世界一流的隐私保护

为满足 GDPR 第 30 条的要求，TeamViewer 采取了相应的措施，即处理活动记录 (RoPA)。这些记录是数据保护管理系统的核心文件，凡是TeamViewer 或 TeamViewer 的处理方对客户、员工、承包商和访客数据执行的任何处理活动，均被纳入其考虑范围之内 我们以部门为基础定期对 RoPA 记录进行主动维护，并由 TeamViewer 法律部门使用 OneTrust 数据管理软件进行集中管理。

TeamViewer 现已实施并遵循两步风险评估流程，力求满足 GDPR（第 35 和 36 条）的数据保护风险管理要求，其中包括对处理活动记录 (RoPA) 中记录的每个流程进行预评估，并在必要时进行数据保护影响评估 (DPIA)。

为支持 DPIA 流程和存档已执行的 DPIA，TeamViewer 使用法国监管局 (CNIL) 为此而提供的 PIA 工具。

为满足 GDPR 第 15-21 条的要求，TeamViewer 决定由客户支持部门管理所有传入的数据主体请求 (DSR)。TeamViewer 主要通过电子邮件接收数据主体的请求，电子邮件地址为：[email protected]。 我们很少通过信件、传真和电话接收此类请求。此外，TeamViewer 有一套成熟的、人力资源部门监督下的员工处理 DSR 流程。

TeamViewer 通过既定的技术和组织措施 (TOM) 实施适当得宜的安全级别，确保符合 GDPR 第 32 条及第 25 条的要求。 我们不仅采用内部政策，而且实施特别适合已知数据保护风险的技术和组织措施，以此证明 TeamViewer 完全满足合规性要求。 这些措施包括：根据恰当性和必要性的原则，尽量减少对个人数据的处理；尽可能快地对个人数据进行假名处理；公开个人数据的用途和具体处理方式，以及开发和改进安全功能。 在开发和设计产品、服务和应用程序时，TeamViewer 系统地考虑了数据保护的权利。此外，我们还定期在运营中实施适当的技术和组织措施。

TeamViewer 拟定了系统化的合同框架，所有事宜均需订立和存档相应的合同。为满足 GDPR 第 26-28 条的规定，本流程包括各项控制措施，确保签订符合实际需要的各种优质合同，继而确保在第三方供应商、合作伙伴/经销商以及 TeamViewer 集团公司之间规定明确的数据保护义务。

在委托某一处理方执行处理活动时，TeamViewer 仅聘用具有如下实力的处理方：可提供充分的服务保证，包括保证处理具有高安全性，并可实施符合 GDPR 要求及 TeamViewer 其他要求的技术和组织措施。TeamViewer 会使用上述合同框架对次级处理方系统地进行预评估。目前，所有次级处理方均位于欧洲。

TeamViewer 公司内的所有员工负责处理数据保护问题，高级领导团队 (SLT) 和管理委员会则承担定义主题的责任。除此之外，在法律部门的额外支持下，部门 GDPR 负责人还担任各部门员工的第一联系人，确保整个公司的 GDPR 合规性。

TeamViewer AG 及其附属公司（包括 TeamViewer 德国有限公司，统称为“TeamViewer”）非常重视个人数据的保护。因此，正如我们的合规性政策所述，数据保护是合规性工作的重点领域之一，这同时也高屋建瓴地为遵守欧盟《一般数据保护条例》奠定了基调。

“考虑隐私”体现了我们对数据保护的承诺，也是我们在贯彻处理个人数据的新流程和产品时的总体目标。

有关数据处理目的详情，请参阅我们的一般隐私权政策。

TeamViewer 确立了始终在部门一级进行集中监督和积极维护的数据删除理念，包括数据保留期和时间表，确保数据删除方法协调一致。此外，在每年一次的全公司数据删除月期间，所有员工都必须他们在系统中保存和负责的非结构化数据。这些工作不仅步调一致，而且有计划有步骤，充分满足了合规性的要求，因为根据 GDPR 的规定，任何个人数据的保存时间，不能超过出于特定目的处理这些数据所需的时间（请参见 GDPR 第 25 条第 2 款和第 5 条（第 1 条第 b 点和第 e 点）以及叙述部分的第 39 条和第 66 条）。

根据 GDPR 第 33 条和第 34 条的规定，TeamViewer 建立了一套精简的数据泄露通知流程，其中包括使用标准化模板准确、全面地记录每个事件。此外，法律部门还会根据德国联邦政府和州政府管辖下的独立数据保护监管机构提供的风险评估矩阵，进行详细的风险评估。（DSK 第 18 号简报：自然人权利和自由的风险）。每个事件都会在 72 小时的目标时间范围内评估完毕，最后会决定是否需要通知监管机构。所有事件均会告知 TeamViewer 管理层，并保留内部记录。