隐私政策

尊敬的用户,

GSD Sistemi e Servizi S.c. a r.l.(以下简称“GSDSS”),注册地址为意大利米兰市斯帕多利尼街4号(Via Spadolini no. 4),致力于保护网站用户(以下简称“网站”)的在线隐私。为此,GSDSS依据《欧盟通用数据保护条例》(EU Regulation 2016/679,以下简称“条例”)第13条规定,制定了本《隐私政策》,以帮助您了解GSDSS的隐私保护立场,以及在您使用本网站期间我们如何处理您的个人信息。同时,本政策还将向您提供有关信息,以便您在适当情况下明确且知情地同意我们对您个人数据的处理行为。

通常情况下,您通过网站向GSDSS提供的任何信息与数据,或GSDSS通过网站在提供服务(以下简称“服务”)过程中收集的数据,均将根据《条例》规定由GSDSS以合法、公正、透明的方式进行处理。

为此,如下文所述,GSDSS遵循国际公认的个人数据处理原则,例如目的限制、存储限制、数据最小化、数据准确性及保密性原则。

 

 

目录

  1. 数据控制者与数据保护官
  2. 数据主体
  3. 处理的个人数据
  4. 处理目的、合法依据与数据保留期限
  5. 个人数据的接收方
  6. 个人数据的跨境传输
  7. 数据主体的权利

 

 

1. 数据控制者与数据保护官

通过本网站收集的数据的处理控制者为GSDSS(详见本隐私政策顶部信息)。若您有任何关于个人数据处理的问题,可通过以下邮箱联系:amministrazione.gsdss@grupposandonato.it
GSDSS已指定一位数据保护官(“DPO”),可通过以下电子邮件地址联系:rpd.gsdss@grupposandonato.it

请注意,在网站的某些板块中,例如“预约申请”和“申请第二意见”,由您选择或指定的圣多纳托集团所属医疗机构(以下简称“医疗机构”)将作为独立数据控制者处理您的个人数据。

相关医疗机构包括:

  • Policlinico San Donato S.p.A.
  • Ospedale San Raffaele S.r.l.
  • Ospedale Galeazzi-Sant'Ambrogio S.p.A.
  • Casa di Cura La Madonnina S.p.A.
  • Istituti Clinici Zucchi S.p.A.
  • Istituti Ospedalieri Bergamaschi S.p.A.
  • Istituti Ospedalieri Bresciani S.p.A.
  • Istituti Clinici di Pavia e Vigevano S.p.A.
  • Istituto Clinico Villa Aprica S.p.A.
  • Villa Erbosa S.p.A.
  • H San Raffaele Resnati S.r.l.
  • Smart Dental Clinic S.r.l.

在此类情况下,GSDSS仅作为网站技术提供方,依照GDPR第28条担任数据处理者(Processor)。

 

2. 数据主体

本隐私政策所述的数据主体为网站用户,即您本人。

 

3. 处理的个人数据
当您使用本网站时,GSDSS将收集并处理有关您的信息(作为个人),例如姓名、在线标识符或健康信息,这些信息单独或结合其他信息可识别您的身份。若您提供与他人相关的信息,GSDSS也可能以同样方式处理其个人数据。

这些信息被归类为“个人数据”,GSDSS可能通过您主动提交(如订阅简讯或请求服务)或分析您在网站上的行为方式获得。

  • 浏览数据

网站的正常运行,如同所有互联网网站一样,会自动调用计算机系统及软件程序,这些程序在正常运行中会收集关于用户的技术信息。虽然GSDSS并不会主动将这些数据与具体用户关联,但通过这些信息本身或与其他信息结合,仍可识别特定用户,因此也属于个人数据。

该类信息包括:您的IP地址、地理位置(国家)、设备域名、访问的资源URI地址、请求时间、向服务器提交请求的方法、返回响应文件的大小、服务器返回的状态码(如成功或错误)等。

这些数据仅用于生成网站使用的统计信息、确保网站安全性和检测错误或滥用行为。除安全目的外,数据保留不超过7个工作日。

  • 特殊类别的个人数据

在网站的某些区域(如“预约”部分),您可能在自由文本栏中提交信息,这可能会(无意或故意)披露《条例》第9条所述的特殊类别个人数据,例如:种族或民族出身、政治观点、宗教或哲学信仰、工会成员资格,或涉及健康、性行为、性取向、基因或生物特征信息。

