隐私政策

数据保护是 Gemstones Store 的重中之重。使用我们的网站无需提供任何个人数据；但是，如果数据主体希望通过我们的网站使用特殊的企业服务，则可能需要处理个人数据。如果处理个人数据是必要的，并且没有此类处理的法定依据，我们通常会征得数据主体的同意。

个人数据（例如数据主体的姓名、地址、电子邮件地址或电话号码）的处理应始终符合《通用数据保护条例》（GDPR），并符合适用于我们的特定国家的数据保护条例。通过本数据保护政策，我们希望向公众告知我们收集、使用和处理的个人数据的性质、范围和目的。此外，通过本数据保护声明，数据主体将获悉其享有的权利。

作为控制者，我们实施了众多技术和组织措施，以确保通过本网站处理的个人数据得到最全面的保护。然而，基于互联网的数据传输原则上可能存在安全漏洞，因此可能无法保证绝对的保护。控制者的名称和地址根据《通用数据保护条例》（GDPR）、欧盟成员国适用的其他数据保护法和其他与数据保护相关的规定，控制者是：

• 公司名称：Live Platforms Pty Ltd

• 地址 : 25 Surfers Avenue

• 邮政编码和城市：Mermaid Waters, 4218

• 国家：澳大利亚

• 电话 : +61 404 086 068

• 联系邮箱： ross@liveplatforms.com

定义

本数据保护声明基于欧洲立法者通过《通用数据保护条例》（GDPR）时使用的术语。我们的数据保护声明应清晰易懂，公众、客户和业务合作伙伴也应能理解。为了确保这一点，我们首先要解释一下所使用的术语。在本数据保护声明中，我们使用以下术语：

a.) 个人信息个人信息是指与已识别或可识别的自然人（“数据主体”）有关的任何信息。可识别的自然人是指可直接或间接识别的人，特别是通过姓名、身份证号、位置数据、在线标识符或特定于该自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素来识别。

b.) 数据主体数据主体是任何已识别或可识别的自然人，其个人数据由负责处理的控制者处理。

c.) 处理处理是指对个人数据或个人数据集执行的任何操作或操作集合，无论是否采用自动化手段，例如收集、记录、组织、构建、存储、调整或更改、检索、查阅、使用、通过传输、传播或以其他方式披露、调整或组合、限制、删除或销毁。

d.) 限制处理限制处理是对已存储的个人数据进行标记，目的是限制其未来的处理。

e.) 分析分析是指对个人数据进行任何形式的自动化处理，包括使用个人数据评估与自然人有关的某些个人方面，特别是分析或预测有关自然人的工作表现、经济状况、健康状况、个人喜好、兴趣、可靠性、行为、位置或动作等方面。

f.) 假名化假名化是以这样一种方式处理个人数据，即个人数据不再能归属于特定的数据主体，除非使用额外的信息，但前提是这些额外的信息是单独保存的，并且受到技术和组织措施的约束，以确保个人数据不属于已识别或可识别的自然人。

g.) 控制者或负责处理的控制者 控制者或负责处理的控制者是单独或与他人共同决定个人数据处理的目的和方法的自然人或法人、公共主管机关、机构或其他机构；如果此类处理的目的和方法由联盟或成员国法律确定，则控制者或其提名的具体标准可由联盟或成员国法律规定。

h.) 处理者处理者是代表控制者处理个人数据的自然人或法人、公共主管机关、机构或其他机构。

i.) 接收者接收者是向其披露个人数据的自然人或法人、公共机构、机构或其他机构，无论是否为第三方。但是，根据联盟或成员国法律，在特定调查框架内可能接收个人数据的公共机构不应被视为接收者；这些公共机构对这些数据的处理应根据处理目的遵守适用的数据保护规则。

