隐私政策

数据保护政策

简介

亚博会2021撒拉森集团有限公司致力于保护数据主体的权利和自由,并根据我们的法律义务安全地处理他们的数据。

我们持有员工、客户、供应商和其他个人的个人数据,用于各种商业目的。

本政策阐述了我们如何保护个人资料,并确保我们的员工了解他们在工作过程中所接触到的个人资料的使用规则。本政策要求员工在开展任何重大的新数据处理活动之前,必须咨询数据保护官(DPO),以确保相关合规步骤得到处理。

数据保护联系

亚博会2021撒拉森人集团有限公司-数据控制器

董事总经理-全面负责数据保护工作

人力资源顾问-数据保护官,代表外包IT部门负责网络安全

定义

我们收集的个人资料可能包括:

·个人电话号码

·个人电子邮件地址

·教育背景

·财务、支付和银行详细信息

·证书和文凭的详细信息

·教育与技能

·婚姻状况

·国籍

·头衔

·简历

个人资料的特殊类别

特殊类别的数据包括个人的信息

·身体或精神健康或状况

任何特殊类别的个人资料的使用均须根据本政策严格控制。

数据控制器

“数据控制者”指单独或与他人共同决定处理个人数据的目的和方法的个人、公共当局、机构或其他机构;处理的目的和方法由法律决定的。
数据处理器 “处理者”指代表控制者处理个人数据的个人、公共当局、机构或其他机构。

处理

“处理”指对个人资料或一组个人资料所进行的任何操作或一组操作,不论是否以自动方式进行,例如

——收集

——记录

——组织

——构建

——存储

-适应或改变

——检索

——咨询

——使用

-通过传播、传播或以其他方式提供的披露

-对齐或组合

-限制、删除或销毁。

监督

权威

这是负责数据保护的国家机构。本组织的监管当局是信息CommissionersO办公室(ICO)

范围

本政策适用于所有员工,员工必须熟悉本政策并遵守其条款

本政策补充了与互联网和电子邮件使用有关的其他政策。我们可能会不时以附加政策及指引补充或修订本政策。

任何新的或修改后的政策将在采纳前传阅员工。

控制与处理数据

亚博会2021Saracen集团有限公司被列为数据控制人,这意味着该机构负责单独或与其他人士或组织共同决定任何个人资料的处理目的及处理方式。

在某些情况下,撒拉森集团有限公司所持有的个人资料会在内部处理。亚博会2021在其他情况下,数据处理被外包给外部第三方。

由于我们仅为核心业务目的处理个人数据,因此无需向ICO注册为数据控制器。

如果您对我们处理数据的方式有任何疑问,请联系DPO进行澄清。

GDPR原则

亚博会2021撒拉森集团有限公司应遵守《2018年欧盟一般数据保护条例》(GDPR)中列举的数据保护原则(“原则”)。我们将尽一切努力,尽一切努力遵守这些原则。的原则是:

  1. 合法、公正、透明。

为了合法的目的,数据收集必须是公平的,我们必须公开和透明数据将如何被使用。

  1. 为其目的而有限

只能为特定目的收集数据

  1. 数据最小化

收集的任何数据必须是必要的,且不能超出其用途。

  1. 切身利益

我们掌握的数据必须是准确的和最新的。

  1. 保留

我们不能存储超过必要时间的数据。

  1. 完整性和机密性

我们所持有的资料必须妥善保管。

数据处理的合法依据

我们必须为处理日期建立一个合法的基础。确保您负责管理的任何数据都有DPO批准的书面合法依据。您有责任检查您正在使用的任何数据的合法依据,并确保您的所有行为符合合法依据。当我们处理个人资料时,必须至少符合下列一项条件:

1.同意

对于为特定目的处理个人数据,我们持有近期的、明确的、明确的、明确的同意。

2.合同

处理是必要的履行或准备个人合同

3.法律义务

我们有处理数据的法律义务(不包括合同)。

4.切身利益

处理数据对于保护一个人的生命或医疗状况是必要的。

5.公共函数

处理必要的公共职能,作为公共利益任务或职能具有明确的法律依据。

6.合法权益

这个程序对我们的合法利益是必要的。如有充分理由保护个人的个人资料,而该理由凌驾于合法权益之上,则此条件不适用。

决定依靠哪一个合法的基础

如果您正在评估合法的基础,您必须首先确定处理是必要的。

这意味着处理必须是有针对性的、适当的方式来实现所述目的。如果你能合理地通过其他方式达到相同的目的,你就不能依靠合法的基础。

记住,可能有多种基础适用,你应该依赖于最适合目标的,而不是最容易的。

考虑以下因素并记录你的答案:

o处理资料的目的是什么?

