本資料保護政策說明 Capital Markets Elite Group (UK) Limited(以下稱「本公司」)如何處理本公司客戶、供應商、員工、工作人員及其他第三方(以下稱「資料當事人」)的個人資料。本公司為所有與資料當事人有關之個人資料,以及本公司業務中為商業目的所使用之個人資料的資料控制者。
本政策適用於公司處理的所有個人資料 (可識別資料當事人的任何資訊,或與資料當事人相關,且我們可單獨地或結合我們擁有或可合理存取的其他識別資訊,識別 (直接或間接) 出該資料的資訊),不論該資料儲存於何種媒體,亦不論該資料是否與過去或現在的員工、工作人員、客戶、客戶或供應商聯絡人、股東、網站使用者或任何其他資料當事人相關。
本政策適用於所有員工、工人、承包商、中介公司員工、顧問、董事、會員及其他人士。
在代表本公司處理個人資料時,您必須閱讀、瞭解並遵守本政策,並參加有關其要求的訓練。本政策闡述我們期望您做些什麼,以便公司遵守適用法律。您必須遵守本政策。任何違反本政策的行為都可能導致紀律處分。
本政策為內部文件,未經合規經理事先授權,不得與第三方、客戶或監管機構共用。
本政策不構成任何僱傭合約或服務合約的一部分,我們可隨時修訂本政策,恕不另行通知。
本政策並不凌駕於公司營運所在國家/地區的任何適用國家/地區資料隱私權法律和法規。
範圍
我們認知到,正確且合法地處理個人資料可維持對組織的信心,並為成功的業務運作提供保障。保護個人資料的機密性和完整性是我們時刻認真對待的重要責任。本公司可能會因未能遵守 GDPR 的規定而被罰款。
各級管理階層均有責任確保您遵守本政策,並需要實施適當的實務、流程、控制和訓練,以確保遵守本政策。
若對於本政策的運作或一般資料保護規範或其他資料保護法律 (「GDPR」) 有任何疑問,或對於本政策未被遵循或未被遵守有任何疑慮,請聯絡合規經理。尤其是在下列情況下,您必須隨時聯絡合規經理:
- 如果您不確定您處理個人資料所依據的合法基礎(包括本公司使用的合法利益)(請參閱以下「合法性與公平性」一節);
- 如果您需要依賴同意和/或需要取得明確的同意;
- 如果您需要草擬隱私權通知 (請參閱以下「透明度」一節);
- 如果發生個人資料外洩 (以下為報告個人資料外洩的部分);
- 如果您在處理資料當事人援引的任何權利時需要任何協助(請參閱
資料當事人的權利和請求部分); - 當您從事重大的新處理活動或處理活動改變,可能需要資料保護影響評估 (「DPIA」)(請參閱以下「設計隱私與 DPIA」一節)或計畫將個人資料用於收集目的以外的用途時;
- 如果您在進行直接行銷活動時,需要協助遵守適用法律(請參閱以下「直接行銷」一節)。
個人資料保護原則
我們遵守 GDPR 中規定的個人資料處理相關原則,這些原則列於本政策中。我們有責任遵守這些原則,並且必須能夠證明我們遵守了這些原則。
個人資料保護原則
個人資料必須以合法、公平且透明的方式處理與資料當事人相關的資料。
您只能公平、合法地收集、處理和分享個人資料,並用於指定的目的。GDPR 將我們有關於個人資料的行動限制於指定的合法目的。這些限制並非旨在阻止處理,而是確保我們公平處理個人資料,且不會對資料當事人造成不利影響。
- GDPR 允許基於特定目的進行處理,部分目的如下:
- 資料當事人已同意;
- 該處理對履行與資料當事人之間的合約是必要的;
- 以履行我們的法律合規義務;
- 保護資料當事人的重要利益;
- 為了追求我們的合法利益,而這些利益不會因為處理會損害資料當事人的利益或基本權利和自由而被推翻。我們為了合法利益而處理個人資料的目的需要在適用的隱私權通知中列明。
您必須識別並記錄每項處理活動所依據的法律理由
同意書
資料控制者必須僅基於 GDPR 中規定的一個或多個合法基礎(包括同意)來處理個人資料。
若資料當事人以聲明或積極行動明確表示同意處理其個人資料,即表示同意處理其個人資料。同意需要肯定的行動,因此沉默、預先勾選方塊或不活動不可能是足夠的。如果同意是在一份涉及其他事項的文件中作出,則同意必須與其他事項分開保存。
資料當事人必須能夠隨時輕鬆撤銷對處理的同意,且撤銷同意必須立即兌現。如果您打算為不同且不相容的目的處理個人資料,而該目的在資料當事人首次同意時並未披露,則可能需要重新取得同意。
