跳到内容

数据安全策略

  1. 介绍

1.1政策目的

本资料保安政策(“政策”)说明如何Yabovip1988追逐塑料有限公司“我们”“我们”“我们”“公司”、“大通塑料”Yabovip1988)处理我们的客户、供应商、雇员、工人及其他第三者的个人资料。

本政策适用于我们处理的所有个人数据,无论该数据存储在何种媒体上,也无论该数据是否与过去或现在的员工、工人、客户、客户或供应商联系人、股东、网站用户或任何其他数据主体有关。

本政策适用于所有公司职员(“你”“你的”在代表我们处理个人资料时,您必须阅读、理解并遵守本政策,并且您必须参加由数据保护经理(“空闲”).本政策规定了我们对您的期望,以便公司遵守适用的法律。您必须遵守本政策。任何违反本政策的行为都可能导致纪律处分。

1.2定义

在本政策中,下列术语应具有以下含义:

公司人员:所有员工、工人、承包商、代理工人、顾问、董事、成员和其他人;

同意:该协议必须是自由给予的、具体的、知情的,并明确表明资料当事人的意愿,以声明或明确的积极行动表示同意处理与他们有关的个人资料;

数据控制器:决定何时、为何及如何处理个人资料的个人或组织。它负责建立符合GDPR的做法和政策。我们是所有与我们公司人员有关的个人资料的数据控制人,以及在我们业务中用于我们自己的商业用途的个人资料;

数据问题:我们持有个人资料的活着的、已识别的或可识别的个人。数据主体可以是任何国家的国民或居民,并对其个人数据享有法律权利;

EEA:欧盟27个国家、英国、冰岛、列支敦士登和挪威;

明确的同意:同意需要非常明确和具体的陈述(即,不只是行动);

《一般资料保护规例》:一般数据保护条例((EU) 2016/679)。个人资料受《GDPR》所指明的法律保障;

个人资料:识别数据主体的任何信息,或我们可以(直接或间接)从该数据单独或结合我们拥有或合理访问的其他标识符识别该数据主体的任何信息。个人数据包括敏感个人数据和假名个人数据,但不包括匿名数据或已永久删除个人身份的数据。个人数据可以是真实的(例如,姓名、电子邮件地址、地点或出生日期),也可以是对该人的行为或行为的看法;

个人数据泄露:损害个人资料的安全性、保密性、完整性或可用性的任何作为或不作为,或损害我们或我们的第三方服务供应商为保护该等资料而采取的物理、技术、行政或组织保障措施。遗失、未经授权查阅、披露或取得个人资料属违反个人资料;

处理或过程:涉及使用个人资料的任何活动。它包括取得、记录或持有该等资料,或对该等资料进行任何或一组操作,包括组织、修改、检索、使用、披露、抹除或销毁该等资料。处理亦包括向第三方传送或转移个人资料;

Pseudonymisation或Pseudonymised:用一个或多个人工标识符或假名取代直接或间接识别个人身份的信息,以便在不使用旨在分开和安全保存的额外信息的情况下,无法识别与该数据有关的人;

敏感的个人数据:披露种族或族裔出身、政治观点、宗教或类似信仰、工会成员、身体或精神健康状况、性生活、性取向、生物特征或基因数据,以及与刑事犯罪和定罪有关的个人数据的信息。

  1. 范围

我们明白正确及合法地处理个人资料,可维持我们对本机构的信心,并有助商业运作的成功。保障个人资料的保密性和完整性,是我们始终认真承担的一项重要责任。

每个人都在Yabovip1988负责确保所有公司人员遵守本政策,并需要实施适当的做法、流程、控制和培训以确保这种合规性。

DPM负责监督本政策。该职位由[INSERT NAME]担任。

如对本政策或GDPR的操作有任何疑问,或对本政策未被遵守或未被遵守有任何担忧,请联系DPM。

  1. 个人资料保障原则

我们遵守《GDPR》中有关处理个人资料的原则,该原则规定个人资料须:

