网站

隐私政策

1.介绍

本政策载述Adtech聚合物工程有限公司(下称“本公司”)在《一般资料保障规例》(下称“该规例”)下就客户、供应商、雇员及其他业务联系人(下称“资料当事人”)的个人资料保障方面的义务及权利。

该规例将“个人资料”定义为与经识别或可辨认的自然人(资料当事人)有关的任何资料;可识别自然人是指可直接或间接被识别的自然人,特别是可通过名称、识别号码、位置数据、在线标识符等标识符或特定于身体、生理、遗传、精神、经济、文化、或者那个自然人的社会身份。

本政策列出在处理个人资料时须遵守的程序。本公司、其员工、代理人、承包商或代表本公司工作的其他各方必须始终遵守本协议规定的程序和原则。

公司不仅致力于法律条文,而且也致力于法律精神,高度重视正确、合法和公平地处理所有个人数据,尊重与之交易的所有个人的合法权利、隐私和信任。

2.保障资料原则

本政策旨在确保法规得到遵守。该规例订明下列原则,任何处理个人资料的人士必须遵守这些原则。所有个人资料必须:

  1. 就该资料当事人而言,以合法、公平及透明的方式处理;

  2. 为指定的、明确的和合法的目的而收集,并没有以与这些目的不相容的方式进一步处理;为公共利益、科学或历史研究或统计目的而进行的进一步存档处理,不得视为与最初目的不相容;

  3. 就处理该文件的目的而言,适当、相关并限于所需的内容;

  4. 准确,必要时及时更新;必须采取每一合理步骤,确保在顾及处理不准确的个人资料的目的的情况下,立即删除或纠正不准确的个人资料;

  5. 以一种允许识别资料当事人的形式保存,保存时间不得超过处理该等个人资料的目的所需要的时间;个人资料可储存较长时间,但个人资料只会以公众利益为目的进行存档;为保障资料当事人的权利和自由而实施该规例规定的适当技术和组织措施的科学或历史研究目的或统计目的;

  6. 以确保个人资料适当保安的方式处理,包括使用适当的技术或组织措施,防止未经授权或非法处理,以及防止意外遗失、破坏或损害。

3.合法、公平、透明的数据处理

该规例旨在确保个人资料得到合法、公平及透明的处理,而不会对资料当事人的权利造成不利影响。该规例规定,如以下至少有一项适用,处理个人资料即属合法:

  1. 资料当事人已同意为一项或多项特定目的处理其个人资料;

  2. 为履行数据主体作为当事人一方的合同,或为了在订立合同前应数据主体的要求采取步骤,必须进行处理;

  3. 为遵守控权人须履行的法律义务而进行的处理;

  4. 为保护数据主体或者其他自然人的切身利益而需要进行的处理;

  5. 为执行为公众利益而进行的工作,或为行使控权人所赋予的官方权力而进行的工作,必须进行处理;

  6. 为控制人或第三方追求的合法利益的目的而进行的处理是必要的,除非该等利益被资料当事人的基本权利和自由所超越,而该等权利和自由需要保护个人资料,特别是在该资料当事人是儿童的情况下。

4.为指定、明确和合法的目的而处理

  1. 本公司收集及处理本政策第21部所载的个人资料。这可能包括直接从资料当事人收到的个人资料(例如,资料当事人与我们沟通时使用的联络详情),以及从第三方收到的资料。

  2. 本公司只会为本政策第21部所载的特定目的(或为该规例明确准许的其他目的)而处理个人资料。我们处理个人数据的用途将通知数据对象时,他们的个人数据被收集,收集直接从他们的地方,或者尽快收集后(不超过一个日历月)从第三方获得。

5.充分、相关和有限的数据处理

本公司只会为上文第4部所告知资料当事人的特定目的收集及处理所需的个人资料。

6.数据的准确性和数据的更新

公司应确保所收集和处理的所有个人资料是准确和最新的。在收集数据时,应定期检查数据的准确性。如发现任何不准确或过时的数据,将毫不迟延地采取一切合理步骤,酌情修订或删除该数据。

7.及时处理

本公司保存个人资料的时间不得超过最初收集和处理该等资料的目的所必需的时间。当数据不再需要时,将立即采取所有合理的步骤将其删除。

8.安全处理

本公司应确保所有收集和处理的个人资料均妥善保管,防止未经授权或非法处理,以及意外丢失、破坏或损害。本政策第22和23部分提供了应采取的数据保护和组织措施的进一步细节。

