☎️ 020 3143 0168
Empower Yield(英国)有限——(简称'公司')
一、简介
公司需要收集和使用有关个人的某些信息。
这可能包括客户、供应商、业务联系人、员工和与组织有关系或可能需要联系的其他人。
本政策描述了必须如何收集、处理和存储这些个人数据,以满足公司的数据保护标准——并遵守法律。
2。为什么这个政策存在
该数据保护政策确保公司;
-
遵守数据保护法并遵循良好做法
-
保护所有个人数据的权利 公开其如何根据个人权利存储和处理个人数据
-
保护自己免受数据泄露的风险
3.数据保护法
通用数据保护行动条例描述了如何奥尔加国家化 —
必须收集,处理和存储个人信息。无论数据是以电子方式还是以其他方式存储,这些规则都适用。
为遵守法律,个人信息必须;
-
过程以合法、公平和透明的方式与个人进行交易;
-
为特定、明确和合法的目的而收集,并且未以与这些目的不相符的方式进一步处理;为公共利益、科学或历史研究目的或统计目的而进行的存档目的的进一步处理不应被视为与初始目的不相符;
-
足够的食用、相关且仅限于与处理它们的目的相关的必要内容;
-
准确,并在必要时保持最新;必须采取一切合理步骤,确保根据处理目的不准确的个人数据立即被删除或更正;
-
以允许识别数据主体的形式保存不超过处理个人数据的目的所需的时间;
-
p以确保个人数据适当安全的方式进行处理,包括使用适当的技术或组织措施防止未经授权或非法处理以及意外丢失、破坏或损坏。
-
保持记录中:
我们处理活动的内部记录中必须详细说明一系列信息。这些领域包括;
-
组织的名称和详细信息
-
如果适用,包括其他数据控制者、组织代表和数据保护官的详细信息
-
处理数据的目的
-
个人类别和个人数据类别的描述
-
个人数据接收者的类别
-
向第三方或国外传输数据的详细信息,包括安全机制的详细信息
保留时间表
-
技术和组织安全措施
-
公司确保保存这些活动的记录并进行相应更新。根据金融行为监管局的记录保存规则,个人数据将保存 6 年。之后,个人数据将被收回到无法识别的程度,仅用于统计目的
4. 合法依据用于处理数据
根据 GDPR,公司必须有有效的合法依据来处理个人数据,这应该记录在案。大多数合法依据要求处理是“必要的”。
GDPR 第 6 条规定了处理的合法依据。每当公司处理个人数据时,至少其中一项必须适用:
根据 GDPR,处理是合法的:
(a) 同意:个人已明确同意您为特定目的处理其个人数据。
(b) 合同:处理是您与个人签订的合同所必需的,或者因为他们要求您在签订合同之前采取特定步骤。
(c) 法律义务:处理是您遵守法律所必需的(不包括合同义务)。
(d) 切身利益:处理对于保护某人的生命是必要的。
(e) 公共任务:处理对于您执行公共利益任务或您的官方职能是必要的,并且该任务或职能具有明确的法律依据。
(f) 合法利益:为了您的合法利益或第三方的合法利益,处理是必要的,除非有充分的理由保护个人的个人数据凌驾于这些合法利益之上。
公司已选择此基础来处理数据,因为个人要求我们在签订合同之前获取数据(例如提供财务报价)。
公司可能会收集特殊类别的数据,例如,有关个人的信息:
-
种族;
-
民族血统;
-
政治;
-
宗教;
-
工会会员资格;
-
遗传学;
-
生物识别技术(用于身份识别目的);
-
健康;
您需要确定一般处理的合法依据和处理此类数据的附加条件。
如果您正在处理刑事定罪数据或有关犯罪的数据,您需要确定一般处理的合法依据和处理此类数据的附加条件。
职责
该公司充当数据控制器和数据处理器。所有员工都有责任确保持续满足最高数据标准和最佳实践。
尽管由于公司不在范围内而未任命数据保护官 (DPO),但公司的董事和所有者有责任遵守 GDPR,并将承担任命给他们的任务,就好像他们是一个 DPO。
