数据保护政策

1.简介

Bri-stor集团由Bri-Stor Systems Ltd，Alpha Manufacturing H188beat金宝搏官网登录ixon Ltd和Atlas Coating Ltd.组成。就本政策而言，该业务将被称为“ Bri-Stor Group”。

Bri-stor Groupneds收集和使用有关工作申请人和员工的某些类型的信息；以及与Businessin命令接触我们工作的个人或服务用户。无论是在纸上收集，存储在计算机数据库中还是在其他材料上记录，并且有保证措施，以确保这项数据保护立法，必须收集此个人信息并适当处理。

2.数据保护术语的定义

数据是在电子，计算机或某些基于纸张的归档系统中存储的信息。

出于本政策的目的，数据主体包括我们持有个人数据的所有活个人。数据主体不必是英国国家或居民。所有数据主体均具有与其个人信息有关的合法权利。

个人数据是指与可以从该数据（或我们拥有的数据和其他信息）中识别的活人有关的数据。个人数据可以是事实（例如，名称，地址或出生日期），也可以是对该人，其行为和行为的看法。

数据控制器是确定处理任何个人数据的目的以及处理方式的人或组织。他们有责任建立符合数据保护立法的惯例和政策。

数据用户是我们员工的工作，他们的工作涉及处理个人数据。数据用户必须始终根据此数据保护策略和任何适用的数据安全程序保护他们处理的数据。

数据处理器包括任何不是代表我们和我们的指示处理个人数据的数据用户的人或组织。数据控制器的员工被排除在此定义之外，但可以包括代表我们处理个人数据的供应商或承包商。

处理是任何涉及使用数据的活动。它包括获取，记录或持有数据，或在数据上执行任何操作或一组操作，包括组织，修改，检索，使用，披露，删除或销毁数据。处理还包括将个人数据传输到第三方。

Sensitive personal data means information about a person’s racial or ethnic origin, political opinions, religious or similar beliefs, trade union membership, physical or mental health or condition or sexual life, or about the commission of, or proceedings for, any offence committed or alleged to have been committed by that person, the disposal of such proceedings or the sentence of any court in such proceedings, genetic data and biometric data where processed to uniquely identify a person (for example a photo in an electronic passport). Sensitive personal data can only be processed under strict conditions, including a condition requiring the express permission of the person concerned.

3.数据控制器

在数据保护立法下的Bri-stor Groupis Thedata控制器，这意味着它将确定所持有的个人信息的目的。它还负责将其持有或可能持有的数据通知信息专员，以及该数据将用于使用的一般目的。

4.披露

我们可能会与我们集团的任何成员共享我们持有的个人数据，这意味着我们的子公司，我们的最终控股公司及其子公司，如2006年《英国公司法》第1159条所定义的。

我们还可能披露我们持有的个人数据，向第三方：

如果我们出售或购买任何业务或资产，在这种情况下，我们可能会披露我们持有的个人数据，或者我们持有的企业或资产的买方。

如果我们或基本上所有的资产都是由第三方收购的，那么在这种情况下，我们持有的个人数据将是转移的资产之一。

如果我们有责任披露或共享数据主体的个人数据以遵守任何法律义务，或者为了执行或与数据主体或其他协议申请任何合同；或保护我们的员工，客户或其他人的权利，财产或安全。这包括与其他公司和组织交换信息，以进行欺诈保护和降低信用风险。

我们还可以与选定的第三方共享我们持有的个人数据，以进行计划中的目的。

5.数据保护原则

Bri-stor小组认为，合法和正确的个人信息对成功的工作非常重要，并保持与我们交易的人的信心。

为此，Bri-stor Group将遵守数据保护立法中的数据保护原则。

具体而言，原则需要该个人信息：

a）应公平，合法地处理，尤其是不得处理，除非满足特定条件

b）应仅出于立法中指定的一个或多个目的获得，并且不得以任何与该目的或目的不相容的方式处理

c）应足够，相关且仅限于与这些目的有关的必要条件（数据最小化）

d）应准确，并在必要时保持最新状态

e）不得保留更长的时间

f）应采取适当的技术和其他措施来防止未经授权或非法处理，意外损失或破坏或损害个人信息

此外，公司处理的任何数据均应根据数据保护立法的数据主体的权利处理。

6.公平合法的处理

数据保护立法并非旨在防止处理个人数据的处理，而是要确保公平地完成并且不会对数据主体的权利产生不利影响。

为了合法处理个人数据，必须根据立法中规定的法律理由进行处理。These include, among other things, the data subject’s consent to the processing, or that the processing is necessary for the performance of a contract with the data subject, for the compliance with a legal obligation to which the data controller is subject, or for the legitimate interest of the data controller or the party to whom the data is disclosed. When sensitive personal data is being processed, additional conditions must be met. When processing personal data as data controllers in the course of our business, we will ensure that those requirements are met.

