概述

数据保护对我们而言至关重要。您无需提供任何个人数据即可使用我们的网站；但是，如果您希望通过我们的网站使用某些特定的企业服务，则可能需要处理您的个人数据。如果必须处理您的个人数据且没有其他法律依据，我们通常会征得您的同意。

处理个人数据，例如数据主体的姓名、地址、电子邮件地址或电话号码，始终符合《通用数据保护条例》(GDPR) 以及适用于我们的特定国家/地区的数据保护法规。通过本数据保护政策，我们希望向公众告知我们收集、使用和处理的个人数据的性质、范围和目的。此外，本数据保护声明还将告知数据主体其享有的权利。

作为数据控制者，我们已采取多项技术和组织措施，以确保通过本网站处理的个人数据得到最全面的保护。然而，基于互联网的数据传输原则上可能存在安全漏洞，因此无法保证绝对安全。

控制者的名称和地址

根据《通用数据保护条例》(GDPR)、欧盟成员国适用的其他数据保护法律以及其他与数据保护相关的规定，数据控制者为：

睫毛之家有限公司
单元 5 Barrs 折叠关闭
温盖茨工业园区
BL5 3XA
韦斯特霍顿
英国

info@londonlashpro.com | www.londonlashpro.com

短信营销和通知

您在订阅弹窗表单中输入手机号码和电子邮件地址，即表示您同意我们向您发送短信或电子邮件通知（包括订单通知和购物车遗弃提醒）以及短信或电子邮件营销优惠信息。您知悉，同意接收此类信息并非购买商品的必要条件。

如果您希望取消订阅短信营销信息和通知，请回复短信中提供的文本。您理解并同意，使用其他词语或提出其他要求等取消订阅方式不被视为有效的取消订阅方式。短信和数据费用可能适用。如需了解更多信息，请联系我们。 info@londonlashpro.com。

定义

本数据保护声明基于欧洲立法机构在通过《通用数据保护条例》(GDPR)时使用的术语。我们的数据保护声明应清晰易懂，不仅面向公众，也面向我们的客户和业务合作伙伴。为确保这一点，我们首先解释一下所使用的术语。在本数据保护声明中，我们使用以下术语：

a. 个人数据

个人数据是指与已识别或可识别的自然人（“数据主体”）相关的任何信息。可识别的自然人是指可以直接或间接识别的自然人，尤其可以通过诸如姓名、身份证号码、位置数据、在线标识符等标识符，或通过与该自然人的身体、生理、遗传、精神、经济、文化或社会身份相关的一个或多个特定因素来识别。

b. 数据主体

数据主体是指任何已识别或可识别的自然人，其个人数据由负责处理的控制者进行处理。

c.加工

处理是指对个人数据或个人数据集执行的任何操作或一系列操作，无论是否通过自动化方式，例如收集、记录、组织、构建、存储、改编或更改、检索、查阅、使用、通过传输、传播或其他方式披露、排列或组合、限制、擦除或销毁。

d. 限制处理

限制处理是指对已存储的个人数据进行标记，目的是限制其将来被处理。

e. 画像分析

分析是指对个人数据进行任何形式的自动化处理，包括使用个人数据来评估与自然人相关的某些个人方面，特别是分析或预测与该自然人在工作中的表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动有关的各个方面。

f. 假名化

假名化是指以这样一种方式处理个人数据：在不使用附加信息的情况下，个人数据不再能与特定数据主体关联起来；前提是此类附加信息被单独保存，并受到技术和组织措施的约束，以确保个人数据不会与已识别或可识别的自然人关联起来。

g. 控制者或负责处理的控制者

控制者或负责处理的控制者是指单独或与他人共同决定个人数据处理的目的和方式的自然人或法人、公共机构、机关或其他机构；如果此类处理的目的和方式由欧盟或成员国法律确定，则控制者或其任命的具体标准可由欧盟或成员国法律规定。

