《通用数据保护条例》客户隐私补充条款

1. 引言

本《通用数据保护条例隐私补充条款》是对富乐律师事务所客户隐私声明的补充说明，适用于位于欧洲经济区的客户及关联实体。  

本《GDPR客户隐私补充条款》（以下简称"GDPR客户隐私补充条款"）是对富乐律师事务所客户隐私声明的补充说明，仅适用于位于欧洲经济区、英国或瑞士的所有客户及关联实体。 我们采用本《GDPR客户隐私补充条款》以符合《通用数据保护条例》（2016/679）及欧洲经济区成员国、英国或瑞士（统称"GDPR"）实施该条例的任何法令。GDPR或本所《客户隐私声明》中定义的任何术语在本补充条款中具有相同含义。 本《GDPR客户隐私附录》优先于我方《客户隐私声明》中任何相悖内容。 

2. 数据控制者、数据保护官及代表

福里律师事务所及其客户是就某事项向福里提供的个人数据的独立数据控制者。福里已任命数据保护官及欧盟境内代表。 

富乐律师事务所及其客户是我们所处理个人数据的独立数据控制者。富乐已根据《通用数据保护条例》任命了数据保护官及欧盟境内代表。客户可通过本《GDPR客户隐私补充条款》"联系方式"部分所述的任何方式联系富乐、其数据保护官或其代表。 

3. 我们收集的客户及关联实体信息及其收集方式

福莱就客户及关联实体收集的个人数据详见我们的隐私声明。

福里律师事务所收集的客户及关联实体个人数据及其收集方式详见我们的《隐私声明》。为签订服务合同，我们可能需要向客户收集个人数据。若未能提供客户或关联实体的任何个人数据，可能影响福里律师事务所在相关事务中为客户提供法律代理服务的能力。

4. 处理客户及关联方个人数据的法律依据

我们处理个人数据具有合法依据，包括基于合法利益（在与个人权利和自由权衡后）、履行与客户签订的合同义务、法律要求，以及获得客户或关联实体的同意。 

对客户及关联实体个人数据的处理，仅在符合《通用数据保护条例》（GDPR）规定时方属合法。我们针对每项处理活动均具备合法依据（下文所述例外情况除外）：

• 同意。当我们的客户或关联实体向我们提供个人数据时，即表示其同意我们按照《客户隐私声明》及本《GDPR客户隐私补充条款》所述收集、使用及共享该等个人数据。 
  
• 合法利益。我们将根据必要性处理个人数据，以实现我方、客户、关联实体或其他第三方的合法利益。这些合法利益需与客户及关联实体的利益、权利和自由相平衡，若受影响个人的利益或权利和自由超过这些合法利益，则我们不会处理个人数据。 我们的合法利益包括：促进福里律师事务所与客户及其他关联实体之间的沟通；开具并收取法律服务费；遵守适用规则（包括客户保密相关规则）；以及向客户提供法律服务。 
  
• 为履行我们根据合同对客户承担的义务。我们处理客户的个人数据，旨在根据与客户签订的合同履行我们的义务，为客户提供法律服务；
  
• 根据法律要求。 我们还可能在法律要求或允许的情况下处理个人数据；以配合政府检查、审计及其他政府或公共机构的有效请求；以响应传票及其他类似证据开示请求等法律程序；或为保护自身权益或行使法律权利及救济措施所必需（例如为防范或侦测欺诈及其他刑事和侵权行为、应对诉讼、处理投诉或索赔）。 我们还可能根据适用规则（包括客户保密相关规则）的要求处理个人数据。 

5. 特殊类别的信息

在为客户建立、行使或抗辩法律主张，或为客户提供法律服务的必要情况下，我们可能处理某些被视为敏感的个人数据。

福里律师事务所处理的某些个人数据可能被视为敏感数据，包括揭示个人种族或民族出身、政治观点、宗教或哲学信仰、工会会员身份的个人数据，或涉及个人健康状况、性生活、性取向或刑事定罪记录的数据。 福里律师事务所仅在为建立、行使或抗辩客户的法律主张所必需的范围内处理此类信息，或为履行与该事项相关的法律服务之目的，或根据适用法律另有规定时进行处理。  

