数据保护政策

  • 介绍

本政策规定了牛津木材回收有限公司(Oxford Wood Recycling Ltd)的义务,该公司在英国注册,编号为05467959,注册办公室位于OX14 5JX, Abingdon, Oxfordshire, Suffolk Way 4(“本公司”),涉及客户、潜在客户、供应商、承包商的数据保护和权利,雇员和志愿者(“数据主体”)根据欧盟法规2016/679一般数据保护法规(“GDPR”)提供个人数据。

GDPR将“个人数据”定义为与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别自然人是指可直接或间接被识别的自然人,特别是可通过名称、识别号码、位置数据、在线标识符等标识符或特定于身体、生理、遗传、精神、经济、文化、或者那个自然人的社会身份。

本政策规定了公司在收集、处理、转移、存储和处置个人数据方面的义务。本公司、其员工、代理人、承包商或代表本公司工作的其他各方必须始终遵守本协议规定的程序和原则。

该公司不仅致为法律信,还致力于法律的精神,并对所有个人数据的正确,合法和公平处理,尊重所有个人数据,尊重所有人的法律,隐私和信任有关它的个人。

  1. 保障资料原则

本政策旨在确保遵守GDPR。《个人资料管理条例》订明下列原则,任何处理个人资料的人士必须遵守这些原则。所有个人资料必须:

  • 合法,公平地处理与数据主体有关的透明方式处理。
  • 收集指定,明确和合法的目的,而不是以与这些目的不相容的方式进一步处理。进一步加工在公共利益中归档,科学或历史研究目的或统计目的不应被视为与初始目的不相容。
  • 适当的、相关的和有限的,与被处理的目的相关的。
  • 准确,必要时及时更新。必须采取每一合理步骤,确保在顾及处理不准确的个人资料的目的的情况下,立即删除或纠正不准确的个人资料。
  • 以一种允许识别资料当事人的形式保存,保存时间不得超过处理个人资料的目的所需要的时间。个人资料可储存较长时间,但个人资料只会为公众利益的存档目的、科学或历史研究目的,或统计目的而处理,须遵守《数据条例》所规定的适当技术和组织措施,以保障数据主体的权利和自由。
  • 以确保个人资料适当保安的方式处理,包括使用适当的技术或组织措施,防止未经授权或非法处理,以及防止意外遗失、破坏或损害。

  1. 数据主体的权利

《数据条例》列明适用于数据当事人的下列权利(详情请参阅本政策的部分):

  • 知情权(第12部分)。
  • 进入权(第13部分);
  • 纠正的权利(第14部分);
  • 删除权(也称为“被遗忘权”)(第15部分);
  • 限制加工的权利(第16部分);
  • 数据便携权(第17部分);
  • 反对的权利(第18部分);和
  • 与自动化决策和分析相关的权利(第19和20部分)。

