数据保护指南
盛宝银行个人数据处理指南
1 简介
1.1 为服务客户,丹麦盛宝银行 有限公司(Saxo Bank A/S,以下简称“盛宝银行”或“我行”)需要收集客户和/或潜在客户、供应商和/或其他业务合作伙伴的联系人的个人数据。盛宝银行亦出于人事管理目的处理有关员工的个人数据。
鉴于上述情况,盛宝银行希望确保高水平的数据保护,因为隐私是获得并保持我行客户和或潜在客户、供应商和/或其他业务合作伙伴联系人的信任的基石,从而确保盛宝银行未来业务发展。这同样适用于处理有关员工的个人数据。
保护个人数据,除其他的要求外,还要求采取适当的技术和组织措施,来证明对数据的高度保护。盛宝银行采取了一系列内部和外部数据保护政策,盛宝银行的员工必须遵守这些政策。
此外,盛宝银行将监督、审计并记录对数据保护政策和适用的法定数据保护要求(包括《通用数据保护条例》(以下简称“GDPR”))的内部合规情况。
盛宝银行还将采取必要措施,以强化组织内部的数据保护合规。这些措施包括职责的分配,增强意识,并对参与数据处理的人员进行数据保护相关培训。请注意,本数据保护指南将不时进行审查,以便将任何新的义务纳入考量。个人数据的保留将受我行最新保留政策的约束。
本数据保护指南以及个人数据处理指南,构成在盛宝银行的个人数据处理总体框架。
1.2 “个人数据”是指可能与已识别或可识别的自然人( “数据主体”)相关的任何信息。可识别的自然人是指可以,直接或间接地,通过参考诸如姓名、位置数据、电话号码、年龄、性别等标识符来识别的自然人。例如,此类个人数据可能涉及员工、求职者、客户/潜在客户、供应商和其他业务合作伙伴。
1.3 个人数据可以分为普通非敏感个人数据或特殊类别个人数据(敏感个人数据)。GDPR 中详尽概述了特殊类别个人数据,包括揭示种族或族裔血统本源,政治见解,宗教或哲学信仰或工会会员身份的个人数据,以及唯一识别自然人身份为目的的生物识别数据,有关健康的数据或有关自然人性生活或性取向的数据的处理。普通非敏感个人数据包括所有未归类为特殊类别个人数据(敏感个人数据)的信息。此类信息可能是姓名、地址、电话号码、员工编号、教育相关信息等。某些普通非敏感个人数据可能被视为机密信息。例如,这可能包括关于收入和财富状况的信息,以及关于家庭内部关系/事项的信息。机密的普通非敏感数据通常需要采取进一步的安全措施。
个人数据的类别将对处理该等个人数据的法律依据产生影响。特殊规则适用于刑事犯罪和 CPR 编号相关数据的处理。下面第 2 条介绍了各种法律依据。
1.4 尽管有关公司/业务的资料并非此类个人数据,请注意相关公司/业务内的联系人信息,如姓名、职称、工作邮件、工作电话号码等,均被视为个人数据。但是,与个人拥有和经营的业务有关的个人数据,即使个人数据与业务有关,也被视为个人数据。此类个人数据被视为与已识别或可识别自然人有关。
1.5 盛宝银行出于各种合法的商业目的收集和使用个人数据,包括建立和管理客户和供应商关系,完成采购协议,招聘和管理雇用方面的所有条款和条件,沟通并履行法律义务或要求,履行合同以及为客户提供服务等。在进行此类数据处理活动时,第一步是确保遵守有关个人数据处理的一般原则。
1.6 根据一般原则,个人数据应始终:
- 依法、公正、透明地处理有关数据主体的问题(合法、公平及透明原则);
- 为特定的、明确的和合法的目的而收集,并且不以与该等目的不符的方式作进一步处理(目的限制原则);
- 充分、相关且限于为该个人数据处理目的所必需(数据最小化原则);
- 准确,并在必要时时保持更新;考虑到处理个人数据的目的,必须采取一切合理措施以确保错误的个人数据及时被删除或纠正(准确性原则);
- 以允许识别数据主体的格式存储,且存储期限不应超过处理个人数据所需的时间(存储限制原则);
- 确保个人数据的适当安全性,包括采用适当的技术或组织措施,防止未经授权或非法处理,以及防止数据意外丢失、破坏或损坏(完整性和保密原则)。
1.7 盛宝银行应负责并能够证明符合上述规定(问责原则)。此原则是我们准备本数据保护指南的原因之一,也是您仔细阅读此指南的重要原因之一。
2.处理个人数据的法律依据
