隐私政策 - 中国大陆

MYTHERESA：奢侈时尚精选应用程序隐私政策

备案主体 (registration party)：黛立夏商务信息咨询（上海）有限公司

主体备案号 (registration number)：沪ICP备19028211号

APP名称 (name)：Mytheresa美遴世   

移动应用程序ICP备案号(mobile app ICP registration number): 沪ICP备19028211号-3A

数据处理控制者

负责的控制者和服务提供商：mytheresa.com GmbH

Mytheresa（奢侈时尚精选应用程序）是由mytheresa.com GmbH开发的移动应用程序，并由黛立夏商务信息咨询（上海）有限公司（注册地位于：上海市静安区北京西路968号1176、1177室）负责中国大陆地区的运营。

privacy@mytheresa.com

Einsteinring 9

85609 Aschheim/Munich。

我们对保护您的个人数据看作是重中之重。因此，我们将在以下页面中说明在您访问期间我们收集的数据及其用途。如果您仍然对您的个人数据的处理有疑问，请联系我们的数据保护专员。

在技术的不断发展、我们的服务或法律方面的变更以及其他原因的影响下，我们可能需要对数据保护声明进行调整。因此，我们保留随时更改此数据保护声明的权利，并希望您定期自行了解更新的声明。

本隐私政策中对GDPR条款的引用应理解为还包括对中国数据保护法律（包括但不限于《中华人民共和国个人信息保护法》）项下与GDPR相关条款所载规定与内容实质相似的条款（如有）的引用。

数据保护专员

负责的数据保护专员是：

Wolfgang Steger

privacy@mytheresa.com

Am neuen Weg 21

82041 Oberhaching

1数据处理的基本信息

1.1 个人数据处理的范围

我们仅出于满足提供网站、移动应用程序以及随技术发展出现的各类新形态产品（简称“网站”）的正常功能、提供内容和服务以及实现业务目的之所必需的范围内，对用户个人数据进行基本的收集和使用。通常，只有在获得用户同意后，我们才会收集和使用用户的个人数据。因事实原因无法获得事先同意以及根据法定要求允许处理数据的情况例外。

您已知悉、理解并同意以下内容：在大多数情况下，我们收集的关于您的数据不被认为是敏感信息，但在特定情况下，我们可能会收集您的敏感个人数据。在我们可能收集与您相关的数据的情况下，以下数据可能被视为敏感个人数据：金融账户信息、支付信息、交易和购买记录、地址或位置信息（在可能会暴露您的个人行踪的范围内）以及商品浏览记录等。处理该类敏感个人信息的必要性以及对您权益的影响详见以下各场景的描述，在处理与您相关的敏感个人数据的情况下，我们会向您告知该处理活动并取得您的单独同意。在上述每种情况下，我们都会确保，收集和处理您的个人数据具有特定目的（本隐私政策的后续章节中说明了处理特定敏感个人数据的目的）且具有充分必要性（原则上是我们提供您所请求的内容和服务所必需），并且我们处理您的敏感个人数据时将采取严格的安全措施，以对您的个人权益影响最小的方式进行处理。

1.2处理个人数据的目的和法律依据

我们处理个人数据只是为了履行我们的合同义务或维护我们的首要合法权益。我们的合法权益即是实现我们的业务目的。

在我们获得数据主体同意处理个人数据的情况下，处理个人数据的法律依据是《欧盟通用数据保护条例》(EU-GDPR)第6条第1款第1句a项和/或《中华人民共和国个人信息保护法》第十三条第（一）项。

为履行以合同方为数据主体的合同而需进行个人数据处理时，法律依据是GDPR第6条第1款第1句b项和/或《中华人民共和国个人信息保护法》第十三条第（二）项。这也适用于执行合同前措施所必需的处理操作。

对于履行我们公司必须遵守的法律要求而需处理个人数据的情况，法律依据是GDPR第6条第1款第1句c项和/或《中华人民共和国个人信息保护法》第十三条第（三）项。

对于因维护数据主体或其他自然人的重要权益而必须处理个人数据的情况，法律依据是GDPR第6条第1款第1句d项和/或《中华人民共和国个人信息保护法》第十三条第（四）项。

如果出于保护我们公司或第三方的合法权益之目的而处理个人数据，并且这些权益并未凌驾于首要权益相关的数据主体的权益、基本权利和自由之上，处理个人数据的法律依据是GDPR第6条第1款第1句f项。

1.3 接收者和个人数据类别、相同来源和数据传输

我们将个人数据提供给业务合作伙伴和服务提供商，以实现业务目的。此外，为了实现业务目的，我们使用客户和业务合作伙伴提供的常用联系方式和地址数据。我们通常会直接从数据主体接收个人数据，或者在获得数据主体同意的情况下以及在例外情况下从第三方接收个人数据。

除非以下各节中有相悖的陈述，我们不会向第三方提供您的数据，除非我们在法律上有义务这样做，或者需要进行数据传输以履行合同关系，或者您先前已明确同意我们向第三方提供您的数据。外部服务提供商和合作伙伴公司（例如，在线支付服务提供商或负责配送的运输公司）仅在执行订单等必要情况下才会接收您的数据。而且在这些情况下，我们会将传输数据的范围限制在所需的最小范围内。当我们的服务供应商得以访问到您的个人数据时，我们保证会以同样的方式遵守数据保护法律的规定。另请注意各个提供商亦有其各自的数据保护声明。各个服务提供商应对其提供的第三方服务的内容负责，据此我们会在合理预期的范围内核实这些服务是否符合法定要求。在向第三方提供您的数据的情况下，您可以通过联系privacy@mytheresa.com向我们咨询数据处理的目的、方式和范围，以及共享的第三方身份、目的及数据类型以获得您的同意。

您已知悉、理解并同意以下内容：为了提供您所请求的内容和服务、实现我们的商业目的以及实现网站的基本功能，我们可能会将您的个人数据提供给第三方，包括电子邮件服务提供商（详见5节）、支付服务提供商（详见8节）、物流服务提供商（详见9节）、调查服务提供商（详见14节），反欺诈服务提供商（详见19、20和21节）以及其他业务合作伙伴。

根据业务发展需要、服务和内容提供商的变动以及其他原因，我们有权自行决定更换业务合作伙伴。在适用法律要求的范围内，我们将通知您此类业务合作伙伴的身份、他们可能收到的您个人数据的类型、处理您个人数据的目的以及其他法定信息，并且征得您对该等个人数据传输的单独同意（如需）。

1.4 向第三方国家/地区的数据传输

您已知悉、理解并同意：我们主要在中国大陆之外的地区处理您的个人数据，并在中国大陆之外的地区存储您的个人数据。在适用法律要求的范围内，我们将通知您该等数据传输，并且征得您对该等个人数据传输的单独同意（如需）。

我们基本上不会将个人数据提供给第三方国家/地区（即欧盟以外的国家/地区）的接收者。如果将数据提供给第三方国家/地区的接收者，我们保证，不但我们会征求该等提供所需的许可，而且第三方国家/地区的接收者亦会确保数据得到足够的保护（或遵守GDPR第49条第1款规定的适用于特定情况的克减条款）。

在特定情况下，我们会将个人数据提供给第三方国家/地区（即欧盟以外的国家/地区）的接收者。

·      美利坚合众国

针对这些特定情况，我们保证遵守以下条款，如GDPR第44条所述：

·      欧盟标准合同条款

·      隐私盾

1.5数据安全

我们已采取了广泛的技术和组织预防措施，以保护您的数据免于意外或故意的操纵、丢失、破坏或未经授权人员的访问。我们会随着技术的进步定期检查和修改安全程序。

1.6 数据删除和存储期限

一旦存储的数据主体的个人数据不再适用于我们的目的，我们便会将其删除或禁用。如果欧洲或国家立法者在欧盟法规、法律或责任人需遵守的其他规定或其他适用数据保护法律中要求删除或禁用数据，则我们会对存储数据执行要求的操作。如果所引用标准规定的法定存储期到期，除非为了签订或履行合同而需要继续存储数据，否则我们将会禁用或删除数据。