GSDSS建议您不要通过网站披露任何敏感个人数据,除非您认为绝对必要。

如您自行决定披露上述信息,GSDSS将不会为此类数据处理负责,因其属于您根据《条例》第9条第1款(e)项自愿公开的数据。无论如何,若您选择共享此类信息,请确保您明确同意相关处理。

  • 他人个人数据

如前所述,您可在网站中输入有关其他第三方的个人数据。在此类情形下,您将被视为该数据的独立控制者,并须承担所有相关法律义务和责任。

这意味着,您必须确保在向GSDSS提供第三方数据之前,已经取得其授权或有其他合法依据,否则应为GSDSS因处理此类数据而可能产生的索赔或损失承担赔偿责任。

  • Cookie(网络追踪器)

Cookie政策可通过GSDSS网站上的以下链接(link)查看。

 

4. 处理目的、合法依据与数据保留期限

GSDSS根据下列目的处理通过网站收集的个人数据:

a. 提供您在网站中请求的服务

例如在“预约申请”、“第二意见”或“回电请求”中,系统将要求您提供以下数据:基本识别信息(如姓名、出生日期、性别、国籍、常驻国家)、联系方式(如电子邮箱、电话号码),以及您在信息栏中填写的任何其他数据,包括特殊类别数据。

合法依据:GDPR第6条第1款(b)项(履行合同前的必要措施);特殊数据的处理基于第9条第2款(a)项(明确同意)。

数据保留期限:仅保留至满足请求所需的最短期限。

b. 发送与医疗服务体验相关的调查问卷

合法依据:GDPR第6条第1款(f)项(出于控制者的合法利益)。

数据保留期限:仅限为达成此目的所需时间。

c. 商业推广信息(市场营销)

合法依据:GDPR第6条第1款(a)项(经同意);特殊数据依据第9条第2款(a)项(明确同意)。

数据保留期限:自同意之日起或撤回前最多保留36个月。

d. 个性化推广与自动化画像分析(Profiling)

合法依据:GDPR第6条第1款(a)项;特殊数据同样基于第9条第2款(a)项。

数据保留期限:36个月或直至您撤回同意为止。

e. 为司法或非司法的权利主张或辩护目的处理数据

合法依据:GDPR第6条第1款(f)项(控制者的合法权益)。

数据保留期限:保留至诉讼时效终止,或法律允许的最长期限。

f. 网站安全目的处理数据

合法依据:GDPR第6条第1款(f)项。

数据保留期限:仅保留至验证网站安全所必需的期限。

 

5. 个人数据的接收方

您的个人数据可能会共享给以下“接收方”:

  • 依据GDPR第28条规定的委托处理者;
  • 向GSDSS提供财务、税务、法律、行政、催收等专业服务的顾问;
  • 与服务提供相关的供应商(如主机托管、电子邮件平台等);
  • 承担网络与通信系统技术维护的专业人员;
  • 基于法律或监管义务必须共享的公共机构或司法机关;
  • 受GSDSS授权且经培训承担服务相关任务的内部员工,他们须签署或受制于保密义务。

 

6. 个人数据的跨境传输

您的数据可能会传输至位于不同国家的接收方。GSDSS将采取适当保障措施以确保数据传输的合法性与安全性,例如:依赖欧盟委员会的适当性决定、标准合同条款或其他被认定为合规的机制。

GSDSS不计划将您的数据传输至欧盟以外地区,如确属必要,将仅在符合适用法律前提下进行,并基于欧盟批准的标准条款或其他适当保障手段。您可联系控制者或DPO以获得进一步信息。

 

7. 数据主体的权利

根据GDPR第15至22条,您拥有以下权利:

  • 确认您的个人数据是否正在被处理,并可访问其内容;
  • 要求更正或删除您的数据,或限制处理;
  • 在合法利益无优先权的情况下,反对处理;
  • 若数据并非由您本人提供,有权知晓其来源;
  • 知晓是否存在自动决策流程(包括画像分析)及其逻辑与可能后果;
  • 在GDPR及相关法规允许范围内,有权进行数据可携权(以结构化、通用、可读格式接收并传输数据);
  • 随时撤销已授予的同意(不影响撤销前基于同意的处理合法性);
  • 根据《隐私法典》第140条之二,有权向数据保护监督机构提出申诉或依法提起诉讼。

所有请求应通过书面方式发送至本政策第1段所列控制者或DPO。

 

 

最后更新日期:2025年9月26日