7.指定，明确和合法目的

在我们的业务过程中，我们可能会收集和处理计划中的个人数据。这可能包括我们直接从数据主题中收到的数据（例如，通过填写表格或通过邮件，电话，电子邮件或其他方式与我们通信）以及我们从其他来源接收的数据（包括，例如，业务合作伙伴，子 -技术，付款和交付服务的承包商，信贷参考机构等）。

我们将仅出于计划中规定的特定目的或数据保护立法允许的任何其他目的处理个人数据。当我们第一次收集数据或之后，我们将通知数据主体的这些目的。

8.通知数据主体

如果我们直接从数据主体中收集个人数据，我们将在数据保护立法中通知他们的权利，包括：

（a）我们打算处理该个人数据和处理法律基础的目的或目的。

（b）我们将分享的第三方类型（如果有）或我们将披露该个人数据的类型。

（c）手段（如果有的话）可以限制我们对其个人数据的使用和披露，包括反对处理的权利。

（d）主题访问权的权利。

（e）被遗忘的权利。

（f）撤回同意的权利，其中处理是基于同意的。

（g）如果数据不准确或不完整，则有权纠正。

（h）与自动决策和分析有关的权利。

我们还将告知数据主体我们处理的个人数据，我们是该数据的数据控制器。

9.数据最小化

我们只会收集个人数据，以便为数据主体通知的特定目的所需的范围。

10.数据存储和安全性

与个人和服务用户有关的信息和记录将被安全存储，并且只有授权员工才能访问。

信息将仅存储，只要需要考虑到它的目的，并将适当和安全地处理。

这是Bri-stor Group的责任性，可以确保从组织中先前使用的任何计算机系统中进行所有个人和公司数据，并已将其传递/出售给第三方。

如果存在数据安全漏洞，这将对数据主体造成风险，我们将报告对监管机构的违规行为，而不会过分延迟，并且在意识到违规的72小时内可行。

我们将建立从收集点到破坏点的所有个人数据的安全性，以维护所有个人数据的安全性。个人数据只有同意遵守这些程序和政策，或者他自己采取足够的措施时，才会将其转移到数据处理器。

我们将通过保护个人数据的机密性，完整性和可用性来维护数据安全性，该数据定义如下：

机密性意味着只有授权使用数据的人才能访问它。

完整性意味着个人数据应准确且适合处理其处理的目的。

可用性意味着授权用户应为授权目的需要访问数据。

安全程序包括：

固定可锁的桌子和橱柜。如果桌子和橱柜持有任何形式的机密信息，应保持锁定。（个人信息始终被视为机密。）

处置方法。纸质文件应切碎。数字存储设备不再需要时应物理破坏。

设备。数据用户必须确保单个监视器不会向路人显示机密信息，并且在无人看管的情况下将其从PC上注销。

11.数据准确性

我们将确保持有的个人数据是准确的，并且保持最新状态。之后，我们将在收集点和定期时间内检查任何个人数据的准确性。我们将采取所有合理的步骤来销毁或修改不准确或过时的数据。

12.根据数据主体的权利进行处理

我们将根据数据主体的权利处理所有个人数据，尤其是其权利：

·要求访问有关它们的任何数据。

·反对处理，特别是为了防止其数据以直接营销目的处理。

·要求修改数据不正确。

·要求删除或删除个人数据，而没有令人信服的理由继续处理。

·防止可能对自己或其他任何人造成损害或困扰的处理。

13.将个人数据转移到EEA以外的国家

我们将仅将我们持有的任何个人数据转移到欧洲经济区以外的一个国家（“ EEA”），在该国家适用于数据保护立法中规定的转让条件。

14.处理主题访问请求

数据主体必须向我们持有的有关信息的正式请求。这必须以书面形式进行。收到书面请求的员工应立即将其转发给他们的线经理。

我们的员工将在困难的情况下将请求转交给他们的线经理寻求帮助。不应欺负员工以披露个人信息。

此外，Bri-stor群体

将确保：

每个处理个人信息的人都知道，他们有责任遵循良好的数据保护实践

每个处理个人信息的人都经过适当培训

每个处理个人信息的人都得到适当监督

任何想查询处理个人信息的人都知道该怎么办

它迅速和礼貌地处理有关处理个人信息的任何询问

它清楚地描述了它如何处理个人信息

它将定期审查并审核其拥有，管理和使用个人信息的方式

它定期评估和评估其与处理个人信息有关的方法和绩效

所有员工都知道，违反本政策中确定的规则和程序可能会导致对他们采取纪律处分

该政策将根据需要进行更新，以反映数据管理，安全和控制中的最佳实践，并确保遵守对数据保护立法的任何更改或修订。

安全措施：所有数据都将保存在锁定的档案柜中并保护IT系统。仅在需要了解基础的情况下访问。有关IT安全性的更多信息可以在IT安全策略中找到。