隐私政策

根据欧盟第2016/679号条例的规定

最近更新：2023年5月19日

我们很荣幸且有义务依照隐私法和欧盟第2016/679号条例规定，提供以下有关个人数据处理的信息。

1.收集的个人数据类型

以下个人数据由Bulgari S.p.A.以及Bulgari S.p.A.控制下的公司，包括下文所述的意大利公司和世界其他地方的公司（下称“Bulgari集团公司”）收集和处理，目的如下：

a）个人和身份识别数据，例如您的名字、姓氏、出生日期、身份证明、您访问品牌精品店时的影像资料（如店内已安装闭路电视摄像头）、或您致电Bulgari销售服务期间记录的语音资料、线上或线下购买时的付款信息；

b）与互动相关的数据，包括在门店访问期间收集的信息，如使用Wi-Fi系统、参加活动或进行线上购买、注册会员计划（例如生日、年龄段、家庭活动日、职业、爱好、购买记录、特定社交媒体的使用或社交媒体ID、电话号码、电子邮件地址、照片、国籍、性别、语言、喜爱的品类、购买产品的详细信息、尺码、价格、折扣、统计消费水平、放弃的购物车、服务使用方式），在与店内顾问互动过程中用户披露的偏好和兴趣（包括对我们的产品系列或其他奢侈品牌的偏好、尺码、生活方式或关于您家庭圈子的基本信息），对联系活动的回应，可能还包括有关我们化妆品产品潜在副作用的健康相关信息；

c）在浏览或使用媒体应用时收集的数据，包括使用Cookie或类似技术记录的用户行为数据，详情请查阅网站提供的Cookie政策： cookies--page__terms.html ，或您的“愿望清单”中包含的数据；

d）您提供的个人数据，以便根据意大利第231/2001号法令和/或行为准则举报非法行为或违反组织和控制模式的行为（所谓的“举报”）。=> 此类处理的合法基础为：a）控制方根据GDPR第6条第1段f)项享有合法权益，其在了解到您提出的举报后，意图保护和保全所有公司资产；b）需要遵守控制方受其所属的法律要求（请参阅意大利2001年6月8日第231号法令第6条第2a段的规定）；c）如有必要，需要在法庭上确定、行使或捍卫权利。如需要通知相关方的个人数据，其合法基础是根据GDPR第6条第1段a)项的当事人的同意。

个人数据直接从用户处收集（例如在我们的网站/应用程序上创建账户、进行购买或与我们的店内顾问或客户服务互动时）、被动收集（例如使用浏览器Cookie等跟踪工具）或通过第三方收集（例如社交媒体平台）。

2.处理目的

Bulgari出于以下目的处理您提供的数据：

• 合同目的，即（i）管理其产品的销售并提供销售和售后服务（包括例如防止欺诈、退货、产品保修和客户支持）；（ii）在Bulgari的在线活动中，创建和维护您的客户账户，并提供通过其网站提供的服务，包括客户管理服务（由您信赖的顾问提供个性化服务），以及Bulgari新闻通讯（如已订阅）；（iii）查看您购买的某些作品的生产链，注册或转让所有权，以及下载并随后提供给第三方与该产品相关的可能的NFT；（iv）检查您的信息请求；

• 履行Bulgari所承担的法律义务，包括“了解您的客户（KYC）”中概述的要求；

• 市场营销和个人资料分析目的，即通过电子方式（例如电子邮件、短信、多媒体信息、移动设备、社交媒体和聊天）或纸质格式（例如传统邮件）发送与Bulgari产品、服务和独家活动相关的市场营销信息（在您事先同意的情况下）；个性化销售服务的优惠（包括但不限于个人购物服务、免费协助服务和礼遇服务）；对所提供的产品和/或服务进行满意度调查，包括第三方的调查；收集Bulgari和/或其他LVMH品牌的偏好和购物习惯，以改善所提供的服务、虚拟试穿功能的使用；