9.问责制

  1. 该公司的数据保护官员是萨曼莎·戴佛瑞尔(Samantha Deverell)。

电话+44 (0)1285562000

电子邮件:samantha@adtech.co.uk

  1. 公司应保留所有收集、持有和处理个人数据的书面内部记录,其中应包括以下信息:

  1. 公司、其数据保护主管和任何适用的第三方数据控制人的名称和详细信息;

  2. 本公司处理个人资料的目的;

  3. 本公司收集、持有及处理的个人资料类别的详情;以及该等个人资料所关乎的资料类别;

  4. 将从本公司获得个人资料的任何第三方的详细资料(及类别);

  5. 向非欧洲经济区国家转移个人数据的详细信息,包括所有机制和安全保障;

  6. 本公司将保留个人资料多久的详情;和

  7. 详细说明公司为确保个人资料的安全而采取的所有技术和组织措施。

10.隐私影响评估

公司应根据该条例的要求进行隐私影响评估。隐私影响评估应由公司的数据保护主管监督,并应解决以下重要领域:

  1. 处理个人资料的目的,以及就该等资料进行的处理行动;

  2. 公司所追求的合法利益详情;

  3. 就处理数据的目的而言,评估数据处理的必要性和比例;

  4. 评估个别资料当事人所面临的风险;和

  5. 为尽量减少和处理风险而采取的措施的详情,包括保障措施、资料保安,以及确保个人资料得到保障的其他措施和机制,足以显示符合规例的规定。

11.数据主体的权利

该规例列出适用于资料当事人的下列权利:

  1. 知情权;

  2. 进入权;

  3. 改正的权利;

  4. 删除权(也称为“被遗忘权”);

  5. 限制加工的权利;

  6. 数据便携权;

  7. 反对的权利;

  8. 关于自动决策和分析的权利。

12.通知资料当事人

  1. 本公司须确保在收集个人资料时向每位资料当事人提供下列资料:

    1. 公司的详细信息,包括但不限于其数据保护官员Samantha Deverell的身份;

    2. 收集及处理个人资料的目的(详见本政策第21部),以及收集及处理该等个人资料的法律依据;

    3. 在适用的情况下,公司为其收集和处理个人数据所依据的合法利益;

    4. 如个人资料并非直接从该资料当事人取得,所收集及处理的个人资料类别;

    5. 如该等个人资料将转移给一个或多个第三者,请提供该等第三者的详细资料;

    6. 个人资料在哪里被转移到一个第三方,坐落在欧洲经济区(EEA),转让的细节,包括但不限于保障措施到位(见本政策的24部分等更多细节关于第三国数据传输);

    7. 公司将持有该等个人资料的时间长短的详情(或,如没有预先确定的时间,则如何确定该等时间长短的详情);

    8. 该资料当事人根据该规例享有的权利的详情;

    9. 资料当事人有权在任何时候撤回同意本公司处理其个人资料的详情;

    10. 资料当事人向资讯专员公署(该规例下的“监管机构”)提出投诉的权利详情;

    11. (如适用)须收集及处理个人资料的任何法律或合约规定或义务的详情,以及未能提供该等资料的任何后果的详情;

    12. 使用个人数据进行的任何自动决策的细节(包括但不限于侧写),包括如何做出决策、这些决策的重要性和任何后果的信息。

  2. 上述第12.1部所载的资料须于下列适用时间提供给资料当事人:

    1. 凡该等个人资料是在收集时直接从该资料当事人取得的;

    2. 如个人资料并非直接从资料当事人(即另一方)取得:

    1. 如该等个人资料是用于与该资料当事人沟通,则在第一次沟通时;或

    2. 如该等个人资料将于披露前向另一方披露;或

    3. 在任何情况下,不得超过本公司取得个人资料后一个月。

13.数据对象访问

  1. 资料当事人可在任何时间提出当事人查阅要求(下称“当事人查阅要求”),以进一步了解本公司所持有的有关其个人资料。本公司通常须在收到投诉后一个月内作出回应(如有复杂及/或众多的要求,可延长至两个月,在这种情况下,资料当事人须被告知需要延长回应时间)。