h. 处理器

处理者是指代表控制者处理个人数据的自然人或法人、公共机构、机关或其他机构。

i. 收件人

接收方是指自然人或法人、公共机构、机关或其他实体，无论是否为第三方，只要个人数据被披露，即视为接收方。但是，根据欧盟或成员国法律，在特定调查框架内可能接收个人数据的公共机构不应被视为接收方；这些公共机构对这些数据的处理应符合适用的数据保护规则，并符合处理目的。

j. 第三方

第三方是指除数据主体、控制者、处理者以及在控制者或处理者的直接授权下有权处理个人数据的人员之外的自然人或法人、公共机构、机关或团体。

k. 同意

数据主体的同意是指数据主体以声明或明确的肯定性行为，自由地、具体地、知情地、明确地表示其同意处理与其相关的个人数据。

曲奇饼

我们的网站使用cookies。Cookies是通过网络浏览器存储在计算机系统中的文本文件。

许多网站和服务器都使用 Cookie。许多 Cookie 都包含 Cookie ID。Cookie ID 是 Cookie 的唯一标识符。它由一个字符串组成，通过该字符串，可以将网页和服务器与存储该 Cookie 的特定浏览器关联起来。这使得访问过的网站和服务器能够将数据主体的浏览器与其他包含不同 Cookie 的浏览器区分开来。通过唯一的 Cookie ID，可以识别特定的浏览器。

通过使用 Cookie，我们可以为本网站的用户提供更加人性化的服务，如果没有 Cookie 设置，这些服务将无法实现。

通过使用 Cookie，我们可以根据用户的喜好优化网站上的信息和优惠。如前所述，Cookie 使我们能够识别网站用户。这种识别的目的是为了方便用户使用我们的网站。使用 Cookie 的网站用户， e.g用户无需每次访问网站时都输入访问数据，因为网站会自动获取这些数据，并将 cookie 存储在用户的计算机系统中。另一个例子是网上商店购物车中的 cookie。网上商店通过 cookie 记住顾客添加到虚拟购物车中的商品。

数据主体可随时通过对所用互联网浏览器进行相应设置，阻止本网站设置 Cookie，从而永久拒绝 Cookie 的设置。此外，已设置的 Cookie 也可随时通过互联网浏览器或其他软件程序删除。所有主流互联网浏览器均支持此功能。如果数据主体在其使用的互联网浏览器中禁用 Cookie 设置，则可能无法完全使用本网站的所有功能。

一般数据和信息的收集

当数据主体或自动化系统访问本网站时，本网站会收集一系列通用数据和信息。这些通用数据和信息存储在服务器日志文件中。收集的信息可能包括：(1) 使用的浏览器类型和版本；(2) 访问系统使用的操作系统；(3) 访问系统访问本网站的来源网站（即所谓的引荐网站）；(4) 子网站；(5) 访问本网站的日期和时间；(6) 互联网协议地址（IP 地址）；(7) 访问系统的互联网服务提供商；以及 (8) 在我们的信息技术系统遭受攻击时可能使用的任何其他类似数据和信息。

使用这些一般数据和信息时，我们不会推断数据主体的任何信息。相反，这些信息用于以下目的：(1) 正确呈现我们网站的内容；(2) 优化我们网站的内容及其广告；(3) 确保我们信息技术系统和网站技术的长期可用性；(4) 在发生网络攻击时，向执法部门提供刑事诉讼所需的信息。因此，我们会对匿名收集的数据和信息进行统计分析，旨在提高我们企业的数据保护和数据安全水平，并确保我们处理的个人数据得到最佳保护。服务器日志文件的匿名数据与数据主体提供的所有个人数据分开存储。

数据主体的权利

a. 确认权

根据欧洲立法者的规定，每位数据主体均有权从数据控制者处获得确认，了解其个人数据是否正在被处理。如果数据主体希望行使此项确认权，可以随时联系数据控制者的任何员工。

b. 访问权

根据欧洲立法者的规定，每个数据主体均有权随时从控制者处免费获取有关其存储的个人数据的信息以及该信息的副本。此外，欧洲指令和条例赋予数据主体以下信息访问权：处理的目的；相关个人数据的类别；个人数据已被披露或将要披露的接收者或接收者类别，特别是位于第三国或国际组织的接收者；如有可能，个人数据的预期存储期限，或者，如不可能，用于确定该期限的标准；数据主体有权要求控制者更正或删除个人数据，或限制处理与其相关的个人数据，或反对此类处理；数据主体有权向监管机构提出投诉；如果个人数据并非从数据主体处收集，则提供有关其来源的任何可用信息；是否存在GDPR第22条第(1)款和第(4)款所述的自动化决策（包括分析），以及至少在这些情况下，有关所涉逻辑的有意义的信息，以及此类处理对数据主体的意义和预期后果。

