資料來源
個人資料應直接從資料當事人收集,除非有下列情況之一:
- 由於業務目的的性質,必須從其他個人或團體收集個人資料。.
- 收集必須在緊急情況下進行,以保護資料當事人的重要利益,或防止他人遭受嚴重損失或傷害。.
如果個人資料是向資料當事人以外的其他人收集,則必須通知資料當事人,除非有下列情況之一:
- 資料當事人已透過其他方式獲得所需資訊。.
- 基於專業保密義務,資訊必須保密。.
- 國家法律明確規定個人資料的收集、處理或轉移。.
若已確定需要通知資料當事人,則應立即通知,但不得遲於首次收集或記錄個人資料後一個日曆月內;若用於與資料當事人溝通,則不得遲於首次溝通時;若披露給其他收件人,則不得遲於披露時。.
資料當事人通知
Malvern International 將在適用法律、合約要求時,或在其認為合理適當的情況下,向資料當事人提供有關其個人資料處理目的的資訊。.
當資料當事人被要求同意處理其個人資料時,以及從資料當事人收集任何個人資料時,除非有下列情況之一,否則會以引起注意的方式進行所有適當的披露:
- 資料當事人已經擁有該資訊。.
- 法律豁免適用於披露和/或同意的要求。.
- 披露資訊可以電子或書面形式提供。.
人員隱私權聲明
Malvern International 將向公司人員提供有關收集和處理其個人資料的隱私權通知。.
Malvern International 還將為公司人員以外的潛在第三方提供線上隱私權通知,以及符合適用法律要求的線上 「Cookie 通知」。.
剖析與自動化決策
Malvern International 目前不進行個人資料分析和自動決策。如果有必要進行個人資料蒐集和自動化決策,則僅限於與資料當事人簽訂或履行合約,或經法律授權的情況。在此情況下,資料當事人將有機會:
- 表達自己的觀點
- 取得自動化決策的解釋
- 檢視自動化系統使用的邏輯
- 以額外資料補充自動化系統
- 由人工對自動化決策進行審核
- 反對自動化決定
- 反對執行自動化決策。.
在資料保護法中,剖析和自動決策受到嚴格限制,必須在完成日期保護影響評估後才能進行。在未事先尋求資料保護主任的建議和支援之前,員工不得進行涉及自動側寫或決策的活動。.
數位行銷
Malvern International 只會透過手機、電子郵件和網際網路等數位渠道,向任何符合資料保護法的聯絡人發送促銷或直接行銷資料。任何與 Malvern International 有關聯的人士如欲在未事先取得資料當事人同意的情況下進行數位行銷活動,必須先獲得資料保護主任的批准。.
當個人資料處理被核准用於數位行銷目的時,資料當事人必須在第一次接觸時被告知,他們有權在任何階段反對為此目的處理其資料。如果資料當事人提出反對,則必須立即停止對其個人資料進行數位行銷相關處理,並將其詳細資料保留在抑制清單中,記錄其選擇拒絕的決定,而非完全刪除。.
值得注意的是,如果數位行銷是在「企業對企業」的情況下進行,只要個人有機會選擇退出,法律上並不要求在向個人進行數位行銷時取得同意。.
資料保留
為確保公平處理,Malvern International 保留個人資料的時間不會超過與最初收集目的或進一步處理目的相關的必要時間。.
Malvern International 需要保留個人資料的期限載於附錄 1。這考慮到影響保留期限的法律、合約和業務要求。除非有合法目的,否則所有個人資料在確認不再需要保留時,應儘快刪除或銷毀。根據附錄 1 中的保留指南,任何不銷毀或刪除個人資料的決定都必須以書面形式記錄,並經 CEO 批准。.
資料保護
Malvern International 將採取實體、技術和組織措施,以確保個人資料的安全。這包括防止遺失或損壞、未經授權的更改、存取或處理,以及因人為行為或自然環境而可能暴露的其他風險。.
Malvern International 採用的最低限度安全措施如下:
- 防止未經授權人士存取處理個人資料的資料處理系統。.
- 防止有權使用資料處理系統的人在需要和授權之外存取個人資料。.
- 確保電子傳輸過程中的個人資料在未經授權的情況下不能被讀取、複製、修改或移除。.
- 確保建立存取記錄,以確認個人資料是否及由誰輸入資料處理系統、在資料處理系統上修改或從資料處理系統移除。.
- 確保在資料處理者進行處理的情況下,資料只能依照資料控制者的指示處理。.
