政策—GDPR 数据保护政策

 

您必须阅读本政策，因为它提供了有关以下方面的重要信息：

 

• 公司必须遵守的数据保护原则；

• 个人信息（或数据）和敏感个人信息（或数据）是什么意思；

• 我们如何根据数据保护原则收集、使用和（最终）删除个人信息和敏感个人信息；

• 在哪里可以找到更详细的隐私信息，例如关于我们收集和使用的关于您的个人信息，这些信息是如何使用、存储和传输的，用于什么目的，为确保信息安全所采取的步骤以及信息的保存时间；

• 您在数据保护方面的权利和义务；和

• 不遵守本政策的后果。

 

1. 介绍

 

1. 公司获取、保存和使用有关求职者以及现任和前任员工、临时和代理员工、承包商、实习生、志愿者和学徒的个人信息（也称为数据），用于一些特定的合法目的，如公司与招聘和就业相关的数据保护隐私声明。

 

1. 本政策规定了我们如何履行我们的数据保护义务并寻求保护与我们员工相关的个人信息。其目的还在于确保员工理解并遵守有关收集、使用和删除他们在工作过程中可能访问的个人信息的规则。

 

1. 我们致力于履行我们的数据保护义务，并以简明、清晰和透明的方式说明我们如何获取和使用与我们的员工相关的个人信息，以及我们如何（以及何时）删除不再需要的信息。

 

1. 公司的数据保护官负责就其数据保护义务向公司及其员工提供信息和建议，并监督对这些义务和公司政策的遵守情况。如果您对本政策的内容有任何疑问或意见，或者需要更多信息，请联系数据保护官，电子邮件地址：dpo@confirmsend.co.

 

1. 范围

 

1. 本政策适用于求职者以及现任和前任员工的个人信息，包括员工、临时工和代理工、实习生、志愿者和学徒。

 

1. 员工应参考公司的数据保护隐私声明，并在适当情况下参考公司的其他相关政策，包括与互联网、电子邮件和通信、监控、社交媒体、信息安全、数据保留和犯罪记录信息有关的政策，其中包含有关以下方面的更多信息在这些情况下保护个人信息。

 

1. 我们将根据我们的数据保护义务定期审查和更新此政策。它不构成任何员工雇佣合同的一部分，我们可能会不时修改、更新或补充它。在采用之前，我们会将任何新的或修改后的政策分发给员工。

 

1. 定义

 

1. 犯罪记录信息

指与刑事定罪和犯罪、指控、诉讼和相关安全措施有关的个人信息；

 

1. 数据泄露

指导致意外或非法破坏、丢失、更改、未经授权披露或访问个人信息的安全漏洞；

 

1. 数据主体

指与个人信息相关的个人；

 

1. 个人信息

（有时称为个人数据）是指与可以（直接或间接）从该信息中识别的个人相关的信息；

 

1. 加工信息

指获取、记录、组织、存储、修改、检索、披露和/或销毁信息，或使用信息或对其进行任何操作；

 

1. 化名

是指个人信息的处理方式，如果不使用附加信息，则无法将其用于识别个人，这些信息是单独保存的，并受技术和组织措施的约束，以确保个人信息不能归因于可识别的个人；

 

1. 敏感个人信息

（有时称为“特殊类别的个人数据”或“敏感的个人数据”）是指有关个人种族、民族血统、政治观点、宗教或哲学信仰、工会会员资格（或非会员资格）、遗传信息的个人信息，生物识别信息（用于识别个人）和有关个人健康、性生活或性取向的信息。

 

1. 数据保护原则

 

1. 本事务所在处理个人信息时将遵守以下数据保护原则：

 

1. 我们将以合法、公平和透明的方式处理个人信息；

 

1. 我们只会出于特定、明确和合法的目的收集个人信息，并且不会以与这些合法目的不相符的方式处理它；

 

1. 我们只会处理为相关目的而充分、相关和必要的个人信息；

 

