达索系统一直将客户和合作伙伴的个人数据保护问题作为关注重点，并意识到处理此类数据的责任。自引入欧盟通用数据保护条例（GDPR）以及其他数据保护法律以来，达索系统不断重申其数据隐私承诺，通过新功能改进其解决方案，使相关利益相关方能够管理其数据隐私合规计划。

达索系统重视客户、用户、员工和全球生态系统的信心。因此，任何收集、使用、披露和传输的个人数据均符合达索系统开展业务所在国家/地区的法律、法规和惯例，这是达索系统的管理方式。

达索系统如何解决数据隐私合规问题？

为支持该合规性，达索系统在达索系统集团内实施了数据隐私合规计划。该计划基于以下主要原则：

任命一名集团信息保护官并建立一个跨职能的数据隐私团队，负责监督集团内部和利益相关方的合规要求。该团队负责：
- 管理达索系统在数据保护法律和隐私政策方面的内部合规性；
- 不断识别和监测对达索系统解决方案、网站和通信的改进，使利益相关方能够遵守数据隐私法，包括但不限于 GDPR。
部署达索系统关于数据隐私的全球培训计划，以确保达索系统员工的高度认同。因此，员工必须同意遵守我们的商业行为准则、IT 章程和数据保护政策，并且必须遵守针对安全和隐私的强制性道德和合规培训，包括：
- 防止对数据安全的威胁。
- 保护物理数据和工作站；清洁办公桌政策。
- 个人数据保护和保密。
- 合乎道德的商业行为；反腐败和竞争法原则。
- 事件管理；识别和报告潜在威胁。我们在整个组织内不断培养安全和隐私意识。
实施技术和组织措施来保护个人数据。这些措施会不时更新，以反映达索系统标准的发展变化。达索系统通过了3DEXPERIENCE 平台 SaaS ISO 27001:2017（信息安全管理）和 ISO 27701:2019（个人数据保护管理）特别认证，作为处理在此上下文中提供的个人数据的控制者，以及处理客户控制并在此环境中处理的个人数据的处理者。其他云产品也经过认证。欲了解更多信息，请参阅达索系统年度报告。

数据控制者与数据处理者的职责是什么？

在其业务活动过程中，达索系统根据某些适用的数据隐私法规扮演着数据控制者或数据处理者的角色。将实体指定为控制者或处理者需要承担不同的义务。

达索系统在其内部工具（例如金融系统）中处理个人数据以满足其自身需求时扮演着数据控制者的角色。

相反，达索系统在向企业提供某些达索系统解决方案（如：云上的 3DEXPERIENCE 平台）以及应企业要求向企业提供处理和储存个人数据的服务时，它扮演着数据处理者的角色。达索系统的客户被视为扮演着数据控制者的角色，在这方面，他们最终负责在使用达索系统解决方案时，根据其特定业务需求确定他们将如何遵守适用的数据保护法律。因此，客户需要确定何时应处理个人数据（根据适用的数据保护法律删除或修改）或何时应出于记录保存或监管、行业或法定目的保留这些数据。达索系统有责任发布其解决方案，这些解决方案有着使客户能够遵守适用的数据保护法的功能。正因如此，达索系统的解决方案是根据“Privacy by Design（从设计入手保护隐私）”和“Privacy by Default（默认保护隐私）”的概念设计的，旨在确保从设计阶段就将隐私集成到应用程序中。