数据隐私标准(“标准”)
目的
- 关于我们:Flex是一个对社会负责和领先的电子制造服务供应商提供设计,工程和航空航天和国防,汽车,计算机,消费电子,工业,基础设施,医疗,能源和手机原始设备制造商的制造服务。Flex的帮助客户设计,制造,运输和服务电子等产品通过国际设施网络。我们能提供统一的设计,工程,以及核心电子制造与物流服务相结合。
- 我们对数据隐私的承诺:这些标准规定了我们对Flex集团及其执行管理层和董事会维持最高数据隐私标准的方法和承诺。这些处理个人数据的标准涉及员工、承包商和业务联系人或其他个人的个人数据,Flex集团的所有成员和员工都必须遵守这些标准,执行管理层和董事会将强制执行这些标准。不遵守这些标准,将导致适当的纠正和纪律处分。
- 这些标准的目的:我们将根据数据保护法和所有其他适用法律处理所有个人数据。我们对这些标准的遵守将为您提供所需的保护,使我们能够在Flex集团内处理某些个人数据,包括在EEA之外传输该个人数据。
定义和缩写
- 适用法律手段所有适用的本地数据保护和隐私的法律法规,包括但不限于数据保护法律。
- 业务联系人数据指与Flex集团客户和供应商的业务联系;
- 数据控制器指单独或与他人共同确定个人数据处理目的和方式的自然人或法人;
- 数据隐私如颁布的数据保护法律手段的数据保护;
- 数据处理器指代表资料管理人处理个人资料的自然人或法人;
- 数据保护法律手段:
- 以下法律:
- 监管;和
- 欧洲隐私及电子通讯指示(指示2002/58/EC)
- 以下法律:
包括欧洲经济区成员国不时修订、补充、替换或替换的实施或颁布的。
数据对象系指已确认或可确认的自然人;
- 经济区指欧洲经济区,包括欧洲联盟国家、冰岛、列支敦士登和挪威;
- 员工个人资料方法有关:(a)现任、前任及未来雇员的个人资料;(b)目前、以前和将来的个别承包商;(c)志愿者;(d)代理;(e)临时工和临时工;及(f) Flex组第(a)至(e)段所载的资料当事人的受养人、亲属、监护人及关系人;
- Flex组指在新加坡注册并位于新加坡樟宜南巷2号的伟创力国际有限公司及其受本标准约束的任何子公司;
- 全球资料私隐主任应是本规例所界定的资料保护主任;
全球数据主题权利政策系指所附之保险单附件D这些标准的;
- 提出和处理数据隐私投诉的全球程序系指所附之保险单附件E这些标准的;
- 个人资料系指与可直接或间接从该信息中识别的或可识别的自然人相关的任何信息,包括但不限于员工个人数据、业务联系数据和第三方数据;
- 法规/GDPR指《一般数据保护条例(欧盟)2016/679》中关于处理个人数据和此类数据的自由移动对自然人的保护,以及实施、补充、相关或替代该条例的任何法律。
- 处理具有该规例第4(2)条所载的含义过程和流程应据此解释。
特别类数据指披露资料当事人种族或族裔出身的任何个人资料;政治观点;宗教或哲学信仰;工会会员;基因数据;为唯一识别自然人而处理的生物特征数据;有关健康、性生活或性取向的资料,并就本标准而言,包括有关刑事定罪和罪行的资料;
- 监管机构是指任何有能力的数据保护或隐私权限。
标准装置设定本文件中的术语;
- 第三方数据指与第三方有关的个人资料,如其他个人的联系方式、投诉信息和闭路电视图像;
- 我们,我们的和/或我们指Flex集团及其员工;以及
- 你指数据主体,其个人数据被Flex组处理。
背景
- 什么是数据隐私法规?
数据隐私(也被称为“数据保护”),要求公司按照一定的良好实践的原则来处理个人数据。修正案还规定个人某些权利(例如,访问和纠正自己的信息)。数据隐私法律管辖中的Flex收集,存储和使用个人数据有关的员工,承包商,业务联系人和其他个人的方式。
- 数据隐私法对Flex的国际影响如何?
数据保护法(特别是,《全球数据保护条例》中规定的关于在欧洲经济区以外转移个人数据的限制,以确保数据主体的保护水平不受损害)不允许将个人数据国际转移到欧洲经济区以外的国家,除非这些国家确保足够的数据隐私水平。Flex已采取适当措施,确保向欧洲经济区以外的国家转让个人数据是合法的。这些标准创建了一个具有约束力的公司规则框架,以遵守数据保护法中包含的规则,并为转让给欧洲经济区以外的Flex集团公司的个人数据提供充分的保护,特别是根据数据保护法(特别是GDPR中规定的批准具有约束力的公司规则的机制)。伟创力全球服务(曼彻斯特)有限公司是Flex集团的成员,承担委托的数据隐私责任,并将负责遵守这些标准。
范围
数据涵盖这些标准:本标准适用于我们处理及转移个人资料,而该等个人资料须符合我们作为资料管制员所适用的保障资料法例的规定,并须符合:
- 由EEA内的Flex小组成员处理该等个人资料;
- 由位于EEA外部的Flex组的成员在EEA中处理此个人数据;
- 将此个人数据从EEA内部转移到EEA外部,由Flex组的一名成员转移到Flex组的另一名成员,并随后处理或继续将该成员的此个人数据转移到Flex组的其他成员。
- 我们进行的处理可以是手动的,也可以是自动的。我们处理的个人资料类型包括员工个人资料、业务联系资料和其他个人资料。
- 附加在附件B这些标准包含正在经历下这些标准的传送的个人数据的一般描述。
- 本标准适用于Flex的群里这样的个人数据都受到了数据保护法律和标准的第4.1段内的个人数据的所有处理。
原则
如果Flex是数据控制器,则应遵循以下原则:
- 我们以合法、公平和透明的方式处理个人数据(“合法、公平和透明”):我们会以公平和合法的方式处理个人资料。列出的一个或多个条件附件A或者根据数据保护法律,这应该是依靠合法的数据处理,总是会得到满足。我们会确保你清楚了解有关你的个人资料是如何收集、使用、查阅或以其他方式处理的,以及会在何种程度上处理或将会处理有关的个人资料。我们亦会根据保障资料法例的要求提供资料,包括解释我们如何披露及/或转移个人资料的资料,以及处理资料的法律依据、合法权益、收件人类别及现有权利。任何与处理你的个人资料有关的资料及通讯,均会容易查阅及易于理解;
- 我们将随时通知您我们对您的个人资料的处理情况,并提供有关您在这些标准下的权利的信息:这些标准应在Flex公共网站上公开,也可在Flex内部数据隐私门户网站上公开,并应向全球数据隐私官提出书面请求。在处理您的个人资料之前,我们将告知您作为资料控制人的Flex集团公司的身份,并向您提供资料保护法和本标准要求的所有资料;
- 我们会确保个人资料只会用于指定、明确及合法的目的(“目的限制”):我们将确保我们抓住你的个人资料将被处理为具体的、明确的和合法目的决定的时候收集的个人数据,而不是进一步加工为任何其他目的是不相容的初始目的的个人数据收集;
- 我们将确保遵守与个人数据相关的数据最小化原则(“数据最小化”):我们会确保本处的处理工作处理的个人资料足够、相关,但亦限于与本处处理该等个人资料的目的有关的必要资料。我们将确保个人资料的储存期限严格限制在最低限度。我们不会将个人资料保存超过收集及处理该等资料的目的所必需的时间,除非根据适用法律规定,该等资料须保存较长时间。只有在处理个人资料的目的不能以其他方式实现的情况下,个人资料才会被处理。我们将限制那些需要访问以履行职责的员工访问个人数据。我们要求我们的供应商和供应商在向Flex提供服务时,对他们访问的个人数据采取类似的方法。
- 我们确保个人资料是准确的,如有必要,随时更新(“精度”):我们会确保个人资料是最新和准确的。Flex为个人提供各种更新和更正个人数据的方法,包括在线、使用自助服务系统以及通过联系人力资源全球业务服务部或适当的人员。我们将确保我们采取一切合理措施,确保不准确的个人资料得到及时纠正或删除。
