私隱政策

保護你嘅個人數據——GDPR

最後更新:2026年1月

VeraTrace SAS(下稱「VeraTrace」、「我哋」、「我哋嘅」)致力於保護你嘅私隱同個人數據。本私隱政策解釋我哋點樣收集、使用、儲存同保護你嘅個人數據,符合歐盟法規(EU) 2016/679(GDPR)。本政策適用於透過我哋網站veratrace.xyz、流動應用程式、表格同IoT設備收集嘅所有數據。

適用範圍

本政策適用於我哋透過我哋嘅網站 veratrace.xyz(主站)、veratrace.eu(歐洲站)同 veratrace.net(國際站)、我哋嘅流動應用程式(VeraTrace Producteur、VeraTrace Client)、我哋嘅聯絡表格、我哋嘅 IoT 套件同 NFC 標籤,以及與我哋服務嘅任何其他互動所收集嘅所有個人資料。

本政策並不涵蓋我哋可能連結到嘅第三方網站嘅私隱慣例。我哋建議閣下細閱所瀏覽任何第三方網站嘅私隱政策。

數據控制者

你個人數據嘅數據控制者係:

VeraTrace SAS

35 rue de la République, 95110 Sannois, France

由主席 Frédéric Georjon 代表

DPO聯絡:[email protected]

本公司資料保護主任(DPO)可就閣下個人資料保護之任何問題提供聯絡。閣下可隨時聯絡彼,以行使閣下之權利或就資料處理提出任何疑問。

收集嘅數據

我哋根據您嘅用戶類型同您同我哋服務嘅互動情況,收集以下類別嘅數據:

數據類別

身份識別數據

姓、名、電郵地址、電話號碼、公司名稱、SIRET(專業用戶)、郵寄地址

註冊表格、聯絡請求部分必填

專業數據

業務類型(生產者、餐廳、分銷商)、經營規模、員工人數、持有嘅認證(Bio、HVE、AOP、IGP、Label Rouge)、原產地名稱、耕種面積

用戶檔案、資訊系統整合生產者必填

可追溯性數據

生產批次、收成/生產日期、產品流通軌跡、記錄溫度、送貨地理定位、區塊鏈時間戳

NFC 標籤、物聯網追蹤器、手動輸入、合作夥伴 API服務所需必填

交易數據

訂單記錄、發票、付款方式(已代幣化)、累積嘅 VRT 積分、Pioneer 狀態

VeraTrace 平台、付款服務供應商交易所需必填

瀏覽數據

IP 地址(13 個月後匿名化)、瀏覽器類型、作業系統、瀏覽頁面、訪問時長、流量來源、執行嘅操作

Cookies、伺服器日誌部分可選(分析 cookies)

連線數據

登入憑證(已雜湊)、連線日誌、會話記錄、使用嘅設備

身份驗證系統擁有帳戶嘅用戶必填

通訊數據

向支援部門發送嘅訊息內容、交流歷史、通訊偏好、新聞通訊同意

聯絡表格、電郵、支援聊天可選

物聯網數據

感應器識別碼、溫度讀數、追蹤器地理定位、電池狀態、觸發嘅警報

VeraTrace 物聯網硬件已配備用戶自動收集

敏感數據

我哋唔會收集 GDPR 第 9 條所指嘅敏感數據(種族或民族出身、政治觀點、宗教信仰、健康數據、性取向等),除非絕對必要並獲得您嘅明確同意。

未成年人

我哋嘅服務並唔係針對 16 歲以下嘅未成年人。我哋唔會故意收集有關未成年人嘅個人數據。如果您係家長或監護人,並認為您嘅子女已經向我哋提供個人數據,請立即透過 [email protected] 聯絡我哋,以便我哋進行刪除。

數據來源

  • 直接來自您(表格、手動輸入)
  • 自動收集(cookies、日誌、物聯網感應器)
  • 透過第三方(合作夥伴 API、已連接嘅資訊系統)
  • 公開來源(用於核實嘅官方登記冊)

處理目的

你嘅個人數據係為以下目的處理,每個目的都有特定嘅法律依據:

提供追溯服務

記錄同認證你產品嘅追溯數據、生成QR碼、允許終端客戶查詢。

法律依據:履行合約

用戶帳戶管理

創建同管理你嘅帳戶、管理你嘅訪問權限、個性化你嘅體驗。

法律依據:履行合約

訂單同付款處理

管理你嘅預訂、訂閱、發票、設備交付。

法律依據:履行合約

VRT積分同代幣管理

計算、分配同追蹤你嘅追溯積分、準備轉換為代幣。

法律依據:履行合約

客戶支援

回應你嘅查詢、解決技術問題、提供售後服務。

法律依據:履行合約/合法利益

營銷通訊

通知你我哋嘅新聞、新產品、特別優惠、活動。

法律依據:同意(可隨時撤回)

