隐私政策
I. 声明和目的
适用法律规定了处理个人数据的若干义务。Superior Essex Group 尊重个人隐私,并致力于在涉及个人数据处理的业务实践中遵守适用法律规定的法律标准。
我们负责并承诺遵守适用法律中规定的关键数据保护原则和核心要求。
本政策描述了我们遵循的关键数据保护原则,并反映了我们在尊重个人隐私和保护个人数据方面的做法。
II. 范围
本政策适用于欧盟内所有 Superior Essex Group 机构,以及从欧盟接收任何个人数据,或在其他方面受适用法律约束的所有其他 Superior Essex Group 机构。
个人数据应根据本政策和适用法律进行处理。
本政策应与本政策第 XIII 节所列的 Superior Essex Group 的其他政策一并阅读。Superior Essex Group 可根据需要实施其他政策、程序或做法,以遵守本政策或适用法律。
数据保护是 Superior Essex Group 所有员工和业务部门的共同责任,所有员工和业务部门均应熟悉并遵守本政策中规定的原则和要求。
III. 定义
除本政策其他地方定义的词语外,以下词语的含义如下:
- “关联方”指部分或全部由相关实体控制或与相关实体共同控制的任何实体。
- “适用法律”指 GDPR 以及在 EEA 国家实施 GDPR 的任何国家法律。
- “自动化决策”指仅基于对个人数据进行自动化处理(包括剖析)的决策过程,该过程会产生与数据主体有关的法律效力。
- “控制者”指单独或与他人联合确定处理个人数据的目的和方式的任何自然人或法人、公共机关、机构或其他团体。
- “数据主体”指与个人数据有关的已识别或可识别的自然人。可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
- “EEA”指欧洲经济区,其中包括所有欧盟成员国以及冰岛、列支敦士登和挪威。
- “生效日期”指 2018 年 5 月 25 日。
- “员工”是指全日制员工、非全日制员工、临时员工、复职员工、再就业员工、退休员工和原员工、实习生和培训生。
- “机构”意味着通过稳定的安排切实有效地开展活动;这种安排的法律形式,无论是通过分支机构还是具有法人资格的子公司,都无关紧要。
- “EU”指欧盟。
- “GDPR”指欧洲议会和欧洲理事会于 2016 年 4 月 27 日颁布的关于在处理个人数据和此类数据的自由移动方面保护自然人的第 2016/679 号条例(欧盟),以及废除第 95/46/EC 号指令(《通用数据保护条例》)。
- “个人数据”指与数据主体有关的任何信息。个人数据包括特殊类别个人数据。
- “政策”指本一般隐私政策。
- “隐私官”指下文第 XII 条指定的人员。
- “剖析”指为评估与自然人相关的某些个人情况,对个人数据进行任何自动化处理、利用的方式,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信度、行为、位置或行踪相关的分析和预测。
- “处理”指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他方式的利用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段。
- “个人数据泄露”指因意外或非法破坏、丢失、更改、未经授权披露或访问由实体系统传输、存储或以其他方式处理的个人数据而导致的安全泄露。
- “特殊类别个人数据”包括显示种族或族裔出身、政治观点、宗教或哲学信仰或工会会员资格的个人数据,以及用于唯一识别自然人而进行处理的遗传数据、生物识别数据、与健康有关的数据或与自然人的性生活或性取向有关的数据。
- “Superior Essex Group”、“我们”(主格)、“我们的”、“我们”(宾格)指在 Corporation Service Company(地址:251 Little Falls Drive, Wilmington, DE 19808)注册的特拉华州公司 Superior Essex Inc.、在 CSC-Lawyers Incorporating Service(公司)(地址:601 Abbot Road, East Lansing, MI 48823)注册的密歇根州公司 Essex Group, Inc.、在 Corporation Service Company(地址:251 Little Falls Drive, Wilmington, DE 19808)注册的特拉华州有限责任合伙公司 Superior Essex International LP 及其各自的关联方。
IV. 关键数据保护原则