1. 我们将保持准确和最新的个人信息，并采取合理措施确保立即删除或更正不准确的个人信息；

 

1. 我们将以允许识别数据主体身份的形式保存个人信息，保存时间不超过处理信息所需的时间；和

 

1. 我们将采取适当的技术和组织措施来确保个人信息的安全，防止未经授权或非法处理，以及意外丢失、破坏或损坏。

 

1. 处理个人信息的依据

 

1. 关于任何处理活动，我们将在处理第一次开始之前，然后在处理继续期间定期：

 

1. 审查特定处理活动的目的，并为该处理选择最合适的合法依据，即：

 

1. 数据主体已同意处理；

 

1. 该处理对于履行数据主体作为当事方的合同或为了在签订合同之前应数据主体的要求采取措施是必要的；

 

1. 该处理对于遵守公司所承担的法律义务是必要的；

 

1. 该处理对于保护数据主体或其他自然人的切身利益是必要的；

 

1. 该处理对于执行为公共利益执行的任务是必要的

 

1. 为了公司或第三方的合法利益，处理是必要的，除非这些利益被数据主体的基本权利和自由的利益所凌驾——见下文第 5.2 条。

 

1. 除非处理是基于同意，否则我们确信处理对于相关合法依据的目的是必要的（即没有其他合理的方式来实现该目的）；

 

1. 记录我们关于适用何种合法依据的决定，以帮助证明我们遵守数据保护原则；

 

 

1. 在我们的相关隐私声明中包含有关处理目的及其合法依据的信息；

 

1. 在处理敏感个人信息的情况下，还要确定处理该信息的合法特殊条件（见下文第 6.2.2 段），并将其记录在案；和

 

1. 在处理刑事犯罪信息的地方，还要确定处理该信息的合法条件，并将其记录在案。

 

1. 在确定公司的合法利益是否是合法处理的最适当基础时，我们将：

 

1. 进行合法利益评估 (LIA) 并保留记录，以确保我们能够证明我们的决定是合理的；

 

1. 如果 LIA 确定重大隐私影响，请考虑我们是否还需要进行数据保护影响评估 (DPIA)

 

1. 对 LIA 进行审查，如果情况发生变化则重复；和

 

1. 在我们的相关隐私声明中包含有关我们合法利益的信息。

 

1. 敏感的个人信息

 

1. 敏感的个人信息有时被称为“特殊类别的个人数据”或“敏感的个人数据”。

 

1. 公司可能不时需要处理敏感的个人信息。我们只会在以下情况下处理敏感的个人信息：

 

1. 如上文第 5.1.1 段所述，我们有这样做的合法依据，例如，为了履行雇佣合同、遵守公司的法律义务或为了公司的合法利益，这是必要的；和

 

1. 适用处理敏感个人信息的特殊条件之一，例如：

 

1. 数据主体已给予明确同意；

 

1. 该处理对于公司或数据主体行使劳动法权利或义务是必要的；

 

1. 处理对于保护数据主体的切身利益是必要的，并且数据主体在身体上无法给予同意；

 

1. 处理涉及数据主体明确公开的个人数据；

 

1. 处理是建立、行使或捍卫合法要求所必需的；要么

 

1. 出于重大公共利益的原因，处理是必要的。

 

1. 在处理任何敏感的个人信息之前，工作人员必须将拟议的处理通知数据保护官，以便数据保护官可以评估处理是否符合上述标准。

 

1. 敏感的个人信息将不会被处理，直到：

 

1. 第 6.3 段中提到的评估已经进行；和

 

1. 个人已被适当告知（通过隐私通知或其他方式）处理的性质、进行处理的目的以及处理的法律依据。

 

1. 公司不会根据任何个人的敏感个人信息进行自动决策（包括分析）。

 

1. 公司的数据保护隐私声明规定了公司处理的敏感个人信息的类型、用途以及处理的合法依据。

 

