IDeaS^™软件即服务隐私政策

隐私承诺

IDeaS（“我们”、“我方”）提供软件即服务（SaaS）和其他分析解决方案以及管理它们的主题专家。我们向全球各地的组织（“您”和“贵方”）以及您的员工（“数据主体”）提供这些解决方案。

我们重视数据主体的隐私。本政策介绍并解释IDeaS的隐私做法，以及我们为保护数据主体的隐私和遵守适用法律以及履行我方义务所采取的措施。本政策还介绍您在使用、访问和更正数据主体的个人数据时的可用选项，有助于您更好地了解IDeaS的做法，并确保这些做法与您提供给数据主体的任何隐私声明相一致。

政策范围

本隐私政策描述了IDeaS如何收集、接收、访问、使用、披露与IDeaS SaaS以及其他分析解决方案产品相关的某些个人数据，以及规定了IDeaS在根据协议向您提供这些产品时如何使用这些个人数据。

本隐私政策不适用于IDeaS从IDeaS.com的访客处收集的信息，IDeaS在相关个人出于与IDeaS SaaS无关的目的创建IDeaSPortal账户时所收集的信息，或IDeaS通过其他产品收集到的信息。有关IDeaS如何通过IDeaS.com和其他IDeaS产品收集、使用及披露信息，请参阅IDeaS隐私声明。

跨国传输数据

我们的业务遍布全球，一些数据接收方可能位于欧洲经济区（EEA）、瑞士或英国以外的国家/地区，这些国家/地区无法达到欧洲经济区、瑞士和英国数据保护法所规定的数据保护水平。在IDeaS附属公司之间或向位于这些第三国的第三方传输数据时，我们会采用有效的数据传输机制，如欧盟标准合同条款（SCC）（以及相应的瑞士附件和英国附录，视情况而定），以允许的法定减损为依据，或采用欧洲经济区、瑞士或英国当局发布或批准的任何其他有效的数据传输机制。欧洲经济区、瑞士和英国当局已正式承认某些第三国能够提供适度保护，因此无需采取进一步的保障措施。

SCC是已获得欧盟委员会预批、可作为一种合法的传输机制的合同条款模板。IDeaS根据欧盟委员会和欧洲数据保护委员会的指南来实施这些标准合同条款和补充措施。在适用情况下，这些最新的标准合同条款以及相应的瑞士附件和英国附录，构成IDeaS与其客户、分处理方和合作伙伴签署的IDeaS数据处理协议 (DPA) 不可分割的一部分。IDeaS数据处理协议的条款适用于将贵方（数据输出方）在欧洲经济区（EEA）、瑞士及/或英国境内的个人数据传输到IDeaS及其位于第三国的附属公司（数据输入方）的情况。

处理的数据及处理目的

IDeaS SaaS收集和处理两类个人数据：用户信息和客户信息。

用户信息是指我方从贵方或在贵方的指示下从第三方接收的有关贵方的数据主体的信息。我们仅收集贵方提供给我们、指示我们收集或为向贵方提供服务而访问的用户信息。用户信息可能包括不同类型个人的个人数据，包括：消费者、员工和其他业务合作伙伴。此类个人数据可能包括基本联系信息，例如姓名、邮寄地址、电子邮箱地址和电话号码，也包括较为敏感的个人数据，如财务信息、人口统计信息、购买信息、市场研究信息和员工绩效信息。事实上，IDeaS可能根据贵方的指示获取贵方上传至我方产品中，通过在线或离线传输机制发送给我方，或指示我方从Dun & Bradstreet等第三方信息汇集公司收集的任何类型人员的个人数据。

我们的运作前提是，贵方作为数据控制方，有义务向其个人数据可能包含在贵方用户信息中的个人告知贵方收集的个人数据以及收集此类数据的目的，在必要时征得其同意我方处理其个人数据，确保此类个人数据能够可靠用于预期用途，并且准确、完整且处于最新状态。对于个人数据被纳入我方处理的用户信息的个人，我们与之无直接关系。

我方收集和处理用户信息的目的纯粹是为了向贵方提供服务，并遵循我方与贵方签订的协议。在某些情况下，我方可能会采用其他来源的信息来补充贵方提供的用户信息。但只有在贵方明确要求且我方同意的情况下，我方才会这样做。补充用户信息的唯一目的是为贵方提供服务。我方将按照与贵方达成的协议所规定的期限保留用户信息，或出于履行我方法律义务、解决争端或执行我方协议的必要而保留更长时间。