- 我们会确保所保存的个人资料,其格式只可在处理该等个人资料的目的(“储存限制”)所需的时间内识辨个人身分:我们将确保根据适用法律(包括数据保护法)对个人数据进行删除或定期审查的时限。
- 我们采用适当的保安及保密措施来保障你的个人资料(“完整性及机密性”):我们采用适当的技术,组织,行政和物理安全措施来保护您的个人数据不受未经授权或非法处理和防止意外损失,破坏或损坏。考虑到技术状态,这些措施的实施和性质,范围,内容和处理以及不同的权利和个人自由的可能性和严重性的风险的目的的成本,我们实行安全合适由处理和该数据的性质来表示的风险被保护。另外在数据安全漏洞的Flex将通知监管当局,除非数据安全漏洞是不太可能导致风险的权利和数据主体的自由,并通知数据主体如果数据安全漏洞可能导致的事件高风险的数据主体的权利和自由。
- 我们会根据保障资料法例,向你提供查阅、改正、删除、可携性、限制及反对处理资料的权利:你有权要求索取你所持有的所有个人资料的副本。我们会按保障资料法例的规定,向你提供查阅该等资料的机会,除非保障资料法例准许我们拒绝或只部分依从有关要求(例如:如资料当事人的要求明显没有根据或过分,特别是因为其重复性)。在数据保护法律允许的情况下,我们可以为此收取费用。如你的个人资料不准确,你有权要求我们改正,如你的个人资料不完整,则有权要求我们作出补充声明。在某些情况下,你亦有权要求删除你的个人资料,并以你的个别情况为理由,要求限制处理你的个人资料或物件,以处理你的个人资料或任何直接促销活动。在某些情况下,您应有权要求我们以结构化的、常用的和机器可读的格式将您的个人数据传输给您或第三方。如果您希望行使这些权利中的任何一项,您应该通过联系数据隐私联络官、全球数据隐私官或如果您是Flex、HR Global Business Services的雇员来实现。有关进一步资料及程序,请参阅载于附件D。
- 我们承认你的权利,对象直销:如果我们使用您的个人数据进行直接营销,我们将仅在收集您的同意进行此类营销或根据数据保护法律获得其他许可的情况下才会这样做。如果您反对我们使用您的个人数据进行直接营销,您应联系全球数据隐私官,人力资源全球业务服务或使用适用营销传播中可能规定的其他方法。
- 我们只使用有限的自动决策:《保障资料法例》规定,除非在有限的情况下,否则不得纯粹以自动处理个人资料的方式,来评估或决定对产生法律影响或有类似重大影响的个人。例如,我们在某些招聘过程中利用自动决策来测试特定候选人的能力。然而,这一过程通常将与其他招聘过程结合使用,如面试,因此并不完全是在自动化的基础上进行的。如果Flex仅在自动化的基础上做出重大决策,那么它将按照数据保护法律的要求,实现保护措施,比如个人获得人工干预的权利,表达自己的观点,并对决策提出异议。
- 我们采取谨慎的预防措施对于特殊类别的资料和有关刑事定罪和犯罪数据的处理:我们只会根据资料保障法例处理你的特别类别资料及与刑事定罪及罪行有关的资料,包括依据GDPR所订明的至少一项处理该等资料的条件。这可包括在必要时对这类特别类别数据和与刑事定罪和罪行有关的数据使用加强的保障措施。
- 我们在使用数据处理器方面采取适当措施:数据处理器可以包括Flex的集团的成员或谁代表的Flex集团的成员的处理个人数据的外部供应商。我们必须确保,如果我们使用任何内部或外部数据处理器:
(a) 我们将与该数据处理器签订书面合同;
(b)书面合同将包含根据《国家公关法》第28条或其他数据保护法律规定必须具备的所有条款;
(c)该书面合同意愿状态的数据处理器,除其他事项外:
(i)只会根据数据控制器的指示行事;和
(ii)如有任何违反个人资料的情况,有责任立即通知Flex。如资料当事人的个人资料被侵犯,可能会对其权利和自由造成很大的风险,则可能有责任通知资料当事人。资料处理员有责任记录任何违反个人资料的情况,包括有关违反个人资料的事实、后果及已采取的补救行动。文件应应监管当局的要求提供。
- 我们还制定了一个全面的审计计划,以确保数据处理器遵守上述措施(见下文第6.2段)。
- 我们会限制个人资料的传送:原则上,国际转移的个人信息从欧洲经济区国家或领土不充分的数据隐私法律不允许,除非足够的保障措施根据数据保护法律为例,通过Flex组的成员(EEA)外进入这些标准或实施合同条款(如欧盟标准合同条款),保护个人资料被转移。我们只会在符合保障资料法例的情况下,在根据第45、46、47、48条规定提供足够保障或根据第49条规定适用减损的情况下,转移个人资料。我们将确保所有向EEA以外的外部供应商传输的个人数据,除遵守EEA以外的传输规则外,还应遵守与欧盟处理器相关的规则(如上文第5.12段所述)。
我们如何遵守和执行标准
- 我们的隐私官员:我们在Flex团队中维护了一个全面的隐私官网络,这些人负责他们所在国家、地区或部门的数据隐私,包括遵守这些标准。每位资料私隐联络主任向有关的区域资料私隐主任汇报,并最终向直接向执行局汇报的全球资料私隐主任汇报。Flex董事会由法务主管、财务总监和人力资源总监组成,并向首席执行官汇报工作。全球数据隐私官应当按规定和定义的数据保护官员最终负责区域数据的网络隐私官员和数据隐私联络官员,这些标准的制定和实施应对监管当局的要求,并配合监管机构和监测和报告每年合规执行委员会。区域数据隐私官员和数据隐私联络官员负责处理当地投诉数据对象,报告数据隐私问题全球数据隐私官监控在当地的水平,协助培训和合规监管机构的响应请求,并配合监管机构。
- 审计与合规:此外,我们已经制定了全面的审计方案,其中包括定期的内部隐私评估覆盖这些标准的各个方面。这样的隐私评估的结果提供给全球资料私隐主任和伟创力国际有限公司的执行董事会。如果我们确定符合我们的数据保密要求(包括这些标准)的任何间隙工作计划落实到位,以纠正任何差距。当这样的评价涉及到这些标准,他们将应要求提供给主管监督机构。
- 培训计划:我们非常重视数据隐私和证据通过强制性的数据隐私培训所有员工都永久或定期访问个人数据,参与收集个人数据或发展的工具用于处理个人数据在执行他们的职责。除此之外,所有员工都必须遵守包括这些标准在内的所有Flex政策和程序,还必须确认确认Flex行为准则,该准则规定了Flex集团对数据隐私和机密性的承诺。
- 问责制:作为数据控制员的每个Flex集团成员应负责并能够证明其在处理标准第4.1段所述个人数据时符合标准。为了证明合规性,Flex集团成员将按照GDPR第30条的要求记录处理活动的类别。该记录应以书面形式保存,包括以电子形式保存,并应根据要求提供给监督机构。
- 数据保护影响评估:为了增强遵从性,并在需要时,Flex集团成员将与全球数据隐私官协商,进行数据保护影响评估,以处理可能对自然人的权利和自由造成高风险的操作。如果数据保护影响评估的结果表明,在Flex Group成员没有采取措施来减轻风险的情况下,处理将导致高风险,则在处理之前应咨询监管当局。
- 默认和设计的隐私:Flex集团成员应采取适当的技术和组织措施,以实施条例下的数据保护原则,并促进遵守这些标准的要求。
- 国家立法和这些标准:我们会确保在适用的资料保护及私隐法例所提供的保障少于这些标准的情况下,这些标准会适用于我们处理个人资料的工作。然而,如果适用的数据保护和隐私法律提供了更高的保护,我们将确保我们将遵守更高的标准。另外,如果Flex组的成员认为,冲突与适用的数据保护和隐私法阻止它履行其职责根据这些标准监督主管部门(包括下面的建议),成员单位将及时通知全球数据隐私官或适用的数据隐私联络官谁(咨询法律部门或有关监管部门,必要时)负责任地决定采取什么行动。