5.数据保护影响评估 (DPIA)
公司有一般义务实施技术和组织措施,以证明数据保护已整合到我们的处理活动中。每次公司考虑使用新技术实施时,都会进行数据保护影响评估
DPIA 至少适用;
-
对处理操作和目的的描述,包括(如适用)控制者追求的合法利益;
-
评估与目的相关的处理的必要性和相称性;
-
对个人的风险评估;
-
为解决风险而采取的措施,包括安全措施,并证明您遵守规定。
6. 个人权利
个人现在在 GDPR 下拥有更多权利,公司,这些是;
-
知情权
-
访问权
-
纠正权
-
擦除权
-
限制处理权
-
数据可移植权
-
反对权
与自动决策和分析相关的权利。
公司在数据被捕获时向每位客户提供隐私声明。
本通知中提供的信息展示了公司如何对我们的数据处理透明。通知是;
简洁、透明、易懂且易于访问;
以清晰明了的语言书写,尤其是针对儿童的;并且免费。
我们包括(但不限于)的详细信息;
数据控制者,处理数据的合法原因,如果任何第三方有合法利益,个人数据的类别,银行和信用合作社等接收者的类别,数据保留期限,
个人权利;包括撤回权,个人可以投诉监管机构如何处理数据,来自第三方的数据来源以及个人数据是合同要求或义务的一部分。
整改
如果个人数据不准确或不完整,个人有权要求更正。如果公司已将相关个人数据披露给第三方,那么我们将在可能的情况下通知他们更正。
公司将在一个月内回复,复杂情况下可延长两个月。
擦除
在特定情况下,个人有权删除个人数据并阻止处理;
就最初收集/处理个人数据的目的而言,不再需要个人数据。
-
当个人撤回同意时。
-
当个人反对处理并且没有继续处理的压倒性合法利益时。
-
个人数据被非法处理(即违反 GDPR)。
-
必须删除个人数据以履行法律义务。
-
个人数据的处理与向儿童提供信息社会服务有关。
-
根据 GDPR,此权利不仅限于造成不必要的重大损害或痛苦的处理。但是,如果处理确实造成损坏或痛苦,则可能会更有理由擦除。
出于以下原因处理个人数据时,公司可能会拒绝遵守删除请求;
行使言论和信息自由权;
遵守执行公共利益任务或行使官方权力的法律义务。
为了公众利益的公共卫生目的;
出于公共利益、科学研究历史研究或统计目的的存档目的;或者
行使或捍卫合法权利。
如果公司已向第三方披露相关个人数据,将发送通知,告知他们已删除个人数据,除非不可能或需要付出不相称的努力。
限制处理
在下列情况下,本公司将限制个人资料的处理;
如果个人质疑个人数据的准确性,您应该限制处理,直到您验证了个人数据的准确性。
如果个人反对处理(如果有必要执行公共利益任务或合法利益目的),并且您正在考虑您的组织的合法理由是否凌驾于个人的合法理由之上。
当处理不合法时,个人反对删除并要求限制。
如果您不再需要个人数据,但个人需要数据来建立、行使或捍卫合法索赔。
如果任何数据已披露给第三方,公司将通知他们对个人数据处理的限制,除非不可能或需要付出不相称的努力。
可移植性
对于个人提供给控制者的个人数据;处理是基于个人的同意或为了履行合同;当通过自动化方式进行处理时,公司必须以结构化、常用和机器可读的形式提供个人数据。开放格式包括 CSV 文件。机器可读意味着信息是结构化的,因此软件可以提取数据的特定元素。这使其他组织能够使用这些数据。
公司必须免费提供此项服务。
如果个人提出要求,我们可能需要在技术上可行的情况下将数据直接传输给另一个组织。公司将立即作出回应,在一个月内或在请求复杂或收到许多请求的情况下延长两个月。
异议
如果个人反对处理数据或直接营销,公司将停止处理数据。
个人必须基于“与他或她的特殊情况有关的理由”提出异议。
公司将停止处理个人数据,除非;
-
令人信服的合法处理理由,凌驾于个人的利益、权利和自由之上;或者
-
处理是为了确立、行使或捍卫合法要求。
