Xinpay Limited 是一家在英国注册成立的公司,公司编号:13049871(“公司”)。 公司致力于数据保护和隐私。 我们尊重和保护个人的权利,特别是在处理和使用个人数据方面的数据保护和隐私权。 本数据保护政策(“政策”)由公司董事会批准。 公司的数据保护官应负责数据保护和隐私的合规和执行。
本政策定义了个人数据的数据保护合规处理标准。 它定义了涉及个人数据的业务流程的要求并分配了明确的职责。
公司必须确保涉及个人数据处理的所有流程都能够满足本政策所述的要求。 作为雇主,公司有责任处理其雇员的个人数据。 公司所有员工在履行职责过程中处理个人数据时,都必须遵守本政策的要求。
个人数据只能按照以下规定的原则合法处理。
- 合法性、公平性和透明度 个人数据只能以与数据主体相关的合法、公平和透明的方式进行处理。 在以下情况下是这种情况: 在特定情况下法律允许处理。 除其他外,法律允许以下所有数据处理情况:
- 是履行与数据主体的合同所必需的(例如,在雇佣或服务合同的背景下存储和使用必要的个人数据),
- 有必要在签订合同之前应数据主体的要求采取措施(例如,客户要求提供有关产品 X 的信息,然后购买该产品。可能会处理发送信息材料和执行合同关系所需的数据) ,
- 是遵守法律义务所必需的,例如 由于税法或社会保险法,
- 为保护数据主体或其他自然人的切身利益所必需的,
- 为控制者或第三方追求的合法利益的目的是必要的,除非此类利益被数据主体的利益或基本权利和自由(例如直接营销)所覆盖,
- a包括在对数据主体产生法律效力的个案中基于自动化处理的决策,当这种自动化决策是法律允许的、履行与数据主体的合同所必需的或数据主体已明确同意的情况下 同意,或
- 当数据主体同意时(例如,在网站上注册或订阅时事通讯时)。
个人数据应直接从数据主体收集。 如果不是这种情况,则必须通知数据主体,特别是关于正在收集、处理和/或使用的个人数据类型以及发生这种情况的特定目的。
- 特定目的 个人数据只能用于特定、明确的目的。 不得以与这些目的不兼容的方式对其进行处理。
数据收集前必须明确具体目的。 仅在例外情况下才允许出于收集数据的目的以外的目的进行处理,即法律允许出于其他目的进行处理或基于数据主体的同意进行处理。 确定其他目的是否符合约定的目的、数据主体对公司对此类进一步处理的合理期望、使用的数据类型、预期的进一步处理对数据主体的可能后果,以及 必须考虑加密或假名化措施。
- 数据最小化 个人数据只能在实现既定目的绝对必要的范围内收集。 处理必须充分、相关且仅限于与数据处理目的相关的必要内容。
- 准确性 个人数据必须准确且最新。 必须采取每一个合理的步骤,以确保不准确的个人数据,考虑到其处理的目的,被立即删除或更正。 所有涉及个人数据处理的流程都必须提供更正和更新的选项。
- 存储限制(删除义务) 个人数据只能在处理目的或其他法律要求(尤其是遵守法定保留期限)所需的时间内存储。 在此之后,个人数据通常必须被删除或匿名化。 所有处理个人数据的过程都必须包含在法律要求的范围内删除或阻止的选项。
- 完整性、可用性和机密性 个人数据及其处理操作必须始终通过技术和组织措施得到适当保护。 这尤其包括防止未经授权或非法处理、意外丢失、破坏或损坏、意外披露和未经授权访问的适当措施。
- 特殊类别个人数据的处理特殊类别个人数据的收集、处理和使用对数据主体应始终透明。 除非法律明确授权收集和处理此类数据,例如 如有必要,为履行就业、社会保障、社会保护等领域的义务和行使权利,仅应在事先明确通知并征得数据主体同意的基础上收集。
同意书必须明确提及这些特殊数据类别及其用于一个或多个特定目的的处理。 除非适用法律另有规定,特殊类别的个人数据只能在数据主体明确同意的情况下进行处理和使用。 必须建立更多的保护措施来保护数据(例如物理安全措施、访问限制和加密)。
