• 您正在浏览的是本网站的自动翻译版本
简体中文
简体中文 English (UK) العربية 繁體中文 Italiano Français Português do Brasil Español Español de México 日本語 한국어 Русский Deutsch Türkçe
招股说明书
联系我们
政策

数据保护政策

目的

Malvern International (Innovate Summer Academy’s parent company) is committed to conducting its business in accordance with all applicable Data Protection laws and regulations and in line with the highest standards of ethical conduct.

本政策规定了Malvern International员工和第三方在收集、使用、保留、转移、披露和销毁任何数据主体的个人数据方面应遵循的预期行为和标准。.

个人数据是任何“与”可识别的在世个人相关的任何信息。个人数据受某些法律保障和其他法规的约束,这些法律保障和其他法规对组织处理个人数据的方式施加了限制。Malvern International 负责确保遵守本政策中概述的数据保护要求。不合规可能会使 Malvern International 面临投诉、监管行动、罚款和/或声誉损害。故意违反本政策的行为也可能构成刑事犯罪。.

任何违反本政策的行为都将由Malvern International严肃处理,并可能根据纪律处分程序进行审查。为帮助理解本政策,以下术语解释如下:

数据控制器 是一家决定何时、为何以及如何处理个人数据的公司。作为数据控制者,公司负责制定符合数据保护要求(例如GDPR)的实践和政策。
保护法。我们是公司所有人事人员的个人数据以及我们为自身商业目的而在业务中使用的数据的控制者。.

特殊类别表示: 任何个人数据,包括以下方面的详细信息:种族或民族出身、政治观点、宗教或哲学信仰、工会会员身份、通用数据、生物识别数据、健康相关数据、性别、性取向或性生活。.

公司人事本公司所有员工、工人(包括合同工、代理工人及顾问)、董事、成员及其他人员(包括志愿者、实习生及学徒)。.

数据主体: 任何我们持有个人信息的、已识别或可识别的在世个人。数据主体可能是任何国家的国民或居民,并可能对其个人信息拥有合法权利。这可能是您、您的同事、客户和供应商,或者任何其他人。.

数据保护立法: 涵盖旨在保护个人数据或尊重个人隐私的任何立法。目前强制执行的立法是 (i) 《通用数据保护条例》(“GDPR”),该条例适用于我们针对或向位于任何欧盟或欧洲经济区国家的个人进行销售并处理其个人数据的情况。.

适用于居住在英国的任何数据主体的英国通用数据保护条例和 2018 年数据保护法

《2025数据(使用与访问)法》作为英国通用数据保护条例(UK-GDPR)和当前数据保护框架的补充,并对其特定方面进行了扩展。.

个人数据可供我们(直接或间接)识别数据主体的任何信息,或与我们可(直接或间接)识别的数据主体相关的信息。.

个人数据泄露任何导致个人数据意外或非法销毁、丢失、更改、未经授权披露的安全漏洞。.

隐私声明 (也称为公平处理通知)或隐私政策:单独的通知,其中包含公司在收集有关数据主体的​​信息时可能会提供给数据主体的​​信息。.

处理或过程: 任何涉及使用个人数据的活动。.

政策范围

本政策适用于所有处理数据主体个人数据的马尔文国际实体。.

本政策适用于所有以电子形式(包括电子邮件和文字处理软件创建的文档)处理的个人数据,或存储在允许轻松访问有关个人的信息的文书档案中的个人数据。.

政策执行
领导团队必须确保所有负责处理个人数据的 Malvern International 员工都了解并遵守本政策的内容。此外,Malvern International 将确保所有代表其处理个人数据的第三方都了解并遵守本政策的内容。在授予第三方访问 Malvern International 控制的个人数据的权限之前,将寻求有关所有第三方(无论是公司还是个人)遵守此政策的适当保证。.

数据保护原则
在我们处理个人数据时,必须遵循数据保护原则,这些原则规定了我们必须履行的义务。所有员工都应遵守以下数据保护原则。.

