网站

隐私政策

1.介绍

本策略列出了Adtech Polymentical工程有限公司(“公司”)关于客户,供应商,员工和其他业务联系人(“数据主体”)在普通数据保护下的数据保护和其他业务联系人(“数据主体”)的义务监管(“监管”)。

该监管将“个人数据”定义为与已识别或可识别的自然人有关的任何信息(数据主体);可识别的自然人是可以直接或间接地,特别是通过引用诸如名称,识别号码,位置数据,在线标识符或特定于物理,生理学的一个或多个因素的标识符来识别的人自然人的遗传,精神,经济,文化或社会形式。

此策略列出处理个人数据时要遵循的程序。本协议的员工,代理人,承包商或代表本公司工作的其他各方必须遵循本文所载的程序和原则。

该公司不仅致为法律信,还致力于法律的精神,并对所有个人数据的正确,合法和公平处理所有个人数据,尊重所有人,隐私和信任有关它的个人。

2.数据保护原则

该政策旨在确保遵守该规定。该监管列出了以下原则,其中任何方处理个人数据必须符合。所有个人数据必须是:

  1. 合法地,公平地处理与数据主体有关的透明方式;

  2. 为指定,明确和合法的目的收集,并没有以与这些目的不兼容的方式进一步处理;进一步处理公共利益中的归档目的,科学或历史研究目的或统计目的不应被视为与初始目的不相容;

  3. 充足,相关,有限,与其处理的目的有关,有关,有必要;

  4. 准确,在必要时保持最新;必须采取每一个合理的步骤,以确保取决于处理它们的目的,以确保不准确的个人数据被删除或纠正毫不拖延;

  5. 保存在一种形式,该形式允许识别数据受试者,不再需要处理个人数据的目的所必需的;个人数据可以存储更长的时间内,只要个人数据将由公共利益中的归档目的,科学或历史研究目的或统计目的来处理,但才能执行规定所需的适当技术和组织措施,以便保护数据主题的权利和自由;

  6. 以确保个人数据的适当安全性的方式处理,包括使用适当的技术或组织措施防止未经授权或非法处理和违反意外损失,破坏或损害的保护。

3.合法,公平,透明的数据处理

监管旨在确保个人数据是合法的,公平,透明地处理的,而不会对数据主体的权利产生不利影响。规定,如果以下至少一项适用:

  1. 数据主题已同意处理他或她的个人数据的一个或多个特定目的;

  2. 处理数据主体是缔约方的合同的处理是必要的,或者为了在进入合同之前接受数据主题的请求;

  3. 遵守控制员所属的法律义务是必要的;

  4. 为保障资料当事人或另一自然人的重大利益而必须进行处理;

  5. 处理是在公共利益或行使官方机构的履行载体中的任务的履行所必需的;

  6. 除了要求保护个人数据的基本权利和数据主题的基本权利和自由之外,还需要由权利人或第三方追求的合法利益而有必要进行处理。一个孩子。

4.处理规定,明确和合法目的

  1. 该公司收集和处理本政策第21部分中规定的个人数据。这可以包括直接从数据对象接收的个人数据(例如,数据主体与我们通信时使用的联系人详细信息)和从第三方接收的数据。

  2. 该公司仅处理本策略第21部分中规定的具体目的的个人数据(或监管明确允许的其他目的)。我们处理个人数据的目的将在收集其个人数据时向数据主题通知,其中它是直接从它们收集的,或者在收集后尽快收集(不超过一个日历月)从第三方获得。

5.充足,相关和有限的数据处理

该公司只会收集和处理个人数据,并在上文第4部分下的数据受试者告知具体目的的程度。

6.数据准确性和保持数据最新的数据

本公司应确保所收集及处理的个人资料均准确及最新。在收集数据时,应定期检查数据的准确性。如发现任何不准确或过时的数据,将毫不迟延地采取一切合理步骤酌情修改或删除该数据。

7.及时处理

鉴于最初收集和处理的目的,本公司不得将个人数据不得超过必要。当不再需要数据时,将采取所有合理的步骤擦除它而不会延迟。

8.安全处理

本公司应确保收集和加工的所有个人数据保持安全并防止未经授权或非法处理和违反意外损失,破坏或损害。在本政策的第22和23部分提供应采取的数据保护和组织措施的进一步详情。

9.问责制

  1. 该公司的数据保护官是Samantha Deverell。

电话+44(0)1285 762000

电子邮件:samantha@www.nepesled.com.

