通俗摘要: 如果您位于欧盟/欧洲经济区或英国,GDPR 赋予您对个人数据的一系列特定权利。由于 CheckTown 不存储您的验证输入,大多数 GDPR 数据最小化原则在设计上已得到满足。本页面说明我们确实会收集哪些数据,以及您可行使的权利。
1. 数据控制者
通过 CheckTown 网站处理个人数据的数据控制者为:
- 服务: CheckTown
- 网站:https://check.town
- 联系邮箱:hello@check.town
作为数据控制者,我们决定与 CheckTown 相关的个人数据处理的目的和方式。如果您对我们如何处理您的数据有任何疑问,请通过以下方式联系我们:hello@check.town。
2. 我们处理的个人数据
根据 GDPR,「个人数据」是指与已识别或可识别的自然人有关的任何信息。下表描述了 CheckTown 处理哪些个人数据及其原因。
| 类别 | 数据要素 | 目的 |
|---|---|---|
| 网络标识符 | IP 地址、用户代理字符串 | 速率限制、安全、汇总分析 |
| 使用数据 | 访问的页面、时间戳、来源 URL | 汇总分析和服务改进 |
| 往来通信 | 电子邮件地址、消息内容 | 回复支持或隐私咨询 |
| 验证输入 | 为进行检查而提交的电子邮件/IBAN/电话号码等 | 仅用于执行验证——响应后不予存储 |
包含个人数据的验证输入(例如电子邮件地址)会在内存中被临时处理,其唯一目的是执行验证。它们不会被写入任何数据库或日志文件,并且在返回响应后不会被保留。
3. 处理的法律依据
GDPR 要求,对个人数据的每一项处理行为都必须具有合法依据(第 6 条)。下面我们为所处理的每一类数据指明其法律依据:
| 处理活动 | 法律依据 | 条款 |
|---|---|---|
| 处理验证输入以返回结果 | 履行合同/订立合同前的步骤 | 第 6(1)(b) 条 |
| 服务器日志、速率限制、安全 | 正当利益(维护服务的安全与公平) | 第 6(1)(f) 条 |
| 汇总的匿名化分析 | 正当利益(改进服务)——数据已匿名化 | 第 6(1)(f) 条 |
| 处理您的电子邮件往来 | 履行合同/正当利益 | 第 6(1)(b) 条 / 第 6(1)(f) 条 |
我们已对所有依据第 6(1)(f) 条进行的处理活动开展了正当利益评估,并得出结论:鉴于所涉数据的极简性质以及本服务保护隐私的架构,我们的利益并不凌驾于您的权利和自由之上。
4. 您在 GDPR 下的权利
作为 GDPR 下的数据主体,您享有以下权利。下面概述了每项权利,并结合 CheckTown 的具体情况说明其实际范围。
4.1 访问权(第 15 条)
您有权确认我们是否处理您的个人数据,如是,则有权获得其副本以及有关其处理方式的补充信息。如需行使此项权利,请通过以下方式联系我们:hello@check.town。
实际范围:由于我们不保留验证输入,我们所持有的关于您的数据仅限于最多保存 90 天的服务器日志(IP、时间戳、用户代理),以及您向我们发送的任何电子邮件往来。
4.2 更正权(第 16 条)
您有权要求在无不当延迟的情况下更正不准确的个人数据。在适当情况下,不完整的数据也可予以补全。
实际范围:这主要适用于我们持有的任何电子邮件往来。服务器日志通常无法更正,因为它们是实际网络事件的技术记录。
4.3 删除权——「被遗忘权」(第 17 条)
在以下情况下,您有权要求删除您的个人数据:
- 该数据对于收集它的目的而言已不再必要。
- 您撤回同意(当处理基于同意时)。
- 您反对基于正当利益的处理,且不存在压倒性的正当理由。
- 该数据被非法处理。
请通过以下方式联系我们hello@check.town以请求删除。我们将在 30 天内作出回应。
4.4 限制处理权(第 18 条)