  • 以合法、公平和透明的方式处理(合法、公平和透明);
  • 仅为特定的、明确的和合法的目的收集(目的限制);
  • 足够、相关并限于与被处理的目的有关的必要内容(数据最小化);
  • 准确,必要时及时更新(准确性);
  • 未以容许识别数据主体的形式保存,而保存时间长于处理数据的目的所需要的时间(存储限制);
  • 以确保其安全性的方式处理,使用适当的技术和组织措施,以防止未经授权或非法处理,并防止意外损失、破坏或损害(安全、完整性和机密性);
  • 在没有适当保障措施的情况下未转让给另一个国家(转让限制);
  • 资料当事人有权就其个人资料行使某些权利(资料当事人的权利及要求)。

我们有责任并必须能够证明遵守上述的数据保护原则(问责制)。

  1. 合法、公平、透明
    • 合法性和公平性

就资料当事人而言,个人资料必须以合法、公平及透明的方式处理。

您只能公平合法地为特定目的收集、处理和共享个人数据。GDPR将我们关于个人数据的行动限制在特定的合法目的。这些限制并不是为了阻止处理,而是确保我们公平地处理个人数据,不会对数据主体产生不利影响。

GDPR允许针对特定目的进行处理,其中一些目的如下:

  • 资料当事人已给予同意;
  • 该处理是履行与数据主体的合约所必需的;
  • 履行我们的法律合规义务;
  • 保障资料当事人的切身利益;或
  • 在不因资料当事人的利益或基本权利及自由而被推翻的情况下,以追求我们的合法利益。
    • 同意

数据控制人必须仅根据GDPR中规定的一个或多个合法依据处理个人数据,其中包括同意。

资料当事人同意处理其个人资料,只要他们以声明或积极行动明确表示同意。同意需要平权行动,所以沉默、打勾或不行动是不够的。如果同意是在处理其他事项的文件中给出的,那么该同意必须与其他事项分开。

数据主体必须能够在任何时间轻松撤回“处理同意书”,并且必须迅速兑现撤回同意书。如果您打算为不同且不兼容的目的处理个人资料,而该等目的在数据当事人首次同意时并未披露,则需要更新同意。

除非我们可以依赖处理的其他法律依据,否则在处理敏感个人数据、进行自动处理和跨境数据传输时,通常需要明确的同意。但通常情况下,我们将依赖另一种法律基础(因此不需要明确同意)来处理大多数类型的敏感数据。

  • 透明度(通知数据主体)

GDPR要求数据控制者根据信息是直接从数据主体收集还是从其他地方收集,向数据主体提供详细的、特定的信息。

当我们直接从数据主体收集个人数据(包括人力资源或雇佣目的)时,我们必须向数据主体提供GDPR要求的所有信息,包括数据控制人和DPM的身份,以及我们将如何和为什么处理该个人数据。

当间接收集个人数据(例如,从第三方或公开来源)时,您必须在收集/接收数据后尽快向数据主体提供GDPR要求的所有信息。您还必须检查该等个人资料是否由第三方根据GDPR收集,并在考虑我们对该等个人资料的处理的基础上收集。

  1. 目的限制

收集个人资料只可作指定、明确及合法的用途。不得以任何不符合这些目的的方式进行进一步加工。

除非您已告知资料当事人有关的新用途,并在有需要时得到他们的同意,否则您不能将个人资料用于与首次获得该等资料时披露的新、不同或不相容的目的。

  1. 数据最小化

个人资料必须足够、相关,并限于就处理该等资料的目的而言所需要的内容。

你只可在工作需要时处理个人资料。您不能因任何与您工作职责无关的原因处理个人资料。

您可能只会收集您工作所需的个人资料。不要收集过量的资料,并确保所收集的个人资料足够及与预期用途有关。

您必须确保当个人数据不再用于指定目的时,根据本公司的数据保留指引将其删除或匿名化。

  1. 精度

个人资料必须准确,如有需要,必须及时更新。如果不准确,必须立即更正或删除。

你须确保我们所使用及持有的个人资料是准确、完整、最新及与我们收集该等资料的目的有关的。在收集个人资料时及之后,你必须定期检查任何个人资料的准确性。你必须采取一切合理的步骤,销毁或修改不准确或过时的个人资料。