2.1 除了遵守有关个人数据处理的一般原则外,个人数据的处理还必须基于具体的法律依据。法律依据取决于正在处理的个人数据的类别。
盛宝银行处理普通非敏感个人数据(如姓名、地址、电子邮件、电话号码、信用卡信息等)最主要的法律依据是:
- 处理数据是履行合同所必需、且数据主体为该合同一方当事人;
- 盛宝银行是其当事方的法律义务或要求;和
- 盛宝银行或第三方追求的合法权益。
在某些情况下,如果上述任何法律依据均不适用,盛宝银行将获得数据主体对处理的同意。
盛宝银行处理特殊类别个人数据(如有)的最主要法律依据是:
- 数据主体同意基于某一或多个明确目的处理其个人数据;
- 遵守盛宝银行的义务以及行使盛宝银行其在就业和社会保障及社会保护法领域的数据主体的具体权利;和
- 为确立、行使或抗辩法律要求有必要进行处理。
下面对法律依据作了更详细的介绍。
2.2 履行合同:
2.2.1 收集并处理与数据主体所参与的合同履行有关的个人数据,或在签订合同前应数据主体的要求采取措施的行为均属合法。这适用于与盛宝银行签署的所有合同义务与协议,包括签署合同前阶段,无论合同谈判是否完成
2.3 遵守法定义务
2.3.1 盛宝银行必须遵守以联盟或成员国法律为基础的各项法定义务和要求,此类义务和要求以联盟或成员国法律为基础。盛宝银行所承担的此类法定义务,可能足以作为处理个人数据的合法依据。
2.3.2 此类法定义务包括收集、登记和/或提供与员工、客户等有关的某些类型的信息的义务。该等法定要求将成为我行处理个人数据的法律依据,但是,敬请注意,允许或要求盛宝银行处理某些个人数据的条文,是否也订明了有关存储、披露和删除数据的要求。
2.4 合法利益
2.4.1 只有在盛宝银行追求合法利益的情况下,个人数据才会被处理,并且此类利益或基本权利不会凌驾于数据主体的利益之上。盛宝银行在决定处理个人数据时将确保合法利益不会凌驾于个人权利和自由之上,且不会造成不必要的损害。例如,为了拓展业务和发展新业务关系,盛宝银行有权依法处理潜在客户的个人数据。如果根据该法律依据(见下面第 4.1 条)进行处理,则必须向数据主体提供关于盛宝银行所追求的具体合法利益的信息。
2.5 同意
2.5.1 如果对客户、供应商、其他业务关系及成员的个人数据的收集、登记和进一步处理是基于此类人员同意就一个或多个特定目的而处理个人数据,盛宝银行应能证明数据主体同意处理该等个人数据。
2.5.2 同意应以自愿、具体、知情且明确的方式作出,表明数据主体的愿望。
对于处理与其有关的个人数据的行为,数据主体必须通过声明或做出明确的肯定性行为,表明其主动同意。
2.5.3 要求数据主体同意的请求必须明确与其他事项区分,采用易懂且容易获取的方式,并应使用清晰直白的语言。
2.5.4 处理特殊类别的个人数据(敏感个人数据),亦须数据主体明确表示同意。
2.5.5 数据主体有权在任何时候撤回其同意,而在撤回同意后,我行将停止收集和/或处理该数据主体的个人数据,除非我行有义务或有权根据另一法律依据这样做。
2.6 盛宝银行或数据主体的义务以及行使具体权利
2.6.1 在大多数情况下,此法律依据仅在盛宝银行处理关于员工的健康数据以遵守就业法或集体协议的规则(例如疾病补助费补偿等)的情况下,才与此法律依据相关。
2.7 法律要求
2.7.1 如果盛宝银行需处理个人数据,以建立、行使或捍卫对第三方(例如客户或雇员)的法律要求,则适用此法律依据。
3.处理和转移个人数据
3.1 盛宝银行作为数据控制者
3.1.1 在大多数情况下,盛宝银行通过确定个人数据的处理目的和方法,作为数据控制者处理个人数据,例如,当该等处理涉及到盛宝银行的客户、其他业务合作伙伴和员工时。
3.2 使用数据处理方
3.2.1 外部数据处理方是指代表盛宝银行并按照盛宝银行的书面指示处理个人数据,包括为了盛宝银行的目的和通过盛宝银行规定的方式处理个人数据的公司,例如人力资源系统供应商、第三方 IT 供应商等。当盛宝银行将个人数据处理业务外包给数据处理方时,盛宝银行确保该外包公司至少执行与盛宝银行同等程度的保护个人数据的安全措施。如果不能保证这一点,盛宝银行将选择另一家数据处理方。数据处理方的处理受数据处理协议的约束。
3.3 数据处理协议
