面向供应商的全球数据保护通知

2021年10月起生效

本数据保护通知由库克医疗控股有限责任公司（包含其位于世界各地的子公司和附属公司，统称“库克”）提供，意在向供应商及其工作人员告知我们收集、处理、保护、分享及存储他们个人数据的方式以及他们与自己的个人数据相关的权利。“个人数据”指可直接或间接导致特定个人的身份被识别出的任何数据。

我们从供应商处收集的信息可能由我们的供应商或服务提供方直接提供，也可能由他们的员工、合同工或工人直接提供（“供应商个人数据”）。如果个人数据与您的员工、工人或合同工相关，则您应让他们注意本通知。

我们有可能收集几类的供应商个人数据，这取决于我们与供应商的关系的性质，包括但不限于：

• 一般联系信息和身份识别信息（如名称、名字、姓氏、性别、电邮和/或邮政地址及/或手机号）；
• 职能（如头衔、职位、雇主名称）；
• 为了向我们公司交付产品或服务所需的电子身份识别数据（如证章编号和照片、日志、访问和闭路电视[CCTV]连续镜头）；以及
• 对于作为供应商或服务提供方的自然人，除了以上所列的个人数据以外，还有财务信息（如银行账户详情）。

如果您向我们提供关于个人（例如您的同事）的个人数据，您应确保您有这么做的适当法律依据。库克根据收集个人数据的目的，采取合理的措施来保持个人数据的准确性、完整性和时新性。我们依靠您向我们提供准确的信息，以及当您之后确定信息不完整或不准确时，修改或更新信息。

库克只将供应商个人数据用于收集数据的目的和法律允许的任何相容的目的。我们尤其将供应商个人数据用于：

• 管理我们在整个供应链中的供应商和服务提供方；
• 组织招标、落实合同准备过程中的任务或者履行现有合同；
• 管理我们的IT资源，包括基础设施管理和业务连续性；
• 开具账单和发票；以及
• 法律和/或来自监管和法院机构的命令或要求所强加的任何其他目的。

当与适用的数据保护法相关时，我们处理供应商个人数据的理由包括：

• 我们需要履行我们与您即将达成或已达成的合同；或
• 我们需要履行法律或监管义务；或
• 这对于我们的合法利益而言是必要的（如我们在业务或商业上有理由使用您的信息），而您的利益和您的基本权利并不凌驾于这些利益之上。我们的合法利益包括使用我们的供应商提供的某些平台来处理数据，从而提供更具成本效益的服务；高效地履行我们的法律和合同责任；遵守适用于我们的法律或法规；与您进行沟通；向我们的客户提供支持；防止欺诈或滥用我们的产品或服务；确保我们的IT系统、架构和网络安全；出售我们业务或其资产的任何部分，或者促成第三方收购我们全部或一部分的业务或资产；以及达成我们的企业和社会责任目标；或
• 已给出肯定性同意。当我们依赖于您的同意时，您可随时撤销同意。

如果我们需要依据法律或根据我们与您签订的合同的条款收集个人数据，而您未能在有要求时提供这一信息，则我们可能无法履行我们与您已经签订或者试图签订的合同。在某些情况下，库克可能会对您的个人数据做匿名化处理，以便您的个人数据可以不再与您相关，在这种情况下，我们可使用并披露此等信息，无需向您发出进一步通知。

如果我们需要将您的个人数据用于与收集数据的目的无关的目的，我们会通知您并解释允许我们这么做的法律依据。库克可在您不知情或不同意的情况下处理您的个人数据，前提是法律要求或允许这么做。

库克将查阅供应商个人数据的情况仅限于与实施我们的专业活动相关时并且需要知晓时。在我们组织内部，只有在履行适当的保密义务的情况下，工作人员才能根据其工作职责获得访问权。我们与下列各方共享供应商个人数据：

• 库克集团内部的其他公司，可点击此处查看；
• 向我们提供服务的第三方供应商和顾问，例如供应商提供的代表我们处理数据的平台以及/或者法律、税务和咨询建议；
• 涉及商业交易的第三方，例如在转让我们业务的所有权的情况下；
• 法律允许或要求的第三方，包括与监管或法律事务相关时或者这出于安全和安保需要时（例如监管、政府、法院和执行机构）。

