隐私政策

-介绍

Xinpay Limited 是一家在英国注册成立的公司,公司编号:13049871(“公司”)。 公司致力于数据保护和隐私。 我们尊重和保护个人的权利,特别是在处理和使用个人数据方面的数据保护和隐私权。 本数据保护政策(“政策”)由公司董事会批准。 公司的数据保护官应负责数据保护和隐私的合规和执行。

本政策定义了个人数据的数据保护合规处理标准。 它定义了涉及个人数据的业务流程的要求并分配了明确的职责。

公司必须确保涉及个人数据处理的所有流程都能够满足本政策所述的要求。 作为雇主,公司有责任处理其雇员的个人数据。 公司所有员工在履行职责过程中处理个人数据时,都必须遵守本政策的要求。

-定义

  • 匿名数据和匿名数据匿名和匿名数据是指不涉及可识别自然人的数据。 即使添加了其他数据或附加信息,也无法(或不再)识别自然人。 本政策不适用于此类数据。

 

  • 生物特征数据 与自然人的身体、生理或行为特征相关的特定技术处理产生的个人数据,这些数据允许或确认该自然人的唯一身份识别(例如指纹或面部图像)。

 

  • 同意 任何自由给出和明确的声明或其他明确的肯定行动,其中数据主体以知情的方式表明他或她同意出于特定目的处理他或她的个人数据。

 

  • 控制者 单独或与他人共同决定处理个人数据的目的和方式的任何自然人或法人。 对于其员工、客户、供应商、合作伙伴或其他人的个人数据,Xinpay Limited 被视为控制者。

 

  • 健康有关的数据与自然人的身体或心理健康有关的个人数据,包括提供的医疗保健服务,这些数据揭示了有关他或她的健康状况的信息。

 

  • 擦除对保存的个人数据或其匿名化的不可挽回的擦除或物理破坏,使得在事后无法重新识别自然人。

 

  • 遗传数据 与自然人的遗传或获得的遗传特征有关的个人数据,提供有关该自然人的生理或健康的独特信息,尤其是通过对相关自然人的生物样本的分析得出的。

 

  • 个人数据 与已识别或可识别的自然人(“数据主体”)相关的任何信息。 可识别的自然人是可以直接或间接识别的人,特别是通过参考诸如姓名、身份证号、位置数据、在线标识符或特定于身体、生理、 该自然人的遗传、心理、经济、文化或社会身份。 可以根据姓名、电话号码、电子邮件地址、邮政地址、用户 ID、税号和社会保险号等直接识别自然人,也可以通过任何其他信息的组合间接识别自然人。 受本政策约束的个人数据包括公司网站和服务的员工、申请人、客户、供应商和用户的数据。 它可以包含在公司自己的系统中,在第三方代表公司运行的系统中,或者在客户自己、公司或第三方运行的系统中,只要公司员工可以 在支持和咨询活动期间访问那里保存的个人数据。

 

  • 处理者 代表控制者处理个人数据的自然人或法人,例如外部服务提供商或不是控制者本身的其他新支付有限公司。

 

  • 处理 处理是指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动方式,例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、 通过传输、传播或以其他方式提供、对齐或组合、限制、删除或破坏进行披露。 数据的匿名化也代表了对个人数据的处理。

 

  • 化名 以这样一种方式处理个人数据,即在不使用附加信息的情况下,个人数据不能再归属于特定数据主体,前提是此类附加信息单独保存并采取技术和组织措施以确保个人 数据不属于已识别或可识别的自然人。 假名数据构成 GDPR 中定义的个人数据; 因此,本政策也适用于匿名数据。

 

  • 特殊类别的个人数据 由于其性质而特别敏感的某些个人数据,其处理可能会对数据主体的权利造成重大风险,因此需要特殊保护。 这包括有关健康的数据、遗传数据、为唯一识别个人数据而处理的生物特征数据、揭示种族或民族血统、政治观点、宗教或哲学信仰、工会会员资格、性生活或性取向的信息。 根据具体情况,这还可能包括可能被滥用于身份盗窃目的的数据,例如社会保障、信用卡和银行帐号、身份证或驾驶执照号码,以及有关刑事调查程序、定罪的个人数据 和犯罪,或受专业保密义务约束的数据。

 

