数据保护政策

  • 介绍

This Policy sets out the obligations of Oxford Wood Recycling Ltd, a company registered in the U.K. under number 05467959, whose registered office is at 4 Suffolk Way, Abingdon, Oxfordshire, OX14 5JX (“the Company”) regarding data protection and the rights of clients, potential clients, suppliers, contractors, employees and volunteers (“data subjects”) in respect of their personal data under EU Regulation 2016/679 General Data Protection Regulation (“GDPR”).

GDPR将“个人数据”定义为与已识别或可识别的自然人有关的任何信息(“数据主题”);可识别的自然人是可以直接或间接地,特别是通过引用诸如名称,识别号码,位置数据,在线标识符或特定于物理,生理学的一个或多个因素的标识符来识别的人自然人的遗传,精神,经济,文化或社会形式。

该政策设定了公司关于个人数据收集,处理,转移,存储和处置的义务。本协议的员工,代理人,承包商或代表本公司工作的其他各方必须遵循本文所载的程序和原则。

该公司不仅致为法律信,还致力于法律的精神,并对所有个人数据的正确,合法和公平处理所有个人数据,尊重所有人,隐私和信任有关它的个人。

  1. 数据保护原则

该政策旨在确保遵守GDPR。GDPR列出了以下原则,其中任何方处理个人数据必须符合符合条件。所有个人数据必须是:

  • 合法地,公平地处理,并以透明的方式与数据主体相关。
  • 收集指定,明确和合法的目的,而不是以与这些目的不相容的方式进一步处理。进一步处理公共利益中的归档目的,科学或历史研究目的或统计目的不应被视为与初始目的不相容。
  • 充分,相关,有限地限于与其处理的目的有关的必要条件。
  • 准确,必要时及时更新。必须采取每一合理步骤,以确保在顾及处理个人资料的目的后,不延误地删除或改正不准确的个人资料。
  • 以一种准许辨识资料当事人身分的形式保存,其保存时间不得超过处理该等个人资料的目的所需的时间。个人资料可能会储存较长时间,而该等个人资料只会被处理为公众利益的存档用途、科学或历史研究用途或统计用途,实施GDPR要求的适当技术和组织措施,以保障数据主体的权利和自由。
  • 以确保个人数据的适当安全性的方式处理,包括使用适当的技术或组织措施防止未经授权或非法处理和违反意外损失,破坏或损坏的保护。

  1. 数据科目的权利

GDPR规定了适用于数据主体的以下权利(请参阅此策略的部分以获取更多详细信息):

  • 有关的权利(第12部分)。
  • 访问权限(第13部分);
  • 纠正权利(第14部分);
  • 删除的权利(也被称为“被遗忘的权利”)(第15部分);
  • 限制处理的权利(第16部分);
  • 数据可移植权(第17部分);
  • 对象的权利(第18部分);和
  • 与自动决策和分析相关的权利(第19和20部分)。