此外，数据主体有权获知其个人数据是否被传输至第三国或国际组织。如属此情况，数据主体有权获悉与该传输相关的适当保障措施。

如果数据主体希望行使此项访问权，他或她可以随时联系控制者的任何员工。

c. 更正权

根据欧洲立法者的规定，每位数据主体均有权要求数据控制者立即更正与其相关的任何不准确的个人数据。考虑到数据处理的目的，数据主体有权要求补充不完整的个人数据，包括通过提供补充声明的方式。

如果数据主体希望行使更正权，他/她可以随时联系控制者的任何员工。

d. 被遗忘权（删除权）

根据欧洲立法者的规定，每个数据主体均有权要求控制者立即删除与其相关的个人数据；控制者在存在下列情形之一时有义务立即删除个人数据，但处理并非必要：

这些个人数据对于收集目的而言已不再必要，或者出于其他原因。 processed.The 数据主体根据《通用数据保护条例》（GDPR）第6条第1款(a)项或第9条第2款(a)项撤回其处理所依据的同意，且没有其他合法理由， processing.The 数据主体根据《通用数据保护条例》(GDPR)第21条第1款反对处理，且不存在凌驾于数据主体利益之上的合法理由进行处理；或者数据主体根据GDPR第21条第2款反对处理。 GDPR.The 个人数据已被非法获取 processed.The 根据欧盟或成员国法律规定的法律义务，必须删除个人数据。 subject.The 根据 GDPR 第 8(1) 条的规定，收集了与提供信息社会服务相关的个人数据。

如果存在上述任何一种情况，且数据主体希望请求我们删除其存储的个人数据，则可随时联系数据控制者的任何员工。员工应立即确保删除请求得到执行。

如果控制者已公开个人数据，且根据第17条第1款有义务删除该个人数据，则控制者应考虑现有技术和实施成本，采取合理措施（包括技术措施），通知其他处理该个人数据的控制者，数据主体已要求这些控制者删除指向该个人数据的任何链接或副本，但处理并非必要的情况除外。相关工作人员将根据具体情况安排必要的措施。

e. 限制处理的权利

根据欧洲立法者的规定，每个数据主体均有权在下列情况下要求控制者限制处理其个人数据：

数据主体对个人数据的准确性提出异议，异议期为数据控制者核实个人数据准确性的期限。 data.The 处理行为违法，数据主体反对删除个人数据，而是要求限制其使用。 instead.The 控制者不再需要出于处理目的而使用个人数据，但数据主体为了确立、行使或捍卫合法权利而需要这些数据。 claims.The 数据主体已根据《通用数据保护条例》(GDPR)第21条第1款提出反对处理，目前正在等待核实控制者的合法理由是否凌驾于数据主体的合法理由之上。 subject.If 如果满足上述条件之一，且数据主体希望请求限制我们处理其存储的个人数据，则可随时联系数据控制者的任何员工。该员工将安排限制处理事宜。

f. 数据可移植权

根据欧洲立法者的规定，每位数据主体均有权以结构化、常用且机器可读的格式接收其提供给控制者的个人数据。只要处理基于《通用数据保护条例》（GDPR）第6条第1款(a)项或第9条第2款(a)项规定的同意，或基于GDPR第6条第1款(b)项规定的合同，且处理通过自动化方式进行，并且处理并非为履行公共利益任务或行使授予控制者的官方权力所必需，则数据主体有权将这些数据传输给另一控制者，而不受已接收个人数据的控制者的阻碍。