  1. 本公司应保留所有个人数据收集,控股和加工的书面内部记录,应当包含以下信息:

  1. 公司的姓名和详情,其数据保护官以及任何适用的第三方数据控制器;

  2. 公司处理个人数据的目的;

  3. 本公司收集、持有及处理的个人资料类别的详情;以及该等个人资料所关乎的资料类别;

  4. 任何第三方的详细信息(和类别)将获得本公司的个人数据;

  5. 任何个人数据转移到非EEA国家的详细信息,包括所有机制和安全保障;

  6. 本公司保留多长时间数据的详细信息;和

  7. 本公司采取所有技术和组织措施的详细说明,以确保个人数据的安全性。

10.隐私影响评估

本公司应根据条例的要求进行隐私影响评估。隐私影响评估应由公司数据保护主管监督,并应涉及以下重要领域:

  1. 正在处理个人数据的目的以及要在该数据上执行的处理操作;

  2. 公司追求的合法利益的详细信息;

  3. 评估关于其正在处理的目的的数据处理的必要性和比例;

  4. 评估为单个数据科目构成的风险;和

  5. 最小化和处理风险的措施的详细信息,包括保障措施,数据安全和其他措施和机制,以确保保护个人数据,足以证明遵守规则。

11.数据科目的权利

该监管规定了适用于数据主题的以下权利:

  1. 被告知的权利;

  2. 访问权;

  3. 纠正权;

  4. 擦除权(也称为“被遗忘的权利”);

  5. 限制处理的权利;

  6. 数据携带权;

  7. 对象的权利;

  8. 关于自动决策和分析的权利。

12.让数据受试者了解情况

  1. 本公司应确保在收集个人资料时,向每个资料当事人提供下列资料:

    1. 本公司的详情包括但不限于萨曼莎Deverell,其数据保护官的身份;

    2. 收集个人数据的目的,并将被处理(如本政策第21部分详述)和法律基础证明该收集和处理;

    3. 在适用的情况下,公司均证明其收集和处理个人数据的合法利益;

    4. 在没有直接从数据主题获得个人数据的情况下,收集和处理的个人数据类别;

    5. 如个人资料将转移予一个或多个第三者,则该等第三者的详情;

    6. 个人数据将被转移到位于欧洲经济区之外的第三方(“EEA”),该转移的细节,包括但不限于所在的保障(参见本政策的第24部分)关于此类第三国数据转移的进一步详情);

    7. 该公司将由公司持有的时间长度的详细信息(或者,在没有预定期限的情况下,将确定时间长度的细节);

    8. 规定下的数据主体权利的详情;

    9. 数据主题有权在随时撤销公司同意的权利的详细信息;

    10. 数据主题向信息专员办公室投诉的权利(“监管”下的“监督机构”)的详细信息;

    11. 在适用的情况下,有必要收集和处理个人数据的任何法律或合同要求或义务的详细信息,以及未能提供的任何后果的细节;

    12. 将使用个人数据(包括但不限于分析)进行任何自动决策的详细信息,包括关于如何做出决策的信息,这些决定和任何后果的重要性。

  2. 在第12.1部分中的上面规定的信息应在以下适用时间提供给数据主题:

    1. 在收集时直接从数据主体获得个人数据;

    2. 如果个人数据直接从数据主体获得(即另一方):

    1. 如果使用个人数据用于与数据主体进行通信,则在第一次通信时;或者

    2. 如果要向另一方披露个人数据,则在披露个人数据之前;或者

    3. 在任何情况下,公司获得个人数据的时间不超过一个月。

13.数据对象访问

  1. 数据主题可以随时制作主题访问请求(“SAR”),以了解公司持有其关于它们的个人数据的更多信息。该公司通常需要在收据的一个月内响应SARS(这可以在复杂和/或众多请求的情况下长达两个月,在这种情况下,数据主体应被告知需要扩大)。

  2. 收到的所有主题访问请求必须转发给该公司的数据保护官员的Samantha Deverell。

电话+44(0)1285 762000

电子邮件:samantha@www.nepesled.com.

