可提供快递服务
可提供快递服务
BLACK FRIDAY IS HERE! GET UP TO 50% OFF SELECTED MEN'S STYLES
BLACK FRIDAY IS HERE! GET UP TO 50% OFF SELECTED WOMEN'S STYLES
Dents Dents
登录 检索 我的包 我的包 我的包
检索
关闭

前言

我们的企业数据保护政策对处理与客户、潜在客户、商业伙伴和员工有关的个人数据规定了严格的要求。它符合欧洲数据保护指令(GDPR)的要求,并确保符合国家和国际数据保护法的原则。

该政策规定了我们公司适用的数据保护和安全标准,并规范了我们集团公司之间的信息共享。我们制定了七项数据保护原则--其中包括透明度、数据经济和数据安全--作为我们的准则。

我们的经理和员工有义务遵守本政策,并遵守他们当地的数据保护法。

作为负责企业数据保护的人,我有责任确保Dents 的数据保护规则和原则得到遵守。

Robert Yentob

主席

23/5/18

内容

I.数据保护政策的目的

II.数据保护政策的范围

III.国家法律的适用

IV.处理个人数据的原则

1.公正性和合法性

2.限制在一个特定的目的

3.透明度

4.数据缩减和数据经济

5.删减

6.事实的准确性;最新的数据

7.保密性和数据安全性

V.数据处理的可靠性

1.客户和合作伙伴数据

1.1 用于合同关系的数据处理

1.2 用于广告目的的数据处理

1.3 对数据处理的同意

1.4 根据法律授权进行的数据处理

1.5 根据合法利益进行的数据处理

1.6 高度敏感数据的处理

1.7 自动化的个人决定

1.8 用户数据和互联网

2.雇员数据

2.1 雇佣关系的数据处理

2.2 根据法律授权进行的数据处理

2.3 对数据处理的同意

2.4 根据合法利益进行的数据处理

2.5 高度敏感数据的处理

2.6 自动决定

2.7 电信和互联网

VI.个人数据的传输

VII.合同数据处理

VIII.数据主体的权利

IX.处理过程的保密性

X.处理安全问题

XI.数据保护控制

XII.数据保护事件

XIII.责任和制裁

  1. I. 数据保护政策的目的

作为其社会责任的一部分,Dewhurst Dent集团(集团)致力于遵守数据保护法。本数据保护政策适用于世界各地的集团 ,并以全球公认的数据保护基本原则为基础。确保数据保护是值得信赖的商业关系的基础,也是集团内所有公司作为一个有吸引力的雇主的声誉的基础。

数据保护政策提供了跨国界的必要框架条件之一。

集团公司之间的数据传输。它确保了数据保护的适当水平

由GDPR和国家法律规定的跨境数据传输,包括在尚未有适当数据保护法的国家。

  1. II. 数据保护政策的范围

本数据保护政策适用于本集团的所有公司和部门,即Dents、Gaby、Dents Australia Pty、Corgi Hosiery Ltd、D.Charles Astle(拍卖商)和Hersil Fabrics。

数据保护政策适用于所有个人数据的处理

  1. III. 国家法律的适用

本数据保护政策包括国际公认的数据隐私原则

而不取代现有的国家法律。它是对国家数据隐私法的补充。该法案

如果相关的国家法律与本数据保护条款相冲突,则以国家法律为准。

政策,或者它有比本政策更严格的要求。本数据保护政策的内容

在没有相应国家立法的情况下也必须遵守。报告

必须遵守国家法律规定的数据处理要求。

集团的每家公司都有责任遵守本数据保护政策和法律义务。所有员工在处理个人数据时必须阅读、理解并遵守本政策和任何相关政策,任何违反行为都可能导致纪律处分。

  1. IV. 处理个人数据的原则

1.公正性和合法性

在处理个人数据时,数据主体的个人权利必须得到保护。

必须以合法和公平的方式收集和处理个人数据。 数据保护法允许为特定目的进行处理,这些目的在本政策中有所规定。 数据主体将被告知处理其个人数据细节的目的,这可以在公司的员工隐私通知中找到。

2.限制在一个具体、明确和合法的目的内

个人数据只能为特定的、明确的和合法的目的进行处理,不会以任何与这些目的不相符的方式进行处理。随后对目的的改变只可能在有限的范围内进行,并且需要提供证据。


3.透明度

数据主体必须被告知他/她的数据是如何被处理的。[雇员将得到一份隐私通知,告知他们其数据是如何被处理的]。 这些信息将是简明、透明、易于获取的,并采用清晰和计划的语言。