2访问我们网站时的一般数据收集

当您纯粹为获取信息而访问网站时，即当您没有在我们的网站注册或向我们传输其他信息时，我们仅会收集您的浏览器传送到我们服务器的个人数据。

在权益平衡的框架内，根据GDPR第6条第1款第1句f项，我们考虑并权衡了我们在服务提供方面的权益以及您在根据数据保护要求处理个人数据方面的权益。由于以下数据是我们提供技术服务所必需的，以便您能够访问我们的网站并确保网站的稳定性和安全性，特别是为了保护您的数据免遭滥用，我们得出这样的结论：在充分考虑到根据数据保护要求处理数据的权益的情况下，结合基于技术状态对数据安全的保证，我们可以处理以下这些数据。

数据收集的描述和范围

无论用户何时访问我们的网站，我们的系统都会自动记录访问计算机的计算机系统中的数据和信息。

我们收集以下数据：

1. 有关使用的浏览器类型和版本的信息

2. 用户的操作系统和界面

3. 用户的互联网服务器提供商

4. 用户的IP地址

5. 访问状态/http状态代码

6. 访问日期和时间

7. 与格林威治标准时间的时区差

8. 请求内容（具体的互联网页面）

9. 传输的数据量

10. 将用户系统转到访问我们网站的网站

11. 用户系统通过我们网站访问的网站

12. 关于移动终端设备：智能手机、平板电脑或其他移动终端设备的制造商和型号名称、Android ID （当我们使用相关SDK时；有关详细的SDK列表可见本隐私政策末尾附表）

13. 低级别跟踪程序

这些数据同样存储在我们系统的日志文件中。不过这些数据不会与用户的其他个人数据一起存储。

数据处理的法律依据

临时存储数据和日志文件的法律依据是GDPR第6条第1款第1句a项和f项和/或《中华人民共和国个人信息保护法》第13条。

数据处理的目的

系统需要临时存储IP地址，以便将网站内容传输到用户计算机。为此，用户的IP地址在会话期间一直保存。

为了确保网站正常提供服务，需要将所需数据存储在日志文件中。此外，这些数据还有助于优化网站并确保我们IT系统的安全。特别是我们的网站和其他IT系统帮助我们适应用户所使用的浏览器、操作系统和终端设备。

在这种情况下，我们不会出于营销目的对数据进行评估。

根据GDPR第6条第1款第1句f项和/或《中华人民共和国个人信息保护法》第十三条，这些目的也是我们在数据处理方面的合法权益。

存储期限

一旦收集的数据不再为实现目的之所必需，我们会立即将其删除。如果记录数据是为了提供网站内容，则结束会话时数据即会被删除。

对于将数据存储在日志文件中的情况，我们最晚会在七天后删除相关数据。不过我们也可能在超出此期限后仍继续保存这些数据。在这种情况下，用户的IP地址会被删除或扭曲，因此无法再识别发出请求的客户端。

反对权利和删除权利

为提供网站服务而进行的数据记录以及在日志文件中存储数据对于网站的正常运行是相当必要的。因此，用户不能对此提出反对；用户对该等数据记录和日志文件的临时存储有异议的，应立即停止访问本网站。

3注册

用户可以在我们的网站上输入个人数据进行注册。用户可以借助输入掩码输入数据，然后我们便会收到传送的数据并将对其进行存储。这些数据不会被提供给第三方。我们会在用户的注册过程中收集以下数据：

• 敬称

• 学术称谓（可选）

• 名字

• 姓氏

• 电子邮件

• 密码

• 地址

• 电话号码

• 公司（可选）

• 国家/地区

• 打包站（如有）

• CPF — 自然人注册（仅限巴西）

在用户注册时，我们还会存储以下数据：

1. 用户的IP地址

2. 注册日期和时间

3. 客户编号

4. 实体ID

5. 电子邮件哈希

在注册过程中，我们会要求用户同意我们处理上述数据。注册完成后，您将获得受密码保护的个人访问权限，并且可以查看和管理注册数据。注册是自愿进行的，但可能是使用我们服务的前提条件。

在这方面，我们会将您的数据将提供给我们的电子邮件服务提供商Emarsys，以便我们可以向您发送电子邮件以确认注册。

数据处理的法律依据

假设获得用户同意，则我们处理用户数据的法律依据是GDPR第6条第1款第1句a项和/或《中华人民共和国个人信息保护法》第十三条第（一）项。

如果注册是为了履行合同（合同方作为用户），或者为了在签订合同之前采取措施，则我们处理数据的法律依据仍为GDPR第6条第1款第1句b项和/或《中华人民共和国个人信息保护法》第13条第（二）项。

数据处理的目的

客户要使用我们提供的某些内容和服务，特别是扩展使用我们的网上商店时，必须进行用户注册。此外，用户注册还用于履行与用户签订的合同，或者在签订合同前采取措施。注册特指因使用我们的网上商店而进行的注册。

以下种类商品的销售合同通常通过网上商店签订：

• 服饰

• 鞋履

• 包袋

• 配饰（包括珠宝）

• 童装

• 家居用品

• 礼品券

存储期限

一旦收集的数据不再为实现目的之所必需，我们会立即将其删除。

如果在我们网站上的注册被取消或修改，则在注册过程中收集到的数据便会被删除。

如果注册过程中收集的数据是履行合同或在签订合同之前采取措施所必需的，则只有当不再需要这些数据来履行合同时才会将其删除。即使在签订合同后，我们可能仍需要存储个人数据以履行合同或法定义务。

存储个人数据是我们为防止欺诈而采取的一种措施。

对于防止欺诈目的，数据的删除期限为6个月，对于打击实际欺诈企图，数据的删除期限为6个月。

反对权利和删除权利

作为用户，您可以随时取消注册。您可以随时更正所存储的有关您的数据。

如果您想注销帐户并删除所有个人信息和数据，请发送电子邮件至delete-account@mytheresa.com 联系我们，我们将在1个月或适用法律所要求更短的时限（如15个工作日）内进行处理。

如果数据是履行合同或在签订合同之前采取措施所必需的，则只有在没有与之相悖的合同或法定义务的情况下，我们才可能提前删除数据。

4联系信息

我们的网站上提供了联系表，以便用户通过电子方式联系我们。如果用户使用此种方式联系我们，则我们会收到其借助输入掩码输入的传送数据并对其进行存储。这些数据包括：

以下为借助输入掩码输入的数据列表：

1. 名字和姓氏

2. 电子邮件地址

3. 主题

4. 邮件正文

发送信息时数据不会被存储。或者，用户可以通过提供的电子邮件地址联系我们。在这种情况下，我们会存储通过电子邮件传输的用户个人数据。但是我们不会将数据提供给第三方。我们仅会将数据用于处理对话。

数据处理的法律依据

如果获得用户同意，则我们处理数据的法律依据是GDPR第6条第1款第1句a项和/或《中华人民共和国个人信息保护法》第十三条第（一）项。

处理在发送电子邮件时传输的数据的法律依据是GDPR第6条第1款第1句a项和/或《中华人民共和国个人信息保护法》第十三条第（一）项。如果用户通过电子邮件联系我们的目的是签订合同，则我们处理数据的法律依据同样是GDPR第6条第1款第1句a项和/或《中华人民共和国个人信息保护法》第十三条第（一）项。

数据处理的目的

对借助输入掩码输入的个人数据的处理仅在用户联系我们的过程中进行。在用户通过电子邮件联系我们的情况下，我们在处理数据方面同样有着必要的合法权益。

在信息发送过程中以其他方式处理个人数据是为了防止滥用联系表，并确保我们IT系统的安全。

存储期限

一旦收集的数据不再为实现目的之所必需，我们会立即将其删除。对于借助输入掩码输入的联系表中的个人数据和通过电子邮件发送的个人数据，我们在结束与用户的对话时便会将其删除。如果对话情况表明相关讨论问题已经得到清楚明确的解释，则我们认为对话已结束。

在信息发送过程中额外收集的个人数据最晚会在七天后删除。

反对权利和删除权利

用户可以随时撤回其对处理个人数据的同意。如果用户通过电子邮件联系我们，则用户可以随时对我们存储其个人数据这一行为提出反对。在用户提出反对的情况下，我们将无法继续与用户的对话。

您可以通过发送电子邮件至privacy@mytheresa.com，告知我们您撤回同意以及您反对我们存储您的个人数据。

在这种情况下，我们会删除在与用户联系期间存储的个人数据。

5时尚快报

我们采用“确认加入”程序。“确认加入”程序是指我们直接向您提供的电子邮箱地址发送欢迎邮件，并将保存您的邮箱地址。保存地址的唯一目的在于能够向您发送时尚快报。此外，我们还会在您注册并确认时以及其他时候保存您的IP地址，以防您的个人信息被滥用。

