个人数据保护

为了支持这项合规要求，达索系统在达索系统集团内部实施了个人数据保护合规计划（"数据隐私计划"）。该计划的主要原则如下：

• 任命集团数据保护官，并成立跨职能的隐私小组，负责督管内部和利益相关方的合规要求。该团队负责：
  • 管理达索系统在数据隐私法和政策方面的内部合规性；
  • 持续识别和监控达索系统解决方案、网站和通信的改进，使利益相关者能够实现隐私法合规，包括但不限于 GDPR。
• 部署达索系统关于隐私的全球培训计划，以确保达索系统员工拥有高度意识。比如，员工必须同意遵守达索系统的商业行为准则、IT规章和数据隐私政策，并必须参加有关安全和隐私的强制性道德和合规培训，包括：
  • 防止数据安全受到威胁。
  • 确保物理数据和工作站安全；清洁办公桌政策。
  • 个人数据保护和保密。
  • 商业道德行为；反腐败和竞争法律原则。
  • 事件管理；识别和报告潜在威胁。我们不断提高整个组织的安全和隐私意识。
• 采取技术和组织措施保护个人数据。这些措施会根据达索系统的标准不时更新，以反映发展变化。达索系统专门为3DEXPERIENCE平台SaaS通过了ISO 27001:2022 （信息安全管理）和ISO 27701:2019（个人数据保护管理）认证，作为控制者处理在此背景下提供的个人数据，以及作为处理者处理在客户控制下并在此环境中处理的个人数据。其他云产品也已通过认证。更多信息，请参阅达索系统年度报告。
• 执行公司间数据处理协议，其中包括确定达索系统集团公司之间责任的联合控制条款。如果您对本协议有任何疑问，或希望了解本协议的实质内容，请填写以下联系表：https://www.3ds.com/zh-hans/privacy-policy/contact/。

2024年内，未有任何由公共机构转交的当事人投诉，也未收到任何发送给集团数据保护官的跨境个人数据传输请求。

在业务活动过程中，达索系统根据某些适用的数据隐私法律，充当数据控制者或数据处理者。指定一个实体作为控制者或处理者意味着承担不同的义务。

为了满足达索系统的需要，达索系统作为数据控制者并根据其隐私政策处理个人数据。本隐私政策提供以下信息：

• 达索系统可能收集的个人数据类型（如联系方式）；
• 如何收集个人数据；
• 处理个人数据的目的和法律依据（如遵守法律、经本人同意用于营销目的）；
• 数据主体对其个人数据的权利和选择：根据其所处的司法辖区，他们可能享有与达索系统处理其个人数据相关的法律权利，包括访问、更正、删除、转移或反对处理个人数据的权利。无论他们居住在哪里，达索系统将尊重他们拒绝营销性联络的要求；
• 如何联系达索系统。

相反，当达索系统向企业提供某些达索系统解决方案（如云上 3DEXPERIENCE 平台）和服务时，达索系统作为数据处理者根据企业要求处理和存储个人数据。达索系统的客户和其他业务利益相关者（以下简称 "客户"）视为数据控制者，并在使用达索系统的解决方案时，根据其具体业务要求，最终负责确定如何遵守适用的数据隐私法。因此，客户需要确定何时应处理个人数据（根据适用的数据保护法律删除或修改），或何时应保留个人数据以用于记录保存或监管、行业或法定目的。达索系统有责任在其发布的解决方案中加入相关功能，使客户能够遵守适用的数据保护法规。因此，达索系统的解决方案是根据 "设计隐私 "和 "默认隐私 "的概念设计的，旨在确保从设计阶段就将隐私融入到应用程序中。

当达索系统为了使客户得以操作各类业务而向其客户提供此类解决方案时，包括收集、处理和存储个人数据，达索系统根据客户的指示处理这些数据，而不控制或拥有客户所提供的个人数据。客户的指示可能包括为提供或开发达索系统的解决方案和服务用途而处理或使用个人数据。

此外，在某些情况下，达索系统可能会使用第三方供应商协助其客户，例如提供技术或运营服务，包括数据托管、传输和存储。该等供应商在提供服务的过程中可能会访问、处理或存储个人数据。达索系统与该等供应商签订合同，限制其访问、使用和披露个人数据，以遵守数据隐私法，包括达索系统在数据隐私框架下的义务，详见下文。如果该等第三方未能履行这些义务，达索系统可能要承担责任，并对造成损害的事件负责。

