隐私政策
2021年8月2日更新
I. 声明 & 目的
适用的法律规定了处理个人资料的若干义务. Superior Essex集团尊重个人隐私,并承诺在涉及个人资料处理的业务实践中遵守适用法律规定的法律标准.
我们有责任并承诺遵守适用法律中规定的关键数据保护原则和核心要求.
本政策描述了我们所遵循的主要数据保护原则,并反映了我们在尊重个人隐私和保护个人数据方面的做法.
II. 范围
本政策适用于所有高级埃塞克斯集团在欧盟的企业, 以及所有其他高级埃塞克斯集团(Superior 埃塞克斯集团)企业,只要他们从欧盟获得任何个人数据, 或受适用法律的其他约束.
个人资料应根据本政策和适用法律进行处理.
本保单应与优艾塞克斯集团在本保单第十三世节中列出的其他保单一起阅读. 高级埃塞克斯集团可能实施附加政策, 为遵守本保险单或适用法律而可能需要的程序或惯例.
数据保护是所有Superior Essex集团员工和业务单位的共同责任,所有员工和业务单位应熟悉并遵守本政策中规定的原则和要求.
3. 定义
除本政策其他地方定义的词语外, 本文中使用的下列词语的含义如下:
- “附属机构”指任何实体, 哪个部分或全部被控制, 控件或与各自的实体具有共同控制.
- “适用法律”指GDPR以及在EEA国家实施GDPR的任何国家法律.
- “自动化决策”指的是仅基于自动化处理做出决策的过程, 包括分析, 的个人资料, 哪些对资料主体产生法律效力.
- “控权人”指任何自然人或法人, 公共权力, 机构或其他机构, 哪一个, 单独的或与他人联合的, 决定处理个人资料的目的及方法.
- “资料当事人”指与个人资料有关的经识别或可识别的自然人. 一个可识别的人是一个可以被识别的人, 直接或间接, 特别是通过对标识符(如名称)的引用, 身份证号码, 位置数据, 在线标识符或特定于物理的一个或多个因素, 生理, 遗传, 精神, 经济, 自然人的文化或社会身份.
- “EEA”指欧洲经济区, 包括所有欧盟成员国和冰岛, 列支敦士登和挪威.
- “生效日期”指2018年5月25日.
- “雇员”指全职雇员, 兼职员工, 临时员工, 恢复员工, 重新聘用的员工、退休和离职员工, 实习生和实习.
- “Establishment” implies the effective and real exercise of activity through stable arrangements; the legal form of such arrangements, 无论是通过具有法人资格的分支机构还是附属机构, 是无关紧要的.
- “EU”指欧盟.
- “GDPR”系指欧洲议会和理事会2016年4月27日关于在个人数据处理和此类数据自由移动方面保护自然人的法规(EU) 2016/679, 及撤销指令95/46/EC(一般资料保护规例).
- “个人资料”指与资料当事人有关的任何资料. 个人资料包括特殊类别的个人资料.
- “政策”指本一般隐私政策.
- “私隐专员”指根据下文第十二世条指定的人士.
- “个人资料分析”指任何形式的自动个人资料处理,包括使用个人资料评估与自然人有关的某些个人方面, 特别是分析或预测与该自然人工作表现有关的方面, 经济形势, 健康, 个人喜好, 利益, 可靠性, 行为, 位置或运动.
- “处理”指对个人数据或对个人数据集执行的任何操作或操作集, 是否采用自动化方式, 如收集, 记录, 组织, 构建, 存储, 适应或改变, 检索, 咨询, 使用, 披露,传播, 传播或以其他方式提供, 排列或组合, 限制, 擦除或破坏.
- “个人资料泄露”指对安全的破坏导致意外或非法的破坏, 损失, 变更, 未经授权的披露, 或访问, 个人数据传输, 由实体系统处理的.
- “特殊类别个人资料”包括揭示种族或民族出身的个人资料, 政治观点, 宗教或哲学信仰, 或者是工会会员, 和基因数据, 生物特征数据为唯一识别一个自然人而进行的数据处理, 有关健康或自然人性生活或性取向的数据.
- "艾塞克斯高级集团" "我们" "我们"指的是艾塞克斯高级集团., 特拉华州的公司, 在公司服务公司注册, 小瀑布大道251号, 威明顿, DE 19808, 埃塞克斯集团, 公司., 密西根州公司, 在csc -律师注册服务(公司)注册, 方丈路601号, 东兰辛, MI 48823及其附属公司.