电子邮件服务提供商：时尚快报由Emarsys eMarketing Systems GmbH（Hans-Fischer-Straße 10，80339 Munich，Germany）发送，以下简称为“电子邮件服务提供商Emarsys”。您可以通过访问以下网址查看相关隐私政策：https://www.emarsys.com/de/datenschutzrichtlinie/。

此外，时尚快报也由 D Martech China（以下简称“邮件服务提供商 Webpower”，地址：中国上海黄浦区黄陂南路 380 号新力中心 5 楼）发送。您可以在此处查看邮件服务提供商的隐私政策:  https://www.webpowerchina.com/zh/privacy

电子邮件地址是发送时尚快报所需的唯一信息。您可以出于自愿向我们提供额外的、特别标记的信息，我们仅会出于为您提供个性化时尚快报的目的对其进行使用。此外，我们还会存储您用于注册和确认的IP地址以及您进行这些活动的时间。此流程可用作您进行注册的证据，并在必要时澄清可能滥用您的个人数据的情况。在您确认之后，我们会保存您的注册数据，以便向您发送时尚快报。这一行为的法律依据是GDPR第6(1)(1)(a)条和/或《中华人民共和国个人信息保护法》第十三条第（一）项。

如果我们收到了与您的订单相关的电子邮件地址，而您也没有对此表示反对，则我们保留如下权利：通过电子邮件定期向您发送与您已从我们商品系列中购买的商品相类似商品的推荐。

您可以通过发送邮件至privacy@mytheresa.com或使用时尚快报电子邮件中的取消订阅链接，随时对我们使用您的电子邮件地址以及处理和使用数据来创建您的用户资料提出反对，且无需说明反对原因。除了根据基本费率（即您现有的互联网合同）支付传输费用外，您无需承担其他费用。

需要说明的是，我们在发送时尚快报时会评估您的用户行为。为了进行这一评估，我们发送的电子邮件中包含网络信标，也称为跟踪像素。它们是链接到我们网站的单像素图像文件，使我们能够评估您的用户行为。此评估通过收集网络信标来进行，这些信标被分配到您的电子邮件地址并链接到您自己的ID。时尚快报中的链接也包含这些信标。

我们使用电子邮件服务提供商Emarsys和Certona（请参阅本隐私政策中的“13.1.1 Certona”），通过网页浏览器在您的计算机上存储Cookie。除非您明确允许我们向您推送根据您的兴趣定制的信息，否则Cookie以及存储的标识号不会与您的姓名、地址、电子邮件地址或其他个人身份信息相关联，您可以随时通知我们反对此使用。电子邮件服务提供商和Certona使用这些Cookie识别您的浏览器，这样我们就可以跟踪您在我们网站上进行的活动以及记录和衡量某些营销活动的效果。我们借助这些信息来改进网站和时尚快报电子邮件，特别是根据用户的个人兴趣和需求来调整我们提供的信息和商品。

存储这些Cookie的法律依据是GDPR第6(1)(a)条和/或《中华人民共和国个人信息保护法》第十三条第（一）项。

借助以这种方式获得的数据，我们会创建匿名用户资料，以便能够为您提供根据您的兴趣定制的时尚快报。我们将收集以下数据：

• 您是否打开了时尚快报？您点击查看了其中的什么内容？

• 您何时访问我们的网站以及浏览时长为多少？您查看了哪些商品和品类？

• 您何时购买了什么商品？品类为何以及金额是多少？另外您是否取消过订单？

如果您已登录，我们会将这些数据与您的用户帐户相关联。我们还会将收集到的数据传输给我们的邮件服务提供商 Webpower。根据《通用数据保护条例》(GDPR) 第 44 条等适用法律的规定，我们通过我方与 Certona 之间以及我方与邮件服务提供商 Webpower 之间签订的订单数据处理合同（其中包含欧盟标准合同条款）的方式提供保证。

您可以通过单击下面的“退出”按钮，随时选择退出上述基于Cookie的在线数据收集和分析活动。如果您选择此退出选项，匿名“退出”Cookie将存储在您的网页浏览器中，以通知Emarsys网页服务器和/或Certona网页服务器您已选择退出，并阻止服务器收集数据。除非您使用浏览器删除该退出Cookie，否则它将在您使用的浏览器中保持有效。但是，如果您删除该Cookie或使用其他浏览器或计算机，则电子邮件服务提供商Emarsys和Certona将不再能够识别出您的反对申请。或者，您也可以通过配置浏览器，使其不接受Cookie。

如果您已经注册了我们的网店，并在心愿单中加入了商品，便会收到心愿单中商品的相关电子邮件。您可以在心愿单末尾取消勾选框，或使用电子邮件中的链接，来取消订阅这些通知。

6短信

我们使用 D Martech China 提供的短信服务向我们的客户发送促销和交易短信。数据将由我方在中国上海以及Ali Cloud进行存储和处理。

发送短信需要传输下列数据：

• 电话号码

• 您的短信接收同意书

• 电子邮件hash

对于交易短信，则将进一步传输下列个人数据

• 订单列表、订单 ID、产品 ID、价格

此外，针对促销短信，还将进一步传输客户数据标志、客户细分标志等所有假名化数据。

根据《通用数据保护条例》(GDPR) 第 44 条等适用法律的规定，我们通过我方与阿里云之间签订的订单数据处理合同（其中包含欧盟标准合同条款）的方式提供保证。要查看标准合同条款，请发送电子邮件至privacy@mytheresa.com。

处理数据的法律依据是《通用数据保护条例》第 6 (1) 条第 1a 款和/或《中华人民共和国个人信息保护法》第十三条第（一）项。我们的正当权益包括网站使用情况分析和相关持续优化，以及提供个性化的网页内容。

您可以随时反对我们使用您的电话号码以及处理和使用该等数据向您发送短信，无需说明理由，只需发送信息至privacy@mytheresa.com或者回复指定的取消订阅关键词，且无需支付任何费用。

7在网上商店订购

如果您想在我们的网上商店下订单，那么为了签订合同，您必须向我们提供处理订单所需的个人数据。处理合同所需的必填信息已明确标明（包括收货人姓名、电子邮件地址、配送地址和账单地址、手机号码和支付信息（针对银行卡：持卡人姓名、卡号、卡片到期年月、CVC/CVV校验码；针对支付宝，支付宝账号；针对微信支付，微信支付账号；针对PayPal，PayPal账号）），其他信息则由您自愿提供（包括公司信息）。我们使用您提供的数据来处理订单。此外，我们会将您的支付信息提供给您选择的支付服务提供商。以及将您的地址信息提供给负责配送的物流服务提供商。

这一行为的法律依据是GDPR第6条第1款第1句b项和/或《中华人民共和国个人信息保护法》第十三条第（二）项。

您也可以自愿创建用户帐户，我们会使用其来存储您的数据，以方便您日后购买其他商品。此注册基于本隐私政策的第3节。

我们还会处理您提供的数据，以便向您推送有关您可能感兴趣的其他商品的信息通知，或者向您发送有关技术信息的电子邮件，您可以随时通知我们反对此使用。

工商和财税规定要求我们存储您的地址、支付和订单信息的期限为十年。不过在两年后，我们便会限制对您数据的处理；这意味着我们仅将您的数据用于遵守法定要求。

您可以针对我们将您的数据用于广告和数据分析目的，随时提出反对。请将您的反对请求发送至privacy@mytheresa.com。

为防止他人未经授权访问您的个人数据（特别是财务数据），我们使用针对安全数据传输的“安全套接字层”(SSL)混合加密协议对订单流程进行加密。

8我们的支付服务提供商

我们提供多种支付选项，例如通过信用卡付款或PayPal贝宝付款。

为此，为实现第三方支付交易活动，支付数据会传输给与我们合作的支付服务提供商，该类数据为适用法律要求或为提供第三方支付服务所必须，不包括与您特定交易无关的用户信息。数据传输的法律依据是GDPR第6条第1款第1句b项和f项，和/或《中华人民共和国个人信息保护法》第十三条第（二）项。

