隐私政策

1. 简介

1.1 为服务客户,盛宝银行A/S(以下简称“盛宝银行”或“我们”)需要收集客户和/或潜在客户和员工的个人数据。

鉴于上述情况,盛宝银行希望确保高水平的数据保护,因为隐私是获得并维护客户、员工以及供应商信任的基石,从而保证盛宝银行未来的业务。

对个人数据的保护要求采取适当的技术和组织措施,来展现高水平的数据保护。盛宝银行采取了一系列内部和外部数据保护政策,盛宝银行的员工必须遵守这些政策。

此外,盛宝银行将对数据保护政策和适用的法定数据保护要求(包括《一般数据保护条例》(以下简称“GDPR”))进行监督、审计并记录内部合规情况。

盛宝银行还将采取必要措施,以加强组织内部的数据保护合规。 这些措施包括分配责任,提升意识并培训参与处理操作的人员。 请注意,本隐私政策将不时进行审查,以便考虑到任何新义务,我们所持有的任何个人数据将受最新政策管辖。

本隐私政策以及处理个人数据的指南,构成了在盛宝银行内处理个人数据的总体框架。

1.2 “个人资料”是指可能与已识别或可识别的自然人(以下简称“资料主体”)有关的任何信息。 可识别的自然人是指可以(直接或间接地)通过参考诸如姓名、位置数据、电话号码、年龄、性别、员工、求职者、客户、供应商和其他商业伙伴等标识符来识别的人员。 这还包括特殊类别的个人数据(敏感个人数据)以及保密信息、如健康信息、账号、身份证号码、位置数据,在线身份标识或特定于该自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个因素。

1.3 尽管如此,有关公司/业务的资料并非此类个人数据,请留意有关该等公司/企业内的联系人信息,如姓名、职称、工作邮件、工作电话号码等,均视为个人数据。

1.4盛宝银行为了各种合法的商业目的收集和使用个人数据,包括建立和管理客户和供应商关系、完成采购订单、招聘并管理雇用条款和条件的所有方面、沟通、履行法律义务或要求、履行合同,为客户提供服务等。

1.5 个人数据应始终:

  • 依法、公平、透明地处理有关数据权利人的问题;
  • 为指定、明确和合法的目的而进行收集,而不是以与这些目的不相符的方式进一步处理;
  • 充分、相关并限制于与其处理目的有关的必要内容;
  • 准确,并在必要时保持最新;必须采取一切合理措施,考虑到对它们进行处理的目的,确保不准确的个人数据被及时抹去或纠正;
  • 保存为一种形式,允许识别数据权利人的时间,不超过个人数据处理目的所需的时间;
  • 采用适当的技术或组织措施,来确保个人数据的适当安全性,包括防止未经授权或非法处理以及意外丢失、破坏或损坏。

1.6 作为盛宝银行问责制的一部分,盛宝银行应负责并能够证明符合上述规定。

2. 处理个人数据的法律依据

2.1 处理个人数据需要法律依据。 在盛宝银行内处理个人数据的最主要的法律依据是:

  • 就一个或多个特定目的获得数据权利人的同意;
  • 作为当事方的数据权利人的合同履行情况;
  • 法律义务或要求;
  • 盛宝银行追求的合法利益;

2.2 同意书

2.2.1 如果对客户、供应商、其他业务关系及员工的个人数据的收集、登记和进一步处理,是基于此类个人同意就一个或多个特定目的而处理个人数据,盛宝银行应能证明数据权利人同意处理该等个人数据。

2.2.2 同意应是:自由地给予,具体,知情且明确。
通过陈述或针对他或她的明确的肯定行动,数据权利人必须积极同意处理个人数据。

2.2.3 申请同意书的方式应明确区分于其他事项,并以清晰易懂的语言,通过易理解和易于阅读的形式提出。

2.2.4 为了处理特殊类别的个人数据(敏感的个人数据),也应明确表示同意。

2.2.5 数据权利人有权在任何时候撤回其同意,并在撤回后,我们将停止收集或处理有关该人的个人数据,除非我们有义务或有权根据另一法律依据进行。

2.3 履行合同的必需项

2.3.1 收集并处理与履行数据权利人所参与的合同有关的个人数据,或在签订合同前应数据权利人的要求采取措施均属合法。 这适用于与盛宝银行签署的所有合同义务与协议,包括合同前阶段,不论合同谈判是否成功。