  • 第三方 自然人或法人、公共当局、机构或机构,但
  1. 数据主体,
  2. 控制器,
  3. 处理器和
  4. 在控制者或处理者的直接授权下被授权处理个人数据的人。
  • 接收者 个人数据被披露给的自然人或法人、公共当局、机构或其他机构,无论是否为第三方。 但是,根据特定司法管辖区的法律可能在特定调查框架内接收个人数据的公共当局不应被视为接收者。

-保护个人数据的原则

个人数据只能按照以下规定的原则合法处理。

  1. 合法性、公平性和透明度 个人数据只能以与数据主体相关的合法、公平和透明的方式进行处理。 在以下情况下是这种情况: 在特定情况下法律允许处理。 除其他外,法律允许以下所有数据处理情况:
    • 是履行与数据主体的合同所必需的(例如,在雇佣或服务合同的背景下存储和使用必要的个人数据),
    • 有必要在签订合同之前应数据主体的要求采取措施(例如,客户要求提供有关产品 X 的信息,然后购买该产品。可能会处理发送信息材料和执行合同关系所需的数据) ,
    • 是遵守法律义务所必需的,例如 由于税法或社会保险法,
    • 为保护数据主体或其他自然人的切身利益所必需的,
    • 为控制者或第三方追求的合法利益的目的是必要的,除非此类利益被数据主体的利益或基本权利和自由(例如直接营销)所覆盖,
    • a包括在对数据主体产生法律效力的个案中基于自动化处理的决策,当这种自动化决策是法律允许的、履行与数据主体的合同所必需的或数据主体已明确同意的情况下 同意,或
    • 当数据主体同意时(例如,在网站上注册或订阅时事通讯时)。

个人数据应直接从数据主体收集。 如果不是这种情况,则必须通知数据主体,特别是关于正在收集、处理和/或使用的个人数据类型以及发生这种情况的特定目的。

  1. 特定目的 个人数据只能用于特定、明确的目的。 不得以与这些目的不兼容的方式对其进行处理。
    数据收集前必须明确具体目的。 仅在例外情况下才允许出于收集数据的目的以外的目的进行处理,即法律允许出于其他目的进行处理或基于数据主体的同意进行处理。 确定其他目的是否符合约定的目的、数据主体对公司对此类进一步处理的合理期望、使用的数据类型、预期的进一步处理对数据主体的可能后果,以及 必须考虑加密或假名化措施。
  2. 数据最小化 个人数据只能在实现既定目的绝对必要的范围内收集。 处理必须充分、相关且仅限于与数据处理目的相关的必要内容。
  3. 准确性 个人数据必须准确且最新。 必须采取每一个合理的步骤,以确保不准确的个人数据,考虑到其处理的目的,被立即删除或更正。 所有涉及个人数据处理的流程都必须提供更正和更新的选项。
  4. 存储限制(删除义务) 个人数据只能在处理目的或其他法律要求(尤其是遵守法定保留期限)所需的时间内存储。 在此之后,个人数据通常必须被删除或匿名化。 所有处理个人数据的过程都必须包含在法律要求的范围内删除或阻止的选项。
  5. 完整性、可用性和机密性 个人数据及其处理操作必须始终通过技术和组织措施得到适当保护。 这尤其包括防止未经授权或非法处理、意外丢失、破坏或损坏、意外披露和未经授权访问的适当措施。
  6. 特殊类别个人数据的处理特殊类别个人数据的收集、处理和使用对数据主体应始终透明。 除非法律明确授权收集和处理此类数据,例如 如有必要,为履行就业、社会保障、社会保护等领域的义务和行使权利,仅应在事先明确通知并征得数据主体同意的基础上收集。

同意书必须明确提及这些特殊数据类别及其用于一个或多个特定目的的处理。 除非适用法律另有规定,特殊类别的个人数据只能在数据主体明确同意的情况下进行处理和使用。 必须建立更多的保护措施来保护数据(例如物理安全措施、访问限制和加密)。

- 数据主体的权利

  1. 知情权 数据主体有权了解其个人数据的收集和使用情况。 这是 GDPR 下的一项关键透明度要求。 公司必须向数据主体提供信息,包括:我们处理其个人数据的目的、我们对该个人数据的保留期限以及将与谁共享。
  2. 访问权和数据可移植性数据主体有权从公司获得关于是否正在处理有关她或他的个人数据的确认。 在这种情况下,公司应根据法律要求提供访问权限。 信息以书面形式提供,除非数据主体以电子方式提交信息请求。 提供给数据主体的信息必须包括存储目的、数据接收者以及 GDPR 第 15 条规定的所有其他法律要求的信息。 必须向数据主体提供正在处理的个人数据的副本。 根据数据主体的要求,他或她提供给控制者的数据必须以结构化、常用和机器可读的格式提供。
  3. 更正、限制和删除的权利 当个人数据被证明不正确、不完整或过时时,每个数据主体都有权更正其个人数据。 例如,如果数据主体因结婚而改变了她的姓名,则可能会出现这种情况。
    在以下情况之一适用时,数据主体也有权获得对其个人数据处理的限制:

    • 数据主体对个人数据的准确性提出质疑,并且验证个人数据的准确性需要一些时间。 在这种情况下,数据主体可以要求限制准确性验证期间。
    • 处理是非法的,数据主体反对删除个人数据并要求限制其使用。
    • 控制者不再需要个人数据来进行处理,但数据主体需要它们来建立、行使或捍卫法律主张。 如果某些信息对数据主体具有各自的价值变得明显,则必须在合理通知的情况下将待删除的信息通知数据主体。
    • 数据主体反对在澄清期间处理处理的合法利益是否超过数据主体的合法利益。

在限制过程中,必须对存储的数据主体的个人数据进行标记,以限制访问并限制其进一步处理。 此外,在以下情况下,数据主体有权删除其个人数据:

    • 数据处理的目的不再适用。
    • 数据主体出于特定处理目的撤回其同意。
    • 地址数据用于直接营销目的,数据主体反对此类使用。
    • 数据被非法处理。
    • 删除是履行法律义务所必需的。

收集、处理或使用个人数据的所有过程都必须包含定期保留和删除个人数据的概念。 这一概念必须确保在达到指定目的或存储授权失效后及时删除个人数据,特别是法定保留期限。 个人数据也可以匿名化,而不是擦除。 如果有删除个人数据的义务并且该数据已经公开,则应通知其他控制者删除其数据的请求,包括该数据的所有链接。

  1. 反对权 当公司基于有利于其合法利益的决定处理个人数据时,数据主体有权反对数据处理。 在这种情况下,数据主体必须以与其特定情况相关的理由主张自己的权利或利益,这超过了公司处理数据的合法利益。 数据主体可以随时反对出于直接营销目的处理其个人数据,包括分析与直接营销有关的个人数据,而无需说明理由。 如果提出异议,公司将不会出于这些目的进一步处理这些数据。 这不适用于由于处理的令人信服的合法理由而无法停止处理的情况,特别是法律索赔的建立、行使或辩护。
  2. 投诉权 如果数据主体希望就其个人数据的处理提出投诉,他们可以直接通过电子邮件发送给数据保护官:privacy@xinpay.org。
    必须最迟在一个月内通知数据主体根据她或请求采取的所有措施。

-数据保护治理结构

遵守数据保护要求的责任在于为业务目的处理个人数据的公司董事会。 执行管理层可以将履行这一职责的任务委托给组织框架和相关业务流程内不同级别的经理。

- 数据保护合规责任

  1. Xinpay管理 公司董事会必须确保其职责范围内处理个人数据的流程(以下简称“流程”)符合本政策的要求。
  2. 员工 所有员工都必须严格保密地处理他们在为Xinpay Limited履行职责的过程中可以访问的所有个人数据,不得在未经授权的情况下收集、处理或使用这些数据。 公司员工只能在履行其雇佣合同规定的职责所必需的范围内处理个人数据。 如果没有明显禁止员工处理个人数据,他或她可以假定来自

-传输/委托数据处理

如果要将个人数据转移到关联公司,则必须首先审查是否需要有关数据保护和隐私的合同协议。 仅当关联公司或外部服务提供商代表公司处理个人数据(称为“为处理目的而传输”)时,才需要进行此类审查。 如果要将个人数据传输到 EEA 以外的国家/地区,则必须根据 GDPR 第 44 条事先确保保证适当的保护水平。

此外,以下规则适用于个人数据的传输:

  • 委托处理的转移:如果公司委托关联实体或外部公司处理个人数据,它仍然负责遵守数据保护和隐私要求。
  • 为接收者自己的目的而转移:只有在法律允许或要求,或在数据主体事先同意的情况下,公司才可以将个人数据转移给关联公司或外部公司以用于其自身目的。

-客户数据的传输

公司处理客户和代表客户的个人数据。 此类客户数据的使用和传输(如果相关)必须符合适用法律。

Xinpay
2020年3月

@2022 XinPay. 版权所有。