由于达索系统在处理客户通过使用达索系统解决方案或服务而提供的个人数据时是处理者，因此个人如需访问、更正、修改或删除其个人数据，应联系作为控制者的客户。在某些情况下，个人可以自行执行这些操作。如果客户要求达索系统删除个人数据以遵守数据隐私法规，达索系统将在符合适用数据隐私法律的期限内对客户的要求做出回应。

达索系统作为处理者时，由客户负责提供限制使用和披露个人数据的权利和选择。根据双方签署的协议，达索系统承诺协助其客户遵守适用的数据隐私法律，提供并实现这些权利和选择。

Dassault Systèmes Americas Corporation 和 Dassault Systèmes SolidWorks Corporation 作为数据控制者或数据处理者时，遵守美国商务部规定的欧盟-美国数据隐私框架 (EU-U.S. DPF)、欧盟-美国数据隐私框架的英国扩展条款以及瑞士-美国数据隐私框架 (Swiss-U.S. DPF)。Dassault Systèmes Americas Corporation和Dassault Systèmes SolidWorks Corporation已通过美国商务部认证他们遵守以下规定：

• 欧盟-美国数据隐私框架原则 (EU-U.S. DPF Principles)，适用于根据欧盟-美国数据隐私框架原则处理从欧盟收到的个人数据，以及根据欧盟-美国数据隐私框架英国扩展条款处理从英国（和直布罗陀）收到的个人数据。
• 瑞士-美国数据隐私框架计划原则 (Swiss-U.S. DPF Principles)，用于处理根据瑞士-美国数据隐私框架计划从瑞士收到的个人数据。

如果本承诺中的条款与欧盟-美国数据隐私原则和/或瑞士-美国数据隐私原则之间存在任何冲突，应以该原则为准。要了解有关数据隐私框架计划的更多信息，并查看Dassault Systèmes Americas Corporation和Dassault Systèmes SolidWorks Corporation的认证，请访问数据隐私框架网站 https://www.dataprivacyframework.gov/ 。

查询或投诉：为了遵守数据隐私框架原则，Dassault Systèmes Americas Corporation和Dassault Systèmes SolidWorks Corporation承诺其根据数据隐私框架原则使用或收集转移至美国的个人数据时处理相关的隐私投诉。欧盟、瑞士和英国的个人如对数据隐私框架有疑问或投诉，应先通过此处提供的联系表格联系达索系统：https://www.3ds.com/zh-hans/privacy-policy/contact/

个人也可将任何查询或投诉邮寄至：

Dassault Systèmes Americas Corp.
Attn: Legal Department, Americas Data  Protection Officer

175 Wyman Street
Waltham, MA 02451- 美国

或邮寄至欧洲经济区的母公司，地址：

Dassault Systèmes SE

Attn: Legal Department, Group Data Protection Officer

10 Rue Marcel Dassault
78140 Vélizy-Villacoublay - 法国

个人也可向当地数据保护机构投诉，达索系统将与他们合作解决他们的问题。为遵守欧盟-美国数据隐私框架，欧盟-美国数据隐私框架英国扩展条款和瑞士-美国数据隐私框架，Dassault Systèmes Americas Corporation和Dassault Systèmes SolidWorks Corporation承诺其处理根据欧盟-美国数据隐私框架，欧盟-美国数据隐私框架英国扩展条款和瑞士-美国数据隐私框架接收的个人数据时，将配合欧盟数据保护主管机构成立的小组、英国信息专员办公室和瑞士联邦数据保护和信息专员并依据其建议处理相关未决投诉。

如果上述渠道无法解决投诉，在某些情况下，个人可就某些尚未解决的残余诉求寻求有约束力的仲裁。参见 https://www.dataprivacyframework.gov/s/article/G-Arbitration-Procedures-dpf?tabset-35584=2 。

强制披露：Dassault Systèmes Americas Corporation 和 Dassault Systèmes SolidWorks Corporation 可能需要根据主管机构的合法要求披露个人数据，包括为了满足国家安全或执法要求。除非法律禁止，Dassault Systèmes Americas Corporation将视情况通知其客户和相关个人任何该等要求。

美国联邦贸易委员会的调查和执法：Dassault Systèmes Americas Corporation和Dassault Systèmes SolidWorks Corporation根据数据隐私框架作出的承诺受美国联邦贸易委员会调查和执法权力的约束。