通常我們會依據其他法律依據 (而不需要明確同意) 來處理大多數類型的敏感性資料,除非我們可以依據其他法律依據來處理資料。在需要明確同意(書面)的情況下,您必須向資料當事人發出同意通知,以取得明確同意。
您需要證明所取得的同意,並保留所有同意的記錄,以便本公司可證明符合同意要求。
透明度(通知資料當事人)
GDPR 要求資料控制者向資料當事人提供詳細、具體的資訊,這取決於資訊是直接從資料當事人收集,還是從其他地方收集。此類資訊必須透過適當的隱私權通知提供,隱私權通知必須簡潔、透明、易懂、容易取得,並使用清楚明瞭的語言,讓資料當事人容易理解。
每當我們直接向資料當事人收集個人資料(包括用於人力資源或僱用目的)時,我們必須透過隱私權通知向資料當事人提供 GDPR 所要求的所有資訊,包括資料控制者的身份、我們將如何及為何使用、處理、揭露、保護及保留該個人資料,該隱私權通知必須在資料當事人首次提供個人資料時呈現。
間接收集個人資料時(例如,從第三方或公開來源收集),您必須在收集/接收資料後,儘快向資料當事人提供 GDPR 所要求的所有資訊。您也必須檢查第三方收集個人資料時是否符合 GDPR 的規定,以及是否以我們擬處理的個人資料為基礎。
目的限制
個人資料必須僅為特定、明確且合法的目的而收集。不得以任何不符合這些目的的方式進一步處理。
您不能將個人資料用於新的、不同的或不相容的目的,除非您已告知資料當事人新的目的,且資料當事人已同意(如有必要)。
資料最小化
個人資料必須充分、相關且僅限於與處理目的相關的必要範圍。
您僅可以在執行工作職責時處理個人資料。您不能以任何與工作職責無關的理由處理個人資料。
您只能收集工作職責所需的個人資料:請勿收集過多資料。確保所收集的個人資料足以達到預期目的,且與之相關。
您必須確保,當個人資料不再需要用於指定用途時,會依照本公司的資料保留指引予以刪除或匿名化。
精確度
個人資料必須準確,並在必要時保持更新。如果不準確,必須立即更正或刪除。
您必須確保我們使用和持有的個人資料準確、完整、不斷更新,且與我們收集資料的目的相關。您必須在收集時及之後定期檢查任何個人資料的正確性。您必須採取一切合理步驟,銷毀或修改不準確或過期的個人資料。
儲存限制
個人資料以可識別形式保存的時間不得超過資料處理目的所需的時間。
您保留個人資料的形式不得允許資料當事人的身分識別超過我們最初收集資料的合法商業目的(包括滿足任何法律、會計或報告要求)所需的時間。
本公司將維持保留政策和程序,以確保個人資料在合理的保留時間後被刪除,除非法律規定此類資料必須保留一段最短時間。
貴方將採取一切合理步驟,根據公司所有適用的記錄保留時間表和政策,銷毀或從我們的系統中刪除我們不再需要的所有個人資料。這包括要求第三方刪除此類資料(如適用)。
您將確保在任何適用的隱私權通知中,告知資料當事人儲存資料的期限,以及如何決定該期限。
安全完整性與機密性
保護個人資料
個人資料必須透過適當的技術和組織措施加以保護,以防止未經授權或非法處理,以及意外遺失、破壞或損壞。
我們將根據我們的規模、範圍和業務、可用資源、我們擁有或代表他人維護的個人資料數量以及已識別的風險 (包括在適用情況下使用加密和假名化) 來制定、實施和維護相應的保障措施。我們會定期評估和測試這些保障措施的有效性,以確保個人資料處理的安全性。您有責任保護我們持有的個人資料。您必須採取合理且適當的安全措施,防止非法或未經授權處理個人資料,以及防止意外遺失或損壞個人資料。您必須執行
特別小心保護敏感個人資料,以免遺失或遭到未經授權的存取、使用或揭露。
您必須遵循我們所實施的所有程序和技術,以維護所有個人資料從收集點到銷毀點的安全性。您只能將個人資料傳輸給同意遵守規定的政策和程序,並同意按要求採取適當措施的第三方服務供應商。
您必須透過保護個人資料的機密性、完整性和可用性來維護資料安全,定義如下:
- 機密性是指只有需要知道並獲授權使用個人資料的人才能存取資料。
- 完整性是指個人資料準確且適合處理目的。
- 可用性是指經授權的使用者能夠在需要個人資料時,以經授權的目的存取個人資料。
