隐私声明

一、总体目标

本隐私声明概述了Hubject GmbH（"Hubject"、"我们"或"我们的"）如何在我们的网站、平台和应用程序中收集、使用、披露和保护个人数据，以符合《通用数据保护条例》（GDPR）、 欧盟《数据法案》、欧盟《数据保护指令》（及《联邦数据保护法》等国家实施细则）、ISO/IEC 27001:2022标准，以及我们为B2B客户（合作伙伴）制定的《标准数据处理协议》（DPA）。

‍

• Hubject根据《通用数据保护条例》(GDPR)第28条规定，作为合作伙伴（数据控制者）的数据处理者， 具体条款详见双方签订的数据处理协议，并遵循下文第8条规定。 在此过程中，所收集的私人数据包括"最终用户"（即实际使用或受益于合作伙伴或战略合作伙伴所提供产品/服务的个人）及合作伙伴的联系人（代表Hubject商业客户行事的个人）的相关信息。
• Hubject 作为 数据控制者 关于下列类别数据主体的个人数据，本隐私声明中亦称之为"直接用户"：  
  •  Hubject网站的访问者
  • "求职者"（指向Hubject提交个人信息（如简历、申请表或相关文件）以供就业考虑的个人，或以其他方式表达对职位兴趣的个人）。
  • "领英联系人"：指通过领英平台联系的商业专业人士及潜在合作伙伴，且仅限于该个人属于员工现有职业人脉网络的情况。
  • 互充网络会议（ICNC）与会者。
  • 供应商联系人（代表Hubject商业供应商行事的个人）。

本通知中统称为"数据主体"。

‍

1. 摘要

• 我们仅在符合适用法律的前提下处理个人数据，以提供服务、履行法律义务，或基于同意或合法利益。
• 若您是最终用户，我们代表合作伙伴（例如您的移动服务提供商）处理您的数据，建议您直接联系他们以行使您的数据权利。
• 我们不会在事先通知的情况下，将您的数据用于画像或自动化决策。
• 您的数据通过加密、访问控制和数据最小化原则得到保护。
• 我们仅在必要时或基于您的同意使用Cookie。
• 根据《通用数据保护条例》（GDPR），您有权访问、更正、删除或反对处理您的个人数据。

‍

联系方式

数据控制者（针对代表Hubject收集的数据或Hubject作为控制者的情形）：

Hubject GmbH

EUREF-Campus 22，10829 柏林，德国

电子邮箱：dataprotection@hubject.com

数据保护官（DPO）：

Katharina Vera Boesche博士

Boesche Rechtsanwälte PartGmbB

欧姆街7号，10179柏林

电子邮箱：datenschutz@hubject.com

‍

2. 一般数据处理原则

我们依法、公平且透明地处理个人数据。以下《通用数据保护条例》第6条规定的法律依据适用：

• 同意
• 合同必要性
• 法律义务
• 合法利益

我们恪守数据最小化、准确性、存储限制、完整性及保密性原则，并保障数据主体依据《通用数据保护条例》第12至22条享有的权利。

Hubject 严格遵循《数据保护政策》及《数据保留政策》所规定的义务行事。无论我们作为数据控制者还是数据处理者（如上文第1条所述），这些政策均规范我们作为数据主体对您个人数据的内部处理流程。

所有处理活动中均采用加密、访问控制、假名化及安全删除等安全措施。具体细节详见第6节（保留）、第11节（第三方共享）及第12节（违规响应）。

‍

3. 数据主体权利

您作为数据主体，可通过发送邮件至 dataprotection@hubject.com 行使以下权利：

• 访问个人数据
• 更正或删除
• 处理限制
• 反对处理
• 数据可移植性
• 向监管机构投诉

请注意：若您是我们的合作伙伴（例如EMPs或CPOs）所提供服务的最终用户，Hubject仅作为数据处理方，在未获得合作伙伴提供的信息前无法直接识别您的身份。 此类情况下，您必须通过作为您个人数据控制者的合作伙伴行使相关权利。此举既符合《通用数据保护条例》(GDPR)第12(2)条规定，也确保我们作为数据处理者履行GDPR第28条及第29条所规定的义务。

