面向供应商的全球数据保护通知

2025 年 4 月起生效

本数据保护通知由Cook Medical Holdings LLC (包含其位于世界各地的子公司和附属公司，统称“库克”）提供。通知旨在告知供应商及其员工我们如何收集、处理、保护、共享和存储他们的个人数据，以及他们与自己的数据相关的权利。“个人数据”指那些可直接或间接导致特定个人的身份被识别的数据。

我们收集的供应商信息可能由我们的供应商或服务提供商直接提供，也可能由其员工、承包商或工人直接提供（统称“供应商个人数据“）。如果个人数据涉及您的员工、工人或承包商，您应提醒他们关注本通知。

我们可能会收集多种类型的供应商个人数据，具体取决于我们与供应商关系的性质，包括但不限于：

• 联系方式和身份等一般信息（如姓名、姓氏、名字、性别、电子邮箱和/或邮寄地址，以及/或手机号）；
• 职能（如头衔、职位和雇主名称）；
• 为向我们公司交付产品或服务所需的电子身份识别数据（如工号和照片、日志、访问和闭路电视 [CCTV] 影像）；以及
• 对于作为供应商或服务提供商的自然人，除上述个人数据外，我们还会收集财务信息（如银行账户明细）。

如果供应商是加利福尼亚州居民，有关我们收集这类供应商个人数据的更多信息，请参阅我们的 针对供应商的加州隐私声明。

库克仅将供应商个人数据用于收集数据的目的以及法律允许的任何兼容的目的。主要来说，我们将供应商个人数据用于：

• 管理整个供应链的供应商和服务提供商：
• 组织招标，准备合同或履行现有合同；
• 管理我们的 IT 资源，包括基础设施管理和业务连续性；
• 开具账单和发票；以及
• 法律和/或监管及法院当局的命令或要求中规定的任何其他目的。

当与适用的数据保护法相关时，我们处理供应商个人数据的法律情形包括：

• 我们需要履行即将或已经与您签订的合同；或
• 我们需要遵守法律或监管义务；或
• 我们需要维护我们的合法利益（即我们有业务或商业理由使用您的信息），且您的利益和基本权利不凌驾于这些利益之上。我们的合法利益包括使用我们供应商提供的某些平台来处理数据，以提供更具成本效益的服务；高效地履行我们的法律和合同职责；遵守适用于我们的法律或法规；与您沟通；向我们的客户提供支持；防止欺诈或滥用我们的产品或服务；确保我们的 IT 系统、架构和网络的安全；出售我们的部分业务或其资产，或促成第三方收购我们的全部或部分业务或资产；以及达成我们的企业和社会责任目标；或
• 经过您明确同意。对于我们需要获得您同意才能处理信息的情况，您可以随时撤回您的同意。

如果我们根据法律或我们与您签订的合同条款需要收集个人数据，而您未能按要求提供该等信息，则我们可能无法履行我们已经或正试图与您签订的合同。在某些情况下，库克可能会匿名化您的个人数据，使其不再与您相关联，对于这种情况，我们可能会直接使用和披露此类信息而不再另行通知您。

如果我们需要将您的个人数据用于与收集目的无关的用途，我们将在法律要求的情况下通知您，并解释我们可以这样做的法律依据。库克可能在法律要求或允许的情况下，处理您的个人数据而无需告知您或征得您的同意。

如果供应商是加利福尼亚州居民，有关我们收集这类供应商个人数据的更多信息，请参阅我们的 请参阅我们的 针对供应商的加州隐私声明。

库克仅在与实施我们的专业活动相关并且需要了解情况之时，才会访问供应商个人数据。在我们的组织内，员工只能根据他们的工作职责获得访问权限，并且必须履行一定的保密义务。我们将供应商数据披露给：

• 库克集团内部的其他公司，点此查看；
• 为我们提供服务的第三方供应商和顾问；例如，供应商提供的代表我们处理数据的平台，和/或法律、税务和咨询建议；
• 与业务交易有关的第三方，例如我们业务所有权的转让：
• 法律允许或要求的第三方，包括与监管或法律事项有关的第三方，或安全和保障所需的第三方（例如监管、政府、法院和执法机构）。

