全球数据保护规范策略

一大目标

Bruks Siwertell收集并使用组织不同部分个人信息这项政策的目的是确保Bruks Siwertell处理这一信息时符合适用法律,包括通用数据保护规则策略包括所有数字信息 个人信息出现

GDPR仅适用于EU//EEA公民

保单包括BruksSiwertell所有雇员和为BruksSiwertell工作的任何承包人

2实践修改

管理团队负责确保Bruks Siwertell处理的个人数据遵循此策略政策逐年审查和制定

人力资源主任负责每年更新政策,并确保GNPR中的任何修改均在政策中实现。

3组织职责

BruksSiwertell集团内每个单元总经理负责本策略的内容,并将确保组织遵守其要求政策实施委托给人力资源主任

BruksSiwertell雇员和承包商代表BruksSiwertell负责确保他们按保单要求行事

3.1. 总体职责-GDPR
人力资源主管负责确保Bruks Siwertell符合GNCR这就意味着,人力资源主任将在每次年度审查后通知管理团队安全风险人力资源主任将确保雇员遵守并了解政策的实际应用,并处理个人数据笔录请求

IT管理员负责确保所有IT系统、服务器和设备都更新并满足安全需求IT管理员还将定期审查软件硬件并评价Bruks Siwertell第三方储存的任何个人数据

4定义

个人资料
直接或间接与识别或识别人(“数据主体”)有关的任何信息特别通过引用标识符,如名称、识别号、定位数据或在线标识符

数据主体
个人资料相关个人

处理
以个人数据操作或集自动化方式操作,例如收集、记录、组织、结构化、存储、改编或修改、检索、咨询、使用、传输、传播或以其他方式提供披露、对齐或组合、限制、消除或销毁

协议
数据主体的“同意度”表示数据主体以声明表示同意处理与其个人数据的任何自由、具体、知情和毫不含糊地表示数据主体的愿望

资讯类
BruksSiwertell有义务通知数据主体所存储的任何个人数据

援助协议
与自然人或法人、公共当局、机构或Bruks Siwertell以外的机构(控制器)达成协议,并授权控制器直接处理个人资料

数据控制器
自然人或法人、公共机关、机构或其他机构单独或与他人联合确定处理个人数据的目的和方式处理目的和方式由法律确定Bruks Siwertell数据控制器

5处理个人资料

所有个人资料均按下列原则处理:

5.1 合法性、公平性和透明度
所有个人数据都必须合法、公平并透明处理数据

5.2 目的限制
个人数据必须为具体、清晰和合法目的收集,不得以与这些目的不相容的方式进一步处理。

5.3 数据稀释
个人资料必须充分、相关并限于处理目的所必要的内容

5.4准确性
个人资料必须准确并视必要随时更新必须采取所有合理步骤,确保对个人资料处理目的不准确即刻消除或纠正

5.5存储限制
数据保留形式允许识别数据主体不长于处理个人数据的目的所必需存储限量备案

5.6完整性和保密性
个人数据处理方式确保个人数据的适当安全,包括使用适当的技术或组织措施保护个人不受未经授权或非法处理和意外丢失、破坏或损坏

5.7 问责
Bruks Siwertell(数据控制器)负责并能够显示守法性所有个人资料寄存器都记录在一个中心文档中,称为-Central文档GPR程序到位确保所有雇员和Siwertell承包商遵守条例

5.8 处理新数据并修改处理数据
处理新数据或改变处理数据方式前,必须考虑到若干因素有必要收集个人资料吗? 个人资料是否有风险?

5.8.1 必要性
控制器首先需要问的是:实现特定目的个人数据需要哪些信息,流程是否遵循数据最小化、精度、存储限制、完整性和保密性以及问责等六大原则

5.8.2 冲击
如果过程可对数据主体或敏感信息等特殊个人数据类别构成任何风险,则必须分析效果和控制措施以防止或限制数据风险,以确保数据安全。详情见第5.11节

5.9 非结构化信息处理
处理非结构化信息时,例如个人数据、图像和电子邮件或文件、合同和字母视频时,可适用简化过程

这有助于个人资料的日常处理而不妨碍完整性和自由性简化过程适用于保护存储在Web服务器上、存储在文档和电子邮件通信中以及图像和视频中的非结构化个人数据雇员名和手机号也包括在内