1. 关于敏感个人信息，公司将遵守下文第 6.8 和 6.9 段中规定的程序，以确保其符合上文第 4 段中规定的数据保护原则。

 

1. 在招聘过程中：主管经理在数据保护官的指导下，将确保（除非法律另有规定）：

 

1. 在入围、面试和决策阶段，不问任何与敏感个人信息有关的问题，例如种族或族裔出身、工会会员身份或健康状况；

 

1. 如果收到敏感的个人信息，例如申请人在他或她的简历中或在面试期间没有被要求提供，则不会保留任何记录，并且会立即删除或编辑任何对它的引用

 

1. 任何填妥的平等机会监测表都与个人的申请表分开保存，不会被入围、面试或做出招聘决定的人看到；

 

1. “工作权”检查是在无条件提供就业机会之前进行的，而不是在较早的入围、面试或决策阶段进行的；

 

1. 我们不会询问与招聘有关的健康问题，也不会在收到录用通知后才询问健康问题。

 

1. 在职期间：办公室经理在数据保护官的指导下，将处理：

 

1. 健康信息，用于管理病假工资、保存病假记录、监控员工出勤情况以及促进与就业相关的健康和疾病福利；

 

1. 敏感的个人信息，用于平等机会监测和薪酬平等报告。在可能的情况下，这些信息将被匿名化；和

 

1. 用于员工管理和管理“核对”的工会会员信息。

 

 

1. 犯罪记录信息

 

1. 犯罪记录信息将根据公司的犯罪记录信息政策进行处理。

 

1. 数据保护影响评估 (DPIA)

 

1. 如果处理可能对个人的数据保护权利造成高风险（例如，公司计划使用新形式的技术），我们将在开始处理之前进行 DPIA 以评估：

 

1. 处理是否必要且与其目的相称；

 

1. 对个人的风险；和

 

1. 可以采取哪些措施来解决这些风险并保护个人信息。

 

1. 因此，在引入任何新技术形式之前，负责的经理应联系数据保护官，以便执行 DPIA。

 

1. 在任何 DPIA 过程中，合作伙伴将征求数据保护官的建议以及任何其他相关利益相关者的意见。

 

1. 文件和记录

 

1. 我们将保留高风险处理活动的书面记录，即可能对个人权利和自由造成风险或涉及敏感的个人信息或犯罪记录信息，包括：

 

1. 雇主组织的名称和详细信息（如适用，其他控制者、雇主代表和 DPO）

 

1. 处理的目的；

 

1. 对个人类别和个人数据类别的描述；

 

1. 个人数据接收者的类别；

 

1. 在相关情况下，向第三国转移的详细信息，包括转移机制保障措施的文件；

 

1. 在可能的情况下，保留时间表；和

 

1. 在可能的情况下，描述技术和组织安全措施。

 

1. 作为我们处理活动记录的一部分，我们记录或链接到文档：

 

1. 隐私声明所需的信息；

 

1. 同意记录；

 

1. 控制器-处理器合同；

 

1. 个人信息的位置；

 

1. DPIA;和

 

1. 数据泄露记录。

 

1. 如果我们处理敏感的个人信息或犯罪记录信息，我们将保留以下书面记录：

 

1. 进行处理的相关目的，包括（如有需要，为什么必须为此目的；

 

1. 我们处理的合法依据；和

 

1. 我们是否根据我们的政策文件保留和删除个人信息，如果没有，不遵守我们政策的原因。

 

1. 我们将对我们处理的个人信息进行定期审查，并相应地更新我们的文档。这可能包括：

 

1. 进行信息审计以查明本所持有的个人信息；

 

1. 分发调查问卷并与整个公司的员工交谈，以更全面地了解我们的处理活动；和

 

1. 审查我们的政策、程序、合同和协议，以解决保留、安全和数据共享等领域的问题。

 

1. 隐私声明

 

1. 公司将不时发布隐私声明，告知您我们收集和持有的与您有关的个人信息、您期望如何使用您的个人信息以及用于什么目的。

 

