导言
布鲁克斯 Espressomachines 需要收集和使用某些个人信息。
这些人可能包括客户、供应商、业务联系人、员工和其他与组织有关系或可能需要联系的人。
该政策说明了必须如何收集、处理和存储这些个人数据,以符合公司的数据保护标准,并遵守法律。
为什么要制定这项政策
本数据保护政策确保布鲁克斯 Espressomachines:
-
遵守数据保护法并遵循良好做法;
-
保护员工、客户和合作伙伴的权利;
-
公开如何存储和处理个人数据;
-
保护自身免受数据泄露的风险;
数据保护法
通用数据保护条例》规定了组织(包括 Brooks Espressomachines)必须如何收集、处理和存储个人信息。
无论数据是以电子方式、纸质或其他材料存储,这些规则都适用。
为了遵守法律,必须公平地收集和使用个人信息,安全地存储个人信息,不得非法披露。
通用数据保护条例》以八项重要原则为基础。这些原则规定,个人数据必须
-
公平、合法地处理;
-
仅用于特定的合法目的;
-
要充分、相关、不过分;
-
准确无误并保持更新;
-
不得扣留超过必要的时间;
-
根据数据主体的权利进行处理;
-
以适当的方式加以保护;
-
不得向欧洲经济区(EEA)以外的国家或地区传输,除非该国家或地区也能确保适当的保护水平;
人员、风险和责任
政策范围
本政策适用于
-
布鲁克斯 Espressomachines 公司总部;
-
布鲁克斯 Espressomachines 的所有分支机构;
-
Brooks Espressomachines 的所有工作人员和志愿者;
-
所有承包商、供应商和其他代表布鲁克斯 Espressomachines 工作的人员;
它适用于公司持有的与可识别个人相关的所有数据,即使这些信息在技术上不属于 1998 年《数据保护法》的管辖范围。这可能包括
-
个人姓名;
-
邮政地址
-
电子邮件地址;
-
电话号码
-
与个人有关的任何其他信息;
数据保护风险
本政策有助于保护 Brooks Espressomachines 免受一些非常真实的数据安全风险,包括
-
违反保密规定. 例如,不适当地提供信息;
-
未能提供选择. 例如,所有个人都应能自由选择公司如何使用与其相关的数据。
-
名誉损害. 例如,如果黑客成功获取敏感数据,公司就可能遭受损失。
职责
为布鲁克斯 Espressomachines 工作或与布鲁克斯 Espressomachines 一起工作的每个人都有责任确保数据得到适当的收集、存储和处理。
每个处理个人数据的团队都必须确保按照本政策和数据保护原则处理数据。
但是,这些人最终有责任确保布鲁克斯 Espressomachines 履行其法律义务。
数据保护办公室(填写数据保护官员姓名)负责
-
随时向董事会通报有关数据保护责任、风险和问题的最新情况。
-
按照商定的时间表,审查所有数据保护程序和相关政策。
-
为本政策所涵盖的人员安排数据保护培训和咨询。
-
处理员工和本政策涵盖的其他任何人提出的数据保护问题。
-
处理个人提出的查看布鲁克斯 Espressomachines 持有的有关其数据的请求(也称为 "主体访问请求")。
-
检查并批准与可能处理公司敏感数据的第三方签订的任何合同或协议。
布鲁克斯 Espressomachines 公司负责
-
确保用于存储数据的所有系统、服务和设备符合可接受的安全标准。
-
定期检查和扫描,确保安全硬件和软件正常运行。
-
评估公司考虑用于存储或处理数据的任何第三方服务。例如,云计算服务。
-
批准电子邮件和信件等通信所附的任何数据保护声明。
-
处理记者或报纸等媒体提出的任何数据保护问题。
-
必要时,与其他员工合作,确保营销活动遵守数据保护原则。
一般工作人员准则
只有工作需要的人才能访问本政策所涵盖的数据。
不应非正式地共享数据。如果需要获取机密信息,员工可以向部门经理提出申请。
Brooks Espressomachines 将为所有员工提供培训,帮助他们了解自己在处理数据时的责任。
员工应采取合理的预防措施并遵守以下准则,以确保所有数据的安全。
尤其是,必须使用强大的密码,而且绝不能与他人共享。
不得向公司内部或外部未经授权的人员披露个人数据。
应定期审查数据,如果发现数据过时,应及时更新。如果不再需要,则应删除和处理。
如果员工对数据保护的任何方面不确定,应向其直线经理或数据保护官寻求帮助。
数据存储
这些规则说明了应如何以及在何处安全存储数据。有关安全存储数据的问题可直接向托管公司或数据控制员咨询。
当数据存储在纸张上时,应将其保存在未经授权的人看不到的安全地方。
这些准则也适用于通常以电子方式存储但因某种原因打印出来的数据:
-
在不需要时,应将档案纸张存放在上锁的抽屉或文件柜中。
-
员工应确保纸张和打印输出不会放在未经授权的人可能看到的地方,如打印机上。
-
不再需要数据打印件时,应将其粉碎并妥善处理。
在以电子方式存储数据时,必须防止未经授权的访问、意外删除和恶意黑客攻击:
-
数据由强大的密码保护,密码定期更改,员工之间绝不共享。
-
数据存储在指定的驱动器和服务器上,只能上传到经批准的云计算服务。
-
包含个人数据的服务器设在远离一般办公空间的安全地点。
-
经常备份数据。根据公司的标准备份程序,定期对这些备份进行测试。
-
数据绝不会直接保存到笔记本电脑或其他移动设备(如平板电脑或智能手机)上。
-
所有包含数据的服务器和计算机都受到经批准的安全软件和防火墙的保护。
数据使用
除非企业能够利用个人数据,否则个人数据对 Brooks Espressomachines 没有任何价值。然而,当个人数据被访问和使用时,它可能面临最大的丢失、损坏或被盗风险:
-
在处理个人数据时,员工应确保在无人看管的情况下始终锁上电脑屏幕。
-
个人资料不得非正式共享。尤其不能通过电子邮件发送,因为这种通信方式不安全。
-
数据在以电子方式传输之前已加密。IT 经理可以解释如何向经授权的外部联系人发送数据。
-
个人数据绝不会传输到欧洲经济区以外。
-
员工不得在自己的电脑上保存个人数据副本。始终访问和更新任何数据的中央副本。
数据准确性
法律要求布鲁克斯 Espressomachines 采取合理措施,确保数据的准确性和时效性。
个人数据的准确性越重要,Brooks Espressomachines 为确保准确性所付出的努力就越大。
处理数据的所有员工都有责任采取合理措施,确保数据尽可能准确和及时更新。
-
数据保存在尽可能少的地方。工作人员不会创建任何不必要的额外数据集。
-
工作人员会利用一切机会确保数据得到更新。例如,在客户来电时确认其详细信息。
-
布鲁克斯 Espressomachines 将为数据当事人更新布鲁克斯 Espressomachines 所掌握的有关他们的信息提供便利。例如,通过公司网站。
-
一旦发现数据不准确,就会及时更新。例如,如果客户存储的电话号码已无法联系,就应从数据库中删除。
主体访问请求
作为布鲁克斯 Espressomachines 公司持有的个人数据主体的所有个人都有权:
-
询问公司掌握了他们的哪些信息,以及为什么。
-
询问如何获得访问权限。
-
了解如何保持更新。
-
了解公司如何履行其数据保护义务。
如果个人联系公司要求获得这些信息,则称为主体访问请求。
个人提出的主体访问请求应通过电子邮件发送给数据控制员,地址如下 [at] brooks-espressomachines.com. 数据控制者可提供标准申请表,但个人不必使用。
提供信息
Brooks Espressomachines 的目标是确保个人知道他们的数据正在被处理,并且他们能够理解:
-
如何使用数据