在处理个人数据时,我们将实行以下关键数据保护原则:
- 我们会以合法、公正和透明的方式处理与数据主体有关的个人数据(以下简称“合法、公正和透明原则”)
- 我们只会出于特定、明确和合法的目的收集个人数据,我们不会以不符合这些目的的方式进一步处理这些数据(以下简称“目的限制原则”);
- 我们将确保个人数据充分、相关且以该个人数据处理目的之必要为限度进行处理(以下称为“数据最小化原则”);
- 我们将确保个人数据准确无误,在必要时保持最新状态,并采取一切合理步骤以确保在顾及处理目的的基础上及时删除或纠正不准确的个人数据(以下称为“准确性原则” );
- 我们将不会以允许识别数据主体的形式保留超过处理个人数据的目的所需的时间(以下称为“存储限制原则”);
- 我们将根据数据主体的权利(以下简称“数据主体的权利”)处理个人数据;且
- 我们将确保采取适当的技术、组织和安全措施来保护处理过程中的个人数据,包括防止未经授权或非法处理以及防止意外丢失、破坏或损坏(以下简称“完整性、机密性和安全性原则”)。
A. 目的限制原则
在我们的业务过程中,我们出于各种目的从不同类别的数据主体中收集和处理不同类型的个人数据。我们将事先确定具体、明确和合法的目的,并将其记录在我们的处理活动记录中(参阅第 VIII 节)。除非有相关的例外情况,否则我们将在首次收集个人数据时或之后尽快通知数据主体这些目的(参阅下一小节 B 项)。
除非适用法律准许,否则我们不会处理出于特定目的或出于其他不兼容目的而收集的个人数据。
如果您打算以不同于最初确定的目的处理个人数据,请在开始处理活动之前与隐私官联系。
B. 合法、公正和透明原则
1. 合法与公正
仅在适用法律准许的情况下,才可合法处理个人数据。
- 我们只会根据适用法律中列出的准许法律依据之一处理个人数据。我们通常依赖的处理个人数据的法律依据包括但不限于以下几点:
- 履行数据主体参与合同的必要性;
- 我们遵守源自欧盟的法律义务的必要性;
- 我们作为控制者或第三方为追求合法利益而采取行动的必要性;和/或
- 数据主体的同意。
- 我们的目标是尽量减少我们处理的特殊类别个人数据量。仅在适用法律准许的情况下,例如在法律上有义务或在数据主体明确同意的情况下,我们才会处理特殊类别个人数据。
- 我们将事先确定适当的法律依据,并将其记录在我们的处理活动记录中(参阅下文第 VIII 节)。
2. 透明
根据适用法律,在处理个人数据前,我们会向个人提供一份所谓的数据保护通知,在其中至少以收件人易于理解的方式描述以下内容:
- Superior Essex Group 实体的身份和联系方式,该实体是相关的控制者;
- 我们处理的个人数据类别;
- 我们处理个人数据的目的和法律依据;
- 我们向谁披露个人数据;
- 我们是否将个人数据传输到欧洲经济区以外(包括目的地国家和使用的传输机制);
- 我们存储个人数据的期限(或者,如不可能,则我们用来确定该期限的标准);
- 数据主体可以在处理其个人数据方面行使的权利;
- 提供个人数据是法定要求还是合同要求,或是签订合同所必需的要求,以及数据主体是否有义务提供个人数据及未能提供此类数据的可能后果;以及
- 自动化决策(包括剖析)的存在、在 GDPR 要求的情况下关于所涉及逻辑的有意义信息,以及此类处理对数据主体的意义和设想的后果。
C. 数据最小化原则
我们将采取合理的技术和组织措施,以确保我们处理的任何个人数据充分相关,并且仅限于我们处理这些数据所需的目的。
D. 准确性原则
我们将采取合理的技术和组织措施,以确保我们处理的任何个人数据准确和及时更新。我们将在收集时及之后定期检查任何个人数据的准确性。我们将采取所有合理步骤来销毁或修改不准确或过时的数据。
E. 存储限制原则
F. 数据主体的权利
我们尊重适用法律赋予数据主体的权利,尤其是:
- 访问权:数据主体可以要求我们提供有关其个人数据的信息,并索取该数据的副本。
- 纠正权:数据主体可以请求纠正不正确的个人数据并补充不完整的数据。
- 删除权:如果数据不准确或处理方式与我们追求的目的不符,则数据主体可以要求删除其个人数据。
- 数据可携权:如果我们根据与数据主体的合同或其同意处理个人数据,则数据主体可以要求以结构化、常用和机器可读的格式接收其个人数据,并要求我们在技术上可行的情况下将此类数据传输给第三方。
- 限制权:数据主体可以要求限制对其个人数据的处理。
- 反对权:数据主体可以拒绝或反对其个人数据的处理。
- 申诉权:数据主体可向位于其惯常居住地、工作地点或涉嫌侵权地点的欧盟主管监管机构提出申诉。
- 拒绝或撤回同意的权利:数据主体可以拒绝同意处理其个人数据,并且可以随时撤回同意,而不会产生任何不利的负面影响。