- 知情权 数据主体有权了解其个人数据的收集和使用情况。 这是 GDPR 下的一项关键透明度要求。 公司必须向数据主体提供信息,包括:我们处理其个人数据的目的、我们对该个人数据的保留期限以及将与谁共享。
- 访问权和数据可移植性数据主体有权从公司获得关于是否正在处理有关她或他的个人数据的确认。 在这种情况下,公司应根据法律要求提供访问权限。 信息以书面形式提供,除非数据主体以电子方式提交信息请求。 提供给数据主体的信息必须包括存储目的、数据接收者以及 GDPR 第 15 条规定的所有其他法律要求的信息。 必须向数据主体提供正在处理的个人数据的副本。 根据数据主体的要求,他或她提供给控制者的数据必须以结构化、常用和机器可读的格式提供。
- 更正、限制和删除的权利 当个人数据被证明不正确、不完整或过时时,每个数据主体都有权更正其个人数据。 例如,如果数据主体因结婚而改变了她的姓名,则可能会出现这种情况。
在以下情况之一适用时,数据主体也有权获得对其个人数据处理的限制:
- 数据主体对个人数据的准确性提出质疑,并且验证个人数据的准确性需要一些时间。 在这种情况下,数据主体可以要求限制准确性验证期间。
- 处理是非法的,数据主体反对删除个人数据并要求限制其使用。
- 控制者不再需要个人数据来进行处理,但数据主体需要它们来建立、行使或捍卫法律主张。 如果某些信息对数据主体具有各自的价值变得明显,则必须在合理通知的情况下将待删除的信息通知数据主体。
- 数据主体反对在澄清期间处理处理的合法利益是否超过数据主体的合法利益。
在限制过程中,必须对存储的数据主体的个人数据进行标记,以限制访问并限制其进一步处理。 此外,在以下情况下,数据主体有权删除其个人数据:
-
- 数据处理的目的不再适用。
- 数据主体出于特定处理目的撤回其同意。
- 地址数据用于直接营销目的,数据主体反对此类使用。
- 数据被非法处理。
- 删除是履行法律义务所必需的。
收集、处理或使用个人数据的所有过程都必须包含定期保留和删除个人数据的概念。 这一概念必须确保在达到指定目的或存储授权失效后及时删除个人数据,特别是法定保留期限。 个人数据也可以匿名化,而不是擦除。 如果有删除个人数据的义务并且该数据已经公开,则应通知其他控制者删除其数据的请求,包括该数据的所有链接。
- 反对权 当公司基于有利于其合法利益的决定处理个人数据时,数据主体有权反对数据处理。 在这种情况下,数据主体必须以与其特定情况相关的理由主张自己的权利或利益,这超过了公司处理数据的合法利益。 数据主体可以随时反对出于直接营销目的处理其个人数据,包括分析与直接营销有关的个人数据,而无需说明理由。 如果提出异议,公司将不会出于这些目的进一步处理这些数据。 这不适用于由于处理的令人信服的合法理由而无法停止处理的情况,特别是法律索赔的建立、行使或辩护。
- 投诉权 如果数据主体希望就其个人数据的处理提出投诉,他们可以直接通过电子邮件发送给数据保护官:privacy@xinpay.org。
必须最迟在一个月内通知数据主体根据她或请求采取的所有措施。
遵守数据保护要求的责任在于为业务目的处理个人数据的公司董事会。 执行管理层可以将履行这一职责的任务委托给组织框架和相关业务流程内不同级别的经理。
如果要将个人数据转移到关联公司,则必须首先审查是否需要有关数据保护和隐私的合同协议。 仅当关联公司或外部服务提供商代表公司处理个人数据(称为“为处理目的而传输”)时,才需要进行此类审查。 如果要将个人数据传输到 EEA 以外的国家/地区,则必须根据 GDPR 第 44 条事先确保保证适当的保护水平。
此外,以下规则适用于个人数据的传输:
- 委托处理的转移:如果公司委托关联实体或外部公司处理个人数据,它仍然负责遵守数据保护和隐私要求。
- 为接收者自己的目的而转移:只有在法律允许或要求,或在数据主体事先同意的情况下,公司才可以将个人数据转移给关联公司或外部公司以用于其自身目的。
公司处理客户和代表客户的个人数据。 此类客户数据的使用和传输(如果相关)必须符合适用法律。
Xinpay
2020年3月