器中设置的 Cookie。

7.使用 "似是而非

我们使用服务提供商 OÜ Plausible Insights, Västriku tn 2, Tartu 50403, Estonia 提供的网络分析工具 Plausible Analytics。Plausible Analytics 不设置任何 cookie，也不在浏览器中存储任人数据。有关Plausible Analytics及其隐私政策的更多信息，请访问以下网址：https://plausible.io/。

8.使用 Cloudflare

我们使用服务提供商 Cloudflare Inc 的 "Cloudflare "服务，地址为 101 Townsend St.这项服务主要用于通过互联网连接的区域分布式服务器网络传输大型文件（如图形、页面内容或脚本）。使用

Cloudflare 的使用是基于我们的合法权益，即尽可能提供无错误和安全的网站（《欧洲个人信息权公约》第 6 条第 1 款 f 项）。

总部位于美国的 Cloudflare 公司已通过 "隐私保护 "认证，该认证保证符合欧盟适用的数据保护水平。此外，我们还与 Cloudflare 签订了数据处理协议 (DPA)，以遵守 GDPR 的规定。

我们无法对所处理数据的具体存储期限施加影响，而是由 Cloudflare, Inc.有关 Cloudflare 安全和数据保护的更多信息，请访问：https://www.cloudflare.com/privacypolicy/。

付款服务提供商

Stripe 的使用

我们提供通过支付服务提供商 Stripe, ℅ Legal Process, 510 Townsend St.这符合我们提供高效、安全的支付方式的合法权益（《欧洲个人信息权公约》第 6 条第 1 款 f 项）。在这种情况下，我们

• 持卡人姓名 - 电子邮件地址 - 客户编号 - 发票编号 - 银行详情 - 信用卡详情 - 信用卡有效期 - 信用卡验证码 (CVC) - 交易日期和时间 - 交易编号 - 供应商名称 - 所在地 - PayPal 电子邮件地址 - 账单地址

本节中规定的数据处理既非法律要求，也非合同规定。如果不传输您的个人数据，我们就无法通过 Stripe 处理付款。您可以选择其他付款方式。

Stripe 在数据处理活动中承担着控制者和处理者的双重角色。作为控制者，Stripe 使用您传输的数据来履行监管义务。这符合 Stripe 的合法权益（根据 GDPR 第 6 条第 1 款 f 项），并有助于履行

Stripe 作为处理方完成支付网络内的交易。在订单处理关系的范围内，Stripe 完全按照我们的指示行事，并有合同义务遵守《欧盟数据保护条例》第 28 条所指的数据保护规定。GDPR 第 28 条。

Stripe 实施了国际数据传输合规措施。这些措施适用于 Stripe 处理欧盟自然人个人数据的所有全球活动。这些措施以欧盟标准合同条款（SCC）为基础。

有关对 Stripe 提出异议和删除选项的更多信息，请访问：https://stripe.com/privacy-center/legal。

您的数据将由我们保存，直至付款处理完毕。这也包括处理退款、应收账款管理和防止欺诈所需的时间。根据《德国商法典》（HGB）第 257 条规定，我们的法定保存期为 10 年。

10.哨兵的使用

为了通过监控系统稳定性和检测代码错误来提高我们网站的技术稳定性，我们使用 Sentry 提供的 Sentry 服务，地址为 1501 Mariposa St #408, San Francisco, CA 94107, USA。该应用程序仅用于上Sentry 隐私政策：https://sentry.io/privacy/。

11.SalesViewer® 的使用

本网站使用 SalesViewer® GmbH 的 SalesViewer® 技术收集和存储数据，用于营销、市场调研和优化目的，这是基于网站运营者的合法权益（《欧盟数据保护法》第 6 (1) (f) 条）。为此，使用基于 即被化名，不会用于识别网站访问者的个人身份。

一旦不再需要用于预期目的，且删除与任何法定保留义务不冲突时，将立即删除 Salesviewer 中存储的数据。

您可以随时反对收集和存储数据，并在将来生效，请单击此链接 https://www.salesviewer.com/opt-out，以防止 SalesViewer® 今后在本网站内收集数据。本网站的退出 Cookie 将存储在您的设备上。

VI.建立联系时的数据处理

1.通过电子邮件联系

您可以使用我们网站上公布的电子邮件地址通过电子邮件与我们公司联系。

如果您使用该联系渠道，您提供的数据（如姓氏、名字、地址），但至少包括电子邮件地址，以及电子邮件中包含的信息和您提供的任何个人数据将被保存，以便与您联系并处理您的请求。我们的系统还

• 访问计算机的 IP 地址； - 电子邮件的日期和时间。

处理发送给我们的电子邮件中的个人数据的法律依据是第 6 条第 6 款。6 para.1 lit.