2.4 遵守法定义务

2.4.1盛宝银行必须遵守各种法律义务和要求,这些义务和要求以联盟或成员国法律为基础。盛宝银行所承担的此类法定义务,可能足以作为处理个人数据的合法基础。

2.4.2 这些法律义务包括收集、登记和/或提供与员工、客户等有关的某些类型的信息的义务。这些法律要求将成为我们处理个人数据的法律依据,但是,重要的是要注意允许或要求盛宝银行处理某些个人数据的条款是否也规定了有关存储、披露和删除的要求。

2.5 合法利益

2.5.1 只有在盛宝银行追求合法利益的情况下才会处理数据,这些利益或基本权利不会被数据权利人的利益所凌驾。盛宝银行在决定处理数据时将确保合法利益优先于个人的权利和自由,且不会造成不必要的损害。 例如,为了拓展业务和发展新业务关系,盛宝银行有责任处理潜在客户的个人数据。 如果处理是基于这一规定,则必须向数据权利人提供关于具体合法利益的资料,请查阅下文的第 4.1 节。

3. 处理和转移个人数据

3.1盛宝银行作为数据控制方

3.1.1盛宝银行将被视为数据控制人员,因为我们决定以何种方式处理数据权利人的个人数据,例如:当一个数据权利人与盛宝银行签署协议时。

3.2 使用数据处理方

3.2.1 外部数据处理方是一家公司,其代表盛宝银行并根据盛宝银行的指示(例如,涉及人力资源系统,第三方 IT 提供商等)处理个人数据。当盛宝银行将个人数据处理业务外包给数据处理方时,盛宝银行确保所述公司至少具有与盛宝银行同等程度的数据保护。 如果不能保证这一点,盛宝银行将选择另一家数据处理方。

3.3 数据处理协议

3.3.1 在将个人数据传输到数据处理方之前,盛宝银行应与数据处理方签订书面数据处理协议。 数据处理协议确保盛宝银行控制盛宝银行负责的盛宝银行以外个人数据的处理。

3.3.2 如果数据处理方/次级数据处理方位于 EU/EEA(欧盟/欧洲经济区)之外,则适用下面第 3.4.4 条的条款。

3.4 个人数据的披露

3.4.1 在向他人披露个人数据之前,盛宝银行负责考虑接收人是否受雇于我们。 此外,如果在披露中有合法的商业目的,我们可能只在盛宝银行中共享个人数据。

3.4.2盛宝银行有责任确保接收人有合法目的接收个人信息,并确保个人信息的共享受到限制并保持在最低限度。

3.4.3 在与盛宝银行以外的个人、数据权利人或实体分享个人数据之前必须谨慎行事。 如果存在此类转移的合法目的,则个人数据只能向作为单个数据控制方的第三方披露。 如果接收人充当数据处理器,请参阅上述第 3.2 条。

3.4.4 如果第三方收件人位于 EU/EEA 之外的国家并不确保数据保护的充分程度,则只有在盛宝银行与第三方签订了转让协议后才能完成转让。 转让协议应以欧盟标准合同条款为基础。

4. 数据权利人的权利

4.1 信息义务

4.1.1 在盛宝银行收集并登记个人数据时,盛宝银行有义务告知这些人:

  • 处理个人数据的目的及处理的法律依据;
  • 有关个人数据的类别;
  • 盛宝银行所追求的合法利益,前提是处理是基于利益平衡;
  • 个人数据接收人或类别(如有);
  • 在适用的情况下,盛宝银行有意将个人资料转移给第三国,以及此类转移的法律依据;
  • 存储个人数据的期限,或如果不可能,提供用于确定该期限的标准;
  • 盛宝银行有权查阅和更正或删除个人数据,或限制处理有关数据权利人的问题,或反对处理,以及数据可移植性的权利;
  • 在数据权利人同意的基础上进行处理的情况,在任何时候拥有取消同意的权利,在撤销之前不影响基于同意的处理的合法性;
  • 通过正确的程序或监管机构向盛宝银行提出申诉的权利;
  • 提供个人数据是否为法定或合约要求,或签订合同所需的要求,以及数据权利人是否有义务提供个人数据及未能提供该等数据的可能后果;
  • 存在自动化决策,包括剖析和有关所涉逻辑的有意义的信息,以及这种处理对数据权利人的重要性和设想的后果。

在大多数情况下,这些信息将通过盛宝银行主页上的隐私政策提供。

4.2 访问权限

4.2.1盛宝银行正在处理个人数据的任何人(包括但不限于盛宝银行员工、求职者、外部供应商、客户、潜在客户、业务合作伙伴等),有权要求访问盛宝银行处理或存储的关于他/她的个人数据。