  1. 存储的限制

个人资料以可辨识的形式保存的时间不得超过处理该等资料的目的所需的时间。

您保存个人资料的形式,不得超过我们最初收集个人资料的正当商业目的或目的所需的时间,包括为满足任何法律、会计或报告规定的目的。

本公司将维持保留政策及程序,以确保个人资料在合理时间后就其持有的目的被删除,除非法律规定该等资料须保存至少一段时间。

您将采取一切合理步骤,根据本公司所有适用的记录保留时间表和政策,销毁或从我们的系统中删除我们不再要求的所有个人数据。这包括要求第三方酌情删除此类数据。

阁下亦须确保资料当事人知悉个人资料的储存期限。

  1. 安全性、完整性和保密性
    • 保护个人数据

个人资料必须以适当的技术及机构措施加以保障,以防止未经授权或非法处理,以及防止意外遗失、毁坏或损坏。

我们将制定、实施和维护与我们的规模、范围和业务、我们的可用资源、我们代表他人持有或维护的个人数据数量以及已识别的风险(包括在适用情况下使用加密和假名化)相适应的保障措施。我们会定期评估及测试这些保障措施的成效,以确保我们处理个人资料的安全。你有责任保护我们所持有的个人资料。你必须采取合理及适当的保安措施,以防止非法或未经授权的处理个人资料,以及防止个人资料意外遗失或损坏,包括我们可能为此目的而规定的任何此类措施。阁下必须特别小心保护敏感个人资料,以免遗失及未获授权查阅、使用或披露。

您必须遵循我们制定的所有程序和技术,以维护所有个人数据从收集到销毁的安全。你只可将个人资料转让予同意遵守有关政策及程序,并同意按要求采取适当措施的第三方服务供应商。

您必须通过保护个人数据的保密性、完整性和可用性来维护数据安全,定义如下:

  • 保密是指只有有需要知悉及获授权使用该等个人资料的人士才可查阅该等资料;
  • 完整性是指个人资料准确及适合于其处理的目的;
  • 可用性指获授权的用户在为授权的目的而需要时能够查阅个人资料。
    • 报告个人数据泄露事件

GDPR要求数据控制者将任何个人数据违反行为通知适用的监管机构,在某些情况下,通知数据主体。

我们已制定程序处理任何涉嫌违反个人资料的行为,并将在法律要求我们这样做的情况下通知数据主体或任何适用的监管机构。

如果你知道或怀疑发生了个人资料泄露事件,不要试图亲自调查此事。立即联系被指定为个人数据泄露关键联络点的个人或团队或DPM。你应保存所有与可能违反个人资料有关的证据。

  1. 转让限制

GDPR限制数据转移到欧洲经济区(EEA)以外的国家,以确保GDPR提供给个人的数据保护水平不受破坏。只有在以下条件之一适用的情况下,您才可以将个人数据转移到欧洲经济区以外:

  • 欧盟委员会发布了一项决定,确认我们将个人数据转移到的国家确保数据主体的权利和自由得到充分的保护;
  • 在被告知任何潜在风险后,数据主体已对拟议的转移提供明确同意;或
  • 出于GDPR中列出的其他原因之一,转让是必要的,包括我们和数据主体之间的合同的履行,公共利益的原因,在数据主体在物理上或法律上无法给予同意的情况下,建立、行使或捍卫法律索赔或保护数据主体的重要利益,在一些有限的情况下,为我们的合法利益。

  1. 数据主体的权利和要求

数据主体有权决定我们如何处理其个人数据。这些权利包括:

