- 政策聲明
本政策規定了 Active Intelligence Holdings Limited(以下簡稱“公司”)根據歐盟法規 2016/679 通用數據保護條例(“GDPR”)收集、持有和處理的個人數據的保留義務 ”)。
GDPR 將“個人數據”定義為與已識別或可識別的自然人(“數據主體”)相關的任何信息。 可識別的自然人是可以直接或間接識別的自然人,特別是涉及姓名、識別號、位置數據、網上等參考數據,或特定於身體、生理的一個或多個特徽 該自然人的基因資料、心理、財務狀況、文化或社會身份。
公司以合法或合法的商業目的保留記錄和信息,並完全遵守歐盟數據保護法律、指南和最佳的用法。
- 目的
本政策規定了公司持有的個人數據的類型、個人數據的保留期限、建立和審查和使用此類期限的標準以及保留時間和方式 被刪除或以其處理。
- 目標
GDPR 規定公司作為數據控制者有義務以合理的方式處理個人數據,通知數據主人數據處理的目的,並保留數據的時間不超過實際這些目的所需的時間。
公司關於數據保留的原則為:
-
- 為個人數據的保留設定限制並確保合符限制
- 確保公司完全遵守 GDPR 規定的使用數據的義務和權利
- 確保安全可靠地處置機密數據和信息資產
- 確保在每個機構的規則或條款規定的法律、合同和監管期限內保留記錄和文件
- 降低與機密信息相關的風險或違規行為
- 範圍
本政策適用於公司內的所有人員(指與公司聘用的永久、合約、臨時員工和分包商)。 遵守本政策是強制性的,不遵守可能導致紀律處分或取消僱用合同。
- 責任
部門負責人和資料所有者對其部門活動產生的記錄和數據的管理負全部責任,即確保在其部門範圍內創建、接收和控制記錄,以及系統(電子或其他方式) 和他們採用的程序,以符合本政策目標的方式進行管理。
公司董事或 指定DPO必須參與任何數據儲存過程和記錄,或者保留所有存檔和銷毀的備份紀錄。 員工個人必須確保他們負責的記錄是其業務運作的完整和準確記錄,並按照公司的政策進行維護和處置。
- 一般數據保護條例(GDPR)
公司需要收集有關用戶與之共事或與有業務關係的人員的個人信息,以有效、合規地執行我們的日常業務職能和活動,並提供我們業務類型的服務。 此信息可包括但不限於姓名、地址、電子郵件地址、出生日期、身份證號碼、私人和機密信息、敏感信息和銀行詳細信息。
此外,我們有時可能會被要求收集和使用某些類型的個人信息以符合法律和/或法規的要求,但我們致力於根據一般數據收集、處理、存儲和銷毀所有信息 保護條例、以歐盟數據保護法以及適用於我們的業務和/或我們處理和存儲的信息的任何其他相關法律或監管機構規則或行為準則。
- 指南和程序
公司以符合 GDPR 要求和記錄管理監管行為準則的方式有效地保留數據記錄。 該政策被廣泛傳播,以確保數據保留和記錄管理以基標準處理。
公司將保留記錄以提供有關公司交易、客戶、就業和活動的信息和證據。 保留時間表將控制記錄的保留期限,可在本文檔末尾的“記錄保留期限”表中找到。
7.1保留期標準
所有公司和員工信息均按照法例和監管準則保留、存儲和銷毀。
對於在公司外部獲得、使用和存儲的所有數據和記錄,我們將:
- 對保留的數據、檢查目的、持續有效性、準確性和保留要求進行定期審查
- 對保留的數據進行定期審查
- 建立並驗證數據的保留期,特別考慮以下方面:
- 公司的要求
- 個人數據的類型
- 處理目的
- 處理的合法依據
- 數據對象的類別
- 如果無法根據 GDPR 要求定義法定或法定保留期限,公司將決定確定期限的標準,並應要求將其提供給數據對象,並將其作為我們標準信息的一部分 披露和隱私聲明
- 制定流程以確保未經審計、訴訟或調查的記錄不被銷毀或更改
7.2 資料所有者
所有系統及其包含的記錄在其整個生命週期中都有資料所有者 (IAO),以確保問權責以及數據保留和銷毀的分工分權方法。 根據職位、業務領域和需要級別分配數據的使用者。 IAO 記錄在保留登記冊中,所有員工都可以完全參閱。 未經資料所有者事先授權和知情,絕不會審閱、刪除、訪問或銷毀數據和記錄。
7.3 暫停處理訴訟或索賠的記錄
如果公司收到任何關於記錄或信息的法律要求,任何員工成為審計或調查的對象,或者我們被告知對我們公司的任何訴訟開始,我們將暫停處理任何預定的記錄,直到我們 能夠確定對任何記錄為法律要求。
7.4 記錄和數據的存儲和使用