您必須遵守且不得試圖規避我們依照 GDPR 和相關標準所實施和維護的行政、實體和技術保障措施,以保護個人資料。
報告個人資料外洩
GDPR 要求資料控制者將任何個人資料外洩事件通知適用的監管機構,並在某些情況下通知資料當事人。
個人資料外洩」係指危害個人資料之安全性、機密性、完整性或可用性,或危害我們或我們的第三方服務供應商為保護個人資料而設置的實體、技術、行政或組織保障措施的任何作為或不作為。遺失或未經授權存取、揭露或取得個人資料即為個人資料外洩。
我們已制定程序處理任何懷疑的個人資料外洩事件,並會在法律要求的情況下通知資料當事人或任何適用的監管機構。
如果您知道或懷疑發生了個人資料外洩事件,請勿嘗試自行調查。若發生個人資料外洩事件,請立即聯絡法規遵循經理。您應該保存所有與可能發生的個人資料外洩事件有關的證據。
轉讓限制
GDPR 限制將資料傳輸至歐洲經濟區 (EEA) 以外的國家,以確保 GDPR 提供給個人的資料保護等級不會受到損害。當您在一個國家或向另一個國家傳輸、傳送、檢視或存取源自該國家的個人資料時,即為跨境傳輸。
您只能在符合下列條件之一的情況下,才能將個人資料傳輸至 EEA 以外的地方:
- 歐盟委員會(European Commission)已發出決定,確認我們將個人資料傳輸至的國家可確保資料當事人的權利和自由受到足夠程度的保護;
- 採取適當的保障措施,例如具約束力的公司規則 (BCR)、歐盟委員會核准的標準合約條款、經核准的行為守則或認證機制(可向合規經理索取副本);
- 資料當事人在獲告知任何潛在風險後,已明確同意建議的移轉;或
- 基於 GDPR 中列出的其他原因之一,包括履行我們與資料當事人之間的合約、公共利益原因、確立、行使或維護法律索賠或保護資料當事人的重要利益(當資料當事人在身體上或法律上無行為能力給予同意時),以及在某些有限的情況下,基於我們的合法利益,有必要進行轉移。
資料當事人的權利和要求
資料當事人在我們處理其個人資料時享有以下權利。這些權利包括
- 隨時撤回對處理的同意;
- 接收有關資料控制者處理活動的某些資訊;
- 要求存取我們所持有的個人資料;
- 阻止我們將其個人資料用於直接行銷目的;
- 如果與收集或處理目的有關的個人資料不再必要,請求我們刪除該資料,或更正不準確的資料或填寫不完整的資料;
- 在特定情況下限制處理;
- 基於我們的合法利益或公眾利益,對處理方式提出異議;
- 要求一份將個人資料轉移到 EEA 以外的協議副本;
- 反對完全基於自動化處理(包括側寫)的決定;
- 防止可能對資料當事人或其他任何人造成損害或困擾的處理;
- 如個人資料外洩可能導致其權利和自由面臨高風險,應獲得通知;
- 向監督機構提出申訴;以及
- 在有限的情況下,接收或要求將其個人資料以結構化、常用且機器可讀的格式轉移給第三方。
您必須確認依據上述任何權利要求資料的個人身份(請勿允許第三方在未獲得適當授權的情況下說服您披露個人資料)。
您必須立即將收到的任何資料當事人請求轉交合規經理。
問責性
資料控制者必須以有效的方式實施適當的技術和組織措施,以確保遵守資料保護原則。資料控制者有責任並必須能夠證明符合資料保護原則。
公司必須有足夠的資源和控制措施,以確保並記錄 GDPR 合規性,包括:
- 任命一名負責資料隱私的主管;
- 在處理個人資料時實施隱私權設計,並在資料處理對資料當事人的權利和自由造成高風險時,完成資料保護影響評估 (DPIA);
- 將資料保護納入內部文件,包括本政策、任何相關文件或隱私權通知;
- 定期就 GDPR、內部政策和程序以及資料保護事宜(包括資料當事人的權利、同意、法律基礎、DPIA 和個人資料外洩)對您進行培訓。公司必須保存其僱用和聘用的每個人的訓練出席記錄;以及
- 定期測試已實施的隱私權措施,並進行定期審查和稽核,以評估合規情況,包括使用測試結果來證明改善合規情況的努力。
記錄保存
GDPR 要求我們保存所有資料處理活動的完整和準確記錄。
您必須保存和維護準確的企業記錄,反映我們的處理過程,包括資料當事人的同意記錄和取得同意的程序。