6. 自动化决策

我们通常不会将个人数据用于任何自动化决策流程。

Foley不会将个人数据用于任何自动化决策过程，包括可能对个人产生法律效力或对其产生类似重大影响的个人画像分析。

7. 客户及关联实体对其信息享有的权利，以及访问和更正其信息的权利

客户及关联实体可能根据《通用数据保护条例》（GDPR）享有特定权利，包括访问和更新其个人数据的权利、限制数据使用方式的权利、将特定个人数据转移至其他控制者的权利、随时撤回客户或关联实体同意的权利，以及要求我们删除关于客户或关联实体的特定个人数据的权利。 然而，鉴于我们作为律师的身份，客户及关联方的权利可能受到限制，包括当我们主张法律特权时。客户及关联方亦有权就我们对其个人数据的处理向监管机构提出投诉。 

《通用数据保护条例》（GDPR）可能赋予我们的客户及关联实体在我们处理其个人数据方面的特定权利。然而，作为律师，当法律特权主张适用时，或当我们为预防、调查、侦查或起诉刑事犯罪、执行刑事处罚而无法履行义务时，这些权利可能受到全部或部分限制。在某些司法管辖区，由于我们承担的保密专业义务，这些权利也可能受到限制。 在上述限制条件下，根据适用法律，客户可能享有以下部分或全部权利：

• 访问与更新。客户及关联实体可通过以下联系方式联系我们，或联系客户关系专员，查阅并修改各自的个人数据。若发现我们持有的客户或关联实体的个人数据存在任何变更或错误，请及时告知，以确保数据尽可能完整、准确且及时更新。 若我们认为客户或关联方的请求可能违反任何法律法规要求，或导致信息失真，则可能无法予以满足。 
  
• 限制。客户及关联实体在特定情况下可能有权限制我们对其个人数据的处理。 具体而言，当客户或关联实体质疑个人数据准确性时，当客户或关联实体的个人数据处理被认定为非法时，或当我们不再需要处理相关客户或关联实体的个人数据但依法予以保留时，客户及关联实体可要求我们限制使用该数据。 
  
• 可携性。若向富乐提供的个人数据基于客户或关联实体的同意进行处理，且我们通过自动化方式处理该数据，客户及关联实体有权要求我们以结构化、常用且机器可读的格式，向其提供全部或部分个人数据的副本或访问权限。 在技术可行的情况下，客户及关联实体亦有权要求我们将该等个人数据传输至另一数据控制者。 
  
• 撤回同意。若我们对客户或关联实体个人数据的处理基于其同意，该客户有权通过终止与富乐律师事务所的合作关系撤回其同意。 但撤回同意不影响基于客户或关联实体同意进行的处理在撤回前的合法性，亦不影响我们基于处理客户或关联实体个人数据的其他合法依据而继续处理的合法性。 
  
• 被遗忘权。在适用法律规定的情形下，客户有权要求我们删除其本人及相关关联实体的所有个人数据。除非同时终止我们在此事项中对客户的代理关系，否则我们无法删除客户及关联实体的个人数据，且我们仅在适用法律允许的情况下才会终止此类代理关系。 若删除行为可能导致信息失实，或违反任何法律法规要求（包括律所为防范利益冲突及满足财务记录要求而保留客户及关联实体信息的义务），我们可能不予配合。当本所为确立、行使或抗辩法律主张而确有必要时，亦可保留您的个人数据。 除上述情形外，我们将依据本政策规定保留客户及相关实体的个人数据。此外，由于部分数据可能存于历史备份中，我们无法完全删除客户及相关实体的个人数据。此类数据将依据本所文件保留及信息治理政策规定的期限予以保存。 
  
• 投诉。客户及相关实体有权向其居住国、工作国或其认为自身依据适用数据保护法所享权利受到侵害的国家的主管监管机构提出投诉。但在采取此行动之前，我们要求客户及相关实体直接与我们联系，以便我们有机会直接与其合作，解决其隐私方面的任何疑虑。 
  
• 客户及关联实体如何行使权利。在遵守上述限制的前提下，客户及关联实体可通过"联系方式"栏目所列任一方式联系我们，行使上述任何权利。若客户或关联实体联系我们行使前述权利，我们可能要求其提供额外信息以核实身份。 若客户或关联实体未能提供充分信息以验证身份或满足我们的法律及业务要求（包括主张法律特权或基于我们的专业保密义务及其他同等义务），且适用法律允许的情况下，我们保留限制或拒绝其请求的权利。 请注意，若客户或关联实体就其个人数据提出无理、重复或过量（由我方合理酌情判定）的访问请求，可能需支付费用，该费用上限受适用法律约束。

8. 同意在美国处理个人数据

我们可能在客户及其关联实体所在国家/地区之外处理其个人数据，包括向美国传输数据。我们仅在法律允许且已采取适当保障措施保护客户及其关联实体个人数据的情况下进行此类处理。 

