Flex公司
1. 目的
1.1 关于我们
Flex 是一家具有社会责任感的领先电子制造服务提供商,为航空航天和国防、汽车、计算、消费、工业、基础设施、医疗、能源和移动原始设备制造商提供设计、工程和制造服务。Flex 通过国际设施网络帮助客户设计、制造、运输和维修电子产品和其他产品。这一全球业务提供设计和工程解决方案以及核心电子制造和物流服务。
1.2 我们对数据隐私的承诺
这些标准规定了我们的方法以及 Flex 集团及其执行管理层和董事会对维护最高数据隐私标准的承诺。这些处理个人数据的标准涉及员工、承包商和业务联系人或其他个人的个人数据,Flex 集团的所有成员和员工都必须遵守,执行管理层和董事会将强制执行此类合规性。不遵守这些标准将导致适当的纠正和纪律处分。
1.3 本标准的目的
我们将根据数据保护法和所有其他适用法律处理所有个人数据。我们遵守这些标准将为您提供必要的保护,使我们能够在 Flex 集团内处理某些个人数据,包括将这些个人数据转移到英国境外。
2. 定义和缩写
适用法律 指所有适用的当地数据保护和隐私法律法规,包括但不限于数据保护法。
业务联系数据 指与以下相关的个人信息 Flex 集团客户和供应商的业务联系;
数据控制者 指单独或与他人共同决定处理个人信息的目的和方法的自然人或法人;
資料保隱 指数据保护法所颁布的数据保护;
数据处理器 指代表数据控制者处理个人数据的自然人或法人;
数据保护法 指英国数据保护法;
资料主体 指已识别或可识别的自然人;
员工个人资料 方法 与以下人员有关的个人资料:(a)现任、前任和未来雇员;(b)现任、前任和未来的个人承包商;(c)志愿者;(d)代理人;(e)临时工和散工;以及(f) Flex 集团(a)至(e)项所列数据主体的家属、亲属、监护人和同事;
Flex 集团 指在新加坡注册成立且位于新加坡樟宜南巷 2 号的 Flex 有限公司以及受这些标准约束的任何子公司;
全球数据隐私官 应为英国数据保护法定义的数据保护官;
全球数据主体权利政策 指随附的保单 附件 C 这些标准;
提出和处理数据隐私投诉的全球程序 指随附的保单 附件 D 这些标准;
个人资料 指与已识别或可识别的自然人有关的任何信息,可通过该信息直接或间接识别该自然人,包括但不限于员工个人数据、商业联系数据和第三方数据;
法规/GDPR 指关于在个人数据处理和此类数据自由流动方面保护自然人的《通用数据保护条例》(EU)2016/679,以及任何实施、补充、相关或替代该条例的法律。
加工 应具有英国数据保护法律和流程中规定的含义 和流程 应作据此解释。
特殊类别数据 指任何揭示数据主体的种族或道德血统的个人数据;政治观点;宗教或哲学信仰;工会会员资格;基因数据;为唯一识别自然人而处理的生物特征数据;关于健康、性生活或性取向的数据;并且就本标准而言,应包括与刑事定罪和犯罪有关的数据;
监管机构 指信息专员办公室;
标准 指本文件中规定的条款;
第三方数据 指与第三方有关的个人信息,例如有关其他个人的联系方式、投诉信息和闭路电视图像;
英国 指英国;
英国数据保护法 指英国的数据保护和隐私法(包括因英国退出欧盟而产生的任何立法所修订的法规(“英国GDPR”)以及不时修订、补充、替代或更换的《2018 年数据保护法》;
我们、我们的和/或我们 指 Flex 集团及其员工;及
你 指个人数据由 Flex 集团处理的数据主体。
3.背景
3.1 什么是数据隐私法?
数据隐私(也称为“数据保护”)要求公司根据某些良好实践原则处理个人数据。它还授予个人某些权利(例如,访问和更正其信息)。数据隐私法规定了 Flex 收集、存储和使用有关员工、承包商、业务联系人和其他个人的个人数据的方式。
3.2 数据隐私法在国际上对 Flex 有何影响?
数据保护法不允许将个人数据国际转移至英国以外的国家,除非它们能确保足够程度的数据隐私。Flex 已采取适当措施确保将个人数据转移到英国以外的国家都是合法的。这些标准创建了一个具有约束力的公司规则框架,以遵守数据保护法中包含的规则,并为根据数据保护法(特别是英国数据保护法中规定的批准具有约束力的公司规则的机制)转移到英国境外的 Flex 集团公司的个人数据提供足够的保护。Flextronics Global Services (Manchester) Limited 是 Flex 集团的成员,拥有委托的数据隐私责任,并将负责遵守这些标准。
4. 范围
4.1 本标准涵盖的数据
这些标准适用于我们对个人数据的处理和传输,这些数据受数据保护法的约束,我们是这些数据控制者,并且适用于:
(a) 英国境内 Flex 集团成员处理该个人信息;
(b) 位于英国境外的 Flex 集团成员在英国处理该个人信息:(i) 当《通用数据保护条例 (EU) 2016/679》在英国适用时,该国家不属于欧洲经济区 (EEA),或根据欧盟委员会根据 GDPR 第 45 条做出的决定,该国家被视为适合进行个人信息传输的国家;以及 (ii) 当《通用数据保护条例 (EU) 2016/679》不再在英国适用时,该国家根据《2018 年数据保护法》第 17A 条的充分性规定,不被视为适合进行个人信息传输的国家;
(c) 在以下情况下将该个人信息从英国境内转移到英国境外:(i) 当《通用数据保护条例 (EU) 2016/679》在英国适用时,该条例不属于欧洲经济区 (EEA) 的国家或根据欧盟委员会根据 GDPR 第 45 条做出的决定被视为适合个人信息转移目的的国家;以及 (ii) 当《通用数据保护条例 (EU) 2016/679》不再在英国适用时,该条例不再被视为适合根据《2018 年数据保护法》第 17A 条下的充分性规定进行个人信息转移的国家,在每种情况下,均由 Flex 集团的一个成员转移到 Flex 集团的另一个成员,随后由该成员将该个人信息处理或继续转移到 Flex 集团的其他成员。
(d) 我们进行的处理可能是手动的或自动的。我们处理的个人数据类型包括员工个人数据、业务联系数据和其他个人数据。
4.2 附表如下 附件 B 本标准包含根据本标准进行传输的个人数据的一般描述。
4.3 该标准适用于 Flex 集团内的所有个人数据处理,此类个人数据受数据保护法和标准第 4.1 条的约束。
5. 原则
当 Flex 作为数据控制者时,应适用以下原则:
