VirtualExpo集团的采购平台遵守欧洲关于收集和跟踪个人数据的法律规定

有关个人数据使用的法规一般分为两个方面：

• 收集、储存和处理服务使用者的个人数据
• 在个人浏览网站时对其进行跟踪和识别

本指南会解释VirtualExpo集团的在线采购平台（Marketplace）在这两个方面的法律合规性，以及卖家如何也能确保VirtualExpo集团传输的数据在处理时完全合法合规。

Table of Contents

• 1.遵守“电子隐私法”中的关于cookies（跟踪器）的规定
  • 1.1 “电子隐私法”对cookie的使用规定了哪些新义务？
  • 1.2 VirtualExpo集团如何使用cookie？
  • 1.3 cookie弹出窗口是如何工作的？
  • 1.4 此弹出窗口对VirtualExpo集团收集和传输给供应商的数据量有何影响？
  • 1.5 如何在您的展台上产生更多销售线索？
• 2.遵守一般个人数据保护条款（GDPR）
  • 2.1 一般数据保护条款（GDPR）的个人数据保护措施有哪些？
  • 2.2 具体来说，什么类型的数据会受到GDPR的影响？
  • 2.3 Virtualexpo集团服务器位于何处，存储哪些数据？
  • 2.4 Virtualexpo集团在收集和传输个人数据方面的合规性如何？
  • 2.5、当访客要求删除其个人数据时，会发生什么？
  • 2.6 Virtualexpo集团如何遵守关于个人数据存储的GDDP？
  • 2.7 Virtualexpo集团如何遵守关于自动清除个人数据的GDPR？
  • 2.8 如果发生个人数据泄露，Virtualexpo集团会采取什么措施？
• 3.卖家在Virtualexpo集团的采购平台上的权利和义务
  • 3.1 Virtualexpo集团的法律地位是什么？
  • 3.2、供应商的法律地位是什么？
  • 3.3 卖家能否将处理个人数据的法律责任转移给Virtualexpo集团？
  • 3.4 卖家如何根据GDPR处理通过Marketplace传送给它的个人数据？
  • Virtualexpo集团与您一起

---

1.遵守“电子隐私法”中的关于cookies（跟踪器）的规定

2021年3月31日，关于Cookie（跟踪器）的“电子隐私法”生效。Cookie是存放在网站访客的设备（计算机、平板电脑、智能手机）上的计算机脚本，当访客返回同一网站时，可以识别访客。Cookie为访客的导航提供便利。根据Cookie的类型：

• 减少访问功能所需填写的表格数量
• 能够显示与访客的浏览历史相关的内容和广告

对于网站来说，除其他事项外，cookie允许：

• 编制访客数据和访客来源
• 识别访客并将这些数据用于商业或营销目的

1.1 “电子隐私法”对cookie的使用规定了哪些新义务？

自2021年3月31日起，“电子隐私法”对网站使用cookie规定了这些新措施：

• 网站访客必须在到达网站后立即被告知可能存在的有关以下方面的cookie存储：
  • 网站的基本功能，用于导航
  • 内容的个性化（地理定位的广告和内容等）
  • 与合作伙伴共享信息（社交网络、搜索引擎等）
  • 性能（减少表格数量、页面加载速度等）
• 网站应在访客到达网站时，向其提供接受或拒绝cookie的选择（拒绝的选择应与接受一样简单）
• 网站应要求访客每6个月更新一次同意书
• 访客必须能够随时撤销其同意
• 访客必须能够浏览网站，即使他们拒绝cookie

1.2 VirtualExpo集团如何使用cookie？

VirtualExpo集团完全符合“电子隐私法”的新要求。当访客进入我们的Marketplace时，会显示一个弹出式窗口，其中包含：

• 对VirtualExpo集团提供的cookie的简短解释
• “全部接受”或“全部拒绝”的按钮
• “阅读更多”的链接，以了解每个cookie的细节，并可以单独同意使用每个cookie

当访客进入我们的Marketplace时：

当访客单击“了解更多”并选择项目时：

当访客点击“查看我们的合作伙伴”并选择项目时：

1.3 cookie弹出窗口是如何工作的？

• 当访客接受或拒绝cookie时，他的选择将被保存6个月。如果出现以下情况，弹出窗口将在6个月后或之前再次显示：
  • 我们在网站上添加新的cookie
  • 访客更换设备进入Marketplace
• 由于访客可以在任何时候改变他们的同意，可以通过点击网站上任何页面页脚的链接重新显示弹出式窗口。
• 在拒绝的情况下，对访客的跟踪会立即停止，但以前收集的数据会被保留下来。
• 如果访客关闭了弹出窗口，则将被视为暂时拒绝浏览所需的cookie以外的cookie（每次访问时，弹出窗口将再次显示给访客，直到访客拒绝或接受cookie）。

