1. 介紹和范圍
此個人資料保護政策(簡稱“政策”)概括TMF如何處理董事、高級管理人員和雇員以及(在適用范圍內)客戶和/或相關客戶關聯方客戶個人資料的隱私慣例,作為TMF服務的一部分。此個人資料可以存儲在TMF的系統、客戶端系統或TMF可以訪問以提供服務的第三方系統上。在TMF向其客戶提供服務的情況下,TMF為處理方,而客戶則為控制方。
本政策適用于TMF根據服務合約在其生效日期或之后向全球客戶提供的任何及所有服務。
TMF會根據《資料保護法》代表客戶處理個人數據。在必要時,服務合約將以附錄的形式進行補充,以闡明任何對客戶而言特殊、且不受本政策監管的事項。
本政策不適用于通過我們的網站或Cookie收集的個人數據,對于這些這些數據,TMF可以被視為控制者;有關此方面的更多信息,請參閱我們的網站隱私聲明和Cookies政策。
您可通過以下鏈接在TMF Group網站了解本政策:https://www.tmf- group.com/en/legal/data-protection/。TMF Group保留在不咨詢或未通知其客戶的情況下更新本政策的權利。
2. 定義
以下術語在本政策具有以下含義:
a. “客戶”系指與TMF簽署服務合約的一方;
b. “客戶關聯方” 系指任何與客戶有關聯的法人實體;
c. “客戶資料主體”系指客戶和客戶關聯方的前任和現任董事、高級管理人員、雇員及客戶;
d. “控制方”系指單獨或與他人聯合共同決定個人資料處理的目的及意義的自然人、法人、公共機構或團體;
e. “數據保護法”系指在執行服務合約時處理的任何個人數據、《通用數據保護條例》(EU)2016/679(“ GDPR”)以及所有實施法律和任何其他適用的資料保護、隱私法律或隱私法規;
f. “個人資料”系指可以從客戶資料主角身上直接或間接獲得的資料;
g. “處理”系指對個人數據或個人數據集執行的任何操作或一組操作(無論是否通過自動化方式進行),例如:收集、記錄、組織、結構化、存儲、改編或更改,檢索、咨詢、使用、通過傳輸、傳播或其他方式披露,或將其結合、限制、擦除或破壞;
h. “處理方”系指代替控制方處理個人資料的一方;
i. “服務”系指TMF根據服務合約為客戶提供的服務;
j. “服務合約”系指TMF與客戶之間的任何書面合約、任何書面工作說明、或任何具有約束力的書面合約,包括任何附件;
k. “分處理方”系指由處理方委任的任何資料處理商,以代替控制方處理個人資料;
l. “TMF”系指在服務合約下締約的TMF關聯方;
m. “TMF關聯方”系指任何特定個人或實體、任何直接或間接控制、或受到特定個人或實體直接或間接控制的其他個人或實體。為了定義此詞匯,“控制”在針對任何特定的人或實體使用時,是指通過具備投票權的證券所有權或通過合同,來指示或指引該特定個人或實體的管理方向。“正控制”和“控制”具有與前述相關的含義。該定義中特別排除的是控制TMF Group B.V.的股份持有公司。
3. TMF Group處理的個人資料
由TMF或處理方(若有)代表客戶處理的個人數據細節包括:個人數據的持續時間、目的、類型和類別,這將在服務合約中列明。
4. 個人資料的使用
TMF不得處理、轉移、修改或更改個人數據,也不得向任何第三方披露個人數據,除了:
- 需要處理個人數據以提供服務和/或按照客戶書面說明進行處理,或
- 根據遵守《數據保護法》或TMF所適用的其他法律的要求,在這種情況下,TMF應(在法律允許的范圍內)在處理個人數據之前通知客戶該法律要求。
此外,TMF允許使用綜合資料,在不再被視為個人數據的范圍內,用于分析、網站和內部操作,包括故障檢修、數據分析、測試、研究、統計和提升服務質量。
5. 分處理