5.1 我们以合法、公平、透明的方式处理个人数据(“合法性、公平性和透明度”)
我们将公平合法地处理个人信息。 附件 A 或根据数据保护法,数据处理应以数据保护法为依据,并始终得到遵守。我们将确保您清楚了解与您有关的个人信息是如何收集、使用、查阅或以其他方式处理的,以及个人信息在何种程度上被处理或将被处理。我们还将根据数据保护法的要求提供信息,包括解释我们如何披露和/或转移个人信息以及处理的法律依据、合法利益、接收者类别和可用权利的信息。与处理您的个人信息有关的任何信息和通信都将易于访问和理解。
5.2 我们将随时向您通报我们处理您的个人数据的情况,并提供有关您根据这些标准享有的权利的信息
这些标准应在 Flex 公共网站上公开,也可在 Flex 内部数据隐私门户上公开,并可根据向全球数据隐私官提出的书面请求获得。在处理您的个人数据之前,我们将告知您作为数据控制者的 Flex 集团公司的身份,并向您提供数据保护法和这些标准所要求的所有信息。
5.3 我们将确保仅出于特定、明确和合法的目的处理个人信息(“目的限制”)
我们将确保所持有的您的个人信息将用于在收集个人信息时确定的特定、明确和合法的目的,并且不会为了与收集个人信息的初始目的不相符的任何其他目的而进一步处理。
5.4 我们将确保遵守与个人数据相关的数据最小化原则(“数据最小化”)
我们将确保我们的处理操作处理的个人数据是充分的、相关的,并且仅限于与我们处理个人数据的目的相关的必要信息。我们将确保个人数据的存储期限严格限制在最短的时间内。除非适用法律要求保留更长时间,否则我们不会将个人数据保留超过收集和处理目的所需的时间。只有在无法通过其他方式实现处理目的时,我们才会处理个人数据。 我们将限制只有需要访问才能履行职责的员工才能访问个人数据。我们要求我们的供应商和供货商在向 Flex 提供服务时,采取类似的方法来访问个人数据。
5.5 我们确保个人信息的准确性,并在必要时保持最新(“准确性”)
我们将确保个人数据保持最新和准确。Flex 为个人提供各种方法来更新和更正其个人数据,包括在线、使用自助服务系统以及联系 HR Global Business Services 或相关人员。我们将确保采取一切合理措施,确保及时更正或删除不准确的个人数据。
5.6 我们将确保以能够识别个人身份的形式保存个人数据,保存时间不得超过处理个人数据的目的所需的时间(“存储限制”)。
我们将确保根据适用法律(包括数据保护法)对个人数据的删除或定期审查设定时间限制。
5.7 我们使用适当的安全和保密措施来保护您的个人数据(“完整性和保密性”)
我们使用适当的技术、组织、管理和物理安全措施来保护您的个人数据免遭未经授权或非法处理以及意外丢失、破坏或损坏。考虑到现有技术水平、实施这些措施的成本以及处理的性质、范围、背景和目的以及对个人权利和自由的不同可能性和严重程度的风险,我们实施与处理和要保护的数据的性质所带来的风险相适应的安全措施。此外,如果发生数据安全漏洞,Flex 将通知监管机构,除非数据安全漏洞不太可能对数据主体的权利和自由造成风险,如果数据安全漏洞可能导致数据主体的权利和自由面临高风险,则通知数据主体。
5.8 我们将根据数据保护法向您提供访问、更正、删除、限制、可携性和反对处理的权利
您有权要求获取有关您的所有个人数据的副本。我们将根据数据保护法的要求为您提供此类数据的访问权限,除非数据保护法允许我们拒绝或仅部分遵守请求(例如,当数据主体的请求明显毫无根据或过度,特别是由于其重复性时)。在数据保护法允许的情况下,我们可能会收取费用。
如果您的个人信息不准确,您有权要求我们更正您的个人信息,包括在个人信息不完整的情况下以补充声明的方式要求我们更正。
在某些情况下,您也有权删除您的个人信息、要求限制处理您的个人信息或者基于与您的特定情况有关的理由反对处理个人信息或任何直接营销。
在某些情况下,您有权要求我们以结构化、常用和机器可读的格式将您的个人数据转移给您或第三方。
如果您希望行使这些权利,请联系数据隐私联络官、全球数据隐私官,或者如果您是 Flex 的员工,请联系 HR Global Business Services。更多信息和程序载于《全球数据主体权利政策》,该政策附于 附件 C.
5.9 我们承认您反对直接营销的权利
如果我们将您的个人信息用于直接营销,我们只会在征得您的同意或根据数据保护法允许的情况下才会这样做。如果您反对我们将您的个人信息用于直接营销,您应该联系全球数据隐私官、HR 全球业务服务部,或使用适用营销通讯中可能列出的其他方法。
5.10 我们仅有限地使用自动决策
数据保护法规定,除有限情况外,不得仅基于个人数据的自动处理对个人做出任何产生法律效力或类似重大影响的评估或决定。例如,我们在某些招聘流程中使用自动决策来测试特定候选人的资质。但是,此流程通常会与面试等其他招聘流程结合使用,因此并非完全以自动化方式进行。如果 Flex 完全以自动化方式做出重大决定,它将根据数据保护法的要求实施保障措施,例如个人有权获得人工干预、表达自己的观点并对决定提出异议。
5.11 我们对特殊类别数据以及与刑事定罪和犯罪有关的数据的处理采取谨慎的预防措施
我们将仅根据数据保护法处理您的特殊类别数据以及与刑事定罪和犯罪有关的数据,包括依赖英国数据保护法规定的处理此类数据所需的至少一项条件。这可能包括在必要时对此类特殊类别数据以及与刑事定罪和犯罪有关的数据使用增强的保护措施。
5.12 我们对数据处理器的使用采取适当措施
数据处理者可能包括 Flex 集团的成员或代表 Flex 集团成员处理个人数据的外部供应商。如果我们使用任何内部或外部数据处理者,我们将确保:
(a)我们将与该数据处理者签订书面合同;
(b) 书面合同将包含英国数据保护法和其他数据保护法规定的所有强制性条款;
(c)书面合同将规定数据处理者除其他事项外:
(i)仅按照数据控制者的指示行事;并且
(ii) 有责任在发生任何个人数据泄露时毫不拖延地通知 Flex。当个人数据泄露可能导致数据主体的权利和自由面临高风险时,数据处理者可能有义务通知数据主体。数据处理者有责任记录任何个人数据泄露,包括与个人数据泄露有关的事实、其影响以及采取的补救措施。应监管机构要求,应向其提供相关记录。
我们还制定了全面的审计计划,以确保数据处理者遵守上述措施(参见下文第 6.2 段).