2.通过网站联系表格联系

如果您使用我们网站上提供的联系表进行交流和提问，则必须提供您的电子邮件地址。如果没有这些数据，我们将无法处理您通过联系表单发送的请求。提供地址是可选项，如果您愿意，我们可以通过邮

此外，我们的系统还会收集以下数据：

• 访问计算机的 IP 地址； - 联系表的 URL - 联系请求的日期和时间

处理发送给我们的电子邮件中的个人数据的法律依据是第 6 条第 6 款。6 para.1 lit.

我们使用客户关系管理系统 "HubSpot"，该系统由供应商 HubSpot, Inc.HubSpot 总部（马萨诸塞州剑桥市）25 First St.为此，我们与 HubSpot 签订了带有所谓标准合同条款的订单处理合同，其中

3.信函联系

如果您给我们发信，您提供的数据（如姓氏、名字、地址）和信中包含的信息，以及您提供的任何个人数据将被保存，以便与您联系并处理您的请求。

处理寄给我们的信件中的个人数据的法律依据是第 6 条第 6 款。6 para.1 lit.

VII.订阅我们的时事通讯时的数据处理

如果您订阅我们的时事通讯邮件列表，您的电子邮件地址和您选择的时事通讯将由我们保存在服务器上。

此外，系统还会在注册时收集以下数据：

• 访问计算机的 IP 地址； - 注册日期和时间。

在注册过程中，我们会征得您对数据处理的同意，并参考本隐私政策。数据处理以您的同意为基础，符合《个人信息保护法》第 6 条第 6 款的规定。6 para.根据 GDPR 第 6 条第 1 款 a 项，在合法权

我们仅将这些数据用于发送时事通讯。注册系统会附加一条包含最终注册链接的确认信息（双选），以确保通讯是由您而非第三方申请的。当您注册时，您的数据将保存在我们的服务器上，并生成一条带

如果您不再同意出于此目的保存您的数据，并因此不再希望使用我们的服务，您可以随时取消订阅我们的时事通讯。为此，每期新闻通讯中都有相应的链接。届时，您为订阅时事通讯而提供的个人数据将

取消订阅时事通讯

您可以随时取消订阅我们的时事通讯。

您可以在每期通讯的末尾找到取消订阅通讯的链接。

在发送时事通讯时处理个人数据的法律依据是第 6 条第 6 款。6 para.1 lit.

VIII.您的权利

作为数据主体，您在处理个人数据时享有以下权利：

1.知情权

(1) 资料当事人有权从控制者处获得关于其个人资料是否正在被处理的确认，如果正在被处理，有权获得个人资料和以下信息：

a) 处理的目的；

b) 处理的个人数据类别；

c) 已经或将要披露个人数据的接收者或接收者类别，尤其是第三国或国际组织的接收者；

d) 在可能的情况下，个人数据的预期存储期限，如果不可能，则说明用于确定该期限的标准；

e) 有权要求控制者更正或删除个人数据，或限制处理与数据当事人有关的个人数据，或反对此类处理；

f) 向监管机构申诉的权利；

(g) 如果个人资料不是从资料当事人处收集的，关于其来源的任何现有信息；

h) 自动决策的存在，包括 GDPR 第 22 (1) 和 (4) 条中提到的剖析。22 (1)和(4) GDPR 中提及的自动决策，至少在这些情况下，应提供有意义的信息，说明所涉及的逻辑，以及此类处理对数据主体的