用另一种方式做这件事合理吗?

o是否可以选择处理该等资料?

o加工对谁有利?

o在选择合法依据后,这是否与数据主体所期望的合法依据相同?

o处理过程对个人有何影响?

o你是否拥有凌驾于他们之上的权力?

o他们是脆弱的人吗?

o他们是否可能反对处理?

o你是否会根据要求随时停止处理,并考虑到如何做到这一点?

我们对第一原则的承诺要求我们记录这一过程,并表明我们已经考虑过哪种合法基础最适用于每个处理目的,并充分证明这些决定是合理的。

我们还必须确保其数据正在被我们处理的个人被告知处理其数据的合法基础以及预期目的。这应该通过隐私通知来实现。无论我们是直接从个人还是从其他来源收集数据,这都适用。

如果您负责评估处理活动的法律依据并执行隐私通知,您必须获得DPO的批准。

数据类别

常规的个人资料

普通个人资料是指与识别或可识别的自然人(“数据主体”)有关的任何信息;可识别自然人是指能够直接或间接识别的人,特别是通过参考诸如姓名、识别号码、位置数据、在线标识符等标识符,或特定于该自然人的身体、生理、遗传、心理、经济、文化或社会身份的一个或多个因素。

个人资料的特殊类别

以前被称为敏感个人数据,这意味着关于个人的数据比较敏感,所以需要更多的保护。这类数据可能对一个人的基本权利和自由造成更大的风险,例如使他们面临非法歧视的风险。特殊类别包括个人的信息:

·竞赛

·民族起源

·健康(心理和生理)

·性取向

处理特殊类别个人资料的条件必须符合法律规定。如果我们没有合法的基础来处理特殊类别的数据,那么处理活动必须停止。

犯罪类别数据

犯罪类别数据是指与个人犯罪历史或任何相关诉讼有关的任何信息。

任何犯罪记录检查都必须有法律依据。犯罪记录检查不能仅仅在当事人同意的基础上进行。

我们无法保存一份全面的刑事犯罪资料登记册。刑事罪行资料会被清除,我们只保留有关资料的纪录,并会进行刑事纪录核对,以及记录证书编号。

所有与刑事犯罪有关的数据都被视为个人数据的特殊类别,必须这样对待。在进行犯罪记录检查之前必须得到DPO的批准

责任

我们的责任

  • 分析及记录我们所持有的个人资料类型
  • 检查程序,以确保他们涵盖所有的个人权利
  • 确定处理数据的合法依据
  • 确保同意程序合法
  • 实施及检讨发现、报告及调查违反个人资料个案的程序
  • 以安全可靠的方式存储数据
  • 评估数据受损可能对个人权利和自由造成的风险
  • 确保我们处理的任何个人资料是准确、足够、有关及不多于所收集的目的。

你的责任

  • 充分了解您的数据保护义务
  • 检查您正在处理的任何数据处理活动是否符合我们的政策并合理
  • 不要以任何非法的方式使用数据
  • 不要错误地存储数据,不小心使用它,或通过您的行为导致我们违反数据保护法律和我们的政策
  • 在任何时候都要遵守此政策
  • 如果你认为信息是不准确的,你应该记录信息的准确性是有争议的事实,并通知DPO。
  • 提出任何关注,通知任何违反或错误,并报告任何可疑的或与本政策或我们的法律义务相矛盾的

数据保护官的职责

  • 定期检讨所有资料保护程序及政策
  • 保持管理层对数据保护责任、风险和问题的更新
  • 为所有工作人员和本政策所包括的人员安排数据保护培训和咨询
  • 回答员工和其他利益相关者关于数据保护的问题。
  • 针对客户和员工等个人,他们希望知道我们持有他们的哪些数据。
  • 与处理公司数据的第三方审核和批准任何合同。