  2. 所有收到的访问请求必须转交给公司的数据保护官员Samantha Deverell。

电话+44 (0)1285562000

电子邮件:samantha@adtech.co.uk

  1. 本公司不收取处理一般非典型肺炎的费用。对于已经提供给数据主体的信息的额外副本,以及明显没有根据或过度的请求,特别是重复此类请求,公司保留收取合理费用的权利。

14.更正个人资料

  1. 如资料当事人通知本公司,本公司所持有的个人资料不准确或不完整,并要求更正,有关的个人资料须予以更正,而该资料当事人亦获通知该更正,在收到资料当事人的通知后一个月内(如有复杂的要求,可将通知延长至多两个月,在这种情况下,应通知资料当事人需要延长通知)。

  2. 如任何受影响的个人资料已披露给第三者,有关人士须获通知该等个人资料的任何更正。

15.删除个人资料

  1. 在下列情况下,资料当事人可要求本公司删除其持有的有关其个人的资料:

    1. 本公司不再需要持有有关最初收集或处理该等个人资料的目的的个人资料;

    2. 该资料当事人希望撤回其同意本公司持有及处理其个人资料的决定;

    3. 资料当事人反对本公司持有和处理其个人资料(并没有凌驾于一切之上的合法利益允许本公司继续这样做)(有关资料当事人反对权利的进一步详情,请参阅本政策第18部分);

    4. 个人资料已被非法处理;

    5. 为了使公司遵守特定的法律义务,个人资料需要被删除。

  2. 除非公司有合理理由拒绝删除个人资料,擦除应当遵守所有请求,和数据擦除的消息,在一个月内收到数据的请求(这可以延长两个月的情况复杂的请求,在这种情况下,应将延期的需要通知数据主体)。

  3. 如应资料当事人的要求而须删除的任何个人资料已向第三方披露,则须将该等删除通知该等第三方(除非不可能或需要作出不成比例的努力)。

16.个人资料处理的限制

  1. 资料当事人可要求本公司停止处理其持有的有关其个人资料。如资料当事人提出该等要求,本公司应只保留与该资料当事人有关的必要个人资料,以确保不会对其个人资料进行进一步处理。

  2. 如果任何受影响的个人数据已被披露给第三方,则应告知第三方处理该数据的适用限制(除非不可能或需要付出不成比例的努力)。

17.反对个人资料处理

  1. 数据主体有权反对本公司基于合法利益(包括资料分析)、直接营销(包括资料分析)以及科学和/或历史研究及统计目的的处理而处理其个人数据。

  2. 如果数据主体反对公司基于其合法利益处理其个人数据,则公司应立即停止该等处理,除非能证明公司处理该等处理的合法理由凌驾于数据主体的利益、权利和自由之上;或者处理是进行合法索赔所必需的。

  3. 如资料当事人反对本公司为直接促销目的处理其个人资料,则本公司应立即停止处理该等资料。

  4. 如资料当事人反对本公司为科学及/或历史研究及统计目的而处理其个人资料,则根据该规例,该资料当事人必须“证明与他或她的特定情况有关的理由”。如果该研究是为了执行出于公众利益的原因而进行的任务所必需的,则公司不被要求遵守。

18.自动化决策

  1. 事件,该公司使用个人数据的自动决策,这些决策的目的有一个法律(或类似的显著影响)数据对象,数据对象有权挑战下这样的决定规定,请求人工干预,表达自己的观点,并向公司索取有关决定的解释。

  2. 第19.1部分所述的权利不适用于下列情况:

    1. 该决定是公司与数据主体订立或履行合同所必需的;

    2. 该决定是法律授权的;或

    3. 数据主体已明确表示同意。

19.分析

若公司使用个人资料作资料分析之用,应适用以下规定:

  1. 将提供解释剖析的明确信息,包括其重要性和可能的后果;

  2. 将使用适当的数学或统计程序;

  3. 应实施必要的技术和组织措施,以尽量减少错误风险,并使这些错误易于纠正;和

  4. 为分析目的而处理的所有个人数据均应得到保护,以防止分析产生歧视性影响(有关数据安全的更多细节,请参阅本政策第22和23部分)。

20.个人资料

本公司可能会收集、持有及处理下列个人资料:

  1. 业务联系方式、电话号码、传真号码、地址及电子邮件地址。数据是为发布报价、样品的目的而持有的;