您可以在支付服务提供商的隐私政策中找到有关处理您的个人数据的详细信息。

我们的支付提供商名单如下：

9我们的物流服务提供商

9.1DHL

DHL（Deutsche Post AG，地址为 Gabriela Krader, LL.M Deutsche Post AG 53250 Bonn）是我们的物流服务提供商。当我们选择DHL提供物流服务时，我们会将以下数据传输给DHL：收货人姓名、手机号码，配送地址。数据处理的目的是通过DHL提供商品配送服务。数据传输的法律依据是GDPR第6条第1款第1句b项和/或《中华人民共和国个人信息保护法》第十三条第（二）项。您无权对该等数据传输提出反对，因为该等数据处理是为了向您配送商品所必须的。

10 COOKIE

我们使用Cookie是为了改善我们的网站并优化您的使用体验，同时也用于广告目的。Cookie是小型文本文件，在您访问我们的网站并启用浏览器的重新识别功能时会存储在您的计算机上。Cookie会存储语言设置、网站浏览时长或您在网站上输入的内容等信息。这样就无需在每次开启会话时，都要重新输入必需数据。此外，Cookie使我们能够检测到您的偏好，并根据您的兴趣向您提供个性化的网站服务。

大多数浏览器会自动接受Cookie。如果您想阻止浏览器接受Cookie，可以在浏览器设置中选择“不接受Cookie”。有关具体的操作方法，请参见浏览器制造商的说明。您可以随时删除存储在计算机上的Cookie。不过这可能会限制我们网站的功能提供。

11第一方COOKIE

这种类型的Cookie由用户访问的网站设置。仅允许此网站读取Cookie信息。

11.1使用的Cookie

我们借助Cookie来设计方便用户使用的网站。我们网站的某些元素要求在页面更改后也能识别调用的浏览器。

以下数据会在Cookie中进行存储和传输：

下面是存储的数据的列表。例如：

1. 语言设置

2. 加入到购物车中的商品

3. 登录信息

我们还在网站上使用Cookie来分析用户的浏览行为。

通过这种方式可以传输以下数据：

下面是收集的数据的列表。例如：

1. 输入的关键词

2. 页面浏览频率

3. 使用的网站功能

4. 设备或浏览器信息

5. 查看的商品和品类

6. 心愿单和购物车以及添加的新商品

7. 购物车中商品的数量

8. 网页访客的起始访问站点

9. 缩写IP地址

10. 电子邮件哈希

我们会利用技术防范措施对通过此方式收集的用户数据进行匿名化处理。因此，无法通过该数据追溯到来访用户。在访问我们的网站时，网站会告知用户将Cookie用于分析目的。在这一方面也引用了本数据保护声明。

数据处理的法律依据

通过Cookie处理个人数据的法律依据是GDPR第6条第1款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。

数据处理的用途

在技术上必须采用Cookie的原因是为了方便用户使用网站。如果不使用Cookie，网站的部分功能将无法提供。要使用这些功能，则在切换页面之后，也必须再次识别浏览器。

我们需要借助Cookie来提供以下功能：

• 购物车

• 保护网站免遭攻击

• 会话标记 — 设置

通过技术上必需的Cookie收集的用户数据不会用于生成用户资料。

我们使用分析Cookie来改进网站及其内容质量。通过分析Cookie，我们能够了解网站的使用情况，从而确保不断改进网站。此外，这使得我们能够持续提供高质量的内容并不断改进用户体验。

这些用途也是我们根据GDPR第6条第1款第1句f项处理个人数据时所应享有的合法权益。

存储期、反对权和删除

Cookie存储在用户的计算机上，并由此传输到我们的网站。因此作为用户，您也可以完全控制Cookie的使用。通过更改网络浏览器中的设置，您可以禁用或限制Cookie的传输。您可随时删除所存储的Cookie。上述操作也可以自动进行。禁用我们网站的Cookie可能会导致您无法充分使用网站的功能。

我们的网站会使用瞬时Cookie。在您关闭浏览器时，这些Cookie会被自动删除。这些通常就是所谓的会话Cookie。它们存储会话ID，以便网站通过该ID将来自您浏览器的各种查询分配到一个通用会话。这意味着当您再次访问我们的网站时，后者可以再次识别出您的计算机。在您退出或关闭浏览器时，这些Cookie将会被删除。

我们的网站还使用持久Cookie。超过预定时段后，这些Cookie将被自动删除，具体时段长度因Cookie而异。您也可以随时删除这些Cookie。

12第三方COOKIE

设置第三方Cookie的组织并非用户所访问网站的运营商。例如，使用这些Cookie的可能是市场营销公司。有关详细的SDK列表可见本隐私政策末尾附表

12.1 Criteo GmbH

我们在网站上使用Criteo GmbH（Criteo GmbH, Rosenheimer Str. 143c, 81671 Munich）的技术来创建和传送个性化广告。我们的网站mytheresa.com使用cookie/广告ID进行广告目的。这使我们能够在合作伙伴网站、应用程序和电子邮件上向对我们产品感兴趣的访客展示我们的广告。重新定位技术使用您的cookie或广告ID，并根据您过去的浏览行为显示广告。您可以通过访问以下网站选择退出上述基于兴趣的广告：

http://www.networkadvertising.org/choices/

http://www.youronlinechoices.com/

我们可能会与我们值得信赖的广告合作伙伴共享数据，例如从我们的mytheresa.com网站或我们的CRM系统中获取的您的注册信息衍生出的技术标识码。这使他们能够链接您的设备和/或环境，在您使用的不同设备和环境中为您提供无缝体验。要了解更多关于他们的链接能力的信息，请参阅上述网站中列出的他们的隐私政策或下面列出的隐私政策。

通过营销cookie手段处理个人数据的法律依据是GDPR第6条第1款第1句a项。

您可以在此处找到有关Criteo数据保护的更多信息：https://www.criteo.com/privacy/。如果您不再希望看到任何个性化广告，您可以在此处取消订阅Criteo广告。

12.2 Microsoft Bing跟踪程序

我们使用Microsoft Corporation（One Microsoft Way，Redmond，WA 98052-6399，USA）的以下技术：

有关详细的SDK列表可见本隐私政策末尾附表。

12.2.1 Bing转化跟踪

我们还使用Bing Ads转化跟踪功能。通过Bing搜索广告访问我们的网站时，您的计算机上将立即设置Bing Ads Cookie。借助Bing转化跟踪功能，针对搜索引擎的市场活动会基于频率向Bing投放广告，即对于通常会促成购买的搜索查询，广告投放得更频繁，而对于相关性较低的搜索查询，显示的广告较少。

我们收集以下数据：

• 浏览器类型/版本，

• 使用的操作系统，

• 呼叫计算机的主机名（IP地址），

• 服务器查询的时间

如果您不希望被收集数据，则可以通过https://account.microsoft.com/privacy/ad-settings，随时取消订阅。如需了解Bing Ads转化数据保护的更多信息，请参阅https://privacy.microsoft.com/zh-cn/privacystatement。

对于将个人数据传输到美国的特殊情况，Microsoft已向欧盟 - 美国隐私盾提交报告，您可在此处查看。

处理数据的法律依据是GDPR第6条第1款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。我们使用Bing转化跟踪，以优化我们在Bing上的搜索引擎市场活动，从而提高广告效率。这些用途也是我们根据GDPR第6条第1款第1句f项所应享有的合法权益。

12.2.2 Bing Ads搜索广告再营销受众列表(RLSA)

我们还使用Microsoft Bing Ads搜索广告再销售受众列表。使用此列表，并通过常规网站标签和可选事件片段检测访问我们网站的用户并记录其行为。记录的行为模式，例如网站浏览时长、结束或中止购物车操作、直接放弃访问（退回），都可用于针对Bing搜索结果页面调整广告。这意味着，对我们的网站有浓厚兴趣的用户会在靠前位置看到更多的广告，而对我们的网站不太感兴趣的访问者在搜索引擎中会看到较少的广告，甚至不会看到广告。如需了解Bing Ads搜索广告再营销受众列表数据保护的更多信息，请参阅https://privacy.microsoft.com/zh-cn/privacystatement

我们通过Cookie收集以下数据：

• 浏览器类型/版本，

• 使用的操作系统，

• 呼叫计算机的主机名（IP地址），

• 服务器查询的时间

对于将个人数据传输到美国的特殊情况，Microsoft已向欧盟 - 美国隐私盾递交了报告，您可在此处查看。

处理数据的法律依据是GDPR第6条第1款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。评估从用户行为和广告效果的调查结果中获取的统计数据是我们的合法权益。这也有助于不断改进我们的网站内容和网站服务。