服務改進

分析平台使用情況、開發新功能。

法律依據:合法利益

法規合規

遵守我哋嘅法律義務:EUDR、DPP、會計、稅務、HACCP。

法律依據:法律義務

安全同防欺詐

保護平台免受未授權訪問、檢測欺詐行為。

法律依據:合法利益

區塊鏈證明

將追溯哈希錨定到區塊鏈以保證證據嘅不可變性。只儲存哈希,唔儲存你嘅個人數據。

法律依據:履行合約

處理嘅法律依據

根據GDPR,所有個人資料處理必須建基於法律依據。以下係我哋處理所依據嘅法律基礎:

同意(GDPR第6.1.a條)

用於發送通訊、營銷通訊、使用非必要cookies。你可以隨時透過取消訂閱連結或聯絡我哋撤回同意。

履行合約(GDPR第6.1.b條)

用於履行我哋之間嘅合約:創建帳戶、提供追溯服務、管理訂單、客戶支援、分配VRT積分。

法律義務(GDPR第6.1.c條)

用於遵守我哋嘅法律義務:保存發票10年(商業法典)、EUDR/DPP合規、連接日誌12個月、回應司法要求。

合法利益(GDPR第6.1.f條)

用於我哋唔損害你權利嘅合法利益:服務改進、平台安全、匿名統計、防欺詐。

利益平衡

當我哋援引合法利益時,我哋已經喺我哋嘅利益同閣下嘅權利同自由之間作出平衡。此項分析已作記錄,並可向我哋嘅DPO要求索取。

保存期限

我哋只會喺收集個人資料嘅目的所需嘅期間內保留閣下嘅個人資料,並遵守法定義務:

DonnéesDuréeJustification
帳戶資料(潛在客戶)最後一次有效聯絡後3年CNIL建議
帳戶資料(客戶)合約期限 + 5年民事時效
追溯資料最少10年食品法規義務
發票資料10年商法典(第L123-22條)
瀏覽資料(cookies)最多13個月CNIL建議
連線日誌12個月LCEN/保安
同意書(證明)同意期限 + 5年以備查核時作為證據
電子報資料直至取消訂閱 + 3年反對意見管理
支援工單結案後3年服務質素
區塊鏈雜湊值永久區塊鏈不可變性(僅為雜湊值,並非資料本身)

封存

喺活躍資料庫嘅保留期限屆滿後,部分資料可能會封存於存取受限嘅中介資料庫,以履行我哋嘅法定義務,或用於確立、行使或辯護司法權利。

刪除

喺保留及封存期限屆滿後,閣下嘅資料將以安全方式刪除,或以不可逆轉嘅方式匿名化。

數據接收者

閣下嘅個人資料可能會喺嚴格限於達成上述目的所需範圍內,傳達俾以下接收者:

內部

只有因職務需要而須查閱閣下資料嘅 VeraTrace 團隊成員先可以存取:

  • 技術團隊(支援、開發)
  • 商務團隊(客戶關係)
  • 行政團隊(帳單、會計)
  • 管理層(監督)

存取權限按照最低權限原則控制,並記錄喺我哋嘅審計日誌之中。

分判商及服務供應商

我哋委託技術服務供應商負責我哋服務嘅運作。所有供應商均受嚴格嘅合約義務約束(GDPR 第 28 條):

Hetzner Online GmbH

網站寄存及 CDN

德國(歐盟)歐盟寄存

瀏覽數據、日誌

Amazon Web Services (AWS)

雲端基礎設施、數據儲存

歐盟(法蘭克福)歐盟寄存

所有應用數據

Make(前稱 Integromat)

表格及工作流程自動化

歐盟(捷克)歐盟寄存

表格數據

Brevo(前稱 Sendinblue)

發送交易電郵同電子通訊

法國法國寄存

電郵、名字、偏好

Stripe

付款處理

美國/愛爾蘭標準合約條款

付款數據(已代幣化)

VeraTrace 私有區塊鏈

錨定溯源證據

VeraTrace 私有基礎設施只發佈哈希值,並無個人資料

僅限密碼學哈希值

Airtable

CRM 及聯絡人管理

美國標準合約條款

業務聯絡數據

呢個清單會定期更新。上次審閱:2026 年 1 月。

合作夥伴(須獲閣下同意)

經閣下明確同意後,部分數據可能會同我哋嘅合作夥伴共享:

  • 閣下作為成員嘅農業合作社
  • 合作嘅地方政府(僅限匯總數據)
  • 認證機構(作核實用途)

當局及法律義務

閣下嘅數據可能會應合法要求傳達俾主管當局:

  • 稅務機關(審查)
  • 司法機關(徵用令)
  • CNIL(審查)
  • 食品監管當局(DGCCRF、DDPP)