3.3.1 在将个人数据转移到数据处理方之前,盛宝银行应评估数据处理方是否按照符合 GDPR 要求并确保保护数据主体权利的方式提供了充分的保证,从而执行适当的技术和组织措施。在进行评估并确定数据处理方符合这些要求后,盛宝银行应与数据处理方签订书面数据处理协议。数据处理协议确保盛宝银行作为数据控制者且对盛宝银行以外个人数据的处理负有责任。
3.3.2 如果数据处理方/次级数据处理方位于欧盟/欧洲经济区之外,则适用下面第 3.4.2 款的条款。
3.4 向其他独立数据控制方披露个人数据
3.4.1 在向其他人,即其他独立数据控制者,披露个人数据之前,盛宝银行有责任确保有关个人数据处理的一般原则被遵守。此外,盛宝银行有责任确保个人数据的披露基于具体法律依据进行。
3.4.2 如果第三方接收方位于欧盟/欧洲经济之外的国家/地区且不能确保充分的个人数据保护,则只有在盛宝银行提供适当的保护措施才能完成转移。这将通过由盛宝银行与第三方签订转移协议来实现。转移协议应以欧盟标准合同条款为基础。
4.数据主体的权利
根据各种条款、条件以及例外规定,数据主体享有下列权利:
4.1 从数据主体处获得个人数据时的信息义务
4.1.1 在盛宝银行处理(包括收集和登记)有关数据主体的个人数据时,盛宝银行有义务告知相关人员以下信息:
- 处理个人数据的目的及处理的法律依据;
- 有关个人数据的类别;
- 盛宝银行所追求的合法利益(前提是数据处理是基于利益平衡);
- 数据接收方的身份或类别(如有);
- 将个人数据转移至第三国的事实及该等转移的法律依据(如适用);
- 个人数据的存储期限,如不适用,则提供用于确定该期限的标准;
- 向盛宝银行申请访问、纠正或删除个人数据的权利,限制或反对与数据主体相关的处理的权利,以及数据迁移的权利;
- 如处理是基于同意,则数据主体有权随时撤回其同意,但同意的撤回不应影响在撤回前基于同意做出的合法数据处理;
- 通过正确的程序或监管机构向盛宝银行提出申诉的权利;
- 提供个人数据是否为法定或合约要求,或签订合同所需的要求,以及数据主体是否有义务提供个人数据及未能提供该等数据的可能后果;
- 自动化决策,包括概况分析和有关所涉逻辑的有意义信息,以及这种处理对数据主体的意义和设想的后果。
4.1.2 盛宝银行已制定隐私声明,其中载有对上述信息义务的更为详细的说明。
4.1.3 如果个人数据并非获自数据主体,则其还必须了解个人数据的来源,以及数据是否来自可公开访问的来源(如适用)。
4.2 访问权
4.2.1 任何被盛宝银行正在处理其个人数据的人,包括但不限于盛宝银行员工、求职者、外部供应商、客户、潜在客户、业务合作伙伴雇用的联系人等,均有权向盛宝银行索取关于其个人数据是否正在处理的确认信息,如果正在处理,则除本文第 4.1.1 条所述信息外,还可请求访问盛宝银行处理的有关其的个人数据。
4.3 更正权
4.3.1 数据主体有权要求盛宝银行更正与其有关的错误个人信息,盛宝银行不得无故延误。
4.4 删除权(被遗忘权)
4.4.1 数据主体有权要求盛宝银行删除其个人数据,而盛宝银行有义务不得无故拖延删除个人数据,除非法律要求在规定的时间内保留某些信息,例如,金融监管机构或税务机关的规定。
4.5 限制处理权
4.5.1 如果适用,数据主体有权要求盛宝银行对数据处理进行限制。
4.6 数据可移植性权
4.6.1 数据主体有权以有序的、常用的、机器可读的方式获取其个人数据。
4.7 反对权
4.7.1 数据主体有权根据其实际情况,在任何时候基于利益平衡,反对处理与其有关的个人数据,包括概况分析。
4.8 任何数据主体就行使本条权利而提出的请求,均会在合理情况下尽快作出回应,最晚不迟于收到请求后 30 天。请求将立即转发至盛宝银行的服务中心。服务中心将由盛宝银行的数据保护专员提供支持,以在回复期限之前处理请求。
5.通过设计和默认的数据保护
5.1 新产品、服务、技术解决方案等的设计,必须符合有关保护数据的设计和默认设置保护数据的原则。
5.1.1 通过有关保护数据的设计,意味着在设计新产品或服务时,必须考虑到数据保护的关键因素。
- 盛宝银行在获取或开发新产品、服务、技术解决方案等时,将考虑以下因素:最新技术水平、实施成本、处理的性质、范围、背景和目的,以及处理个人数据可能对自然人的权利和自由造成的不同程度的风险
- 盛宝银行应在确定处理手段和处理过程本身时,实施适当的技术和组织措施,包括酌情采取匿名化方式,以便有效实施数据最小化等数据保护原则,并采取必要的保护措施,以满足数据保护要求并保障数据主体的权利和自由。下面第 8 条对此进行了更详细的介绍。
5.1.2 在默认情形下,对个人数据的处理应在最小必要的原则下进行。
- 盛宝银行应采取适当的技术和组织措施,以确保在默认情形下,仅处理基于特定目的所必需的个人数据。
- 这一最小化要求适用于收集的个人数据量、处理程度、存储期限和可访问性。
- 此类措施应确保在默认情形下,未经仔细审查通过,个人数据不能被访问。
6.处理活动记录
6.1 盛宝银行应作为数据控制者,保存盛宝银行负责的处理活动的记录。记录应包含以下信息:
- 数据主体的姓名和联系方式;
- 数据处理的目的;
- 数据主体类别和个人数据类别的描述;
- 已经或或将向其披露个人数据的接收方,包括第三国或国际组织;
- 特定情况下跨境传输的情况,包括第三国的身份以及相关的订明适当保障措施的文件;
- 如有可能,应记录删除不同类别数据的设想时限;且
- 如有可能,对所采用的技术和组织安全措施进行一般性描述。
6.1.1 盛宝银行应根据请求,向相关数据保护部门提供数据处理活动的记录。盛宝银行已制定几份相关记录。
7.个人数据的删除
7.1 盛宝银行没有合法理由继续存储或对个人数据进行其他处理,或不再需要根据适用的法律要求存储个人数据时,将删除个人数据。
7.2 《盛宝银行数据保留和信息共享政策》规定了有关各类个人数据的详细保留期限。
8.处理安全性(风险评估)
8.1 盛宝银行应采取适当的技术和组织措施,确保适当程度的安全性,以应对风险,包括酌情采取以下措施:
- 个人数据的匿名化和加密;
- 能够确保处理系统和服务的持续保密性、完整性、可用性和复原的行为能力;
- 能够在发生物理或技术事故时及时恢复个人数据的可用性以及对数据的访问;
- 具有定期测试、评估和评价确保处理安全性的技术和组织措施的有效性的处理。
8.2 评估安全性的适度水平时,应特别考虑数据处理本身所带来的风险,特别是意外或非法销毁、损失、更改、未经授权披露或访问已传输、储存或以其他方式已处理的个人数据所带来的风险。盛宝银行已就处理活动编写书面风险评估报告。
9.数据保护影响评估
9.1 如果盛宝银行处理个人数据可能会对数据主体造成高风险,则应执行数据保护影响评估(Data Protection Impact Assessment,以下简称“DPIA”)。
9.1.1 DPIA 意味着,盛宝银行将根据数据处理的性质、范围、背景和目的,以及可能对自然人权利和自由造成的不同程度的风险,实施适当的技术和组织措施,以确保并能够证明该数据处理是根据数据保护要求进行的。
9.2 技术和组织措施应在必要时进行审查和更新,且不迟于每 6 个月进行一次。
9.2.1 遵守已批准的行为准则或认可的认证机制可作为一个要素,以证明遵守本款所规定的适当技术和组织措施。
10.概况分析
10.1 根据 GDPR,概况分析定义为“任何形式的个人数据自动处理,包括使用个人数据评估与自然人有关的某些个人方面,特别是分析或预测该自然人在工作、经济状况、健康、个人偏好、兴趣、可靠性、行为、地点或行动方面的表现”。
10.2 本数据保护指南背景下的“概况分析”是使用自动化流程来分析个人数据,以评估或预测个人行为的各个方面。盛宝银行可在以下情况下进行概况分析:
- 协助识别潜在的金融犯罪案件;
- 向客户和潜在客户提供他们可能感兴趣的盛宝银行的产品和服务信息;以及
评估信用水平。
11.国家要求
11.1 盛宝银行应遵守 GDPR 和国家数据保护立法。
11.2 如果国家立法对个人数据的保护程度高于 GDPR,则须遵守此类更严格的规定。如果盛宝银行的政策/指导方针比地方立法更严格,我行的政策/指导方针必须得到遵守。
12.联系人
12.1 如果您对本数据保护指南的内容有任何疑问或希望就盛宝银行的处理活动提交投诉,请发送电子邮件至 support@accountservices.saxo 联系本行。