客户信息是贵组织中与IDeaS SaaS及其系统互动的人员（如客户经理和用户）的相关个人数据。客户信息通常仅限于姓名、工作电子邮箱地址、工作电话号码和职衔。我们通过在线表单、电子邮件、电话及贵方用于提供信息给我方的其他书面方式收集客户信息。我们使用客户信息来为您的账户提供支持、维护我们与您的业务关系、回应您的垂询和履行会计职能。

客户信息还可能包括使用者信息。使用者信息是指与我方系统交互的计算机生成的信息。使用者信息可能通过以下方式收集：

• Web服务器日志/Web分析。在管理我方网站的过程中，我们通过Web服务器日志来维护和跟踪使用情况，并且可能使用Web分析工具查看日志信息。这些日志提供的信息包括：访问我方网站的浏览器类型、访问请求的来源国、哪些页面的访问量大以及我方服务器在一天当中哪些时段的负载量较大。我们利用这些信息来改进我方网站的内容和导航功能。
• Cookie和其他跟踪技术。我们可能使用“Cookie”等各种跟踪技术来提供量身定制的网站信息。Cookie是一种可由网站发送到您的浏览器的数据元素，然后浏览器可能会将其存储在您的系统中。一些IDeaS SaaS系统可能使用Cookie实施身份验证和安全功能和/或记住用户设置，这样在您返回这些系统时，我们就能更好地服务于您。使用这些系统，即表明您同意我们在您的系统中放置这些类型的Cookie。您可以将浏览器设置为在收到Cookie时通知您，这样您就有机会决定是否接受。您可以在浏览器层面控制Cookie的使用。如需了解更多信息，请参阅您的Web浏览器提供的使用者信息。如果拒绝Cookie，您仍可使用IDeaS产品，但这些系统的某些功能或某些区域可能会受到限制。

我们也可能利用使用者信息来帮助我们预防和检测安全威胁、欺诈或其他恶意活动，根据使用情况管理订阅服务的账单，以及确保我方产品和服务正常使用。

此外，IDeaS可能出于以下目的使用用户信息和客户信息：

• 系统维护和升级。为了监控系统性能、测试系统、开发和实施系统升级，我方技术人员可能需要定期访问服务数据，其中可能包括用户信息或客户信息。在此过程中出于必要而创建的此类服务数据的任何临时副本，仅在与这些目的相关的时间段内保留。
• 解决性能问题和修复问题。我们有时可能会为我方的程序和服务开发新版本、补丁、更新和其他修复程序，例如用来解决新发现漏洞的安全补丁。根据贵方的服务订购条款，我们可能会在用户从旁观察的情况下远程访问用户的计算机，以便解决性能问题。
• 遵循法律要求。在我方自行判断认为有必要披露个人数据来保护我方权利或响应政府要求的情况下，IDeaS可能需要提供个人数据以遵守法律规定的报告、披露或其他法律程序要求。

数据访问和更正；有关限制使用和披露的选择权

欧盟《通用数据保护条例》(GDPR)、瑞士《联邦数据保护法》和英国《通用数据保护条例》/《数据保护法》规定，数据主体有权访问某个组织所持有的关于其本人的个人数据，具体而言，数据主体有权：(1) 确认该组织是否在处理有关其本人的个人数据；(2) 要求该组织将数据传达给其本人，以核实数据的准确性和数据处理的合法性；以及 (3) 更正、修改或删除数据。

关于用户信息，我们的运作前提是贵方作为数据控制方有义务为数据主体提供访问其数据并要求更正、修改或删除此类数据的途径。在我们目前的业务模式下，我方与贵方的数据主体不存在直接互动，因此，他们无从直接向我们提出这些请求。如果您是IDeaS SaaS的用户，并且您收到了数据主体提出的此类请求，而我方保存了该数据主体的个人数据，且您希望我们协助回应该请求，请联系我们的隐私办公室：发送电子邮件至privacyrights@IDeaS.com或邮寄信函至

Integrated Decisions and Systems, Inc.

8500 Normandale Lake Blvd., Suite 1200

Bloomington, MN 55437

Attention: Privacy Office

我们会在收到请求后的30天内答复。

对于用户信息，我方的运作前提是，贵方作为数据控制方有义务获取数据主体的适当同意，以将其数据传输给我方，供我方处理其数据，向贵方提供约定的服务，以及根据本政策和我方与贵方签订的协议向第三方披露其数据。我方不会出于营销目的与第三方分享、出售、出租或交易我们收集的任何用户信息，除非贵方指示我方这样做并获得了适当的授权。如果贵方的数据主体不再希望贵方与之联系或IDeaS在贵方的指示下与之联系，请告知数据主体直接联系作为IDeaS客户的贵方。

关于客户信息，有些IDeaS SaaS系统支持用户访问、修改或更正其本人的个人数据。否则，如果您或您的用户想访问或更正客户信息，请联系我们的隐私办公室：发送电子邮件至privacyrights@IDeaS.com或邮寄信函至

Integrated Decisions and Systems, Inc.

