数据保护政策

  • 介绍

This Policy sets out the obligations of Oxford Wood Recycling Ltd, a company registered in the U.K. under number 05467959, whose registered office is at 4 Suffolk Way, Abingdon, Oxfordshire, OX14 5JX (“the Company”) regarding data protection and the rights of clients, potential clients, suppliers, contractors, employees and volunteers (“data subjects”) in respect of their personal data under EU Regulation 2016/679 General Data Protection Regulation (“GDPR”).

《GDPR》将“个人数据”定义为与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是指可以直接或间接识别的人,特别是通过引用一个标识符,如姓名、标识号、位置数据、在线标识符,或通过一个或多个特定的因素,如身体、生理、遗传、精神、经济、文化、或者是自然人的社会身份。

该政策设定了公司关于个人数据收集,处理,转移,存储和处置的义务。本协议的员工,代理人,承包商或代表本公司工作的其他各方必须遵循本文所载的程序和原则。

该公司不仅致为法律信,还致力于法律的精神,并对所有个人数据的正确,合法和公平处理所有个人数据,尊重所有人,隐私和信任有关它的个人。

  1. 保障资料原则

本政策旨在确保符合GDPR。《GDPR》规定了以下原则,处理个人数据的任何一方都必须遵守这些原则。所有个人资料必须:

  • 合法地,公平地处理,并以透明的方式与数据主体相关。
  • 收集指定,明确和合法的目的,而不是以与这些目的不相容的方式进一步处理。进一步处理公共利益中的归档目的,科学或历史研究目的或统计目的不应被视为与初始目的不相容。
  • 适当的,相关的,并且仅限于与处理它的目的相关的必要的。
  • 准确,必要时及时更新。必须采取每一合理步骤,以确保在顾及处理个人资料的目的后,不延误地删除或改正不准确的个人资料。
  • 以一种准许辨识资料当事人身分的形式保存,其保存时间不得超过处理该等个人资料的目的所需的时间。个人资料可能会储存较长时间,而该等个人资料只会被处理为公众利益的存档用途、科学或历史研究用途或统计用途,实施GDPR要求的适当技术和组织措施,以保障数据主体的权利和自由。
  • 采用适当的技术或组织措施,确保个人资料的安全,包括防止未经授权或非法处理,以及防止意外遗失、破坏或损坏。

  1. 资料当事人的权利

GDPR规定了适用于数据主体的以下权利(请参阅此策略的部分以获取更多详细信息):

  • 有关的权利(第12部分)。
  • 进入权(第13部分);
  • 纠正权(第十四部分);
  • 删除的权利(也被称为“被遗忘的权利”)(第15部分);
  • 限制处理的权利(第16部分);
  • 数据可移植权(第17部分);
  • 反对的权利(第18部分);和
  • 与自动决策和分析相关的权利(第19和20部分)。