IV. 关键的数据保护原则
在处理个人资料时,我们会应用以下主要的资料保护原则:
- 我们将依法处理个人资料, 以公平和透明的方式就资料主体(以下简称“资料主体”)作出解释, “法律、公平和透明原则“);
- 我们只会收集指定用途的个人资料, 明确和合法的目的,我们将不会以与这些目的不相容的方式进一步处理它们(以下简称“处理”), “目的限制原则“);
- 我们会确保所提供的个人资料准确及, 在必要时, ,并已采取每一合理步骤,以确保个人资料不准确, 考虑到它们被处理的目的, 被删除或纠正没有延迟(以下, “ 准确性原则“);
- 我们将不会以允许识别资料当事人的形式保存个人资料的时间长于处理个人资料的目的所必需的时间(以下简称“时间”), “存储限制原则“);
- 我们将根据数据主体的权利(以下简称“”)处理个人数据。数据对象的权利“); and
- 我们将确保适当的技术, 在处理个人数据时采取组织和安全措施以保护个人数据, 包括防止未经授权或非法处理和意外损失, 破坏或损害(下称“破坏”), “诚信、保密及安全原则“).
A. 目的限制原则
在我们的业务过程中, 我们从不同类别的资料当事人收集及处理不同类型的个人资料,以作各种用途. 我们将确定, 明确和合法的目的,并将其记录在我们的加工活动记录中(见第8节). 我们会在首次收集个人资料时或其后尽快将上述目的通知资料当事人(见下一小节B), 除非有相关的例外.
我们不会处理为特定目的而收集的个人资料, 为了另一个不相容的目的, 除非适用法律允许.
如果您打算为与最初确定的目的不同的目的处理个人数据, 请在开始处理活动前与私隐专员沟通.
B. 法律、公平和透明原则
合法性和公平性
只有在适用法律准许的情况下,个人资料的处理才属合法.
- 我们只会根据适用法律中列出的允许的法律依据之一来处理个人数据. 我们最常用的个人数据处理的法律依据包括, 但不限于以下内容:
- 必须履行数据主体为当事人一方的合同;
- 我们必须遵守源自欧盟的法律义务;
- The necessity for the purposes of legitimate 利益 pursued by us as a Controller or by a third party; and/or
- 资料当事人的同意.
- 我们的目标是尽量减少我们处理的特殊类别的个人资料的数量. 我们只会处理特殊类别的个人资料, 如果适用法律允许的话, 例如, 当我们在法律上有义务这样做或在数据主体明确同意的情况下这样做时.
- 我们将预先确定适当的法律依据,并将其记录在我们的加工活动记录中(见下文第8节).
透明度
根据适用法律,在我们处理个人资料之前,我们将提供一份 所谓的数据保护通知 对我们所描述的人, 至少, 以一种收件人容易理解的方式, 以下几点:
- 高级埃塞克斯集团实体的身份和联系方式, 即/是有关的控权人;
- 我们处理的个人资料类别;
- 我们处理个人数据的目的和这样做的法律依据;
- 我们向何人披露个人资料;
- 我们是否将个人数据转移到欧洲经济区以外(包括目的国和使用的转移机制);
- 我们储存个人资料的期间(或, 如果这是不可能的, 我们用来确定那个时期的标准);
- 资料当事人在处理其个人资料方面可行使的权利;
- 提供个人资料是否属法定或合约规定, 或者签订合同的必要条件, as well as whether the Data Subjects are obliged to provide the Personal Data and of the possible consequences of failure to provide such data; and
- 自动化决策的存在, 包括分析和GDPR要求的情况, 有关所涉及的逻辑的有意义的信息, 以及这种处理对数据主体的意义和设想的后果.
C. 数据最小化原则
我们将实施合理的技术和组织措施,以确保我们处理的任何个人数据是充分的, 相关并限于我们处理它们的目的所必需的内容.
D. 准确性原则
我们将实施合理的技术和组织措施,以确保我们处理的任何个人资料是准确和最新的. 我们会在收集时及之后定期检查任何个人资料的准确性. 我们将采取一切合理步骤销毁或修改不准确或过时的数据.
E. 存储限制原则
我们将采取合理的技术和组织措施,使我们的个人数据的保存时间不会超过收集这些数据的目的所需要的时间,或超出适用法律的其他要求或允许的时间,并符合Superior Essex集团记录保存政策. 我们会采取一切合理措施安全地摧毁, 或者从我们的系统和记录中删除, 所有不再需要的个人资料.
F. 资料当事人的权利
我们尊重根据适用法律给予数据主体的权利,特别是:
- 访问权:资料当事人可要求我们负责的有关其个人资料的资料,并要求该资料的副本.
- 正确的改正:资料当事人可要求改正不准确的个人资料,并要求填写不完整的资料.
- 擦除权:资料当事人可要求删除其个人资料, 如数据不准确或以与我们所追求的目的不相容的方式处理.
- 数据可移植性的权利:如果我们根据与数据主体签订的合同或根据其同意处理个人数据, 资料当事人可要求以结构化方式接收其个人资料, 常用和机器可读的格式, 并要求我们将这些数据转移到第三方, 在技术上可行.
- 权利的限制:资料当事人可要求限制其个人资料的处理.
- 反对的权利:资料当事人可反对或反对其个人资料的处理.