  • 合法、公平和透明——所有个人数据都应以合法、公平和透明的方式处理,这意味着我们必须告知数据主体将发生何种处理(透明度),并且这种处理必须是公平、必要和适度的。所有员工都应确保个人数据的合理和预期使用。我们必须保留一份书面记录,说明我们处理哪些个人数据以及为何处理。数据保护官负责维护此记录,并将定期进行审计以确保记录是最新的。.
    • 目的限制——个人数据应为指定、明确和合法的目的而收集,并且不得以与这些目的不符的方式进一步处理。这意味着我们必须明确收集的个人数据将用于何种用途,并将个人数据的处理限制在满足指定目的所必需的范围内。收集和处理个人数据的目的将在相关的隐私声明中规定。如果需要为新的目的使用个人数据,应通知数据保护官,并遵循任何建议以确保持续合规。如果新目的已包含在我们的一份隐私声明中,则可能无需更新,但如果需要在新活动发生前更新我们的隐私声明,则必须尽快完成。.
    • 数据最小化——个人数据应充分、相关且限于为处理目的所必需的范围。这意味着 Malvern International 在必要范围之外不得存储任何个人数据。.
    • 准确性 – 个人数据应准确且保持最新。这意味着 Malvern International 必须制定识别和处理过时、不正确和冗余个人数据的流程。所有员工都有责任确保其工作区域内记录的准确性。.
    • 存储限制 – 个人数据以允许识别数据主体的形式保存的时间,不得超过处理个人数据的目的所需的时间。这意味着 Malvern International 必须,在可能的情况下,以限制或阻止识别数据主体的方式存储个人数据。作为一个组织,我们必须确保我们仅在必要时保留个人数据。这意味着我们必须遵循记录管理最佳实践,并在不再有保留数据的目的时删除数据。数据保护官和高级管理团队成员负责制定记录管理流程,包括记录保留
      附表,其中载有我们的个人数据以及保留期限,之后将对其相关性进行审查或在必要时删除。.
    • 诚信与保密 – 个人数据的处理方式应确保个人数据的适当安全,包括防止未经授权或非法的处理以及防止意外丢失、损毁或损坏。Malvern International 必须采取适当的技术和组织措施,始终确保个人数据的完整性和保密性。所有员工都有责任确保遵循旨在保护数据安全和机密性的任何政策或流程要求。员工不得试图规避为此目的而设定的安全控制措施。.
    • 所有员工都在保护我们的数据安全方面发挥着关键作用,特别是员工:
      • 不得与任何人分享其 Malvern International 密码或凭据。.
      • 除非是其职能的直接要求,否则不得与任何第三方共享、上传或转发有关 Malvern International 的数据。.
      • 不得禁用或试图禁用 Malvern International 系统或计算机上的任何防病毒规定或安全控制。.
  • 问责制 – 马尔文国际及其员工负责并能够证明遵守相关法律法规。.

数据收集

数据源

除非满足以下任一情况,否则个人数据应直接从数据主体收集:

  • 业务目的的性质要求从其他人或机构收集个人数据。.
  • 收集必须在紧急情况下进行,以保护数据主体的重大利益或防止对他人造成严重损失或伤害。.

如果个人数据是从数据主体以外的其他人收集的,则必须告知数据主体数据收集事宜,除非出现以下任一情况:

  • 数据主体已通过其他方式收到了必要的信息。.
  • 信息必须保密,因为存在职业保密义务。.
  • 一项国家法律明确规定了个人数据的收集、处理或转移。.

在已确定需要通知数据主体的情况下,应及时通知,但不迟于首次收集或记录个人数据的日历月内,如果用于与数据主体的通信,则在首次通信时通知,如果披露给另一接收者,则在披露时通知。.

数据主体通知

马尔文国际将在适用法律、合同要求,或在公司认为合理适宜的情况下,告知数据主体其个人数据处理的目的。.