  1. 合法,公平,透明的数据处理
    • GDPR旨在确保个人数据得到合法、公正和透明的处理,而不会对数据主体的权利产生不利影响。《GDPR》规定,如果以下至少一项适用,个人数据的处理应是合法的:
      • 资料当事人已同意为一项或多项特定目的处理其个人资料;
      • 该处理是对数据主题是一方的合同的履行所必需的,或者为了在与他们输入合同之前采取数据主体的请求;
      • 该处理是为了遵守数据控制器所遵守的法律义务所必需的;
      • 需要保护数据主体或另一个自然人的重要利益;
      • 该处理是在公共利益中或在归属于数据控制人的官方权力行使中进行的任务的履行所必需的;或者
      • 的处理是必要的为了合法利益追求的数据控制器或由第三方,除了这些利益在哪里被数据的基本权利和自由主题要求保护个人数据,特别是数据主题是一个孩子。
    • (If the personal data in question is “special category data” (also known as “sensitive personal data”) (for example, data concerning the data subject’s race, ethnicity, politics, religion, trade union membership, genetics, biometrics (if used for ID purposes), health, sex life, or sexual orientation), at least one of the following conditions must be met:
      • 数据主体已明确同意为一个或多个指定目的处理该等数据(除非欧盟或欧盟成员国法律禁止其这样做);
      • 该处理是为了执行数据控制人或就业领域,社会保障和社会保护法中的数据主体的义务和行使具体权利(欧盟或欧盟成员国的授权)法律或集体协议根据欧盟成员国法律,为数据主题的基本权利和利益提供了适当的保障措施;
      • 为保障该资料当事人或其他自然人(如该资料当事人在身体上或法律上无能力给予同意)的重大利益而须进行的处理;
      • 数据控制人是一个基金会,协会或其他非营利机构,具有政治,哲学,宗教或工会目标,并在其合法活动过程中进行了处理,条件是该处理仅与该机构的成员或前成员或与其目的有关与其定期联系的人,并且在未经数据主题的同意的情况下在身体之外披露个人数据;188bet体育投
      • 处理涉及由资料当事人明确公开的个人资料;
      • 该加工是法律索赔或法院遵守司法能力的行为所必需的;
      • 在欧盟或欧盟成员国法律的基础上,加工是大量的公共利益的原因,应遵守追求的目标,尊重数据保护权的本质,并应提供适当和具体措施的保障措施数据主体的基本权利和利益;
      • 对于预防或职业医学的目的,该处理是为了评估雇员的工作能力,用于提供医疗诊断,提供健康或社会护理或治疗或卫生或社会护理制度或服务的管理根据欧盟或欧盟成员国法律或根据卫生专业人员的合同,根据第9(3)条所述的条件和保障措施;
      • 出于公共卫生领域的公共利益原因,例如,保护人们免受对健康的严重跨界威胁,或确保保健和医药产品或医疗设备的高质量和安全标准,依据欧盟或欧盟成员国的法律,该法律规定了适当和具体的措施,以保障数据当事人的权利和自由(特别是专业保密);或者
      • 加工是在公共利益,科学或历史研究目的中归档目的,或根据基于欧盟或欧盟成员国法律的GDPR第89(1)条的统计目的,该委员会或欧盟成员国法律应与追求的目标成比例数据保护权的本质,并提供适当和具体措施,以保护基本权利和数据主体的利益。]

  1. 指定,明确和合法的目的
    • 该公司收集和处理本政策第21部分中规定的个人数据。这包括:
      • 直接从资料当事人收集的个人资料;和
      • 从第三方获得的个人资料。
    • 该公司仅收集,流程,并持有本策略第21部分(或者以GDPR明确允许的其他目的)列出的具体目的的个人数据。
    • 在公司使用其个人数据的所有目的或目的中,数据受试者被通知。有关保留数据受试者的更多信息,请参阅第12部分。

  1. 充足,相关和有限的数据处理

该公司只会收集和处理个人数据,以及根据下文第5部分所示(或将被告知)的具体目的或目的的特定目的或目的。

  1. 数据的准确性和保持最新的数据
    • 本公司应确保收集,处理和持有的所有个人数据被持续准确,最新。这包括但不限于数据主体请求的个人数据的整改,如下面的第14部分所示。
    • 当它在此后收集并定期间隔时,应检查个人数据的准确性。如果发现任何个人数据是不准确或过期的,则酌情将毫不拖延地进行所有合理步骤,酌情修改或删除该数据。

  1. 数据保留
    • 本公司保留个人资料的时间不得超过根据该等个人资料最初被收集、持有和处理的目的所需要的时间。
    • 当不再需要个人数据时,将采取所有合理步骤擦除或以其他方式在毫不拖延地处理。
    • 有关本公司资料保留方法的详情,包括本公司持有的特定个人资料类型的保留期限。
  2. 安全处理

本公司应确保收集,持有和加工的所有个人数据保持安全,免受未经授权或非法处理和违反意外损失,破坏或损坏的影响。本政策第22至27份应采取的技术和组织措施的进一步详情。

  1. 问责制和记录保存
    • 该公司的数据官员是Jaime Seton,Jaime@owr.org.uk。
    • 该数据官应负责监督本政策的执行情况,并监测遵守本政策,本公司的其他与数据保护相关的政策,以及GDPR和其他适用的数据保护立法。
    • 公司应保留所有个人数据收集、持有和处理的书面内部记录,其中应包括以下信息:
      • 公司、其数据官和任何适用的第三方数据处理器的名称和详细信息;
      • 公司收集,持有和处理个人数据的目的;
      • 本公司收集,持有和处理的个人数据类别的详细信息,以及个人数据所关联的数据类别;
      • 向非欧洲经济区国家转移个人资料的详情,包括所有机制和安全保障措施;
      • 本公司将保留个人资料多长时间的详情;和
      • 本公司采取所有技术和组织措施的详细说明,以确保个人数据的安全性。

