数据保护政策
介绍
Newson Gale Ltd.(以下简称“Newson Gale”)需要收集和使用有关个人的某些信息。
这些个人可包括客户、供应商、业务联系人、员工以及该组织与之有关系或可能需要联系的其他人。
本政策描述了必须如何收集、处理和存储这些个人数据,以满足公司的数据保护标准,并符合法律规定。
为什么本政策存在
本数据保护政策确保Newson Gale:
- 符合数据保护法,并遵循良好实践
- 保护员工、客户和合作伙伴的权利
- 公开其如何存储和处理个人数据
- 保护自己免受数据泄露的风险
数据保护法
通用数据保护条例(GDPR)解释了包括Newson Gale在内的组织必须如何收集、处理和存储个人信息。
无论数据是以电子方式、纸质方式还是其他材料方式存储,这些准则均适用。
为了符合法律规定,个人信息必须公平地收集和使用、安全存储且不得非法披露。
通用数据保护条例(GDPR)以八项重要原则为基础。这些原则要求个人数据必须:
- 公平合法地处理
- 仅为特定的合法目的而获取
- 充分、相关但不过多
- 准确并保持最新
- 不得超过必要的时间持有
- 按照数据主体的权利进行处理
- 以适当的方式受到保护
- 不得传输至欧洲经济区(EEA)以外的地方,除非该国家或地区也能确保充分的保护
人员、风险和责任
政策范围
本政策适用于:
- Newson Gale的主要办公室
- Newson Gale的所有员工和志愿者
- 所有承包商、供应商和其他代表Newson Gale工作的人
本政策适用于公司所持与可识别个人相关的所有数据,即使该信息在技术上不属于GDPR范围内。
这可包括:
- 个人姓名
- 邮寄地址
- 电子邮件地址
- 电话号码
- ……以及与个人有关的任何其他信息
本政策与贺尔碧格(HOERBIGER)公司数据保护政策以及为保护贺尔碧格集团内部的个人数据而在公司层面制定的任何进一步政策或程序共同适用。
数据保护的风险
本政策有助于保护Newson Gale免受一些非常真实的数据安全风险影响,包括:
- 违反保密规定;
例如,信息发布不当 - 未能提供选择;
例如,所有个人都应自由选择公司如何使用与之相关的数据。 - 声誉受损;
例如,如果黑客成功获取敏感数据,公司可能遭受损失
责任
- 为Newson Gale工作或与之合作的每个人都有责任确保数据的正确收集、存储和处理
- 处理个人数据的每个团队都必须确保按照本政策和数据保护原则处理个人数据
然而,下列人员承担重要责任:
- 董事总经理(MD)最终负责确保Newson Gale履行其法律义务,特别是:
数据保护专员负责:
- 向董事总经理汇报数据保护的责任、风险和问题
- 按照约定的时间表审查所有数据保护程序和相关政策
- 为本政策所涉及的人员安排数据保护培训和建议
- 处理员工和本政策所涉及的任何其他人员的数据保护问题
- 处理个人要求查看Newson Gale所持关于其数据的请求(也称为“主体访问请求”)
- 审查和批准与可能处理公司敏感数据的第三方签订的任何合同或协议
IT部门/贺尔碧格负责:
- 确保用于存储数据的所有系统、服务和设备符合可接受的安全标准
- 定期检查和扫描以确保安全硬件和软件正常运行
- 评估公司考虑用于存储或处理数据的任何第三方服务,例如云计算服务
营销经理负责:
- 批准附加到电子邮件和信件等通讯的任何数据保护声明
- 处理来自记者或报纸等媒体的任何数据保护查询
- 必要时与其他员工合作,确保营销活动遵循数据保护原则
一般员工准则
- 能够访问本政策所涉及数据的人应仅为那些需要数据开展工作的人
- 不应以非正式方式共享数据。当需要访问机密信息时,员工可向其直线经理提出要求
- Newson Gale将为所有员工提供培训,帮助他们理解处理数据时的责任
- 员工应采取合理的预防措施并遵循以下准则,确保所有数据的安全