j.) 第三方 第三方是除数据主体、控制者、处理者以及在控制者或处理者的直接授权下有权处理个人数据的人员以外的自然人或法人、公共主管部门、机构或团体。

k.) 同意数据主体的同意是数据主体自由给出的、具体的、知情的和明确的意愿表明，通过声明或明确的肯定行动，表示同意处理与其相关的个人数据。

曲奇饼

我们的网站使用 Cookie。Cookie 是通过互联网浏览器存储在计算机系统中的文本文件。

许多互联网网站和服务器都使用 Cookie。许多 Cookie 都包含 Cookie ID。Cookie ID 是 Cookie 的唯一标识符。它由一个字符串组成，通过该字符串可以将互联网页面和服务器分配给存储 Cookie 的特定互联网浏览器。这允许访问的互联网网站和服务器将数据主体的个人浏览器与包含其他 Cookie 的其他互联网浏览器区分开来。可以使用唯一的 Cookie ID 识别和标识特定的互联网浏览器。

通过使用 cookie，我们可以为本网站的用户提供更加人性化的服务，而如果没有 cookie 设置，这些服务是不可能实现的。

通过 Cookie，我们网站上的信息和优惠可以根据用户的需求进行优化。如前所述，Cookie 使我们能够识别我们的网站用户。这种识别的目的是使用户更容易使用我们的网站。例如，使用 Cookie 的网站用户不必在每次访问网站时输入访问数据，因为这已由网站接管，因此 Cookie 存储在用户的计算机系统中。另一个示例是在线商店购物车的 Cookie。在线商店通过 Cookie 记住客户已放入虚拟购物车中的商品。数据主体可以随时通过所使用的互联网浏览器的相应设置阻止通过我们的网站设置 Cookie，从而永久拒绝设置 Cookie。此外，可以随时通过互联网浏览器或其他软件程序删除已设置的 Cookie。这在所有流行的互联网浏览器中都是可能的。如果数据主体在所使用的互联网浏览器中停用 Cookie 设置，则我们网站的所有功能可能无法完全使用。

收集一般数据和信息

当数据主体或自动化系统访问网站时，我们的网站会收集一系列一般数据和信息。这些一般数据和信息存储在服务器日志文件中。收集的信息包括 (1) 使用的浏览器类型和版本、(2) 访问系统使用的操作系统、(3) 访问系统到达我们网站的网站（所谓的引荐来源）、(4) 子网站、(5) 访问互联网网站的日期和时间、(6) 互联网协议地址 (IP 地址)、(7) 访问系统的互联网服务提供商，以及 (8) 在我们的信息技术系统受到攻击时可能使用的任何其他类似数据和信息。

在使用这些一般数据和信息时，我们不会得出有关数据主体的任何结论。相反，这些信息是必要的，以便 (1) 正确提供我们网站的内容，(2) 优化我们网站的内容及其广告，(3) 确保我们的信息技术系统和网站技术的长期可行性，以及 (4) 在发生网络攻击时向执法机构提供刑事起诉所需的信息。因此，我们对匿名收集的数据和信息进行统计分析，目的是提高我们企业的数据保护和数据安全，并确保我们处理的个人数据达到最佳保护水平。服务器日志文件的匿名数据与数据主体提供的所有个人数据分开存储。

儿童个人信息的特殊保护

儿童的个人数据应受到特殊保护，因为他们可能不太了解个人数据处理的风险、后果和保障措施以及他们的权利。这种特殊保护应特别适用于将儿童的个人数据用于营销或创建个性或用户资料，以及在使用直接提供给儿童的服务时收集有关儿童的个人数据。在直接向儿童提供的预防或咨询服务中，不需要父母责任人的同意。

数据主体的权利

a.) 确认权每位数据主体均享有欧洲立法者授予的权利，可从控制者处获得关于其个人数据是否正在被处理的确认。如果数据主体希望行使此确认权，则可随时联系控制者的任何员工。

b.) 访问权每位数据主体均享有欧洲立法者授予的权利，可随时从控制者处免费获取有关其个人数据的信息以及这些信息的副本。此外，欧洲指令和法规还授予数据主体访问以下信息的权限：