TMF可能需要委任某第三方為客戶提供部分服務或協助提供技術支持,例如IT服務提供商或其他供應商。通過簽署服務協議,客戶授權TMF將個人數據的處理分包給分處理方。在不同的情況下,分處理方均受TMF與分處理方之間的條款保護,而該條款的保護性不低于本政策和服務合約中規定的條款。如果客戶提出書面要求,TMF將把分處理方的詳細信息告知客戶。TMF會在出現任何與分處理方的添加或更換相關的預期更改之前提前通知客戶,進而讓客戶有機會反對此類更改。若客戶在收到通知后五天內沒有書面反對,則視為客戶已接受新的分處理方。如果客戶在收到通知后五天內提出書面反對,TMF將和客戶討論潛在的解決方案。
6. 隱私和安全原則
TMF將對個人資料保密,并將確保其員工和分處理方受到相同的保密義務約束。TMF應采取適當的技術和組織措施,以確保個人數據的安全性與適用的數據保護法所要求的風險相稱,并且,如果處理涉及歐盟居民的個人資料,則應采取GDPR第32條所要求的所有措施。在評估適當的安全級別時,TMF應特別考慮到處理過程帶來的風險,尤其是意外或非法銷毀、丟失、更改、未經授權披露或訪問傳輸、存儲或以其他方式處理的個人資料。TMF網站(http://www.bjfrht.com/en/legal/data-protection/)上發布的“連續性聲明”進一步描述和詳細說明了安全措施,并構成本政策的部分之一。
7. 配合客戶要求
TMF應根據《數據保護法》的要求并在其要求的范圍內,與處理個人數據有關的客戶請求合作。TMF尤其應與以下所述的客戶資料主體權利、資料保護影響評估和審計權利有關的請求進行協作。
客戶資料主體權力:TMF應按照客戶的要求進行合作,讓客戶能夠遵守客戶數據主體對個人資料的任何權利行使,并遵守《數據保護法》的任何評估、查詢、通知或調查。在每種情況下,客戶應全額償補償TMF在履行本節中規定的義務,所合理產生的所有費用(包括內部資源和任何第三方費用)。
資料保護影響評估:在TMF代表客戶處理個人資料并考量到處理的性質和可用信息時,根據GDPR第35條要求,TMF應向客戶提供任何數據保護影響評估的合理協助,以及事先咨詢客戶的任何監管機構。
審計權力:在合理的要求和通知下,TMF將合作進行任何必要的審核或檢查,以證明TMF遵守了《數據保護法》和與《服務協議》相關的本政策中規定的處理方義務,但此要求不會強迫TMF提供或允許訪問有關以下方面的信息:(i)TMF內部定價信息;(ii)與TMF其他客戶有關的信息;(iii)TMF的任何非公開外部報告,或(iv)TMF內部審計人員準備的任何內部報告。客戶應避免在此類審核或檢查過程中對TMF的設備、人員和業務造成任何損害、傷害或破壞。根據本節的規定,《數據保護法》合規性審計或審查最多可以在任何十二個月內激活一次,除非該審查是在同一時期內,因TMF造成的個人數據泄露后而進行。任何進一步的《數據保護法》審核開銷應由客戶承擔。
在第7節中提供的客戶要求將在TMF首席信息安全官、TMF首席隱私官或類似的TMF當地高層的密切合作和監督下完成。
8. 刪除或歸還客戶個人資料
在與處理相關的服務結束時,TMF將根據客戶的選擇刪除或歸還個人資料,除非(i)《數據保護法》;(ii)在提供服務的國家/地區,適用于該服務的任何政府、監管機構或自律組織的任何法律、法規、命令、法規、規則、要求、慣例和指南;或(iii)管轄法院和監管機構要求TMF保留該個人資料。
9. 突發事件管理