Flex将确保,如果有理由相信适用于其的法律阻止其履行这些标准下的义务,或对其遵守这些标准的能力产生实质性影响,它将立即通知具有数据保护授权责任的Flex集团成员和全球数据隐私官,除非执法机构另有禁止,例如刑法禁止保护执法调查的机密性。
如果Flex在非eea国家所受的任何法律要求可能对这些标准所提供的保护产生重大不利影响,则应向监管当局报告该问题。这包括任何具有法律约束力的要求披露的个人资料,由执法机构或国家安全机构。监察当局应清楚了解有关要求,包括有关所要求的数据、提出要求的机构的资料,以及披露的法律依据(除非另有禁止,例如刑法禁止为执法调查保密)。在这些情况下,Flex成员将尽其最大努力获得放弃这一禁令的权利,以便尽可能快地传递尽可能多的信息,并能够证明它这样做了。如果,在上述情况下,尽管利用其最大的努力,Flex成员不通知监管当局,Flex每年必须提供一般信息请求它收到监察机关(例如申请信息披露的数量、类型的数据请求,请求者如果可能,等等)。在任何情况下,一个灵活的团队成员向任何公共机构转移个人数据的行为都不可能是大规模的、不成比例的、不加区别的,这将超出民主社会的必要范围。
与监察机关的关系
- 与监管机构合作:Flex的小组成员将与任何监管机构合作,并会为了这样做,以处理从数据主体或调查或询问的任何请求或投诉相互提供协助。我们与数据保护法遵守任何问题应该用联系方式列在这些标准谁将会与相关监管机构(如适用)咨询结束时给全球数据隐私官。Flex的集团的成员将由监督机构对有关这些标准的符合数据保护法的解释任何问题,建议遵守。各监管当局的授权审计的Flex集团谁是这些标准,并建议结合对有关这些标准的所有事项的任何成员。Flex的集团的这些成员必须尊重每一个地方监管局的决定与数据保护法律和正当程序和不放弃任何抗辩或上诉的权利相一致的程度。
你在这些标准下的权利
- 我们对您的责任:这些标准中所述的政策和程序是适用的数据保护和隐私法或我们的其他政策和程序提供的任何其他补救措施的补充。伟创力全球服务(曼彻斯特)有限公司已被伟创力集团提名为欧洲经济区内负责这些标准的公司。伟创力全球服务(曼彻斯特)有限公司将对受本标准约束的欧洲经济区以外的伟创力集团成员的任何违约行为负责并采取任何必要的补救措施,并有足够的资产支付因违反本标准而造成的任何实质性和非实质性损害的赔偿。这将包括根据适用的数据保护和隐私法实施的任何制裁或其他可用补救措施,包括要求支付因欧洲经济区以外的Flex集团成员违反标准而造成的任何实质性或非实质性损害的赔偿。如果欧洲经济区以外的Flex集团成员违反这些标准,英格兰和威尔士的法院或监管机构将拥有管辖权,而Flextronics全球服务(曼彻斯特)有限公司应向您承担责任,如同违约是由英格兰和威尔士的法院或监管机构而非欧洲经济区以外的Flex集团成员造成的一样。如果伟创力全球服务(曼彻斯特)有限公司能够证明被指控违约的伟创力集团成员不对导致损害的违约行为或未发生此类违约行为承担责任,则伟创力全球服务(曼彻斯特)有限公司不承担任何责任。证明责任将由伟创力全球服务(曼彻斯特)有限公司承担,以证明被指控违约的欧洲经济区以外的Flex集团成员不对导致损害索赔的任何违反标准的行为承担责任。在上述每一种情况下,如果认为违反了这些标准,索赔人有责任证明他或她遭受了损害,并确定事实,证明损害很可能是由于这种违反而发生的。
- 您在这些标准下的权利:如果您认为Flex小组的某个成员违反了这些标准,您可以通过联系HR Global Business Services或Global Data Privacy Officer(请参阅下面第10段)提出投诉。请同时参阅有关提出及处理资料私隐投诉的全球程序(有关程序的副本可在Flex资料私隐入门网站及附件E),当中载列有关投诉处理程序的进一步详情。你可以执行这些标准的权利(包括那些在段落5,6.4,6.7,7日,8.1,8.2,8.3和9.1)作为第三方受益人,与转移的个人信息由Flex组的成员或一个数据处理器的成员任命的Flex集团位于欧洲经济区国家欧洲经济区以外。可以通过(a)提高和突破的问题之前,监管机关(我)你是常住居民,或(ii)你在哪里工作,或(3)数据保护法律的违反,或(b)将违反法院前的问题(我)你在哪里常住居民,或(ii)在英格兰和威尔士的管辖,或(iii)在您所选择的转让源所在的Flex集团成员的管辖范围内,以寻求包括获得赔偿的权利在内的司法救济。本款所包含的权利是对您在法律上可能享有的任何其他权利或救济的补充,并且不应损害任何其他权利或救济,包括在适当情况下获得赔偿的权利。在不影响第8.2节中规定的情况下,如果Flex在这种情况下遵守了适当的注意标准,或者根据数据保护法采取了其他行为,则不应认为Flex违反了这些标准。
- 作为第三方受益人从这些权利中受益的所有数据主体应按照GDPR第13条和第14条的要求提供信息。这些标准载有关于第三方受益人在处理其个人数据方面的权利以及在有关责任的条款和有关数据保护原则的条款中行使这些权利的手段的必要资料。这些标准可在Flex网站上获得,在每个适用的隐私声明中都有提及,并可根据全球数据隐私官的要求获得。
总则
- 更新这些标准:我们可能会不时修订这些标准(包括考虑到监管环境或公司结构的变更)。Flex组的其他成员可能会受到这些标准的约束,而Flex组的某些成员可能不再受到这些标准的约束。因此,我们将确保从全球数据隐私官处获得Flex小组成员的完整更新列表,并应要求向数据主体和监管当局提供这些信息。全球数据隐私官将跟踪并记录标准的任何更新。此外,于本标准的所有修订将受到全球数据隐私官,并报告无故拖延到所有Flex小组成员和有关监管当局的批准,经主管监督管理局。
对标准或Flex集团成员名单的任何变更,应至少每年向各监管机构报告一次,并简要说明更新的理由。重大变更,如可能影响标准提供的保护水平或对标准产生重大影响的变更,必须立即通知相关监管机构,并在必要时征求监管机构的批准。
一旦对标准的任何修订获得批准,这些修订将传达给受这些标准约束的Flex集团的所有成员,并张贴在Flex公共网站和Flex集团内部网上的数据隐私门户网站上。标准的任何修订应包括修订日期。我们不会将本标准所涵盖的个人资料转让给Flex Group的任何成员,除非该成员受本标准约束并能够提供合规性。
- 生效日期:2015年6月30日。
2018 5月25日:更新的有效日期。
联系信息
联络:如果您对这些标准的任何问题,在这些标准或任何其他隐私问题您的权利,您使用下面的详细信息可与我们联系。yabo88亚博
全球隐私官
电子邮件:chiefprivacyofficer@www.boboyy8.com
人力资源全球业务服务
电子邮件:dataprivacy@www.boboyy8.com
附录A -在处理个人资料前,Flex须符合的条件
在处理Flex集团在本标准第4.1段中所述的个人数据之前,必须满足以下至少一个条件:
- 资料当事人给予同意;
- 的处理是必要的合同到该数据主体是一方的性能或采取步骤在数据主体的所述请求之前订立合同;
- 该处理是必要的,符合Flex的法律义务,除合同义务等;
- 该处理是必要的,以保护数据主体或其他自然人的切身利益;
- 为执行为公众利益而进行的任务或为行使赋予控制者的官方权力而进行的处理是必要的;