- 提出投诉的权利:资料当事人可向位于其惯常居住地的欧盟主管监管当局提出投诉, 工作的地方, 或者涉嫌侵权的地点.
- 拒绝或撤回同意的权利:资料当事人可拒绝同意处理其个人资料,并可在任何时候撤回该同意,而不会产生任何不利的负面后果.
- 有权不受完全基于自动化处理的决策的影响:数据主体应有权不受仅基于自动处理的决定的约束(i.e., 自动决策), 包括分析, 哪些对他或她产生法律效力,或对他或她产生同样重大的影响, 在GDPR规定的例外情况下.
适用的法律规定我们必须在有限的时间范围内回应有效的数据主体的要求. 资料当事人的任何要求必须立即送交私隐专员, (见第十二节).
G. 诚信、保密和安全原则
保护我们处理的个人资料, 我们将采取合理的技术和组织措施,防止未经授权或非法处理个人资料和防止意外损失, 个人资料的销毁或损毁.
这些措施应酌情包括:
- 个人数据的匿名化和加密;
- 确保持续保密的能力, 完整性, 处理系统和服务的可用性和弹性;
- 在发生物理或技术事故时,及时恢复个人数据的可用性和获取能力;
- 定期测试的过程, 评估和评估确保加工安全的技术和组织措施的有效性.
V. 设计数据保护 & 默认情况下
我们会做出合理的努力, 在确定处理手段时,以及在处理本身时, 实施适当的技术和组织措施, 如pseudonymization, 旨在以有效方式实施本政策第三节所述的关键数据保护原则,并将必要的保障措施纳入处理,以满足适用法律的要求.
我们将采取合理措施,实施适当的技术和组织措施,使, 默认情况下, 只处理为处理的每个特定目的所必需的个人资料.
我们进行的一些处理会对个人的隐私、权利和自由造成风险, 适用法律要求的地方, 我们会进行保障资料影响评估,以评估预期的处理行动对保障个人资料的影响, 处理行动的必要性和相称性与有关个人的权利和自由所面临的风险以及为解决这些风险所设想的措施有关.
VI. 披露个人资料的做法
我们会采取合理的预防措施,只允许有合法目的的人士查阅个人资料,以及为履行工作职责而需要查阅个人资料的人士, 在适用情况下, 在适当的保障措施下.
集团内的
当我们在高级埃塞克斯集团内共享个人资料时, 我们将采取合理步骤,确保遵守本政策第IV节所列的关键数据保护原则. 为此,我们制定了全球组内数据处理和转移协议.
第三方
当我们与第三方共享个人资料时, 我们将采取合理措施进行尽职调查, 在适当的地方, 并实施适当的合同或其他保障措施, 哪一个, 在其他方面, 包含保证完整性保护的条款, 个人资料的可得性及保密性.
7. 国际资料传送惯例
当我们将个人资料转移到另一个国家或地区时, 我们将采取合理步骤,确保原产国对个人资料提供的保护适用于如此转让的个人资料,并且转让将按照适用法律进行.
集团内的
我们将个人资料转交给在欧洲经济区以外设立的高级埃塞克斯集团实体, 根据我们根据欧盟委员会标准合同条款达成的全球集团内部数据处理和转移协议. 偶尔, 传输可以使用替代的数据传输机制进行, 例如欧盟标准合同条款, 或者基于允许的法定减损.
第三方
只有在第三国确保充分保护或使用可接受的数据转移机制的情况下,才可向欧洲经济区以外的第三方转移数据, 比如欧盟-欧盟.S. 隐私盾转移到自我认证的美国.S. 组织, 欧盟委员会的标准合同条款, 结合公司规则, 批准的行为准则和认证,或在允许的法定减损的特殊情况下.
8. 记录的处理
我们将根据适用法律对所有加工活动进行最新记录. 这些记录至少必须包含:
- 财务主任的姓名和联系方式;
- 处理的目的和法律基础;
- 资料主题类别及个人资料类别的描述;
- 已向或将向其披露个人资料的收件人类别,包括来自第三国或国际组织的收件人;
- 用于国际转移个人数据的转移机制以及这些数据被转移到的国家/国际组织;
- The envisaged time limits for erasure of the different categories 的个人资料; and
- 为保护个人数据而采取的技术和组织安全措施的一般描述.
X. 审计
我们将制定和维护自我评估程序,并审核遵守本规定和相关政策的情况,以减轻和纠正任何违规行为.
XI.问题 & 投诉
任何与本政策有关的问题,可向私隐专员提出.
任何人, 包括资料主体, 谁认为该政策被违反了, 可以向私隐专员提出投诉吗.
如果你有任何问题, 对本隐私声明的关注或评论, 请发送电子邮件至 (电子邮件保护) 或致电770与我们联系.657.6485. 您可以将书面意见发送到:上级埃塞克斯法律部门, 鲍尔斯渡口路5770号, 400套房, 30327年亚特兰大,乔治亚州.
