享誉全球的隐私保护

作为一家总部位于德国的公司,TeamViewer 天生自带数据保护基因。

始终坚持以最严的标准保护客户的数据

TeamViewer 的数据保护建立在三大支柱之上

我们采用了结构化的数据框架,不仅可全面洞悉数据保护情况,还可帮助我们履行规定的法律义务。同时,也可确保 TeamViewer 公司内的每位员工遵守《一般数据保护条例》(GDPR),并按其规定开展工作。

享誉全球的

数据保护和隐私保护

TeamViewer 深知并谨记其依据 GDPR 第 5(2) 条规定,遵守数据处理原则的责任。

 

为满足 GDPR 第 30 条的要求,TeamViewer 已落实处理活动记录 (RoPA) 制度。这些记录是数据保护管理系统的核心文件,涵盖了 TeamViewer 或其处理方对客户、员工、承包商和访客数据执行的所有处理活动。

我们会以部门为基础定期对 RoPA 记录进行主动维护,并由 TeamViewer 法律部门使用数据管理软件进行集中管理。

TeamViewer 现已实施并遵循两步风险评估流程,力求满足 GDPR(第 35 和 36 条)的数据保护风险管理要求。其中包括对处理活动记录 (RoPA) 中记录的每个流程进行预评估,并在必要时进行数据保护影响评估 (DPIA)。

为支持 DPIA 流程和存档已执行的 DPIA,TeamViewer 使用数据管理软件。

为满足 GDPR 第 15-21 条的要求,TeamViewer 已指定客户支持部门负责管理所有传入的数据主体请求 (DSR)。TeamViewer 主要通过 Web 表单或电子邮件接收数据主体请求,电子邮件地址为:[email protected]

我们很少通过信件、传真和电话接收此类请求。此外,TeamViewer 有一套成熟的、人力资源部门监督下的员工处理 DSR 流程。

通过既定的技术和组织措施 (TOM),TeamViewer 实施了适当级别的安全举措,确保符合 GDPR 第 32 条及第 25 条的要求。

我们不仅特别针对已识别的数据保护风险制定了内部政策,而且实施了技术和组织措施,因此 TeamViewer 完全满足合规性要求。

这些措施包括:根据恰当性和必要性的原则,尽量减少对个人数据的处理;尽可能快地对个人数据进行假名化处理;公开个人数据的用途和具体处理方式,并不断研发和强化安全功能。

在开发和设计产品、服务和应用程序时,TeamViewer 系统地考虑了数据保护的权利。此外,我们还会定期在运营中实施适当的技术和组织措施 (TOM)。

有关 TOM 的详细说明,请参见“数据处理协议”的附件 2

TeamViewer 拟定了系统化的合同框架,所有事宜均需订立和存档相应的合同。为满足 GDPR 第 26-28 条的规定,我们制定的流程中包含了严格的控制措施,确保所签署的合同不仅符合实际需求,同时达到优质标准。继而确保在第三方供应商、合作伙伴/经销商以及 TeamViewer 集团公司之间,明确数据保护义务。

在委托某一处理方执行处理活动时,TeamViewer 仅聘用具有如下实力的处理方:可提供充分的服务保证,包括保证处理具有高安全性,并可实施符合 GDPR 要求及 TeamViewer 其他要求的技术和组织措施 (TOM)。TeamViewer 会使用上述合同框架,对次级处理方开展系统性预评估。TeamViewer 的子处理方均位于欧洲经济区内,除非涉及附加功能、单独订购或激活的功能模块。有关更多详情,请参见“数据处理协议”的附件 3

结构和框架

GDPR 监管

TeamViewer 已在公司内成立专门的数据保护部门,承担监管职责,并负责制定相关政策和程序。同时,至少安排一位专家负责每个部门的 GDPR 合规性。

 

数据保护问题的处理,是 TeamViewer 组织内每位员工的责任,其中特定议题由高级领导团队 (SLT) 和管理委员会负责监督落实。

除此之外,在法律部门的进一步支持下,部门 GDPR 负责人还担任各部门员工的第一联系人,全力保障整个公司的 GDPR 合规性。

TeamViewer SE 及其附属公司(包括 TeamViewer 德国有限公司,统称为“TeamViewer”)极其重视个人数据的保护。因此,正如我们的合规性政策所述,数据保护是合规性工作的重点领域之一,这同时也高屋建瓴地为遵守欧盟《一般数据保护条例》奠定了基调。

“注重隐私”体现了我们对数据保护的承诺,也是我们推出新的个人数据处理流程和产品时的总体目标。

有关数据处理目的详情,请参阅我们的《一般隐私权声明》

TeamViewer 确立了在部门层面持续进行集中监督和积极维护的数据删除理念,包括数据保留期和时间表,确保数据删除方法的一致性。

此外,在每年一次的全公司数据删除月期间,我们会敦促全体员工清理各自系统中存储的非结构化数据。

这些工作不仅步调一致,而且有计划、有步骤,充分满足了合规性的要求,因为根据 GDPR 的规定,任何个人数据的保存时间不能超过出于特定目的处理这些数据所需的时间,具体请参见 GDPR 第 25 条第 2 款和第 5 条(第 1 项第 b 点和第 e 点)以及叙述部分的第 39 条和第 66 条。

根据 GDPR 第 33 条和第 34 条的规定,TeamViewer 建立了一套简洁、高效的数据泄露通知流程,其中包括使用标准化模板准确、全面地记录每个事件。

此外,法律部门还会根据德国联邦政府和州政府管辖下的独立数据保护监管机构提供的风险评估矩阵,进行详细的风险评估(请参见 DSK 简报第18号“自然人的权利和自由的风险”)。

每个事件都会在 72 小时的目标时间范围内完成评估,之后将根据评估结果决定是否需要通知监管机构。所有事件均会告知 TeamViewer 管理层,并保留内部记录。

赋能用户

培训与认证

TeamViewer 设计并推出了详尽而系统的数据保护和隐私保护培训项目,旨在加强员工对 GDPR 的认知,并在公司内营造良好的数据保护文化。所有员工会定期参加面对面的数据保护和 GDPR 主题培训,同时还会通过 TeamViewer 内部学习管理平台进行在线学习。我们会在使用外部优质内容的同时,提供内部原创资料,确保培训的广度和深度。

除了常规员工培训计划外,TeamViewer 还推出了资格认证计划,让专职 GDPR 人员有机会获取隐私保护和 GDPR 方面的认证,如备受推崇的 CIPP/E 认证(Certified Information Privacy Professional/Europe,欧盟信息隐私专家认证),该项认证由国际隐私专家协会 (IAPP) 提供。

是否要报告安全问题?

TeamViewer 的安全团队会深入调查通过漏洞披露计划 (Vulnerability Disclosure Program, VDP) 提交的每个问题。