如果您不希望被收集数据，则可以通过https://account.microsoft.com/privacy/ad-settings，随时取消订阅。如需了解Bing Ads转化数据保护的更多信息，请参阅https://privacy.microsoft.com/zh-cn/privacystatement。

12.3 EternityX Marketing Technology Limited

我们使用EternityX Marketing Technology Limited（16/F, CentreHollywood, 151 Hollywood Road, Hong Kong）的技术，在我们的网站上创建和投放个性化的广告。我们的网站mytheresa.com借助Cookie/广告ID进行数字广告推广。这使我们能够在合作伙伴网站、应用程序和电子邮件中，向对我们的商品感兴趣的访问者展示广告。重定位技术会使用您的Cookie或广告ID，并根据您过去的浏览行为显示广告。

您可以在以下位置找到有关Eterntiy X数据保护的更多信息：https://eternityx.com/privacy/

如果您不希望再收到EternityX Marketing Technology Limited提供的广告，可以通过以下方式管理自己的选择：您的在线选择

重要说明：当您选择不接收Cookie时，您的浏览器中仍会设置一个Cookie。在浏览器中运行此类Cookie的目的是帮助EternityX Marketing Technology Limited识别您已选择不接受其Cookie/广告ID。

12.4 Braze

在mytheresa.com应用程序中，我们使用Braze（地址：Braze, Inc.330 W 34th Street, 18th Floor, New York, NY 10001, USA）的服务。Braze是一款营销和分析服务应用程序。这项服务使我们能够了解我们的移动内容在您的设备上的功能提供和使用情况。此外，我们使用Braze来通过推送通知或应用内消息向您发送定制的促销和产品信息，您可以随时通知我们反对此使用。我们还会通过Braze提醒您处理遗忘在购物袋中的商品。

Braze使用以下个人数据

• IP地址（不存储）

• 与设备相关的数据，例如设备类型、型号、操作系统、浏览器类型和版本

• 与使用情况有关的信息，例如使用时间，

• 名字

• 电子邮件哈希

• Braze SDK和消息交互数据

• 安装ID

• 设备ID

处理数据的法律依据是GDPR第6条第1款第1句a项和/或《中华人民共和国个人信息保护法》第十三条第（一）项。

数据会被传输到美国。我们将通过与Braze签订欧盟标准合同条款或者以其他符合适用法律的方式进行传输，来保障GDPR第44ff项和其他适用法律得以遵守。如果您想查看这些条款，请发送电子邮件至privacy@mytheresa.com。

如果您反对我们传输您的数据，请发送电子邮件至privacy@mytheresa.com。

12.5 Adjust

我们使用Adjust GmbH（地址：Saarbrücker Str.37A, 10405 Berlin | 德国）的服务提供移动分析和归因服务。

Adjust SDK和API（统称“Adjust技术”）可能会处理来自您作为最终用户的以下部分数据：

• 散列IP地址

• 移动设备识别码，例如iOS广告ID (IDFA)、web广告ID或类似的移动设备识别码

• 在您的移动设备上安装和首次打开应用程序的情况

• 您在应用程序内的互动情况（例如应用内购买、注册）

• 有关您浏览或点击过哪些广告的信息

• 此外，对于Unbotify/Fraud产品：感官数据（包括触摸事件）、统计文本变化、加速度计、陀螺仪、电池、光传感器、设备硬件规格和操作系统版本

上述数据用于提供移动分析和归因服务，使我们能够跟踪营销成效，为我们的活动匹配最终用户，以及了解用户与我们应用程序的互动情况。实时跟踪客户在应用程序中的互动，以查看他们在整个生命周期的参与度。因此，我们处理上述数据是为了分析营销活动的成效并提供成效报告

Adjust不会将这些数据与任何其他数据结合使用以使我们能够识别您的身份。通过Adjust技术处理的任何信息均由Mytheresa拥有和控制，并且Mytheresa已在其移动应用程序中实施Adjust技术。

Adjust不会与任何其他人共享或披露用户数据，除非是披露给我们的服务器提供商以及应公共当局的合法要求（包括国家安全或执法要求）进行披露。只要我们使用Adjust技术，就会存储数据。

数据会被传输到美国。我们将通过达成欧盟标准合同条款以及必要的补充措施或者以其他符合适用法律的方式进行传输来保障GDPR第44ff项和其他适用法律得以遵守。

如果您反对我们传输您的数据，请发送电子邮件至privacy@mytheresa.com。

12.6 Clarity

我们同样也会使用该公司（地址：One Microsoft Way, Redmond, WA 98052, United States）的分析与个性化服务Microsoft Clarity，通过行为指标、热图和会话回放，来了解您如何使用我们的网站并与之互动，以改进和营销我们的产品/服务。网站使用情况数据采用第一方和第三方Cookie以及其他跟踪技术捕获，用于确定产品/服务和在线活动的受欢迎程度。此外，我们还使用这些信息来进行网站优化、预防欺诈/保障安全和广告宣传。Clarity使用存储在您计算机上的Cookie，使我们能够分析我们网站的使用情况以及如何优化。因您使用该网站而通过Cookie生成的信息将被传输到美国的Clarity服务器，并由其代表我们对数据进行存储和处理。在进一步处理之前，您的IP地址会被匿名化处理，由一个通用地址（即不能再用于识别人员的地址）进行代替。这样可以避免直接识别用户身份。

我们传输以下数据：

• IP地址（匿名）

• 与设备相关的数据，例如设备类型、型号、操作系统、浏览器类型和版本

• 与使用情况相关的信息，例如使用时间、停留时长、起始访问站点

处理数据的法律依据是GDPR第6条第1款第1句a项和/或《中华人民共和国个人信息保护法》第十三条第（一）项。我们依法享有针对我们网站的使用情况分析以及与此相关的持续优化等权益。

如果您反对我们传输您的数据，请发送电子邮件至privacy@mytheresa.com。

欲了解有关Microsoft如何收集和使用您的数据的详细信息，请访问Microsoft隐私声明“Microsoft隐私政策 – Microsoft数据保护”

12.7 ad-Shot GmbH

我们在网站上使用fatmedia.io（ad-shot LLC旗下品牌）的重定向和预定向功能。

利用该功能，我们能够为网站访问者提供定向广告，向他们投放基于兴趣的个性化广告。

fatmedia.io使用cookie来分析网站使用情况，并以此为基础生成基于兴趣的广告。

我们不会存储网站访问者的个人数据。用户在访问其他网站时将看到的广告很有可能基于用户曾经访问过或与用户高度相关的产品和信息内容而定。

退出链接：https://analytics.fatmedia.io/opt-out

13特殊工具

除了上述Cookie之外，我们还采用了其他工具，用于使用情况分析、内容优化、市场分析和广告优化等目的。第10节中的解释不适用于这些工具。我们现将向您介绍这些特殊功能，包括数据收集的范围、法律依据、数据收集的目的，以及您可以使用哪些方法阻止这些工具收集您的数据。

有关详细的SDK列表可见本隐私政策末尾附表

13.1用于营销目的的工具

我们出于市场营销目的使用Cookie，以便向用户提供有吸引力的广告。此外，我们还使用Cookie来限制广告的显示频率，并衡量广告活动的有效性。我们也会将这些信息与广告网络等第三方共享。

13.1.1 Certona

我们使用由Certona Corporation（地址为10431 Wateridge Circle，Suite 200，San Diego，CA 92121，USA）（以下简称为“Certona”）提供的Certona Product Recommendations分析和广告服务。Certona Product Recommendations使用存储在您计算机上的Cookie来帮助我们分析和优化网站的使用，为您提供个性化的网站访问体验以及改进我们的广告服务。Cookie生成的关于您使用本网站的信息通常会传输到美国的Certona服务器，该服务器代表我们对数据进行存储和处理。

我们传输以下数据：

• 未分配到特定用户资料的IP地址

• 与设备相关的数据，例如设备类型和型号、操作系统以及浏览器类型和版本。

• 与使用情况有关的信息，例如使用时间、停留时长、起始访问站点

• 有关购买行为的信息，例如购买、将商品添加到购物车、从购物车中删除商品、心愿单中的商品、从心愿单中删除商品、商品搜索、商品评论

• Certona跟踪ID（匿名化）

• 订单列表、订单ID、商品ID（匿名化）、价格

• 电子邮件哈希

数据会被传输到美国。根据GDPR第44条等适用法律的保证是通过我们与Certona之间的订单数据处理合同提供的，其中包含标准的欧盟合同条款。如需查看标准合同条款，请发送电子邮件至privacy@mytheresa.com。