- 特别是,必须使用强度高的密码,永不得共享密码
- 不得向公司内部或外部未经授权的人员披露个人数据
- 应定期审查数据,如发现过时则应及时更新,如不再需要则应予以删除和处理
- 如果员工对数据保护的任何方面不确定,应向其直线经理或数据保护专员请求帮助
数据的存储
这些准则描述了如何以及在何处安全存储数据。关于安全存储数据的问题可直接提交至IT部门或数据控制方。
当数据以纸质方式存储时,应将其保存在未经授权的人无法看到的安全地点。
这些准则也适用于通常以电子方式存储但出于某种原因已打印出来的数据:
- 不需要时,应将文件或档案锁于抽屉或文件柜内
- 员工应确保纸张和打印件不会留在未经授权的人可以看到的地方,例如打印机上
- 不再需要时,应将数据打印件粉碎并安全处理
- 当数据以电子方式存储时,必须保护其免受未经授权访问、意外删除和恶意黑客攻击:
-
- 数据应受到定期更改和员工之间从不共享的高强度密码保护。
- 如果数据存储于可移动介质(如CD、DVD或内存卡)上,则应在不使用时将其安全锁藏起来
- 数据应仅存储于指定的驱动器和服务器上,且应仅上传至经认证的云计算服务。
- 包含个人数据的服务器应放置在安全的地点,远离一般的办公空间
- 应经常备份数据
- 数据永不得直接保存于笔记本电脑或者平板电脑或智能手机等其他移动设备上
- 所有包含数据的服务器和计算机均应由经认证的安全软件和防火墙保护
数据的使用
个人数据对Newson Gale没有任何价值,公司可以利用的除外。然而,当访问和使用个人数据时,公司可能面临损失、腐败或盗窃的最大风险:
- 在使用个人数据时,员工应确保其计算机屏幕在无人看管时始终处于锁定状态
- 不应以非正式方式共享个人数据。特别是,永不得通过电子邮件发送,这种形式的通讯不安全
- 在以电子方式传输数据之前,必须对数据进行加密
- 个人数据永不得传输至欧洲经济区之外的地方
- 员工不应将个人数据的副本保存至自己的计算机。始终访问和更新任何数据的中心副本
数据的准确性
法律要求Newson Gale采取合理措施确保数据的准确性和最新性。
个人数据的准确性越重要,Newson Gale就越应努力确保其准确性。
所有使用数据的员工都有责任采取合理措施确保数据尽可能准确和最新。
- 数据应保存于尽可能少的地方。员工不应创建任何不必要的附加数据集
- 员工应利用一切机会确保数据得到更新。例如,当客户打电话时确认他们的详细信息
- Newson Gale将使数据主体更容易更新Newson Gale所持关于他们的信息
- 当发现数据不准确时,应予以更新。例如,如果无法通过存储的电话号码联系到客户,则应将其从数据库中删除
- 营销经理有责任确保定期根据行业压制文件检查营销数据库
主体访问请求
作为Newson Gale所持个人数据主体的所有个人均有权:
- 询问公司持有关于他们的什么信息以及为什么持有。
- 询问如何访问。
- 了解如何使其保持最新。
- 了解公司如何履行其数据保护义务。
如果个人联系公司请求此信息,则称为主体访问请求。
来自个人的主体访问请求应通过电子邮件发送至数据控制方。
数据控制方将在30天内提供相关数据。数据控制方将在交付任何信息之前始终验证任何提出主体访问请求者的身份。
出于其他原因披露数据
在某些情况下,GDPR允许在未经数据主体同意的情况下向执法机构披露个人数据。
在这种情况下,Newson Gale将披露所要求的数据。然而,数据控制方将确保请求是合法的,必要时寻求董事会和公司法律顾问的协助。
提供信息
Newson Gale旨在确保个人意识到他们的数据正在被处理,并且他们了解:
- 数据被如何使用
- 如何行使他们的权利
为此,公司制定了一份隐私声明,说明公司如何使用与个人相关的数据。
本文件应与我们的隐私政策一起阅读
如欲与有关人士讨论数据保护事宜,请发送电子邮件给我们。