1. 处理的目的；

2. 所涉及的个人数据的类别；

3. 已经或将要披露个人数据的接收者或接收者类别，特别是第三国或国际组织的接收者；

4. 在可能的情况下，预计存储个人数据的期限；如果不可能，则提供用于确定该期限的标准；

5. 有权要求控制者更正或删除个人数据，或限制处理与数据主体有关的个人数据，或反对此类处理；

6. 是否存在向监管机构提出投诉的权利；

7. 如果个人数据不是从数据主体处收集的，则需要提供关于其来源的任何可用信息；

8. GDPR 第 22(1) 和 (4) 条中提及的自动决策（包括分析）的存在，以及至少在这些情况下，有关所涉及逻辑的有意义的信息，以及此类处理对数据主体的意义和预期后果。

此外，数据主体有权获得有关个人数据是否被转移到第三国或国际组织的信息。在这种情况下，数据主体有权被告知与转移有关的适当保障措施。

如果数据主体希望利用此访问权，他或她可以随时联系控制者的任何员工。

c.) 更正权每位数据主体均享有欧洲立法者授予的权利，有权要求控制者及时更正与其相关的不准确个人数据。考虑到处理的目的，数据主体有权补充不完整的个人数据，包括通过提供补充声明。

如果数据主体希望行使此更正权，他或她可以随时联系控制者的任何员工。

d.) 删除权（被遗忘权）每个数据主体均享有欧洲立法者授予的权利，有权要求控制者毫不拖延地删除与其有关的个人数据，且只要处理不是必要的，在下列任一情况下，控制者有义务毫不拖延地删除个人数据：

1. 就收集或以其他方式处理个人数据的目的而言，这些数据已不再必要。

2. 数据主体撤回根据 GDPR 第 6(1) 条第 (a) 点或 GDPR 第 9(2) 条第 (a) 点所依据的处理同意，并且没有其他处理的合法依据。

3. 数据主体根据 GDPR 第 21(1) 条反对处理，且不存在压倒一切的合法处理理由，或者数据主体根据 GDPR 第 21(2) 条反对处理。

4. 个人数据被非法处理。

5. 必须删除个人数据以遵守控制者所遵守的联盟或成员国法律中的法律义务。

6. 收集的个人数据与《GDPR》第 8(1) 条所述的提供信息社会服务有关。

如果上述原因之一适用，并且数据主体希望请求删除我们存储的个人数据，他或她可以随时联系控制者的任何员工。员工应立即确保立即遵守删除请求。

如果控制者已公开个人数据，并且根据第 17(1) 条有义务删除个人数据，则控制者应考虑现有技术和实施成本，采取合理步骤（包括技术措施）通知处理个人数据的其他控制者，数据主体已要求这些控制者删除与这些个人数据相关的任何链接、副本或复制品，只要这些处理不是必需的。员工将在个案中安排必要的措施。

e.) 限制处理的权利每位数据主体均有权获得欧洲立法者授予的权利，在下列情况之一适用时，要求控制者限制处理： 数据主体对个人数据的准确性提出异议，控制者可在一段时间内核实个人数据的准确性。 处理是非法的，数据主体反对删除个人数据，而是要求限制其使用。 控制者不再需要个人数据进行处理，但数据主体需要这些数据来建立、行使或辩护合法索赔。 数据主体根据 GDPR 第 21(1) 条反对处理，等待核实控制者的合法理由是否优先于数据主体的合法理由。 如果满足上述条件之一，并且数据主体希望请求限制我们存储的个人数据的处理，他或她可以随时联系控制者的任何员工。员工将安排限制处理。

f.) 数据可携权每位数据主体均享有欧洲立法者授予的权利，以结构化、常用和机器可读的格式接收提供给控制者的与其有关的个人数据。 他或她有权将这些数据传输给另一个控制者，而不会受到提供个人数据的控制者的阻碍，只要处理是基于 GDPR 第 6(1) 条第 (a) 点或第 9(2) 条第 (a) 点的同意，或基于 GDPR 第 6(1) 条第 (b) 点的合同，并且处理是通过自动化方式进行的，只要处理不是为执行公共利益任务或行使控制者所拥有的官方权力所必需的。

此外，根据 GDPR 第 20(1) 条规定，数据主体在行使数据可携性权利时，有权将个人数据直接从一个控制者传输到另一个控制者，只要技术上可行，并且这样做不会对他人的权利和自由造成不利影响。