我们不进行《通用数据保护条例》第22条所定义的任何自动化决策或画像。

‍

4. 数据保留与逐步淘汰

我们仅在实现收集目的所需的时间内保留个人数据，或根据法律义务的要求进行保留：

• 终端用户数据：根据《通用数据保护条例》第5条第1款第c项，数据经假名化处理后仅保留于生产环境中。
• 用户账户及平台元数据：停用后最长保留10年（依据数据保留政策）
• Hubject网站访客：在 业务关系存续期间 + 2年（依据数据保留政策）
• 合作伙伴代表个人数据： 在业务关系终止后1年删除， 除非法律要求保留。
• 求职者个人数据：6个月
• 互充网络会议（ICNC）参会者：1年
• 营销数据：撤回同意

根据ISO27001:2022控制要求，强制执行处置事件的安全删除与审计日志记录。

4.1. 保留措施

• 个人数据将根据我们的数据保留政策存储于安全系统中，并进行备份。
• 备份数据最长保留两年，之后将根据ISO27001:2022和GDPR要求进行安全删除或销毁。
• 我们在备份和运营系统中确保数据最小化，仅存储严格必要的信息。

4.2. 处理删除请求

• 若您依据《通用数据保护条例》第17条要求删除数据，在无正当理由保留您的个人数据时，我们将立即从活跃系统中移除相关信息。如前所述，若您是终端用户，可能需要直接向合作伙伴（数据控制方）提出请求。
• 备份中的数据无法立即删除，但会被标记为待清除状态，并在备份保留期届满时被永久删除。
• 若恢复备份，任何先前标记为删除的数据都将在恢复过程中被移除。

4.3. 审计、监控与供应商合规性

• 我们保留备份访问、删除请求及恢复流程的审计日志。
• 我们的处理器和IT供应商在合同中承担遵守我们保留和删除要求的义务。
• 安全删除方法是根据最佳实践和我们的内部政策实施的。
• 如需了解有关我们数据保留或删除程序的更多详情，请联系：dataprotection@hubject.com

‍

5. HUBJECT网站及一般使用条款

5.1. 收集的数据

• IP地址、浏览器信息、操作系统、访问时间和日期
• 联系表单数据（如已提交）
• 新闻通讯订阅（电子邮件，验证）

5.2. 使用工具

• 启用IP匿名化的Google Analytics
• 谷歌标签管理器
• Pardot/Salesforce（仅在用户选择加入时）

5.3. COOKIE 使用

以下是Hubject网站和平台使用的Cookie及追踪器概述：

‍

• 为实现技术交付所需的会话cookie
• 可选跟踪Cookie（通过Cookie横幅选择加入）

5.4. 法律依据

• 《通用数据保护条例》第6条第1款第f项：必要Cookie和分析工具（合法利益）
• 《通用数据保护条例》第6条第1款(a)项（基于同意的营销工具）

‍

6. 产品特定章节

6.1. HUBJECT 经纪系统 (HBS) 门户

‍

6.2. 跨区直拨（ICD）

• 6.2.1. ICD 管理门户

‍

• 6.2.2. ICD 公共门户

‍

6.3. 即插即充

‍

6.4. icnc 事件应用

‍

6.5. 客户支持

• 6.5.1. 票务中心（Zendesk）

• 6.5.2. 呼叫中心（WOW24-7）

• 6.5.3. MB. 充电项目

‍

‍

7. APP STORE / PLAY STORE 链接

隐私声明和版权信息链接必须嵌入在：

• Google Play 控制台：在应用信息 > 隐私声明网址下添加
• Apple App Store：在"应用信息"下
• 应用内：集成在"设置"或"关于"中

‍

8. 国际转移

所有国际数据传输均依据Hubject数据处理协议附件I（处理者详情）及附件II（技术与组织措施）的规定，在必要时通过标准合同条款（SCCs）予以保护。未经合作伙伴（控制者）事先授权，不得进行任何数据传输。