  2. 业务联系电子邮件地址。处理数据的目的是营销我们的产品、服务和通讯;

  3. 电子邮件地址通过我们的网站联系我们的请求表格。我们对数据进行处理,以分析我们网站的表现,以及推广我们自己的产品和服务;

  4. 实时聊天IP信息,电子邮件地址,如果提供。数据用于我们产品的报价、样品、技术咨询和销售。

21.数据保护措施

公司应确保其所有员工、代理、承包商或其他代表其工作的各方在处理个人数据时遵守以下规定:

  1. 所有包含个人资料的电子邮件必须加密。

  2. 如任何个人资料因任何原因须被删除或以其他方式处置(包括已制作副本而不再需要的情况下),则该等资料应安全地删除及处置。硬拷贝应该被粉碎,电子拷贝应该被安全地删除并记录删除

  3. 个人资料只能透过安全的网络传送;在任何情况下,都不允许通过不安全的网络进行传输;

  4. 如有合理切实可行的有线替代方案,则个人资料不得通过无线网络传送;

  5. 电子邮件正文中所载的个人资料,无论是否已发送或接收,均应从该电子邮件正文中复制并安全地储存。邮件本身应该被删除。所有与之相关的临时文件也应删除;

  6. 如以传真方式传送个人资料,应事先通知接收者,并应在传真机旁等候接收该等资料;

  7. 如个人资料以硬拷贝形式传送,应直接送交收件人或使用皇家邮政记录派递方式传送;

  8. 不得以非正式方式共享个人数据,如果员工、代理、分包商或代表公司工作的其他方要求访问他们尚未访问的任何个人数据,应正式向以下方面提出访问请求:

    总经理Samantha Deverell
    电话:+44 (0)1285562000
    电子邮件:samantha@adtech.co.uk

  9. 所有个人资料的硬拷贝,以及任何储存在可移动物理介质上的电子拷贝,均应安全地储存在上锁的盒子、抽屉、柜子或类似的地方;

  10. 未经授权,不得将个人资料转移给任何雇员、代理、承包商或其他方,无论这些方是否代表公司工作

    总经理Samantha Deverell
    电话:+44 (0)1285562000
    电子邮件:samantha@adtech.co.uk

  11. 个人资料必须在任何时候谨慎处理,不得无人看管或在任何时候让未获授权的雇员、代理、分判商或其他人士看到;

  12. 如用户在电脑屏幕上查阅个人资料,而有关电脑将被弃置一段时间,则使用者必须在离开电脑前锁上电脑及屏幕;

  13. 未经正式书面批准,任何移动设备(包括但不限于笔记本电脑、平板电脑和智能手机)均不得存储个人数据,无论该等设备是否属于本公司或其他

    总经理Samantha Deverell
    电话:+44 (0)1285562000
    电子邮件:samantha@adtech.co.uk

    并且,在这种批准的情况下,严格按照批准时所描述的所有指示和限制,并不得超过绝对必要的时间。

  14. 个人数据不应转移到属于雇员个人的任何设备上,个人数据只能转移到属于代理商、承包商、或其他代表公司工作的各方,如果相关方已同意完全遵守本政策和法规的文字和精神(其中可能包括向公司证明已经采取了所有适当的技术和组织措施);

  15. 所有电子存储的个人数据应每天进行备份,并在现场和异地存储备份。所有备份都应该加密。

  16. 所有个人资料的电子副本均应使用密码及公司伺服器上的安全夹妥善储存。

  17. 所有用于保护个人资料的密码都应定期更改,而且不应使用容易被猜到或泄露的词语或短语。密码必须包含大写字母、小写字母、数字和符号的组合。本公司使用的所有软件在设计上均要求使用该等密码;

  18. 在任何情况下,任何员工、代理、承包商或代表公司工作的其他各方,不论资历或部门,都不应写下或共享任何密码。如果忘记了密码,请按照相应的方法重新设置密码。IT人员没有密码访问权限;

  19. 公司持有的个人资料是用于市场营销目的,应当的责任卡罗琳·米尔斯(管理员)和萨曼莎德弗雷尔(董事总经理),以确保没有任何数据对象添加了细节营销偏好数据库包括,但不限于,电话服务的偏好,邮件优惠服务、电子邮件优惠服务和传真优惠服务。这些细节应至少每12个月检查一次。