  1. 该公司不收取普通SARS的费用。本公司保留收取合理费用的权利,以便已提供给数据主体的额外信息副本,以及表现出毫无根据或过度的要求,特别是在这些请求是重复的情况下。

14.个人数据的纠正

  1. 如果数据主题通知公司本公司持有的个人数据不准确或不完整,请要求纠正,所讨论的个人数据应予以纠正,并在收到数据的一个月内通知该整改的数据主题subject’s notice (this can be extended by up to two months in the case of complex requests, and in such cases the data subject shall be informed of the need for the extension).

  2. 如果对第三方披露任何受影响的个人数据,则应告知这些缔约方的任何纠正该个人数据。

15.擦除个人数据

  1. 数据主题可以要求公司在以下情况下删除其持有的个人数据:

    1. 本公司不再需要遵守该个人数据,以涉及最初收集或加工的目的;

    2. 数据主体希望撤回公司同意公司持有和处理其个人数据;

    3. 数据主题对公司的对象持有和处理他们的个人数据(并且没有允许公司继续这样做的覆盖合理利益)(参见本政策的第18部分,了解有关数据受试者对象的进一步详情);

    4. 个人资料已被非法处理;

    5. 公司需要删除个人资料以履行特定的法律义务。

  2. 除非公司有合理理由拒绝删除个人资料,擦除应当遵守所有请求,和数据擦除的消息,在一个月内收到数据的请求(这可以延长两个月的情况复杂的请求,在这种情况下,资料当事人须被告知延期的需要)。

  3. 如果涉及第三方透露应对数据主体请求的任何个人数据,这些缔约方应予以通知擦除(除非不可能或需要不成比例的努力)。

16.处理个人资料的限制

  1. 数据主题可以要求公司停止处理其持有的个人数据。如果数据主体提出此类请求,该公司将仅保留与确保未进一步处理其个人数据所必需的数据主体的个人数据的数量。

  2. 如任何受影响的个人资料已披露给第三方,则应告知该等人士有关处理该等资料的适用限制(除非不可能或需要付出不成比例的努力才能这样做)。

17.对个人数据处理的反对意见

  1. 数据主体有权反对公司基于合法利益(包括分析)、直接营销(包括分析)以及为科学和/或历史研究和统计目的处理其个人数据。

  2. 如果数据主体对公司基于其合法利益处理其个人数据的物品,本公司应立即停止此类处理,除非可以证明该公司的合法理由覆盖数据主体的利益,权利和自由;或者加工是法律索赔的必要条件。

  3. 如果数据主体对公司对其个人数据进行直接营销目的,该公司应立即停止此类加工。

  4. 如果数据当事人要求本公司为科学和/或历史研究及统计目的处理其个人数据,则该数据当事人必须根据规例“证明与其特定情况有关的理由”。如果研究是出于公众利益的原因而为执行任务所必需的,则公司无需遵守。

18.自动决策

  1. 如果该公司使用个人数据以自动决策的目的,这些决定对数据主体具有法律(或同样重大影响),则数据受试者有权挑战规定下的这些决定,要求人为干预,表达自己的观点,并获得了对公司决定的解释。

  2. 第19.1部分中描述的权利不适用于以下情况:

    1. 该决定对于公司与数据主体之间签订或履行合同是必要的;

    2. 该决定由法律授权;或者

    3. 数据主题已授予其明确同意。

19.剖析

如果公司使用个人数据以进行分析目的,则应适用以下内容:

  1. 将提供解释分析的清晰信息,包括其重要性和可能的​​后果;

  2. 将使用适当的数学或统计程序;

  3. 必须实施必要的技术和组织措施,以最大限度地减少错误的风险,并能够实现要轻松纠正此类错误;和

  4. 应确保处理分析目的的所有个人数据,以防止出于分析中引起的歧视性效果(有关数据安全的更多详细信息,请参阅本策略的第22和23部分)。

20.个人数据

可以由公司收集,举行以下个人数据:

  1. 业务联系人,电话号码,传真号码,地址和电子邮件地址。为了发出报价,样本的目的举行数据;

  2. 业务联系我们电子邮件地址。为了营销我们的产品,服务和通讯,处理数据;

  3. 通过我们的网站通过我们的网站发送电子邮件地址联系我们申请表。处理数据以分析我们网站的表现和我们自己的产品和服务营销;