1.4 此弹出窗口对VirtualExpo集团收集和传输给供应商的数据量有何影响？

Cookie同意弹窗已经成为网络上的标准，在所有网站上都能看到，包括其他Marketplace及其广告商的网站。这些弹出式窗口随处可见，对访问网站的总体访客量没有直接影响。只在访客到达网站后，才会识别和跟踪访客。因此:

• 很少或没有受到影响：访客的数量和询盘的数量
• 可能会减少： 销售线索数量*和广告展示量

*这些人主要是在进入展台前已经被确认的访客。一直以来，这些联系人在使用之前需要得到供应商的同意。

我们的同意管理供应商发现，通过弹出式cookie的平均拒绝率在10%至35%之间。

1.5 如何在您的展台上产生更多销售线索？

Virtualexpo集团建议销售人员在他们的展台上显示价格表，以应对展台潜在客户因cookie弹出而可能出现的下降。提交价格表是免费的，可以激活“查看型号价格表”按钮。通过点击它，为访客提供一个表格，可以将其个人数据传输给卖家，以便在展台上查阅其价格表。欲了解更多信息，请阅读本指南。

如果您对VirtualExpo集团采购平台上的个人数据保护有更多问题，请发送电子邮件至dpo@virtual-expo.com。

---

2.遵守一般个人数据保护条款（GDPR）

2.1 一般数据保护条款（GDPR）的个人数据保护措施有哪些？

一般数据保护条款（GDPR）规范了欧盟范围内的个人数据处理。自2018年5月起，它加强了欧洲公民对其个人数据使用的控制，包括同意权、透明度和删除权。

GDPR要求网站在收集和传输访客的个人数据之前通知他们：

• 在个人数据被传送之前，访客的个人数据可能被使用
• 要求删除或纠正其数据的现有程序

还要求个人数据被安全地储存，并在规定的期限内

2.2 具体来说，什么类型的数据会受到GDPR的影响？

GDPR的主体 :

• 允许识别个人的实名数据。
  • 例如：prénom.nom@guzzini.com、手机号码或私人住宅的地址。

GDPR的非主体 :

• 允许识别个人的非实名数据。
  • 例如：info@guzzini.com、总机的号码或公司的地址。

2.3 Virtualexpo集团服务器位于何处，存储哪些数据？

VirtualExpo集团的六个采购平台使买家通过表格和安全的信息传递系统与卖家取得联系。所收集的数据存储在我们位于法国的服务器中，该服务器由安全运营商控制（ISO 27001）。在这个服务器上有:

• 为卖家管理展台的工作人员以及他们在我们Marketplace上的销售网络成员的详细联系方式；
• 潜在买家的个人资料，他们已经填写了表格，以发送询盘，咨询信息和注册我们的各类电子邮件；
• 卖家和潜在买家通过聊天界面发布的信息历史，包括附件和报价。

由于这些数据存储在欧洲，因此无论数据主体的地理位置如何，其使用必须符合《一般数据保护条款》（GDPR）。

例如：
如果一名位于东京的日本潜在客户查看一名位于北京的中国卖家的产品，GDPR必须适用于中国卖家对这个日本潜在客户的使用，因为用户数据全部存储在欧洲。

2.4 Virtualexpo集团在收集和传输个人数据方面的合规性如何？

i) 供应商展台上的表格

当供应商展台的访客点击按钮联系供应商时，我们会显示一段文字通知他们。

• 访客的数据将被传递给有关卖家的销售人员，该销售人员随后可能就申请再次与其联系
• 解释如何要求更正或删除个人数据的隐私政策

“VirtualExpo集团保护您的个人隐私：当您向一个参展商发起询盘、咨询或者申请资料的询盘，您的消息和个人信息将直接发送给相应的参展商，或者可以直接回答您的问题的区域销售经理或经销商。请点击查看我们的《隐私政策》了解关于使用您的个人信息和您的信息权利的详细条款。继续在我们的网站的访问，即表明您接受《一般使用条款》。”

ii) 注册产品时事通讯、电子杂志通讯或合作伙伴信息电子邮件
当访客输入他们的电子邮件地址以注册我们的通讯或合作伙伴信息电子邮件时，我们会显示此文本：

通过点击“注册”，您确认接受我们的一般使用条款和隐私政策，该政策告知您关于您的个人数据的处理和您对这些数据的权利。我们专门使用您的电子邮件地址，向您发送您感兴趣的时事通讯和来自我们合作伙伴的信息。根据法律，您有查阅、更正和反对的权利。有关如何行使这些权利的信息，请参见我们的隐私政策。

iii) 隐私政策
访客还可以通过查阅我们的隐私政策，随时了解其个人数据的使用目的以及要求删除和更正其数据的权利。这个页面可以通过marketplace的页脚进入。

iv) 一般销售条款
在订购与VIRTUALEXPO服务相关的服务时，接受我们的一般销售条款（GTC）是强制性的。GTC第9.1段通知卖家，接受意味着了解我们关于保护其个人数据的隐私政策。

