网站

隐私政策

1.介绍

本政策载列Adtech高分子工程有限公司(下称“本公司”)在《一般资料保护规例》(下称“该规例”)下的资料保护义务,以及客户、供应商、雇员及其他业务联系人(下称“资料当事人”)就其个人资料所享有的权利。

该监管将“个人数据”定义为与已识别或可识别的自然人有关的任何信息(数据主体);可识别的自然人是可以直接或间接地,特别是通过引用诸如名称,识别号码,位置数据,在线标识符或特定于物理,生理学的一个或多个因素的标识符来识别的人自然人的遗传,精神,经济,文化或社会形式。

此策略列出处理个人数据时要遵循的程序。本协议的员工,代理人,承包商或代表本公司工作的其他各方必须遵循本文所载的程序和原则。

该公司不仅致为法律信,还致力于法律的精神,并对所有个人数据的正确,合法和公平处理所有个人数据,尊重所有人,隐私和信任有关它的个人。

2.保障资料原则

该政策旨在确保遵守该规定。该监管列出了以下原则,其中任何方处理个人数据必须符合。所有个人数据必须是:

  1. 合法地,公平地处理与数据主体有关的透明方式;

  2. 为指定,明确和合法的目的收集,并没有以与这些目的不兼容的方式进一步处理;进一步处理公共利益中的归档目的,科学或历史研究目的或统计目的不应被视为与初始目的不相容;

  3. 适当的、相关的,并限于与处理该文件的目的有关的必要条件;

  4. 准确,在必要时保持最新;必须采取每一个合理的步骤,以确保取决于处理它们的目的,以确保不准确的个人数据被删除或纠正毫不拖延;

  5. 以准许辨识资料当事人身分的形式保存,其保存时间不得超过处理该等个人资料的目的所需要的时间;个人资料可能会储存较长时间,而该等个人资料只会被处理作存档用途,以顾及公众利益。科学或历史研究目的或统计目的,但须实施该规例所规定的适当技术和组织措施,以保障数据当事人的权利和自由;

  6. 以确保个人数据的适当安全性的方式处理,包括使用适当的技术或组织措施防止未经授权或非法处理和违反意外损失,破坏或损害的保护。

3.合法,公平,透明的数据处理

该规例旨在确保个人资料得到合法、公平及透明的处理,而不会对资料当事人的权利造成不利影响。该规例订明,如下列至少一项适用,处理个人资料即属合法:

  1. 数据主题已同意处理他或她的个人数据的一个或多个特定目的;

  2. 处理数据主体是缔约方的合同的处理是必要的,或者为了在进入合同之前接受数据主题的请求;

  3. 处理是必需的,以符合管制人所受的法律义务;

  4. 处理是必要的,以保护数据主体或另一个自然人的重要利益;

  5. 处理是在公共利益或行使官方机构的履行载体中的任务的履行所必需的;

  6. 除了要求保护个人数据的基本权利和数据主题的基本权利和自由之外,还需要由权利人或第三方追求的合法利益而有必要进行处理。一个孩子。

4.处理规定,明确和合法目的

  1. 该公司收集和处理本政策第21部分中规定的个人数据。这可以包括直接从数据对象接收的个人数据(例如,数据主体与我们通信时使用的联系人详细信息)和从第三方接收的数据。

  2. 本公司只为本政策第21部所列的特定目的(或规例明确准许的其他目的)处理个人资料。我们处理个人数据的用途将通知数据对象时,他们的个人数据被收集,收集直接从他们的地方,或者尽快收集后(不超过一个日历月)从第三方获得。

5.适当、相关和有限的数据处理

本公司只会为上述第4部所告知资料当事人的特定目的而收集及处理个人资料。

6.数据准确性和保持数据最新的数据

本公司应确保收集和处理的所有个人数据保持准确,最新。当它之后收集并定期收集数据时,应检查数据的准确性。在找到任何不准确或过时的数据的情况下,将酌情毫不拖延地进行所有合理步骤,酌情修改或擦除该数据。

7.及时处理

本公司保留个人资料的时间不得超过根据该资料最初收集和处理的目的所需要的时间。当不再需要这些数据时,将采取一切合理的步骤,毫不拖延地删除这些数据。

8.安全处理

本公司应确保收集和加工的所有个人数据保持安全并防止未经授权或非法处理和违反意外损失,破坏或损害。在本政策的第22和23部分提供应采取的数据保护和组织措施的进一步详情。

9.问责制

  1. 该公司的数据保护官是Samantha Deverell。

电话+44(0)1285 762000

电子邮件:samantha@www.nepesled.com.