TMF在得知違反個人資料后應立即通知客戶,并向客戶提供足夠的信息,使客戶能夠根據《數據保護法》履行舉報個人數據違規的義務。根據客戶的要求,TMF應與客戶充分合作,并采取客戶指示的合理步驟以協助調查,緩解和補救個人數據泄露的情況,使客戶能夠(i)對個人數據泄露行為進行徹底調查,并根據《數據保護法》【例如GDPR第33條(3)】提供事件詳細信息,(ii)制定正確的回應,以及(iii)針對個人數據泄露采取進一步的適當措施,以滿足《數據保護法》(“補救措施”)的任何要求。假設在一定程度上,由客戶指示的TMF補救措施相關費用,與客戶造成的個人數據泄露有關,則客戶應合理賠償TMF采取的補救措施的費用。補救措施應:(i)立即啟動,(ii)在TMF意識到個人數據泄露后的合理期限內完成,以及(iii)在當地辦事處的正常工作時間內進行需要采取補救措施。
10. 個人資料的國際轉移
始終以本政策的第4條為準,在服務要求在TMF、TMF關聯公司和/或任何子處理方之間國際轉移個人資料,則應應用以下規定(相關規定如下):
a. 轉移到歐盟內或從歐盟轉移到TMF關聯公司。 根據《數據保護法》,可以將個人數據轉移給(i)歐洲經濟區(“ EEA”)一個或多個成員國或瑞士中的一個或多個TMF關聯公司,或(ii)根據《企業約束規則》,在一個或多個第三國家中的一個或多個TMF關聯公司,這些規則已發布在TMF Group網站(http://www.bjfrht.com/en/legal/data-protection/ )。客戶或相關TMF關聯公司應應客戶數據主體的要求,向客戶資料主體提供《企業約束規則》和本政策的副本(無任何業務敏感或機密信息)。在《數據保護法》允許的情況下,TMF應根據《企業約束規則》獲得所有有關個人數據傳輸的授權或許可。如果《數據保護法》不允許TMF自行獲得此類授權或許可,則客戶應及時向相關TMF關聯公司發出所需的授權。
b. 轉移到歐盟內或從歐盟轉移到分處理方。根據本政策第5條的客戶許可和《數據保護法》,個人資料可轉移至(i)一個或多個歐洲經濟區或瑞士的一個或多個分處理方(TMF的關聯公司除外), 或(ii)根據《數據保護法》的例外情況,將其轉移至一個或多個第三國家的一個或多個此類分處理方,或(iii)在TMF添加了適當保護措施的基礎上,或在《數據保護法》允許的范圍內確保保護個人資料,在這種情況下,TMF應與客戶合作,為將個人資料跨境轉移至該分處理方尋求適當的依據。應客戶要求,TMF應將交叉轉移個人資料的適用依據告知客戶。
c. 其他轉移。在歐洲經濟區或瑞士以外的任何國家/地區的數據保護或隱私法適用于個人數據的情況下,客戶應根據《數據保護法》或《數據保護法》允許的其他措施,通過實施附加保護措施,確保TMF將個人資料跨境轉移到分處理方一事得到允許。
11. 義務
客戶保證,TMF代表客戶處理的所有個人數據已經并且應由客戶根據《數據保護法》進行處理,包括但不限于:(a)確保客戶制定和保持《數據保護法》所要求的監管機構通知和批準;(b)確保公平、合法地處理所有個人資料,確保個人資料準確且即時,并向客戶資料主體提供正式通知,當中描述TMF根據服務合約簽訂的服務進行處理。
只有在TMF不遵守《數據保護法》針對處理方的義務,或其行為超出或違反了服務合約中客戶的合法指示時,TMF才應對處理造成的損失負責。客戶應對其因違反《數據保護法》而造成的損害負責。如果客戶或處理方能證明對其無需對造成損害的事件承擔任何責任,則應豁免此第11條的責任。
當超過一個控制方或處理方,或控制方和處理方兩者涉及同一個處理過程,并且根據服務合約,在處理過程中對客戶資料主體造成任何損失負責任的情況下,為了確保對客戶資料主體的有效賠償,每個控制方或處理方應對全部損失負責。根據前段所列條件,如果控制方或處理方已就損害全額賠償,該控制方或處理方應有權向參與同一處理的其他控制方或處理方要求賠償其相應部分的賠償。
除了第11條第3段,服務合約中規定的賠償、責任、例外或限制,也應適用于本政策和服務合約的承擔義務,并且在發生任何沖突時均概以此條為準 。
個人資料保護政策 – TMF Group – 2019年4月版本
個人資料保護政策 – TMF Group – 2018年3月29日版本