在要求数据主体同意处理其个人数据时,并在从数据主体收集任何个人数据时,将以引起注意的方式做出所有适当的披露,除非出现以下情况之一:

  • 数据主体已拥有该信息。.
  • 法律豁免适用于披露和/或同意的要求。.
  • 披露可以以电子形式或书面形式进行。.

人员隐私声明

Malvern International 将向公司人员提供有关收集和处理其个人数据的隐私声明。.

美科国际还将包含一份在线隐私声明,供公司人员以外的潜在第三方查阅,以及一份符合适用法律要求的在线‘Cookie声明’。.

分析和自动决策

Malvern International 目前不从事用户画像和自动化决策。如果需要从事用户画像和自动化决策,其目的仅限于签订合同、履行与数据主体的合同,或在法律授权的情况下进行。在这种情况下,数据主体将有机会:

  • 表达他们的观点
  • 获取有关自动决策的解释
  • 审查自动化系统的逻辑
  • 用额外数据补充自动化系统
  • 由人工进行自动化决策的审查
  • 对自动化决策提出异议
  • 反对正在进行中的自动决策。.

对自动化决策进行分析在数据保护法中受到严格限制,并且只能在完成数据保护影响评估后进行。未经数据保护官事先寻求建议和支持,员工不得进行涉及自动化分析或决策的活动。.

数字营销

Malvern International 将仅通过数字渠道(例如手机、电子邮件和互联网)向任何联系人发送符合数据保护法的促销或直接营销材料。任何与 Malvern International 相关的人员,如果希望在未经数据主体事先同意的情况下开展数字营销活动,必须首先获得数据保护官的批准。.

在个人数据为数字营销目的而处理获得批准的情况下,必须在首次接触时通知数据主体,他们有权在任何阶段反对将其数据用于此类目的。如果数据主体提出反对,与数字营销相关的个人数据处理必须立即停止,并且其详细信息应保留在排除名单中,并记录其选择退出决定,而不是完全删除。.

应注意,在‘企业对企业’的背景下开展数字营销时,法律没有强制要求获得进行数字营销给个人的同意表示,前提是他们有机会选择退出。.

数据保留
为确保处理公平,Malvern International 将不会为超出其最初收集或进一步处理目的所需的时间,而保留个人数据。.

Malvern International 需要保留个人数据的时限规定在附录 1 中。这已将影响保留期限的法律、合同和业务要求考虑在内。在确认不再需要保留个人数据后,应尽快删除或销毁所有个人数据,除非有正当理由不这样做。任何不根据附录 1 中的保留指南销毁或删除个人数据的决定,都必须以书面形式记录并由首席执行官批准。.

数据保护
Malvern International 将采取物理、技术和组织措施,以确保个人数据的安全。这包括防止因人为活动或物理或自然环境而导致的丢失或损坏、未经授权的更改、访问或处理以及其他可能面临的风险。.

马尔文国际应采取的最低安全措施如下:

  • 防止未经授权人员访问处理个人数据的处理系统。.
  • 防止有权使用数据处理系统的人员访问超出其需求和授权范围的个人数据。.
  • 确保在电子传输过程中,个人数据在传输过程中不能被未经授权读取、复制、修改或删除。.
  • 确保已配置访问日志,以确定个人数据是否被录入、修改或移除数据处理系统,以及由谁进行的操作。.
  • 确保在由数据处理者进行处理的情况下,该数据只能按照数据控制者的指示进行处理。.
  • 确保个人数据免遭意外销毁或丢失。.
  • 确保为不同目的收集的个人数据可以且正在被分开处理。.
  • 确保个人数据保存不超过必要的最长期限。.
  • 确保公司相关人员接受关于数据保护法规关键合规要求的培训,以及他们如何根据本政策维护个人数据的安全。.

公司人员职责

Malvern International 的所有员工,或代表 Malvern International 工作的所有人员,都有责任确保数据根据本政策及相关政策进行妥善的收集、存储和处理。.

首席执行官和人力资源业务伙伴负责审查本政策,并就 Malvern International 的数据保护责任以及数据处理相关的任何风险向董事会进行汇报。有关本政策或数据保护的任何问题,均应直接咨询此人。.