- 为了追求Flex或第三方的合法利益,处理是必要的,除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒,特别是当数据主体是儿童时。
在处理本标准第4.1段所述的个人数据(Flex Group的特殊类别数据)之前,必须满足以下至少一个条件:
- 资料当事人已明确表示同意;
- 的处理是必要的为了执行控制器的具体义务和行使权利或数据的主题领域的就业和社会保障和社会保障法律迄今为止是批准由工会或成员国依照法律或集体协议成员国法律提供适当的保障基本权利和利益的数据主题;
- 为保护数据主体或者其他自然人的切身利益,数据主体在物理上或者法律上不能表示同意的;
- 处理过程是在其合法活动的过程中进行的,并由具有政治、哲学、宗教或工会的目的和条件是处理仅仅涉及到身体的前成员或成员人员定期与它连接的目的,不透露个人资料外,身体没有同意的数据对象;
- 该处理涉及由数据对象显然公开的个人数据;
- 为确立、行使或抗辩法律权利要求所必需的;
- 该处理是必要的大量公共利益的原因,欧盟或成员国法律的基础上,其应当与目标追求,尊重权利的实质数据保护,并提供适当和具体措施,以保障基本权利上和数据主体的利益;
- 为了预防医学或职业医学的目的,为了评估员工的工作能力,医学诊断,根据联邦或成员国法律或根据与健康专业人员的合同提供健康或社会护理或治疗,或管理健康或社会护理系统和服务;
- 该处理是必要的公共健康领域的公共利益的原因,如防范严重跨境威胁健康或确保高标准医疗服务的质量和安全的药品或医疗器械的基础上,欧盟或成员国法律,提供合适的和具体的措施,以保障资料当事人的权利和自由,尤其是专业保密;
- 根据欧盟或成员国法律第89条第(1)款,为了公共利益、科学或历史研究目的或统计目的的存档目的,这种处理是必要的,应与所追求的目标相称,尊重数据保护权的实质,并规定适当和具体的保障数据主体基本权益的措施。
所有与Flex集团的刑事定罪和犯罪有关的数据处理应基于数据保护法律的条件。
附录B——标准材料范围说明
个人资料的转让Flex组
员工转移数据
用于出口或进口的目的 |
·招聘,包括在Flex集团内规划和实施招聘战略和人员配置 ·招聘和人员管理 ·工资和员工福利管理,包括休假管理,薪酬管理,重点审核,绩效考核和员工关怀服务 ·职业发展与人才管理 ·养老金等养老金 ·股票管理,包括员工股票购买计划的管理、归档和报告 ·纪律和申诉程序 ·平等机会的管理在美国 ·绩效管理和考核 ·管理人事记录和查询支持,包括休假、缺勤、工资和福利 ·维护员工和承包商的商业通知和/或通信的目录和方便记录 ·培训管理 ·用于欺诈预防或调查,或其他风险管理目的 ·根据数据主体的书面要求,在适当的情况下 ·安全,包括工人索赔的支持信息,以及在危及个人健康或安全的紧急情况下 ·商务旅行 ·遵守合同、法律和监管义务,处理法律索赔和纠纷 ·与数据主体其他人事事项要求或法律法规允许的。 ·与近亲接触 ·授权控制和数据安全 ·备份和业务连续性 ·保护知识产权、机密信息和资产 ·集团结构中的管理预测和规划变更 |
数据主体类型 |
工作人员包括: ·现任、前任和未来员工 ·当前,前和潜在承包商 ·志愿者 ·代理人 ·临时工和临时工 ·上述数据主体的受养人、亲属、监护人和关联人。 |
个人资料的分类 |
·个人资料,包括姓名,出生日期,家庭住址,国家税务ID,社会安全号码,驾驶证号码,护照号码和个人的电子邮件地址 ·家庭、生活方式和社会环境,可能包括婚姻状况、伴侣的详细信息、孩子的详细信息和母亲的姓名 ·教育和培训资料,包括学历,学习成绩,学校,培训记录和专业知识 ·雇佣详细信息,包括雇佣状态、工作角色、雇佣日期、工作地点、终止日期、状态、评估详细信息和组织详细信息,如受雇公司、办公地址、工作电话号码、个人照片、部门和主管、成本中心、员工类型以及全职或兼职,工作电子邮件地址、内部网用户登录、主管详细信息、人力资源顾问详细信息、其他电子邮件地址、职务描述、代码和员工ID ·财务细节,包括优惠事项,股权,工资,费用,工资卡信息和银行账户信息,分红目标和退休金信息 ·商品和服务详细信息,包括数据主体出售的交易或产品的详细信息 |
与刑事定罪或犯罪有关的特殊类别数据或数据类型 |
·种族或人种 ·宗教或其他类似性质的信仰 ·工会会员 ·身体或精神健康或状况 ·罪行(包括任何指称的罪行) |
有权查阅个人资料的人士类别 |
员工数据由人力资源部成员,有关员工的经理和人力资源全球商业服务的成员出于上述目的处理。某些该员工数据也可以发送到: ·数据主体本身 ·亲属、监护人或与资料当事人有关的其他人 ·资料主题的当前、过去或未来雇主 ·教育、培训机构和考试机构 ·商业伙伴和其他专业顾问 ·其他实体伟创力 ·伟创力的员工和代理商 ·商品和服务的供应商和/或提供者 ·金融机构和顾问 ·征信机构 ·行业、雇主协会和专业机构 ·法律要求的政府机构和执法机构 ·就业和招聘机构 ·年金基金管理 ·伟创力指定的数据处理器处理数据 ·关于处置任何灵活业务或资产的潜在收购方或购买者 |
其中,个人数据从出口国家 |
世界各地,包括奥地利,巴西,加拿大,中国,捷克共和国,丹麦,芬兰,法国,德国,香港,匈牙利,印度,印度尼西亚,爱尔兰,以色列,意大利,日本,马来西亚,毛里求斯,墨西哥,荷兰,菲律宾,波兰,罗马尼亚,俄罗斯,瑞士,瑞典,英国,新加坡,韩国,中国台湾,土耳其,乌克兰和美国。 |
个人资料输往的国家 |
世界各地,包括奥地利,巴西,加拿大,中国,捷克共和国,丹麦,芬兰,法国,德国,香港,匈牙利,印度,印度尼西亚,爱尔兰,以色列,意大利,日本,马来西亚,毛里求斯,墨西哥,荷兰,菲律宾,波兰,罗马尼亚,俄罗斯,瑞士,瑞典,英国,新加坡,韩国,中国台湾,土耳其,乌克兰和美国。 |
依据转送 |
在符合一个或多个附件A的数据隐私标准条件的基础。 |
业务联系信息的传递
用于出口或进口的目的 |
·维护和建立客户和供应商关系 ·商业计划 ·完成由数据主体发起的事务 ·为了实现由Flex集团的成员发起的交易,如购买物资或设备 ·与Flex客户完成交易,或为Flex客户完成交易 ·保留与Flex开展的任何业务或其他活动相关的账户 ·决定是否接受任何人作为客户或供应商 ·保存采购、销售或其他交易的记录,以确保支付和/或交付所需款项或提供服务 ·完成顾客满意度调查 ·研发 ·业务发展 · 事件管理 ·数据库管理 ·跑步比赛 ·安全 ·用于欺诈和盗窃预防或调查,或其他风险管理目的 ·遵守合同、法律和监管义务 ·根据数据主体的书面要求,在适当的情况下 |
数据主体类型 |
灵活的客户(包括我们客户的客户)、业务联系人和供应商 |
个人资料的分类 |
·个人资料,包括姓名,家庭住址,工作单位,办公地址,个人和工作电话号码和家庭和工作电子邮件地址。 ·财务细节,包括发出和接收和增值税/营业税付款 ·商品或提供的服务或购买 |
与刑事定罪或犯罪有关的特殊类别数据或数据类型 |
· 没有 |
有权查阅个人资料的人士类别 |
业务联系数据主要由Flex员工使用,以满足他们的工作需求。然而,业务联系数据客户信息也可以发送到: ·商业伙伴和其他专业顾问 ·伟创力的其他员工、代理商和承包商 ·商品和服务的供应商和/或提供者 ·第三方,包括事件管理的目的 ·政府机构,法院和执法机构的法律规定 ·索赔人,受益人,受让人和收款人 ·关于处置任何灵活业务或资产的潜在收购方或购买者 |