  1. 合法、公平、透明的数据处理
    • GDPR旨在确保个人数据得到合法、公正和透明的处理,而不会对数据主体的权利产生不利影响。《GDPR》规定,如果以下至少一项适用,个人数据的处理应是合法的:
      • 资料当事人已同意为一项或多项特定目的处理其个人资料;
      • 该处理是对数据主题是一方的合同的履行所必需的,或者为了在与他们输入合同之前采取数据主体的请求;
      • 该处理是为了遵守数据控制器所遵守的法律义务所必需的;
      • 为保障资料当事人或另一自然人的重大利益而必须进行处理;
      • 该处理是在公共利益中或在归属于数据控制人的官方权力行使中进行的任务的履行所必需的;或
      • 的处理是必要的为了合法利益追求的数据控制器或由第三方,除了这些利益在哪里被数据的基本权利和自由主题要求保护个人数据,特别是数据主题是一个孩子。
    • (如果有关的个人数据是"特殊类别数据"(也称为"敏感个人数据")(例如,有关数据主体的种族、族裔、政治、宗教、工会成员资格、遗传学、生物识别(如果用于识别身份)、健康状况、性生活或性取向的数据),至少满足下列条件之一:
      • 数据主体已明确同意为一个或多个指定目的处理该等数据(除非欧盟或欧盟成员国法律禁止其这样做);
      • 为履行数据控制人或数据主体在就业、社会保障、和社会保护法(在欧盟或欧盟成员国法律或根据欧盟成员国法律为数据主体的基本权利和利益提供适当保障的集体协议授权的情况下);
      • 为保障该资料当事人或其他自然人(如该资料当事人在身体上或法律上无能力给予同意)的重大利益而须进行的处理;
      • 数据控制者是一个以政治、哲学、宗教或工会为目的的基金会、协会或其他非营利机构,其处理过程是在其合法活动的过程中进行的,但该等处理只关乎该团体的成员或前成员,或关乎该团体的目的而经常与该团体接触的人士,而该等个人资料不会在未经资料当事人同意的情况下向该团体外披露;188bet体育投
      • 处理涉及由资料当事人明确公开的个人资料;
      • 处理是进行法律索赔或当法院以司法身份行事时所必需的;
      • 在欧盟或欧盟成员国法律的基础上,加工是大量的公共利益的原因,应遵守追求的目标,尊重数据保护权的本质,并应提供适当和具体措施的保障措施数据主体的基本权利和利益;
      • 对于预防或职业医学的目的,该处理是为了评估雇员的工作能力,用于提供医疗诊断,提供健康或社会护理或治疗或卫生或社会护理制度或服务的管理根据欧盟或欧盟成员国法律或根据卫生专业人员的合同,根据第9(3)条所述的条件和保障措施;
      • 出于公共卫生领域的公共利益原因,例如,保护人们免受对健康的严重跨界威胁,或确保保健和医药产品或医疗设备的高质量和安全标准,依据欧盟或欧盟成员国的法律,该法律规定了适当和具体的措施,以保障数据当事人的权利和自由(特别是专业保密);或
      • 归档所需的处理公共利益目的,科学或历史研究的目的,或统计目的,依照第89条(1)GDPR基于欧盟或欧盟成员国的法律,应当适当的目标追求,尊重数据保护的权利的本质,并规定适当的具体措施,保障数据主体的基本权利和利益。]

  1. 指定的,明确的,合法的目的
    • 该公司收集和处理本政策第21部分中规定的个人数据。这包括:
      • 直接从资料当事人收集的个人资料;和
      • 从第三方获得的个人资料。
    • 本公司仅为本政策第21部分规定的特定目的(或GDPR明确允许的其他目的)收集、处理和保存个人数据。
    • 资料当事人随时被告知本公司使用其个人资料的目的或目的。请参阅第12部,以获得更多有关通知资料当事人的资料。

  1. 充足,相关和有限的数据处理

本公司只会根据上文第5部和下文第21部所述的资料当事人已被告知(或将被告知)的特定目的或特定目的,并在必要的范围内收集和处理个人资料。

  1. 数据的准确性和保持最新的数据
    • 本公司应确保所收集、处理及持有的所有个人资料均准确及最新。这包括但不限于应资料当事人的要求改正个人资料(详见下文第14部)。
    • 在收集个人资料时及其后定期核对个人资料的准确性。如发现任何个人资料不准确或过时,本局会毫不迟延地采取一切适当的合理步骤,修订或删除该等资料。

  1. 数据保留
    • 本公司保留个人资料的时间不得超过根据该等个人资料最初被收集、持有和处理的目的所需要的时间。
    • 当不再需要个人数据时,将采取所有合理步骤擦除或以其他方式在毫不拖延地处理。
    • 有关本公司资料保留方法的详情,包括本公司持有的特定个人资料类型的保留期限。
  2. 安全处理

本公司应确保收集、持有和处理的所有个人资料都是安全的,并防止未经授权或非法处理以及意外丢失、破坏或损坏。本政策第22至27部分提供了应采取的技术和组织措施的进一步细节。

  1. 问责制和记录
    • 该公司的数据官是Jaime Seton,网址:Jaime@owr.org.uk。
    • 该数据官应负责监督本政策的执行情况,并监测遵守本政策,本公司的其他与数据保护相关的政策,以及GDPR和其他适用的数据保护立法。
    • 公司应保留所有个人数据收集、持有和处理的书面内部记录,其中应包括以下信息:
      • 公司、其数据官和任何适用的第三方数据处理器的名称和详细信息;
      • 公司收集,持有和处理个人数据的目的;
      • 本公司收集,持有和处理的个人数据类别的详细信息,以及个人数据所关联的数据类别;
      • 向非欧洲经济区国家转移个人资料的详情,包括所有机制和安全保障措施;
      • 本公司将保留个人资料多长时间的详情;和
      • 本公司采取所有技术和组织措施的详细说明,以确保个人数据的安全性。