公司人员应:

  • 只能在需要处理Malvern International的工作时访问个人数据,并且只有在获得授权的情况下才能访问。他们只能将数据用于获取该数据时指定的合法目的。.
  • 不应非正式地共享个人数据。.
  • 保护个人数据安全,不与未经授权的人员分享。.
  • 定期审查,并在需要或被要求时更新他们处理的个人数据。这包括告知我们他们的联系方式是否发生变更。.
  • 不制造不必要的个人数据副本,并应安全地保存和处置任何副本。.
  • 使用强密码,不要与任何人分享您的密码。.
  • 在离开座位时应锁定其电脑屏幕。.
  • 未经您的直线经理或人力资源业务合作伙伴的授权,不得将个人数据带离公司场所。.
  • 如果您不确定数据保护事宜,或者发现任何我们可以改进的数据保护或安全方面,请向人力资源业务合作伙伴寻求帮助。.

个人数据在电子传输给授权的外部联系人之前应进行加密。请联系IT部门了解更多关于如何操作的信息。.

考虑匿名化数据或使用单独的密钥/代码,以便数据主体无法被识别。.

个人数据不应保存在 Malvern International 个人电脑或其他不属于 Malvern International 的设备上。.

个人数据绝不应转移到欧洲经济区以外,除非符合法律规定并获得首席执行官的授权。.

文件抽屉和文件柜应上锁。不要将带有个人数据的纸张随意放置。.

个人数据在不再需要时应被销毁并妥善处置。.

政策执行

公司人员故意或疏忽违反本政策,可能会根据我们的纪律程序对其采取纪律处分。.

隐匿或销毁属于个人资料查阅权请求(见下文)的个人资料均属刑事犯罪,同样也构成我们纪律程序下的严重不当行为,可能导致解雇。.

请注意,尽管本政策提供了一些示例,但这绝不是一个详尽的列表,您可能会不时收到其他具体规则的通知。.

数据主体权利和数据主体请求

数据主体(包括公司人员)就 Malvern International 处理的个人数据拥有多种权利。这些权利将在与数据主体相关的隐私声明中详细说明。公司人员将收到隐私声明。第三方可以在线访问隐私声明,或直接索取副本。.

Malvern International 将建立一个系统,以启用和促进与以下相关的数​​据主体权利的行使:

  • 信息访问
  • 反对处理
  • 反对自动化决策和分析
  • 限制处理
  • 数据可携带性
  • 数据校正
  • 数据擦除

如果个人提出与上述任何权利相关的请求,Malvern International 将根据所有适用的数据保护法律法规审议每项请求。如果工作人员收到相关请求,他们无权自行处理该请求,必须尽快通知数据保护官。.

数据主体可以通过书面形式提出与其权利相关的请求。然而,建议数据主体索取并使用数据主体请求表(可从人力资源部获取),然后将其提交给人力资源部。这将确保 Malvern International 的相关人员能够及时收到请求并进行处理。.

数据主体在提交请求时需要验证自己的身份。未能这样做可能导致其请求未能完成。.

数据主体有权获取有关其自身个人数据的以下信息:

  • 收集、处理、使用和存储其个人数据的目的。.
  • 个人数据的来源(如果不是从数据主体获得)。.
  • 存储的数据主体个人数据的类别。.
  • 已接收或可能接收个人数据的接收方或接收方类别,以及这些接收方的地点。.
  • 预期存储个人数据的期限或确定存储期限的理由。.
  • 自动化的决策,包括用户画像的使用。.
  • 数据主体反对处理其个人数据的权利,向数据保护机构投诉的权利,要求更正或删除其个人数据的权利,以及要求限制处理其个人数据的权利。.

所有关于访问或更正个人数据的请求,都必须提交给人力资源部,人力资源部将记录收到的每一项请求。收到数据主体的书面请求后,将在 30 天内对每项请求作出答复。必须进行适当的验证,以确认请求者是数据主体或其授权的法律代表。数据主体有权要求 Malvern International 更正或补充错误、误导性、过时或不完整的个人数据。.