• 追求合法利益，即使用有关消费金额、品类、购买所在的门店、出生日期、家庭成员状况和人数等数据，以提供更符合您需求的服务，并向您发送最符合您兴趣的市场营销信息。

3.数据提供

为第1段a)项中所载之目的，如客户不提供个人数据，Bulgari集团公司无法继续提供所请求的契约服务。为上述第1段b)项和c)项所载之目的，数据的提供是免费且自愿的，并且使用这些数据需要得到相关方的同意。若拒绝提供此等资料，Bulgari集团公司将无法实现所述目的。

为第1段d)项中所述目的提供个人数据是可选的。然而，如未能提供此类数据可能会影响对报告的调查；只有提供充分详细的信息和大量信息的匿名报告才会得到评估，以揭示与特定情境相关的事实和情况。

4.适用于未成年人同意的条件

处理未成年人的个人数据是合法的，前提是他们必须年满16周岁。如果未成年人未满16周岁，仅当其监护人提供了同意书或表示许可时，处理其数据才是合法的。未经父母或监护人许可，我们不会故意收集未成年人的个人身份信息，除非法律允许。

5.处理方法

个人数据将采用IT工具处理及/或人工处理，所需时间以达到数据收集目的为准。尤其是，为第1段b)项和c)项所载之目的收集的个人数据，也可在与上述目的严格相关的程序和逻辑下，通过自动化机制进行处理。

6.将数据输入CRM系统

将个人数据输入CRM系统中是可选的，只有当用户同意将个人资料用于第1段b)项和c)项所述目的之一时才能进行。资料一旦输入CRM系统，即意味着全球各地负责数据处理的Bulgari员工都可以查看、更改和修订该信息。

7.数据交流、传输到海外及发布的范围

我们不会披露或分享我们收集的个人数据，除非与Bulgari S.p.A.、母公司、子公司、关联公司、同一控制下的公司或与Bulgari S.p.A.同一个集团旗下的公司（完整列表可通过致函privacy@bulgari.com 获取），为在全球范围内向用户提供相同标准的服务。在这方面，需指出的是，对于个人资料在欧洲以外地区的传输，必须使用欧盟委员会制定的示范条款。个人数据仅由授权人员进行处理，这些人员可以访问该信息并负责或承担数据处理任务。

用户的个人数据也可能由代表我们提供服务的公司（包括提供产品目录和/或产品的运送/交付服务的公司；发送新闻通讯、营销材料和促销资讯的公司；提供客户关怀服务的公司；负责分析和市场研究的公司；负责IT系统维护的公司；管理网络会话重放工具以确保最佳终端用户体验的公司）处理。

收集的数据也可由独立第三方数据控制方处理，例如：
- 银行或管理信用卡支付服务与免税服务的其他公司；
- 提供协助或咨询服务（律师、会计师和审计师）的个人、公司、协会或专业人员；
- 为遵守适用法律、响应法院命令或（更广泛的）主管当局的任何请求；
- 协助我们完成KYC流程的公司；
- 管理虚拟试穿（Virtual Try On）体验的公司。

如需能代表Bulgari或作为独立第三方数据控制方处理个人资料的第三方完整名单，可通过致函privacy@bulgari.com，以便尽快得到回复，或向数据保护专员（“DPO”）发送书面请求，地址为Bulgari S.p.A., Lungotevere Marzio 11, Rome。如对回复不满意，相关方可联系意大利数据保护局。

对于上述第1段d)项列明的个人数据的处理，如若行使这些权利不会对举报人身份的保密性造成任何有效和实质性的损害，相关方可以行使现行法规赋予的所有权利。

10.个人资料保护

Bulgari已获国际BS 10012:2017认证，以证明其数据保护管理系统的合规性，证明其对保护个人数据的持续关注以及尊重现行数据保护立法的承诺。由于互联网并不是一个完全安全的环境，我们无法保证存储和发送给我们的个人数据完全安全。因此，我们鼓励您在使用互联网访问我们的网站、应用程序或社交媒体时保持谨慎。

11.数据控制方和处理方

数据控制方为Bulgari S.p.A., Via dei Condotti 11, 00186 Roma (RM)，以及Bulgari集团公司，其数据可通过电子邮件进行请求，邮件地址为 privacy@bulgari.com。控制方指定的数据处理方完整名单可通过致函 privacy@bulgari.com 获取。