4.2.2 如果盛宝银行处理或存储有关数据权利人的个人数据,则数据权利人有权访问个人数据,以及处理与 4.1.1 中所述标准相关的数据的理由。

4.3 数据权利人有权从盛宝银行获得,且不得无故拖延纠正有关他/她的不准确的个人数据。

4.4 数据权利人有权从盛宝银行获得有关他或她的个人数据的删除,而盛宝银行有义务在不无故拖延的情况下删除个人数据,除非法律要求在规定的时间内保留任何信息,例如,由金融监管机构或税务机关。

4.5 如果适用,数据权利人有权从盛宝银行获得处理限制。

4.6 如适用,数据权利人有权接收以结构化及常用及机器可读格式登记的个人数据。

4.7 数据权利人有权根据其特定情况,以任何理由反对处理与利益平衡有关的个人数据,包括概况分析。

4.8 从数据权利人收到的任何行使本条款权利的请求将得到尽快答复,并且不迟于收到后 30 天。 请求应立即转发至盛宝银行的服务中心。 该服务中心将由盛宝银行的数据保护专员提供支持,以处理请求以满足回复期限。

5. 特意数据保护和默认数据保护

5.1 必须开发新产品、服务、技术解决方案等,使其通过特意数据保护和默认数据保护来满足数据保护的原则。

5.1.1 数据保护设计意味着在设计新产品或服务时应考虑到数据保护。

  • 盛宝银行将考虑最新技术水平、实施成本以及处理的性质、范围、背景和目的,以及因处理过程构成自然人权利和自由的可能性和严重程度各不相同的风险。
  • 盛宝银行应在确定处理手段和处理过程本身时,执行适当的技术和组织措施,如假名称,其旨在有效地实施数据保护原则(如数据最小化),并将必要的保护措施集成到处理中,以满足数据保护要求并保护数据权利人的权利。

5.1.2 默认数据保护,要求实施相关的数据最小化技术。

  • 盛宝银行应实施适当的技术和组织措施,以确保在默认情况下,仅处理每个特定处理目的所需的个人数据。
  • 这一最小化要求适用于收集的个人数据量、处理程度、存储期限和可访问性。
  • 这些措施应确保在默认情况下,未经深思熟虑,个人数据不能被访问。

6. 处理活动记录

6.1盛宝银行应作为数据控制方保存盛宝银行责任下处理活动的记录。 记录应包含以下信息:

  • 姓名和联系详情;
  • 处理的目的;
  • 数据主题类别和个人数据类别的描述;
  • 已经或将要披露个人数据的接收人,包括第三国或国际组织的接收人;
  • 在适用的情况下,将个人资料转移给第三国,包括确定该第三国以及适当的保障措施文件(如果有关联);
  • 在可能的情况下,设想删除不同类别数据的时限;
  • 在可能的情况下,对应用的技术和组织安全措施进行一般性描述。

6.1.1盛宝银行应根据请求,向相关数据保护部门提供记录。

7. 个人数据的删除

7.1 当盛宝银行不再具有持续处理或存储个人数据的合法目的,或不再需要根据适用的法律要求存储个人数据时,应删除个人数据。

7.2盛宝银行的数据保留和信息共享政策规定了有关各类个人数据的详细保留期限。

8. 风险评估

8.1 如果盛宝银行处理的个人数据可能会导致正在处理个人数据的人员面临高风险,则应执行数据保护影响评估(以下简称“DPIA”)。

8.1.1 DPIA 暗示盛宝银行将考虑处理的性质、范围、背景和目的,以及自然人权利和自由的可能性和严重程度各不相同的风险,实施适当的技术和组织措施,以确保并能够证明处理是根据数据保护要求执行的。

8.2 必要时并且不迟于每 6 个月对技术和组织措施进行审查和更新。

8.2.1 遵守已批准的行为准则或认可的认证机制可作为一种要素,以证明遵守本条款所规定的适当技术和组织措施。

9. 国家要求

9.1盛宝银行应遵守 GDPR 和国家数据保护立法。

9.2 如果适用的国家立法要求比这些政策/准则对个人数据提供更高级别的保护,则需要遵守更严格的要求。 如果盛宝银行的政策/指导方针比地方立法更严格,那么我们的政策/指导方针必须得到遵守。

10. 联系方式和投诉

10.1 如果您对本政策的内容有任何疑问,请通过 privacy@saxobank.com 与盛宝银行的数据保护专员联系。

10.2 如果您想提出有关盛宝银行处理个人数据的投诉,请联系丹麦数据保护局。