隐私政策 & 数据保护

本隐私政策适用于 DKK Investments BV 与我们的进出口服务、经纪业务、投资咨询以及所有相关业务活动相关的所有个人数据处理活动。

关键定义（GDPR 第4条）：

• "个人数据" 是指与已识别或可识别的自然人（"数据主体"）有关的任何信息；可识别的自然人是可以直接或间接识别的人，特别是通过参考诸如姓名、识别号码、位置数据、在线标识符或特定于该自然人的身体、生理、遗传、精神、经济、文化或社会身份的一个或多个因素来识别。
• "处理" 是指对个人数据或个人数据集进行的任何操作或一组操作，无论是否通过自动化手段，例如收集、记录、组织、结构化、存储、改编或更改、检索、查阅、使用、通过传输披露、传播或以其他方式提供、对齐或组合、限制、擦除或销毁。
• "数据主体" 是指其个人数据被我们处理的任何已识别或可识别的自然人。
• "同意" 是指数据主体通过声明或明确的肯定行动，自由给予、具体、知情和明确地表示其意愿，表示同意处理与其有关的个人数据。

根据我们业务关系的性质，我们收集和处理以下类别的个人数据：

类别	示例	目的
身份数据	名、姓、头衔、出生日期、国籍、身份证/护照号码	客户识别、KYC合规、合同执行
联系数据	电子邮件地址、邮政地址、电话号码、营业地址	沟通、合同执行、服务交付
财务数据	银行账户详细信息、IBAN、BIC、交易历史、信用信息、投资组合详情	支付处理、投资服务、财务咨询
业务数据	公司名称、增值税号、商会注册、业务类型、贸易参考	业务关系管理、尽职调查
技术数据	IP地址、浏览器类型、设备信息、Cookie、访问日志	网站功能、安全、分析
特殊类别	显示种族/民族血统、政治观点的数据（如适用于制裁筛查）	法律合规（制裁/PEP筛查）

我们仅在存在有效法律依据的情况下根据GDPR处理您的个人数据：

3.1 合同履行（GDPR 第6(1)(b)条）
为履行我们与您的进出口、经纪或投资咨询合同而必需的处理。

3.2 遵守法律义务（GDPR 第6(1)(c)条）
为遵守欧盟和荷兰法律而必需的处理，包括：

• 反洗钱指令 (EU) 2015/849
• 了解您的客户 (KYC) 法规
• 税务报告义务（DAC6、CRS）
• 制裁和禁运法规
• 企业报告要求

3.3 合法利益（GDPR 第6(1)(f)条）
为我们的合法商业利益而必需的处理，包括：

• 欺诈预防和安全
• 网络和信息安全
• 业务分析和服务改进
• 债务催收和信用风险评估

我们仔细平衡我们的利益与您的隐私权，并确保处理是相称的。

3.4 同意（GDPR 第6(1)(a)条）
当我们依赖您的同意时（例如，用于营销通讯），您有权随时撤回同意。

3.5 生命利益（GDPR 第6(1)(d)条）
在紧急情况下，处理可能是保护您或其他自然人的生命利益所必需的。

我们为以下特定目的处理您的个人数据：

4.1 服务提供

• 管理进出口交易和物流
• 执行经纪服务和贸易便利化
• 提供投资咨询和投资组合管理
• 处理付款和金融交易

4.2 法律合规

• 客户尽职调查和身份验证（KYC/AML）
• 可疑活动交易监控
• 向监管机构报告（FIU、税务机关）
• 针对欧盟、联合国和OFAC名单的制裁筛查
• 根据商业和税法的记录保存义务

4.3 业务运营

• 内部会计和财务管理
• 风险评估和信用评分
• 质量保证和服务改进
• 培训和合规监控

4.4 沟通

• 响应查询和提供客户支持
• 发送与合同相关的通知
• 营销通讯（仅限经同意）
• 调查和反馈请求

我们仅在为实现收集目的所必需的时间内保留您的个人数据，或根据适用法律要求的期限：

数据类别	保留期限	法律依据
合同和商业函件	合同终止后10年	荷兰民法典 (Burgerlijk Wetboek)
财务和会计记录	7年（税务记录）	荷兰一般税收法 (Algemene Wet inzake Rijksbelastingen)
AML/KYC文件	业务关系结束后5年	欧盟反洗钱指令
营销同意记录	直至撤回 + 3年	GDPR 问责要求
网站日志和技术数据	90天（安全日志），2年（分析）	合法利益、法律义务
求职申请（如未录用）	拒绝后6个月	荷兰平等待遇法

您的个人数据可能会披露给以下类别的接收者：

6.1 服务提供商（数据处理者）

我们聘请精心挑选的服务提供商根据GDPR第28条代表我们处理数据：

• IT和托管服务：数据中心运营商、云服务提供商（Microsoft Azure、AWS）
• 金融服务：银行、支付处理商、信用卡公司
• 物流合作伙伴：航运公司、报关行、货运代理
• 专业服务：法律顾问、税务顾问、审计师
• 营销服务：电子邮件服务提供商、CRM系统