为了主张数据可携带权，数据主体可以随时联系任何员工。

g.) 反对权每位数据主体均享有欧洲立法者授予的权利，基于与其特殊情况有关的理由，随时反对根据 GDPR 第 6(1) 条第 (e) 或 (f) 点对其个人数据进行处理。这也适用于基于这些规定的分析。

在提出异议的情况下，我们将不再处理个人数据，除非我们能够证明处理的令人信服的合法理由，这些理由凌驾于数据主体的利益、权利和自由之上，或为了建立、行使或辩护法律索赔。

如果我们出于直接营销目的处理个人数据，数据主体有权随时反对出于此类营销目的处理与其相关的个人数据。这适用于与此类直接营销相关的分析。如果数据主体反对出于直接营销目的的处理，我们将不再出于这些目的处理个人数据。

此外，数据主体有权基于与其特殊情况有关的理由，反对出于科学或历史研究目的或根据 GDPR 第 89(1) 条出于统计目的处理与其有关的个人数据，除非该处理是出于公共利益原因执行任务所必需的。为了行使反对权，数据主体可以联系任何员工。此外，尽管存在 2002/58/EC 指令，数据主体在使用信息社会服务的背景下，可以自由地通过使用技术规范的自动化手段行使其反对权。

h.) 自动化个人决策，包括分析每个数据主体应享有欧洲立法者授予的权利，不受仅基于自动化处理（包括分析）的决定的约束，该决定对其产生法律效力，或同样对其产生重大影响，只要该决定 (1) 不是数据主体与数据控制者之间达成或履行合同所必需的，或 (2) 不是由控制者所遵守的联盟或成员国法律授权的，并且该法律还规定了适当措施来保障数据主体的权利和自由以及合法利益，或 (3) 不是基于数据主体的明确同意。

如果该决定（1）对于数据主体和数据控制者之间签订或履行合同是必要的，或（2）该决定基于数据主体的明确同意，则我们将实施适当措施保障数据主体的权利和自由以及合法利益，至少有权获得控制者方面的人为干预，表达他或她的观点并对决定提出异议。

如果数据主体希望行使有关自动化个人决策的权利，他或她可以随时联系任何员工。i.)撤回数据保护同意的权利每个数据主体应享有欧洲立法者授予的权利，随时撤回他或她对处理他或她的个人数据的同意。

如果数据主体希望行使撤回同意的权利，他或她可以随时联系任何员工。

处理的法律依据

GDPR 第 6(1) 条 a 项是我们为特定处理目的获得同意的处理操作的法律依据。如果为了履行数据主体作为一方当事人的合同而必须处理个人数据，例如，当处理操作对于供应货物或提供任何其他服务是必须的时，则处理基于 GDPR 第 6(1) 条 b 项。这同样适用于执行合同前措施所必需的处理操作，例如在查询我们的产品或服务的情况下。如果我们公司有法律义务需要处理个人数据，例如为了履行纳税义务，则处理基于 GDPR 第 6(1) 条 c 项。在极少数情况下，处理个人数据可能是保护数据主体或其他自然人的切身利益所必需的。例如，如果访客在我们公司受伤，需要将其姓名、年龄、健康保险数据或其他重要信息传递给医生、医院或其他第三方。那么处理将基于 GDPR 第 6(1) 条 d 项。最后，处理操作可以基于 GDPR 第 6(1) 条 f 项。此法律依据用于不受上述任何法律依据涵盖的处理操作，如果处理对于我们公司或第三方追求的合法利益的目的是必要的，除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所优先。此类处理操作特别被允许，因为它们已被欧洲立法者特别提及。他认为，如果数据主体是控制者的客户，则可以假定存在合法利益（GDPR 第 47 条第 2 句）。

定期删除和屏蔽个人数据

数据控制者应仅在实现存储目的所需的期限内，或在欧洲立法者或其他立法者在控制者所遵守的法律或法规中授予的期限内，处理和存储数据主体的个人数据。如果存储目的不适用，或者欧洲立法者或其他主管立法者规定的存储期限已到期，则个人数据将根据法律要求定期被阻止或删除。