- 不受仅基于自动化处理的决定影响的权利:数据主体应有权不受仅基于自动化处理(即自动化决策)的决定,包括对其产生法律效力或对其产生类似重大影响的剖析,但 GDPR 规定的例外情况除外。
G. 完整性、保密性和安全性原则
为保护我们处理的个人数据,我们会采取合理的技术和组织措施,防止未经授权或非法处理个人数据,以及防止意外遗失、损毁或损坏个人数据。
这些措施应酌情包括:
- 个人数据的假名化和加密;
- 确保处理系统和服务的持续保密性、完整性、可用性和弹性的能力;
- 在发生物理或技术事故时及时恢复个人数据的提供和访问的能力;
- 对确保处理安全的技术和组织措施的有效性进行定期测试、评估和评价的过程。
V. 通过设计和默认实施的数据保护
我们将在确定处理方式时以及在处理本身时做出合理的努力,以实施适当的技术和组织措施,例如假名化,这些措施旨在有效地实施本政策第 III 节规定的关键数据保护原则,并在处理过程中纳入必要的保障措施,以符合适用法律的要求。
我们将采取合理的步骤来实施适当的技术和组织措施,以便在默认情况下,仅处理每项特定用途所需的个人资料。
我们进行的某些处理会对个人隐私和权利及自由造成风险,如果适用法律要求,我们将进行数据保护影响评估,以评估设想的处理操作对个人数据保护的影响、与个人权利和自由的目的和风险相关的处理操作的必要性和相称性,以及为解决这些风险而设想的措施。
VI. 个人数据披露惯例
我们将采取合理的预防措施,仅准许有合法目的及需要履行工作职责的人士访问个人数据,并在适当情况下采取适当的保障措施。
A. 集团内容
当我们在 Superior Essex Group 内部共享个人数据时,我们将采取合理措施确保遵守本政策第 IV 节中列出的关键数据保护原则。为此,我们制定了《全球集团内部数据处理和传输协议》。
B. 第三方
当我们与第三方共享个人数据时,我们将采取合理步骤,在适当情况下进行尽职调查,并制定适当的合约或其他保障措施,其中包括确保保护个人数据的完整性、可用性和机密性的条款。
VII. 国际数据传输惯例
当我们将个人数据传输到另一个国家或地区时,我们将采取合理的步骤,以确保在原籍国对个人数据提供的保护适用于所传输的个人数据,并确保传输会依照适用的法律进行。
A. 集团内容
我们根据欧盟委员会标准合同条款达成的《全球集团内部数据处理和传输协议》,将个人数据传输到在 EEA 之外建立的 Superior Essex Group 实体。有时,可以使用其他数据传输机制(例如,欧盟标准合同条款)或基于允许的法定减损来进行传输。
B. 第三方
只有在第三国确保足够水平的保护或使用可接受的数据传输机制(例如向自认证的美国组织传输时的“欧盟-美国隐私保护”、欧盟委员会的标准合同条款、企业约束规则、经批准的行为准则和认证),或在准许法定减损的特殊情况下,方可向欧洲经济区以外建立的第三方进行传输。
VIII. 处理记录
我们将根据适用法律保留所有处理活动的最新记录。这些记录必须至少包含:
- 控制者的名称和联系方式;
- 处理的目的和法律依据;
- 数据主体类别和个人数据类别的描述;
- 已向或将向其披露个人数据的接收者类别,包括第三国或国际组织的接收者;
- 用于国际间传输个人数据的传输机制,以及传输到的国家/国际组织;
- 删除不同类别个人资料的设想时限;以及
- 保护个人数据的技术和组织安全措施的一般说明。
IX. 培训
我们将对员工进行数据保护政策和程序方面的培训。
X. 审核
XI. 问题和投诉
关于本政策的任何疑问均可联系隐私官。
任何人,包括数据主体,如果认为有人违反了本政策,都可以向隐私官提出投诉。
如果您对本隐私声明有任何问题、疑虑或意见,请发送电子邮件至 [email protected] 或致电 770.657.6485 与我们联系。您可以将书面意见发送至:Superior Essex Legal Department, 5770 Powers Ferry Road, Suite 400, Atlanta, GA 30327。
XII. 数据保护网络
我们在各个业务部门、职能部门和地区分配了高级管理层遵守适用法律的职责。有关本政策、相关数据保护政策或适用法律的任何请求、问题或投诉,也可酌情向全球人力资源副总裁提出。全球人力资源副总裁可以向 Superior Essex Group 实体的指定隐私官咨询与该实体有关的请求、问题或投诉。
XIII. 相关政策、标准、指导方针和参考资料
XIV. 不合规
违反本政策导致未经授权使用或披露个人数据可能导致纪律处分直至终止。此外,个人可能面临民事、合同或刑事责任。
XV. 本政策的变更
我们保留根据需要修改本政策的权利,以反映法律、我们的做法和程序或监管机构的要求的变化。