  1. 合法、公平、透明的数据处理
    • GDPR旨在确保个人数据得到合法、公平和透明的处理,而不会对数据主体的权利造成不利影响。GDPR规定,如果至少有以下一种情况适用,则对个人数据的处理是合法的:
      • 该资料当事人已同意为一项或多项特定目的处理其个人资料;
      • 该处理是履行数据主体是一方的合同的表现,或者为了在与他们签订合同之前采取数据主体的请求;
      • 该处理是为遵守数据控制人须遵守的法律义务所必需的;
      • 为保护数据主体或者其他自然人的切身利益所必需的处理;
      • 为执行为公众利益而执行的任务,或为行使赋予数据控制人的官方权力而需要进行的处理;或
      • 的处理是必要的为了合法利益追求的数据控制器或由第三方,除了这些利益在哪里被数据的基本权利和自由主题要求保护个人数据,特别是数据主题是一个孩子。
    • 如果所涉个人数据是"特殊类别数据"(也称为"敏感个人数据")(例如,有关数据主体的种族、族裔、政治、宗教、工会成员、遗传、生物特征(如果用于身份识别目的)、健康、性生活或性取向的数据),至少满足以下条件之一:
      • 数据主体已明确同意为一个或多个特定目的处理此类数据(除非欧盟或欧盟成员国法律禁止其这样做);
      • 为履行数据控制人或数据当事人在就业、社会保障、和社会保护法(只要是由欧盟或欧盟成员国法律授权的,或根据欧盟成员国法律的集体协议授权的,该法律为数据主体的基本权利和利益提供适当的保障);
      • 该处理是为了保护数据主体的切身利益或数据主体在身体上或法律上不能表示同意的另一个自然人的切身利益;
      • 数据控制人是具有政治、哲学、宗教或工会目标的基金会、协会或其他非营利性机构,其处理是在其合法活动过程中进行的,但该处理只关乎该团体的成员或前成员,或就该团体的目的与该团体经常接触的人士,而该等个人资料在未得该等资料当事人同意的情况下,不得在该团体以外披露;188bet体育投
      • 有关处理涉及由资料当事人清楚公开的个人资料;
      • 该程序是法律索赔或法院以司法能力行事时所必需的;
      • 重大公共利益的处理是必要的原因,欧盟或欧盟成员国法律的基础上,应当适当的目标追求,应当尊重数据保护的权利的本质,并提供合适的和具体的措施来保障数据主体的基本权利和利益;
      • 对于预防或职业医学的目的,加工是为了评估雇员的工作能力,用于提供健康或社会护理或治疗或管理健康或社会护理系统或服务的管理根据欧盟或欧盟成员国法律或根据卫生专业人员的合同,根据GDPR第9(3)条所述的条件和保障措施;
      • 出于公共卫生领域的公共利益考虑,例如保护健康免受严重的跨国界威胁,或确保医疗保健和医药产品或医疗设备的高质量和安全标准,必须进行处理,基于欧盟或欧盟成员国法律,该法律规定了适当和具体的措施来保障数据主体的权利和自由(特别是职业保密);或
      • 归档所需的处理公共利益目的,科学或历史研究的目的,或统计目的,依照第89条(1)GDPR基于欧盟或欧盟成员国的法律,应当适当的目标追求,尊重数据保护的权利的本质,并规定适当、具体的措施保障数据主体的基本权益。

  1. 指定的、明确的和合法的目的
    • 本公司收集及处理本政策第21部所载的个人资料。这包括:
      • 直接向资料当事人收集的个人资料;和
      • 从第三者取得的个人资料。
    • 本公司仅为本政策第21部分所述的特定目的(或GDPR明确许可的其他目的)而收集、处理及持有个人资料。
    • 资料当事人须随时知悉本公司使用其个人资料的目的或目的。有关随时通知资料当事人的详情,请参阅第12部。

  1. 充分、相关和有限的数据处理

本公司只会就上文第5部及下文第21部所述的资料当事人已被告知(或将会被告知)的特定目的及为该等特定目的而在必要的范围内收集及处理个人资料。

  1. 数据的准确性和保持数据的最新
    • 公司应确保其收集、处理和持有的所有个人资料是准确和最新的。这包括但不限于下述第14部所述,在资料当事人的要求下改正个人资料。
    • 收集个人资料时,应定期检查资料的准确性。如发现任何个人资料不准确或过时,本署将毫不迟延地采取一切合理步骤,在适当情况下修订或删除该等资料。

  1. 数据保留
    • 本公司保存个人资料的时间不得超过最初收集、持有和处理该等个人资料的目的所必需的时间。
    • 当不再需要个人数据时,将毫不拖延地将所有合理步骤擦除或以其他方式处理。
    • 有关本公司资料保留方法的详细资料,包括本公司持有的特定个人资料类型的保留期限。
  2. 安全处理