控制者或第三方追求的合法利益

当个人数据的处理基于 GDPR 第 6(1) 条 f 项时，我们的合法利益是开展业务，造福所有员工和股东。

个人信息保存期限

确定个人数据保存期限的标准是相应的法定保留期限。该期限到期后，只要不再需要履行合同或签订合同，相应的数据就会被定期删除。

根据法定或合同要求提供个人数据；签订合同的必要要求；数据主体提供个人数据的义务；未能提供此类数据可能产生的后果。

我们澄清，提供个人数据部分是法律要求的（例如税收法规），也可能是合同条款的结果（例如有关合同伙伴的信息）。有时可能需要签订合同，要求数据主体向我们提供个人数据，随后我们必须处理这些数据。例如，当我们的公司与数据主体签订合同时，数据主体有义务向我们提供个人数据。不提供个人数据会导致与数据主体的合同无法签订。在数据主体提供个人数据之前，数据主体必须联系任何员工。

员工向数据主体澄清提供个人数据是否是法律或合同的要求或为签订合同所必需的，是否有提供个人数据的义务以及不提供个人数据的后果。

付款方式：关于使用 PayPal 作为付款处理器的数据保护规定

在此网站上，控制者集成了 PayPal 的组件。PayPal 是一家在线支付服务提供商。付款通过 PayPal 账户处理，这些账户代表虚拟私人或商业账户。当用户没有 PayPal 账户时，PayPal 还能够通过信用卡处理虚拟付款。PayPal 账户通过电子邮件地址管理，因此没有经典账号。PayPal 可以触发向第三方的在线支付或接收付款。PayPal 还接受受托人功能并提供买家保护服务。PayPal 的欧洲运营公司是 PayPal (Europe) S.à.rl & Cie. SCA，地址为 22-24 Boulevard Royal, 2449 Luxembourg, Luxembourg。如果数据主体在订购过程中在网上商店选择“PayPal”作为付款方式，我们会自动将数据主体的数据传输给 PayPal。通过选择此付款方式，数据主体同意传输付款处理所需的个人数据。传输到 PayPal 的个人数据通常是名字、姓氏、地址、电子邮件地址、IP 地址、电话号码、手机号码或其他付款处理所需的数据。处理购买合同也需要与相应订单相关的此类个人数据。数据传输旨在处理付款和防止欺诈。控制者将向 PayPal 传输个人数据，特别是如果传输具有合法利益。PayPal 会将 PayPal 与控制者之间为处理数据而交换的个人数据传输给经济信贷机构。此传输旨在进行身份和信誉检查。如有必要，PayPal 会将个人数据传递给关联公司和服务提供商或分包商，只要这对于履行合同义务或处理订单中的数据是必要的。数据主体可以随时撤销 PayPal 对个人数据处理的同意。撤销不会对必须根据（合同）付款处理进行处理、使用或传输的个人数据产生任何影响。您可以在https://www.paypal.com/us/webapps/mpp/ua/privacy-full下检索 PayPal 的适用数据保护条款。

在我们的网站上注册

数据主体可以在控制者网站上注册，并指明个人数据。哪些个人数据将传输给控制者取决于用于注册的相应输入掩码。数据主体输入的个人数据仅供控制者内部使用和用于其自身目的而收集和存储。控制者可以请求将个人数据转移到一个或多个处理器（例如包裹服务），这些处理器也将个人数据用于控制者的内部目的。通过在控制者的网站上注册，互联网分配的 IP 地址将发送到控制者。服务提供商 (ISP) 和数据主体使用的信息——注册日期和时间也会被存储。存储这些数据的原因是，这是防止滥用我们服务的唯一方法，并且，如果有必要，还可以调查所犯的罪行。到目前为止，存储这些数据对于保护控制者是必要的。除非有法定义务传递数据，或者传输是为了刑事起诉的目的，否则这些数据不会传递给第三方。

数据主体自愿提供个人数据进行注册，旨在使控制者能够向数据主体提供由于相关事项性质而可能仅向注册用户提供的内容或服务。注册人可以随时更改注册时指定的个人数据，或将其从控制者的数据库中完全删除。