  • 在任何时候撤回处理同意;
  • 接收有关数据控制人处理活动的某些资料;
  • 要求查阅他们所持有的个人资料;
  • 防止我们将其个人资料用于直接营销目的;
  • 如个人资料与收集或处理的目的相比已不再需要,或更正不准确的资料或完成不完整的资料,则要求我们删除该等资料;
  • 限制在特定情况下处理;
  • 对基于我们的合法利益或公共利益的正当处理提出质疑;
  • 索取一份将个人资料转移到欧洲经济区以外的协议副本;
  • 反对仅仅基于自动化处理(包括分析)的决策;
  • 防止可能对数据主体或任何人造成损害或困扰的处理;
  • 获通知发生个人资料违反事件,而该事件可能会对他们的权利和自由造成极大的风险;
  • 向监察机关投诉;而且
  • 在有限的情况下,以结构化、常用及机器可读的格式接收或要求将其个人资料转移至第三方。

你必须核实根据上述任何权利要求提供资料的个人的身分(不允许第三者在未获适当授权的情况下说服你披露个人资料)。

您必须立即将收到的任何数据主体请求转发给DPM,并遵守公司的数据主体回应流程。

  1. 问责制
    • 实现

数据控制人必须以有效的方式实施适当的技术和组织措施,以确保符合数据保护原则。数据控制者负责并且必须能够证明遵守数据保护原则。

公司已投入足够的资源和控制以确保和记录GDPR合规,包括:

  • 委任一名行政人员对资料私隐负责;
  • 将数据保护整合到包括本政策在内的内部文件中;
  • 定期培训公司人员有关GDPR、本政策和数据保护事宜,包括数据主体的权利、同意、法律依据和个人数据泄露等。公司将保留公司人员参加培训的记录;而且
  • 定期测试已实施的隐私措施,并定期进行审查和审计以评估合规情况,包括使用测试结果来证明合规改善工作。
    • 记录

GDPR要求我们保留所有数据处理活动的完整和准确的记录。

您必须保存并保持反映我们处理过程的准确公司记录,包括数据主体同意的记录,以及按照公司记录保存指引获得同意的程序。

  • 培训和审计

我们将确保公司人员已接受足够的培训,使他们能够遵守资料私隐法例。我们还将定期测试我们的系统和流程,以评估合规情况。

您必须接受所有强制性的数据隐私相关培训,并确保您的团队接受类似的强制性培训。

您必须定期审查您控制下的所有系统和流程,以确保它们符合本政策,并检查是否有足够的治理控制和资源,以确保个人数据的正确使用和保护。

  • 直接营销

我们在向客户推销产品时要遵守某些规则和隐私法。

例如,进行电子直接营销(例如通过电子邮件、短信或自动电话)需要数据主体的事先同意。对现有客户的有限例外称为“软选择”,允许组织发送营销文本或电子邮件,如果他们在销售或预期销售的过程中获得了该人的联系方式,他们营销类似的产品或服务,他们给该人一个机会,在第一次收集细节和在每一个后续消息中选择退出营销。

反对直接营销的权利必须以可理解的方式明确地提供给数据主体,以便其与其他信息明显区分。

资料当事人对直接促销的反对必须立即获履行。如果客户在任何时候选择退出,他们的详细信息应该尽快被隐藏。抑制包括保留足够的信息,以确保市场偏好在未来得到尊重。

  • 分享个人资料

一般而言,除非有特定的保障措施及合约安排,否则我们不允许与第三方分享个人资料。

您只能在接收人因工作需要而知悉信息,且转账符合任何适用的跨境转账限制的情况下,与本公司的其他员工、代理或代表共享我们持有的个人数据。

只有在下列情况下,您才可与第三方(例如我们的服务供应商)共享我们持有的个人资料:

  • 他们有需要知道有关资料,以便提供合约服务;
  • 第三方已同意遵守所需的数据安全标准、政策和程序,并采取足够的安全措施;
  • 该转移符合任何适用的跨境转移限制;而且
  • 包含GDPR批准的第三方条款的合同已被使用。