  1. 本公司应保留所有个人数据收集,控股和加工的书面内部记录,应当包含以下信息:

  1. 公司的姓名和详情,其数据保护官以及任何适用的第三方数据控制器;

  2. 公司处理个人数据的目的;

  3. 本公司收集,持有和处理的个人数据类别的详细信息;和个人数据相关的数据类别;

  4. 任何第三方的详细信息(和类别)将获得本公司的个人数据;

  5. 向非欧洲经济区国家转移个人资料的详情,包括所有机制和安全保障措施;

  6. 本公司保留多长时间数据的详细信息;和

  7. 本公司采取所有技术和组织措施的详细说明,以确保个人数据的安全性。

10.隐私影响评估

该公司应根据规定何时何时何时何地进行隐私影响评估。隐私影响评估应由本公司的数据保护官监督,并应解决以下重要领域:

  1. 处理个人资料的目的,以及将对该等资料进行的处理操作;

  2. 公司追求的合法利益的详情;

  3. 评估关于其正在处理的目的的数据处理的必要性和比例;

  4. 评估个别资料当事人所面临的风险;和

  5. 最小化和处理风险的措施的详细信息,包括保障措施,数据安全和其他措施和机制,以确保保护个人数据,足以证明遵守规则。

11.资料当事人的权利

该监管规定了适用于数据主题的以下权利:

  1. 被告知的权利;

  2. 进入的权利;

  3. 纠正的权利;

  4. 擦除权(也称为“被遗忘的权利”);

  5. 限制处理的权利;

  6. 数据携带权;

  7. 反对的权利;

  8. 关于自动决策和分析的权利。

12.通知资料当事人

  1. 本公司应确保在收集个人数据时向每个数据主体提供以下信息:

    1. 本公司的详情包括但不限于萨曼莎Deverell,其数据保护官的身份;

    2. 收集个人数据的目的,并将被处理(如本政策第21部分详述)和法律基础证明该收集和处理;

    3. 在适用的情况下,公司均证明其收集和处理个人数据的合法利益;

    4. 如个人资料并非直接从资料当事人取得,则收集及处理的个人资料的类别;

    5. 个人数据将被转移到一个或多个第三方,那些缔约方的详细信息;

    6. 个人数据将被转移到位于欧洲经济区之外的第三方(“EEA”),该转移的细节,包括但不限于所在的保障(参见本政策的第24部分)关于此类第三国数据转移的进一步详情);

    7. 该公司将由公司持有的时间长度的详细信息(或者,在没有预定期限的情况下,将确定时间长度的细节);

    8. 有关资料当事人根据该规例享有的权利的详情;

    9. 数据主题有权在随时撤销公司同意的权利的详细信息;

    10. 资料当事人有权向资料专员公署(该规例下的“监管当局”)投诉的详情;

    11. 在适用的情况下,有必要收集和处理个人数据的任何法律或合同要求或义务的详细信息,以及未能提供的任何后果的细节;

    12. 将使用个人数据(包括但不限于分析)进行任何自动决策的详细信息,包括关于如何做出决策的信息,这些决定和任何后果的重要性。

  2. 上述第12.1部所载的资料须于下列适用时间提供给资料当事人:

    1. 在收集时直接从数据主体获得个人数据;

    2. 如果个人数据直接从数据主体获得(即另一方):

    1. 如该个人资料是用于与该资料当事人通讯,则在第一次通讯时;或

    2. 如果要向另一方披露个人数据,则在披露个人数据之前;或

    3. 在任何情况下,不得超过本公司取得该等个人资料的时间一个月。

13.数据主题访问

  1. 数据主题可以随时制作主题访问请求(“SAR”),以了解公司持有其关于它们的个人数据的更多信息。该公司通常需要在收据的一个月内响应SARS(这可以在复杂和/或众多请求的情况下长达两个月,在这种情况下,数据主体应被告知需要扩大)。

  2. 所有收到的受试者访问请求都必须转发给本公司的数据保护主管Samantha Deverell。

电话+44(0)1285 762000

电子邮件:samantha@www.nepesled.com.