出售數據

我哋絕對不會將閣下嘅個人資料出售俾第三方。未經閣下明確同意,我哋亦不會將有關資料用於廣告目的而作共享。

歐盟境外傳輸

我哋部分服務供應商位於歐洲聯盟境外,主要喺美國。喺呢種情況下,我哋確保根據《通用資料保障條例》(GDPR)第五章設立適當嘅保障措施:

已設立嘅保障措施

標準合約條款 (SCCs)

與我哋美國服務供應商簽署嘅、經歐洲委員會批准嘅條款(2021/914號決定)

額外措施

傳輸中同靜態儲存數據加密、盡可能採用化名處理、傳輸影響評估 (TIA)

優先選擇歐盟託管

我哋一貫優先選擇喺歐盟境內託管數據嘅服務供應商

涉及國家

美國

Stripe, Airtable

標準合約條款 + 額外措施

閣下可透過電郵至 [email protected] 聯絡我哋,以索取標準合約條款副本或已設立嘅保障措施之副本

自動化決策同剖析

根據《通用數據保障條例》第22條,我哋向閣下通知涉及自動化決策嘅處理:

可追溯性評分計算

我哋會根據閣下提供嘅數據自動計算可追溯性評分(由A至E):資料完整度、認證、供應鏈覆蓋率等等。

此評分僅供參考,並無重大法律效力。並不會影響閣下使用本服務嘅能力。

閣下可以聯絡我哋嘅支援團隊,對此評分提出異議。

VRT 積分分配

積分係根據一套演算法自動計算,當中會考慮:運送距離、認證、產品類型、冷鏈等等。

此項計算會影響閣下所累積嘅積分數量。

如閣下認為出現錯誤,可以要求進行人手覆核。

並無完全自動化嘅決策

本平台並無以純粹自動化方式作出產生法律效力或對閣下有重大影響嘅決策。閣下可隨時要求人手介入。

你嘅權利

根據GDPR,你對你嘅個人數據擁有以下權利:

訪問權(GDPR第15條)

獲得確認你嘅數據正在被處理、訪問呢啲數據同獲得副本。你亦可以要求有關處理目的、數據類別、接收者、保存期限等資訊。

更正權(GDPR第16條)

更正關於你嘅唔準確數據或補充唔完整數據。

刪除權(GDPR第17條)

喺某啲情況下要求刪除你嘅數據:數據唔再需要、撤回同意、反對、非法處理。如果處理係法律義務所需,呢個權利唔適用。

限制處理權(GDPR第18條)

喺驗證數據準確性期間、如果處理係非法嘅、或喺審查反對期間要求限制處理。

數據可攜權(GDPR第20條)

以結構化格式(JSON、CSV)接收你嘅數據並將其傳輸給另一個數據控制者。

反對權(GDPR第21條)

反對基於合法利益嘅處理。你可以喺冇任何理由嘅情況下反對用於商業推廣嘅處理。

撤回同意權

隨時撤回你對基於同意嘅處理嘅同意,而唔影響之前處理嘅合法性。

身後指示權

定義關於你去世後數據嘅保存同傳達嘅指示。

唔受自動決策約束權

唔受完全基於自動處理嘅決定約束,該決定對你產生法律效力或顯著影響你。

如何行使你嘅權利

要行使您嘅權利,您有以下幾個選擇:

網上

透過您嘅個人空間,「我嘅資料」部分(適用於擁有帳戶嘅用戶)

電郵

發送電郵至 [email protected]

郵寄

VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France

請在任何申請中附上身份證明文件副本(身份證、護照)。此措施旨在保護您嘅資料免受欺詐性申請。

我哋承諾由收到申請之日起一個月內回覆。考慮到申請嘅複雜性同數量,此期限可延長兩個月,屆時您將獲通知此延長。

行使您嘅權利係免費嘅。但係,如遇明顯無理由或過分嘅申請,特別係因其重複性質,我哋可要求支付合理費用或拒絕跟進。

向監管機構投訴

如果你認為你嘅個人數據處理違反咗法規,你有權向法國國家資訊自由委員會(CNIL)提出投訴,呢個係法國嘅監管機構。對於香港用戶,亦可以向香港個人資料私隱專員公署(PCPD)投訴:

CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

www.cnil.fr

您亦可以在 CNIL 網站上在線提交投訴。

Cookies同追蹤器

我哋嘅網站使用cookies同類似技術(像素、網絡信標、本地儲存)。Cookie係一個細小嘅文字檔案,當您瀏覽網站時儲存喺您嘅終端設備(電腦、智能手機、平板電腦)上。

咩係cookie?