本公司应确保所有收集、持有和处理的个人资料均得到妥善保管,防止未经授权或非法处理,以及意外丢失、破坏或损害。本政策第22至27部分提供了应采取的技术和组织措施的进一步细节。

  1. 问责制和记录
    • 该公司的数据官是Jaime Seton, Jaime@owr.org.uk。
    • 数据官应负责监督本政策的执行情况,并监测遵守本政策,本公司的其他与数据保护相关的政策,以及GDPR和其他适用的数据保护立法。
    • 公司应保留所有收集、持有和处理个人数据的书面内部记录,其中应包括以下信息:
      • 公司、其数据主管及任何适用的第三方数据处理人的名称和详细信息;
      • 本公司收集、持有及处理个人资料的目的;
      • 本公司收集、持有及处理的个人资料类别的详情,以及该等个人资料所涉及的资料类别;
      • 向非欧洲经济区国家转移个人数据的详细信息,包括所有机制和安全保障;
      • 本公司将保留个人资料多久的详情;和
      • 本公司采取所有技术和组织措施的详细说明,以确保个人数据的安全性。

  1. 数据保护影响评估
    • 公司应当实施数据保护影响评估对任何和所有新项目和/或新使用的个人数据涉及到新技术的使用和处理可能会导致高风险GDPR下数据主体的权利和自由。
    • 数据保障影响评估应由数据主任监督,并应解决以下问题:
      • 将会收集、持有及处理的个人资料的类别;
      • 个人资料将用于的目的;
      • 公司的目标;
      • 如何使用个人资料;
      • 需要咨询的各方(内部和/或外部);
      • 就处理该等资料的目的而言,处理该等资料的必要性及比例;
      • 对资料当事人构成的风险;
      • 在公司内部和公司内部提出的风险;和
      • 建议的措施,以尽量减少和处理已识别的风险。

  1. 保持数据主题的信息
    • 公司应向每一资料当事人提供第12.2部分所列的资料:
      • 如果将个人数据直接从数据主题收集,那些数据受试者将在收集时通知其目的;和
      • 如从第三者取得个人资料,有关资料当事人会被告知其目的:
        1. 如该等个人资料是用于与该资料当事人沟通,则在第一次沟通时;或
        2. 如该等个人资料将于转移前转移予另一方;或
        3. 在合理的情况下尽可能尽快,但无论如何在取得个人资料后不超过一个月。
      • 应提供以下信息:
        • 本公司的详情包括但不限于其数据官员的身份;
        • 收集及处理个人资料的目的(详见本政策第21部),以及收集及处理该等个人资料的法律依据;
        • 在适用的情况下,公司为其收集和处理个人数据所依据的合法利益;
        • 如个人资料并非直接从该资料当事人取得,所收集及处理的个人资料类别;
        • 如该等个人资料将转移给一个或多个第三者,请提供该等第三者的详细资料;
        • 如果要转移到位于欧洲经济区之外的第三方(“EEA”)的第三方,那么该转移的细节,包括但不限于所在的保障(参见本政策的第28部分)更多细节);
        • 保存资料的细节;
        • 在GDPR下的数据主体权利的详细信息;
        • 资料当事人有权在任何时候撤回同意本公司处理其个人资料的详情;
        • 资料当事人向资讯专员公署(《通用条例》下的"监管机构")提出投诉的权利详情;
        • (如适用)须收集及处理个人资料的任何法律或合约规定或义务的详情,以及未能提供该等资料的任何后果的详情;和
        • 使用个人数据进行的任何自动决策或分析的细节,包括决策将如何做出、这些决策的重要性以及任何后果的信息。

