海宝的欧盟《通用数据保护条例》声明

声明

于 2018 年 5 月 25 日生效的欧盟《通用数据保护条例》（“GDPR”）旨在加强欧盟境内个人数据的安全性和保护力度，本条例将会取代《欧盟隐私指令》和各国相关法令。GDPR 对收集或存储欧盟居民个人数据的公司提出了更多要求。

我们的承诺

海宝欢迎 GDPR 正式颁布。我们承诺确保：我们所处理个人信息的安全性和保护力度符合 GDPR 的要求。我们公司赖以成功的基石是我们的员工、客户和其他利益相关方对我们提供卓越质量的能力的信任。这包括我们对我们的员工、客户和第三方托付给我们的个人数据提供高等级保护和安全措施的能力。海宝不仅将遵守国家和国际数据保护条例视为一项义务，同时也通过在全球各地的海宝办事处实施相同的标准、流程和程序来切实履行这一义务。借此，我们得以实现利益相关方期望我们具备的透明度、可预测性和一致性。我们在本声明中总结了我们为符合 GDPR 的规定而采取的准备活动和措施，包括新的数据保护准备工作、角色、政策、程序、控制和措施的制定和实施过程，以确保最大程度地实现长期合规性。

准备工作

我们的数据保护相关政策专注于让利益相关方对其数据的安全性拥有信心。我们制定了一系列措施来确保按照隐私原则的要求对待和处理利益相关方及其数据。因此，为了在整个公司范围内落实 GDPR 要求，我们计划的准备工作包括：

信息审计：通过数据映射和数据资产记录，以 GDPR 的眼光执行信息审计，以便识别和评估我们所持有个人信息的内容、来源、处理方式和处理原因，以及是否披露和向谁披露这些信息。
政策和程序：旨在满足 GDPR 要求和标准以及任何相关数据保护法的数据保护政策和程序，包括：-
- 数据保护 – 这是我们在数据保护方面的的主要政策和程序文档，现已经过全面修订，以满足 GDPR 的标准和要求。我们制定了问责制和治理措施，以确保我们理解并充分宣传我们的义务和责任，并且还要留下相关证明；注重“隐私始于设计”理念和个人权利。
- 数据保留和清除 – 我们已更新我们的数据保留政策和时间表，以确保我们满足“数据最小化”和“存储限制”原则，确保我们以合规且符合道德的方式存储、归档和销毁个人信息。
- 数据泄露 – 我们的数据泄露程序确保我们落实相应的安全保护措施，能够及早发现、评估、调查和报告任何个人数据泄露事件。我们的程序健全可靠，并已面向全体员工公布，让他们知道需要遵循的举报路线和步骤。
- 国际数据传输和第三方数据披露 – 针对海宝在欧盟境外存储或传输个人信息的情形，我们制定了健全的程序和安全措施来保证数据的安全性、加密性和完整性。对于数据保护政策被判定为充分胜任的国家/地区，我们正在努力落实相关系统和流程来协助持续审查，对于相关政策被判定为尚不完善的国家/地区，我们正在采用相关条款，以强制落实企业规定、标准数据保护条款或经过批准的行为守则。我们会对个人数据的所有接收方执行严格的尽职调查，以便评估并验证他们是否落实相应的安全措施来保护信息和保证可施行的数据主体权利以及是否针对数据主体制定了有效的法律补救措施（如适用）。
- 主体访问请求（“SAR”） – 我们修订了 SAR 程序来满足在 30 天内提供所请求信息的修订版强制性时间框架，而且是免费提供所请求信息。我们的新程序详细说明了如何验证数据主体、处理访问请求的步骤，以及适用哪些例外情况，以确保与数据主体之间所进行通信的合规性、一致性和充分性。
数据处理的法律依据：我们正在审查所有处理活动以确定数据处理的法律依据，并确保此依据适用于所涉活动。如适用，我们还会维护处理活动的相关记录，确保我们达到 GDPR 中第 30 条所规定的我方义务。
隐私政策：我们已制定《隐私通知》以符合 GDPR 的规定，确保我们所处理个人信息的主体已经知悉我们为何需要其个人信息、我们如何使用其个人信息、他们拥有哪些权利、我们向谁披露此信息，以及我们落实了哪些安全措施来保护他们的信息。https://www.hypertherm.com/policies/
获取同意书：我们修订了有关个人数据获取的同意书管理机制，确保当事人理解他们所提供的内容、我们为何以及如何使用他们的个人数据，并给出清晰、明确的方式让他们选择是否同意我们处理他们的信息。我们制定了严格的流程来记录同意书的签署情况，确保我们可以证明数据主体明确同意（以及签署同意的时间和日期记录）；同时也为数据主体随时撤销同意提供了直接明了的方式。
直接营销：我们修订了有关直接营销的流程，包括有关营销订阅的明确参与机制；有关退订的清晰通知和方法，并且在所有后续营销资料中都提供退订功能。
数据保护影响评估（“DPIA”）：对于我们处理的个人信息被视为高风险信息、涉及大规模处理或者包括特殊类别/刑事定罪数据的情形，我们制定了严格的程序和评估模板，以完全依照 GDPR 第 35 条要求执行影响评估。我们已实施文档流程来记录每次评估，这让我们能够评价处理活动带来的风险，并实施缓减措施来降低对数据主体造成的风险。
特殊类别的数据：如果我们需要处理特殊类别的数据，我们会完全按照 GDPR 第 9 条的要求来进行，并对所有此类数据进行加密和保护。我们只在必要时才会处理特殊类别的数据，并且处理的前提是我们首先确定在第 9(2) 条中有适当的处理依据。如果我们需要获得同意方可处理数据，我们会明确征求同意并通过数据主体签名确认，同时还确保数据主体拥有明确修改或撤消同意的权利。

数据主体的权利

除上述程序外，我们还通过多种通信方式来告知个人对海宝处理的、与其有关的任何个人信息所享有的权利以及请求获得下列信息的权利：

我们持有有关数据主体的哪些个人数据
处理的目的
所涉及个人数据的类别
我们计划将此个人数据保留多长时间
如果我们不是直接从数据主体处收集数据，则数据主体还可请求获悉信息的来源
在有关数据主体的数据不完整或不准确时，要求予以更正或补充的权利，以及提出此请求的流程
请求删除个人数据（如适用）或按照数据保护法限制处理的权利，拒绝接收我们的任何直接营销内容的权利，以及知晓我们所采用的有关任何自动判定的权利
提交投诉以及在此情况下应联系何人的权利

信息安全措施

海宝非常严肃地对待个人及其个人信息的隐私性和安全性，并且会采取一切合理方式和预防措施来保护我们所处理的个人数据并确保其安全性。我们制定有健全的信息安全政策和程序来防止在未获授权的情况下访问、篡改、披露或销毁个人信息，并且实施了多重安全措施，包括访问控制、密码政策、加密、惯例做法、限制和身份验证类型。

GDPR 角色

海宝专门成立了一个跨部门的全球团队来制定并实施我们的 GDPR 合规路线图。该团队负责提升整个公司对 GDPR 的认识，评估我们的 GDPR 准备程度，发现任何存在差距的领域，并实施新政策、程序和措施。

海宝理解：持续加强员工的相关意识和理解对于确保 GDPR 长期合规性至关重要，因此我们让员工参与了我们的准备计划。我们已经公布一项员工通知，此通知已于 2018 年 5 月 25 日之前发送给全体员工，这也是我们欢迎 GDPR 颁布的一部分。

登录