外包IT的责任

  • 确保所有系统、服务、软件和设备符合可接受的安全标准
  • 定期检查和扫描安全硬件和软件,确保其正常运行
  • 研究第三方服务,比如该公司正在考虑使用存储或处理数据的云服务

责任的营销

  • 批准附在电子邮件和其他营销副本中的数据保护声明
  • 处理来自客户、目标受众或媒体的数据保护查询
  • 与DPO协调,确保所有营销活动都遵守数据保护法和相关法律

公司的数据保护政策。

  • 获得个人同意,向他们发送营销通讯/

数据安全

确保人力资源数据的安全

亚博会2021萨拉森集团非常重视人力资源相关个人数据的安全。该机构设有内部政策及管制,以保障个人资料不会遗失、意外销毁、误用或披露,并确保除非雇员在适当履行职责时才会查阅资料。

·员工数据的硬拷贝存储在一个上锁的柜子里,只有人力资源和总经理有钥匙。

·电子人事文件存储在安全服务器上的驱动器上。只有人力资源和常务董事具有访问此驱动器的相关权限设置。

·当数据不再需要为处理目的而保存时,数据即被销毁。

·当组织聘请第三方代表其处理个人数据时,该等第三方基于书面指示进行处理,并负有保密义务,并有义务实施适当的技术和组织措施以确保数据安全。

你需要做什么来确保个人资料安全储存

·如果数据存储在打印的纸张上,应将其保存在安全的地方,未经授权的人员无法访问

·打印出来的数据不再需要时,应销毁。

·存储在计算机上的数据应使用强密码保护,并定期更改密码。我们鼓励所有员工使用密码管理器创建和存储他们的密码

·存储在光盘或记忆棒上的数据在不使用时必须加密或密码保护并安全锁定。

·DPO必须批准用于存储数据的任何云(有IT支持)

·按照公司备份程序,定期对数据进行备份

·数据永远不应直接保存到移动设备,如笔记本电脑、平板电脑或智能手机

·所有包含敏感数据的服务器必须得到安全软件的批准和保护

  • 所有可能的技术措施必须到位,以确保数据的安全

数据安全

确保人力资源数据的安全

亚博会2021萨拉森集团非常重视人力资源相关个人数据的安全。该机构设有内部政策及管制,以保障个人资料不会遗失、意外销毁、误用或披露,并确保除非雇员在适当履行职责时才会查阅资料。

·员工数据的硬拷贝存储在一个上锁的柜子里,只有人力资源和总经理有钥匙。

·电子人事文件存储在安全服务器上的驱动器上。只有人力资源和常务董事具有访问此驱动器的相关权限设置。

·当数据不再需要为处理目的而保存时,数据即被销毁。

·当组织聘请第三方代表其处理个人数据时,该等第三方基于书面指示进行处理,并负有保密义务,并有义务实施适当的技术和组织措施以确保数据安全。

你需要做什么来确保个人资料安全储存

·如果数据存储在打印的纸张上,应将其保存在安全的地方,未经授权的人员无法访问

·打印出来的数据不再需要时,应销毁。

·存储在计算机上的数据应使用强密码保护,并定期更改密码。我们鼓励所有员工使用密码管理器创建和存储他们的密码

·存储在光盘或记忆棒上的数据在不使用时必须加密或密码保护并安全锁定。

·DPO必须批准用于存储数据的任何云(有IT支持)

·按照公司备份程序,定期对数据进行备份

·数据永远不应直接保存到移动设备,如笔记本电脑、平板电脑或智能手机

·所有包含敏感数据的服务器必须得到安全软件的批准和保护

  • 所有可能的技术措施必须到位,以确保数据的安全

数据保留

我们必须保留个人资料的时间不得超过必要的时间。所需的措施将视乎每宗个案的情况而定,并考虑到取得个人资料的原因,但应以符合我们的资料保留指引的方式确定。

在国际上传输数据

对个人数据的国际转移有限制。未经DPO明确许可,您不得将个人数据转移到国外,或任何超出正常规则和程序的地方。

个人的权利

个人有权使用自己的资料,我们必须尽最大努力尊重和遵守这些资料。我们必须确保个人以下列方式行使其权利:

1.知情权

提供简洁、透明、易懂和易于查阅的免费隐私通知,并以清晰和平实的语言书写,

记录我们如何使用个人资料,以证明我们遵守问责制和透明度的要求。

2.访问权

允许个人查阅其个人资料及补充资料,让个人知悉及核实处理活动的合法性。

3.正确的改正

如有关人士要求更正或修改其不准确或不完整的个人资料,我们必须更正或修改。

这件事必须立即完成,不能迟于一个月。如果获得DPO的许可,可以延长至两个月。

4.擦除权

我们必须删除或删除个人数据,如果要求,并没有令人信服的理由继续处理。

5.加工限制权

我们必须遵从任何限制、阻止或以其他方式禁止处理个人资料的要求。我们获准储存已受限制的个人资料,但不作进一步处理。我们必须保留足够的数据,以确保限制的权利在未来得到尊重。

6.数据可携带权

我们必须为个人提供他们的数据,以便他们可以为自己的目的或跨不同的服务重用数据。

我们必须以最常用的机器可读格式提供它,并在请求时直接发送给另一个控制器。

7.正确的对象

我们必须尊重个人反对基于合法利益或执行公共利益任务的数据处理的权利。

我们必须尊重个人反对直接营销(包括侧写)的权利。

我们必须尊重个体为科学和历史研究和统计处理其数据的权利。

8.与自动化决策和分析相关的权利

我们必须尊重个人在自动决策和分析方面的权利。

个人保留他们反对这种自动化处理、向他们解释理性并要求人工干预的权利

隐私声明

何时提供隐私通知

如果直接从数据主体获得数据,则必须在获得数据时提供隐私通知。如果数据不是直接从数据主体获得的,私隐通知必须在获得数据后的合理期限内提供,即一个月内。

如果数据被用于与个人通信,那么隐私通知必须最迟在第一次通信发生时提供。

如果打算向其他接收人披露,则必须在披露数据之前提供隐私通知。

隐私通知应该包括什么?

隐私通知必须简洁、透明、易懂和易于获取。它们是免费提供的,必须以清楚和简单的语言编写,特别是针对儿童的。

向所有数据主体发出的隐私通知中必须包括以下信息:

  • 数据控制器和数据保护官员的识别和联系信息
  • 处理该等资料的目的及合法依据
  • 控制人或第三方的合法利益(如适用)
  • 在任何时候撤回同意的权利,如果适用
  • 个人资料的类别(只适用于非直接从资料当事人取得的资料)
  • 个人资料的任何接收人或接收人类别
  • 向第三国转让的详细资料和现有的保障措施
  • 数据的保留期或用于确定保留期的标准,包括保留期后数据处理的细节
  • 向ICO提出投诉的权利,以及内部投诉程序。
  • 有关个人资料的来源,以及是否来自公开来源(只适用于非直接从资料当事人取得的资料)
  • 任何自动决策的存在,包括关于这些决策是如何做出的、它们的重要性和对数据的影响的分析和信息
  • 有关个人资料的条文是否属于法定的合约规定或义务的一部分,以及不提供资料的可能后果(只适用于直接从资料当事人取得的资料)。

主题访问请求

如何提交主题访问请求

希望提交主题访问请求的个人必须以书面形式提交。如果您收到一个主题访问请求,您必须让DPO知道这一点。

希望提出主题访问请求的员工应该通过电子邮件这样做enquiries@亚博会2021saracengroupltd.com或填写已提供的主题访问请求表格。

如个别人士选择不使用该表格,他们应在其要求内包括下列事项:

  • 他们的全名,地址和联系电话
  • 他们要求的任何具体信息的详细信息和任何相关日期(如适用),例如:
    • 他们完整的人事档案
    • 他们的医疗记录的特定数据范围
    • 本公司具体函件的复印件

我们如何处理主题访问请求

我们必须免费向个人提供所需信息的副本。这必须立即进行,并在收到请求的一个月内进行。我们致力以常用的电子格式向资料当事人提供查阅资料的机会。如有可能,本处会按要求提供硬拷贝。