  4. 实时聊天IP信息,如果提供的话,电子邮件地址。数据用于发出产品的引用,样本,技术咨询和营销。

21.数据保护措施

本公司应确保其所有员工,代理人,承包商或其他缔约方在处理个人数据时符合以下内容:

  1. 必须加密包含个人数据的所有电子邮件。

  2. 如果要删除任何个人数据或以其他方式删除任何原因(包括副本已经进行并且不再需要副本),则应安全删除和处置。应该切碎硬拷贝,并且应该安全地删除电子副本并删除删除

  3. 个人资料只能透过安全网络传送;在任何情况下都不允许在不安全的网络上传送;

  4. 如果存在合理切实可行的有线替代方案,则可能不会通过无线网络传输个人数据;

  5. 电子邮件正文中包含的个人数据,无论是发送还是已发送,都应从该电子邮件的正文中复制并安全地存储。电子邮件本身应该被删除。也应该删除与之关联的所有临时文件;

  6. 如以传真方式传送个人资料,收件人须在传送前获通知,并须在传真机旁等候接收资料;

  7. 如果要以硬拷贝形式传输个人数据,则应将其直接传递给收件人或使用皇家邮件录制的交付发送;

  8. 没有个人数据可以非正式地共享,如果员工,代理人,子承包商或代表公司工作的其他方要求访问他们尚未获得的任何个人数据,则应正式请求此类访问:

    萨曼莎德弗雷尔,董事总经理
    电话:+44(0)1285 762000
    电子邮件:samantha@www.nepesled.com.

  9. 所有个人资料的硬复本,以及任何储存在可移动的物理介质上的电子复本,应稳妥地储存在上锁的盒子、抽屉、柜子或类似的地方;

  10. 无论是代表本公司是否正在授权,这些缔约方都不能转移到任何雇员,代理人,承包商或其他缔约方的个人数据

    萨曼莎德弗雷尔,董事总经理
    电话:+44(0)1285 762000
    电子邮件:samantha@www.nepesled.com.

  11. 个人数据必须随时随地处理,不应无人看管或观察到未经授权的员工,代理人,子承包商或其他各方。

  12. 如果在计算机屏幕上正在查看个人数据,并且有问题的计算机将无人看管任何时间段,则用户必须在离开之前锁定计算机和屏幕;

  13. 不应存放在任何移动设备上的个人数据(包括但不限于笔记本电脑,平板电脑和智能手机),无论这些设备是否属于公司或其他方案,否则未经正式书面批准

    萨曼莎德弗雷尔,董事总经理
    电话:+44(0)1285 762000
    电子邮件:samantha@www.nepesled.com.

    而且,如果在此次批准的情况下,严格按照当时给出批准时描述的所有指示和限制,并且不再是绝对必要的。

  14. 没有个人数据应转移到个人属于员工的任何设备,个人数据只能转移到属于代理人,承包商或代表本公司的其他方的设备转移到课方已同意完全遵守的公司本政策的信和精神和法规(可能包括向公司展示所有合适的技术和组织措施);

  15. 所有电子存储的个人数据应每天进行备份,备份存储在现场和场外。所有备份都应该加密。

  16. 所有电子副本的个人数据应使用公司服务器上的密码和安全文件夹安全地存储。

  17. 用于保护个人数据的所有密码应定期更改,不应使用可以轻松猜到或以其他方式损害的单词或短语。所有密码必须包含大写和小写字母,数字和符号的组合。公司使用的所有软件旨在要求此类密码;

  18. 在任何情况下,无论资历资历或部门如何,任何员工,代理人,承包商或其他员工之间的任何雇员,代理人,承包商或其他缔约方之间的任何密码都不重要。如果忘记了密码,则必须使用适用的方法重置它。IT工作人员无法访问密码;

  19. 如果公司持有的个人数据用于营销目的,则应承担Caroline Mills(管理员)和Samantha Deverell(常务董事)的责任,以确保没有数据受试者将其详细介绍给任何营销偏好数据库,包括但不是仅限于电话偏好服务,邮件首选项服务,电子邮件首选项服务以及传真首选项服务。这些细节应至少每12个月至少检查一次。