如果马尔文国际在30天内未能回应请求,将承诺在规定期限内提供以下内容:

  • 收到请求的确认.
  • 迄今为止发现的任何信息。.
  • 未提供给数据主体的任何请求信息或修改的详细信息,拒绝的理由以及可用于就该决定提起上诉的任何程序。.
  • 预计将提供任何剩余答复的日期(不迟于收到初始请求之日起 3 个月)。.
  • 对数据主体可能产生的任何费用的估算(例如,在请求性质过于繁重的情况下)。.
  • 数据主体应联系以获取进一步信息的联系人的姓名和联系方式。.

应注意,可能出现为响应数据主体信息要求而披露另一名个人的个人数据的情况。在此类情况下,必须根据需要或适用情况对信息进行删减或保留,以保护该人士的权利。.

执法部门请求和披露
在某些情况下,个人数据可以在未经数据主体知晓或同意的情况下共享。当披露个人数据是为了以下任何目的而必需时,即属此类情况:

  • 犯罪的预防或侦查。.
  • 对罪犯的逮捕或起诉。.
  • 税收或关税的评估或征收。.
  • 根据法院命令或任何法律规定。.

如果马尔文国际出于这些目的之一处理个人数据,那么它可能对本政策中概述的处理规则适用例外,但仅限于不这样做可能会损害相关案件的程度。.

数据保护培训

所有有权访问个人数据的 Malvern International 员工将在入职培训中了解本政策规定的相关职责。Malvern International 将为员工提供定期的**数据保护**培训和程序指导,并且必须完成此项培训。.

马尔文国际站点之间的转账

为了使马尔文国际在其各个分支机构有效地开展业务,可能需要将个人数据从一个分支机构传输到另一个分支机构,以便从海外地点访问个人数据。如果发生这种情况,发送个人数据的分支机构将继续负责确保该个人数据的保护,并确保遵守与欧洲经济区以外的数据传输相关的规定。所有员工必须确保数据通过官方、授权的途径传输。员工不得使用WhatsApp或其他即时通讯服务等个人平台进行非正式的数据共享。,

转至第三方

Malvern International 仅在确保信息将得到接收方的合法处理和适当保护时,才会将个人数据转移给第三方或允许第三方访问。在第三方处理的情况下,Malvern International 将首先根据适用法律确定第三方是所转移个人数据的控 data controller 还是控 data processor。.

在第三方被视为数据控制者的情况下,将与数据控制者签订适当的协议,以明确双方在传输的个人数据方面的责任。.

如果第三方被视为数据处理者,Malvern International 将努力与该数据处理者签订一份充足的处理协议。该协议将要求数据处理者保护个人数据免遭进一步披露,并仅依据 Malvern International 的指示处理个人数据。此外,该协议还将要求数据处理者实施适当的技术和组织措施来保护个人数据,以及提供个人数据泄露通知的程序。.

当Malvern International将服务外包给第三方时,他们会识别该第三方是否将代表其处理个人数据,以及该外包是否涉及任何第三国的数据传输。无论哪种情况,他们都会确保在外包协议中包含对此类处理和第三国传输的充分规定。.

投诉处理

对于个人数据处理方面的投诉,数据主体应联系数据保护邮箱。 gdpr@malvernplc.com

违规报告

任何怀疑因个人数据被盗或泄露而导致个人数据泄露的个人,必须立即通知数据保护官,并说明事件经过。可通过电子邮件通知此事件,邮箱地址为: gdpr@malvernplc.com

数据保护官将调查所有报告的事件,以确认是否发生了个人数据泄露。如果确认发生了个人数据泄露,数据保护官将根据所涉及的个人数据的关键性和数量,遵循相关的授权程序。对于严重的个人数据泄露,Malvern International将启动并主持一个应急响应小组,以协调和管理个人数据泄露的应对工作。.