5.13 我们将限制个人信息的转移
原则上,除非根据数据保护法采取了足够的保护措施,例如,由 Flex 集团成员(位于英国境外)签署这些标准或制定合同条款(例如英国数据保护法认可的标准合同条款)来保护正在转移的个人数据,否则不允许将个人数据从英国转移到数据隐私法不完善的国家或地区。我们只会在根据数据保护法采取此类保护措施的情况下转移个人数据,前提是已经按照英国数据保护法的要求提供了足够的保护。我们将确保所有向英国境外的外部供应商转移个人数据都遵守与处理器相关的规则(如上文第 5.12 段所述)以及有关英国境外转移的规则。
6. 我们如何遵守和执行标准
6.1 我们的隐私官
我们在整个 Flex 集团内维护着一个全面的隐私官网络,他们负责其所在国家、地区或部门的数据隐私,包括遵守这些标准。每位数据隐私联络官都向相关的区域数据隐私官汇报,并最终向直接向执行委员会汇报的全球数据隐私官汇报。Flex 董事会由法务主管、首席财务官和首席人力资源官组成,并向首席执行官汇报。全球数据隐私官应为英国数据保护法定义的数据保护官,并最终负责区域数据隐私官和数据隐私联络官网络、这些标准的制定和实施、响应监管机构的要求、与监管机构合作以及每年向执行委员会监测和报告合规情况。区域数据隐私官和数据隐私联络官负责处理来自数据主体的当地投诉,向全球数据隐私官报告数据隐私问题,监督当地的培训和合规情况,协助响应监管机构的请求,并与监管机构合作。
6.2 审计与合规
此外,我们还制定了全面的审计计划,其中包括定期进行内部隐私评估,涵盖这些标准的所有方面。此类隐私评估的结果将提供给 Flex Ltd 的全球数据隐私官和执行委员会. 如果我们发现在遵守数据隐私要求(包括这些标准)方面存在任何差距,我们将制定工作计划来纠正任何差距。如果此类评估与这些标准有关,我们将根据要求将其提供给监管机构。
6.3 培训计划
我们非常重视数据隐私,并通过向所有有权永久或定期访问个人数据、参与收集个人数据或开发用于处理个人数据的工具以履行其职责的员工提供强制性数据隐私培训来证明这一点。除此之外,所有员工都必须遵守所有 Flex 政策和程序,包括这些标准,还必须确认承认 Flex 行为准则,该准则规定了 Flex 集团对数据隐私和保密的承诺。
6.4 问责制
每位充当数据控制者的 Flex 集团成员均应负责并能够证明其在处理标准第 4.1 段中描述的个人数据时遵守标准。为了证明合规性,Flex 集团成员将记录根据英国数据保护法规定的要求开展的处理活动类别。此记录应以书面形式(包括电子形式)保存,并应在监管机构要求时提供。
6.5 数据保护影响评估
为了提高合规性,在必要时,Flex 集团成员将与全球数据隐私官协商,对可能对自然人权利和自由造成高风险的处理操作进行数据保护影响评估。如果数据保护影响评估的结果表明,如果 Flex 集团成员不采取措施降低风险,处理将导致高风险,则应在处理之前咨询监管机构。
6.6 设计和默认的隐私
Flex 集团成员应实施适当的技术和组织措施,旨在实施英国数据保护法下的数据保护原则并促进遵守这些标准规定的要求。
6.7 国家立法和本标准
我们将确保,如果适用的数据保护和隐私法提供的保护低于这些标准,则这些标准将适用于我们对个人数据的处理。但是,如果适用的数据保护和隐私法提供的保护更高,我们将确保遵守更高的标准。此外,如果 Flex 集团的成员认为与适用的数据保护和隐私法相冲突,使其无法履行这些标准规定的职责(包括遵循监管机构的建议),该成员实体将立即通知全球数据隐私官或适用的数据隐私联络官,后者将(必要时与法务部或监管机构协商)负责任地决定采取何种行动。
Flex 将确保,当其有理由相信适用于其的法律阻止其履行这些标准规定的义务或对其遵守这些标准的能力产生重大影响时,它将及时通知被委派数据保护责任的 Flex 集团成员和全球数据隐私官,除非执法机构另有禁止(例如刑法禁止)以维护执法调查的机密性。
如果 Flex 在英国以外的国家所受的任何法律要求可能对这些标准所提供的保护产生重大不利影响,则应向监管机构报告该问题。这包括执法机构或国家安全机构提出的任何具有法律约束力的披露个人数据的请求。应明确告知监管机构有关请求的信息,包括有关所请求数据的信息、请求机构以及披露的法律依据(除非另有禁止,例如刑法禁止维护执法调查的机密性)。在这些情况下,Flex 成员将尽最大努力获得放弃此禁令的权利,以便尽快传达尽可能多的信息,并能够证明其已经这样做了。如果在上述情况下,尽管 Flex 成员已尽最大努力,但仍无法通知监管机构,则 Flex 必须每年向监管机构提供有关其收到的请求的一般信息(例如,披露申请数量、请求的数据类型、请求者(如果可能)等)。无论如何,集团的 Flex 成员向任何公共机构转移个人数据的方式都不能大规模、不成比例和不加区别,超出民主社会的必要范围。
7. 与监管机构的关系
7.1 与监管机构的合作
Flex 集团的成员将与监管机构合作并相互提供协助,以便处理数据主体的任何请求或投诉或调查或询问。任何有关我们遵守数据保护法的问题都应通过本标准末尾列出的联系方式向全球数据隐私官提出,后者将在适用的情况下咨询监管机构。
Flex 集团成员将遵守监管机构关于根据数据保护法解释这些标准的任何问题的建议。监管机构有权审计受这些标准约束的任何 Flex 集团成员,并就与这些标准相关的所有事项提供建议。Flex 集团的此类成员必须在符合数据保护法和正当程序的范围内尊重监管机构的决定,并且不放弃任何辩护或上诉权利。
8. 您在本标准下的权利
8.1 我们对您的责任
这些标准中描述的政策和程序是对适用的数据保护和隐私法或我们的其他政策和程序规定的任何其他补救措施的补充。
Flextronics Global Services (Manchester) Limited 已被 Flex 集团指定为在英国境内负责根据英国数据保护法执行这些标准的公司。Flextronics Global Services (Manchester) Limited 将负责并采取一切必要措施来补救 Flex 集团在英国境外的任何成员违反这些标准的行为,并且拥有足够的资产来赔偿因违反这些标准而造成的任何损失。这将包括根据适用的数据保护和隐私法施加的任何制裁或其他可用的补救措施,包括要求赔偿因 Flex 集团在英国境外的成员违反标准而造成的任何物质或非物质损失。如果英国以外的 Flex 集团成员违反这些标准,英格兰和威尔士的法院或监管机构将拥有管辖权,并且 Flextronics Global Services (Manchester) Limited 将对您承担责任,就好像该违规行为是由他们在英格兰和威尔士而不是英国以外的 Flex 集团成员造成的一样。如果 Flextronics Global Services (Manchester) Limited 能够证明被指控违规的 Flex 集团成员不对导致损害的违规行为负责或没有发生此类违规行为,则 Flextronics Global Services (Manchester) Limited 不承担责任。Flextronics Global Services (Manchester) Limited 承担举证责任,以证明被指控违规的英国以外的 Flex 集团成员不对导致损害索赔的任何违反标准的行为负责。在上述每种情况下,如果认定这些标准已被违反,则索赔人有责任证明其遭受了损害,并拿出事实证明损害很可能是由于违反这些标准而造成的。
8.2 您根据这些标准享有的权利
如果您认为 Flex 集团成员违反了这些标准,您可以通过联系 HR 全球业务服务或全球数据隐私官提出投诉(请参阅下文第 10 段)。另请参阅《提出和处理数据隐私投诉的全球程序》(可在 Flex 数据隐私门户网站上找到副本,网址为 附件 D 本标准)对投诉处理流程做了进一步详细说明。