如果申请很复杂或很多,截止日期可以延长两个月,但必须在一个月内通知申请人。在延长截止日期之前,您必须获得DPO的批准。

在下列情况下,我们可以拒绝回应某些要求:

  • 处理请求将花费太多的费用或花费太多的工作人员时间
  • 这个要求是无理取闹的
  • 该请求重复来自同一人的前一个请求

如果请求的是大量的数据,我们可以请求个人指定他们所请求的信息。只有获得DPO的明确许可才能这样做

一旦提出主体访问请求,您可以编辑或省略任何信息,因为共享您的信息可能会侵犯另一个人的隐私权。

更改、修订或删除任何因其他理由而要求的资料(如被禁止),属刑事罪行。

机构可要求雇员在处理申请前出示身分证明文件。如果需要核实个人身份,机构将通知个人

数据可移植性请求

我们必须以一种结构化的、常用的、机器可读的格式提供数据请求。这通常是一个CSV文件,尽管其他格式也可以接受。我们必须将这些数据提供给请求它的个人,或提供给他们请求发送数据的数据控制器。这必须是免费的,不能延误,而且不迟于一个月。对于复杂或数量众多的申请,延期期限可以延长至两个月,但必须在一个月内通知申请人延期,并且必须首先获得DPO的明确许可。

其他权利

个人在其个人数据方面还有许多其他权利。他们可以要求机构:

·纠正不准确的数据;

·停止处理或简化对处理目的不再必要的数据;

·如果个人利益凌驾于组织处理数据的合法理由之上(组织依赖其合法利益作为处理数据的理由),则停止处理或简化数据;

·如果数据不准确,或者对于个人利益是否凌驾于组织处理数据的合法理由存在争议,则停止数据处理一段时间。

参考文献

请求参考

任何前雇主的推荐信必须由人力资源部提出。有关人士(“当事人”)只可在已填写及签署转介同意书的情况下,才可提出转介申请。

已签署的推荐信同意书应附于推荐信申请书内。推荐信申请应使用推荐信申请表格。

对于未被录用的候选人或在试用期内被终止雇佣的员工,其推荐信应在公司做出决定后的一周内销毁。

所有的推荐信,无论应聘者是否成功,都必须在招聘决定做出的六个月内安全地销毁。

提供参考

你可能偶尔会收到一位现任或前任员工的推荐信。所有的推荐信都应该转给人力资源部,他们会做出适当的回应。HR只会在有证据表明受试者已经同意所提供的参考资料的情况下提供参考资料。提供的参考资料将确认雇佣日期,职位名称和薪水。人力资源部门提供的推荐信必须来自撒拉逊内部设计的电子邮件地址或在撒拉逊内部设计的信亚博会2021笺上。

如果您希望在人力资源部提供的公司推荐信之外提供个人推荐信,您可以这样做。但是,禁止使用撒拉逊内饰的电子邮件地址或抬头提供推荐信。亚博会2021

监控

中央电视台

亚博会2021撒拉森集团有限公司目前没有在任何公司处所使用闭路电视。

在未来的任何时候,如果本公司有实施此类监控的正当合法目的,在安装闭路电视之前,应通知所有员工。

如果在公司场所安装了闭路电视:

  • 在被监控的区域必须有清晰的标志
  • 数据的使用和保存必须仅为实现其原始目的。例如,如果持有数据的目的是识别从事犯罪活动的个人,则录像应具有足够的质量,并应在警方要求查看时提供给他们
  • 监控录像和其他日志必须安全加密存储在任何地方
  • 个人有权索取任何聚焦于其本人及/或可清楚辨认其身份的闭路电视录像副本。如果申请是有效且允许的,组织必须在验证后30天内向个人提供该视频。与员工相关的其他类型的数据也是如此

电子邮件

亚博会2021撒拉森集团有限公司能够访问/监控所有员工的工作电子邮件地址。亚博会2021Saracen Interiors认为以下是检查员工电子邮件的有效理由:

·如果员工因任何原因缺席,必须检查沟通,以确保业务的顺利运行。

·如果它怀疑该员工一直在浏览或发送攻击性或非法的材料

  • 亚博会2021Saracen集团有能力访问/监控所有Saracen内部认为以下是检查员工邮件的有效原因的工作电子邮件地址:
  • 如果员工因任何原因缺席,必须检查通信,以确保业务的顺利运行。
  • 如果怀疑该员工一直在浏览或发送攻击性或非法的材料,例如包含种族主义术语或裸体的材料(尽管该组织明白,员工有可能无意中收到此类材料,如果是这样,他们将有机会解释)。
  • 如果它怀疑员工一直在使用电子邮件系统发送和接收过多的个人通信。
  • 如果它怀疑员工在发送或接收有害的电子邮件
  • 如果它怀疑员工在发送或接收对组织有害的电子邮件。

当监控电子邮件时,除特殊情况外,组织将只查看电子邮件的地址和主题标题。员工应该把所有的私人邮件都标记出来,并鼓励发送邮件的人也这样做。在可能的情况下,该组织将避免打开明确标记为私人或私人的电子邮件。

互联网的使用

亚博会2021撒拉森集团有限公司保留访问/监控员工互联网使用的权利,但会尽力在发生这种情况时通知受影响的员工及其原因。亚博会2021Saracen Interiors认为以下是检查员工互联网使用情况的有效理由:

  • 如果怀疑员工浏览了攻击性或非法的材料,例如包含种族主义术语或裸体的材料(尽管该组织明白,员工可能会无意中查看这些材料,如果是这样,他们将有机会解释)。
  • 如果它怀疑员工花费了过多的时间浏览与工作无关的网站。

监控包括检查员工访问过的网站和访问的持续时间。

第三方

使用第三方控制器和处理器

作为数据控制器,我们必须与我们使用的任何第三方处理器签订书面合同。合同中必须包含明确我方及其责任、义务和责任的条款。

作为一名数据控制者,我们必须只指定能够在GDPR下提供足够保证的处理器,并且数据主体的权利将得到尊重和保护。

合同

我们的合同必须遵守ICO制定的标准,并在可能的情况下遵循可用的标准合同条款。我们与数据处理器的合同必须规定处理的主题和持续时间,处理活动的性质和声明的目的,个人数据和数据主体的类型,以及控制者的义务和权利。

至少,我们的合同必须包括以下条款:

·仅根据书面指示行事

·参与数据处理的人员负有保密义务

·将采取适当措施确保处理的安全性

·子处理器的使用必须事先得到控制者的同意并签订书面合同

·控制者将协助处理器处理主体访问请求,并允许数据主体行使GDPR下的权利

·处理器将协助控制者履行其GDPR义务,涉及处理的安全性、数据泄露的修改和数据保护影响评估的实施。

  • 在合约结束时,删除或归还所有个人资料
  • 定期接受审计和检查,并为控制者和处理者提供必要的信息以履行其法律义务。
  • 控制器或处理器都不会做任何违犯的事情

审核、监督和培训

数据审核

定期的数据审计以管理和降低风险将通知数据登记处。这包含了关于哪些数据被保存、存储在哪里、如何使用、谁负责以及任何进一步的相关规定或保留时间的信息。根据DPO和正常程序的定义,您必须进行定期的数据审计。

监控

每个人都必须遵守这项政策。DPO对该政策负有全面责任。亚博会2021撒拉逊集团将继续对该政策进行审查,并根据需要对其进行修订或更改。你必须通知DPO任何违反本政策。您必须完全并始终遵守本政策。

报告违反

任何违反本政策或数据保护法律的行为都必须尽快报告。这意味着一旦你意识到一个漏洞。亚博会2021撒拉森集团有限公司有法律义务在72小时内向信息专员办公室(ICO)报告任何数据泄露事件。

所有工作人员都有义务报告实际或潜在的数据保护合规失败。这让我们可以

  • 调查故障,必要时采取补救措施
  • 维护合规失败的登记册
  • 如果有任何重大的合规失败,无论是就其本身而言,还是作为失败模式的一部分,都应通知信息专员办公室(ICO)

任何员工如发现有违例行为发生,或明知或怀疑有违例行为发生,但却没有遵照正确的报告程序,将会受到纪律处分。

未能遵守

我们非常重视遵守这一政策。不遵守规定会让你和组织都面临风险。这一政策的重要性意味着,不遵守任何要求可能导致纪律处分,根据我们的程序,可能导致解雇。

取得联系!