22.组织措施

本公司应确保在收集、持有和处理个人资料方面采取以下措施:

  1. 所有员工,代理人,承包商或代表本公司工作的其他各方应全面了解其个人责任和本公司在该政策下的责任,并应提供本政策的副本;

  2. 只有员工,代理人,子承包商或代表需要访问和使用的公司工作,以便正确使用个人资料,以便正确执行其指定的职责,以获得本公司持有的个人数据;

  3. 所有员工,代理人,承包商或其他代表处理个人数据工作的各方将受到适当的培训;

  4. 所有员工,代理人,承包商或代表处理个人数据的其他缔约方将得到适当监督的;

  5. 应定期评估和审查收集,举行和处理个人数据的方法;

  6. 应定期评估和审查代表公司处理个人数据的员工、代理人、承包商或其他方的表现;

  7. 所有代表公司处理个人资料的员工、代理人、承包商或其他方均有义务按照本条例和本政策的原则按合同行事;

  8. 所有代理人,承包商或代表本公司处理个人数据的其他方必须确保涉及个人数据处理的任何和所有员工都持有与公司所产生的相关雇员相同的条件本政策和监管;

  9. 如果任何代理人,承包商或其他缔约方代表处理个人数据的义务在这一政策下,缔约方应赔偿并持有可能出现的任何费用,责任,损害,损害,索赔或诉讼程序赔偿和持有无害的公司这个失败。

23.将个人数据转移到EEA之外的一个国家

  1. 该公司可能不时转移(“转移”包括远程提供的个人数据到EEA之外的国家。

  2. 只有其中一个或多个以下内容所适用的情况,才能将个人数据转移到EEA之外的国家:

  1. 转让是该国,领土,或一个或多个特定部门(或国际组织),欧洲委员会已确定确保为个人数据提供足够的保护水平;

  2. 转让是一个国家(或国际组织),该公司以公共机构或机构之间的法律约束力协议的形式提供适当的保障;绑定公司规则;欧盟委员会通过的标准数据保护条款;遵守由监督机构批准的批准的行为守则(例如,信息专员办公室);经批准的认证机制下的认证(如在监管中规定);合同条款同意并由主管监管机构授权;或在主管监督机构授权的公共当局或机构之间插入行政安排的规定;

  3. 转让是在相关资料当事人知情同意下进行的;

  4. 转让是在数据主体和公司之间的合同(或根据数据主题的请求所采取的预合同步骤)所必需的;

  5. 转移对于重要的公共利益原因是必要的;

  6. 转移是法律索赔的必要条件;

  7. 转移是必要的,以保护数据主体或其他数据受试者在物理或合法无法达成同意的其他人的重要利益;或者

  8. 转让是从英国或欧盟法律下的登记册,旨在向公众提供信息,并一般或其他能够向那些能够表现出访问登记册的合法兴趣的人开放。

24.数据泄露通知

  1. 必须立即向公司的数据保护官报告所有个人数据泄露。

  2. 如发生个人资料违反,而该等违反可能对资料当事人的权利及自由造成风险(例如经济损失、违反保密、歧视、名誉损害或其他重大的社会或经济损害),数据保护官员必须确保信息专员办公室立即被告知该违约行为,并且在任何情况下,在知晓该违约行为后的72小时内。

  3. 如果个人数据泄露可能导致高风险(即,在第25.2部分下描述的风险较高)到数据主体的权利和自由,则数据保护官必须确保所有受影响的数据主体直接通知违约,没有过度延迟。

  4. 数据泄露通知应包括以下信息:

  1. 有关数据科目的类别和近似数量;

  2. 有关个人数据记录的类别和近似数量;

  3. 公司的数据保护官(或可以获得更多信息的其他联系人)的姓名和联系方式;

  4. 违约的可能后果;

  5. 本公司在适当情况下,本公司应当解决违规行为的措施或提出要采取的措施的详细信息,包括措施,以减轻其可能的不利影响。

25.实施的政策

该政策截至2018年5月,该政策是有效的。本政策的任何部分都没有追溯效应,因此仅适用于此日期或之后发生的事项。

该政策已批准和授权:

名称: Samantha Deverell.
位置: 常务董事
日期: 04/05/18
如果您需要更多信息或建议,请联系我们的客户服务团队:

电子邮件我们