所有处理者均受数据处理协议约束，确保GDPR合规和数据安全。

6.2 公共机构

我们可能需要向以下机构披露数据：

• 金融情报单位（FIU）用于AML报告
• 税务机关（荷兰Belastingdienst、根据CRS/DAC6的外国税务机关）
• 海关和边境控制机构
• 监管机构（荷兰数据保护局 - Autoriteit Persoonsgegevens）
• 执法机构（根据有效的法律请求）

6.3 业务合作伙伴

在贸易交易过程中，可能会与以下方共享有限数据：

• 贸易交易中的交易对手（为合同履行所必需）
• 保险公司和信用保险公司
• 征信机构（经同意或基于合法利益）

6.4 国际传输

作为国际贸易公司，可能会发生向欧洲经济区（EEA）以外的数据传输。此类传输受以下保护：

• 欧盟委员会批准的标准合同条款（SCC）
• 欧盟承认提供充分保护的国家的充分性决定
• 集团内传输的具有约束力的公司规则（BCR）
• GDPR第49条偶尔传输的例外情况

您可以通过联系我们的数据保护官索取国际传输保障措施的副本。

我们的网站根据ePrivacy指令和GDPR使用Cookie和类似技术。详细信息请参阅我们的Cookie政策。

8.1 我们使用的Cookie类型

类别	目的	期限	法律依据
必要	网站功能、安全、用户认证	会话 - 1年	合法利益（第6(1)(f)条）
偏好	语言选择、显示设置	1年	同意（第6(1)(a)条）
分析	Google Analytics、访问者统计、性能监控	2年	同意（第6(1)(a)条）
营销	LinkedIn Insights、转化跟踪、再营销	90天 - 1年	同意（第6(1)(a)条）

8.2 Cookie管理

您可以通过以下方式管理Cookie偏好：

• 我们的Cookie同意横幅（首次访问时显示）
• 浏览器设置以阻止或删除Cookie
• Google Analytics选择退出浏览器插件
• 您在 www.youronlinechoices.eu 的在线选择

8.3 第三方服务

我们使用以下服务：Google Analytics（已启用IP匿名化）、LinkedIn Insights、Microsoft Clarity。这些提供商作为GDPR第28条下的处理者。

我们实施适当的技术和组织措施，以确保适合风险的安全级别（GDPR第32条）：

9.1 技术保障

• 加密：传输中数据使用TLS 1.3；静态数据使用AES-256加密
• 访问控制：多因素认证（MFA）、基于角色的访问控制（RBAC）、最小权限原则
• 网络安全：防火墙、入侵检测/防御系统（IDS/IPS）、DDoS防护
• 端点安全：反恶意软件、端点检测和响应（EDR）、移动设备管理（MDM）
• 数据丢失防护：DLP系统防止未经授权的数据外泄

9.2 组织措施

• 对所有员工具有约束力的保密协议
• 定期的数据保护培训和意识计划
• 高风险处理的数据保护影响评估（DPIA）
• 事件响应计划和违规通知程序
• 定期的安全审计和渗透测试
• 业务连续性和灾难恢复计划

9.3 数据违规通知

在可能对您的权利和自由造成高风险的个人数据违规情况下，我们将通知：

• 荷兰数据保护局（Autoriteit Persoonsgegevens）在可行的情况下72小时内
• 在确定存在高风险时，无不当延迟地通知您作为受影响的数据主体

一般来说，我们不处理GDPR第9条定义的特殊类别的个人数据（种族/民族血统、政治观点、宗教信仰、工会成员资格、遗传/生物识别数据、健康数据、性生活/性取向）。

但是，出于法律合规目的（根据AML法规进行制裁和PEP筛查），我们可能会处理：

• 政治暴露指标（PEP状态）
• 用于制裁筛查的国籍/公民身份数据

法律依据：GDPR第9(2)(g)条 - 处理是出于重大公共利益的原因所必需的，特别是为了防止或检测非法行为（洗钱、恐怖主义融资、规避制裁）。

保障措施：此类处理严格限于法律合规，受增强的安全措施约束，并在需要时受DPIA约束。

我们的服务不针对16岁以下的个人。我们不会故意收集儿童的个人数据。如果我们意识到我们无意中收集了16岁以下未成年人的数据，我们将在核实后立即删除此类数据。

如果您认为我们可能收集了未成年人的数据，请立即联系我们的数据保护官。

我们可能会不时更新本隐私政策，以反映法律要求、我们的业务实践或技术发展的变化。

版本历史：

• 版本 2.1（2026年3月）：更新保留期限、添加BCR信息、澄清国际传输
• 版本 2.0（2026年1月）：GDPR合规审计的主要修订
• 版本 1.0（2025年6月）：首个全面的隐私政策

重大变更将通过电子邮件（如果我们有您的联系方式）或我们网站上的显著通知通知您。变更后继续使用我们的服务即构成对修订后政策的接受。