达索系统始终重点关注客户和合作伙伴的个人数据保护问题,并意识到处理此类数据的责任。自欧盟通用数据保护条例(GDPR)以及其他数据保护法律颁布以来,达索系统不断重申其数据隐私承诺,通过新功能改进其解决方案,使利益相关方能够管理他们的数据隐私合规计划。
达索系统重视客户、用户、员工和全球生态系统的信心。因此,任何个人数据的收集、使用、披露和传输管理均将符合达索系统开展业务所在国家/地区的法律、法规和惯例。
达索系统如何遵守数据隐私合规?
为支持该合规性,达索系统在达索系统集团内实施了数据隐私合规计划。该计划遵循如下主要原则:
- 任命一名集团信息保护官并建立一个跨职能的数据隐私团队,负责监督集团内部和利益相关方的合规要求。该团队负责:
- 管理达索系统在数据保护法律和隐私政策方面的内部合规性;
- 不断识别和监测对达索系统解决方案、网站和通信的改进,使利益相关方能够遵守数据隐私法,包括但不限于 GDPR。
- 部署达索系统关于数据隐私的全球培训计划,以确保达索系统员工高水准的数据隐私保护意识。同时,员工必须同意遵守我们的商业行为准则、IT 章程和数据保护政策,并且必须遵守针对安全和隐私的强制性道德和合规培训,包括:
- 预防数据安全威胁。
- 保护物理数据和工作站;清洁办公桌政策。
- 个人数据保护和保密。
- 合乎道德的商业行为;反腐败和竞争法原则。
- 事件管理;识别和报告潜在威胁。我们在整个组织内不断提升安全和隐私意识。
- 实施技术和组织措施来保护个人数据。这些措施会不时更新,以反映达索系统标准的发展变化。特别是达索系统的3DEXPERIENCE 平台 SaaS 服务通过了ISO 27001:2017(信息安全管理)和 ISO 27701:2019(个人数据保护管理)认证,在此项服务中,达索系统作为控制者处理在此服务中被提供的个人数据,并作为处理者处理客户在此服务环境中控制和处理的个人数据。其他云产品同样经过认证。欲了解更多信息,请参阅达索系统年度报告。
- 实施公司间数据处理协议,其中包括确定 Dassault Sytèmes 集团公司之间责任的联合控制条款。 如果您对本协议有任何疑问,或想了解本安排的实质内容,请填写以下联系表格:https://www.3ds.com/zh-hans/privacy-policy/contact/ 。
数据控制者与数据处理者的职责分别是什么?
在其业务活动过程中,达索系统根据某些适用的数据隐私法规扮演着数据控制者或数据处理者的角色。控制者或处理者将承担不同的义务。
达索系统为满足自身需求在内部工具(例如金融系统)中处理个人数据时,扮演着数据控制者的角色。
相反,达索系统在向企业提供某些达索系统解决方案(如:云上的 3DEXPERIENCE 平台)和服务,应企业要求处理和储存个人数据时,扮演着数据处理者的角色。达索系统的客户被视为数据控制者。在这方面,达索系统的客户最终负责在使用达索系统解决方案时,根据其特定业务需求决定他们将如何遵守适用的数据保护法律。因此,客户需要决定何时应处理(如根据适用的数据保护法律删除或修改)个人数据,或何时应出于保存记录目的或监管、行业或法定目的保留这些数据。达索系统有责任提供能使客户遵守适用的数据保护法的解决方案。正因如此,达索系统根据“Privacy by Design(通过设计保护隐私)”和“Privacy by Default(默认的隐私保护)”的理念设计解决方案,确保从设计阶段就将隐私保护嵌入各项应用程序中。