全球数据保护条例（GDPR）政策

1目的

Bruks Siwertell收集并使用公司不同部门的个人信息。本政策旨在确保Bruks Siwertell按照适用法律（包括通用数据保护条例（GDPR））处理此信息。该政策包括所有出现个人信息的数字信息。

GDPR只适用于EU/ /EEA公民。

此政策包括Bruks Siwertell的所有员工以及代表Bruks Siwertell工作的承包商。

2练习和复习

管理团队负责确保Bruks Siwertell处理的个人数据遵循这一政策。这项政策每年都会检讨和制定。

人力资源总监负责政策的年度更新，并确保GDPR中的任何变更都贯彻到政策中。

3组织和责任

Bruks Siwertell集团内每个单位的常务董事负责本政策的内容，并将确保组织遵守其要求。该政策的执行已委托给人力资源总监。

Bruks Siwertell员工和代表Bruks Siwertell工作的承包商都有责任确保他们按照政策的要求行事。

3.1总体职责- GDPR
人力资源总监负责确保Bruks Siwertell符合GDPR。这意味着人力资源总监将在每年的年度审查后将任何安全风险通知管理团队。人力资源总监将确保员工遵守并告知政策的实际应用，并处理任何有关个人资料副本的要求。

IT经理负责确保用于存储个人数据的所有IT系统、服务器和设备是最新的，并满足安全要求。IT经理还将定期检查软件和硬件，并评估Bruks Siwertell的第三方存储的任何个人数据。

4定义

个人资料
直接或间接与身分可辨认或可辨识的人士(“资料当事人”)有关的任何资料;特别是通过引用一个标识符，如姓名、标识号、位置数据或在线标识符。

数据对象
与个人资料有关的个人。

处理
对个人资料进行的任何操作或操作集，不论是以自动方式，例如收集、记录、组织、构造、储存、改编或更改、检索、谘询、使用、传送、传播或以其他方式提供、校准或组合、限制、删除或销毁的方式进行。

同意
资料当事人的“同意”是指对资料当事人的意愿作出任何自由给予的、具体的、知情的和明确的表示，而他或她藉此声明表示同意处理与他或她有关的个人资料。

问询处
Bruks Siwertell有义务告知数据主体所存储的任何个人数据。

援助协议
与除Bruks Siwertell（控制者）以外的自然人或法人、公共当局、机构或团体签订的协议，该机构或团体在控制者的直接授权下有权处理个人数据。

数据控制器
单独或与他人共同决定处理个人资料的目的和方法的自然人或法人、公共当局、机构或其他团体;其处理目的及方式由法律规定者。(Bruks Siwertell是该策略中的数据控制器)。

5处理个人数据

所有个人资料均须按以下原则处理:

5.1合法性、公平性和透明度
所有个人资料必须以合法、公平及透明的方式处理。

5.2目的限制
个人资料必须为特定、明确和合法的目的而收集，不得以与这些目的不符的方式进一步处理。

5.3数据最小化
个人资料必须足够、有关，并限于与处理该等资料的目的有关的必需资料。

5.4精度
个人资料必须准确，如有需要，须备存最新资料;必须采取每一合理步骤，确保不准确的个人资料，如就处理该等资料的目的而言，会毫不迟延地删除或更改。

5.5储存限制
数据必须以允许识别数据主体的形式保存，保存时间不得超过处理个人数据所需的时间；存储限制在“中央文件GDPR”下存档。

5.6完整性和保密性
处理个人数据的方式应确保个人数据的适当安全，包括使用适当的技术或组织措施，防止未经授权或非法处理以及意外丢失、破坏或损坏。

5.7责任
Bruks Siwertell（数据控制员）负责并能够证明遵守法律。因此，所有个人资料登记册均载于一份名为“中央文件GDPR”的中央文件内。制定相关程序，确保所有员工和Siwertell承包商遵守相关规定。

5.8处理新数据和处理数据的变化
在处理新数据或改变处理数据的方式之前，必须考虑许多因素。是否有必要收集个人数据，以及我们打算处理其个人数据的个人是否存在任何风险？

5.8.1必要性
控制器需要问的第一个问题是:为了实现某个目的，哪些个人数据是必需的，该过程是否遵循数据最小化、准确性、存储限制、完整性和保密性以及问责制这六项原则。

5.8.2冲击
如果该过程可能对数据主体或特殊类别的个人数据（如敏感信息）构成任何风险，则必须对影响和控制措施进行分析，以防止或限制数据风险，以确保充分的数据安全。请进一步阅读第5.11节。

5.9处理非结构化信息
在处理非结构化信息时，例如电子邮件或文档、合同和信件中的个人数据、图像和视频，可以使用简化的过程。

这有助于个人数据的日常处理，而不妨碍完整性和自由。这一简化过程适用于保护存储在web服务器上、保存在文档和电子邮件通信以及图像和视频中的非结构化个人数据。员工的姓名和电话号码也包括在内。