  1. 本公司不收取处理一般SARs的费用。本公司保留对已提供给资料当事人的额外资料副本,以及对明显没有根据或过多的要求(特别是重复的要求)收取合理费用的权利。

14.个人数据的纠正

  1. 如资料当事人告知本公司所持有的个人资料不准确或不完整,并要求改正,有关的个人资料须予以改正,而被告知该等改正的资料当事人,在收到资料当事人的通知后一个月内(如提出复杂的要求,可将通知延长至多两个月,而在这种情况下,资料当事人须被告知延长通知的需要)。

  2. 如果对第三方披露任何受影响的个人数据,则应告知这些缔约方的任何纠正该个人数据。

15.删除个人资料

  1. 在下列情况下,资料当事人可要求本公司删除其持有的有关其个人资料:

    1. 本公司不再有必要持有该等个人资料是为最初收集或处理该等个人资料的目的而持有的;

    2. 资料当事人希望撤回其对本公司持有和处理其个人资料的同意;

    3. 数据主题对公司的对象持有和处理他们的个人数据(并且没有允许公司继续这样做的覆盖合理利益)(参见本政策的第18部分,了解有关数据受试者对象的进一步详情);

    4. 个人数据已非法处理;

    5. 个人数据需要删除,以便公司遵守特定的法律义务。

  2. Unless the Company has reasonable grounds to refuse to erase personal data, all requests for erasure shall be complied with, and the data subject informed of the erasure, within one month of receipt of the data subject’s request (this can be extended by up to two months in the case of complex requests, and in such cases the data subject shall be informed of the need for the extension).

  3. 如果涉及第三方透露应对数据主体请求的任何个人数据,这些缔约方应予以通知擦除(除非不可能或需要不成比例的努力)。

16.限制个人数据处理

  1. 资料当事人可要求本公司停止处理其所持有的有关他们的个人资料。如资料当事人提出该等要求,本公司应只保留与该资料当事人有关的、为确保其个人资料不会被进一步处理而必需的个人资料。

  2. 如果对第三方披露任何受影响的个人数据,则应通知这些缔约方对处理它的适用限制(除非它是不可能的或需要不成比例的努力)。

17.反对处理个人资料

  1. 数据受试者有权基于合法利益(包括分析),直接营销(包括分析)以及科学和/或历史研究和统计目的的处理来处理其个人数据的公司处理其个人数据。

  2. 如果数据主体要求公司基于其合法利益处理其个人数据,则公司应立即停止此类处理,除非能够证明公司进行此类处理的合法理由凌驾于数据主体的利益、权利和自由之上;或者处理是进行合法索赔所必需的。

  3. 如果数据主体对公司对其个人数据进行直接营销目的,该公司应立即停止此类加工。

  4. 如果数据主体对公司处理其个人数据的科学和/或历史研究和统计目的,则数据主题必须在规定下,“展示与他或她的特定情况有关的理由”。如果对公共利益的原因进行的任务表现,该公司不需要遵守该研究。

18.自动决策

  1. 如果该公司使用个人数据以自动决策的目的,这些决定对数据主体具有法律(或同样重大影响),则数据受试者有权挑战规定下的这些决定,要求人为干预,表达自己的观点,并获得了对公司决定的解释。

  2. 第19.1部分中描述的权利不适用于以下情况:

    1. 该决定是进入或履行公司与数据主体的合同的必要条件;

    2. 该决定是法律授权的;或

    3. 数据主题已授予其明确同意。

19.分析

如果公司将个人数据用于分析目的,则应适用以下规定:

  1. 将提供解释分析的清晰信息,包括其重要性和可能的​​后果;

  2. 将使用适当的数学或统计程序;

  3. 应采取必要的技术和组织措施,以减少错误风险并使错误易于纠正;和

  4. 为分析目的而处理的所有个人资料均须保密,以防止分析所产生的歧视性影响(有关资料保安的详情,请参阅本政策第22及23部分)。

20.个人资料

本公司可能会收集、持有及处理下列个人资料:

  1. 业务联系人,电话号码,传真号码,地址和电子邮件地址。为了发出报价,样本的目的举行数据;

  2. 业务联系我们电子邮件地址。为了营销我们的产品,服务和通讯,处理数据;