此外，根据 GDPR 第 20 条第 1 款，数据主体在行使数据可移植权时，有权要求将个人数据直接从一个控制者传输到另一个控制者，前提是技术上可行，并且这样做不会对其他人的权利和自由造成不利影响。

为了行使数据可移植权，数据主体可以随时联系任何员工。

g. 反对权

根据欧洲立法者的规定，每位数据主体均有权基于其特定情况，随时反对依据《通用数据保护条例》（GDPR）第6条第1款(e)项或(f)项对其个人数据进行的处理。此项权利同样适用于基于上述条款进行的画像分析。

如果提出反对，我们将不再处理个人数据，除非我们能够证明有令人信服的合法理由进行处理，且该理由凌驾于数据主体的利益、权利和自由之上，或者为了确立、行使或捍卫法律主张。

如果我们出于直接营销目的处理个人数据，数据主体有权随时反对我们出于此类营销目的处理与其相关的个人数据。这同样适用于与此类直接营销相关的任何形式的用户画像分析。如果数据主体反对出于直接营销目的处理个人数据，我们将不再为此目的处理该个人数据。

此外，数据主体有权基于其特定情况的理由，反对根据 GDPR 第 89(1) 条为科学或历史研究目的或统计目的处理与其相关的个人数据，除非该处理是为履行公共利益任务所必需的。

为了行使反对权，数据主体可以联系任何员工。此外，在使用信息社会服务时，数据主体有权（即使违反指令2002/58/EC）通过技术规范以自动化方式行使其反对权。

h. 自动化个人决策，包括用户画像

根据欧洲立法者的规定，每个数据主体均有权不受仅基于自动化处理（包括分析）的决定约束，该决定对其产生法律效力或对其产生类似重大影响，但以下情况除外：(1) 该决定并非数据主体与数据控制者之间订立或履行合同所必需；(2) 该决定未经数据控制者所受约束的欧盟或成员国法律授权，且该法律还规定了保障数据主体权利、自由和合法利益的适当措施；(3) 该决定并非基于数据主体的明确同意。

如果该决定 (1) 是数据主体与数据控制者之间订立或履行合同所必需的，或者 (2) 是基于数据主体的明确同意，我们将采取适当措施保障数据主体的权利、自由和合法利益，至少包括获得数据控制者的人工干预、表达其观点和对该决定提出异议的权利。

如果数据主体希望行使与自动化个人决策相关的权利，他/她可以随时联系任何员工。

i. 撤回数据保护同意的权利

根据欧洲立法者的规定，每个数据主体都有权随时撤回其对处理其个人数据的同意。

如果数据主体希望行使撤回同意的权利，他/她可以随时联系任何员工。

处理的法律依据

根据《通用数据保护条例》(GDPR)第6条第1款a项，我们获得数据主体同意后，方可进行特定处理操作，该等处理操作的法律依据为GDPR第6条第1款b项。如果处理个人数据对于履行数据主体作为一方当事人的合同是必要的，例如，为了提供商品或其他服务，则处理的法律依据为GDPR第6条第1款b项。同样，对于为履行合同前措施所必需的处理操作，例如在收到有关我们产品或服务的咨询时，也适用上述规定。如果我公司负有法律义务，需要处理个人数据，例如为了履行纳税义务，则处理的法律依据为GDPR第6条第1款c项。在极少数情况下，处理个人数据可能是为了保护数据主体或其他自然人的切身利益。例如，如果访客在我们公司受伤，需要将其姓名、年龄、医疗保险信息或其他重要信息传递给医生、医院或其他第三方，则此类处理将依据《通用数据保护条例》（GDPR）第6条第1款d项。此外，处理操作也可能依据GDPR第6条第1款f项。如果处理操作不属于上述任何法律依据的范畴，且为了我公司或第三方的合法利益而必须进行，则可采用此法律依据，但前提是数据主体的利益或基本权利和自由不凌驾于这些利益之上，且需要保护个人数据。此类处理操作尤其合法，因为欧洲立法者已明确提及。立法者认为，如果数据主体是控制者的客户，则可以推定存在合法利益（GDPR第47条第2款）。