我们绝不会出售供应商个人数据。当我们披露供应商个人数据时，我们只传输与这些情况相关的信息，并遵守与信息传输相关的所有法律规定。我们尽可能要求接收方对供应商个人数据提供与本通知和适用法律同等级别的保护。

如果供应商是加利福尼亚州居民，有关我们收集这类供应商个人数据的更多信息，请参阅我们的 请参阅我们的 针对供应商的加州隐私声明。

作为一家全球性组织，库克将数据存储在安全、集中化的系统中，并且使用世界各地的服务提供商。因此，供应商个人数据可能存储在美国和/或您的居住国以外的国家，或被位于美国和/或您的居住国以外的国家的人数有限的获权人士访问或查阅。根据适用的数据保护法律，库克已采取适当措施，确保对供应商个人数据提供充分的保护，并且无论数据在何处处理或存储，都适用这些措施。

当我们将供应商个人数据传输到欧洲经济区或英国以外的地方时，我们通过实施以下保障措施之一来确保信息得到充分的保护：

• 仅将供应商个人数据传输到认为能受到欧盟委员会和/或英国监管机构充分保护的国家或地区。
• 通过使用欧盟委员会和/或英国监管机构批准的特定数据传输合同，为个人数据提供与其在欧洲同等级别的保护，例如《标准合同条款》；或
• 当我们将个人数据传输到其他地区时，库克将遵守适用的跨境传输监管要求。

此外，尽管欧盟最近在”施雷姆斯第二案“的裁决中宣布《隐私护盾框架》无效，但库克仍继续按照美国商务部的建议保持我们的隐私护盾认证，并以此证明我们对隐私的长期承诺。

库克已制定适当的技术、物理和行政安全措施，帮助防止其收集的供应商个人数据在未经授权或违法的情况下遭到披露或访问，或者遭到意外或非法丢失、销毁、修改或者损害。这些措施意在提供适当程度的安全性，规避待保护数据处理过程和性质中的固有风险。这些措施以符合适用的法律法规的方式实施。库克会持续评估这些措施，以帮助最大限度地减少新安全威胁带来的风险。

根据您居住地的不同，您或有权要求修改（更正）、查阅、转移（数据便携性）或清除（删除）您的个人数据，或反对或限制处理或共享您的个人数据。

数据主体如有任何有关其个人数据的问题，想要行使适用权利，或反对我们使用其个人数据，可通过下方联系方式联系其所在地区的库克办事处。如果您想要获取您个人数据的副本，出于保护隐私的目的，我们需要验证您的身份并签署一份表格。数据主体查阅其个人数据（或行使任何其他权利）无须缴付费用。但是，如果获取请求明显没有根据或明显过分，我们可能会适当收取费用。或者，我们可能会拒绝受理这种情况。

您也有权在任何时候就数据保护问题向相关监管机构投诉。但是，库克更希望您在接触相关部门之前，能先让我们有机会为您解决您的顾虑，所以请您首先联系我们。

有关行使您权利的更多详细信息，请访问我们的 隐私声明。与加利福尼亚州居民相关的更多信息，请参阅我们的 请参阅我们的 针对供应商的加州隐私声明。

库克根据适用的数据保护法律法规保留供应商个人数据，以满足我们合理的业务需求。库克会在供应商个人数据不再相关时以及在适用法律规定的最长存储期到期后，处理供应商个人数据，除非这些数据被要求存储更长时间，例如在进行索赔、诉讼或其他监管调查时。

在评估数据保留期限时，我们会考虑信息的数量、性质和敏感性、因未经授权使用或披露供应商个人数据而造成损害的潜在风险、我们处理供应商个人数据的目的以及我们是否可以通过其他手段实现这些目的，以及适用的法律要求。

我们保留随时更新本隐私通知的权利，当我们做了任何重大更新后，我们将向您提供最新的隐私通知。我们也可能不时以其他方式通知您有关处理您个人数据的事宜。

如欲了解有关库克的隐私和安全规范的更多信息或者想要行使您的权利，请联系我们 Privacy@CookGroup.com.另外，您还可给我们发送邮件或写信，联系方式如下：