一般来说,个人数据将直接从有关个人那里收集。在收集数据时,数据主体必须知道,或被告知。

»数据控制者的身份

»数据处理的目的

»数据可能被传送给的第三方或第三方类别

个人数据也可能被间接收集(例如,从第三方或公开来源)。 在收集/接收数据后,数据主体将尽快被告知上述信息。

4.数据缩减和数据经济

个人数据必须是充分的、相关的,并且仅限于与处理目的有关的必要内容。 在处理个人数据之前,你必须确定处理个人数据是否以及在多大程度上是必要的,以实现处理的目的。

在目的允许的情况下,如果涉及的费用与所追求的目标相称,必须使用匿名或统计数据。除非国家法律要求或允许,否则不得提前收集和储存个人数据用于未来的潜在目的。

5.删减

当不再需要个人数据时,将根据本公司的数据保留准则和政策予以删除。数据主体将被告知数据的保存期限以及该期限是如何在其隐私政策中确定的。

必须要求第三方在适用情况下删除不再需要的数据。

6.事实的准确性;最新的数据

档案中的个人数据必须是准确的,并且--如果有必要--保持最新。必须采取适当的步骤,确保不准确或不完整的数据被删除、纠正、补充或更新。

7.保密性和数据安全性

个人数据是保密的。它必须被视为个人层面的机密,并以适当的组织和技术措施加以保护,以防止未经授权的访问、非法处理或分发,以及意外的损失、损坏、修改或破坏。 我们有适合我们的规模、范围、资源和确定的风险的保障措施,并将定期进行评估和测试。我们已经制定了处理任何疑似个人数据泄露的程序,并将在法律要求的情况下通知数据主体或任何适用的监管机构。

个人数据将只转移给同意遵守我们所要求的政策和程序并同意采取适当措施维护数据安全的第三方服务提供商。 在没有适当保障措施的情况下,个人数据将不会被转移到另一个国家。

  1. V. 数据处理的可靠性

收集、处理和使用个人数据只允许在以下法律基础上进行。

如果收集、处理和使用个人数据的目的要从原来的目的改变,也需要这些法律依据之一。

1. 客户和合作伙伴数据

1.1 用于合同关系的数据处理

为了建立、执行和终止合同,可以处理相关潜在客户、客户和合作伙伴的个人数据。这也包括根据合同为合作伙伴提供的咨询服务,如果这与合同目的有关。在签订合同之前--在合同启动阶段--可以处理个人数据,以准备投标或采购订单,或满足潜在客户与签订合同有关的其他要求。在合同准备过程中,可以使用潜在客户提供的信息与他们联系。潜在客户要求的任何限制必须得到遵守。

1.2 用于广告目的的数据处理

如果数据主体与集团公司联系,要求提供信息(例如要求收到有关产品的信息资料),允许为满足这一要求进行数据处理。

客户忠诚度或广告措施受制于进一步的法律要求。个人数据可以为广告目的或市场和意见研究而处理,但这必须与最初收集数据的目的相一致。数据主体必须被告知其数据用于广告目的。如果收集的数据仅用于广告目的,数据主体的披露是自愿的。应告知数据主体,为该目的提供数据是自愿的。在与数据主体沟通时,应征得他/她的同意,为广告目的处理数据。在给予同意时,应让数据主体在可用的联系形式中进行选择,如普通邮件、电子邮件和电话(同意,见V.1.3)。如果数据主体拒绝将他/她的数据用于广告目的,则不能再用于这些目的,必须阻止其用于这些目的。必须遵守特定国家关于将数据用于广告目的的任何其他限制。

1.3 对数据处理的同意

在得到数据主体的同意后,可以对数据进行处理。在给予同意之前,必须根据本数据保护政策的IV.3.通知数据主体。必须以书面形式或以电子方式获得同意声明,以便记录。在某些情况下,如电话交谈,可以口头表示同意。同意的授予必须被记录下来。

1.4 根据法律授权进行的数据处理

如果国家立法要求、要求或允许,也允许对个人数据进行处理。数据处理的类型和程度必须是合法授权的数据处理活动所必需的,并且必须符合相关的法律规定。

1.5 根据合法利益进行的数据处理

如果是为了集团的合法利益,也可以处理个人数据。合法利益一般是指法律上的(如收取未付的应收款项)或商业上的(如避免违约)。如果在个别情况下,有证据表明数据主体的利益值得保护,并且优先考虑,则不得以合法利益为目的处理个人数据。在处理数据之前,有必要确定是否存在值得保护的利益。

1.6 高度敏感数据的处理

高度敏感的个人数据只有在法律要求或数据主体明确同意的情况下才能处理。如果为了维护、行使或捍卫有关数据主体的法律主张而必须处理这些数据,也可以进行处理。如果有处理高度敏感数据的计划,必须事先通知有关公司的董事长或首席执行官(他们是数据保护官员)。

1.7 自动化的个人决定

用于评估某些方面(如信用度)的个人数据的自动处理不能成为具有负面法律后果或可能严重损害数据主体的决定的唯一依据。数据主体必须被告知自动化个人决定的事实和结果,并有可能作出回应。为了避免错误的决定,必须由员工进行测试和合理性检查。

1.8 用户数据和互联网

如果在网站或应用程序中收集、处理和使用个人数据,则必须在隐私声明中告知数据主体,并在适用的情况下告知其关于cookies的信息。隐私声明和任何cookie信息必须整合在一起,以便数据主体易于识别、直接获取和持续使用。如果为评估网站和应用程序的使用情况而创建了使用档案(跟踪),则必须始终在隐私声明中向数据主体提供相应信息。只有在国家法律允许或数据主体同意的情况下,才能进行个人跟踪。如果跟踪使用假名,应在隐私声明中给予数据主体选择退出的机会。如果网站或应用程序可以在仅限于注册用户的区域内访问个人数据,数据主体的识别和认证必须在访问期间提供足够的保护。

2.雇员数据

2.1 雇佣关系的数据处理

在雇佣关系中,如果需要履行雇佣合同,包括启动、执行和终止雇佣关系,可以处理个人数据。在启动雇佣关系时,可以处理申请人的个人数据。如果候选人被拒绝,他/她的数据必须在6个月内删除,除非申请人同意在未来的选拔过程中保留其档案。

在现有的雇佣关系中,数据处理可能是为履行雇佣合同所必需的,但也可能有其他合法的处理依据,如下文所述。如果在申请程序中,有必要从第三方收集申请人的信息,则必须遵守相应国家法律的要求。在有疑问的情况下,必须获得数据主体的同意。处理与雇佣关系有关的个人数据可能有其他法律依据。这可能包括法律要求、雇员的同意或公司的合法利益。

2.2 根据法律义务进行的数据处理

如果国家立法要求、要求或授权,也允许处理雇员的个人数据。数据处理的类型和程度必须是合法授权的数据处理活动所必需的,并且必须符合相关的法律规定。

2.3 对数据处理的同意

经有关人员同意,可对雇员数据进行处理。同意的声明必须是自愿提交的。非自愿的同意是无效的。同意声明必须以书面形式或以电子方式获得,以便记录。在某些情况下,同意可以是口头的,在这种情况下,必须有适当的记录。

如果员工通过声明或积极行动明确表示同意处理其个人数据,那么他们就同意处理。 如果同意是在涉及其他事项的文件中作出的,则同意必须与这些其他事项分开。 雇员必须能够在任何时候轻松撤回同意。

除非有其他法律依据,否则处理特殊类别的数据需要得到明确同意(见下文第2.5段)。 通常情况下,公司将依靠另一个法律依据,不需要明确同意来处理特殊类别的数据。

2.4 根据合法利益进行的数据处理

如果为了集团或第三方的合法利益,也可以处理个人数据。合法利益通常是指法律上的(如提出、执行或捍卫法律索赔)、财务上的(如公司的估值)或其他性质的(如有必要保护个人或他人的重要利益,或有必要执行为公共利益而开展的任务)

如果在个别情况下,这些利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒,则不得基于合法利益而处理个人数据。 所依赖的合法利益将在适用的隐私声明中列出。此外,必须考虑到国家法律的任何额外要求(例如,雇员代表的共同决定权和数据主体的信息权)。

2.5 高度敏感数据的处理

高度敏感的个人数据只有在特定条件下才能被处理。高度敏感的数据是关于种族和民族血统、政治观点、宗教或哲学信仰、工会会员资格、基因数据、生物识别数据、健康数据以及关于数据主体的性生活和性取向的数据。根据国家法律,更多的数据类别可以被认为是高度敏感的,或者数据类别的内容可以以不同方式填写。此外,与刑事定罪和犯罪有关的数据往往只能根据国家法律的特殊要求进行处理。这种处理必须是国家法律明确允许或规定的。此外,如果主管部门有必要履行其在就业法领域的权利和义务,则可以允许处理。雇员也可以明确表示同意处理。如果有计划处理高度敏感的数据,必须事先通知数据保护经理。

在以下情况下可以处理高度敏感的数据。

  • 经数据主体明确同意
  • 如果处理是为了履行或行使法律对数据控制者或数据主体规定的与就业、社会保障或社会保护有关的义务或权利,并且雇主有适当的政策文件和额外的保障措施,则有必要处理。
  • 为保护个人或他人的重要利益而必须进行处理,且个人无能力表示同意的情况下
  • 如果处理过程涉及个人已公开的个人数据
  • 当处理过程对于建立、行使或捍卫法律要求是必要的时候
  • 如果处理是出于重大公共利益的需要,只要雇主有一个适当的政策文件和额外的保障措施到位。 这可以包括为促进待遇平等的目的而处理数据
  • 如果处理过程对于评估个人的工作能力或根据与卫生专业人员的联系是必要的,并受保密保障措施的约束。

2.6 自动决定

如果个人数据作为雇佣关系的一部分被自动处理,并对具体的个人细节进行评估(例如,作为人员选拔或技能简介评估的一部分),这种自动处理不能成为会对受影响的雇员产生负面后果或重大影响的决定的唯一依据。为了避免错误的决定,自动处理必须确保有一个自然人对情况的内容进行评估,并且这种评估是决定的基础。数据主体也必须被告知自动处理的事实和结果,并有可能作出回应。公司不设想使用自动决策,但如果立场发生变化,将以书面形式通知员工。

2.7 电信和互联网

电话设备、电子邮件地址、内部网和互联网以及内部社交网络是由公司提供的,主要用于与工作有关的任务。它们是一种工具和公司资源。它们可以在适用的法律规定和公司内部政策范围内使用。在授权用于私人目的的情况下,必须遵守电信保密法和相关的国家电信法(如果适用)。对电话和电子邮件通信或内联网/互联网的使用不会有一般的监控。为了抵御对IT基础设施或个人用户的攻击,可以对与集团公司网络的连接采取保护措施,阻止技术上有害的内容或分析攻击模式。出于安全考虑,电话设备、电子邮件地址、内联网/互联网和内部社交网络的使用可以被暂时记录下来。只有在涉嫌违反本集团法律或政策的情况下,才能对特定人员的这些数据进行评估。相关的国家法律必须以与集团规定相同的方式得到遵守。

  1. VI. 个人数据的传输

将个人数据传输给集团外部或内部的接收者,必须遵守第五节中关于处理个人数据的授权要求。除非有某些保障措施和合同安排,否则不会与第三方共享个人数据。 必须要求数据接收方只为规定的目的并按照我们的指示使用这些数据。

如果数据被传送到集团以外的第三国(包括欧盟以外的国家)的接收者,我们将确保该国有足够的保护水平来保护个人数据,相当于本数据保护政策中规定的保护水平。如果数据由第三方传输给集团公司,必须确保数据将被用于预期目的。

  1. VII. 合同数据处理

代为处理数据是指供应商被雇佣来处理个人数据,而不需要

被赋予相关业务流程的责任。在这些情况下,一个协议

必须与外部供应商和公司之间签订关于代为处理数据的合同

在本集团内。客户保留对数据处理的正确执行的全部责任。供应商只能按照客户的指示处理个人数据。在发出订单时,必须遵守以下要求;发出订单的部门必须确保满足这些要求。

  1. 必须根据其涵盖所需技术和组织保护措施的能力来选择供应商。
  2. 该订单必须以书面形式下达。关于数据处理的指示以及客户和提供者的责任必须记录在案。
  3. 必须考虑由数据保护经理提供的数据保护合同标准。
  4. 在数据处理开始之前,客户必须相信供应商会遵守这些职责。供应商可以在以下文件中记录其对数据安全要求的遵守情况

特别是通过提出适当的证明。根据数据处理的风险,审查必须在合同期内定期进行。

  1. 只使用对数据有保密义务的工作人员和其他人员。
  2. 遵守相当于GDPR对雇主规定的安全义务。
  3. 通知雇主任何与雇主共享的个人数据有关的违规行为。
  4. 只有在事先得到雇主允许的情况下,才可以招募次级处理者。
    1. 在跨境合同数据处理的情况下,必须满足在国外披露个人数据的相关国家要求。特别是,来自欧洲经济区的个人数据只有在提供者能够证明其拥有与本数据保护政策相当的数据保护标准时,才能在第三国进行处理。合适的工具可以是。
      1. 与供应商和任何分包商就第三国合同数据处理的欧盟标准合同条款达成协议。
      2. 供应商参与欧盟认可的认证系统,以提供足够的数据保护水平。
      3. 由负责数据保护的监督机构确认供应商具有约束力的公司规则,以建立一个适当的数据保护水平。