  1. 数据保护影响评估
    • 公司应当实施数据保护影响评估对任何和所有新项目和/或新使用的个人数据涉及到新技术的使用和处理可能会导致高风险GDPR下数据主体的权利和自由。
    • 数据保护影响评估应由数据官员监督,并涉及以下事项:
      • 将会收集、持有及处理的个人资料的种类;
      • 使用个人资料的目的;
      • 公司的目标;
      • 如何使用个人资料;
      • 需要协商的各方(内部和/或外部);
      • 就处理该等资料的目的而言,该等资料处理的必要性及相称性;
      • 给数据主体带来的风险;
      • 在公司内部和公司内部提出的风险;和
      • 提出措施,以最大限度地减少和处理所确定的风险。

  1. 保持数据主题
    • 本公司应在第12.2节中规定的信息为每个数据主题提供:
      • 如果直接从数据主题收集个人数据,那些数据受试者将在收集时通知其目的;和
      • 如个人资料是由第三者取得,有关资料当事人会被告知其目的:
        1. 如该个人资料是用于与该资料当事人通讯,则在首次通讯作出时;或
        2. 如该等个人资料将转移予另一方,则在作出转移前;或
        3. 在合理的情况下尽快,并在任何情况下不超过取得该等个人资料后的一个月内。
      • 应提供以下信息:
        • 本公司的详情包括但不限于其数据官员的身份;
        • 收集和处理个人资料的目的(详见本政策第21部分)以及证明收集和处理个人资料的法律依据;
        • (如适用)本公司用以证明其收集和处理个人数据的合法权益;
        • 如个人资料并非直接从资料当事人取得,则收集及处理的个人资料的类别;
        • 如个人资料将转移予一个或多个第三者,则该等第三者的详情;
        • 个人数据将被转移到位于欧洲经济区以外的第三方(“EEA”),该转移的细节,包括但不限于所在保障(参见本政策的第28部分)更多详细信息);
        • 资料保留详情;
        • 在GDPR下数据主体权利的详细信息;
        • 资料当事人有权在任何时候撤回对公司处理其个人资料的同意;
        • 数据主体向信息专员办公室(GDPR下的“监管机构”)投诉的权利详情;
        • 如适用,须收集和处理个人资料的任何法律或合约规定或义务的详情,以及未能提供该等资料的任何后果的详情;和
        • 使用个人数据将发生的任何自动化决策或分析的详细信息,包括关于如何做出决策的信息,这些决定的重要性以及任何后果。

  1. 数据对象访问
    • 资料当事人可随时提出查阅要求,以进一步了解本公司持有的有关他们的个人资料,以及本公司如何处理该等个人资料,以及为什么。
    • 有意制作特别行政区行政区的雇员应使用“查阅主题要求表格”,将表格发送至公司资料主任(Jaime@owr.org.uk)。
    • 一般情况下,市民须在收到特区通告后一个月内作出回应,但如特区情况复杂及/或市民提出许多要求,则可将回应时间延长至两个月。如需要额外的时间,须通知资料当事人。
    • 收到的所有特别报告员均由公司的数据主管处理。
    • 本公司不收取处理一般SARs的费用。本公司保留对已提供给资料当事人的额外资料副本,以及对明显没有根据或过多的要求(特别是重复的要求)收取合理费用的权利。

  1. 更正个人资料
    • 资料当事人有权要求本公司改正其任何不准确或不完整的个人资料。
    • 本公司应更正有关的个人资料,并在资料当事人通知本公司有关问题的一个月内,将该更正通知资料当事人。如有复杂的要求,这一期间最多可延长两个月。如需要额外的时间,须通知资料当事人。
    • 如任何受影响的个人资料已披露予第三者,则须通知该等个人资料必须作出的任何更正。

  1. 删除个人资料
    • 数据受试者有权要求公司在下列情况下删除其持有的个人数据:
      • 本公司不再有必要就最初收集或处理该等个人资料的目的持有该等个人资料;
      • 资料当事人希望撤回其对本公司持有和处理其个人资料的同意;
      • 数据对象是公司持有和处理其个人数据的对象(且不存在允许公司继续这样做的凌驾性合法权益)(有关反对权利的进一步细节,请参阅本政策第18部分);
      • 个人数据已非法处理;
      • 为使公司履行特定的法律义务,需要删除个人资料;或者
      • 正在举行并处理个人数据,以便为孩子提供信息社会服务。
    • 除非本公司有合理理由拒绝删除个人资料,否则所有删除个人资料的要求均须在收到资料当事人的要求后一个月内遵守,并通知资料当事人有关删除个人资料的要求。如有复杂的要求,这一期间最多可延长两个月。如需要额外的时间,须通知资料当事人。
    • 如根据资料当事人的要求而将被删除的任何个人资料已披露予第三者,则须通知该等第三者有关已删除的情况(除非不可能或需要作出不成比例的努力才能这样做)。