这会在我们的隐私声明中和我们的隐私声明中的第一个通信点引起数据主体的注意。这与任何其他信息分开。
直销目的
一旦收到反对意见,公司将停止为直接营销目的处理个人数据。这将在任何阶段进行,并且是免费的。
自动决策,包括分析
公司理解任何形式的个人数据自动处理旨在评估与自然人有关的某些个人方面,或分析或预测该人的工作表现、经济状况、位置、健康、个人偏好、可靠性或行为属于这项权利。在这种情况下,ICO 的规则和指南将得到遵守和遵守。迄今为止,公司不进行包括分析在内的自动决策。
7.主题访问请求(特区)
作为公司持有的个人数据主体的个人有权;
-
确认正在处理他们的数据;
-
访问他们的个人数据;和
-
其他补充信息——这在很大程度上对应于隐私声明中应提供的信息
联系公司的个人请求此信息,这称为主题访问请求。
公司将免费提供一份资料副本。但是,如果请求明显没有根据或过分,尤其是重复请求,则可能会收取“合理费用”。
还可能会收取合理的费用以满足对相同信息的更多副本的请求。该费用仅基于提供信息的管理成本。
确认申请者身份后,将在1个月内提供信息,如果申请复杂,将延长至2个月。如果是这种情况,将向个人发出通知。
八、投诉
明确表示,希望投诉其个人数据处理方式的数据主体可以通过公司投诉程序提出。如果数据主体仍然不满意,则可以将投诉提交给信息专员办公室。
9. 数据安全和存储
当数据存储在纸上时,应将其保存在未经授权的人无法看到或访问的安全位置。这些指南也适用于通常以电子方式存储但出于某种原因打印出来的数据;
-
不需要时,纸张或文件应保存在上锁的抽屉或文件柜中。
-
员工应确保纸张和打印件不会留在未经授权的人可以看到的地方,例如打印机;
-
不再需要时,应将数据打印输出切碎并妥善处理。
-
当数据以电子方式存储时,必须防止未经授权的访问、意外删除和恶意黑客攻击;
数据应受到强密码或加密产品的保护;
-
如果数据存储在可移动媒体(如 CD 或 DVD)上,则在不使用时应将其安全锁好;
-
数据只能存储在指定的驱动器和服务器上,并且只能上传到经批准的云计算服务;
-
包含个人数据的服务器应位于安全位置,远离一般办公空间;
-
数据应经常备份。应根据公司的标准备份程序定期测试这些备份;
-
数据不应直接保存到笔记本电脑或其他移动设备,如平板电脑或智能手机;
-
所有包含数据的服务器和计算机都应受到经批准的安全软件和防火墙的保护。
访问个人数据的关键是在丢失、损坏、盗窃、非法访问的风险最大的时候,公司会;
-
在处理个人数据时,员工应确保电脑屏幕在无人看管时始终处于锁定状态;
-
不应非正式地共享个人数据。永远不要通过电子邮件发送,因为这种通信方式不安全。
-
数据在以电子方式传输之前必须加密。
-
个人数据不得转移到欧洲经济区以外,除非有合同安排强调对个人权利的充分保障和保护。
-
员工不应将个人数据的副本保存到自己的计算机中。始终访问和更新任何数据的中央副本。
注册地址
7 Grosvenor Road, Petts Wood, BR5 1QT
声明
Empower Yield (UK) Limited is authorised and regulated by the Financial Conduct Authority under FRN number 991322.
Empower Yield (UK) Limited is registered in England and Wales with company registration number 10837476 .
Empower Yield (UK) Limited is an appointed representative of White Rose Finance Group Limited.