1. 我们将采取适当措施，使用清晰明了的语言，以简洁、透明、易懂和易于访问的形式在隐私声明中提供信息。

 

1. 个人权利

 

1. 您（与其他数据主体一样）对您的个人信息享有以下权利：

 

1. 了解处理信息的方式、原因和依据——请参阅公司的数据保护隐私声明；

 

1. 通过提出主题访问请求获得对您的信息正在处理的确认并获得对它和某些其他信息的访问权——请参阅公司的主题访问请求政策；

 

1. 如果数据不准确或不完整，则更正数据；

 

1. 如果不再需要用于最初收集/处理的目的，或者如果没有压倒一切的合法理由进行处理（这有时被称为“被遗忘的权利”），则删除数据；

 

1. 在信息的准确性受到质疑或处理不合法（但您不希望数据被删除）或雇主不再需要个人信息但您需要数据以建立、行使或捍卫合法要求；和

 

1. 在您认为个人信息不准确（雇主正在核实其是否准确）或您反对处理个人信息（雇主正在考虑组织的合法理由是否凌驾于您的利益之上）的情况下，暂时限制对个人信息的处理).

 

1. 如果您想行使第 11.1.3 至 11.1.6 段中的任何权利，请联系数据保护官。

 

1. 个人义务

 

1. 个人有责任帮助公司及时更新其个人信息。如果您提供给公司的信息发生变化，您应该告知办公室经理，例如，如果您搬家或更改您收款的银行或建筑协会账户的详细信息。

 

1. 在您的工作或参与过程中，您可能会接触到公司其他员工、供应商和客户的个人信息。如果是这样，公司希望您帮助履行对这些人的数据保护义务。例如，您应该知道他们也可能享有上文第 11.1 段中规定的权利

 

 

1. 如果您有权访问个人信息，您必须：

 

1. 仅访问您有权访问的个人信息，并且仅用于授权目的；

 

1. 仅允许其他公司员工在获得适当授权的情况下访问个人信息；

 

1. 仅当您获得数据保护官的特别授权时，才允许非公司员工访问个人信息；

 

1. 确保个人信息安全（例如，遵守公司信息安全政策中规定的有关场所访问、计算机访问、密码保护和安全文件存储和销毁的规则以及其他预防措施）；

 

1. 不得从公司场所移除个人信息或包含个人信息（或可用于访问个人信息的设备），除非已采取适当的安全措施（例如假名化、加密或密码保护）来保护信息和设备；和

 

1. 不将个人信息存储在本地驱动器或用于工作目的的个人设备上；

 

1. 如果您担心或怀疑以下情况之一已经发生（或正在发生或可能发生），您应该联系数据保护官：

 

1. 在没有合法依据的情况下处理个人数据，或者在敏感个人信息的情况下，不满足第 6.2.2 段中的条件之一；

 

1. 下文第 15.1 段所述的任何数据泄露；

 

1. 未经适当授权访问个人信息；

 

1. 个人信息未安全保存或删除；

 

1. 在未采取适当的安全措施的情况下从公司场所移除个人信息或包含个人信息的设备（或可用于访问个人信息的设备）；

 

1. 任何其他违反本政策或上文第 4.1 段中规定的任何数据保护原则的行为。

 

1. 信息安全

 

1. 公司将根据公司的信息安全政策使用适当的技术和组织措施来保护个人信息的安全，特别是防止未经授权或非法处理以及意外丢失、破坏或损坏。这些可能包括：

 

1. 确保在可能的情况下对个人信息进行假名化或加密；

 

1. 确保处理系统和服务的持续机密性、完整性、可用性和弹性；

 

1. 确保在发生物理或技术事件时，能够及时恢复个人信息的可用性和访问权限；和

 

1. 定期测试、评估和评估技术和组织措施的有效性以确保处理安全的过程。

 

1. 如果公司使用外部组织代表其处理个人信息，则需要在与这些组织的合同中实施额外的安全安排，以保护个人信息的安全。特别是，与外部组织签订的合同必须规定：

 