其中,个人数据从出口国家 |
世界各地,包括奥地利,巴西,加拿大,中国,捷克共和国,丹麦,芬兰,法国,德国,香港,匈牙利,印度,印度尼西亚,爱尔兰,以色列,意大利,日本,马来西亚,毛里求斯,墨西哥,荷兰,菲律宾,波兰,罗马尼亚,俄罗斯,瑞士,瑞典,英国,新加坡,韩国,中国台湾,土耳其,乌克兰和美国。 |
个人资料输往的国家 |
世界各地,包括奥地利,巴西,加拿大,中国,捷克共和国,丹麦,芬兰,法国,德国,香港,匈牙利,印度,印度尼西亚,爱尔兰,以色列,意大利,日本,马来西亚,毛里求斯,墨西哥,荷兰,菲律宾,波兰,罗马尼亚,俄罗斯,瑞士,瑞典,英国,新加坡,韩国,中国台湾,土耳其,乌克兰和美国。 |
依据转送 |
在符合一个或多个附件A的数据隐私标准条件的基础。 |
其他个人资料的转移
预防和起诉犯罪
用于出口或进口的目的 |
·预防犯罪和协助有关当局和机构侦查、逮捕和起诉罪犯 ·监控和收集视觉图像,以维护适用Flex场所的安全 ·应法院或政府机构的合法要求,或以其他方式遵守适用法律或强制程序 |
数据主体类型 |
·Flex客户和客户(包括我们客户的客户)、业务联系人和供应商 ·顾问、顾问和其他专业专家 ·公众人士 ·弹性员工,包括志愿者、代理人、临时工和临时工 ·在监控区域内、进入或邻近区域的人员 |
个人资料的分类 |
· 个人资料 ·家庭、生活方式和社会环境 ·教育和就业详情 ·财务细节 ·提供的货物或服务 ·声音和/或视觉图像 |
与刑事定罪或犯罪有关的特殊类别数据或数据类型 |
·罪行,包括涉嫌罪行 ·刑事诉讼、结果和判决 |
有权查阅个人资料的人士类别 |
·数据主体本身 ·商业伙伴和其他专业顾问 ·Flex的其他员工和代理 ·Flex集团其他公司 ·进行调查或投诉的人员 ·政府机构,法院和执法机构的法律规定 ·商品和服务的供应商和/或提供者 ·第三方供应商提供和安全服务 |
其中,个人数据从出口国家 |
世界各地,包括奥地利,巴西,加拿大,中国,捷克共和国,丹麦,芬兰,法国,德国,香港,匈牙利,印度,印度尼西亚,爱尔兰,以色列,意大利,日本,马来西亚,毛里求斯,墨西哥,荷兰,菲律宾,波兰,罗马尼亚,俄罗斯,瑞士,瑞典,英国,新加坡,韩国,中国台湾,土耳其,乌克兰和美国。 |
个人资料输往的国家 |
世界各地,包括奥地利,巴西,加拿大,中国,捷克共和国,丹麦,芬兰,法国,德国,香港,匈牙利,印度,印度尼西亚,爱尔兰,以色列,意大利,日本,马来西亚,毛里求斯,墨西哥,荷兰,菲律宾,波兰,罗马尼亚,俄罗斯,瑞士,瑞典,英国,新加坡,韩国,中国台湾,土耳其,乌克兰和美国。 |
依据转送 |
在符合一个或多个附件A的数据隐私标准条件的基础。 |
管理股权
用于出口或进口的目的 |
·决定是否接受任何人作为股东 ·保持记录和管理购买股票或其他相关交易 ·用于欺诈预防或调查,或其他风险管理目的 ·为了保护灵活的合法权利或资产,促进灵活业务的收购或处置 ·应政府机构、法院和执法机构的合法要求,并以其他方式遵守适用法律或强制程序 |
数据主体类型 |
·股东与股东关系 |
个人资料的分类 |
·个人信息,包括联系方式 ·财务细节 |
敏感个人资料的类型 |
无 |
有权查阅个人资料的人士类别 |
个人数据主要由Flex使用员工必须履行自己的工作要求和管辖股东的利益。但是个人数据也可以发送到: ·数据主体本身 ·商业伙伴和其他专业顾问 ·Flex的其他员工和代理 ·Flex集团其他公司 ·与处置任何灵活业务或资产有关的潜在收购方或收购方 ·法律要求的政府机构、法院或执法机构 ·监察员和监管当局 |
其中,个人数据从出口国家 |
全球包括奥地利、巴西、加拿大、中国、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、马来西亚、毛里求斯、墨西哥、荷兰、菲律宾、波兰、罗马尼亚、俄罗斯、瑞士、瑞典、英国、新加坡、韩国、台湾、土耳其、乌克兰和美国。 |
个人资料输往的国家 |
全球包括奥地利、巴西、加拿大、中国、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、马来西亚、毛里求斯、墨西哥、荷兰、菲律宾、波兰、罗马尼亚、俄罗斯、瑞士、瑞典、英国、新加坡、韩国、台湾、土耳其、乌克兰和美国。 |
依据转送 |
在符合一个或多个附件A的数据隐私标准条件的基础。 |
附件D -全球数据主体权利政策
- 介绍
- 本全球数据主题权利政策的目的
- 伟创力(柔性)致力于隐私和尊重那些个人数据的Flex收集和使用的权利。支持隐私要求我们所有的人都有的,个人有超过属于他们,我们收集或保存数据的权利的意识。
- 我们持有和使用其个人数据的每个人都有权使用该数据。这包括员工、业务联系人和网站用户。本政策旨在使我们能够根据我们的数据隐私标准尊重这些权利。
- 本政策的个人权利体现在数据隐私标准,并在全球Flex的隐私政策和规则的第7条所列的权利。
- Flex支持个人有权行使其权利来保护和验证其个人数据的正确使用。如果有人问我们关于Flex保留的个人数据的问题,Flex会以快速而有帮助的方式做出回应。Flex将帮助个人行使这些权利,并在可行的情况下,为行使这些权利提供电子手段。
- 个人可以口头或书面联系Flex,要求Flex对其个人数据采取一些行动。请求应首先提交给您所在辖区的本地数据隐私联络官,或提交给全球数据隐私官,全球数据隐私官是欧盟通用数据保护条例(“GDPR”)中的数据保护官,可以通过以下方式联系:chiefprivacyofficer@www.boboyy8.com或+43 1 602 4100 1737。
- 该政策解释了Flex的如何识别和有关其个人数据来响应请求。
- 在一般情况下,柔性必须要查询一个月内收到请求的回应,所以这是非常重要的请求被识别并交给Flex内正确的人尽快。
- 我们处理个人申请的主要目的是:
- 识别尽早请求的性质;
- 回应对及时提出请求的个人;
- 一起工作提出要求的个人应了解他们的要求、他们的关注事项以及我们如何提供协助;和
- 保持清晰的记录关于我们收到的每一个请求和我们的回复。
- 个人有什么权利?
- 个人有权就Flex保留的个人数据提出以下类型的请求:
- 访问权(主题访问请求)-有权要求Flex提供一份有关个人的个人资料副本,以及解释如何使用个人资料的辅助资料。
- 整改的权利–有权要求我们纠正有关个人的不准确个人数据。
- 右擦除(被遗忘的权利)–在某些情况下,有权要求Flex删除与个人有关的所有个人数据。
- 有权限制处理-在某些情况下,要求Flex不使用他们提供的个人数据的权利(例如,如果他们认为这些数据是不准确的)。
- 正确的数据可移植性- 正确的,在某些情况下,以请求端口Flex的个人数据到个人或机器可读格式的新供应商。
- 反对权- 到对象的权利,他们的个人数据的某些处理(除非有柔性覆盖令人信服的理由来继续处理)和反对直接营销/分析的权利。
- 与自动决策有关的权利–不受对个人有重大影响的自动决策的影响的权利(例如,某些特征分析)。
- 挠性将上述在1.2(a)中列出的请求作出响应根据附件d 1.1(克)。然而,在某些情况下,该期间可以通过进一步延长两个月,考虑到该请求(多个)的复杂性和做出的请求的数量。如果适用,GDPO,与法律团队协商,将采取这种决定,并通知收到请求后一个月内数据为准,与延误原因在一起。其中数据主题取得了以电子方式的要求,应在可能情况下,除非另有资料当事人请求的电子手段提供的信息..