文件必須保存在安全位置,只有經授權的人員才能開啓。 保留期限過後,文件將根據其目的進行審閱、存檔或保密銷毀。
7.5 保留期屆滿
一旦記錄或數據達到其指定的保留期限,IAO 應參考保留登記冊以採取相應行動。
7.6 銷毀和處置記錄和數據
當資料不再需要時,必須安全地銷毀書面或電子媒體上的所有機密或敏感信息。 確保遵守數據保護法以及我們對員工、客戶和客戶的保密責任。
公司致力於根據我們的協議和守則安全地處置任何機密報廢資料和信息資產,並以合理和合規的方式進行處理。 我們確認我們的方法和程序符合《通用數據保護條例》(GDPR) 中製定的法律和規定,並且員工接受了有關程序和控制措施的相應培訓和建議。
7.6.1 書面紀錄
由於我們業務的性質,公司將保留書面個人信息,因此有責任確保以安全、保密和合規的方式處理這些信息。 本公司聘請專業銷毀服務公司處理所有書面材料。
員工在辦公室內可使用碎紙機和機密報廢處理裝置,在我們使用服務提供商處置的地方,我們會定期收集以確保機密數據得到妥善處理。
7.6.2 電子資料
公司在經營業務時使用了大量系統、計算機和技術設備。公司必須處置此類資料,由於在這些資料可能仍處於有效狀態,公司會以合理和安全的方式進行處置。
電子記錄的刪除必須與 IT 部門一起進行,該部門將確保從媒體中刪除所有數據,使其無法重建。
只有 IT 部門可以授權處置任何 IT 設備,並且他們必須親自接受和授權該部門的此類資料。 IT 設備遵循完全可審計的處置過程,包括結合安全的電子和物理銷毀方法,以在處置資料之前永久刪除數據記錄。
在處置情況下,IT 部門必須填寫處置表格並確認成功刪除和銷毀每項資料。這還必須包括來自服務提供商的有效處置證書,移除格式化或粉碎的資料。一旦發生處置,IT 部門將負責與資料所有者聯絡並更新已移除資產的信息資料登記冊。
資料所有者和 IT 部門有明確的責任確保在請求處置之前已從 IT 設備中充分刪除所有相關數據。
7.6.3 內部通信和一般備忘錄
除非本政策或保留期限登記冊另有規定,否則通信和內部備忘錄的保留期限應與其相關或支持的文件的期限相同(即,如果備忘錄與合同或個人檔案有關,則相關保留期限應與遵守備案相同)。
如果信函或備忘錄與任何已被指定保留期的文件無關,則一旦內容的目的完成和不再有用途,它們應被刪除或銷毀。
8. 刪除
在特定情況下,數據主體有權要求刪除其個人數據,但本公司承認這不是絕對的“被遺忘權”。 如果以下條件下,數據主體有權要求刪除個人數據並停止處理:
- 其原來收集/處理的目的不再需要個人數據與
- 當個人撤回使用授權
- 當個人反對處理並且不存在繼續處理的一切的合法利益時
- 個人數據被非法處理
- 必須刪除個人數據以履行法律義務
8.1特殊類別數據
根據 GDPR 要求,組織必須擁有並維護適當的政策文件和保護措施,以保留和刪除特殊類別的個人數據和刑事定罪等。
我們銷毀和刪除數據的方法和措施已在本政策中註明,並適用於我們的保留登記表中註明的所有形式的記錄和個人數據。
- 合規與監控
公司致力於確保持續遵守本政策和任何相關法律,並對我們的記錄、其管理、存檔和保留進行定期審計和監控。 資料所有者的責任是確保持續合規並審查其職權範圍內的記錄和數據。 - 保留期限
如上所述,根據法律要求,公司保留任何個人數據的時間不得超過收集、保存和處理個人數據的目的所需的時間。 - 保留登記冊
收集數據
保留期 收集原因
使用者
數據主任 保安 GDPR 理由 數據銷毁
信息、數據或記錄 保留記錄和附註的期限 誰負責審查 銷毀、歸檔、審查等 - 保留登記冊
用戶資料
客戶通信詳細信息 – 姓名、地址、電話號碼、電子郵件地址 如果鏈接到供應商,則無限期保留,直到供應商要求將其刪除 合規要求的 KYC 和背景調查 項目團隊 合規
存放在可上鎖的文件櫃中 – 公司可自行訪問文件 如果存儲為電子副本; 開啓將受密碼保護
法律 機密資料銷毀或 安全刪除
客戶合同數據——這可能包括姓名、BIC、IBAN、帳號、賬戶名稱 如果鏈接到供應商,則無限期保留,直到供應商要求將其刪除。 財務數據保留七年
進行交易 項目團隊 合規
存放在可上鎖的文件櫃中 – 公司可自行訪問文件 如果存儲為電子副本; 開啓將受密碼保護
法律 機密資料銷毀或 安全刪除
本政策聲明為英文版本的中釋本。如內容與英文版有衝突,此聲明以英文版為準