8500 Normandale Lake Blvd., Suite 1200

Bloomington, MN 55437

Attention: Privacy Office

我们会在收到请求后的30天内答复。

如果客户信息的使用或披露目的与本政策所述或后续授权的目的存在重大出入，我们不会在未向数据主体提供选择权的情况下使用或披露客户信息。

数据安全

我们会采取合理措施保护个人数据，防止丢失、滥用和未经授权的访问、披露、篡改和破坏。以下是我们的部分安全措施：

• 员工培训和责任。我们会采取某些措施来降低人为失误、盗窃、欺诈和滥用我方设施的风险。我们会对员工开展隐私和安全政策方面的培训，并要求员工签署保密协议。我们还会指定专人负责管理我们的信息安全计划。
• 访问控制。我们对用户信息的访问权限实施了限制，只有经过授权的人员才能访问。在工作变动或终止后，我方会终止这些访问权限。
• 数据加密。IDeaS要求我方与贵方之间的所有非公开用户信息（包括敏感的个人数据和登录凭证）的电子传输必须通过加密连接进行。

如果我方确认贵方的用户信息被未经授权的人员访问或使用，我方会与贵方指定的代表联系，以协调回应事宜。如对个人信息安全有任何疑问，您可以通过以下方式联系我们：发送电子邮件至privacyrights@IDeaS.com或邮寄信函至

Integrated Decisions and Systems, Inc.

8500 Normandale Lake Blvd., Suite 1200

Bloomington, MN 55437

Attention: Privacy Office

我方会在达成本政策所述目的、遵守我方政策所需要的时间内保留贵方的个人数据，以及在法律要求或适用法律允许的期限内保留贵方的个人数据。

再传输给第三方

IDeaS可能会在必要时向业务伙伴和分包商披露个人数据，目的是提供我们的产品和履行所要求的其他服务，或在其他适当情况下出于合法业务需求而披露。这些公司仅有权在必要时为向我们提供这些服务而使用贵方的个人数据。出于本政策所述目的以及为了履行我方与贵方签订的协议，我方也可能向其他IDeaS实体和/或业务方披露贵方所提供的个人数据。除非得到贵方的指示和授权，否则我们不会出于本政策所述以外的目的向第三方披露贵方的个人数据。个人数据披露将根据标准合同条款以及与再传输有关的适用数据保护法进行。我们不会将贵方的个人数据出售、出租或租赁给其他方。

如有必要，我们也可能在出售或转让我方全部或部分业务时向第三方披露个人数据。在这些情况下，我们会要求数据接收方遵循本政策来保护数据，或采取其他措施确保个人数据得到适当保护。如果IDeaS出售或转让我们的全部或部分业务，我们将通过电子邮件和/或我方网站上的醒目通知，告知贵方IDeaS对贵方的个人数据的所有权或使用情况的变化，以及贵方在个人数据方面的选择权。

IDeaS也可能会在法律规定或允许的情况下披露个人数据，例如回应公共机构的合法要求，包括满足国家安全或执法要求，或在我们自行判断认为披露对于保护我方权利或遵守司法程序、法院命令、执法要求或其他法律程序确有必要或适当的情况下披露。

IDeaS是一家全球公司，拥有分布在超过154个国家/地区的子公司、客户和业务合作伙伴，以及跨越国界的技术系统。在IDeaS SaaS系统上收集的个人数据可能会跨州界和国界传输，以及在美国或IDeaS及其子公司、附属公司或业务单位为进行数据整合、存储和信息管理而设有设施的任何其他国家进行存储或处理。使用我方的系统，即表明贵方同意我方将任何此类信息传输到贵方所在国之外。IDeaS及其子公司、附属公司和业务单位将按照此处所述的一贯方式处理我方系统收集到的贵方的信息，即使某些国家的法律针对贵方的信息提供的保护可能不足。我们的隐私做法旨在在全球范围内保护贵方的个人数据。

垂询和投诉

如果贵方对本政策或我方对贵方的个人数据的处理有任何问题或疑虑，请先发送电子邮件到privacyrights@IDeaS.com联系我们，或邮寄普通信函至

Integrated Decisions and Systems, Inc.

8500 Normandale Lake Blvd., Suite 1200

Bloomington, MN 55437

Attention: Privacy Office

我们会在合理的时间内回复。

本政策的变更

我方保留随时修改本政策的权利。不时索取本文件的最新版本是贵方的责任。

生效日期：2024年5月1日

最新修订日期：2024年5月1日