角色和职责
- 个人有权就Flex保留的个人数据提出以下类型的请求:
- 本全球数据主题权利政策的目的
角色 |
责任 |
数据对象 |
谁有权提高个别权请求权的个人/数据主体的权利要求。 |
数据隐私联络官(DPLO) |
负责提升其管辖范围内的个人权利请求,并负责Flex全球隐私政策和规则第6节中规定的任务。向相关区域数据隐私官报告。 |
区域数据隐私官(RDPO) |
负责Flex全球隐私政策和规则第6节规定的任务,并遵守数据隐私标准。向全球数据隐私官报告。 |
全球数据隐私官(GDPO或DPO) |
欧盟一般数据保护条例(“GDPR”)中的数据保护官员。负责Flex全球隐私政策和规则第6节规定的任务,负责区域数据隐私官员、数据隐私联络官的网络,制定和实施数据隐私标准,响应监管机构的请求,并与监管机构合作当局。可以将此策略中的任务委派给RDPO。 |
- 识别个人权利请求
- 识别来自个人关于他们的个人数据的请求是至关重要的,也是必需的Flex中每个人的支持。
- 在收到个人请求后,我们必须确定并通知Flex中的相关人员。
- Flex的要求作出回应,和地址,内请求一个月接受他们。因此,必须Flex的迅速和有效地采取行动。
- 识别个人权利请求
- 有关个人资料的要求可能并不总是完全明显或清晰。要求可参考资料保护法,例如欧盟通用数据保护条例或“GDPR”,但要求不需要指任何法律是有效的。
- 听着,寻找关键词和短语以确定某项通讯是否属于有关个人资料的要求。以下关键字和短语并非详尽无遗的指标清单:
- 请你给我/我提供/派我来Flex保存的关于我的所有个人信息。
- 你是使用我的数据/为什么你在使用我的数据吗如何你在使用我的数据吗谁你跟分享我的数据?
- 你有错误的[地址、出生日期、姓氏、性别等]请给我改变它到…
- 删除/删除/清洗你对我的所有信息。
- 停止用我的信息,它是违法的你可以这样使用它不准确的/你没有需要再使用它/I不想您可以用它来...。”
- ”给我把我所有的数据都发送给
- Flex通过其全球业务服务(GBS公司)保留一个专门的电子邮件地址,以便受试者提交个人权利要求。地址是dataprivacy@flextronics.com. 但是,可以通过任何方式提出权利请求,例如。亲自,在电话,作者电子邮件,信或传真. 在同一通信中还可以接收多种形式的权利请求。
- 如果您认为某个请求涉及或可能涉及个人数据,请立即通知数据隐私联络官(DPLO)。
- 如果你不能确定请求是合法的,或者提出请求的人是他们所说的人,那么就采取常识性的步骤进行检查。例如,拨打个人提供的号码,以检查他们是否已提出请求,或要求他们从已识别的帐户发送电子邮件。如果您仍然不确定提出请求的人的身份,请与全球数据隐私官(GDPO)联系,以确定应采取哪些进一步措施
报告和回应个人请求
-
- 当您收到的东西,看起来是或可能是,有关个人数据的请求,请立即通知DPLO. 如果您不知道DPLO的标识或他们不可用,请与您的直线经理或法律团队联系。
- 该GDPO将与DPLO工作从申报资料的个人要求的所有信息可能是必要的,以确定该请求的性质,例如请求人的护照复印件,和/或最近的公用事业账单。
- 该GDPO将决定该请求是否是有关个人数据的有效的请求,并确保Flex有承认收到请求到有关个人的。
- 个人权利请求也有可能通过第三方提出。通常,这将是一个代表个人的律师。在这些情况下,Flex将验证是否授权第三方代表个人提出请求。第三方需要提供此授权的证据。证据可以是书面形式,以授权第三方提出此类请求,也可以是一般授权书。
- GDPO将确定请求的类别,并根据下文规定的相关流程和数据保护法规定的灵活义务作出响应。GDPO将在DPLO、RDPO、您的直线经理、IT和法律团队的支持下响应请求。
- GDPO应定期审查收到的请求总数,以及此类请求是否已按照本政策处理,并在适当情况下审查导致请求的任何潜在问题。
- 一旦确定了个人的要求,gpo应遵循以下相关流程。
- 访问权(主题访问请求)
- 您将与GDPO和IT团队合作,通过安排对我们所有相关系统的搜索,查找适当的个人数据(包括共享和个人驱动器等本地存储)、电子邮件服务器、备份位置和代表我们存储个人数据的第三方应用程序,来处理访问请求,在我们的指导下,工作日、Salesforce CRM平台、会计程序等。如果可能的话,让个人填写个人权利申请表。表格副本将在门户网站上提供。yaboapp体育官网
- 的应尽快启动搜索过程因为它可以详细和费时的工作。
- 所有相关的团队/部门应联系以确保搜索所有相关文件、文件夹(电子或纸质)和第三方应用程序。
- 当一个普通请求是“由Flex持有的所有信息”时,搜索条件应该尽可能广泛一审查明有关个人所有可能的文件。搜索条件,如个人的姓名,地址,姓名缩写,别名等,应该用来协助。个人的个人数据可能会出现在信函,备忘录,电子邮件,文件,票据,电子地址簿等,以及在我们的客户或人力资源数据库和客户档案。
- 在完成搜寻后,你将与GDPO(如有需要,法律团队)一起准备和回应该名个人,提供该名个人合法有权获得的相关个人资料和相关信息的副本。
- 所有反应必须由GDPO签署关闭,并包含以下信息:
- 处理的目的;
- 有关个人资料的类别;
- 已向或将向其披露个人数据的接收者或接收者类别,特别是非欧洲经济区国家或国际组织的接收者(以及用于国际传输的适当保护措施的信息,如相关);
- 如有可能,预计储存个人资料的期间,或如不可能,用以确定该期间的准则;
- 是否有权要求弹性改正或删除个人资料,或限制处理与该资料当事人有关的个人资料或反对该等处理的个人资料;
- 向监管当局(例如英国的信息专员(ICO));
- 如个人资料并非由资料当事人收集,则有关资料来源的任何现有资料(例如由第三者提供的资料);和
- 是否存在应用于其任何数据的任何自动决策(包括分析),所涉及逻辑的信息,以及此类处理对数据主体的重要性和预期后果。只有当剖析产生法律效应或其他会对相关个人产生重大影响的情况下,才有必要披露有关剖析的信息。判断一个人是否得到了一份工作或升职;或决定了任何产品或服务提供给他们或目标的人弱势群体的价格。
- 如以电子表格(例如电邮)提出查阅资料要求,资料应以常用的电子表格提供,例如PDF、Word或Excel(除非资料当事人另有要求)。
- 豁免:
- Flex的不应该对个人提供的数据,如果这样做的不利影响(还必须提供,如在数据披露了有关第三方可能他们产生不利影响的信息有关,不影响他人的个人数据)他人的权利。
- 如果Flex持有大量关于个人的数据,Flex可以要求个人指定与他们的请求相关的信息或数据的使用—但是一旦我们确定了信息,Flex仍然必须响应请求。
- Flex不应提供受法律特权限制的信息。
- 如果GDPO认为豁免可申请,该GDPO将通知律师团队必须决定共同的GDPO和法律团队之间进行。
- 时机
- Flex必须向个人提供这些信息毫不迟延地和在一个月内接收请求的最迟时间。
- 如果GDPO,与法律团队合作在必要时确定的适用豁免时,GDPO应当通知请求人毫不迟延地和一月内与原因说明为什么将Flex的不符合他们的要求。
- 保持记录中
- 人力资源全球企业咨询服务团队将保持这一进程,并响应为每个请求的完整记录。
- 整改的权利
- 你将与GDPO和IT团队合作定位个人声称的数据是不正确的,如果情况如个人所描述的那样,则纠正存储在我们所有文件和系统上的数据。
- 如果个人要求填写不完整的数据,您将与GDPO和IT团队一起完成数据。这包括允许个人提供补充声明以完成数据。
- 您将与GDPO工作通知个人信息已被纠正/完成尽快。