处理数据的法律依据是GDPR第6条第1款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。我们的正当权益包括网站使用情况分析和相关持续优化，以及提供个性化的网页内容。

如果您不希望我们传输您的数据，请点击以下链接（注意：如果您使用退出功能，则您的设备上会存储一个退出Cookie。如果您在此浏览器中删除了Cookie，必须再次进行选择。此外，该退出功能仅适用于您正在使用的浏览器并且您取消选中了复选框的网络域。）

13.1.2 Monetate

我们同样使用Monetate Inc（951 Hecotr St，Conshohocken，PA 19428，United States）公司的分析和个性化服务Monetate。Monetate使用存储在您计算机上的Cookie，使我们能够分析我们网站的使用情况以及如何优化。由于您使用该网站并通过Cookie生成的信息将被传输到美国的Monetate服务器，并由其代表我们对数据进行存储和处理。在进一步处理之前，您的IP地址会被匿名化处理，由一个通用地址（即不能再用于识别人员的地址）进行代替。因此，这样避免了直接识别用户身份。

我们传输以下数据：

• IP地址（匿名）

• 与设备相关的数据，例如设备类型、型号、操作系统、浏览器类型和版本

• 与使用情况相关的信息，例如使用时间、停留时长、起始访问站点

Monetate没有告知我们其存储数据的期限。但它会将数据传输到美国。Monetate需要遵守隐私盾的规定，并根据GDPR第44ff项做出保证，详情见此处。

处理数据的法律依据是GDPR第6条第1款第1句a项和f项。我们依法享有针对我们网站的使用情况分析以及与此相关的持续优化等权益。

如果您反对我们传输您的数据，请发送电子邮件至privacy@mytheresa.com。

如需了解有关Monetate数据保护的更多信息，请参阅Monetate的数据保护声明。

13.2跟踪像素

所谓的跟踪像素（也称为1x1像素、网络信标或像素标签）是指在调用我们网站时加载的1x1 GIF。这种跟踪像素使我们和我们的合作伙伴能够记录营销和网络分析的统计数据。通过使用适当的分析工具，我们可以将这些数据用于各种用途。不同的营销方式会在下一节中进行更全面的说明。不过这种跟踪像素无法用于识别您的身份。

13.3跟踪系统

我们在网站上使用不同的跟踪系统，以部分系统记录您的数据。本节提供有关系统提供商、使用提供商的目的、是否收集数据以及收集哪些数据、您如何阻止收集数据等信息，以及导向到提供商的数据保护条款的链接。

13.3.1 CommandersAct

我们的提供商CommandersAct（Fjord Technologies Head Office | Commanders Act | 3/5 rue Saint-Georges | 75009 Paris | France）提供了一种解决方案，用于集中管理和控制我们的营销标签以及与服务提供商的数据传输接口。此外，它还支持我们商品和服务进行分析和优化。

我们收集以下个人数据：

• 通信数据

• 合同主数据（例如用户感兴趣的商品）

我们仅在符合GDPR第28条第2至第4款的合同协议条件下和/或《中华人民共和国个人信息保护法》第二十一条，将数据提供给第三方。我们不会将数据传输到第三方国家/地区。

使用Commanders Act处理数据的法律依据是GDPR第6条第1款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。Commanders Act用于简化并不断改进营销活动。这些用途也是我们根据GDPR第6条第1款第1句f项享有的合法权益。

通过该系统收集的个人数据仅用于引用目的。您也有权反对我们处理数据。如果您反对我们处理您的数据，则我们以后将不再通过该系统处理您的数据。如果您想阻止数据处理，请设置由Commanders Act创建的退出Cookie。

为此，请使用https://www.commandersact.com/en/privacy/上提供的功能。此外，如需了解有关数据记录、使用和安全性的更多信息，请访问CommandersAct网站 https://www.commandersact.com/en/privacy/。

13.3.2 Sentry

我们使用Sentry, 一款错误管理工具。服务提供商是美国公司 Functional Software, Inc，地址为 132 Hawthorne Street, San Francisco, CA 94107, USA。

如果应用程序出现错误或崩溃，Sentry会收集以下数据用于记录：

• 移动设备名称

• 个人设备ID

• 设备操作系统

Functional Data 在美国等地处理数据。Sentry或Functional Software是《欧盟-美国数据隐私框架》的积极参与者，该框架规定了从欧洲向美国正确安全地传输个人数据。此外，Functional Software 还使用所谓的标准合同条款（GDPR 第 46 条第 2 款和第 3 款）。

法律依据是GDPR第6条第1款第f项。数据不会传输给第三方。Sentry 记录的数据将在 90 天后删除。

由于所述处理对于应用程序的运行绝对必要，因此不存在反对的可能性。

有关使用Sentry所处理数据的更多信息，请访问https://sentry.io/privacy/。

13.3.3 Validity

我们使用Validity（Validity, Inc.提供的一项服务，其地址为The Charter Building Uxbridge, UB8 1JG），来优化我们的邮件订阅并提高电子邮件渠道的盈利能力。Validity使用网络信标来跟踪用户行为。

我们会处理以下数据：

• IP地址

• 电子邮件地址

• 电话号码

• 名字和姓氏

未告知我们其是否已存储数据。数据会被传输到美国。

Validity遵守《数据隐私框架》中规定的原则。因此，Validity遵守美国商务部规定的《欧盟-美国数据隐私框架》原则、《欧盟-美国数据隐私框架英国扩展》原则和《瑞士-美国数据隐私框架》原则。

Validity 已经向美国商务部证明，在处理根据《欧盟-美国数据隐私框架》（EU-U.S. DPF Principles）从欧盟收到的个人数据时，以及根据《欧盟-美国数据隐私框架英国扩展》从英国（和直布罗陀）收到的个人数据时，Validity遵守《欧盟-美国数据隐私框架》（EU-U.S. DPF Principles）。

处理数据的法律依据是GDPR第6条第(1)款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。我们依法享有使用优化的定制电子邮件，以尽可能地提高市场营销活动的响应率和转化率等权益。

如果您反对我们传输您的数据，请发送电子邮件至privacy@mytheresa.com。

您可以在Validity 提供的数据保护信息中找到有关Validity隐私政策的更多信息。



13.3.4 Snowplow

本网站使用Snowplow Analytics Ltd（地址：3rd Floor, 48-50 Scrutton Street, London EC2A 4HH, United Kingdom）的以下技术。Snowplow作为管道即服务，即在我们的基础结构中提供一个管道，用于将数据从我们的产品（网站/应用程序）流式传输到数据库（我们在AWS的数据库），以可视化用户行为并将事件映射到市场营销活动。

Cookie和类似技术用于处理来自平板电脑、手机或计算机的用户数据，例如：

可用于识别您的Web浏览器、设备、操作系统和屏幕分辨率的HTTP标头信息。该标头可能还包含有关您的原籍国家/地区、语言设置和来源URL的信息。

对于应用程序，还包括操作系统类型、移动操作系统版本、设备供应商、设备型号、系统语言和屏幕分辨率（以像素为单位）。

与您的设备、浏览器、网络或帐户相关的标识符，例如您的：

IP地址（匿名化）

Cookie ID

设备ID

用户ID（假名化）

广告ID

根据IP地址（国家、地区、城市）显示的地域信息

与我们网站和应用程序的互动，包括页面浏览、点击、触摸和滚动互动、搜索、安装以及通过我们网站和应用程序完成和未完成的购买。

• IDFA, IDFV, GAID, AppSetId

该使用行为依据GDPR第6条第1款第1句a项及第6条第1款第1句f项进行。

用户可以阻止进行此类分析，方法是在访问网站时不同意使用营销和分析Cookie，或者日后通过在Cookie设置中拒绝同意来撤回同意。

14调查

14.1客户满意度调查

我们进行客户满意度调查，以不断优化我们的商品和服务。您可以自愿参与客户满意度调查，方法是单击我们将您作为精选客户发送的电子邮件中的相应链接，或者以精选客户身份参与我们网站上向您显示的客户满意度调查。我们通过总部位于Dapresy Deutschland GmbH, Engersche Str. 176, 33611 Bielefeld, 德国的服务提供商Forsta进行客户满意度调查。当您参加客户满意度调查时，我们会将以下数据提供给Forsta：