若客户或关联实体位于欧洲经济区（"EEA"），为向客户提供法律服务，我们可能将客户及关联实体的个人数据传输至EEA境外（包括美国）进行存储。 因此，其个人数据可能被转移至其居住或所在国境外，包括可能无法或未提供同等数据保护水平的国家。客户及关联方信息可能在美国境内被处理和存储，且美国联邦、州及地方政府、法院或执法/监管机构可能依据美国法律获取其信息披露。 客户使用本所法律服务即表明其已阅读并理解上述内容，特此同意将个人数据存储及处理于客户或关联实体所在国境外（包括美国境内），且声明已取得所有必要授权并拥有向富乐律师事务所提供此类个人数据的全部法定权利。 

福里律师事务所仅在适用数据保护法律要求或允许的情况下，且在已采取适当保障措施保护客户及关联实体个人数据的前提下，方将该等数据转移至其他国家。 为确保向第三方转移客户及关联实体的个人数据时符合《客户隐私声明》及本《GDPR客户隐私补充条款》，福里律师事务所在必要时会与所有数据接收方签订数据保护协议，其中包含欧盟委员会采纳的《标准合同条款》（"标准合同条款"）。 欧盟委员会认定，依据标准合同条款进行的个人数据转移可为客户及关联实体的个人数据提供充分保护，但可能需要根据具体情况采取补充措施。当我们认为必要时，已对标准合同条款作出相应补充。 根据这些标准合同条款，我们的客户和关联实体享有与数据未转移至该第三国时同等的权利，但因我们作为律师的身份，这些权利可能在适用法律或职业责任规则允许的范围内受到限制。客户和关联实体可通过以下联系方式向我们索取数据保护协议副本。 

9. 数据保留期限

我们根据内部文件保留政策保存客户及关联实体的个人数据。除非另有指示，我们可能在案件结案后至少保留与该案件相关的所有信息十年（10）年。我们还可能延长保存客户及关联实体信息的期限：

• 在我们的备份和灾难恢复系统上；
• 为保护我们或客户的合法权益所必需的时间；以及
• 遵守《职业行为准则》规定的其他法律要求或义务。

福莱律师事务所根据内部文件保留政策保存客户及关联实体的个人数据，包括在我们代理客户处理相关事务期间。在事务结束后，我们可能继续保留个人数据至少十年（10年）。此后，我们可能继续保留客户及关联实体的个人数据及其他信息：

• 在必要时长内，以满足任何法律要求； 
  
• 根据我们的备份和灾难恢复政策及程序，对我们的备份和灾难恢复系统进行操作；
  
• 在必要期间内，为保护我们或客户的合法权益，或行使我们的法律权利及寻求法律救济； 
  
• 遵守《职业行为准则》规定的义务；以及
  
• 对于已通过聚合或其他方式匿名化处理的数据，客户及关联实体将永久无法被识别。

10. 本《GDPR客户隐私补充条款》的变更

富乐律师事务所保留随时自行决定修订本《通用数据保护条例客户隐私补充条款》的权利，具体修订方式详见《客户隐私声明》。当我们对本补充条款（ ）进行修订时，将在本网页发布更新后的声明并更新其生效日期。客户在修订内容发布后继续使用本所法律服务，即视为接受相关修订。

11. 联系方式

客户及关联实体可通过以下联系方式联系我们的数据保护官。若客户或关联实体希望与我们取得联系，必须同时通过以下联系方式联系我们及我们的代表。 

若客户或关联实体对我们处理其个人数据有任何疑问，或根据适用法律对个人数据提出任何请求，请通过以下联系方式联系我们的数据保护官。 若客户或关联方对我们的《客户隐私声明》或本《GDPR客户隐私补充条款》存在任何疑问、顾虑、投诉或建议，或需联系我们，请同时通过以下联系方式联系我方（或我方数据保护办公室）及我方在欧盟的代表。 

联系福里（数据控制者）
福里·拉德纳律师事务所
收件人：总法律顾问办公室/隐私官
321 N. Clark Street, Suite 2800
芝加哥，伊利诺伊州 60654
美国
+1 (833) 701-1071
[email protected]

联系我们的数据保护官
约瑟夫·埃德蒙森
福里尔·拉德纳律师事务所
威斯康星大道东777号
密尔沃基市，威斯康星州 53202-5306
美国
+1 (414) 271-2400
[email protected]