  1. 数据对象访问
    • 资料当事人可随时提出当事人查阅要求("当事人查阅要求"),以进一步了解本公司持有的有关其个人资料、该公司使用该等个人资料的目的及原因。
    • 希望进行SAR的员工应使用受试者访问要求表格,并将该表格发送至公司的数据主管Jaime@owr.org.uk。
    • 一般情况下,当局须在接获有关特别行政区的申请后一个月内作出回应。但如有关特别行政区的申请较为复杂及/或数目众多,回应时间可延长至两个月。如果需要额外的时间,应通知数据主体。
    • 所有收到的非典型数据报告均由本公司的数据主任处理。
    • 本公司不收取处理一般非典型肺炎的费用。对于已经提供给数据主体的信息的额外副本,以及明显没有根据或过度的请求,特别是重复此类请求,公司保留收取合理费用的权利。

  1. 更正个人资料
    • 资料当事人有权要求本公司更正任何不准确或不完整的个人资料。
    • 本公司须在资料当事人通知本公司有关事宜后一个月内,更正有关的个人资料,并将有关更正通知资料当事人。如有复杂的要求,这一期限可延长至多两个月。如果需要额外的时间,应通知数据主体。
    • 如任何受影响的个人资料已披露给第三者,则须通知该第三者必须更正该等个人资料。

  1. 删除个人资料
    • 在下列情况下,资料当事人有权要求本公司删除其持有的有关其个人资料:
      • 公司不再需要持有与最初收集或处理该等个人资料的目的有关的个人资料;
      • 该资料当事人希望撤回其同意本公司持有及处理其个人资料的决定;
      • 该等资料当事人反对本公司持有和处理其个人资料(且不存在凌驾于一切之上的合法权益允许本公司继续这样做)(有关反对权利的详情,请参阅本政策第18部分);
      • 个人资料已被非法处理;
      • 为使公司遵守特定的法律义务,需要删除个人资料;
      • 持有及处理个人资料的目的,是为了向儿童提供资讯社会服务。
    • 除非本公司有合理理由拒绝删除个人资料,否则本公司须在收到资料当事人的要求后一个月内,遵从所有删除个人资料的要求,并通知资料当事人已删除个人资料。如有复杂的要求,这一期限可延长至多两个月。如果需要额外的时间,应通知数据主体。
    • 如应资料当事人的要求而须删除的任何个人资料已向第三方披露,则须将已删除的个人资料通知该等第三方(除非不可能或需要作出不成比例的努力)。

  1. 个人资料处理的限制
    • 资料当事人可要求本公司停止处理其持有的有关其个人资料。如资料当事人提出该等要求,本公司应只保留有关该资料当事人(如有)的个人资料,以确保有关个人资料不会被进一步处理。
    • 如果任何受影响的个人数据已被披露给第三方,则应告知第三方处理该数据的适用限制(除非不可能或需要付出不成比例的努力)。

  1. 数据可移植性
    • 本公司使用自动方式处理个人资料。我们的网站使用IP地址收集营销信息。
    • 如果数据主体已同意本公司以这种方式处理其个人数据,或为履行本公司与数据主体之间的合同而需要处理其个人数据,根据《通用数据条例》,数据主体有权:接收其个人资料的副本,并将该等资料作其他用途(即将该等资料传送给其他资料控制人)。
    • 为了方便数据的可携带性,本公司应以以下格式向数据当事人提供所有适用的个人数据年代
      • Word文档;
      • pdf文件;
      • Excel文档
    • 在技术上可行的情况下,如资料当事人要求,个人资料应直接送交所需的资料控制人。
    • 所有要求提供个人资料复本的要求,均须在资料当事人提出要求后一个月内予以满足。如有复杂或众多的请求,这一期限可延长至多两个月。如果需要额外的时间,应通知数据主体。

  1. 反对个人资料处理
    • 数据主体有权反对本公司基于合法利益、直接营销(包括分析)以及科学和/或历史研究和统计目的处理其个人数据。
    • 如果数据主体反对本公司基于其合法利益处理其个人数据,则本公司应立即停止该等处理,除非能证明本公司进行该等处理的合法理由凌驾于数据主体的利益、权利和自由之上。或者这种处理是进行合法索赔所必需的。
    • 如资料当事人反对本公司为直接促销目的处理其个人资料,则本公司应立即停止处理该等资料。
    • 如果数据主体反对公司为科学和/或历史研究和统计目的处理其个人数据,数据主体必须根据GDPR“证明与他或她的特定情况有关的理由”。如果该研究是为了执行出于公众利益的原因而进行的任务所必需的,则公司不被要求遵守。