• 电子邮件地址

• 电子邮件哈希

• 语言（例如德语）

Forsta自身会存储以下数据：

• 电子邮件地址

• IP地址

• 电子邮件哈希

• 调查结果

• 响应ID

• 语言（例如德语）

• 参与者所在国家/地区

Forsta的数据存储期限为6个月。数据会被传输到美国。根据GDPR第44条等适用法律做出的保证通过欧盟标准合同予以确保或者以其他符合适用法律的方式进行传输。

处理数据的法律依据是GDPR第6条第(1)款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。我们享有优化商品和服务的合法权益。

14.2 Trustpilot

您可以在Trustpilot, Inc.（地址为245 5th Avenue，4th floor，New York，NY 10016，USA；以下简称“Trustpilot”）上对我们公司以及您从我们这里购买的商品进行评价。您可以自愿进行评价，且可以在https://www.trustpilot.com/上自由选择匿名发布评价结果。我们非常感谢您能够提供反馈评价，您每一次的反馈都能帮助我们进一步提高服务质量。提交对我们公司的评价，即表示您同意我们可以在Trustpilot和我们的网站上发布您的评价。https://legal.trustpilot.com/for-reviewers/end-user-privacy-terms上发布的Trustpilot的条款和条件以及隐私政策适用。作为您自愿通过Trustpilot参与评价的一部分，我们会将您的电子邮件地址、您的名字和姓氏以及您的客户ID传递给Trustpilot。

15联盟计划合作网络

此外，我们还与Commission Junction/Zanox等联盟伙伴进行合作。

联盟计划合作网络是指在线广告领域的服务提供商，也是广告商(mytheresa.com)和发行商（网站运营商）之间的代理。发行商可以通过联盟计划合作网络与mytheresa.com建立合作伙伴关系，从而参与特定促销活动。因此，发行商在其网站内容中集成mytheresa广告/促销代码/超链接，从而通过时尚采编文本之类的内容引导客户访问我们的网上商店。

一旦用户在mytheresa.com上购买商品，发行商就会相应地收到一笔佣金。只有销售信息（例如订单ID、商品ID和所售商品的价格）才会传输到网络。个人数据不会被收集或传输。

16社交书签

我们的网站中集成了社交书签（例如，来自微博、微信和小红书的书签）。社交书签是互联网书签，拥有此类服务的用户可以使用它们收集链接和新闻信息。这些仅作为相关服务的链接集成到我们的网站中。单击集成的图形后，您将被转到相关提供商的网站，即只有这样，用户信息才会被传输到相关提供商。有关在使用这些网站时处理您的个人数据的信息，请参阅提供商的相关数据保护条款和条件。

17根据《德国公平贸易行为法》第7条第3款直接投放广告的许可[UWG]

我们使用在我们网站上购买商品时收集的电子邮件地址直接为我们自己的商品和类似商品投放广告。如果您不再希望收到直接广告，您可以随时对我们使用您的电子邮件地址提出反对。您可在每个时尚快报中找到相应的链接，以提出反对请求。在此处取消订阅。

18使用SIGNIFYD

为了管理支付或打击信用卡支付中的欺诈行为，我们与Signifyd Inc.（2540 North First Street, Ste 300, San Jose, CA 95131，USA）共享极少量数据，处理这些数据仅用于此防止欺诈目的。

Signifyd仅在可疑情况下将传输的数据与其数据库进行比较，然后提供对欺诈风险的估计。

我们会传输以下数据：

• 交易数据（配送和开票地址、姓名、电话号码）

• 电子邮件地址

• 配送国家/地区

• IP地址

使用这些数据打击欺诈行为的法律依据是GDPR第6条第1款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。

个人数据会被传输到美国。通过欧盟标准合同条款，并根据GDPR第44条等做出保证或者以其他符合适用法律的方式进行传输。如果您想查看标准合同条款，请发送电子邮件至privacy@mytheresa.com。

19使用EKATA

为了打击信用卡诈骗，我们偶尔会与Ekata（Ekata, Inc.，1301 Fifth Avenue，Suite 1600，Seattle，WA 98101，USA）共享仅为此用途而处理的信息。

Ekata仅在可疑情况下将所提供的数据与其数据库进行核对，然后评估欺诈风险。

我们传输以下数据：

名字和姓氏

完整地址（如果配送地址和账单地址不同）

电话号码

IP地址

电子邮件地址

处理数据的法律依据是GDPR第6条第(1)款第1句a项和f项和/或《中华人民共和国个人信息保护法》第十三条。作为根据GDPR第6条第(1)款(f)项权衡权益的一部分，我们考虑并权衡了我们在Ekata服务方面的享有的权益以及您在根据数据保护法规处理个人数据方面的享有的权益，并得出结论：我们的合法权益优先，即有意获利、降低我们的违约率和防范信贷风险。

个人数据将被传输到美国。按照欧盟标准合同条款，根据GDPR第44条等做出保证或者以其他符合适用法律的方式进行传输。如果您想查看这些标准合同条款，请发送电子邮件至privacy@mytheresa.com。Ekata没有提供关于数据存储期限的准确信息。请在此处查找Ekata隐私政策。

20使用RISK.IDENT

为了避免发生欺诈情况，我们在运营我们的网站时会使用 Risk.Ident GmbH 公司（工商登记号 HRB 124968，Am Sandtorkai 50，20457 汉堡）的服务。

您在下订单时所提供的数据可用于检查是否存在非典型的订购流程。

Risk.Ident 公司使用多种 Cookie 和其他跟踪技术来收集和处理数据。在此过程中，并没有将数据与特定用户相关联。如果 Risk.Ident 公司收集 IP 地址，则会立即对其进行加密。

Risk.Ident 公司会将这些数据存储在一个数据库中，以预防各种欺诈行为。

在我们的网站上进行订购的过程中，我们会从 Risk.Ident 公司的数据库中调用相关的风险评估。

出于预防欺诈目的而处理数据的法律依据是欧盟《通用数据保护条例》 (GDPR) 第 6 条第 1 款第 f) 项和/或《中华人民共和国个人信息保护法》第十三条。

21数据披露

除指定用途外，我们不会将您的个人数据传输给第三方。仅在以下情况下，我们才会将您的个人数据披露给第三方：

• 您已明确同意我们披露您的数据，

• 披露数据是主张、行使或维护合法权利所必需的，我们无法假设您在不披露数据的情况下享有合法权益，

• 有法定的披露义务，以及

• 披露数据在法律上是允许的，且是与您建立合同关系所必需的。

从根本上讲，欧洲高级别的数据保护不适用于欧盟以外的数据传输。对于数据传输，欧盟委员会目前没有就GDPR第45条第1(3)款做出充分性决定。这意味着欧盟委员会尚未肯定地确定国家/地区特定的数据保护级别与基于GDPR的欧盟数据保护级别相对应，这就是我们做出上述适当保证的原因。

数据传输中可能存在且不能完全排除的具体风险包括：

• 您的个人数据可能会在超出实际用途之外进行处理。

• 此外，您可能无法继续维护和实施您的合法数据保护权利，例如，知情权、更正权、删除权或数据可携带权。

• 亦有可能出现不正确的数据处理情况，导致个人数据不能定量、定性地满足或完全满足GDPR以及其他适用法律的要求。

22关于受影响人权利的说明

22.1受影响人的权利

如果您的个人数据被处理，则您就是GDPR、《中华人民共和国个人信息保护法》或其他适用法律所指的受影响人，您对控制者享有以下权利：

22.2知情权

您可以要求责任人确认我们处理的对您有影响的个人数据。

如果出现对您产生影响的处理情况，您可以要求责任人提供以下信息：

1. 处理您的个人数据的目的；

2. 处理的个人数据类别；

3. 对您产生影响的个人数据正在或将被披露给的接收人和/或接收人类别；

4. 对您产生影响的个人数据的计划存储时间，或（如果无法提供有关的具体细节）确定存储期限的标准；

5. 有权更正或删除影响到您的个人数据，有权限制责任人的处理或有权反对这种处理方式；

6. 有权向监管机构申诉

7. 如果个人数据不是从受影响人处收集的，则提供有关数据来源的可用信息；

8. 根据GDPR第22条第1款和第4款自动决策（尤其是分析）的存在性，以及（至少在这些情况下）有关所涉及的逻辑、这种处理方式的范围和对受影响人的预期影响等重要信息。