  3. 通过我们的网站通过我们的网站发送电子邮件地址联系我们申请表。处理数据以分析我们网站的表现和我们自己的产品和服务营销;

  4. 实时聊天IP信息,如果提供的话,电子邮件地址。数据用于发出产品的引用,样本,技术咨询和营销。

21.数据保护措施

本公司应确保其所有员工,代理人,承包商或其他缔约方在处理个人数据时符合以下内容:

  1. 必须加密包含个人数据的所有电子邮件。

  2. 如果要删除任何个人数据或以其他方式删除任何原因(包括副本已经进行并且不再需要副本),则应安全删除和处置。应该切碎硬拷贝,并且应该安全地删除电子副本并删除删除

  3. 可以仅通过安全网络传输个人数据;在任何情况下都不允许在无担保网络上传输;

  4. 如果存在合理切实可行的有线替代方案,则可能不会通过无线网络传输个人数据;

  5. 电子邮件正文中包含的个人数据,无论是发送还是已发送,都应从该电子邮件的正文中复制并安全地存储。电子邮件本身应该被删除。也应该删除与之关联的所有临时文件;

  6. 如果要通过传真传输发送个人数据,则应在传输之前通知收件人,并且应该由传真机等待接收数据;

  7. 如果要以硬拷贝形式传输个人数据,则应将其直接传递给收件人或使用皇家邮件录制的交付发送;

  8. 没有个人数据可以非正式地共享,如果员工,代理人,子承包商或代表公司工作的其他方要求访问他们尚未获得的任何个人数据,则应正式请求此类访问:

    萨曼莎德弗雷尔,董事总经理
    电话:+44 (0)1285 762000
    电子邮件:samantha@www.nepesled.com.

  9. 所有个人数据的硬障,以及存储在物理,可移动介质上的任何电子副本都应牢固地存放在锁定的盒子,抽屉,机柜或类似;

  10. 未经本公司授权,任何个人资料不得转让给任何雇员、代理人、承包商或其他各方,无论这些方是否代表本公司工作

    萨曼莎德弗雷尔,董事总经理
    电话:+44 (0)1285 762000
    电子邮件:samantha@www.nepesled.com.

  11. 个人资料必须随时小心处理,不得让未经授权的雇员、代理人、分判商或其他人士无人看管或随时看到;

  12. 如果在计算机屏幕上正在查看个人数据,并且有问题的计算机将无人看管任何时间段,则用户必须在离开之前锁定计算机和屏幕;

  13. 不应存放在任何移动设备上的个人数据(包括但不限于笔记本电脑,平板电脑和智能手机),无论这些设备是否属于公司或其他方案,否则未经正式书面批准

    萨曼莎德弗雷尔,董事总经理
    电话:+44 (0)1285 762000
    电子邮件:samantha@www.nepesled.com.

    而且,如果在此次批准的情况下,严格按照当时给出批准时描述的所有指示和限制,并且不再是绝对必要的。

  14. 个人数据不应转移到任何个人属于雇员的设备,个人数据只能转移到代理商、承包商、或代表公司工作的其他各方,如果相关方已同意完全遵守本政策和规章的文字和精神(可能包括向公司证明已采取了所有适当的技术和组织措施);

  15. 所有以电子存储的个人数据应每天备份,备份存储在现场和异地。所有备份都应加密。

  16. 所有电子副本的个人数据应使用公司服务器上的密码和安全文件夹安全地存储。

  17. 用于保护个人数据的所有密码应定期更改,不应使用可以轻松猜到或以其他方式损害的单词或短语。所有密码必须包含大写和小写字母,数字和符号的组合。公司使用的所有软件旨在要求此类密码;

  18. 在任何情况下,无论资历资历或部门如何,任何员工,代理人如果忘记了密码,则必须使用适用的方法重置它。IT工作人员无法访问密码;

  19. 如果公司持有的个人数据用于营销目的,则应承担Caroline Mills(管理员)和Samantha Deverell(常务董事)的责任,以确保没有数据受试者将其详细介绍给任何营销偏好数据库,包括但不是仅限于电话偏好服务,邮件首选项服务,电子邮件首选项服务以及传真首选项服务。这些细节应至少每12个月至少检查一次。