  1. 限制个人数据处理
    • 数据主题可以要求公司停止处理其持有的个人数据。如果数据主体提出此类请求,该公司将仅保留有关确保未进一步处理的个人数据所必需的数据主体(如果有的话)的个人数据的数额。
    • 如果对第三方披露任何受影响的个人数据,则应通知这些缔约方对处理它的适用限制(除非它是不可能的或需要不成比例的努力)。

  1. 数据可移植性
    • 本公司以自动方式处理个人资料。我们的网站使用IP地址来收集市场信息。
    • 如果数据主体已同意本公司以这种方式处理其个人数据,或者在本公司与数据主体之间执行合同的处理,则数据受试者在GDPR下有权利,要收到个人数据的副本并将其用于其他目的(即将其传输给其他数据控制器)。
    • 为方便数据可携带权,本公司应以下列格式向数据主体提供所有适用的个人数据(年代]:
      • Word文档;
      • PDFS;
      • Excel文档
    • 在技​​术上可行的情况下,如果数据主体请求,则应将个人数据直接发送到所需的数据控制器。
    • 在数据主体请求的一个月内,应遵守个人数据副本的所有请求。在复杂或多要求的情况下,期间可以延长两个月。如需要额外的时间,须通知资料当事人。

  1. 反对处理个人资料
    • 数据主体有权反对公司基于合法利益、直接营销(包括分析)以及科学和/或历史研究和统计目的处理其个人数据。
    • 如果数据主体要求公司基于其合法利益处理其个人数据,则公司应立即停止此类处理,除非能够证明公司进行此类处理的合法理由凌驾于数据主体的利益、权利和自由之上,或者这种处理是进行合法索赔所必需的。
    • 如果数据主体要求本公司为直接营销目的处理其个人数据,则本公司应立即停止此类处理。
    • 如果数据主体要求公司为科学和/或历史研究和统计目的处理其个人数据,则根据GDPR,数据主体必须“说明与其特定情况相关的理由”。如果研究是出于公众利益的原因而为执行任务所必需的,则公司无需遵守。

  1. 自动化决策
    • 公司在自动决策过程中使用个人数据。
    • 如果该等决定对数据主体具有法律(或类似的重大影响),则这些数据主体有权根据GDPR对该等决定提出质疑,要求人为干预,表达自己的观点,并从公司获得对该决定的解释。
    • 第19.2部分中描述的权利不适用于下列情况:
      • 该决定对于公司与数据主体之间签订或履行合同是必要的;
      • 该决定是法律授权的;或
      • 资料当事人已明确同意。]

  1. 分析
    • 该公司使用个人数据进行分析目的。
    • 当个人资料用于分析目的时,须适用以下规定:
      • 解释分析的清除信息应提供给数据受试者,包括分析的重要性和可能的​​后果;
      • 适当的数学或统计程序应使用;
      • 应实施技术和组织措施,以最大限度地减少错误风险。如果出现错误,这些措施必须使其易于纠正;和
      • 处理以分析目的的所有个人数据应得到保护,以防止出现的歧视性效应(有关数据安全的更多详情,请参阅本政策的第22至26部分。]

  1. 收集、持有及处理的个人资料

由公司收集,举行,举行以下个人数据

数据类型 处理数据的目的和法律依据 数据保留时间
姓名,联系方188bet体育投式,IP地址 市场营销

法律依据:同意

每两年刷新一次,除非同意被撤回
姓名、联系方188bet体育投式 潜在客户,报价和投标准备

法律依据:合同

初次接触后12个月188bet体育投
姓名、联系方188bet体育投式 188bet体育投联系客户,供应商,承包商和员工,开具发票,付款

法律依据:合同和合法

义务

6年加上税收年度
销售发票/工资记录 帐户准备,增值税返回,工资单

公司法和HRMC记录保留要求

法律依据:合同和法律义务

6年加上税收年度
税务参考编号,PAYE和国民保险编号

帐户准备,增值税返回,工资单,

公司法和HRMC记录保留要求

法律依据:法律义务

6年加上税收年度
专业注册及认证

HAWASA需求

如驾驶执照

法律依据:法律义务

6年员工出发
护照,驾驶执照,地址证明的副本 核实工作权利的身份

法律依据:法律义务

6年员工出发
简历、人事档案,如评估数据、志愿者资料等 HMRC需求

法律依据:法律义务和合法权益

6年员工/志愿者离职

  1. 数据安全-转移个人数据和通信

本公司应确保采取以下措施,涉及涉及个人数据的所有通信和其他转移:

  • 所有包含个人资料的电邮均须加密;
  • 所有包含个人资料的电邮必须注明“保密”;
  • 个人资料只能透过安全网络传送;在任何情况下都不允许在不安全的网络上传送;
  • 如果存在合理切实可行的有线替代方案,则可能不会通过无线网络传输个人数据;
  • 电子邮件的个人资料,无论发送或接收,都应从电子邮件的正文复制并安全储存。邮件本身应该被删除。所有与之相关的临时文件也应安全删除;
  • 如果要通过传真传输发送个人数据,则应在传输之前通知收件人,并且应该由传真机等待接收数据;
  • 如果要以硬拷贝形式传输个人数据,则应将其直接传递给收件人或使用签名的邮寄;和
  • 所有将以实体形式传送的个人资料,无论是纸本形式或可移动的电子媒体,均须在标有“机密”字样的适当容器内传送。

  1. 数据安全 - 存储

本公司应确保在储存个人资料方面采取以下措施:

  • 所有电子副本的个人数据应使用密码和数据加密安全地存储;
  • 所有个人资料的硬复本,以及任何储存在可移动的物理介质上的电子复本,应稳妥地储存在上锁的盒子、抽屉、柜子或类似的地方;
  • 所有以电子方式存储的个人数据应使用存储在现场存储的备份备份和/或所有备份都应该加密;
  • 未经我们的数据官Jaime Seton正式书面批准,不应将个人数据存储在任何移动设备(包括但不限于笔记本电脑、平板电脑和智能手机)上,无论该设备是否属于本公司或其他类型。严格按照批准时所述的所有指示和限制,不得超过绝对必要的时间;和
  • 没有个人数据应转移到个人属于员工的任何设备,个人数据只能转移到属于代理人,承包商或代表本公司的其他方的设备转移到课方已同意完全遵守的公司本政策和GDPR的信和精神(可能包括向公司展示所有适当的技术和组织措施)。

  1. 资料保安-处置

当任何个人资料因任何原因(包括已制作副本及不再需要)被删除或以其他方式处置时,应稳妥地删除及处置该等资料。

  1. 资料保安-个人资料的使用

公司应确保在使用个人资料时采取以下措施:

  • 不得共享非正式的个人数据,如果一个员工,代理,分包商,或另一方代表公司工作需要访问任何个人资料,他们还没有进入,这样的访问应该正式要求杰米·斯通Jaime@owr.org.uk,我们的数据官;
  • 未经Jaime Seton (Jaime@owr.org.uk)授权,不得将任何个人数据转移给任何员工、代理、承包商或其他方,无论这些方是否代表公司工作;
  • 个人资料必须随时小心处理,不得让未经授权的雇员、代理人、分判商或其他人士无人看管或随时看到;
  • 如个人资料在电脑萤幕上阅览,而有关的电脑在任何一段时间内无人看管,使用者在离开电脑及萤幕前必须锁上电脑及萤幕;和
  • 如果公司持有的个人数据用于营销目的,则应负责数据官员,以确保获得适当的同意,无论是直接还是通过第三方服务,无论是直接还是通过第三方服务TPS。

  1. 数据安全- IT安全

公司应确保在IT和信息安全方面采取以下措施:

  • 用于保护个人数据的所有密码应定期更改,不应使用可以轻松猜到或以其他方式损害的单词或短语。所有密码必须包含大写和小写字母,数字和符号的组合。公司使用的所有软件旨在需要此类密码。
  • 在任何情况下,任何员工、代理人、承包商或代表公司工作的其他各方,不论资历或部门,都不得写下任何密码或共享密码。如果忘记密码,需要按照相应的方法重新设置。IT人员无法获得密码;
  • 所有软件(包括但不限于应用程序和操作系统)应保持最新。在出版商或制造商提供任何和所有与安全相关的更新后,公司的IT人员应负责安装这些更新或者除非有正当的技术理由不这样做,否则应在合理和实际可行的情况下尽快这样做;和
  • 未经资料主任事先批准,不得在任何公司拥有的计算机或设备上安装任何软件。

  1. 组织措施

本公司应确保采取以下措施,遵守个人数据的收集,持有和处理:

  • 所有员工,代理人,承包商或代表本公司的其他缔约方应充分意识到其个人责任和本公司根据GDPR和本政策的责任,并应提供本政策的副本;
  • 只有员工、代理商、分包商或代表公司工作的其他各方需要访问和使用个人数据以正确执行其分配的职责时,才可以访问公司持有的个人数据;
  • 所有代表公司处理个人资料的员工、代理人、承包商或其他方将接受适当的培训;
  • 所有代表公司处理个人资料的员工、代理人、承包商或其他各方将受到适当监督;
  • 应要求并鼓励所有代表公司处理个人数据的员工、代理人、承包商或其他各方在讨论与个人数据相关的工作事项时,无论是在工作场所还是其他场合,都要谨慎、谨慎和谨慎;
  • 定期评估和审查收集、保存和处理个人资料的方法;
  • 本公司持有的所有个人数据应定期审查;
  • 这些雇员,代理人,承包商或代表公司处理个人数据工作的其他各方的表现应经常进行评估和审查;
  • 所有员工,代理人,承包商或代表公司处理个人数据的其他各方将必然会根据GDPR和本政策的合同这样做;
  • 所有代理商、承包商或其他各方代表公司工作处理个人数据必须确保任何和所有的员工参与的处理个人数据是相同的条件与相关公司的员工产生的政策和GDPR;和
  • 如果任何代理人,承包商或其他缔约方代表处理个人数据的义务在这一政策下,缔约方应赔偿并持有可能出现的任何费用,责任,损害,损害,索赔或诉讼程序赔偿和持有无害的公司这个失败。

  1. 向欧洲经济区以外的国家传送个人资料
    • 本公司可不时向欧洲经济区以外的国家转移(“转移”包括远程提供)个人数据。
    • 只有在下列一项或多项适用的情况下,才能将个人资料转移到欧洲经济区以外的国家:
      • 将个人资料转移至欧洲委员会确定可确保个人资料得到足够保护的国家、地区或该国一个或多个特定部门(或国际组织);
      • 转让是一个国家(或国际组织),该公司以公共机构或机构之间的法律约束力协议的形式提供适当的保障;绑定公司规则;欧盟委员会通过的标准数据保护条款;遵守由监督机构批准的批准的行为守则(例如,信息专员办公室);根据批准的认证机制认证(如在GDPR中规定);合同条款同意并由主管监管机构授权;或在主管监督机构授权的公共当局或机构之间插入行政安排的规定;
      • 转移是通过相关数据主题的知情同意;
      • 转让是在数据主体和公司之间的合同(或根据数据主题的请求所采取的预合同步骤)所必需的;
      • 转移对于重要的公共利益原因是必要的;
      • 为行使法定债权所必需的;
      • 若数据主体在身体上或法律上无法给予同意,则为保护数据主体或其他个人的重大利益而必须进行的转移;或
      • 转让是从英国或欧盟法律下的登记册,旨在向公众提供信息,并一般或其他能够向那些能够表现出访问登记册的合法兴趣的人开放。

  1. 数据泄露通知
    • 所有个人资料泄露必须立即报告给公司的资料主任。
    • If a personal data breach occurs and that breach is likely to result in a risk to the rights and freedoms of data subjects (e.g. financial loss, breach of confidentiality, discrimination, reputational damage, or other significant social or economic damage), the Data Officer must ensure that the Information Commissioner’s Office is informed of the breach without delay, and in any event, within 72 hours after having become aware of it.
    • 如果个人数据违反可能导致高风险(即风险高于29.2)部分在描述数据对象的权利和自由,官员必须确保所有受影响的数据主题直接违约的通知,没有不必要的延误。
    • 数据泄露通知应包括以下信息:
      • 有关资料当事人的类别及大致数目;
      • 有关的个人资料纪录的类别及大致数目;
      • 公司数据官员的姓名和联系方188bet体育投式(或可以获得更多信息的其他联系人);
      • 违约的可能后果;
      • 公司为解决违约而采取或拟采取的措施的细节,包括在适当情况下减轻违约可能产生的不利影响的措施。

  1. 实施政策

本政策自18日3.03.018起生效。本保单的任何部分均不具有追溯效力,因此仅适用于该日期或之后发生的事项。

这个政策已经批准和授权:

名称: 理查德·雪
位置: 董事总经理
日期:
审核截止日期: 03.07.19.
签名:

订阅我们的通讯

成为第一个了解所有DIY项目的最新产品,提示和建议,专有优惠和我们将持有的活动。

谢谢您,您已经成功订阅。