定期删除和屏蔽个人数据

数据控制者应仅在实现存储目的所必需的期限内处理和存储数据主体的个人数据，或者在欧洲立法者或其他立法者在其所受约束的法律或法规中允许的范围内处理和存储。

如果存储目的不再适用，或者欧洲立法者或其他主管立法者规定的存储期限到期，则个人数据将按照法律要求进行例行封锁或删除。

本网站的控制器集成了PayPal的组件。PayPal是一家在线支付服务提供商。付款通过PayPal账户处理，这些账户代表虚拟的个人或企业账户。即使用户没有PayPal账户，PayPal也可以通过信用卡处理虚拟付款。PayPal账户通过电子邮件地址进行管理，因此没有传统的账号。PayPal支持向第三方发起在线付款或接收付款。此外，PayPal还提供托管服务和买家保障服务。

PayPal 的欧洲运营公司是 PayPal (Europe) S.à.r.l。 &及公司 S.C.A., 22-24 Boulevard Royal, 2449 卢森堡, 卢森堡。

如果数据主体在网店下单过程中选择“PayPal”作为支付方式，我们会自动将数据主体的数据传输给PayPal。选择此支付方式即表示数据主体同意传输支付处理所需的个人数据。

传输至PayPal的个人数据通常包括姓名、地址、电子邮件地址、IP地址、电话号码、手机号码或其他支付处理所需的数据。处理购买合同也需要此类与相应订单相关的个人数据。

数据传输旨在处理支付和预防欺诈。数据控制者会将个人数据传输给PayPal，尤其是在存在合法利益的情况下。PayPal与数据控制者之间为处理数据而交换的个人数据，将由PayPal传输给经济信用机构。此传输旨在进行身份和信用核查。

如有必要，PayPal 会将个人数据传递给关联公司、服务提供商或分包商，但仅限于履行合同义务或处理订单所需的数据。

数据主体可随时撤回其对PayPal处理个人数据的同意。撤回同意不影响根据（合同）支付处理规定必须处理、使用或传输的个人数据。

您可以在以下位置查阅PayPal适用的数据保护条款： https://www.paypal.com/us/webapps/mpp/ua/privacy-full。

订阅电子报

在我们的网站上，用户可以订阅我们公司的资讯简报。用于此目的的输入框决定了传输哪些个人数据，以及何时向数据控制者订购资讯简报。

我们会定期通过新闻简报向客户和业务合作伙伴推送企业优惠信息。数据主体只有在满足以下两个条件时才能收到企业新闻简报：(1) 数据主体拥有有效的电子邮件地址；(2) 数据主体已注册接收新闻简报。出于法律原因，我们会在双重确认机制下，向首次注册接收新闻简报的数据主体的电子邮件地址发送一封确认邮件。此确认邮件用于验证电子邮件地址的所有者（即数据主体）是否已获得接收新闻简报的授权。

在用户注册订阅电子报时，我们还会存储用户注册时所用计算机系统的IP地址（由互联网服务提供商 (ISP) 分配）以及注册日期和时间。收集这些数据是为了日后了解用户电子邮件地址是否被滥用，从而维护数据控制者的合法权益。

您注册订阅电子报时所提供的个人数据将仅用于向您发送电子报。此外，只要为了新闻通讯服务的正常运行或相关注册的需要，例如新闻通讯内容变更或技术环境发生变化，新闻通讯订阅者可能会收到电子邮件通知。新闻通讯服务收集的个人数据不会传输给第三方。数据主体可以随时取消订阅我们的新闻通讯。数据主体之前为接收新闻通讯而给予的个人数据存储同意可以随时撤销。每期新闻通讯中都包含撤销同意的链接。您也可以随时直接在数据控制者的网站上取消订阅新闻通讯，或通过其他方式告知数据控制者。

新闻简报追踪

我们的电子报邮件中包含追踪像素。追踪像素是一种嵌入在邮件中的微型图像，这些邮件以 HTML 格式发送，以便记录和分析日志文件。这使得我们可以对在线营销活动的成败进行统计分析。基于嵌入的追踪像素，我们可以了解数据主体是否以及何时打开了邮件，以及数据主体点击了邮件中的哪些链接。