在某些情况下,例如在数据准确性存在争议期间,或在对某项反对意见进行评估期间,您有权要求我们限制对您个人数据的处理。
4.5 数据可携权(第 20 条)
当处理基于同意或合同并以自动化方式进行时,您有权以结构化、通用且机器可读的格式接收您的个人数据,并有权将其传输给另一个控制者。
实际范围:此项权利主要适用于我们持有的任何往来通信数据。技术日志数据通常在任何实际意义上都不具有可携性。
4.6 反对权(第 21 条)
您有权随时反对基于正当利益(第 6(1)(f) 条)的处理,包括出于直接营销目的的处理。如果您提出反对,我们将停止该项处理,除非我们能够证明存在凌驾于您的利益、权利和自由之上的令人信服的正当理由。
4.7 与自动化决策相关的权利(第 22 条)
您有权不受完全基于自动化处理(包括画像)而作出的、对您产生重大法律影响的决策的约束。
实际范围:速率限制是根据 IP 地址行为自动施加的,但这并不构成重大法律决策,且对于服务而言在技术上是必要的。我们不进行任何具有重大法律影响的自动化画像或自动化决策。
5. 如何行使您的权利
如需行使上述任何权利,请以「GDPR 数据请求」为主题,通过电子邮件向以下地址提交请求:hello@check.town。请包含以下内容:
- 您希望行使的权利(访问、删除、可携等)。
- 足以让我们识别并定位我们所持有的关于您的任何数据的信息(例如您的 IP 地址或您用于联系我们的电子邮件地址)。
我们将在 72 小时内确认收到您的请求,并在 30 天内作出完整回应。在复杂情况下,我们可能会将此期限再延长 60 天,届时我们将通知您。
对于处理您的请求,我们不会收取费用,除非该请求明显无依据或过度。
6. 国际数据传输
CheckTown 可能会使用位于欧洲经济区(EEA)以外的基础设施来处理数据。当发生向第三国的传输时,我们会确保按照 GDPR 第五章的要求采取适当的保障措施,包括:
- 充分性决定 — 向欧盟委员会认定为提供充分数据保护水平的国家进行的传输。
- 标准合同条款(SCCs) — 经欧盟委员会批准的合同条款,约束接收方达到与欧洲经济区相当的数据保护标准。
您可以通过以下方式联系我们,以请求了解适用于任何国际传输的具体保障措施:hello@check.town。
7. 数据保留期限
我们仅在为收集数据的目的所必需的期限内,或在法律要求的期限内保留个人数据。我们的保留期限为:
| 数据类别 | 保留期限 | 依据 |
|---|---|---|
| 验证输入值 | 不予保留——响应后即丢弃 | 数据最小化(第 5(1)(e) 条) |
| 服务器访问日志(IP、时间戳、端点) | 最多 90 天 | 安全/正当利益 |
| 安全与滥用日志 | 最多 12 个月 | 法律义务/正当利益 |
| 电子邮件往来 | 直至问题解决,随后删除 | 合同/正当利益 |
在每个保留期限结束时,数据将被安全删除或匿名化。
8. 自动化决策与画像
CheckTown 不使用会对个人产生法律或类似重大影响的自动化决策流程。速率限制决策(临时封禁 IP)属于技术必要措施,不构成 GDPR 第 22 条含义内的重大自动化决策。
我们不会出于营销、广告或行为定向目的对个人用户进行画像。
9. 向监管机构投诉的权利
如果您认为我们对您个人数据的处理违反了 GDPR,您有权向监管机构投诉,尤其是向您惯常居住地、工作地或涉嫌侵权行为发生地所在的欧盟成员国的监管机构投诉。
欧盟数据保护机构的完整名单可在 欧洲数据保护委员会网站上查阅。英国居民可联系信息专员办公室(ICO)。
我们建议您先通过以下方式联系我们hello@check.town,以便我们有机会直接处理您的关切。
10. 联系我们
对于所有与 GDPR 相关的咨询、请求或关切:
- 电子邮件:hello@check.town
- 邮件主题: 「GDPR 数据请求」或「GDPR 咨询」
- 网站:https://check.town