您有权要求提供有关是否将影响您的个人数据传输到第三方国家/地区或国际组织的信息。在这方面，您可以要求获得GDPR第46条或其他适用法律中与传输相关的适当保证的通知。

22.3更正权

如果所处理的影响到您的个人数据不正确或不完整，您有权向责任人提出更正和/或完善数据。责任人必须及时更正。

22.4限制处理权

在以下前提条件下，您可以要求限制对影响到您的个人数据的处理：

1. 如果对影响您的个人数据的正确性提出争议已有一段时间，这可让责任人检查这些个人数据的正确性；

2. 处理数据是非法的，但您拒绝删除个人数据，而是要求限制使用个人数据；

3. 如果责任人不再需要个人数据以进行处理，但您需要这些数据来主张、行使或维护合法权利，或者

4. 如果您已根据GDPR第21条第1款规定的处理提出上诉，但仍不确定责任人的合法理由是否胜过您的理由。

如果对影响到您的个人数据的处理受到限制，则除存储外，这些数据只能在您同意的情况下进行处理，或者用于主张、行使或维护合法权利，或者为了保护其他自然人或法人实体的权利，或者以联盟或成员国的重要公共权益为由。

如果根据上述先决条件限制了处理限制，则在解除限制前，责任人会向您发出通知。

22.5删除权

a)删除义务

您可以要求责任人立即删除影响到您的个人数据，而责任人有义务立即删除这些数据，除非有下列理由之一：

1. 影响到您的个人数据对于以其他方式收集或处理它们的用途而言已不再必要。

2. 您撤回了根据GDPR第6条第1(1)款a项或第9条第2款a项，或《中华人民共和国个人信息保护法》第十三条进行处理的同意，并且这种处理没有其他法律依据。

3. 根据GDPR第21条第1款，您对处理提出上诉并且没有充分的合法处理理由，或者您根据GDPR第21条第2款对处理提出上诉。

4. 影响到您的个人数据已被非法处理。

5. 根据欧盟法律或责任人所遵守的成员国法律，删除影响到您的个人数据是履行这些法律规定的法律义务所必需的。

6. 所收集的对您有影响的个人数据关系到信息社会根据GDPR第8条第1款提供的服务。

b)向第三方提供信息

如果责任人披露了影响到您的个人数据，并且有义务根据GDPR第17条第1款和/或《中华人民共和国个人信息保护法》第四十七条删除这些数据，则他们应在考虑到可用技术和实施成本（包括技术类型）的基础上，采取适当措施，告知负责数据处理的人员（即处理个人数据的一方），您作为受影响人已要求删除与这些个人数据的链接或这些个人数据的副本或复制。

c)例外情况

如果存在下列处理需求，则您不享有删除权

1. 行使言论和信息自由权；

2. 数据处理是履行欧盟法律或责任人遵守的成员国法律规定的法律义务所必需的，或者执行符合公共权益的任务或行使被移交给责任人的公共权力所伴随的任务；

3. 根据GDPR第9条第2款h项和I项以及第9条第3款，以基于关系到公共健康的公众权益为由；

4. 出于存档、科学或历史研究的目的，或者出于根据GDPR第89条第1款统计的用途，a)节下所引用的法律预计会使这种处理无法进行或严重损坏，或者

5. 主张、行使或维护合法权利；

6. 适用法律所规定的其他情形。

22.6通知权

如果您对责任人行使更正、删除或限制处理的权利，则他们有义务将此更正或删除数据或限制处理的信息通知给已将影响到您的个人数据披露给的接收者，除非事实证明这一行为不可能实现，或者相关支出不成比例。

您有权要求责任人告知这些接收者。

22.7数据可携带权

您有权以结构化、可访问且机器可读的格式接收对您有影响的您已提供给责任人的个人数据。此外，您有权将这些数据转移给另一位责任人，而不受已将个人数据提供给的责任人妨碍，前提是

1. 处理是根据GDPR第6条第1(1)款a项或GDPR第9条第2款a项和/或《中华人民共和国个人信息保护法》第十三条第（一）项的同意或根据GDPR第6条第1(1)款b项和/或《中华人民共和国个人信息保护法》第十三条第（二）项的协议进行的，以及

2. 处理是在自动化流程的帮助下完成的。

此外，在行使这项权利时，您亦有权在技术上可行的情况下，将对您有影响的个人数据直接从一名责任人转移至另一名责任人。他人的自由和权利可能不受此影响。

数据可携带权不适用于如下情况所需的个人数据处理：执行符合公众权益的任务或行使被移交给责任人的公共权力所伴随的任务。

22.8反对权

根据您自己的特殊情况，您有权随时反对处理因GDPR第6条第1(1)款e项或f项和/或《中华人民共和国个人信息保护法》第十三条而产生的影响到您的个人数据处理；这也适用于这些条款之一所支持的分析。

责任人将不再处理影响到您的个人数据，除非他们能够证明，出于令人信服的合法理由而进行的处理超过了您的权益、权利和自由，或者处理有助于主张、行使或维护合法权利。

如果处理对您有影响的个人数据的目的是直接投放广告，则您有权随时反对出于这种广告投放目的而处理对您有影响的个人数据；这也适用于与这种直接广告相关的分析。

如果您反对我们出于直接广告投放目的处理数据，则我们将不会再出于该目的对影响到您的个人数据进行处理。

无论欧盟指令2002/58/EU等适用法律如何规定，在使用信息社会的服务时，您都可以根据适用的技术规范，通过自动化流程行使反对权。

22.9根据数据保护法撤回同意声明的权利

您有权随时根据数据保护法撤回同意声明。撤回同意不影响到撤回之前所进行的处理的合法性。

22.10个别情况下的自动决策（包括分析）

您有权不受完全基于自动处理的决策的影响，包括对您有法律影响或以类似方式严重损害您权益的分析。这不适用于以下情况：

1. 该决策是您与责任人之间签订或履行合同所必需的，

2. 根据欧盟或责任人所属成员国的法律规定是允许的，并且这些法律规定包含维护您的权利和自由的合理措施，或者

3. 在您明确同意的情况下进行。

然而，这些决策可能并非基于GDPR第9条第1款下的特殊类别的个人数据，就第9条第2款a项而言，已采取合理措施来保障您的权利和自由以及您的合法权益。

对于第(1)和第(3)条所述的情况，责任人采取合理措施来保障您的权利和自由以及您的合法权益，因此，至少具有代表责任人进行干预的权利，该责任人可以听取您的立场和对决策的上诉。

22.11向监管机构投诉的权利

如果您认为处理影响到您的个人数据会违反GDPR、《中华人民共和国个人信息保护法》等适用法律，则无论采取什么其他行政或司法补救措施，您都有权向监管机构投诉，尤其是在您居住地所在的成员国、您的工作地或涉嫌违规的位置。

接获投诉的监管机构会将投诉的状态和结果告知投诉人，包括但不限于根据GDPR第78款进行司法补救的机会。

以下监管机构对您负责：

Bayerisches Landesamt für Datenschutzaufsicht

Promenade 27

91522 Ansbach

电话：0981 53 1300

此外，取决于您所在的国家/地区，您可能有权向当地监管机构投诉。

23在处理数据用于直接广告运营目的下的权利

根据GDPR第21条第2款和/或《中华人民共和国个人信息保护法》第四十四条，您有权随时反对处理对您有影响的个人数据。如果您就我们出于直接投放广告目的而处理您的个人数据进行投诉，则我们不会再为此目的处理您的个人数据。请注意，反对仅对以后的数据处理有效。在您提出反对之前进行的数据处理不受此影响。

24涉及权益平衡的反对权

如果我们基于权益平衡来处理您的个人数据，则您可以反对该处理。在行使这种反对权时，我们要求提供我们不应该以所述方式处理您的个人数据的理由。如果您有正当理由反对，我们将对事实进行审查，并取消或调整数据处理，或向您解释我们令人信服的合法理由。

25链接至其他网站

我们的网站可能包含指向其他提供商的链接。在此说明，此数据保护声明仅适用于mytheresa的网站。我们无法对其他提供商是否遵守数据保护条款加以干涉和控制。此外，我们不会在为向您告知且未经您同意的情形下，或无合理的使用场景下，频繁自启动或关联启动其他第三方APP。

26对数据保护声明的更改

我们保留在考虑到适用的数据保护条款的情况下，随时更改或调整此数据保护声明的权利。

 27 SDK列表