数据控制者会存储并分析新闻邮件中包含的追踪像素所收集的此类个人数据，以优化新闻邮件的发送，并根据数据主体的兴趣更好地调整未来新闻邮件的内容。这些个人数据不会传递给第三方。数据主体有权随时撤回其接收新闻邮件的同意声明。

撤销同意后，数据控制者将删除这些个人数据。取消订阅新闻简讯即视为撤销同意。

可通过网站联系。

我们的网站包含可让您快速以电子方式联系我们公司的信息，以及可通过电子邮件直接与我们联系的信息。如果数据主体通过电子邮件或联系表格联系数据控制者，则数据主体传输的个人数据将被自动存储。数据主体自愿传输给数据控制者的此类个人数据将被存储，用于处理数据或与数据主体联系。我们不会将这些个人数据传输给第三方。

网站博客中的评论功能

我们允许用户在网站控制者网站上的博客上对每篇博文发表评论。博客是一个基于网络的公开平台，博主或网络博主可以通过该平台发布文章或撰写博文。博文通常允许第三方评论。

如果数据主体在本网站发布的博客上发表评论，则该数据主体的评论内容、评论日期以及其选择的用户名（化名）信息均会被存储并发布。此外，互联网服务提供商 (ISP) 分配给该数据主体的 IP 地址也会被记录。存储 IP 地址是出于安全考虑，以防数据主体通过评论侵犯第三方权利或发布非法内容。因此，存储这些个人数据符合数据控制者的自身利益，以便在发生侵权行为时能够免除其责任。

除非法律要求或为了维护数据控制者的利益，否则收集到的个人数据不会传递给第三方。

应用程序的数据保护及申请流程

数据控制者将收集并处理申请人的个人数据，用于处理申请流程。数据处理也可以通过电子方式进行。特别是当申请人通过电子邮件或网站上的网络表格向数据控制者提交相应的申请文件时，即属于这种情况。如果数据控制者与申请人签订了雇佣合同，则提交的数据将根据法律要求存储，用于处理雇佣关系。如果数据控制者未与申请人签订雇佣合同，则申请文件将在拒绝决定通知发出后两个月自动删除，前提是数据控制者没有其他合法利益反对删除。此处涉及的其他合法利益是： e.g. 根据《一般平等待遇法》(AGG) 进行的程序中的举证责任。

在我们的网站上注册

数据主体可以通过提供个人数据在控制者的网站上注册。哪些个人数据会被传输给控制者取决于注册时使用的相应输入表单。数据主体输入的个人数据仅供控制者内部使用，并用于其自身目的。控制者可以要求将数据传输给一个或多个处理者（e.g（包裹服务）也出于可归因于控制者的内部目的使用个人数据。

用户在本网站注册时，其互联网服务提供商 (ISP) 分配的 IP 地址、注册日期和时间也会被存储。存储这些数据的目的是为了防止滥用我们的服务，并在必要时调查已发生的违法行为。此外，存储这些数据对于保障本网站的安全至关重要。除非法律另有规定，或为追究刑事责任，否则这些数据不会传递给第三方。

数据主体自愿提供个人数据进行注册，旨在使数据控制者能够向数据主体提供某些内容或服务，这些内容或服务由于其性质特殊，可能仅提供给注册用户。注册用户可随时更改注册时提供的个人数据，或要求数据控制者将其从数据库中完全删除。

数据控制者应随时应数据主体的要求，提供关于其个人数据存储情况的信息。此外，数据控制者应根据数据主体的要求或指示，更正或删除个人数据，但法律另有规定的除外。数据控制者的所有员工均可作为数据主体的联系人，就此事宜与其联系。

Klarna

为了能够为您提供 Klarna 的支付选项，我们将向 Klarna 提供您的某些个人信息，例如联系方式和订单详情，以便 Klarna 评估您是否符合其支付选项的条件，并为您量身定制支付选项。

您可以在这里找到有关 Klarna 的一般信息 这里。您的个人数据将根据适用的数据保护法律以及相关信息进行处理。 Klarna的隐私政策。