(2) 当个人数据被转移到第三国或国际组织时，数据当事人有权被告知根据 GDPR 第 46 条与转移相关的适当保障措施。

2.更正权

数据当事人有权要求控制者更正与其有关的不准确的个人数据，不得无故拖延。考虑到处理目的，数据当事人有权要求补全不完整的个人数据，包括提供补充说明。

3.删除权

(1) 数据当事人有权要求控制者在不无故拖延的情况下删除与其有关的个人数据，控制者有义务在适用以下理由之一的情况下在不无故拖延的情况下删除个人数据：

a) 就收集或以其他方式处理个人资料的目的而言，这些个人资料已不再 必要

b) 数据主体根据《GDPR》第 6 条第(1)款第(a)项或第 9 条第(2)款第(a)项撤销同意，且没有其他法律依据进行处理。

c) 数据主体根据《欧洲个人信息权公约》第 21 (1) 条反对处理，且处理没有优先的合法理由，或者数据主体根据《欧洲个人信息权公约》第 21 (2) 条反对处理。(c) 数据主体根据 GDPR 第 21 (1)

d) 个人数据被非法处理。

e) 为履行欧盟法律或控制者所属成员国法律规定的法律义务，有必要删除个人数据。

f) 个人数据的收集与根据第 8 条第 8 款提供的信息社会服务有关。8 para.1 GDPR。

(2) 如控制者已公开个人数据，并有义务根据第 1 款删除个人数据，则控制者在考虑到现有技术和实施成本的情况下，应采取合理步骤，包括技术措施，通知正在处理个人数据的控制者，数据主体已要

(3) 第 1 款和第 2 款不适用于以下情况

a) 行使言论和信息自由权；

b) 为履行欧盟或成员国法律要求处理的法律义务，控制者受该法律约束，或为履行为公共利益或行使赋予控制者的官方权力而执行的任务；

c) 根据第 9 条第 2 款 h)和 i)项以及第 9 条第 2 款 i)和 h)项，出于公共卫生方面的公共利益考虑。9 para.9 para.3 GDPR；

d) 根据第 89(1)条的规定，出于公共利益、科学或历史研究或统计目的而进行的存档，只要第 1 款所述权利有可能导致无法实现或严重损害该处理目标的实现；或

e) 用于法律索赔的主张、行使或辩护。

4.限制处理的权利

(1) 如出现以下情况之一，数据主体有权要求控制者限制处理：

a) 个人资料的准确性受到资料当事人的质疑，在一定期限内，控制者可以核实个人资料的准确性、

b) 处理过程不合法，且数据当事人反对删除个人数据并要求限制其使用；

c) 控制者不再需要用于处理目的的个人数据，但数据主体需要这些数据用于建立、行使或捍卫法律主张，或

d) 数据主体根据《欧盟数据保护法》第 21 (1) 条反对处理。在核实控制方的合法理由是否优先于数据当事人的合法理由之前，数据当事人反对处理。

(2) 在根据第 1 款对处理进行限制的情况下，除存储外，此类个人数据只有在征得数据主体同意，或为确立、行使或捍卫法律主张，或为保护另一自然人或法人的权利，或为联盟或成员国的重要公共利

5.数据可携带权

(1) 資料當事人有權以結構化、通用和機器可讀的格式接收他或她向控制者提供的有 關他或她的個人資料，並有權在不受向其提供個人資料的控制者妨礙的情況下將 該等資料傳送至另一控制者，如

a) 根据第 6 条第 6 款，处理是基于同意。6 para.1 lit.9 para. 2 lit. a) GDPR 或根据 Art.6 para.1 lit.

b) 处理是通过自动化手段进行的。

(2) 在根据第 1 款行使其数据可携性权利时，如果技术上可行，数据当事人应有权将其个人 数据从一个控制者直接传送到另一个控制者。

第 1 款所述权利不得对其他人的权利和自由产生不利影响。

这项权利不适用于为公共利益执行任务或为行使赋予控制者的官方权力而必须进行的处理。

6.反对权

数据当事人有权在任何时候以与其特殊情况相关的理由反对根据《欧盟数据保护条例》第 6(1)条第(e)或(f)点处理与其相关的个人数据，包括根据这些规定进行的个人资料分析。除非控制方证明其处理

在使用信息社会服务的情况下，尽管有第 2002/58/EC 号指令的规定，数据当事人仍可通过使用技术规范的自动化手段行使其反对权。

7.退出权

根据数据保护法，数据当事人有权随时撤销其同意声明。撤销同意不影响撤销前基于同意的处理的合法性。

8.向监管机构投诉的权利

在不影响任何其他行政或司法补救措施的情况下，如果数据主体认为与其有关的个人数据的处理违反了本条例，则每个数据主体均有权向监督机构提出申诉，特别是在其惯常居住地、工作地或涉嫌侵权地

IX.本隐私政策的变更

我们保留随时修改这些数据保护规定的权利，并在未来生效。网站上随时提供最新版本。请定期访问网站，了解适用的数据保护规定。

状态： 2024 年 2 月2024 年 2 月