供應商與商業合作夥伴個人資料處理之隱私聲明

最後更新日期：06/10/2025

本隱私聲明說明寶格麗（Bvlgari）如何在契約關係過程中管理供應商與商業合作夥伴（以下簡稱「供應商」）及其員工／顧問的個人資料（以下簡稱「個人資料」），並載明歐盟《一般資料保護規則》（EU Regulation 679/2016，「GDPR」）及適用資料保護法規所要求之相關資訊。
「個人資料」係指：
• 若「供應商」為法人，則指寶格麗於訂立及履行契約過程中處理之自然人一般個人資料（包括姓名、出生日期、出生地、身分證件種類與號碼、電子郵件地址及電話號碼）。
• 若「供應商」為自然人，則指有關該自然人的一般個人資料（包括但不限於姓名、出生日期、出生地、身分證件種類與號碼、電子郵件地址及電話號碼）。
在此應注意以下事項：

1. 資料處理之法律依據、目的與提供

上述個人資料將由寶格麗處理，目的如下：
a) 用於訂立及履行供應商與寶格麗之間的契約關係，包括會計與財務管理及發票作業（如發票核實與登錄），並依照適用法令及公司內部程序辦理；
b) 必要時，用於建立、行使及／或在法院中捍衛寶格麗的權利；
c) 用於管理涉嫌非法行為之舉報（「吹哨揭弊」），以便進行必要調查以驗證舉報事件之真實性，並採取相應措施；
d) 用於遵循寶格麗所受拘束之法規義務，包括但不限於反洗錢法、反貪腐法、國際制裁篩查、永續發展與企業社會責任，以及職業健康與安全相關法規；
e) 用於實體出入管制（包括影像監控），以確保人員安全與公司資產之保護。
關於 (a) 項之目的，其處理之法律依據為資料當事人作為契約一方所需之契約履行，依據 GDPR 第 6.1(b) 條。
關於 (b) 項之目的，其處理之法律依據為資料控制者的正當利益，依據 GDPR 第 6.1(f) 條。
關於 (c) 項之目的，其處理之法律依據為：
- i) 資料控制者的正當利益，依據 GDPR 第 6 條第 1 款 f 項，資料控制者在得知舉報後，有意圖保護並維護公司資產；
- ii) 當法律要求時，處理個人資料係因需遵守資料控制者所受拘束之法律義務（參見義大利 2001 年 6 月 8 日第 231 號立法法令第 6 條第 2a 款及後續規定）；
- iii) 當有必要時，用於確認、行使或在法院中捍衛權利。
如需傳達相關當事人之個人資料，處理之法律依據為資料當事人之同意，依據 GDPR 第 6 條第 1 款 a 項。
關於 (d) 項之目的，其處理之法律依據為遵守寶格麗所受拘束之法律義務，依據 GDPR 第 6.1(c) 條。
關於(e)項之目的，其處理之法律依據為資料控制者的正當利益，依據 GDPR 第 6.1(f) 條。
個人資料之提供為訂立及／或履行契約所必須，如未能提供，即無法建立契約關係及／或履行其所衍生之義務。

2. 資料處理方式

個人資料之處理將依據公平、合法與透明原則進行，並可能採用自動化方法來儲存、管理及傳輸資料。此等處理將以合理範圍內符合現行技術水準之適當工具為之，並透過適切程序確保安全與機密性，以防止資料遺失、未經授權存取、非法使用或散布之風險。
個人資料亦可能透過自動化、決策性或監控性之資訊系統（包括使用人工智慧之系統）進行處理，以確保更佳的關係管理，或遵循法律要求。

3. 資料之傳輸範圍、歐盟境外移轉及公開

個人資料可能由寶格麗內部相關部門之員工處理，該等員工已明確獲得授權並接受適當指示以執行上述流程。另依據 GDPR 第 28 條規定，個人資料亦可能由資料控制者指定之外部受託處理者代為處理，執行特定事項，例如會計、稅務與保險義務，收付款管理等。
此類第三方之完整名單可透過寄送電子郵件至 privacy@bulgari.com 請求取得。
個人資料亦可能由寶格麗集團旗下公司、LVMH Hennessy Moet Louis Vuitton SE 及其全球子公司為特定目的處理，例如 (i) 資訊科技與網路安全服務，以及 (ii) 集中化之內部吹哨揭弊工具。此類資料分享係依據 LVMH 所採行並經法國資料保護局（CNIL）核准之拘束性企業規則（BCR）進行，即使資料移轉至位於歐洲經濟區（EEA）以外之 LVMH 子公司，亦能確保適足之保護等級。
寶格麗承諾在個人資料移轉至境外時，將保護其機密性，並透過適當之契約協議或依據法律規定，確保提供足夠之保護。
個人資料亦可能揭露予以資料控制者身分行事之第三方，例如監管及稽核機關，或更廣泛而言，其他依法得請求取得該資料之公私實體。

4. 資料保存期間

所蒐集之個人資料將於契約存續期間進行保存，並於契約終止後再保存十（10）年，對應於一般標準時效期間。
若涉及法律程序，則於該程序進行期間內進行保存，直至所有上訴期間屆滿為止。

與進入公司場所相關之資料將保存最長 180 日。由監視系統所錄製之影像將依特定告知文件及內部政策所載期間進行保存。
為吹哨揭弊管理目的所處理之個人資料，將自通報程序之最終處理結果通知日算起，保存五（5）年。
於前述保存期間屆滿後，個人資料將依據技術性刪除流程與備份程序予以銷毀或匿名化。

5. 資料當事人權利

您可隨時請求取得有關您個人資料處理及其方式之相關資訊。您亦可更正或刪除資料、限制其處理、反對其處理，及／或請求將資料傳送予另一資料控制者。Bulgari S.p.A. 及其子公司必須於適用法規規定之期限內回覆您的請求；同時必須更正錯誤資料、確保補齊不完整資料，並更新已不再正確之資料；最後，如有請求，必須刪除個人資料並限制及／或停止其處理，或於技術可行範圍內，確保將資料傳送予另一資料控制者。
為行使前述法定權利、請求進一步資訊，及／或回報任何錯誤或問題，資料當事人得採用下列方式以便獲得迅速回覆：寄送電子郵件至 privacy@bulgari.com；透過此連結填寫線上表單；或寄送書面請求予 Bulgari S.p.A. 資料保護長（DPO），地址：Lungotevere Marzio 11, Rome, Italy。若資料當事人對所收到之回覆不滿意，得向資料保護監管機關提出申訴。
關於前述第 2 點 (c) 項所述個人資料之處理，資料當事人得行使現行法令所保障之一切權利，惟行使該等權利不得對吹哨者身分之保密造成任何實質且具體之損害。

6. 資料保護長（DPO）聯絡方式

資料保護負責人為：Guido Sandonà，地址：Lungotevere Marzio 11，電話：0668810211，電子郵件：privacy@bulgari.com。

7. 資料控制者之身分與聯絡方式

個人資料之資料控制者為與供應商締結契約之寶格麗子公司，並由其正式任命之法定代表人行使職權；該等代表人之資訊載於適用之契約中。就吹哨揭弊通報管理目的之個人資料處理而言，資料控制者為 LVMH 與寶格麗集團各公司；雙方依 GDPR 第 26 條所簽訂之共同控制者協議，以共同控制者身分行事。另得透過寄送電子郵件至 privacy@bulgari.com 請求取得資料控制者所指定之受託處理者完整名單。