2.5、当访客要求删除其个人数据时，会发生什么？

访客和卖家可以通过向我们位于17 avenue André Roussin, 13016马赛的总部发信，要求删除他们的个人资料（同时附上作为删除询盘对象的访客资料的身份文件副本）。访客也可以通过发送电子邮件到以下地址提出请求dpo@virtual-expo.com为使这一请求得到受理，该电子邮件必须从访客在marketplace上的个人资料中输入的电子邮件地址发出。

收到请求后，数据主体的数据将被删除：

• VirtualExpo集团的通讯和电子邮件数据库
• 卖家的询盘档案，包括聊天记录

如果访客是请求的发起人：

• 访客在其设备上存放cookie时访问其展台的供应商的主要档案
• 在线账户

如果卖家是申请人:

• VirtualExpo集团的内部CRM工具
• 卖家在marketplace上被列入的销售网络
• 卖家被列入后台界面的销售网络

数据主体会在30天内收到一封确认删除其数据的电子邮件。

2.6 Virtualexpo集团如何遵守关于个人数据存储的GDDP？

在VirtualExpo集团的采购平台上收集的个人数据被储存在一个通过ISO 27001认证的主机中，并在一个有访问控制的安全建筑中。只有经过授权的员工才能接触到这些数据和材料，而且只有在经过认证后才能接触到。

2.7 Virtualexpo集团如何遵守关于自动清除个人数据的GDPR？

只要数据主体保持同意并继续使用服务，GDPR允许保留个人数据用于营销和通信目的（如发送通讯）。如果数据主体在两年内没有使用服务，他们的数据将被自动删除。

将删除以下配置文件：

• 至少在两年内没有打开来自VirtualExpo集团的电子邮件和没有访问我们marketplace的游客
• 在marketplace上没有商业活动的卖家工作两年的访客

这种数据清除机制在我们的隐私政策第一条B节“保留和清除”中明确提到。

2.8 如果发生个人数据泄露，Virtualexpo集团会采取什么措施？

在其成立的20年里，由于不断改进个人数据保护措施，VirtualExpo集团从未发生过有关存储在其服务器上的信息的安全漏洞。我们的安全小组（security@virtual-expo.com）提高员工对最佳安全实践的认识，并定期传播有关新风险的信息。如果发生安全漏洞，将采用以下网络安全管理流程：

• 我们的安全小组将行动起来，以识别危险
• 尽快向可能受影响的个人或组织进行适当的沟通
• 作为预防措施，Virtualexpo集团可能会更改涉嫌网络攻击受害者的帐户密码

---

3.卖家在Virtualexpo集团的采购平台上的权利和义务

为了了解卖家在处理VirtualExpo集团传送的个人数据方面的法律义务，有必要了解VirtualExpo集团和采购平台上卖家在GDPR方面的法律地位。

RGDP承认两项法规，规定了参与者在处理个人数据方面的义务：“数据控制者”和“数据处理者”。

数据控制者
数据控制者是决定处理个人数据的方式和目的的行为者：如何以及为了什么目的收集和使用这些数据。有时，数据控制者将个人数据的处理分包给第三方公司：数据处理者。

分包商
分包商只负责数据的操作处理。只根据数字控制者的指示行事。分包商既不是个人数据的所有者，也不是决定数据处理目的的人。外包商的一个典型活动是提供IT解决方案，包括云存储（云中在线存储），或发送广告邮件的服务。数据处理者对数据控制者的义务必须在合同或其他法律行为中加以规定。

3.1 Virtualexpo集团的法律地位是什么？

VirtualExpo集团具有数据控制者的地位，因为它决定了传送给供应商的个人数据的使用方式和目的。

传递给卖家的访客的个人数据由VirtualExpo集团通过在线表格收集。当访客点击与他的需求相对应的按钮时，他就可以进入这些表格。这些按钮和表格是由VirtualExpo集团定义的，对我们Marketplace上的所有卖家都是相同的。

• 个性化定制询盘
• 咨询型号价格表
• 查看型号价格表
• 索取PDF产品资料
• 提问咨询
• 查看联系方式

在每个表格中，VirtualExpo集团都会告知访客，他的个人数据将被传送给卖家的内部或外部销售人员，该销售人员将能够根据他的要求并按照VirtualExpo集团的隐私政策与他联系。