- 確保個人資料受到保護,以免遭到意外破壞或遺失。.
- 確保為不同目的收集的個人資料可分開處理。.
- 確保個人資料的保存時間不會超過必要的時間。.
- 確保適當的公司人員接受培訓,瞭解資料保護法的主要合規要求,以及如何確保個人資料的安全性符合本政策的規定。.
公司人員職責
為 Malvern International 工作或代表 Malvern International 工作的每個人都有一定的責任確保資料的收集、儲存和處理符合本政策和相關政策。.
首席執行官和人力資源業務夥伴負責審核本政策,並向董事會匯報 Malvern International 的資料保護責任以及與資料處理相關的任何風險。任何與本政策或資料保護相關的問題應直接向此人提出。.
公司人員應:
- 只有在他們為 Malvern International 工作需要時,並經授權後,才可存取個人資料。他們只能將資料用於特定的合法目的。.
- 不會非正式地分享個人資料。.
- 保護個人資料的安全,不與未經授權的人分享個人資料。.
- 定期審閱並在必要或要求時更新他們處理的個人資料。這包括在他們自己的聯絡資訊變更時通知我們。.
- 不得製作不必要的個人資料副本,並應妥善保存和處置任何副本。.
- 使用強大的密碼,並且不與任何其他人共用您的密碼。.
- 不在辦公桌前時,應鎖上電腦螢幕。.
- 未經您的部門經理或人力資源業務夥伴授權,不得將個人資料帶離公司場所。.
- 如果您對資料保護有不確定的地方,或是您注意到我們在資料保護或安全性方面有任何可以改善的地方,請向人力資源業務夥伴尋求協助。.
個人資料在以電子方式傳輸給授權的外部聯絡人之前應先加密。有關如何進行加密的詳細資訊,請向 IT 部諮詢。.
考慮匿名化資料或使用獨立的鑰匙/代碼,使資料當事人無法被識別。.
個人資料不應儲存在不屬於 Malvern International 的個人電腦或其他裝置中。.
除非符合法律規定並經 CEO 授權,否則絕對不得將個人資料傳輸至歐洲經濟區以外。.
辦公桌抽屜和文件櫃應該上鎖。不要隨處亂丟載有個人資料的紙張。.
當不再需要個人資料時,應將其粉碎並安全棄置。.
政策執行
公司人員蓄意或因疏忽而違反本政策的任何行為,都可能導致根據我們的紀律處分程序對這些人員採取紀律處分。.
隱藏或銷毀作為當事人查閱請求一部分的個人資料屬於刑事犯罪(見下文)。根據我們的紀律程序,此行為也構成嚴重的不當行為,可能導致解僱。.
請注意,雖然本政策提供了範例,但絕非詳盡無遺的清單,您可能會不時收到其他特定規則的通知。.
資料當事人的權利和資料當事人要求
資料當事人 (包括公司人員) 對於 Malvern International 所處理的個人資料擁有多項權利。這些權利將詳列於與資料當事人相關的隱私權通知中。公司人員將獲發隱私權通知。第三方將可線上存取隱私權通知,或直接索取副本。.
Malvern International 將建立一個系統,使資料當事人能夠行使以下相關權利,並為行使這些權利提供便利:
- 資訊存取
- 反對處理
- 拒絕自動化決策和個人資料蒐集
- 處理限制
- 資料可攜性
- 資料更正
- 資料刪除
如果個人提出與上述任何權利相關的請求,Malvern International 將根據所有適用的資料保護法律和法規考慮每項請求。如果員工收到請求,他們不得自行處理該請求,必須盡快通知資料保護官。.
資料當事人可提出與其權利相關的請求,只要是書面請求即可。但是,我們鼓勵資料當事人索取並使用資料當事人請求表格(可向人力資源部索取),並將其提交至人力資源部。這將確保 Malvern International 內的正確人員收到請求,並能迅速處理。.
資料當事人提交請求時,必須核實其身份。若未進行驗證,可能會導致其請求無法完成。.
資料當事人有權獲取關於其個人資料的下列資訊:
- 收集、處理、使用和儲存其個人資料的目的。.
- 個人資料的來源(如果不是從資料當事人取得)。.
- 為資料當事人儲存的個人資料類別。.
- 個人資料已經或可能傳送給的收件人或收件人類別,以及這些收件人的所在地。.
- 個人資料的預期儲存期限或決定儲存期限的理由。.
- 使用任何自動化決策,包括側寫。.