这意味着只要不违反数据主体，就允许处理日常个人数据。仍然禁止处理违反资料当事人的个人资料。

5.10资料当事人/将个人资料告知资料当事人的权利
必须将数据处理活动告知数据主体。为了满足GDPR要求，Bruks Siwertell提供了模板，将数据处理信息呈现给数据主体。这些模板包括有关公司收集的个人数据的信息，以及公司如何处理这些数据。该模板还包括数据主题的权限和数据控制器的联系信息。

通常，分配给客户、雇员或供应商的主要联系人负责通知资料当事人有关个人资料处理的事宜。例如，人力资源总监负责通知新员工Bruks Siwertell公司的个人数据处理政策。

有关Bruks Siwertell个人数据处理活动的信息，请访问：www.Bruks-Siwertell.com。

5.10.1资料当事人的查阅权利
如资料当事人希望查阅其个人资料，他或具有有效授权书的代理人可发出提取资料的要求。然后将信息发送给数据主题或批准的联系人。资料当事人有权向总经理提出任何后续问题或查询。

个人资料查询的接收者必须确保核实要求查阅资料的人的身份。如查询是以电子方式收到，如资料当事人愿意，个人资料亦可以电子方式发送。

个人资料的传送必须以安全的方式传送，不论是加密或密码保护，或是以挂号信传送。资料控制员收到要求后30天内，资料当事人将免费收到其个人资料的副本。

5.10.2数据主体的其他权利
如果数据主体就其认为错误或不完整的个人信息与数据控制器联系，数据控制器将毫不迟延地纠正该信息。如适用，资料当事人有权删除其个人资料。例如，如果个人信息不再适用。

资料当事人亦有权反对以个人利益为基础处理其个人资料。如果数据控制人想要继续处理个人信息，必须提供比数据主体的利益、权利和自由更重要的理由。

任何数据主体的上述请求将立即转发给人力资源总监并由其处理。

5.11个人信息的特殊类别
应禁止处理显示种族或民族出身、政治观点、宗教或哲学信仰或工会成员身份的个人数据，以及为唯一确定自然人而处理遗传和生物统计数据、有关健康的数据或关于自然人的性生活或性取向的数据。

特殊类别的个人信息可以被处理的数据主题已明确同意个人资料的处理或者处理是必要的目的进行数据的具体权利义务和行使控制器或数据的主题领域的就业和社会保障还有社会保障法。

5.12儿童个人资料
监护人在涉及个人资料时，未经子女同意，不自动有权代表子女行事。这是因为儿童是个人，根据GDPR享有权利。

披露个人资料的义务
在某些情况下，数据控制人有义务披露个人数据。例如，如果收到税务和其他部门的查询，数据控制人员必须披露个人数据。

6个人数据助理协议

其他能够接触并参与处理个人资料的公司被称为个人资料助理。偶尔，第三方系统供应商可以访问属于数据控制器的个人数据。Bruks Siwertell与以下供应商签订了个人数据助理协议:董事总经理、采购总监、IT经理和人力资源总监。

7例行程序和说明

7.1所有员工信息
所有Bruks Siwertell员工都有义务遵守这项政策。指导可以在名为“GDPR -所有员工的指导”的文件中获得。

7.2存储限制-删除信息
个人资料只会在为其指定用途而有需要的情况下，以可辨识资料当事人身分的方式储存。当个人资料不再需要时，必须删除或取消识别。数据控制器已经建立了程序，以确保个人信息的存储时间不会超过必要时间。有关不同个人数据存储限制的信息在“中央注册GDPR”中设置。人力资源总监负责跟进个人数据存储的限制。

7.3处理的合法性
必须为资料管制人处理个人资料的每项行为确定处理的合法性。在以下情况下，处理是合法的:作为与资料当事人履行合约的一部分;履行法定义务的必要;公司已获得资料当事人的明确同意;或者加工是否满足根据“兴趣权衡”设定的需求。所有的利益权衡都必须被记录和存档。数据处理的合法性记录在“中央注册GDPR”中。

7.4注册
个人数据的处理记录在“中央注册GDPR”中。在开发和购买IT服务和解决方案时，必须确保根据GDPR处理个人数据的要求，并将成为特定要求和任何协议的一部分。

7.5后续
有关个人资料处理的跟进及评估工作每年最少进行一次。

7.6个人资料违反通知
公司发生任何个人资料泄露，必须立即向人力资源总监报告，人力资源总监将在不延误的情况下，并在得知后不迟于72小时，将个人资料泄露的情况通知监管当局。除非违反个人资料不会对自然人的权利及自由造成风险。未在七十二小时内通知监察机关的，应当说明理由。

关于GDPR的问题

如果您对我们的GDPR政策有任何疑问，请联系我们的人力资源总监Katarina Åkessonkatarina.akesson@bruks-siwertell.com