22.组织措施

本公司应确保采取以下措施,遵守个人数据的收集,持有和处理:

  1. 所有员工,代理人,承包商或代表本公司工作的其他各方应全面了解其个人责任和本公司在该政策下的责任,并应提供本政策的副本;

  2. 只有员工、代理商、分包商或代表公司工作的其他各方需要访问和使用个人数据以正确执行其分配的职责时,才可以访问公司持有的个人数据;

  3. 所有代表公司处理个人资料的员工、代理人、承包商或其他方将接受适当的培训;

  4. 所有员工,代理人,承包商或代表处理个人数据的其他缔约方将得到适当监督的;

  5. 定期评估和审查收集、保存和处理个人资料的方法;

  6. 这些雇员,代理人,承包商或代表公司处理个人数据工作的其他各方的表现应经常进行评估和审查;

  7. 所有员工,代理人,承包商或代表本公司处理个人数据的其他各方将必将根据法规和本政策的原则进行契约;

  8. 所有代理商、承包商或其他各方代表公司工作处理个人数据必须确保任何和所有的员工参与的处理个人数据是相同的条件与相关公司的员工产生的政策和规定;

  9. 如果任何代理人,承包商或其他缔约方代表处理个人数据的义务在这一政策下,缔约方应赔偿并持有可能出现的任何费用,责任,损害,损害,索赔或诉讼程序赔偿和持有无害的公司这个失败。

23.向欧洲经济区以外的国家传送个人资料

  1. 本公司可不时向欧洲经济区以外的国家转移(“转移”包括远程提供)个人数据。

  2. 只有其中一个或多个以下内容所适用的情况,才能将个人数据转移到EEA之外的国家:

  1. 转让是该国,领土,或一个或多个特定部门(或国际组织),欧洲委员会已确定确保为个人数据提供足够的保护水平;

  2. 转让是一个国家(或国际组织),该公司以公共机构或机构之间的法律约束力协议的形式提供适当的保障;绑定公司规则;欧盟委员会通过的标准数据保护条款;遵守由监督机构批准的批准的行为守则(例如,信息专员办公室);经批准的认证机制下的认证(如在监管中规定);合同条款同意并由主管监管机构授权;或在主管监督机构授权的公共当局或机构之间插入行政安排的规定;

  3. 转移是通过相关数据主题的知情同意;

  4. 转让是在数据主体和公司之间的合同(或根据数据主题的请求所采取的预合同步骤)所必需的;

  5. 转移对于重要的公共利益原因是必要的;

  6. 为行使法定债权所必需的;

  7. 若数据主体在身体上或法律上无法给予同意,则为保护数据主体或其他个人的重大利益而必须进行的转移;或

  8. 转让是从英国或欧盟法律下的登记册,旨在向公众提供信息,并一般或其他能够向那些能够表现出访问登记册的合法兴趣的人开放。

24.数据泄露通知

  1. 所有个人数据泄露必须立即报告给公司的数据保护主任。

  2. If a personal data breach occurs and that breach is likely to result in a risk to the rights and freedoms of data subjects (e.g. financial loss, breach of confidentiality, discrimination, reputational damage, or other significant social or economic damage), the data protection officer must ensure that the Information Commissioner’s Office is informed of the breach without delay, and in any event, within 72 hours after having become aware of it.

  3. 如果个人数据泄露可能导致高风险(即,在第25.2部分下描述的风险较高)到数据主体的权利和自由,则数据保护官必须确保所有受影响的数据主体直接通知违约,没有过度延迟。

  4. 数据泄露通知应包括以下信息:

  1. 有关资料当事人的类别及大致数目;

  2. 有关的个人资料纪录的类别及大致数目;

  3. 公司数据保护主管的姓名和联系方式(或其他可以获取更多信息的联系方式);

  4. 违约的可能后果;

  5. 公司为解决违约而采取或拟采取的措施的细节,包括在适当情况下减轻违约可能产生的不利影响的措施。

25.实施政策

该政策截至2018年5月,该政策是有效的。本政策的任何部分都没有追溯效应,因此仅适用于此日期或之后发生的事项。

该政策已批准和授权:

名称: 萨曼莎德弗雷尔
位置: 董事总经理
日期: 04/05/18
如果您需要更多信息或建议,请联系我们的响应和知识渊博的客户服务团队:

电子邮件给我们