8.1. 数据共享与第三方

Hubject仅在为履行服务或法律义务所必需时与第三方共享个人数据，且始终遵循数据最小化、用途限制及透明度原则。

8.2. 数据共享的目的

我们仅在以下情况下共享个人数据：

• 依托值得信赖的服务提供商，为我们的平台运营、客户支持、托管服务、营销（例如Salesforce、Pardot）及安全保障提供支持。
• 符合向数据主体明确说明的特定、合法目的。
• 基于《通用数据保护条例》（GDPR）规定的合法依据之一（例如合同、同意或合法利益）。

8.3. 数据共享保障措施

为确保在委托第三方处理者时实现数据保护：

• 我们在选择服务提供商前会进行基于风险的评估。
• 我们签订数据处理协议（DPAs），其中明确规定了保密、安全及违规响应方面的义务。
• 我们维护一个集中化的收件人登记册，并定期更新和审查。
• 我们采用加密和访问控制措施来保护共享数据。
• 仅共享实现特定目的所需的最低限度数据。

8.4. 国际转移

有关欧盟/欧洲经济区以外的转移，请参阅第10节。

8.5. 日志记录与监控

Hubject对服务提供商的数据访问行为进行审计日志记录，并定期审查这些日志以发现异常或未经授权的使用情况。

8.6. 数据保留与删除

• 与服务提供商共享的个人数据仅在处理目的所需的时间内予以保留。
• 一旦数据不再需要，我们将根据《数据保留政策》将其安全删除或匿名化处理。

9. 数据泄露预防、响应与通知

Hubject 制定了符合 ISO 27001:2022 标准的强效数据泄露响应计划，用于检测、控制及应对个人数据泄露事件。

若发生涉及个人数据的泄露事件，我们将采取以下步骤：

• 检测与验证：我们 采用先进的监控系统来检测和验证未经授权的访问或数据滥用行为。
• 遏制与根除：受影响 系统被隔离，根本原因得到调查，漏洞得到修补。
• 通知： 若个人数据泄露事件符合《通用数据保护条例》第33条或第34条规定的标准，我们将在72小时内通知相关监管机构，并在必要时告知受影响的个人。
  • 最终用户（处理器角色）：
    • 若Hubject作为数据处理者（例如为使用我们平台的OEM/EMP/CPO提供服务），我们将根据《通用数据保护条例》第33(2)条规定，在不合理延误的情况下通知相关合作伙伴（数据控制者）。通知数据主体及监管机构的责任由控制者承担。
  • 直接用户（控制器角色）：
    • 若Hubject作为数据控制者（例如针对网站用户或icnc应用注册用户），且数据泄露事件涉及您的个人数据，Hubject将根据《通用数据保护条例》（GDPR）第33条和第34条的规定，向受影响的个人及监管机构发出通知。
• 恢复与监控：我们 使用干净的备份恢复运营，验证数据完整性，并加强事件后的监控力度。
• 事后分析：我们 对事件进行分析，以改进系统、政策和响应协议。

我们维持一支由IT安全、法律、合规及管理人员组成的内部事件响应团队（IRT）。通过定期开展培训、测试（例如桌面演练）以及更新事件响应流程，确保持续改进。

有关我们数据泄露应对措施或安全实践的疑问，请联系 dataprotection@hubject.com。

‍

II. 特定隐私声明

本节通过概述适用于特定类别数据主体的具体规定，对第一部分进行补充。第一部分所述的所有一般原则和要求在相关情况下均继续适用。

1. 供应商联系人隐私声明

本节适用于供应商的联系人。

控制器

Hubject GmbH

EUREF-Campus 22，10829 柏林，德国

电子邮箱：dataprotection@hubject.com

处理目的

我们处理供应商联系人的数据用于：

• 沟通并管理合同关系
• 授予访问我们平台的权限（例如：哈佛商学院门户、管理员门户）
• 提供支持及业务相关信息
• 在获得同意的情况下发送营销通讯

法律依据

《通用数据保护条例》第6条第1款(b)项——为履行与所代表组织签订的合同

《通用数据保护条例》第6条第1款(f)项——企业间运营沟通中的合法利益

《通用数据保护条例》第6条第1款(a)项——同意（仅适用于可选营销电子邮件）

数据类别

• 姓名、电子邮箱、电话号码、职位、雇主
• 账户和登录信息（如适用）
• 通信与支持数据

接收方（数据共享）

• 内部部门（例如销售、运营）
• 外部处理器（例如Salesforce、Pardot、托管服务提供商）在欧盟境外运营时须依据合同及标准合同条款（SCCs）开展业务。