即允许处理日常个人数据,只要数据主体不违反处理违反数据主体的个人数据仍被禁止

5.10 数据主体/资料主体个人数据
数据主体必须了解数据处理活动为了满足GNPR需求,Bruks Siwertell设置模板向数据主体提供数据处理信息模板包括公司收集的个人数据信息以及公司处理数据的方式。模板中还包含数据主体和数据控制器联系信息的权利

通常情况下,委托客户、雇员或供应商的主要联系人负责通知个人数据过程的数据主体例如,人力资源主管负责通知新BruksSiwertell雇员公司个人数据处理策略

有关BruksSiwertell个人数据处理活动的信息见:www.buspagesny.com

5.10.1数据主体访问权
数据主体想访问个人数据时,他或她或拥有有效委托权的代理可发送数据提取请求信息传递到数据主体或核准联系人数据主体总有权升级向常务主管提出的任何后续问题或查询

个人数据查询接收者必须确保验证访问对象的身份电子接收查询时,个人数据也可以电子发送,如果数据主体愿意。

个人资料传送必须安全发送,或加密或密码保护或挂号信发送数据主体自数据控制器收到请求后30天内免费接收个人数据副本

5.10.2数据主体的其他权利
数据主体联系数据控制器个人信息时,如他或她认为错误或不完整,数据控制器将立即纠正信息数据主体在适用时有权删除个人资料。举例说,如果个人信息不再适用

数据主体还有权基于兴趣对处理个人数据表示反对数据控制器想继续处理个人信息时,必须提供超出数据主体兴趣、权利和自由的理由

上文提到的任何数据主体请求将立即转发人力资源主管处理

5.11 特殊类别个人信息
禁止处理透露种族或民族血统、政治观点、宗教或哲学信仰或工会成员资格的个人数据,禁止处理遗传学和生物测定数据以独辨自然人身份,禁止处理健康数据或自然人性生活或性取向数据

特殊个人信息类可处理,条件是数据主体明确同意处理个人数据或需要处理数据控制者或数据主体在就业、社会保障和社会保护法领域履行义务并行使具体权利

5.12 儿童个人资料
监护人在个人资料方面不自动有权在未经儿童同意的情况下代表子女行事。这是因为儿童是个人并享有GPRS规定的权利

5.13 披露个人资料的义务
在某些情况下,数据控制器有义务披露个人数据举例说,数据控制器接受税务局和其他机关查询时有义务披露个人数据

6个人数据助理协议

存取和参与处理个人数据的其他公司称为个人数据助手第三方系统供应商偶尔可访问数据控制器个人数据Bruks Siwertell与这些供应商签定个人数据助理协议,下列人员有权签署协议:总经理、采购主管、IT主管和人力资源主管

7路由指令

7.1 所有雇员信息
全部BruksSiwertell员工都有义务遵守这一策略指令见文件“GDPR-面向所有员工指令”。

7.2存储限制-删除信息
个人数据存储方式只能使识别数据成为可能,只要数据为指定目的所需要。个人资料不再需要时必须删除或去标识数据控制器设置例程以确保个人信息不存储时间超过需要时间个人数据存储限值信息设置在Central寄存器GPR人力资源主任负责跟踪个人数据存储限制

7.3处理的合法性
数据控制器对个人资料的每一处理行为都必须确定处理的合法性处理合法if:部分履行数据主体契约履行法律义务势在必行公司有数据主体的明确同意或处理满足需求所有权值均需记录归档数据处理合法性记录在Central寄存器GNSR中

7.4注册
个人资料处理记录在Central寄存器GNSR个人数据处理需求GNPR,开发并购买IT服务与解决方案时必须确保这一要求,并将成为特定需求与协议的一部分

7.5后续
个人数据处理后续评估每年至少进行一次

7.6 通知个人资料破解
公司内发生的任何个人数据失窃事件必须立即向人力资源主管报告,该主管将毫不无故延迟并至迟在得知后72小时内通知监督当局个人数据失窃事件,除非个人数据失窃不大可能对自然人的权利和自由造成风险。72小时内未通知监督机关时,应附上延迟理由

问题GNPR

关于GNPR策略有问题 请联系HR主管 Katarina Akessonkatarina.akesson@bruks-siwertell.com