1. 该组织只能根据公司的书面指示行事；

 

1. 处理数据的人有保密义务；

 

1. 采取适当措施确保处理的安全性；

 

1. 分包商仅在公司事先同意并根据书面合同聘用；

 

1. 该组织将协助公司提供主题访问并允许个人行使其与数据保护相关的权利；

 

1. 该组织将协助公司履行其在处理安全、数据泄露通知和数据保护影响评估方面的义务；

 

1. 该组织将在合同结束时根据要求删除或返回所有个人信息给公司；和

 

1. 该组织将接受审计和检查，向公司提供所需的任何信息以确保他们都履行其数据保护义务，并在公司被要求做违反数据保护法的事情时立即通知公司。

 

1. 在签订任何涉及外部组织处理个人信息的新协议或更改现有协议之前，相关员工必须征求数据保护官对其条款的批准；

 

1. 个人信息的存储和保留

 

1. 个人信息（和敏感的个人信息）将根据公司的信息安全政策安全保存。

 

1. 个人信息（和敏感的个人信息）的保留时间不应超过必要的时间。应保留数据的时间长短取决于具体情况，包括获取个人信息的原因。员工应遵循公司的记录保留政策，该政策规定了相关的保留期限，或用于确定保留期限的标准。如有任何不确定性，工作人员应咨询[数据保护官；

 

1. 不再需要的个人信息（和敏感的个人信息）将从我们的信息系统中永久删除，所有硬拷贝将被安全销毁。

 

1. 数据泄露

 

1. 数据泄露可能有多种不同的形式，例如：

 

1. 存储个人信息的数据或设备丢失或被盗；

 

1. 员工或第三方未经授权访问或使用个人信息；

 

1. 因设备或系统（包括硬件和软件）故障导致的数据丢失；

 

1. 人为错误，例如数据的意外删除或更改；

 

1. 不可预见的情况，例如火灾或洪水；

 

1. 对 IT 系统的蓄意攻击，例如黑客攻击、病毒或网络钓鱼诈骗；和

 

1. “吹嘘”罪，即通过欺骗持有信息的组织获得信息。

 

1. 本所将：

 

1. 如果可能对个人的权利和自由造成风险，请立即向信息专员办公室报告数据泄露事件，并在可能的情况下在知晓后 72 小时内进行报告；和

 

1. 如果数据泄露可能导致他们的权利和自由面临高风险并且法律要求通知，则通知受影响的个人。

 

1. 国际转账

 

1. 公司可能会在欧洲经济区 (EEA)（包括欧盟国家和冰岛、列支敦士登和挪威）以外的国家、地区或组织被指定为具有足够的保护水平或接收信息的组织已通过具有约束力的公司规则或标准数据保护条款或遵守批准的行为准则或在客户明确同意的情况下提供了充分的保障。

 

1. 训练

 

1. 本所将确保员工接受有关其数据保护责任的充分培训。其角色需要定期访问个人信息的个人，或负责实施本政策或响应本政策下的主题访问请求的个人，将接受额外培训，以帮助他们了解自己的职责以及如何遵守这些职责。

 

1. 不遵守的后果

 

1. 公司非常重视遵守本政策。不遵守政策：

 

1. 将其个人信息正在被处理的个人置于危险之中；和

 

1. 个人和公司面临重大民事和刑事制裁的风险；和

 

1. 在某些情况下，可能构成个人的刑事犯罪。

 

1. 由于本政策的重要性，如果员工未能遵守其中的任何要求，则可能会根据我们的程序受到纪律处分，并且此行为可能会导致因严重不当行为而被解雇。如果非雇员违反此政策，他们的合同可能会立即终止。

 

1. 如果您对本政策中的任何内容有任何疑问或疑虑，请随时联系数据保护官；

 

 

 

我已阅读并理解本政策并同意遵守其条款。

 

签................................................. ..................................................... .