  1. 自动化决策
    • 公司在自动决策过程中使用个人数据。
    • 如果该等决定对数据主体具有法律(或类似重大影响),该等数据主体有权根据GDPR对该等决定提出质疑,要求人为干预,表达自己的观点,并从公司获得该决定的解释。
    • 第19.2部分所述的权利不适用于下列情况:
      • 该决定是公司与数据主体订立或履行合同所必需的;
      • 该决定是法律授权的;或
      • 数据主体已明确表示同意。

  1. 分析
    • 本公司使用个人资料作资料分析之用。
    • 当个人资料被用作profiling目的时,下列规定须适用:
      • 应向数据主体提供解释侧写的明确信息,包括侧写的重要性和可能的后果;
      • 适当的数学或统计程序应使用;
      • 应采取技术和组织措施,将错误风险降至最低。如果出现错误,这些措施必须使其易于纠正;和
      • 处理以分析目的处理的所有个人数据应得到保护,以防止出现的歧视性效应(参见本政策的第22至26部分了解有关数据安全性的详细信息)。

  1. 收集、持有和处理个人资料

本公司收集,举行,举行以下个人数据

类型的数据 处理数据的目的和法律依据 数据保留时间
姓名,联系方188bet体育投式,IP地址 市场营销

法律依据:同意

每两年刷新一次,除非撤销同意
姓名、联系方188bet体育投式 潜在客户,报价和投标准备

法律依据:合同

从初次接触开始12个月188bet体育投
姓名、联系方188bet体育投式 188bet体育投联系/开发票/支付客户,供应商,承包商和员工

法律依据:合同和法律

义务

6年加上税收年度
销售和采购发票/工资记录 会计准备,增值税申报表,工资表

公司法和HRMC记录保存要求

法律依据:合同和法律义务

6年加上税收年度
税收参考编号,PAYE和国家保险编号

会计准备,增值税申报表,工资表,

公司法和HRMC记录保存要求

法律依据:法律义务

6年加上税收年度
专业注册及认证

HAWASA需求

如驾驶执照

法律依据:法律义务

6年员工出发
护照,驾驶执照,地址证明的副本 工作权身份检查

法律依据:法律义务

6年员工出发
简历,人力资源档案,如评估数据,志愿者的详细资料 HMRC需求

法律依据:法律义务和合法权益

6年岗位员工/志愿者离职

  1. 数据安全-转移个人数据和通信

公司应确保就涉及个人数据的所有通信和其他传输采取以下措施:

  • 所有包含个人资料的电子邮件必须加密;
  • 所有包含个人资料的电子邮件必须注明“机密”字样;
  • 个人资料只能透过安全的网络传送;在任何情况下,都不允许通过不安全的网络进行传输;
  • 如有合理切实可行的有线替代方案,则个人资料不得通过无线网络传送;
  • 电子邮件正文中所载的个人资料,无论是否已发送或接收,均应从该电子邮件正文中复制并安全地储存。邮件本身应该被删除。与此相关的所有临时文件也应安全删除;
  • 如要以传真方式传送个人资料,应事先通知接收者,并在传真机旁等候接收该等资料;
  • 如个人资料以硬拷贝形式传送,应直接送交收件人或以签章方式寄出,以收取邮费;和
  • 所有以实物形式传送的个人资料,无论是以硬拷贝形式还是以可移动电子媒介传送,均应在标有“机密”字样的适当容器内传送。

  1. 数据安全 - 存储

公司应确保对个人资料的存储采取以下措施:

  • 所有个人资料的电子复本均应使用密码及资料加密方式妥善储存;
  • 所有个人资料的硬拷贝,以及任何存储在可移动的物理介质上的电子拷贝,均应安全地存放在上锁的盒子、抽屉、柜子或类似的地方;
  • 所有以电子方式存储的个人数据都应以现场存储的备份进行备份和/或所有备份均应加密;
  • 未经本公司数据官Jaime Seton的正式书面批准,不得将个人数据存储在任何移动设备(包括但不限于笔记本电脑、平板电脑和智能手机)上,无论该等设备是否属于本公司或其他地方。严格按照批准时所描述的所有指示和限制,并且不得超过绝对必要的时间;和
  • 个人数据不应转移到属于雇员个人的任何设备上,个人数据只能转移到属于代理商、承包商、或其他代表公司工作的各方,如果有关方已同意完全遵守本政策和GDPR的文字和精神(其中可能包括向公司证明已采取所有适当的技术和组织措施)。

  1. 数据安全-处置

当任何个人资料因任何原因(包括已制作副本而不再需要的情况下)须被删除或以其他方式处置时,该等资料应安全地予以删除和处置。

  1. 资料保安-个人资料的使用

公司应确保就个人资料的使用采取以下措施:

  • 不得共享非正式的个人数据,如果一个员工,代理,分包商,或另一方代表公司工作需要访问任何个人资料,他们还没有进入,这样的访问应该正式要求杰米·斯通Jaime@owr.org.uk,我们的数据官;
  • 未经Jaime Seton授权,不得将个人数据转移给任何员工、代理、承包商或其他方,无论该等方是否代表公司工作,Jaime@owr.org.uk;
  • 个人资料必须在任何时候谨慎处理,不得无人看管或在任何时候让未获授权的雇员、代理、分判商或其他人士看到;
  • 如用户在电脑屏幕上查阅个人资料,而有关电脑将被弃置一段时间,则使用者必须在离开电脑前锁上电脑及屏幕;和
  • 如本公司持有的个人资料用于市场推广目的,则资料主任有责任确保获得适当的同意,且没有资料当事人选择退出,无论是直接或通过第三方服务(如租置计划)。

  1. 数据安全- IT安全

公司应确保在IT和信息安全方面采取以下措施:

  • 所有用于保护个人资料的密码都应定期更改,而且不应使用容易被猜到或泄露的词语或短语。密码必须包含大写字母、小写字母、数字和符号的组合。本公司使用的所有软件在设计上均要求使用该等密码。
  • 在任何情况下,任何员工、代理、承包商或代表公司工作的其他各方,不论资历或部门,都不应写下或共享任何密码。如果忘记了密码,请按照相应的方法重新设置密码。IT人员没有密码访问权限;
  • 所有软件(包括但不限于应用程序和操作系统)应保持最新。在出版商或制造商提供更新后,公司的IT人员应负责安装任何和所有与安全相关的更新除非有有效的技术理由不这样做,否则应在合理和切实可行的情况下尽快这样做;和
  • 未经数据主管事先批准,不得在任何公司拥有的计算机或设备上安装任何软件。

  1. 组织措施

公司应确保就个人资料的收集、持有和处理采取以下措施:

  • 所有员工,代理人,承包商或代表本公司工作的其他各方应充分意识到其个人职责和公司根据GDPR和本政策的责任,并在本政策副本提供;
  • 只有员工、代理、分包商或代表公司工作的其他需要访问和使用个人数据以正确履行其指定职责的方,才能访问公司持有的个人数据;
  • 所有员工、代理、承包商或代表公司处理个人数据的其他各方将接受适当的培训;
  • 所有员工、代理、承包商或代表公司处理个人数据的其他各方将受到适当监督;
  • 应要求并鼓励代表公司处理个人数据的所有员工、代理、承包商或其他各方,在讨论与个人数据有关的工作相关事宜时,无论是在工作场所还是其他地方,都应谨慎、谨慎和酌情处理;
  • 定期评估和审查个人资料的收集、持有和处理方法;
  • 公司应定期审查所持有的所有个人资料;
  • 应定期评估和审查那些代表公司处理个人数据的员工、代理、承包商或其他各方的表现;
  • 所有员工、代理、承包商或代表公司处理个人数据的其他各方均有义务通过合同按照GDPR和本政策的原则进行处理;
  • 所有代理商、承包商或其他各方代表公司工作处理个人数据必须确保任何和所有的员工参与的处理个人数据是相同的条件与相关公司的员工产生的政策和GDPR;和
  • 如果任何代理人,承包商或其他缔约方代表处理个人数据的义务,缔约方应当赔偿并持有可能出现的任何费用,责任,损害,索赔或诉讼程序而赔偿和持有无害的公司这个失败。

  1. 将个人资料转移至欧洲经济区以外的国家
    • 公司可能会不时地将个人数据转移(“转移”包括远程提供)至欧洲经济区以外的国家。
    • 将个人数据转移到欧洲经济区以外的国家只有在下列一种或多种情况下才能进行:
      • 将资料转移至欧洲委员会已确定可确保充分保障个人资料的国家、地区或该国(或国际组织)内的一个或多个特定部门;
      • 转让给以公共当局或机构之间具有法律约束力的协议形式提供适当保障的国家(或国际组织);绑定企业规则;欧洲委员会采用的标准数据保护条款;遵守由监管当局(例如资讯专员办事处)批准的认可行为守则;在认可的认证机制下进行认证(如GDPR所述);经主管监督当局同意和授权的合同条款;公共机关或者主管监督机关授权的机关之间的行政安排中所插入的规定;
      • 有关转让是在有关资料当事人的知情同意下进行的;
      • 为履行数据当事人与本公司之间的合同(或为应数据当事人要求而采取的订约前步骤)而必须进行的转让;
      • 转移对于重要的公共利益原因是必要的;
      • (二)为进行合法债权所必需的;
      • 在数据主体的身体上或法律上无法给予同意的情况下,为保护数据主体或其他个人的切身利益,转让是必要的;或
      • 转让是从英国或欧盟法律下的登记册制作的,该法律旨在向公众提供信息,并将公众开放,或者以其他能够在访问登记册上表现出合法兴趣的人。

  1. 数据泄露的通知
    • 所有个人资料泄露必须立即向本公司的资料主管报告。
    • If a personal data breach occurs and that breach is likely to result in a risk to the rights and freedoms of data subjects (e.g. financial loss, breach of confidentiality, discrimination, reputational damage, or other significant social or economic damage), the Data Officer must ensure that the Information Commissioner’s Office is informed of the breach without delay, and in any event, within 72 hours after having become aware of it.
    • 如果个人数据违反可能导致高风险(即风险高于29.2)部分在描述数据对象的权利和自由,官员必须确保所有受影响的数据主题直接违约的通知,没有不必要的延误。
    • 数据泄露通知应包括以下信息:
      • 有关资料科目的类别及数目;
      • 有关的个人资料纪录的类别及数目;
      • 公司数据官员的姓名和联系方188bet体育投式(或可以获得更多信息的其他联系人);
      • 违约可能造成的后果;
      • 公司为解决违约而采取或拟采取的措施的详细信息,包括在适当情况下减轻其可能的不利影响的措施。

  1. 实施政策

本保单自03月07日起生效。本保单的任何部分均不具有追溯效力,因此仅适用于在本保单日期当日或之后发生的事件。

本政策已由下列人员批准和授权:

姓名: 理查德·雪
位置: 董事总经理
日期:
截止审阅日期: 03.07.19.
签名:

订阅我们的通讯

成为第一个了解所有DIY项目的最新产品,提示和建议,我们将要持有的所有DIY项目,独家优惠和活动。

谢谢,您已成功订阅。