Cookie令網站可以識別您嘅瀏覽器並記住某啲資訊(偏好設定、會話等)。Cookies無法執行程式或傳播病毒。

所使用嘅cookies類型

嚴格必要嘅cookies

係網站運作不可或缺嘅

用戶會話、語言偏好、安全(CSRF)、購物車

會話或最多12個月VeraTraceEssentiel

效能/分析cookies

了解訪客如何使用網站

頁面瀏覽量、訪問時長、用戶路徑、遇到嘅錯誤

最多13個月VeraTrace(自家分析工具,非Google Analytics)Consentement requis

偏好cookies

記住您嘅選擇以個性化體驗

語言、貨幣、深色/淺色主題、偏好顯示方式

12個月VeraTraceConsentement requis

我哋不會使用嘅嘢

  • 廣告或定向cookies
  • 社交網絡追蹤器(Facebook Pixel等)
  • Google Analytics或任何Google追蹤服務
  • 用於市場推廣目嘅嘅第三方cookies

Cookies管理

您可以隨時修改您嘅cookies偏好設定:

同意橫額

可透過每頁底部嘅「管理cookies」連結存取

瀏覽器設定

您可以配置您嘅瀏覽器拒絕所有cookies或喺傳送cookie時提醒您

主要瀏覽器設定嘅連結

Chrome: chrome://settings/cookiesFirefox: about:preferences#privacySafari: 偏好設定 > 私隱Edge: edge://settings/privacy

停用某啲cookies可能會影響網站嘅運作同您嘅瀏覽體驗。

數據安全

我哋實施適當嘅技術同組織措施,保護閣下嘅個人數據免受意外或非法銷毀、遺失、篡改、未經授權嘅披露或存取:

技術措施

  • 傳輸中數據加密(HTTPS/TLS 1.3)
  • 敏感數據靜態加密(AES-256)
  • 密碼雜湊(bcrypt 加鹽)
  • 系統存取強認證(強制 2FA)
  • Web 應用防火牆(WAF)及 DDoS 防護
  • 入侵監察及偵測(IDS/IPS)
  • 每日加密備份並每月進行還原測試
  • 開發、測試同生產環境分離

組織措施

  • 基於最小權限原則嘅嚴格存取控制
  • 數據存取可追溯性(審計日誌)
  • 團隊定期接受安全及數據保護培訓
  • 安全事故管理政策
  • 定期審查存取權限
  • 所有員工及承辦商均須簽署保密條款

測試及審計

我哋定期進行安全測試(滲透測試、漏洞掃描)並對我哋嘅做法進行審計。

數據外洩

如發生可能對閣下嘅權利同自由構成風險嘅個人數據外洩事件:

  1. 我哋會喺知悉外洩後 72 小時內通知 CNIL
  2. 如風險對閣下嘅權利同自由較高,我哋會盡快通知閣下
  3. 我哋會喺內部登記冊記錄所有外洩事件
  4. 我哋會採取措施補救外洩事件並限制其後果

區塊鏈相關嘅特定事項

VeraTrace 採用區塊鏈技術嚟認證追溯數據。以下係閣下需要知悉嘅事項:

儲存喺區塊鏈上嘅內容

  • 僅限密碼學雜湊值(數碼指紋)
  • 記錄嘅時間戳
  • 批次識別碼(已匿名化處理)

並非儲存喺區塊鏈上嘅內容

  • 閣下嘅個人資料(姓名、地址等)
  • 商業細節(價格、數量)
  • 閣下農場嘅敏感資料

不可變更性

記錄喺區塊鏈上嘅雜湊值本質上不可變更,亦無法刪除。然而,此等雜湊值並不足以還原閣下嘅個人資料。一旦從本公司系統中刪除閣下嘅數據,此等雜湊值即變得無法使用。

刪除權與區塊鏈

倘若閣下行使刪除權,本公司將從數據庫中刪除閣下所有個人資料。區塊鏈雜湊值雖然仍然存在,但不再可以與閣下嘅身份掛鈎,亦不足以還原閣下嘅數據。

政策修訂

我哋保留隨時修改本私隱政策嘅權利,以反映我哋實務上嘅演變或監管要求嘅變更。

通知你嘅方式

  • 就重大修改透過電郵通知(已註冊帳戶嘅用戶)
  • 喺網站上顯示資訊橫額,為期30日
  • 喺文件頂部更新「最後更新日期」

喺修訂公布後繼續使用我哋嘅服務,即視為接受新政策。

版本歷史可向我哋嘅資料保護主任(DPO)索取。

聯絡我哋

如對本私隱政策或閣下個人資料嘅處理有任何疑問:

資料保護主任(DPO)

[email protected]

GDPR相關問題、權利行使、投訴

技術支援

[email protected]

帳戶問題、透過應用程式存取資料

一般聯絡

[email protected]

一般查詢

郵寄地址

VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France

正式要求請以掛號郵件寄送

我哋承諾喺5個工作天內就任何要求作出初步回覆,並喺一個月嘅法定期限內提供完整答覆。