  1. VIII. 数据主体的权利

每个数据主体都有以下权利。

  1. 数据主体可以要求了解哪些与他/她有关的个人数据被储存,数据是如何收集的,以及出于什么目的。如果有进一步的权利,可以

查看雇主关于雇佣关系的文件(如人事档案)。

相关的就业法律,这些将保持不受影响。

  1. 如果个人数据被传输给第三方,必须提供有关身份的信息。

的收件人或收件人的类别。

  1. 如果个人数据不正确或不完整,数据主体可以要求予以纠正

或补充。

  1. 数据主体可以反对为广告或市场/意见研究的目的处理他或她的数据。数据必须被阻止用于这些类型的使用。
  2. 如果对这些数据的处理没有法律依据,或者法律依据已不再适用,数据主体可以要求删除他/她的数据。如果数据处理背后的目的已经失效或因其他原因不再适用,也同样适用。必须遵守现有的保留期限和值得保护的冲突利益。
  3. 如果我们依靠合法的利益(或第三方的利益)进行处理,并且数据主体的特殊情况使他们想要反对以此为由进行处理,则数据主体通常有权反对他/她的数据被处理。 如果由于特殊的个人情况,保护他/她的利益优先于数据控制者的利益,就必须考虑到这一点。如果法律规定要求对数据进行处理,或者处理过程对于建立、行使或捍卫法律主张是必要的,则不适用。
  4. 数据主体可以要求限制对其个人信息的处理。这使数据主体能够要求暂停处理个人信息,例如,如果他们希望雇主确定信息的准确性或处理信息的原因。
  5. 在某些情况下,数据主体可以要求将其个人信息转让给另一方。

  1. IX. 处理过程的保密性

个人数据是保密的。禁止员工未经授权收集、处理或使用这些数据。雇员未经授权作为其合法职责的一部分而进行的任何数据处理都是未经授权的。适用 "需要知道 "的原则。雇员只有在适合有关任务的类型和范围的情况下才可以接触到个人信息。这需要对角色和责任进行仔细的细分和分离,以及实施。禁止员工将个人数据用于私人或商业目的,禁止向未经授权的人披露,或以任何其他方式提供。主管人员必须在雇佣关系开始时告知其雇员有义务保护数据的机密性。即使在雇佣关系结束后,这项义务也应继续有效。

  1. X. 处理安全问题

个人数据必须得到保护,以防止未经授权的访问和非法处理或披露,以及意外的损失、修改或破坏。无论数据是以电子方式还是以纸质方式处理,这都适用。在引入新的数据处理方法,特别是新的IT系统之前,必须确定和实施保护个人数据的技术和组织措施。这些措施必须基于技术水平、处理的风险和保护数据的需要(由信息分类的过程决定)。特别是,负责部门可以向其数据保护经理咨询。

  1. 十一. 数据保护控制

对数据保护政策和适用的数据保护法的遵守情况进行定期检查。 定期检查.数据保护控制的结果必须报告给数据保护经理。

  1. XII. 数据保护事件

所有员工必须立即告知其主管或数据保护经理有关违反本数据保护政策或其他个人数据保护条例的情况(数据保护事件)。负责该职能部门或单位的经理必须立即通知负责的数据保护经理有关数据保护事件。

如果是

" 不适当地将个人数据传输给第三方。

" 第三方不适当地访问个人数据,或

" 个人数据的丢失

必须进行必要的公司报告(信息安全事件管理)。

立即报告,以便遵守国家法律规定的任何报告义务。

  1. XIII. 责任和制裁

集团公司的执行机构负责其职责范围内的数据处理。因此,他们需要确保满足数据保护的法律要求以及数据保护政策中的要求(如国家报告义务)。管理人员负责确保组织、人力资源和技术措施到位,以便任何数据处理都是按照数据保护的要求进行的。遵守这些要求是相关员工的责任。如果官方机构进行数据保护控制,必须立即通知数据保护经理。对个人数据的不当处理,或其他违反数据保护法的行为,在许多国家会受到刑事起诉,并导致损害赔偿的要求。由员工个人负责的违规行为可能会导致就业法的制裁。

购物袋

你的包目前是空的。

继续购物。

启用cookies以使用购物袋