TMF Group非常重視其(潛在)商業關系、(候選)員工和其他員工的隱私。我們會一絲不茍地保護客戶委托給我們的個人資料。為此,我們增強并引入了新的技術和組織措施,以遵守《通用數據保護條例》(EU)2016/679(“ GDPR”)。
TMF Group致力于確保遵守GDPR
為了確保公平、透明地處理個人資料,并且將處理個人資料的特定情況和環境納入考量后,我們已經強化并引入新的技術和組織措施,確保減輕導致個人數據的潛在風險。
為了確保遵守GDPR,我們草擬了全新并更新了現有的內部政策和手冊,同時實施了一些特別為保護隱私和默認隱私原則的措施。此類措施的其他作用包括:(i)最小化個人資料的處理;(ii)增強處理的安全性;(iii)資料處理后的透明度;(iv)對資料主體的請求做出充分及時回應,(v )支持及時回應突發事件的程序,以及(vi)監督合規的個人資料處理活動,以確保處理合法和妥當。
在開發、設計、選擇和使用業務應用程序,或為客戶提供服務以及交付產品,包括處理個人數據的產品時,我們確保履行與GDPR有關的法律義務。TMF Group在整個過程中遵循以下設計隱私和默認隱私原則,并且將持續評估和改進。
GDPR相關的組織措施
- 隱私治理框架已經建立,推介了首席隱私官和全球隱私團隊的職責,他們將確保我們運營所在的司法管轄區遵守GDPR和當地隱私法律。
- 外部和內部隱私政策和聲明已更新,以反映GDPR要求。
- 我們已經實施流程、程序和指南來支持客戶、潛在客戶和員工所謂的GDPR第三章權利的要求:資料可攜帶性、刪除權(“被遺忘權”)、信息權和透明度、訪問權和更正權、限制處理權以及反對(自動)個人資料處理權。
- 資料清單(處理活動的記錄,“ RoPA”)是由信譽良好且行業領先的專家根據金融行業的最佳做法設置。其遵循GDPR進行維護,并提供整個組織中數據流的視圖。RoPA所需的更新乃起源于組織過程中。
- 數據保護影響評估(“ DPIA”)可以根據要求和要求進行,以支持客戶實現合規。內部流程在開始任何高風險的處理活動之前,將進行DPIA快速掃描和數據保護影響評估。
- 制定指南、程序和流程來處理涉及個人資料的事件。這些程序和事件解決由我們的隱私和安全高層負責。
- 我們與客戶和供應商(分處理方)的服務協議反映GDPR的要求。我們致力于僅聘請提供充分保證的分處理方,尤其是在專業知識、可靠性和資源方面,并要求他們采取符合GDPR和我們客戶要求的技術和組織措施,包括處理個人資料的安全性。
- 荷蘭(TMF Group領先)的監管機構批準了TMF Group的《企業約束規則》(BCR),以讓控制方和處理方可以在歐盟內與保護級別不足的司法管轄區轉移個人資料。
- 每個地方辦事處的GDPR合規性應在首席隱私官的監督下進行定期內部審核。
- 對所有員工進行培訓和提升意識的活動,所有員工都必須完成強制性的GDPR培訓。培訓每年將更新一次。
- TMF Group的直接營銷活動已完成GDPR的準備,這意味著,活動在事先已經得到隱私評估,并且是在受GDPR培訓營銷專業人員的監督下所展開。
GDPR相關的技術和安全措施
- 所有員工均已簽署保密聲明,且必須遵守內部政策。
- 確保員工在IT系統和物理個人數據存儲設施上的活動和訪問的安全、符合(多個)身份驗證要求并且是可分離的。
- 對員工角色和職責進行劃分,以降低個人破壞關鍵流程的可能性。
- 每位員工僅履行與其各自職位和職位相關的授權職責。
- 員工在IT系統和存儲的訪問權限符合預定義和記錄在案的業務需求,且工作要求與用戶身份相連。
- 員工賬戶管理僅限于授權人員定期進行審核。
我們鼓勵客戶、供應商和合作伙伴閱讀我們符合GDPR要求的《個人資料保護政策》和支持《連續性聲明》,當中包含對TMF Group技術和安全措施的說明,以及具有約束力的《企業約束規則》,這些規則讓我們能夠在集團內部不受進一步法律或技術限制的情況下轉移個人資料。
若您有任何疑問,歡迎聯系您所在地的辦事處或我們的專屬團隊dataprotection@tmf-group.com。