  1. 数据保护影响评估
    • 公司应当实施数据保护影响评估对任何和所有新项目和/或新使用的个人数据涉及到新技术的使用和处理可能会导致高风险GDPR下数据主体的权利和自由。
    • 数据保护影响评估应由数据官监督,并应解决以下内容:
      • 将被收集,持有和处理的个人数据类型;
      • 使用个人资料的目的;
      • 公司的目标;
      • 如何使用个人数据;
      • 咨询的缔约方(内部和/或外部);
      • 关于它正在处理的目的的数据处理的必要性和比例;
      • 给数据主体带来的风险;
      • 在公司内部和公司内部提出的风险;和
      • 提出措施,以最大限度地减少和处理所确定的风险。

  1. 保持数据主题
    • 本公司应在第12.2节中规定的信息为每个数据主题提供:
      • 如果直接从数据主题收集个人数据,那些数据受试者将在收集时通知其目的;和
      • 如个人资料是由第三者取得,有关资料当事人会被告知其目的:
        1. 如果使用第一次通信时,如果使用个人数据与数据主体进行通信;或者
        2. 如该等个人资料将转移予另一方,则在作出转移前;或者
        3. 在获得个人数据后,在合理可能的情况下,在任何情况下不超过一个月。
      • 应提供以下信息:
        • 本公司的详情包括但不限于其数据官员的身份;
        • 收集个人数据的目的,并将被处理(如本政策第21部分详述)和法律基础证明该收集和处理;
        • (如适用)本公司用以证明其收集和处理个人数据的合法权益;
        • 在没有直接从数据主题获得个人数据的情况下,收集和处理的个人数据类别;
        • 个人数据将被转移到一个或多个第三方,那些缔约方的详细信息;
        • 个人数据将被转移到位于欧洲经济区以外的第三方(“EEA”),该转移的细节,包括但不限于所在保障(参见本政策的第28部分)更多详细信息);
        • 数据保留的细节;
        • 在GDPR下数据主体权利的详细信息;
        • 资料当事人有权在任何时候撤回对公司处理其个人资料的同意;
        • 数据主题向信息专员办公室申诉的权利(“监督机构”下的“监督机构”);
        • 在适用的情况下,有必要收集和处理个人数据的任何法律或合同要求或义务的详细信息,以及未能提供的任何后果的细节;和
        • 使用个人数据将发生的任何自动化决策或分析的详细信息,包括关于如何做出决策的信息,这些决定的重要性以及任何后果。

  1. 数据对象访问
    • 数据主题可以随时使主题访问请求(“SARS”)了解有关公司持有其关于它们的个人数据的更多信息,这是如何处理该个人数据的原因以及为什么。
    • 希望使SAR的员工应该使用主题访问请求表单,以Jaime@owr.org.uk发送到公司的数据官员。
    • 对SARS的响应通常在收到的一个月内进行,但如果SAR是复杂的和/或许多请求,这可能会延长两个月。如果需要这样的额外时间,则应通知数据主体。
    • 收到的所有SARS应由公司的数据官员处理。
    • 该公司不收取普通SARS的费用。本公司保留收取合理费用的权利,以便已提供给数据主体的额外信息副本,以及表现出毫无根据或过度的要求,特别是在这些请求是重复的情况下。

  1. 更正个人资料
    • 数据受试者有权要求公司纠正任何不准确或不完整的个人数据。
    • 本公司应更正有关的个人资料,并在资料当事人通知本公司有关问题的一个月内,将该更正通知资料当事人。如有复杂的要求,这一期间最多可延长两个月。如果需要这样的额外时间,则应通知数据主体。
    • 如任何受影响的个人资料已披露予第三者,则须通知该等个人资料必须作出的任何更正。

  1. 删除个人资料
    • 数据受试者有权要求公司在下列情况下删除其持有的个人数据:
      • 本公司不再需要遵守该个人数据关于其最初收集或处理的目的;
      • 资料当事人希望撤回其对本公司持有和处理其个人资料的同意;
      • 数据主体对公司持有和处理其个人数据的对象(并且没有允许公司继续执行此类资格的覆盖合理利益)(参见本政策的第18部分,了解对象权的进一步细节);
      • 个人数据已非法处理;
      • 需要删除个人数据,以便公司遵守特定的法律义务;或者
      • 正在举行并处理个人数据,以便为孩子提供信息社会服务。
    • 除非公司有合理的理由拒绝擦除个人数据,否则所有对擦除请求应遵守,并在收到数据主题请求的一个月内通知擦除的数据主体。如有复杂的要求,这一期间最多可延长两个月。如果需要这样的额外时间,则应通知数据主体。
    • 如根据资料当事人的要求而将被删除的任何个人资料已披露予第三者,则须通知该等第三者有关已删除的情况(除非不可能或需要作出不成比例的努力才能这样做)。