数据控制者应随时根据请求向每个数据主体提供有关存储了哪些个人数据的信息。此外，在没有法定存储义务的情况下，数据控制者应根据数据主体的请求或指示更正或删除个人数据。在这方面，控制者的所有员工都可以作为联系人为数据主体提供服务。

时事通讯订阅

在我们的网站上，用户可以订阅我们企业的新闻通讯。为此目的使用的输入掩码决定了传输哪些个人数据，以及何时从控制者那里订购新闻通讯。

我们通过时事通讯定期向客户和业务合作伙伴通报企业优惠信息。只有在 (1) 数据主体拥有有效电子邮件地址且 (2) 数据主体注册接收时事通讯的情况下，数据主体才可收到企业的时事通讯。出于法律原因，在双重选择加入程序中，将向数据主体首次注册接收时事通讯的电子邮件地址发送确认电子邮件。此确认电子邮件用于证明作为数据主体的电子邮件地址所有者是否有权接收时事通讯。

在注册新闻通讯期间，我们还会存储由互联网服务提供商 (ISP) 分配的、数据主体在注册时使用的计算机系统的 IP 地址以及注册的日期和时间。收集这些数据是为了了解数据主体电子邮件地址日后（可能）被滥用的情况，因此它符合控制者的法律保护目的。

在注册时事通讯时收集的个人数据仅用于发送我们的时事通讯。此外，时事通讯订阅者可能会收到电子邮件通知，只要这对于时事通讯服务或相关注册的运行是必要的，因为在时事通讯服务发生修改或技术情况发生变化时可能会发生这种情况。时事通讯服务收集的个人数据不会转移给第三方。数据主体可以随时终止对我们时事通讯的订阅。数据主体为发送时事通讯而同意存储个人数据，但该同意可随时撤销。为了撤销同意，每份时事通讯中都有相应的链接。也可以随时直接在控制者的网站上取消订阅时事通讯，或以其他方式将此通知给控制者。

时事通讯追踪

我们的新闻通讯包含跟踪像素。跟踪像素是嵌入此类电子邮件中的微型图形，以 HTML 格式发送，以便记录和分析日志文件。这可以对在线营销活动的成功或失败进行统计分析。基于嵌入的跟踪像素，我们可以看到数据主体是否以及何时打开了电子邮件，以及数据主体调用了电子邮件中的哪些链接。

控制者存储和分析通讯中包含的跟踪像素中收集的此类个人数据，以优化通讯的发送，以及使未来通讯的内容更好地适应数据主体的兴趣。这些个人数据不会传递给第三方。数据主体有权随时撤销其同意接收通讯的声明。

撤销后，控制者将删除这些个人数据。我们自动将退订新闻通讯视为撤销。

通过网站联系的可能性

我们的网站包含可快速通过电子方式联系我们企业的信息。如果数据主体通过电子邮件、支持单或联系表格联系控制者，则数据主体传输的个人数据将自动存储。数据主体自愿传输给数据控制者的此类个人数据将存储用于处理或联系数据主体。此类个人数据不会转移给第三方。

网站博客中的评论功能

我们为用户提供在控制者网站上的博客上对单个博客文章发表个人评论的可能性。博客是一个基于网络的、可公开访问的门户，通过它，一个或多个被称为博主或网络博主的人可以发布文章或在博客文章中写下想法。博客文章通常可以由第三方评论。

如果数据主体在本网站发布的博客上发表评论，则数据主体所发表的评论以及评论日期和数据主体选择的用户（假名）信息也会被存储和发布。此外，互联网服务提供商 (ISP) 分配给数据主体的 IP 地址也会被记录。存储 IP 地址是出于安全原因，以防数据主体侵犯第三方权利或通过给定评论发布非法内容。因此，存储这些个人数据符合数据控制者的自身利益，以便在发生侵权时免除责任。

所收集的个人数据不会被传递给第三方，除非法律要求或为了数据控制者的辩护目的。

本隐私政策自 2018 年 5 月 25 日起生效。