保留

在合同存续期间存储，并在终止后1年删除，除非法律要求更长的保留期限。

您的权利

您可通过 dataprotection@hubject.com 联系我们以行使您的权利：

• 访问权、更正权、删除权、反对权、数据可携权以及撤回同意权（如适用）

2. 求职者隐私声明

本部分适用于求职者

控制器

Hubject GmbH

EUREF-Campus 22，10829 柏林，德国

电子邮箱：dataprotection@hubject.com

处理目的

您的个人数据用于处理：

• 评估您的申请及您对该职位的适配性。
• 在招聘过程中与您沟通。
• 遵守法律和监管义务。

法律依据

《通用数据保护条例》第6条第1款(b)项——基于合同原因——应您要求在签订雇佣合同前采取行动。

《通用数据保护条例》第6条第1款(c)项——为履行遵守雇佣和劳动法的法律义务

《通用数据保护条例》第6条第1款(f)项——为高效管理招聘流程而具有的合法利益

《通用数据保护条例》第6条第1款(a)项——同意

数据类别

我们可能会收集以下信息

• 身份信息：姓名、联系方式（电子邮箱、电话）、地址。
• 申请材料详情：简历、求职信、工作经历、教育背景、资格证书。
• 评估数据：访谈记录、测试结果、推荐信。
• 法律合规数据：劳动权利证明文件、背景调查（在法律允许的范围内）。

接收方（数据共享）

内部部门（例如人力资源部、经理）

外部供应商（例如招聘平台、背景调查机构）

数据保留

6个月，除非获得人才库授权。

您的权利

您可通过 dataprotection@hubject.com 联系我们以行使您的权利：

• 访问权、更正权、删除权、反对权、数据可携权以及撤回同意权（如适用）

3. 用于营销目的的数据收集隐私声明

我们收集的信息用于推广我们的服务，并通过多种渠道与您建立联系，包括LinkedIn等社交媒体平台。

控制器

Hubject GmbH

EUREF-Campus 22，10829 柏林，德国

电子邮箱：dataprotection@hubject.com

利用领英进行人脉拓展与客户联络

目的与依据

此项外联工作旨在促进人脉拓展、活动参与（例如icnc）及维系商业关系。这些均为个性化的一对一沟通，而非大众营销。

我们共享的信息：LinkedIn匹配受众的使用

我们与第三方广告合作伙伴共享有限的个人信息，以便提供更相关的广告（"定向广告"或"再营销"）。我们使用诸如LinkedIn匹配受众等功能，这使我们能够在LinkedIn平台上向现有客户和联系人投放定向广告。

您的选择与退出机制：
我们尊重您的隐私偏好。在将任何数据上传至领英用于再营销之前，我们会对受众列表进行筛选，排除那些已行使权利选择退出营销通讯或广告数据共享的个人。这确保了您的偏好在我们的定向广告实践中得到尊重。

公开可见的内容与一般性通讯

请注意，通过有机领英帖子（直接发布在公司主页动态中的帖子）和常规广告活动（未使用上传客户名单的广告）进行的传播，任何拥有平台访问权限的人均可公开查看。这些活动覆盖范围广泛，不基于我们内部数据库中的特定用户资料进行定向投放，旨在提升公众认知度。

法律依据

根据《通用数据保护条例》第6条第1款第f项（合法利益），Hubject在相关情境下与专业人士开展合作具有商业利益。外联活动符合平台规范及用户预期。

数据类别

• 姓名、电子邮箱、电话号码、职位、雇主

接收方（数据共享）

内部部门（例如销售、市场营销）

外部供应商（例如通信平台、分析工具）

数据保留

直至撤回同意。

您的权利

• 访问、更正、删除、反对、数据可携权以及撤回同意（如适用）。若您不希望通过领英接收联系，可通过领英消息设置或发送邮件至 dataprotection@hubject.com 提出反对。

如需查阅本文档中提及的任何政策，请联系Hubject合规经理（邮箱：dataprotection@hubject.com），我们将根据要求提供政策副本。

‍