当我们共享这一信息时，我们仅限于传输与这些情况相关的信息，并遵守与信息传输相关的所有法律规定。我们尽可能要求接收人对于供应商个人数据保持与本通知和适用法律相符的同等保护力度。

作为一家全球性组织，库克将数据存储在安全、集中化的系统中，并使用分布在世界各地的服务提供方。因此，供应商个人数据有可能存储在美国和/或您的居住国之外的国家，或者有可能可被位于美国和/或您的居住国之外的国家的获取授权的有限人士访问。根据适用的数据保护法，库克已采取适当的措施来确保对于供应商个人数据的保护力度充分，并运用这些措施，无论数据在哪里处理或存储。

当我们将供应商个人数据从欧洲经济区（EEA）或英国传出时，我们通过采取以下保障措施之一，确保保护力度充分：

• 只将供应商个人数据传输至欧盟委员会和/或英国监督机构认为能提供充分的数据保护力度的国家或地区；
• 如果传输至美国，则依据库克在《隐私护盾框架》下的认证。《隐私护盾框架》要求库克和第三方接收人对于在欧洲和美国之间共享的个人数据提供差不多的保护；（尽管欧盟法院于2020年7月在Schrems II裁决中宣布隐私护盾框架无效，但库克仍根据美国商务部的建议，继续保持其隐私护盾认证，以证明我们对数据隐私的持续承诺。）或者
• 通过采用经欧盟委员会和/或英国监督机构批准的特定数据传输合同，这些合同向个人数据给予在欧洲享有的同等保护力度。比如，标准合同条款。
• 当我们将个人数据从其他地区传出时，库克遵守关于跨境传输的适用监管规定。

库克已采取适当的技术性、物理性和行政性安全措施来帮助防止其收集的供应商个人数据在未经授权或违法的情况下遭到披露或访问，或者在意外或违法的情况下遭到丢失、销毁、修改或者损害。这些措施意在确保就数据处理所固有的风险和要保护的数据的性质而言，有适当程度的安全性；这些措施以符合适用法律和法规的方式实施。库克持续不断地评估这些措施，以在新的安全威胁被人知晓时，将新的安全威胁所带来的风险降到最低。

您可能有权要求修正（更正）、查阅、传输（数据迁移）或清除（删除）您的个人数据，或对于处理您的个人数据提出反对或限制。

如果对于自己的个人数据有疑问或者想要行使任何适用的权利或对于我们使用您的个人数据提出反对，数据主体可按下文列出的方式联系各自所在地区的库克办事处。为了保护隐私，如果想要获取自己个人数据的副本，我们要求个人验证自己的身份并签署一份表格。数据主体查阅自己的个人数据（或行使任何其他权利）时无须付费。不过，如果您的查阅请求没有明显的根据或者明显过分，我们可收取合理的费用。另外，我们可在这些情况下拒绝答应请求。

个人还可有权随时因数据安全问题向相关监督机构投诉。不过，库克希望在您接洽相关机构之前，能有机会处理您的顾虑，所以请您首先与我们联系。

库克依据适用的数据保护法律和法规保留供应商个人数据，以满足其合理的业务需求。当供应商个人数据不再相关时以及在适用法律规定的最长存储期到期后的任何情况下，库克会处置供应商个人数据，除非在更长的时期内需要供应商个人数据，例如在进行索赔、诉讼或其他监管调查时。

在评估数据保留期时，我们考虑信息的数量、性质和敏感性、供应商个人数据在未经授权的情况下遭到使用或披露后造成危害的潜在风险、我们处理供应商个人数据的目的并且我们能否通过其他方式达成这些目的以及适用的法律规定。

我们保留随时更新本隐私通知的权利，当我们进行任何重大更新时，我们会向您提供新的隐私通知。我们还可能会不时以其他方式通知您有关处理您的个人数据的事宜。

如欲了解有关库克的隐私和安全规范的更多信息或者如欲行使您的权利，请联系我们。另外，您还可给我们发送电邮、致电或写信，联系方式如下