  1. 限制个人数据处理
    • 数据主题可以要求公司停止处理其持有的个人数据。如果数据主体提出此类请求,该公司将仅保留有关确保未进一步处理的个人数据所必需的数据主体(如果有的话)的个人数据的数额。
    • 如果对第三方披露任何受影响的个人数据,则应通知这些缔约方对处理它的适用限制(除非它是不可能的或需要不成比例的努力)。

  1. 数据可移植性
    • 该公司使用自动化手段处理个人数据。我们的网站使用IP地址来收集营销信息。
    • 如果数据主体已同意本公司以这种方式处理其个人数据,或者在本公司与数据主体之间执行合同的处理,则数据受试者在GDPR下有权利,要收到个人数据的副本并将其用于其他目的(即将其传输给其他数据控制器)。
    • 为方便数据可携带权,本公司应以下列格式向数据主体提供所有适用的个人数据(年代]
      • Word文档;
      • PDFS;
      • Excel文件
    • 在技​​术上可行的情况下,如果数据主体请求,则应将个人数据直接发送到所需的数据控制器。
    • 在数据主体请求的一个月内,应遵守个人数据副本的所有请求。在复杂或多要求的情况下,期间可以延长两个月。如果需要这样的额外时间,则应通知数据主体。

  1. 反对处理个人资料
    • 数据受试者有权基于合法利益,直接营销(包括分析)以及科学和/或历史研究和统计目的来处理其个人数据的公司处理其个人数据。
    • Where a data subject objects to the Company processing their personal data based on its legitimate interests, the Company shall cease such processing immediately, unless it can be demonstrated that the Company’s legitimate grounds for such processing override the data subject’s interests, rights, and freedoms, or that the processing is necessary for the conduct of legal claims.
    • 如果数据主题对公司处理其个人数据进行直接营销目的,本公司应立即停止此类加工。
    • 如果数据主体要求公司为科学和/或历史研究和统计目的处理其个人数据,则根据GDPR,数据主体必须“说明与其特定情况相关的理由”。如果研究是出于公众利益的原因而为执行任务所必需的,则公司无需遵守。

  1. 自动决策
    • 该公司在自动化决策过程中使用个人数据..
    • 在这些决定对数据主体上具有法律(或同样重要的效果),这些数据受试者有权在GDPR下挑战这些决定,要求人为干预,表达自己的观点,并获得对决定的解释公司。
    • 第19.2部分中描述的权利不适用于以下情况:
      • 该决定是进入或履行公司与数据主体的合同的必要条件;
      • 该决定由法律授权;或者
      • 资料当事人已明确同意。]

  1. 分析
    • 该公司使用个人数据进行分析目的。
    • 当个人资料用于分析目的时,须适用以下规定:
      • 解释分析的清除信息应提供给数据受试者,包括分析的重要性和可能的​​后果;
      • 应使用适当的数学或统计程序;
      • 应实施技术和组织措施,以最大限度地减少错误风险。如果出现错误,这些措施必须使其易于纠正;和
      • 处理以分析目的的所有个人数据应得到保护,以防止出现的歧视性效应(有关数据安全的更多详情,请参阅本政策的第22至26部分。]

  1. 收集,持有和处理的个人数据

由公司收集,举行,举行以下个人数据

数据类型 处理数据的目的和法律依据 数据保留时间
姓名,联系方188bet体育投式,IP地址 营销

法律依据:同意

每2年刷新一次,除非撤回同意
姓名、联系方188bet体育投式 潜在客户,报价和投标准备

法律依据:契约预订

初次联系12个月188bet体育投
姓名、联系方188bet体育投式 188bet体育投联系客户,供应商,承包商和员工,开具发票,付款

法律依据:合同和合法

义务

6年加上税收年度
销售和购买发票/工资记录 帐户准备,增值税返回,工资单

公司法和HRMC记录保留要求

法律依据:合同和法律义务

6年加上税收年度
税收参考编号,支付和国民保险号码

帐户准备,增值税返回,工资单,

公司法和HRMC记录保留要求

法律依据:法律义务

6年加上税收年度
专业注册和认证

HAWASA需求

如驾驶执照

法律依据:法律义务

6年员工出发
护照,驾驶执照,地址证明的副本 身份检查工作权

法律依据:法律义务

6年员工出发
CVS,HR文件I.E.评估数据,志愿者的细节 HMRC要求

法律依据:法律义务和合法权益

6年员工/志愿者出发

  1. 数据安全-转移个人数据和通信

本公司应确保采取以下措施,涉及涉及个人数据的所有通信和其他转移:

  • 所有包含个人资料的电邮均须加密;
  • 所有包含个人资料的电邮必须注明“保密”;
  • 可以仅通过安全网络传输个人数据;在任何情况下都不允许在无担保网络上传输;
  • 如果存在合理切实可行的有线替代方案,则可能不会通过无线网络传输个人数据;
  • 电子邮件正文中包含的个人数据,无论是发送还是已发送,都应从该电子邮件的正文中复制并安全地存储。电子邮件本身应该被删除。与其相关联的所有临时文件也应该安全地删除;
  • 如果要通过传真传输发送个人数据,则应在传输之前通知收件人,并且应该由传真机等待接收数据;
  • 如果要以硬拷贝形式传输个人数据,则应将其直接传递给收件人或使用签名的邮寄;和
  • 所有要在物理上转移的个人数据,无论是在硬拷贝形式还是可移动电子介质上应在标有“机密”的合适容器中转移。

  1. 数据安全 - 存储

本公司应确保采取以下措施对个人数据的存储:

  • 所有电子副本的个人数据应使用密码和数据加密安全地存储;
  • 所有个人数据的硬障,以及存储在物理,可移动介质上的任何电子副本应牢固地存放在锁定的盒子,抽屉,机柜或类似;
  • 所有以电子方式存储的个人数据应使用存储在现场存储的备份备份和/或所有备份都应加密;
  • 任何个人数据都不应存储在任何移动设备上(包括但不限于笔记本电脑,平板电脑和智能手机),无论这些设备是否属于公司或其他设备,否则未经Jaime Seton,我们的数据官员以及此类批准的事件严格按照给出批准时描述的所有指示和限制,而不需要绝对必要;和
  • 没有个人数据应转移到个人属于员工的任何设备,个人数据只能转移到属于代理人,承包商或代表本公司的其他方的设备转移到课方已同意完全遵守的公司本政策和GDPR的信和精神(可能包括向公司展示所有适当的技术和组织措施)。

  1. 数据安全 - 处置

当任何个人资料因任何原因(包括已制作副本及不再需要)被删除或以其他方式处置时,应稳妥地删除及处置该等资料。

  1. 资料保安-个人资料的使用

公司应确保在使用个人资料时采取以下措施:

  • 无需非正式地共享个人数据,如果员工,代理人,子承包商或代表公司工作的其他方要求访问他们尚未获得的任何个人数据,则应从Jaime正式请求此类访问Seton,Jaime@owr.org.uk,我们的数据官员;
  • 未经Jaime Seton (Jaime@owr.org.uk)授权,不得将任何个人数据转移给任何员工、代理、承包商或其他方,无论这些方是否代表公司工作;
  • 个人资料必须随时小心处理,不得让未经授权的雇员、代理人、分判商或其他人士无人看管或随时看到;
  • 如果在计算机屏幕上正在查看个人数据,并且有问题的计算机将无人看管任何时间段,则用户必须在离开之前锁定计算机和屏幕;和
  • 如果公司持有的个人数据用于营销目的,则应负责数据官员,以确保获得适当的同意,无论是直接还是通过第三方服务,无论是直接还是通过第三方服务TPS。

  1. 数据安全 - IT安全性

公司应确保在IT和信息安全方面采取以下措施:

  • 用于保护个人数据的所有密码应定期更改,不应使用可以轻松猜到或以其他方式损害的单词或短语。所有密码必须包含大写和小写字母,数字和符号的组合。公司使用的所有软件旨在需要此类密码。
  • 在任何情况下,任何员工、代理人、承包商或代表公司工作的其他各方,不论资历或部门,都不得写下任何密码或共享密码。如果忘记密码,需要按照相应的方法重新设置。IT人员无法获得密码;
  • 所有软件(包括但不限于,应用程序和操作系统)应保持最新。该公司的IT人员应负责在发布商或制造商提供更新后安装任何和所有与安全相关的更新或者除非有正当的技术理由不这样做,否则应在合理和实际可行的情况下尽快这样做;和
  • 未经数据官员的先前批准,任何公司拥有的计算机或设备都无法安装软件。

  1. 组织措施

本公司应确保采取以下措施,遵守个人数据的收集,持有和处理:

  • 所有员工,代理人,承包商或代表本公司的其他缔约方应充分意识到其个人责任和本公司根据GDPR和本政策的责任,并应提供本政策的副本;
  • 只有员工、代理商、分包商或代表公司工作的其他各方需要访问和使用个人数据以正确执行其分配的职责时,才可以访问公司持有的个人数据;
  • 所有员工,代理人,承包商或其他代表处理个人数据工作的各方将受到适当的培训;
  • 所有代表公司处理个人资料的员工、代理人、承包商或其他各方将受到适当监督;
  • 所有员工,代理人,承包商或代表公司处理个人数据的其他方应当需要,并鼓励在讨论与个人数据相关的与个人数据相关的工作相关事项时行使,谨慎和自由裁量权,无论是在工作场所还​​是其他方面;
  • 定期评估和审查收集、保存和处理个人资料的方法;
  • 本公司持有的所有个人数据应定期审查;
  • 这些雇员,代理人,承包商或代表公司处理个人数据工作的其他各方的表现应经常进行评估和审查;
  • 所有员工,代理人,承包商或代表公司处理个人数据的其他各方将必然会根据GDPR和本政策的合同这样做;
  • 所有代理人,承包商或代表本公司处理个人数据的其他方必须确保涉及个人数据处理的任何和所有员工都持有与公司所产生的相关雇员相同的条件本政策和GDPR;和
  • 如果任何代理人,承包商或其他缔约方代表处理个人数据的义务在这一政策下,缔约方应赔偿并持有可能出现的任何费用,责任,损害,损害,索赔或诉讼程序赔偿和持有无害的公司这个失败。

  1. 将个人数据转移到EEA之外的一个国家
    • 该公司可能不时转移(“转移”包括远程提供的个人数据到EEA之外的国家。
    • 只有在下列一项或多项适用的情况下,才能将个人资料转移到欧洲经济区以外的国家:
      • 将个人资料转移至欧洲委员会确定可确保个人资料得到足够保护的国家、地区或该国一个或多个特定部门(或国际组织);
      • 转让是一个国家(或国际组织),该公司以公共机构或机构之间的法律约束力协议的形式提供适当的保障;绑定公司规则;欧盟委员会通过的标准数据保护条款;遵守由监督机构批准的批准的行为守则(例如,信息专员办公室);根据批准的认证机制认证(如在GDPR中规定);合同条款同意并由主管监管机构授权;或在主管监督机构授权的公共当局或机构之间插入行政安排的规定;
      • 转移是通过相关数据主题的知情同意;
      • 转让是在数据主体和公司之间的合同(或根据数据主题的请求所采取的预合同步骤)所必需的;
      • 转移对于重要的公共利益原因是必要的;
      • 转移是法律索赔的必要条件;
      • 若数据主体在身体上或法律上无法给予同意,则为保护数据主体或其他个人的重大利益而必须进行的转移;或者
      • 转让是从英国或欧盟法律下的登记册,旨在向公众提供信息,并一般或其他能够向那些能够表现出访问登记册的合法兴趣的人开放。

  1. 数据泄露通知
    • 所有个人资料泄露必须立即报告给公司的资料主任。
    • If a personal data breach occurs and that breach is likely to result in a risk to the rights and freedoms of data subjects (e.g. financial loss, breach of confidentiality, discrimination, reputational damage, or other significant social or economic damage), the Data Officer must ensure that the Information Commissioner’s Office is informed of the breach without delay, and in any event, within 72 hours after having become aware of it.
    • 如果个人数据泄露可能导致高风险(即,在第29.2部分下面描述的风险更高),数据官必须确保所有受影响的数据受试者直接通知违约,没有过度延迟。
    • 数据泄露通知应包括以下信息:
      • 有关资料当事人的类别及大致数目;
      • 有关个人数据记录的类别和近似数量;
      • 公司数据官员的姓名和联系方188bet体育投式(或可以获得更多信息的其他联系人);
      • 违约的可能后果;
      • 本公司在适当情况下,本公司应当解决违规行为的措施或提出要采取的措施的详细信息,包括措施,以减轻其可能的不利影响。

  1. 实施政策

本政策自18日3.03.018起生效。本保单的任何部分均不具有追溯效力,因此仅适用于该日期或之后发生的事项。

该政策已批准和授权:

名称: 理查德雪
位置: 常务董事
日期:
审核截止日期: 03.07.19.
签名:

订阅我们的通讯

成为第一个了解所有DIY项目的最新产品,提示和建议,专有优惠和我们将持有的活动。

谢谢,您已成功订阅。