這些記錄至少應包括資料控制者的名稱和詳細聯繫資訊、個人資料類型的清晰描述、資料當事人類型、處理活動、處理目的、個人資料的第三方接收者、個人資料儲存位置、個人資料轉移、個人資料的保留期限以及安全措施的描述。為了建立此類記錄,應建立資料地圖,其中應包含上述詳細資訊以及適當的資料流程。
訓練與稽核
我們必須確保您已接受足夠的訓練,使他們能夠遵守資料隱私權法律。我們也必須定期測試我們的系統和流程,以評估合規性。
您必須接受所有強制性的資料隱私權相關訓練,並確保您的團隊接受類似的強制性訓練。
您必須定期審查您所控制的所有系統和程序,以確保它們符合本政策,並檢查是否有足夠的管理控制和資源,以確保個人資料得到適當的使用和保護。
隱私權設計與 dpias
在處理個人資料時,我們必須以有效的方式執行適當的技術和組織措施 (例如假名化),以確保符合資料隱私原則,藉由設計來執行隱私權措施。
您必須考慮下列事項,評估可在所有處理個人資料的程式/系統/程序上實施哪些隱私權設計措施:
- 的技術水平;
- 實施成本;
- 處理的性質、範圍、背景和目的;以及
- 資料處理對資料當事人的權利和自由所造成的不同可能性和嚴重性的風險
資料控制者也必須針對高風險處理進行 DPIA。
在實施涉及個人資料處理的重大系統或業務變更計畫時,您應進行 DPIA(並與合規經理討論您的發現),包括
- 使用新技術(程式、系統或流程),或改變技術(程式、系統或流程);
- 自動化處理,包括剖析和自動匹配決策;
- 大規模處理敏感資料;及
- 大規模、有系統地監測公眾可進入的區域。
DPIA 必須包括
- 資料處理、其目的及資料控制者合法權益(如適用)的描述;
- 評估處理目的的必要性和相稱性;
- 個人風險評估;以及
- 已實施的風險緩解措施,以及符合規定的證明。
自動化處理(包括側寫)和自動決策 (adm)
一般而言,當決策對個人有法律上或類似的重大影響時,ADM 是被禁止的,除非:
- 資料當事人明確同意;
- 法律授權的處理;或
- 該處理對履行或簽訂合約是必要的。
如果正在處理某些類型的敏感資料,則不允許使用理由 (b) 或 (c),但為了重大的公眾利益 (如防止詐騙) 有必要時 (除非可使用侵擾性較低的方法) 可處理這些敏感資料。
如果決策完全基於自動化處理(包括側寫),則必須在首次與資料當事人溝通時告知其反對權利。這項權利必須明確地引起他們的注意,並清楚地與其他資訊分開呈現。此外,必須採取適當的措施,以保障資料當事人的權利和自由以及合法利益。
我們還必須告知資料當事人決策或側寫所涉及的邏輯、重要性和預期後果,並給予資料當事人要求人工干預、表達其觀點或挑戰決策的權利。
在進行任何自動化處理 (包括資料蒐集) 或 ADM 活動之前,必須先進行 DPIA。
直接行銷
在向客戶行銷時,我們必須遵守某些規定和隱私權法律。
例如,電子直接行銷(如電子郵件、簡訊或自動通話)必須事先取得資料當事人的同意。對於現有客戶的有限例外稱為「軟選擇接受」,允許機構傳送行銷簡訊或電子郵件,只要他們是在銷售過程中取得該人的聯絡資訊,且行銷的是類似產品或服務,並在首次收集該人的詳細資訊時及之後的每則訊息中,給予該人選擇不接受行銷的機會。
反對直接行銷的權利必須以可理解的方式明確地提供給資料當事人,以便與其他資訊清楚區分。
資料當事人對直接促銷的反對必須立即予以兌現。如果客戶在任何時候選擇拒絕,他們的詳細資訊應儘快壓制。抑制包括只保留足夠的資訊,以確保未來會尊重行銷偏好。
分享個人資料
一般而言,除非有特定的保障措施和合約安排,否則我們不得與第三方共用個人資料。
您僅能在接收者有工作相關需要瞭解資訊,且轉移符合任何適用的跨境轉移限制的情況下,與我們集團(包括我們的子公司和我們的最終控股公司及其子公司)的其他員工、代理或代表分享我們持有的個人資訊。
只有在下列情況下,您才可以與第三方(如我們的服務供應商)共用我們持有的個人資料:
- 他們有必要為了提供合約服務的目的而知道這些資訊;
- 共用個人資料符合提供給資料當事人的隱私權通知,如有需要,已取得資料當事人的同意;
- 第三方已同意遵守規定的資料安全標準、政策和程序,並採取適當的安全措施;
- 轉移符合任何適用的跨境轉移限制;且
已取得包含 GDPR 核准第三方條款的完整執行書面合約。