- 时间
- Flex必须纠正/完成相关信息毫不迟延地和在一个月内接收请求的最迟时间。
- 保持记录中
- 人力资源全球企业咨询服务团队将保持这一进程,并响应为每个请求的完整记录。
- 擦除权(被遗忘权)
- 这项权利只适用于某些情况(见下文)。在与人力资源信息系统团队联系进行删除之前,GDPO将首先评估个人是否真的拥有该权利。
- 这一权利只有适用于当:
- 所收集或处理的数据不再是必要的;
- 个人撤回对处理的同意(并且没有其他处理的理由);
- 对于Flex使用其数据和Flex的个别对象,不能证明存在覆盖处理的合法理由;
- Flex的已非法使用他们的数据;或
- 必须删除数据以符合法律规定。
- 如果gpo认为该权利适用,则将该结论提交法律团队进行审查。如果法律团队和GDPO同意使用该权利,IT团队将协助从我们的系统(以及个人数据存储在其中的任何第三方系统(例如,IT托管提供商、数据库提供商等)中删除相关数据。
- 如果数据已经由Flex公之于众,还需要通知其他人谁可以利用这些数据(如合作伙伴,链接社交媒体网站等),个人已经请求其数据将被删除。Flex的将采取合理措施来做到这一点(考虑到现有的技术和成本实现)。该GDPO,与法律团队在必要的工作,将决定什么,这些合理的步骤。
- 豁免
- 如果需要处理数据,Flex不需要遵守擦除数据的请求:
- 行使言论和信息自由;
- 遵守法律;
- 为公众健康理由;
- 在公共利益存档的目的
- 科学研究目的、历史研究目的或者统计目的;或
- 如果需要在法律的申索;
- 如果请求明显没有根据或过分(特别是同一个人多次发出相同请求时),Flex也不需要遵从。
- 如果GDPO认为豁免可申请,该GDPO将通知法律团队,决定将共同在GDPO和法律小组之间进行。
- 如果需要处理数据,Flex不需要遵守擦除数据的请求:
- 时间
- Flex必须删除这些信息毫不迟延地和在一个月内接收请求的最迟时间。
- 如果GDPO在必要时与法律团队合作,确定豁免适用,GDPO应通知提出请求的个人毫不迟延地和一月内与原因说明为什么将Flex的不符合他们的要求。
- 保持记录中
- 人力资源全球企业咨询服务团队将保持这一进程,并响应为每个请求的完整记录。
- 有权限制处理
- 个人可以要求Flex在某些情况下限制对其个人数据的处理。
- 这一权利只有适用于当:
- 个人对弹性持有数据的准确性存在争议;
- 在处理和Flex的各个对象的确定是否存在在其上继续处理他们的个人数据正当理由;
- 该处理是非法的,但要删除的单个对象,并要求限制,而不是;
- Flex的对数据不再需要,但个别需要它与法律要求的连接。
- 在每个上述的情景时,Flex可以要求,直至情况得到解决,以限制使用的数据的;然而,Flex将可能继续存储数据。此权限仅作为临时措施。
- 当数据是限制, Flex可能只存储数据。否则不得使用,除非:
- 个人同意;
- 它的使用是必要的,与法律要求连接;或
- 这是出于公共利益的考虑。
- GDPO应评估该权利是否适用,如果适用,应与it团队合作,限制相关数据的处理。
- 对于通常自动处理的数据,GDPO应指示IT团队采取措施隔离或阻止相关数据。
- 国家知识产权局应与处理个人资料的业务单位合作,确保所有有关人员了解有关的限制。
- 必要时,gpo可与法律团队合作,确定上述限制不再适用,因为上述要求已无法满足。在放开数据处理之前,gpo必须首先通知相关个人。
- 时间
- Flex必须响应限制处理的请求毫不迟延地无论如何在一个月内收到请求。
- 保持记录中
- 人力资源全球企业咨询服务团队将保持这一进程,并响应为每个请求的完整记录。
- 正确的数据可移植性
- 个人可要求我们将其持有的某些数据传输给个人或其他实体。
- 这一权利只有应用:
- 至个人提供给Flex的数据(因此并不适用于哪个Flex已经关于单个创建的数据)。然而,关于如何个人用途的产品或服务或设备将被视为单个“提供的”的信息;
- 其中相关数据的处理基于个人的同意或者与个人签订合同;和
- 该处理是通过进行自动化意味着。
- 如果合适,Flex必须以结构化的、常用的和机器可读的形式向个人提供相关数据。这意味着excel电子表格、word文档或其他常见文本文件。
- 这一权利的目的是使由第三方提供商所使用的信息,所以这更进一步,而不是访问权。
- 如果个人的请求,他们的数据直接传输到另一个实体时,Flex必须这样做,它在技术上是可行。
- 豁免
- 如果这样做会对其他人的权利造成不利影响,Flex不必移植数据。这将适用于“移植”的信息包括关于第三方个人的信息,如果该信息将用于不同的目的;
- 柔性不必端口的数据是否会导致它在受到侵害或者被泄露我们的商业机密我们的知识产权。但是,如果信息可以在没有这些权利干涉的情况下发布,它应该被释放的方式。
- 如果GDPO认为豁免可申请,该GDPO将通知法律团队,决定将共同在GDPO和法律小组之间进行。
- 时间
- Flex的必须端口该信息的个人或其他公司不得无故拖延和在一个月内接收请求的最迟时间。
- 如果DPO,与法律团队在必要的工作,确定了适用豁免时,GDPO应当通知请求人毫不迟延地和一月内与原因说明为什么将Flex的不符合他们的要求。
- 保持记录中
- 人力资源全球企业咨询服务团队将保持这一进程,并响应为每个请求的完整记录。
- 反对的权利(包括直接促销)
- 个人可以告诉我们,他/她反对我们处理他们的个人资料。
- 这一权利只有在Flex基于其或第三方的合法利益处理个人数据的情况下(而不是在获得同意的情况下进行处理,或在向个人提供所要求的产品或服务时进行处理)和Flex不能证明这样的合法利益凌驾于个人的权利之上,也不能证明这种处理是Flex合法权利所必需的。
- GDPO和法律团队(如有需要)应评估Flex(或相关第三方)是否有任何凌驾于个人权利和自由之上的持续合法利益,并考虑到Flex所知的与该个人有关的任何具体情况。
- 如果GDPO和法律团队确定Flex(或第三方)没有继续凌驾于合法利益之上,Flex应停止处理该个人的个人数据。应将个人数据从Flex系统(和第三方系统)中删除。
- 此外,个人可以要求Flex停止使用他们的个人数据进行直接营销,包括与此类营销相关的任何概况。
- 在收到使用直接营销的个人数据停止一个请求,GDPO应通知相关业务和营销队伍谁应停止使用个人的个人数据,尽快销售,并应停止发送任何市场营销到个人。个别的所有分析与营销也必须停止连接进行。
- 时间
- 我们必须对这样的请求,并在适用情况下,停止有关的处理响应毫不迟延地和在一个月内收到请求后。
- 保持记录中
- 人力资源全球企业咨询服务团队将保持这一进程,并响应为每个请求的完整记录。
- 自动决策权
- 这项权利适用于Flex使用完全自动化的方式做出对个人有重大影响的决定的情况。这可能包括仅仅基于能力倾向测试或引入心理测量测试的就业或晋升决定。它也可能适用于我们向用户生成有针对性的消息,从而调整个人价格或特别利用易受攻击的群体。
- 一个人可能会告诉Flex,他或她反对我们仅仅基于自动处理而对他或她做出的重大决定。
- 当这样的请求被接收的GDPO,与法律团队一起,应评估豁免是否适用。
- 豁免
- 是必需的自动化决策进入,或执行,与单独的合同。
- 自动决策由欧盟成员国的当地法律授权。
- Flex有明确的个人同意作出这样的决定。
- 如果这样的豁免并不适用,Flex的,不得做出这样单纯的自动化方法基于一个决定。取而代之的是,任何这样的决定,应当由相关的团队/业务部的相应成员重新考虑。