22.组织措施

公司应确保就个人资料的收集、持有和处理采取以下措施:

  1. 所有员工、代理人、承包商或代表公司工作的其他各方应充分了解其个人责任和公司在法规和本政策下的责任,并应提供一份本政策的副本;

  2. 只有员工、代理、分包商或代表公司工作的其他需要访问和使用个人数据以正确履行其指定职责的方,才能访问公司持有的个人数据;

  3. 所有员工、代理、承包商或代表公司处理个人数据的其他各方将接受适当的培训;

  4. 所有员工、代理、承包商或代表公司处理个人数据的其他各方将受到适当监督;

  5. 定期评估和审查个人资料的收集、持有和处理方法;

  6. 应定期评估和审查那些代表公司处理个人数据的员工、代理、承包商或其他各方的表现;

  7. 所有员工、代理、承包商或代表公司工作处理个人资料的其他各方均有义务根据本规例及本政策的原则订立合同;

  8. 所有代理商、承包商或其他各方代表公司工作处理个人数据必须确保任何和所有的员工参与的处理个人数据是相同的条件与相关公司的员工产生的政策和规定;

  9. 如果代表公司处理个人数据的任何代理、承包商或其他方未能履行其在本政策下的义务,则该方应赔偿并使公司免受可能因该失败而产生的任何费用、责任、损害、损失、索赔或诉讼。

23.将个人资料转移至欧洲经济区以外的国家

  1. 公司可能会不时地将个人数据转移(“转移”包括远程提供)至欧洲经济区以外的国家。

  2. 将个人数据转移到欧洲经济区以外的国家只有在下列一种或多种情况下才能进行:

  1. 将资料转移至欧洲委员会已确定可确保充分保障个人资料的国家、地区或该国(或国际组织)内的一个或多个特定部门;

  2. 转让给以公共当局或机构之间具有法律约束力的协议形式提供适当保障的国家(或国际组织);绑定企业规则;欧洲委员会采用的标准数据保护条款;遵守由监管当局(例如资讯专员办事处)批准的认可行为守则;根据认可的核证机制进行核证(按该规例所订明);经主管监督当局同意和授权的合同条款;公共机关或者主管监督机关授权的机关之间的行政安排中所插入的规定;

  3. 有关转让是在有关资料当事人的知情同意下进行的;

  4. 为履行数据当事人与本公司之间的合同(或为应数据当事人要求而采取的订约前步骤)而必须进行的转让;

  5. 因重大公共利益需要转让的;

  6. (二)为进行合法债权所必需的;

  7. 在数据主体的身体上或法律上无法给予同意的情况下,为保护数据主体或其他个人的切身利益,转让是必要的;或

  8. 根据英国或欧盟法律,该登记册旨在向公众提供信息,并向一般公众开放,或向那些能够显示对访问该登记册有合法兴趣的人开放。

24.数据泄露的通知

  1. 所有个人资料泄露必须立即向本公司的资料保护主任报告。

  2. 如发生个人资料泄露,且该等泄露可能对资料当事人的权利和自由造成风险(例如,经济损失、违反保密、歧视、名誉损害或其他重大的社会或经济损害),资料保护主任必须确保信息专员办公室毫不迟延地,并在任何情况下,在获悉该事件后的72小时内,将该事件通知该办公室。

  3. 如果个人数据违反可能导致高风险(即风险高于25.2)部分在描述数据对象的权利和自由,数据保护官员必须确保所有受影响的数据对象直接违约,没有不当延误的消息。

  4. 数据泄露通知应包括以下信息:

  1. 有关资料科目的类别及数目;

  2. 有关的个人资料纪录的类别及数目;

  3. 公司的资料保障主任(或其他可获得更多资料的联络点)的姓名和联络详情;

  4. 违约可能造成的后果;

  5. 公司为解决违约而采取或拟采取的措施的详细信息,包括在适当情况下减轻其可能的不利影响的措施。

25.实施的政策

本政策自2018年5月起生效。本保单的任何部分均不具有追溯效力,因此仅适用于在本保单日期当日或之后发生的事件。

本政策已由下列人员批准和授权:

名称: 萨曼莎德弗雷尔
位置: 董事总经理
日期: 04/05/18
如果您需要更多信息或建议,请联系我们反应迅速、知识渊博的客户服务团队:

电子邮件我们