- 資料當事人有權反對處理其個人資料,向資料保護機構提出申訴,要求更正或刪除其個人資料,要求限制處理其個人資料。.
所有要求查閱或更正個人資料的請求必須直接向人力資源部提出,人力資源部會在收到每項請求時將其記錄在案。我們會在收到資料當事人的書面請求後 30 天內對每項請求作出回應。適當的驗證必須確認要求者為資料當事人或其授權的法律代表。資料當事人有權要求 Malvern International 更正或補充錯誤、誤導、過時或不完整的個人資料。.
如果 Malvern International 無法在 30 天內回應請求,將承諾在指定時間內提供以下內容:
- 確認收到請求。.
- 迄今為止找到的任何資訊。.
- 不向資料當事人提供所要求的任何資訊或修改的詳細資訊、拒絕的理由,以及可就該決定提出上訴的任何程序。.
- 提供任何剩餘回應的預計日期(不遲於提交初始請求後的 3 個月)。.
- 由資料當事人支付的任何費用的估計(例如,當要求屬於過度性質時)。.
- 資料當事人應與之聯絡以進行後續追蹤的個人姓名和聯絡資訊。.
應注意的是,在某些情況下,提供資料當事人要求的資訊可能會披露另一人的個人資料。在此情況下,必須在必要或適當的情況下刪除或隱藏資訊,以保護該人的權利。.
執法要求與揭露
在某些情況下,允許在資料當事人不知情或未同意的情況下共用個人資料。如果披露個人資料是為了以下任何目的,則屬於這種情況:
- 預防或偵測犯罪。.
- 逮捕或起訴罪犯。.
- 稅金或稅務的評估或徵收。.
- 根據法院命令或任何法律規則。.
如果 Malvern International 基於上述目的之一處理個人資料,則可對本政策中概述的處理規則實施例外處理,但僅限於不這樣做可能會損害相關案件的情況。.
資料保護訓練
所有接觸個人資料的 Malvern International 員工都將在員工就職培訓中了解其在此政策下的責任。Malvern International 將定期為員工提供資料保護培訓和程序指導,並強制要求員工完成培訓。.
Malvern 國際站之間的轉乘
為了讓 Malvern International 在各個網站有效地運作,有時可能需要將個人資料從一個網站轉移到另一個網站,以便從海外地點存取個人資料。如果發生這種情況,傳送個人資料的網站仍有責任確保個人資料受到保護,並遵守歐洲經濟區以外的資料傳輸規定。所有員工必須確保使用正式授權的方式傳輸資料。員工不得使用 WhatsApp 或其他即時通訊服務等個人平台非正式地分享資料、,
轉讓給第三方
Malvern International 只會在確保接收方會合法處理和適當保護資訊的情況下,才會將個人資料轉移給第三方或允許第三方存取。在第三方進行處理時,Malvern International 會首先根據適用法律確定第三方是否被視為所傳輸個人資料的資料控制者或資料處理者。.
若第三方被視為資料控制者,則會與控制者簽訂適當的協議,以釐清雙方在個人資料轉移方面的責任。.
當第三方被視為資料處理者時,Malvern International 將盡力與資料處理者簽訂適當的處理協議。該協議應要求資料處理者保護個人資料,避免進一步披露,並僅按照 Malvern International 的指示處理個人資料。此外,協議應要求資料處理者實施適當的技術和組織措施,以保護個人資料,以及提供個人資料外洩通知的程序。.
當 Malvern International 將服務外包給第三方時,他們將確定第三方是否會代表其處理個人資料,以及外包是否會導致任何個人資料在第三國家的轉移。無論是哪種情況,Malvern International 都會確保在外包協議中包含有關此類處理和第三國家轉移的充分規定。.
申訴處理
資料當事人如對其個人資料的處理有任何申訴,請直接聯絡資料保護信箱 gdpr@malvernplc.com
外洩報告
任何個人若懷疑因個人資料遭竊或暴露而導致個人資料外洩,必須立即通知資料保護主任,並提供所發生事件的描述。可透過下列電子郵件通知該事件 gdpr@malvernplc.com
資料保護官將調查所有報告的事件,以確認是否發生個人資料外洩。如果確定發生了個人資料外洩,資料保護官將根據所涉及的個人資料的重要程度和數量,遵循相關的授權程序。對於嚴重的個人資料外洩事件,Malvern International 將啟動並主持緊急應變小組,以統籌和管理個人資料外洩的應變工作。.