对于 Flex 集团成员或位于英国境内的 Flex 集团成员指定的数据处理者向英国境外的国家/地区转移个人数据传输,您可以作为第三方受益人行使本标准中规定的权利(包括第 5、6.4、6.7、7、8.1、8.2、8.3 和 9.1 段中规定的权利),在以下情况下您可以行使这些标准中规定的权利:(i) 当《通用数据保护条例 (EU) 2016/679》在英国、非欧洲经济区的国家/地区或根据欧洲委员会根据 GDPR 第 45 条作出的决定被视为适合进行个人数据传输的国家/地区适用时;以及 (ii) 当《通用数据保护条例 (EU) 2016/679》不再适用于英国法律时,该国家/地区根据《2018 年数据保护法》第 17A 条下的充分性规定,不被视为适合进行个人数据传输。这可以通过 (a) 向监管机构提出并提交违规问题,或向英格兰和威尔士管辖范围内的法院提交违规问题来实现。本段中规定的权利是对您在法律上可能拥有的任何其他权利或补救措施的补充,包括赔偿权利(如适用),并且不得损害这些权利或补救措施。在不影响第 8.2 条规定的情况下,如果 Flex 在当时情况下遵守了适当的谨慎标准或根据数据保护法采取了其他行动,则不会被视为违反了这些标准。
8.3 所有作为第三方受益人享有这些权利的数据主体均应获得英国数据保护法 (法规第 13 和 14 条,以及当法规不再适用于英国时,英国 GDPR) 所要求的信息。标准包含有关其个人数据处理方面的第三方受益人权利以及行使这些权利的方式的必要信息,这些信息包含在与责任相关的条款和与数据保护原则相关的条款中。这些标准可在 Flex 网站上找到,在每个适用的隐私声明中都有提及,并可向全球数据隐私官索取。
9. 一般条款
9.1 这些标准的更新
我们可能会不时修订这些标准(包括考虑到监管环境或公司结构的修改)。Flex 集团的其他成员可能会受这些标准的约束,而 Flex 集团的某些成员可能不再受这些标准的约束。因此,我们将确保全球数据隐私官提供 Flex 集团成员的完整更新列表,并将根据要求向数据主体和监管机构提供此信息。全球数据隐私官将跟踪和记录标准的任何更新。此外,标准的所有修订均须经全球数据隐私官批准,并立即向所有 Flex 集团成员和监管机构报告。
标准或 Flex 集团成员名单的任何变更都应至少每年向监管机构报告一次,并简要说明更新的理由。重大变更(例如可能影响标准提供的保护水平或对标准产生重大影响的变更)必须及时通知监管机构,必要时将寻求监管机构的批准。
一旦对标准的任何修订获得批准,这些修订将传达给受这些标准约束的 Flex 集团所有成员,并发布在 Flex 集团内联网上的 Flex 公共网站和数据隐私门户上。对标准的任何修订都应包括修订日期。在 Flex 集团成员受这些标准约束并能遵守这些标准之前,我们不会将这些标准所涵盖的个人数据转移给该成员。
9.2 生效日期
2015 年 6 月 30 日
更新生效日期:2020 年 12 月 22 日
10. 联系信息
如果您对这些标准、您在这些标准下的权利或任何其他隐私问题有任何疑问,您可以使用以下电子邮件地址与我们联系: 数据保护@flex.com.
Flex集团在处理本标准第4.1条所描述的个人资料前,必须至少满足下列条件之一:
Flex 集团在处理本标准第 4.1 条所述的特殊类别数据(即个人数据)之前,必须满足以下至少一项条件:
Flex 集团对与刑事定罪和犯罪有关的所有数据的处理均应遵守数据保护法的规定。
工作人员包括:
员工数据由人力资源部门成员、相关员工经理和 HR 全球业务服务部门成员处理,用于上述目的。部分员工数据还可能发送至:
世界各地包括澳大利亚、奥地利、百慕大、巴西、英属维尔京群岛、加拿大、开曼群岛、智利、中国、哥斯达黎加、库拉索、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、纳闽、卢森堡、马来西亚、毛里求斯、墨西哥、荷兰、新西兰、菲律宾、波兰、罗马尼亚、瑞士、瑞典、英国、新加坡、西班牙、韩国、台湾、土耳其、乌克兰和美国。
世界各地包括澳大利亚、奥地利、百慕大、巴西、英属维尔京群岛、加拿大、开曼群岛、智利、中国、哥斯达黎加、库拉索、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、纳闽、卢森堡、马来西亚、毛里求斯、墨西哥、荷兰、新西兰、菲律宾、波兰、罗马尼亚、瑞士、瑞典、英国、新加坡、西班牙、韩国、台湾、土耳其、乌克兰和美国。
在遵守数据隐私标准附件A中的一项或多项条件的基础上。
Flex 客户(包括我们客户的客户)、业务联系人和供应商
没有任何
业务联系数据主要由 Flex 员工使用,以满足他们的工作要求。但是,业务联系数据客户信息也可能被发送到:
世界各地包括澳大利亚、奥地利、百慕大、巴西、英属维尔京群岛、加拿大、开曼群岛、智利、中国、哥斯达黎加、库拉索、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、纳闽、卢森堡、马来西亚、毛里求斯、墨西哥、荷兰、新西兰、菲律宾、波兰、罗马尼亚、瑞士、瑞典、英国、新加坡、西班牙、韩国、台湾、土耳其、乌克兰和美国。
世界各地包括澳大利亚、奥地利、百慕大、巴西、英属维尔京群岛、加拿大、开曼群岛、智利、中国、哥斯达黎加、库拉索、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、纳闽、卢森堡、马来西亚、毛里求斯、墨西哥、荷兰、新西兰、菲律宾、波兰、罗马尼亚、瑞士、瑞典、英国、新加坡、西班牙、韩国、台湾、土耳其、乌克兰和美国。
在遵守数据隐私标准附件A中的一项或多项条件的基础上。
世界各地包括澳大利亚、奥地利、百慕大、巴西、英属维尔京群岛、加拿大、开曼群岛、智利、中国、哥斯达黎加、库拉索、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、纳闽、卢森堡、马来西亚、毛里求斯、墨西哥、荷兰、新西兰、菲律宾、波兰、罗马尼亚、瑞士、瑞典、英国、新加坡、西班牙、韩国、台湾、土耳其、乌克兰和美国。
世界各地包括澳大利亚、奥地利、百慕大、巴西、英属维尔京群岛、加拿大、开曼群岛、智利、中国、哥斯达黎加、库拉索、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、纳闽、卢森堡、马来西亚、毛里求斯、墨西哥、荷兰、新西兰、菲律宾、波兰、罗马尼亚、瑞士、瑞典、英国、新加坡、西班牙、韩国、台湾、土耳其、乌克兰和美国。
在遵守数据隐私标准附件A中的一项或多项条件的基础上。
股东及股东联系方式
没有任何
Flex 员工主要使用个人数据来满足其工作要求和管理股东福利。但是,个人数据也可能被发送到:
世界各地包括澳大利亚、奥地利、百慕大、巴西、英属维尔京群岛、加拿大、开曼群岛、智利、中国、哥斯达黎加、库拉索、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、纳闽、卢森堡、马来西亚、毛里求斯、墨西哥、荷兰、新西兰、菲律宾、波兰、罗马尼亚、瑞士、瑞典、英国、新加坡、西班牙、韩国、台湾、土耳其、乌克兰和美国。
世界各地包括澳大利亚、奥地利、百慕大、巴西、英属维尔京群岛、加拿大、开曼群岛、智利、中国、哥斯达黎加、库拉索、捷克共和国、丹麦、芬兰、法国、德国、香港、匈牙利、印度、印度尼西亚、爱尔兰、以色列、意大利、日本、纳闽、卢森堡、马来西亚、毛里求斯、墨西哥、荷兰、新西兰、菲律宾、波兰、罗马尼亚、瑞士、瑞典、英国、新加坡、西班牙、韩国、台湾、土耳其、乌克兰和美国。
在遵守数据隐私标准附件A中的一项或多项条件的基础上。
1. 引言
1.1 本全球数据主体权利政策的目的
(a) Flextronics (Flex) 致力于保护隐私并尊重 Flex 收集和使用其个人数据的人员的权利。支持隐私要求我们所有人都意识到个人对我们收集或持有的属于他们的数据所拥有的权利。
(b) 我们持有并使用其个人数据的每个人都对该数据拥有权利。这包括员工、业务联系人和网站用户。此政策旨在使我们能够根据我们的数据隐私标准尊重这些权利。
(c)本政策中包含的个人权利反映了数据隐私标准和 Flex 全球隐私政策和规则第 7 节中概述的权利。
(d) Flex 支持个人行使保护和核实其个人数据正确使用的权利。如果个人向我们询问有关 Flex 持有的个人数据的问题,Flex 将以快速和有用的方式做出回应。Flex 将协助个人行使这些权利,并在可行的情况下提供电子方式来行使这些权利。
(e) 个人可以口头或书面联系 Flex,要求 Flex 针对其个人数据采取某些行动。请求应首先提交给您所在辖区的当地数据隐私联络官,或提交给全球数据隐私官,后者是英国数据保护法规定的数据保护官,联系方式如下: 数据保护@flex.com 或 +43 1 602 4100 1737.
(f) 本政策解释了 Flex 如何识别并响应个人有关其数据的请求。
(g) 一般而言,Flex 必须在收到请求后的一个月内回应查询,因此尽快识别请求并将其交给 Flex 内的正确人员非常重要。
(h) 我们处理个人请求的主要目标是:
(我) 确认 尽早说明请求的性质;
(二) 回应 及时向提出请求的个人提供;
(三) 与...合作 了解提出请求的个人的请求、他们的顾虑以及我们如何提供帮助;以及
(四) 保持清晰的记录 关于我们收到的每个请求以及我们的回应。
1.2 个人拥有哪些权利?
(a)个人有权就 Flex 持有的有关他们的个人数据提出以下类型的请求:
(我) 访问权(主题访问请求) — 有权要求 Flex 获取有关个人的个人数据副本以及解释个人数据如何使用的支持信息。
(二) 纠正权 — 要求我们更正有关个人的不准确的个人数据的权利。
(三) 删除权(被遗忘权) — 在某些情况下,有权要求 Flex 删除有关个人的所有个人数据。
(四) 限制处理的权利 — 在某些情况下,有权要求 Flex 不要使用个人提供的个人数据(例如,如果他们认为这些数据不准确)。
(五) 数据可携权 — 在某些情况下,有权要求 Flex 以机器可读的格式将个人的数据移植给该个人或其新的提供商。
(六) 反对权 — 有权反对对其个人数据进行某些处理(除非 Flex 有压倒一切的令人信服的理由继续处理)以及有权反对直接营销/分析。
(七) 与自动决策相关的权利 — 不受对个人产生重大影响的自动决策(例如某些分析)的权利。
(b) Flex 将根据附件 C 1.1(g) 回应上述 1.2(a) 中列出的请求。但是,在某些情况下,考虑到请求的复杂性和请求的数量,该期限可能会再延长两个月。如果适用,GDPO 将与法律团队协商后做出此决定,并在收到请求后一个月内通知数据主体,并告知延迟的原因。如果数据主体通过电子形式提出请求,则应尽可能通过电子方式提供信息,除非数据主体另有要求。
2. 角色和职责
资料主体:有权提出个人权利请求/数据主体权利请求的个人。
数据隐私联络官 (DPLO):负责上报其管辖范围内的个人权利请求以及 Flex 全球隐私政策和规则第 6 节中规定的任务。向其相关的区域数据隐私官报告。
区域数据隐私官 (RDPO):负责 Flex 全球隐私政策和规则第 6 节中规定的任务以及遵守数据隐私标准。向全球数据隐私官报告。
全球数据隐私官 (GDPO):也称为 数据保护官(DPO) 为英国数据保护法的目的。负责 Flex 全球隐私政策和规则第 6 节中规定的任务,并负责区域数据隐私官、数据隐私联络官网络、数据隐私标准的制定和实施、响应监管机构的要求以及与监管机构合作。可以将本政策内的任务委托给 RDPO。
3. 识别个人权利请求
(a) 识别个人有关其个人数据的请求至关重要,需要 Flex 内每个人的支持。
(b) 一旦收到个人请求,我们必须识别并通知 Flex 内的相关人员。
(c) Flex 必须在收到请求后的一个月内作出回应并处理请求。因此,Flex 必须迅速有效地采取行动。
3.1 识别个人权利请求
(a) 与个人数据相关的请求可能并不总是完全明显或明确的。请求可能参考数据保护法,但请求不需要参考任何法律才有效。
(b) 聆听并寻找关键词和短语,以确定特定通信是否是有关个人数据的请求。以下关键词和短语是非详尽的指标列表:
(i) 您能否向我提供/发送 Flex 所持有的关于我的所有个人信息?
(ii) 您是否在使用我的数据/为什么使用我的数据/如何使用我的数据/您与谁共享我的数据?
(iii) 您提供的 [地址、出生日期、姓氏、性别等] 信息有误,请将其更改为……
(iv) 删除/移除/清除您拥有的关于我的所有信息。
(v)停止使用我的信息,以这种方式使用它是违法的/它是不准确的/你不需要再使用它/我不希望你将它用于……”
(vi)“把我的所有数据给我……”
(c)Flex 通过其全球业务服务 (GBS) 维护一个专用电子邮件地址,供主体提交个人权利请求。该地址是 dataprivacy@flextronics.com。但是,权利请求可以通过任何方式提出,例如亲自、通过电话、通过电子邮件、信件或传真。也可以在同一通信中接收多种形式的权利请求。
(d)如果您发现某项请求确实涉及或可能涉及个人数据,请立即通知数据隐私联络官(DPLO)。
(e) 如果您不能确定请求是否合法,或者提出请求的人是否是他们所说的那个人,请采取常识性步骤进行检查。例如,拨打个人提供的号码以检查他们是否已提出请求,或要求他们从可识别的帐户发送电子邮件。如果您仍然不确定提出请求的人的身份,请与全球数据隐私官 (GDPO) 联系,以确定应采取哪些进一步措施。
4. 报告和回应个人请求
(a) 当您收到看似或可能涉及个人数据的请求时,请立即通知 DPLO。如果您不知道 DPLO 的身份或他们无法联系,请与您的直线经理或法律团队联系。
(b) GDPO 将与 DPLO 合作,向报告个人索取所有可能必要的信息以确定请求的性质,例如,要求提供个人护照复印件和/或最近的水电费账单。
(c)GDPO 将确定该请求是否为有关个人数据的有效请求,并确保 Flex 已向相关个人确认收到该请求。
(d) 个人权利请求也可以通过第三方提出。通常,第三方是代表个人行事的律师。在这些情况下,Flex 将验证第三方是否已被授权代表个人提出请求。第三方将需要提供此授权的证据。证据可以是书面形式,以授权第三方提出此类请求,也可以是一般授权书。
(e) GDPO 将确定请求的类别,并根据下文所述的相关流程和数据保护法规定的 Flex 义务做出回应。GDPO 将在 DPLO、RDPO、您的直线经理、IT 和法律团队的支持下回应请求。
(f) GDPO 应定期审查收到的请求总数以及这些请求是否按照本政策得到处理,并在适当情况下审查导致提出请求的任何潜在问题。
(g)一旦确定了个人的请求,GDPO 应遵循下述相关流程。
4.2 访问权(主题访问请求)
(a) 您将与 GDPO 和 IT 团队合作,通过安排搜索我们所有相关系统以查找适当的个人数据(包括本地存储,如共享和个人驱动器)、电子邮件服务器、备份位置和第三方应用程序来推进访问请求,这些应用程序代表我们并在我们的指示下存储个人数据(例如人力资源系统、CRM 平台、会计程序等)。如果可能,请个人填写个人权利请求表。表格副本将在门户网站上提供。
(b) 搜索过程应尽快开始,因为这可能是一项详细且耗时的工作。
(c) 应联系所有相关团队/部门,以确保搜索所有相关文件、文件夹(无论是电子版还是纸质)和第三方申请。
(d) 如果提出“Flex 所持有的所有信息”的一般请求,则搜索条件应首先尽可能广泛,以识别与个人有关的所有可能文件。应使用个人姓名、地址、姓名首字母、别名等搜索条件来提供帮助。个人的个人数据可能出现在信件、备忘录、电子邮件、文件说明、电子地址簿等中,也可能出现在我们的客户或人力资源数据库和客户档案中。
(e) 搜索完成后,您将与 GDPO(以及法律团队,如有必要)合作,准备并回复个人,提供个人有权获得的相关个人数据和相关信息的副本。
(f)所有回复必须经 GDPO 签署,并包含以下信息:
(i)处理的目的;
(二)所涉个人资料的类别;
(iii)已经或将要披露个人数据的接收者或接收者类别,特别是非英国国家或国际组织的接收者(以及有关用于国际转移的适当保障措施的信息,如果相关);
(iv)如有可能,预计存储个人数据的期限;如不可能,则提供确定该期限的标准;
(v)有权要求 Flex 更正或删除个人数据或限制处理有关数据主体的个人数据,或者反对此类处理;
(vi)向监管机构(英国信息专员办公室(ICO))提出投诉的权利;
(vii)若个人数据不是从数据主体处收集的,则应提供关于其来源的任何可用信息(例如来自第三方合作伙伴);以及
(viii)是否存在对其任何数据应用任何自动决策(包括分析)的情况、所涉及逻辑的信息以及此类处理对数据主体的意义和预期后果。 仅当分析产生法律效力或对相关个人产生重大影响时,才有必要披露分析信息 例如决定一个人是否获得工作或晋升;或决定向他们提供任何产品或服务的价格或针对弱势群体的价格。
(g) 如果数据主体访问请求以电子形式(例如通过电子邮件)提出,则应以常用的电子形式提供信息,例如 PDF、Word 或 Excel(除非数据主体另有要求)。
(八) 豁免:
(i) 如果提供数据会对他人的权利产生不利影响,则 Flex 不应向个人提供数据(不影响他人的个人数据仍必须提供,例如当数据披露了可能对第三方产生不利影响的信息时)。
(ii) 如果 Flex 持有大量有关个人的数据,Flex 可以要求个人指定其请求所涉及的信息或数据用途 - 但一旦我们识别出该信息,Flex 仍必须响应该请求。
(iii) Flex 不应提供受法律特权保护的信息。
(i) 如果 GDPO 认为可以适用豁免,GDPO 将通知法律团队,并且必须由 GDPO 和法律团队共同做出决定。
(十) 定时
(i)Flex 必须在收到请求后的一个月内毫不拖延地向个人提供此信息。
(ii) 如果 GDPO 在必要时与法律团队合作,确定适用豁免,则 GDPO 应毫不拖延地在一个月内通知提出请求的个人,并解释 Flex 不遵守其请求的原因。
(十一) 记录保存
(i)人力资源全球商业服务团队将保存每个请求的流程和响应的完整记录。
4.3 纠正权
(a) 您将与 GDPO 和 IT 团队合作,找到个人声称不正确的数据,如果情况如个人所述,则更正存储这些数据的所有文件和系统上的数据。
(b) 如果个人要求补充未完成的数据,您将与 GDPO 和 IT 团队合作补充数据。这包括允许个人提供补充声明以补充数据。
(c) 您将与 GDPO 合作,尽快通知个人信息已被更正/补充。
(四) 时间段
(i)Flex 必须毫不拖延地且最迟在收到请求后的一个月内纠正/补充相关信息。
(五) 记录保存
(i)人力资源全球商业服务团队将保存每个请求的流程和响应的完整记录。
4.4 删除权(被遗忘权)
(a) 此权利仅在某些情况下可用(如下所述)。GDPO 将首先评估个人是否确实拥有此权利,然后再与人力资源信息系统团队联系以执行删除操作。
(二) 此权利仅适用于:
(i) 数据对于收集或处理的目的而言不再必要;
(ii)个人撤回对处理的同意(并且没有其他处理的理由);
(iii) 个人反对 Flex 使用其数据,并且 Flex 无法证明存在压倒一切的合法处理理由;
(iv)Flex 非法使用其数据;或
(v) 根据法律规定必须删除数据。
(c) 如果 GDPO 认定该权利适用,该结论将提交法律团队审查。如果法律团队和 GDPO 均同意该权利适用,IT 团队将协助从我们的系统(以及存储个人数据的任何第三方系统(例如 IT 托管提供商、数据库提供商等))中删除相关数据。
(d) 如果数据已被 Flex 公开,还必须通知可能使用该数据的其他人(例如合作伙伴、链接的社交媒体网站等),个人已要求删除其数据。Flex 将采取合理措施来做到这一点(考虑到可用的技术和实施成本)。GDPO 将在必要时与法律团队合作,决定这些合理步骤是什么。
(五) 豁免
(i)如果处理数据是必要的,则 Flex 无需遵守删除数据的请求:
(A)行使言论和信息自由;
(B)遵守法律;
(C)出于公共卫生原因;
(D)为了公共利益的存档目的
(E)科学或历史研究目的或统计目的;或
(F) 如果法律索赔有相关要求;
(ii) 如果请求明显毫无根据或过分(特别是同一个人多次提出相同请求),Flex 也无需遵守。
(iii) 如果 GDPO 认为可以适用豁免,GDPO 将通知法律团队,并由 GDPO 和法律团队共同做出决定。
(六) 时间段
(i) Flex 必须在收到请求后一个月内毫不拖延地删除此信息。
(ii) 如果 GDPO 在必要时与法律团队合作,确定适用豁免,则 GDPO 应毫不拖延地在一个月内通知提出请求的个人,并解释 Flex 不遵守其请求的原因。
(七) 记录保存
(i)人力资源全球商业服务团队将保存每个请求的流程和响应的完整记录。
4.5 限制处理的权利
(a) 个人可以要求 Flex 在某些情况下限制其个人数据的处理。
(b) 此项权利仅适用于以下情况:
(i) 该个人对 Flex 所持有的数据的准确性提出异议;
(ii) 个人反对处理,并且 Flex 正在确定是否有合法理由继续处理他们的个人数据;
(iii)处理不合法,但个人反对删除并请求限制;
(iv) Flex 不再需要这些数据,但个人需要这些数据来处理合法索赔。
(c) 在上述每种情况下,Flex 都可能被要求限制数据的使用,直到情况得到解决;但是,Flex 可以继续存储数据。此权利仅作为临时措施。
(d) 当数据受到限制时,Flex 只能存储数据。否则,除非满足以下条件,否则不得使用:
(i) 个人同意;
(ii) 其使用对于合法索赔而言是必要的;或
(三)出于公共利益的原因。
(e) GDPO 应评估该权利是否适用,如果适用,则应与 IT 团队合作,限制相关数据的处理。
(f)如果相关数据通常会被自动处理,GDPO 应指示 IT 团队采取措施隔离或阻止相关数据。
(g)GDPO 应与处理个人数据的业务部门合作,确保所有相关人员了解现有的限制。
(h) GDPO 可在必要时与法律团队合作,确定限制不再适用,因为上述要求不再得到满足。在取消数据处理限制之前,GDPO 必须首先通知相关个人。
(我) 时间段
(i)Flex 必须毫不拖延地响应限制处理的请求,并且无论如何必须在收到请求后的一个月内做出回应。
(十) 记录保存
(i)人力资源全球商业服务团队将保存每个请求的流程和响应的完整记录。
4.6 数据可携权
(a) 个人可以要求我们将所持有的关于他们的某些数据转移给个人或其他实体。
(b) 此项权利仅适用于:
(i) 个人向 Flex 提供的数据(因此不适用于 Flex 创建的有关个人的数据)。但是,有关个人如何使用产品或服务或设备的信息将被视为“由个人提供”;
(二)相关数据的处理是基于个人的同意或与个人签订的合同;
(iii)处理是通过自动化方式进行的。
(c) 如果该权利适用,Flex 必须以结构化、常用和机器可读的形式向个人提供相关数据。这意味着 excel 电子表格、word 文档或其他常见文本文件。
(d) 该权利的目的是使第三方提供商能够使用这些信息,因此该权利比访问权更进了一步。
(e) 如果个人要求将其数据直接转移到另一个实体,Flex 必须在技术可行的情况下这样做。
(六) 豁免
(i) 如果移植数据会对其他个人的权利产生不利影响,则 Flex 无需移植数据。如果要“移植”的信息包括有关第三方个人的信息,且该信息将用于不同的目的,则适用此规定;
(ii) 如果移植数据会导致侵犯我们的知识产权或泄露我们的商业机密,则 Flex 不必移植数据。但是,如果可以在不干扰这些权利的情况下发布信息,则应该以这种方式发布。
(g) 如果 GDPO 认为可以适用豁免,GDPO 将通知法律团队,并由 GDPO 和法律团队共同做出决定。
(八) 时间段
(i) Flex 必须在收到请求后的一个月内,毫不拖延地将此信息转移给个人或其他公司。
(ii) 如果 DPO 在必要时与法律团队合作,确定适用豁免,GDPO 应毫不拖延地在一个月内通知提出请求的个人,并解释 Flex 不遵守其请求的原因。
(十) 记录保存
(i)人力资源全球商业服务团队将保存每个请求的流程和响应的完整记录。
4.7 反对权(包括直接营销)
(a) 个人可以告知我们他/她反对我们处理其个人数据。
(b) 该权利仅适用于 Flex 根据其或第三方的合法利益(而不是已获得此类处理的同意或此类处理是向个人提供所要求的产品或服务所必需的)处理个人的个人数据,并且 Flex 无法证明此类合法利益优先于个人自己的权利,或该处理对于 Flex 的合法权利是必要的。
(c) GDPO 应与法律团队(如有必要)一起评估 Flex(或相关第三方)是否拥有任何超越个人权利和自由的持续合法利益,同时考虑到 Flex 所知的与该个人有关的任何具体情况。
(d) 如果 GDPO 和法律团队确定 Flex(或第三方)没有持续的压倒性合法利益,则 Flex 应停止处理该个人的个人数据。个人数据应从 Flex 系统(和第三方系统)中删除。
(e) 另外,个人可以要求 Flex 停止使用其个人数据进行直接营销,包括 Flex 与此类营销相关的任何分析。
(f) 收到停止使用个人资料作直接营销的请求后,GDPO 应通知相关运营和营销团队,他们应尽快停止使用个人的个人资料作营销,并停止向该个人发送任何营销信息。与营销有关的所有对该个人的分析也必须停止。
(七) 时间段
(i) 我们必须响应此类请求,并在适用的情况下,在收到请求后的一个月内毫不拖延地停止相关处理。
(八) 记录保存
(i)人力资源全球商业服务团队将保存每个请求的流程和响应的完整记录。
4.8 自动化决策发生时的权利
(a) 当 Flex 仅使用自动化手段做出对个人有重大影响的决定时,此权利适用。这可能包括仅基于能力测试或引入心理测试而做出的就业或晋升决定。当我们向用户生成针对性消息以调整个人价格或专门利用弱势群体时,此权利也可能适用。
(b) 个人可以告知 Flex,他或她反对我们仅基于自动化处理对其做出的重大决定。
(c) 收到此类请求时,GDPO 应与法律团队一起评估是否适用豁免。
(d)豁免
(i)自动化决策是与个人签订或履行合同所必需的。
(ii) 自动化决策得到英国法律的授权。
(iii)Flex 得到个人的明确同意才能做出此类决定。
(e) 如果此类豁免不适用,Flex 不得仅基于自动化手段做出此类决定。相反,任何此类决定都应由相关团队/业务部门的适当成员重新考虑。
(f) 如果适用豁免,Flex 可以继续执行该决定,但应:
(i) 确保用于制作此类信息的信息准确且最新;
(ii) 考虑在不使用自动化手段的情况下做出决定是否合理;
(三)在个人提出要求时,允许人工干预决策过程;
(iv) 尽快考虑个人对该决定提出的任何异议,最好在需要初次回应的同一个月内。
(七) 时间段
(i) 我们必须响应此类请求,并在适用的情况下,在收到请求后的一个月内毫不拖延地停止相关处理。
(八) 记录保存
(i)人力资源全球商业服务团队将保存每个请求的流程和响应的完整记录。
1. 简介、目的和定义
1.1 介绍
(a) Flextronics (Flex) 致力于保护数据隐私和公平处理个人数据,包括允许个人根据我们的数据隐私标准和适用的当地数据隐私法行使其个人数据所享有的权利。
(b) 许多隐私制度(包括英国的隐私法)通常授予个人某些权利,以允许组织收集和处理其个人数据。Flex 承诺尊重并允许个人行使这些权利,如我们的《数据隐私标准》和《全球数据主体权利政策》中所述。
(c)数据主体有权就 Flex 或 Flex 实体处理其个人数据提出数据隐私投诉。
1.2 政策目的
(a)本政策的目的是阐明应遵循的程序:
(i)提交数据隐私投诉的个人(数据主体);以及
(ii)Flex 当收到数据隐私投诉时。
1.3 定义
(一个) 数据隐私投诉: 针对个人或实体提出的有关数据隐私问题的投诉或担忧,包括投诉 Flex 或特定 Flex 实体不遵守数据隐私标准、任何与数据隐私有关的 Flex 政策或适用的数据隐私法。
(二) 业务联系方式: 与任何客户、潜在投资者、股东、供应商、合作伙伴或销售商的业务联系。
(三) 数据主体: 所有个人数据由一个或多个 Flex 实体处理的个人,包括现任和前任员工、业务联系人和任何其他数据主体。数据主体有权针对 Flex 或 Flex 实体对其个人数据的任何处理提出数据隐私投诉。
(四) 个人资料: 与已识别或可识别个人有关的信息,该个人可直接或间接识别,特别是通过参考姓名、身份证号、位置数据、在线标识符或特定于该自然人身体、生理、遗传、精神、经济、文化或社会身份的一个或多个特定因素来识别。示例包括但不限于:
(i) 姓名、地址、税务识别号、社会安全号码、国民身份证号码、出生日期、个人账户号码、信用卡/借记卡号、网上银行用户名(无论是否与密码一起使用);
(ii)揭示种族或民族血统、政治观点、宗教信仰、工会会员身份、身体或精神健康或状况、性生活和犯罪历史的数据。
2. 角色和职责
资料主体:有权提出数据隐私投诉的个人。
数据隐私联络官 (DPLO):负责将所有数据隐私投诉上报至 GDPO 并执行 Flex 全球隐私政策和规则第 6 节中规定的任务。向相关区域数据隐私官报告。
区域数据隐私官 (RDPO):负责 Flex 全球隐私政策和规则第 6 节中规定的任务以及遵守数据隐私标准。向全球数据隐私官报告。
全球数据隐私官 (GDPO): 这 数据保护官(DPO) 为英国数据保护法的目的。负责 Flex 全球隐私政策和规则第 6 节中规定的任务,并负责区域数据隐私官、数据隐私联络官网络、数据隐私标准的制定和实施、响应监管机构的要求以及与监管机构合作。可以将本政策内的任务委托给 RDPO。
3. 接收数据隐私投诉
3.1 数据主体可以通过以下电子邮件地址联系 HR 全球业务服务 (GBS) 和全球数据隐私官提交数据隐私投诉: 数据保护@flex.com.
3.2 Flex 通过其全球业务服务 (GBS) 维护上述专用电子邮件地址,供主体提交数据隐私投诉。但是,数据隐私投诉可以通过任何方式进行,例如亲自、通过电话、通过电子邮件、信函或传真。Flex 将提供模板投诉表格以协助数据主体,表格副本将在 Flex 网站和数据隐私门户上提供。
3.3 尽管有上述规定,如果数据主体通过任何其他书面或口头方式提交数据隐私投诉,收到此类数据隐私投诉的工作人员将立即使用上述电子邮件地址将该数据隐私投诉转发给全球数据隐私官。
4. 投诉处理时间表
以下时间范围适用于根据本程序处理的数据隐私投诉。
姓名
大体时间
描述
确认收到投诉
七 (7) 天内
Flex 在收到每份数据隐私投诉后的七 (7) 天内通过电子邮件确认收到该投诉。
索取更多信息
十四 (14) 天内
如果数据主体未能提供足够的信息,全球数据隐私官可在收到数据隐私投诉后十四 (14) 天内要求提供有关投诉的更多信息。
做出决定
不得无故拖延,且无论如何不得超过一 (1) 个月
全球数据隐私官将考虑数据隐私投诉和提供的任何补充信息。GDPO 将毫不拖延地做出决定,无论如何在收到投诉后一 (1) 个月内做出决定。
如果预计的回复时间有任何延迟,GDPO 将在整个流程的所有阶段向数据主体通报情况。
如果投诉内容复杂或有大量投诉
三 (3) 个月内
考虑到数据隐私投诉的复杂性和数量,作出决定的一个月期限最多可延长两个月。决定将毫不拖延地做出,并且无论如何将在收到投诉之日起三 (3) 个月内做出。
GDPO 应在收到投诉后一 (1) 个月内以书面形式告知数据主体此情况。
如果预计的回复时间有任何延迟,GDPO 将在整个流程的所有阶段向数据主体通报情况。
4.1 全球数据隐私官的决定将以书面形式做出。
4.2 全球数据隐私官的决定将至少包含以下信息:
(a)数据隐私投诉的描述,
(b)如果有的话,对被投诉人对数据隐私投诉的回应进行描述;
(c)以及全球数据隐私官的调查结果和结论声明。
4.3 全球数据隐私官应在决定作出之日起三个工作日内安排将决定副本邮寄给投诉人。
5. 决定的后果
5.1 如果数据隐私投诉得到支持,全球数据隐私官将与法律团队协商安排采取适当措施,包括在适当情况下向数据主体支付物质或非物质损失的赔偿。
5.2 如果数据隐私投诉被拒绝,或数据隐私投诉被支持但数据主体对拟议的答复不满意,则数据主体有权采取以下任何一项行动:
(a)向信息专员办公室提出该问题;
(b)向英格兰和威尔士管辖范围内的法院提出该问题。
6. 投诉升级
6.1 当确定数据隐私投诉可能对 Flex 构成风险或具有其他重大影响时,可能需要上报给首席合规官。
7. 记录保存
7.1 GBS 必须记录并保存与此程序有关的所有相关文件。
7.2 数据隐私投诉记录应包括数据隐私投诉的副本,并且应保留所有通信和回复。
8. 合规与审计
8.1 Flex 数据隐私网络和合规团队会定期监控此流程,以确保其有效性和适用性。此外,Flex 内部审计团队还可能对此流程进行独立审查。
9. 其他适用法律的效力
9.1 如果数据隐私投诉涉及另一个特定个人的行为或举止,则数据隐私投诉将根据该个人根据适用当地法律可能拥有的任何权利进行处理,包括(如果适用)该个人提交对数据隐私投诉的回应的权利。
10.培训
10.1 区域数据隐私官和数据隐私联络官将就本文件所列程序对相关人员进行培训。区域数据隐私官和数据隐私联络官可对业务单位或 GBS 部门进行培训,帮助他们识别处理数据隐私投诉时出现的常见问题。
11. 管理信息
(a)与本政策的解释和应用有关的任何问题,请咨询全球数据隐私官 数据保护@flex.com.
(b)如果本政策中提供的指导与数据隐私标准或任何其他标准、政策或程序之间存在任何不一致,请咨询全球数据隐私官。