3.2、供应商的法律地位是什么？

VirtualExpo集团采购平台上，卖家对VirtualExpo集团具有非联合和连续的数据控制者的地位：

• 连续的数据控制：

VirtualExpo集团在采购平台上收集的个人数据被传送给卖家，卖家可以在自己的服务器上复制这些数据，并将其用于自己的目的（需要同意）。

• 非联合数据控制 :

供应商和VirtualExpo集团是独立的。卖家不定义在VirtualExpo集团的采购平台上收集和使用个人数据的目的。相反，VirtualExpo集团并没有定义转移到卖家服务器的个人数据的使用目的。

3.3 卖家能否将处理个人数据的法律责任转移给Virtualexpo集团？

鉴于其相对于卖家的独立角色，VirtualExpo集团在法律上并不以卖家的名义和代表卖家作为分包商行事。因此，卖家不能通过要求VirtualExpo集团签署分包商的委托书，将处理个人数据的法律责任转移给VirtualExpo集团。这在一般销售条款和条件的第9.2条以及隐私政策的B节中有所解释，卖家在与VirtualExpo集团签订服务合同时接受这些条款和条件。

3.4 卖家如何根据GDPR处理通过Marketplace传送给它的个人数据？

GDPR要求连续的数据控制者获得我们Marketplace上的访客对其个人数据的使用的同意。在“型号价格表”询盘和销售线索的情况下，VirtualExpo集团收集了同意书，卖家及其销售网络不需要再次收集同意书。

对于“展台潜在客户”，Virtualexpo集团不寻求同意。我们通过隐私政策告知访客，他们的个人数据将被传递给他们简单访问过的供应商的展台。然后由卖家在与这些访客的第一次沟通中获得他们的同意。以下是对这三种类型的商业联系的描述，以及卖家在使用这些联系方式的权利和义务：

A.“展台潜在客户”

潜在客户采取的行动
潜在买家访问了卖家的展台。通过事先接受一个cookie，买家的个人档案可以被识别，并通过其安全结果页面传送给卖家。

卖家使用“展台潜在客户”个人资料的义务
根据GDPR第13、14、21和22条的规定，卖家必须获得“潜在客户群”的同意，才能与他们进行沟通，首先发送一封电子邮件，解释卖家通过什么渠道获得潜在客户的联系信息（VirtualExpo集团在线平台），以及未来沟通的目的和频率。这封电子邮件还必须包含：

• 对于专业买家（提供公司名称）: 允许潜在客户取消订阅未来通信的链接。 如果“展台潜在客户”不点击这个链接，卖家可以发送建议的通信（“选择退出”）。
• 对于个人（不提供公司名称）: 允许潜在客户同意接收卖家通信的按钮。 只有在点击后，卖家才能发送建议的通信（“选择加入”）。

在这两种情况下，卖家必须确保未来的通信遵守商定的目的和频率，并包括一个在任何时候取消订阅的链接。

B. “查看型号价格表”和“查看联系方式”的销售线索

潜在买家采取的行动
在访问了卖家的展台后，潜在买家点击了“查看型号价格表”或“查看联系方式”按钮，并在表格中输入了他的信息（姓氏、名字、电子邮件），以便获得所需的信息。在填写表格时，潜在买家被告知，他同意卖家或其销售网络的成员可以使用其个人数据与其联系，而不必事先征得他的同意。

卖家使用潜在客户个人数据的权利“查看型号价格表”和“查看联系方式”
通过点击展台上的按钮来获取具体信息，潜在买家已经同意由卖家的销售人员与之联系。因此，卖加可在采取此类行动后的几天内，在其展台上提出询盘。

C. 要求提供“个性化定制询盘”、“型号价格表”、“PDF产品资料”和“提问咨询”。

买家在询盘开始时采取的行动
在访问卖家展台后，潜在买家点击了“个性化定制询盘”、“型号价格表”、“PDF产品资料”和“提问咨询”按钮，并在表格中填写了他的信息（姓、名、电子邮件、电话号码），以便向卖家发送询盘。因此，潜在买家同意卖家（母公司、地区经理、分销商和与所售品牌有关的代理商）可以使用其个人资料与他联系。

卖家使用与询盘有关的个人数据的权利
发送询盘的买家希望能及时得到联系。建议销售人员通过电话或电子邮件直接回复询盘。

---

Virtualexpo集团与您一起

为了使供应商能够随时记住他们在处理访客个人数据方面的权利和义务，VirtualExpo集团在后台的“我的结果”页面中提供了一个摘要。此外，为了避免无意中滥用个人数据，VirtualExpo集团要求供应商勾选一个方框，承认他们在GDPR下的义务，以便访问这些数据。

如果您对VirtualExpo集团采购平台上的个人数据保护有更多问题，请发送电子邮件至dpo@virtual-expo.com。