- 凡豁免确实适用,则Flex可以继续这样的决定,但应:
- 确保用于制造这样的信息是准确和最新的信息;
- 考虑在不使用自动化方法的情况下作出决定是否合理;
- 让人类的干预,其中由个人要求的决策过程;和
- 在合理可能的情况下,尽快考虑个人对决定提出的任何异议,最好在要求作出初步答复的一个月内考虑。
- 时间
我们必须对这样的请求,并在适用情况下,停止有关的处理响应毫不迟延地和在一个月内收到请求后。
- 保持记录中
- 人力资源全球企业咨询服务团队将保持这一进程,并响应为每个请求的完整记录。
附件E-提出和处理数据隐私投诉的全球程序
- 介绍、目的和定义
- 介绍
- 伟创力(Flex)致力于数据隐私和个人数据的公平处理,包括允许个人行使其个人数据的权利,根据我们的数据隐私标准和适用的本地数据隐私法,他们有权使用这些数据。
- 许多保密制度(包括欧洲经济区(“EEA”)的隐私保护法),其中包括欧盟成员国以及冰岛,列支敦士登和挪威)往往赋予个人某些权利的尊重收集和处理其个人数据的组织。Flex的提交尊重和使个人能够行使这些权利,一如我们的数据隐私标准和全球数据主体权利政策。
- 数据主体有权就Flex或Flex实体对其个人数据的任何处理提出数据隐私投诉。
- 该政策的目的
- 这一政策的目的是阐明这是应遵循的程序:
- 提交资料私隐投诉的个人(资料当事人);和
- 收到数据隐私投诉时使用Flex。
- 定义
- 数据隐私投诉:针对个人或实体的关于数据隐私问题的投诉或关注,包括关于Flex或特定Flex实体不遵守数据隐私标准、与数据隐私相关的任何Flex政策或适用的数据隐私法律的投诉。
- 业务联系:任何客户、潜在投资者、股东、供应商、合作伙伴或供应商的业务联系人。
- 数据问题:个人数据由一个或多个Flex实体处理的所有个人,包括现任和前任员工、业务联系人和任何其他数据主体。数据主体有权就Flex或Flex实体对其个人数据的任何处理提出数据隐私投诉。
- 个人资料:有关一个标识或可识别的个人信息可以被识别,直接或间接,特别是通过参考一个标识符,比如名字,身份证号码,位置数据,在线标识符或特定的一个或多个因素的物理、生理、遗传、心理、经济、文化和社会身份的自然人。例子包括但不限于:
- 姓名,地址,税号,社会安全号码,身份证号码,出生日期,个人账户号码,信用卡/借记卡号码,网上银行用户名(不论是否与密码一起使用);
- 显示种族或族裔出身、政治观点、宗教信仰、工会会员身份、身心健康或状况、性生活和犯罪史的数据。
- 角色和职责
- 这一政策的目的是阐明这是应遵循的程序:
- 介绍
角色 |
责任 |
数据对象 |
有权提出数据隐私投诉的个人。 |
数据隐私联络官(DPLO) |
负责升级所有数据隐私投诉到GDPO和列于第6节到Flex全球隐私政策和规则的任务。报告自己的相关地区的数据隐私官。 |
区域数据隐私官(RDPO) |
负责Flex全球隐私政策和规则第6节规定的任务,并遵守数据隐私标准。向全球数据隐私官报告。 |
全球数据隐私官(GDPO或DPO) |
欧盟一般数据保护条例(“GDPR”)中的数据保护官员。负责Flex全球隐私政策和规则第6节规定的任务,负责区域数据隐私官员、数据隐私联络官的网络,制定和实施数据隐私标准,响应监管机构的请求,并与监管机构合作当局。可以将此策略中的任务委派给RDPO。 |
- 收到资料私隐投诉
- 资料当事人可透过以下途径联络人力资源全球业务服务(GBS)及全球资料私隐主任,提出资料私隐投诉:
GBS:
电子邮件地址:dataprivacy@www.boboyy8.com
全球数据隐私官:
电子邮件地址:chiefprivacyofficer@www.boboyy8.com
- Flex通过其全球业务服务(GBS)为提交数据隐私投诉的对象维护上述专用电子邮件地址。但是,数据隐私投诉可以通过任何方式进行,例如亲自、通过电话、电子邮件、信函或传真。Flex将提供投诉表格模板以帮助数据主体,表格副本将在Flex网站和数据隐私门户网站上提供。
- 尽管有上述规定,如果数据主体通过任何其他书面或口头方式提交数据隐私投诉,收到此类数据隐私投诉的工作人员将立即使用上述电子邮件地址将该数据隐私投诉转发给全球数据隐私官。
- 投诉处理时间
下表适用于根据本程序处理的资料私隐投诉。
名称 |
大体时间 |
说明 |
确认收到投诉 |
七(7)天内 |
Flex在收到每条数据隐私投诉后的七(7)天内通过电子邮件确认收到。 |
要求进一步资料 |
十四(14)天内 |
如资料当事人未能提供足够资料,全球资料私隐主任可在收到资料私隐投诉后的十四(14)天内,要求提供有关投诉的更多资料。 |
做决定 |
不得无故拖延,且无论如何应在一(1)个月内完成 |
全球数据隐私官会考虑个人资料私隐的投诉和提供的任何补充资料。该GDPO会做出决定无不当拖延,并在收到投诉后的一(1)个月内的任何事件。 如果响应的预期时间表有任何延迟,GDPO将在整个过程的所有阶段通知数据主体。 |
如果投诉很复杂或投诉很多 |
在三(3)个月 |
考虑到资料私隐投诉的复杂程度及数目,作出决定的一个月期限最多可再延长两个月。决定将在收到投诉之日起三(3)个月内作出,不得无故拖延。 GDPO应在收到投诉后一(1)个月内以书面形式通知数据主体。 |
- 全球数据隐私官的决定将以书面形式。
- 全球资料私隐主任的决定将至少包括以下资料:
- 数据隐私投诉的说明,
- 对被申请人对数据隐私投诉的回应(如有)的描述;
- 以及全球数据隐私官的调查结果和结论声明。
- 全球数据隐私官须为决定的副本安排邮寄给在决定作出之日起三个工作日投诉。
- 决定的后果
- 在数据隐私投诉得到支持的情况下,全球数据隐私官将在协商后采取法律团队适当步骤,包括任何赔偿安排,支付给数据主体的材料或非物质损失,在适当情况下。
- 如有关的资料私隐投诉被拒绝,或有关的资料私隐投诉获得维持,但资料当事人对建议的回应仍不满意,则资料当事人有权提出下列任何一项要求:
- 在以下情况向监察机关提出:
- 数据主体是惯常居住的,或
- 他们在哪里工作
- 发生违约的地方。
- 在下列情况下向法院提出问题:
- 数据主体是惯常居住的,或
- 在英格兰和威尔士的管辖范围内,或
- 在资料私隐投诉的主体,即移转来源的Flex集团成员的管辖范围内。
- 投诉升级
- 当确定数据隐私投诉可能对Flex构成风险或在其他方面具有重大影响时,可能需要上报首席合规官。
- 保持记录中
- 所有与本程序相关的文件必须由GBS记录和维护。
- 数据隐私投诉记录应当包括数据隐私投诉和所有通信和响应应保留副本。
- 合规与审计
- 这个过程是受Flex数据保密网络与合规团队定期基于风险的监测,以确保它是有效的,遗体适合的目的。此外,它也可能是受到了Flex内部审计团队进行独立审查。
- 其他适用法律的效力
- 如果数据隐私投诉的关注的行为或行为的另一种特异识别个体,数据隐私投诉将按照任何权利来处理,这样的人可能有下适用的当地法律,包括(如果适用),个人的权利提交个人资料私隐投诉的响应。
- 训练
- 区域数据隐私官员和数据隐私联络官将提供载于本文件中的程序培训相关人员。区域数据隐私官员和数据隐私联络官可以训练查明有关数据隐私投诉的处理引起的常见问题业务单位或部门GBS。
- 行政信息
- 任何与本政策的解释和应用有关的问题,请联系全球数据隐私官chiefprivacyofficer@www.boboyy8.com。
- 如果本政策中提供的指导与数据隐私标准或任何其他标准、政策或程序不一致,请咨询全球数据隐私官。
- 在以下情况向监察机关提出: