ABB 公司规则 - 概述
ABB 全球数据保护标准,确保个人数据得到标准化且高级别的保护
目录:
1.引言
1.1.公平性和合法性
1.2.敏感个人数据的处理
1.3. 透明度
1.4. 目的
1.5. 恰当性和质量
1.6. 储存限制
1.7.数据安全
2.个人数据共享
2.1.与数据处理者共享数据
2.2.与数据控制者共享个人数据
2.3.再传输
3.投诉
4. 数据主体享有的第三方权利
1.引言
ABB 一直尊重并重视数据保护权利。我们采用全球数据保护标准,旨在确保个人数据得到标准化且高级别的保护。
ABB 集团旗下公司承诺,在作为个人数据的数据控制者时,遵守下文所述的数据隐私原则。
1.1.公平性和合法性
在处理个人数据时,应始终以合理预期的方式公平、合法地进行,并且应基于以下其中一项理由:
- 获得数据主体同意,对其个人数据进行处理;
- 履行与数据主体签订的合同时,或应数据主体要求执行合同前步骤时,必须进行相关数据处理;
- 数据控制者为履行所承担的法律义务,必须进行相关数据处理;
- 为了保护数据主体的切身利益,必须进行相关数据处理;或
- 为了数据控制者或第三方的合法利益,必须进行相关数据处理,除非数据主体的利益凌驾于该等利益之上。
1.2.敏感个人数据的处理
ABB 集团旗下公司在处理敏感个人数据时,应始终以合理预期的方式公平、合法地进行,并且应基于以下其中一项理由:
- 数据主体明确表示同意;
- 在国家法律授权提供充分保障的情况下,为了履行或行使国家或欧洲法律规定的与就业、社会保障和医疗保健相关的义务或权利,必须进行相关数据处理;
- 相关个人数据已被数据主体明确公开;
- 为了确立、行使或捍卫合法要求,必须进行相关数据处理;
- 为了评估雇员的工作能力,必须进行相关数据处理;或
- 为了 ABB 及其员工和客户资产的安全,必须进行相关数据处理,例如:使用录制视频或生物标识。
我们将根据个人数据的性质和与预期处理相关的风险,确保采取适当的安全措施。
1.3.透明度
在收集数据时或在合理的数据收集期内,ABB 集团旗下公司应向数据主体提供必要的信息,以确保数据处理的公平性和透明度,尤其是:
- 数据控制者的身份和联系方式,以及数据保护专员的联系方式;
- 数据处理的目的和法律依据;
- 个人数据的接收者或接收者类别;
- 个人数据的来源(除非相关个人数据直接从数据主体处收集);
- 与个人数据处理相关的风险、规则、保障措施和权利,以及如何行使与该等数据处理相关的权利。
1.4. 目的
ABB 集团旗下公司只应在目的明确且合法的前提下处理个人数据。同时,我们不会出于进一步不相容的目的处理收集到的个人数据,除非获得数据主体同意,并向其提供透明度原则所要求的信息,或相关处理符合适用法律规定。
1.5.恰当性和质量
个人数据务必充足并且与处理目的相关。尤其是,个人数据必须仅限于处理目的所必需的内容。ABB 确保个人数据的准确性并保持更新(如有必要)。ABB 集团旗下公司会采取一切合理措施,确保删除、封锁或更正(如有必要)所有不正确或不完整的个人数据,不得无故拖延。
1.6.储存限制
个人数据的处理应仅在相关目的所必需的时间内进行,或在酌情考虑适用时效法规的情况下进行。在此期限结束时,个人数据将被删除或匿名化,除非适用法律允许将数据保存更长时间。
1.7.数据安全
ABB 集团旗下公司将采取适当的技术和组织措施,确保个人数据得到相应级别的安全保护,期间会考虑以下因素:个人数据的性质;可能影响个人数据的潜在风险;保证个人数据处理保密性、完整性、可用性和灵活性的能力;适用法律的要求;以及与客户所签订服务协议中规定的措施。
ABB 集团旗下公司必须遵守 ABB 信息安全管理公司规则、指引、政策和标准中规定的信息安全要求。当出现以下情况时,ABB 将通知数据主体影响其个人信息安全性的泄露:(a) 由于个人数据泄露,使数据主体面临高伤害风险;或 (b) 适用的泄露通知法规定须进行该等通知(即使未对数据主体构成高伤害风险)。
2.个人数据共享
2.1.与数据处理者共享数据
ABB 集团旗下公司在指定第三方数据处理者处理个人数据前,必须进行数据保护和信息安全风险评估,以确定数据处理者可充分保证能够实施适当的技术和组织措施。ABB 集团旗下公司将确保与数据处理者签订书面合同,该合同在适用法律下有效,内容应包含适用法律要求的条款。
2.2.与数据控制者共享个人数据
作为个人数据的数据控制者,ABB 集团旗下公司可与另一数据控制者共享个人数据,前提是必须符合 ABB 隐私原则。
2.3. 再传输
对于欧洲个人数据,可与 ABB 集团旗下的其他公司共享,或与位于欧盟或某个国家/地区的其他第三方共享。在这方面,欧盟委员会已出台有效决定,确定了对欧洲个人数据的适当保护级别,但并没有进一步要求确保数据得到充分保护。在其他情况下,只有采用适当保护措施(如《欧盟示范条款》)才能共享欧洲个人数据,如 GDPR 第 46 条所述。如果 ABB 集团旗下公司是欧洲个人数据的数据控制者,在欧洲法律规定对相关传输豁免的特定情况下,也可以共享该等数据,例如:数据主体明确表示同意;履行与数据主体签订的合同时,或应数据主体要求执行合同前步骤时,必须进行相关数据传输。对于非欧洲个人数据,只有在采用适当保护措施并且符合适用法律要求的前提下,才能与其他实体共享。
3.投诉
如果数据主体存在疑虑,担心 ABB 集团旗下公司对其个人数据的处理违反适用数据保护法,可登录网页 abb.com/privacy 或发送电子邮件至 privacy@abb.com 提交联系表格进行书面投诉。
ABB 将在收到投诉之日起一个月内推动投诉进程,不得无故拖延。基于投诉的复杂性或数据主体提出的申请数量,在必要时,此期限可能会再延长两个月。如果由于上述原因导致投诉处理延迟,我们将通知数据主体。
4.数据主体享有的第三方权利
在 ABB 集团旗下公司作为数据控制者对欧洲个人数据进行处理时,数据主体拥有下文所述权利。在 ABB 集团旗下公司作为数据控制者对非欧洲个人数据进行处理时,数据主体可以根据适用法律行使其享有的权利。数据主体的合理要求将得到及时回复,在任何情况下不得超过一个月。
访问权和携带权 - 数据主体有权:
- 收到 ABB 集团旗下公司对其个人数据进行处理的确认书;
- 收到以结构化、常用且机器可读格式发出的个人数据副本;
- 在个人数据由数据主体提供、以自动化处理,以及个人数据经个人同意或为履行合同而处理的情况下,要求将个人数据以结构化、机器可读格式传输到另一实体;
更正权 - 数据主体有权要求更正不准确或不完整的个人数据;
删除权(“被遗忘权”)- 如果数据主体不再需要相关个人数据,或适用法律要求删除该等个人数据,或处理该等个人数据是非法的,则数据主体有权进行删除;
限制权 - 数据主体有权在特定情况下限制对个人数据的处理;
反对权 - 如果对个人数据的处理是为了我们的合法利益,或数据保护权凌驾于 ABB 合法利益理由上,则数据主体有权反对我们对其个人数据的处理;
自动决策 - 数据主体有权要求 ABB 不受自动决策的影响(即决策中无人参与);
许可撤回权 - 如果 ABB 已获得同意对个人数据进行处理,数据主体有权随时撤回许可。撤回许可不会影响撤回前基于许可的数据处理合法性。
如果您希望与 ABB 联系,查看、更新、更改或删除任何个人数据以及 ABB 处理该等数据的偏好,请访问我们的网页数据主体权利 - 申请表。