个人资料保护政策 - TMF Group

1. 介绍和范围

此个人资料保护政策（简称“政策”）概括TMF如何处理董事、高级管理人员和雇员以及（在适用范围内）客户和/或相关客户关联方客户个人资料的隐私惯例，作为TMF服务的一部分。此个人资料可以存储在TMF的系统、客户端系统或TMF可以访问以提供服务的第三方系统上。在TMF向其客户提供服务的情况下，TMF为处理方，而客户则为控制方。

本政策适用于TMF根据服务合约在其生效日期或之后向全球客户提供的任何及所有服务。

TMF会根据《资料保护法》代表客户处理个人数据。在必要时，服务合约将以附录的形式进行补充，以阐明任何对客户而言特殊、且不受本政策监管的事项。

本政策不适用于通过我们的网站或Cookie收集的个人数据，对于这些这些数据，TMF可以被视为控制者；有关此方面的更多信息，请参阅我们的网站隐私声明和Cookies政策。

您可通过以下链接在TMF Group网站了解本政策：https://www.tmf- group.com/en/legal/data-protection/。TMF Group保留在不咨询或未通知其客户的情况下更新本政策的权利。

2. 定义

以下术语在本政策具有以下含义：

a. “客户”系指与TMF签署服务合约的一方；
b. “客户关联方” 系指任何与客户有关联的法人实体；
c. “客户资料主体”系指客户和客户关联方的前任和现任董事、高级管理人员、雇员及客户；
d. “控制方”系指单独或与他人联合共同决定个人资料处理的目的及意义的自然人、法人、公共机构或团体；
e. “数据保护法”系指在执行服务合约时处理的任何个人数据、《通用数据保护条例》（EU）2016/679（“ GDPR”）以及所有实施法律和任何其他适用的资料保护、隐私法律或隐私法规；
f. “个人资料”系指可以从客户资料主角身上直接或间接获得的资料；
g. “处理”系指对个人数据或个人数据集执行的任何操作或一组操作（无论是否通过自动化方式进行），例如：收集、记录、组织、结构化、存储、改编或更改，检索、咨询、使用、通过传输、传播或其他方式披露，或将其结合、限制、擦除或破坏；
h. “处理方”系指代替控制方处理个人资料的一方；
i. “服务”系指TMF根据服务合约为客户提供的服务；
j. “服务合约”系指TMF与客户之间的任何书面合约、任何书面工作说明、或任何具有约束力的书面合约，包括任何附件；
k. “分处理方”系指由处理方委任的任何资料处理商，以代替控制方处理个人资料；
l. “TMF”系指在服务合约下缔约的TMF关联方；
m. “TMF关联方”系指任何特定个人或实体、任何直接或间接控制、或受到特定个人或实体直接或间接控制的其他个人或实体。为了定义此词汇，“控制”在针对任何特定的人或实体使用时，是指通过具备投票权的证券所有权或通过合同，来指示或指引该特定个人或实体的管理方向。“正控制”和“控制”具有与前述相关的含义。该定义中特别排除的是控制TMF Group B.V.的股份持有公司。

3. TMF Group处理的个人资料

由TMF或处理方（若有）代表客户处理的个人数据细节包括：个人数据的持续时间、目的、类型和类别，这将在服务合约中列明。

4. 个人资料的使用

TMF不得处理、转移、修改或更改个人数据，也不得向任何第三方披露个人数据，除了：

• 需要处理个人数据以提供服务和/或按照客户书面说明进行处理，或
• 根据遵守《数据保护法》或TMF所适用的其他法律的要求，在这种情况下，TMF应（在法律允许的范围内）在处理个人数据之前通知客户该法律要求。

此外，TMF允许使用综合资料，在不再被视为个人数据的范围内，用于分析、网站和内部操作，包括故障检修、数据分析、测试、研究、统计和提升服务质量。

5. 分处理

TMF可能需要委任某第三方为客户提供部分服务或协助提供技术支持，例如IT服务提供商或其他供应商。通过签署服务协议，客户授权TMF将个人数据的处理分包给分处理方。在不同的情况下，分处理方均受TMF与分处理方之间的条款保护，而该条款的保护性不低于本政策和服务合约中规定的条款。如果客户提出书面要求，TMF将把分处理方的详细信息告知客户。TMF会在出现任何与分处理方的添加或更换相关的预期更改之前提前通知客户，进而让客户有机会反对此类更改。若客户在收到通知后五天内没有书面反对，则视为客户已接受新的分处理方。如果客户在收到通知后五天内提出书面反对，TMF将和客户讨论潜在的解决方案。

6. 隐私和安全原则

TMF将对个人资料保密，并将确保其员工和分处理方受到相同的保密义务约束。TMF应采取适当的技术和组织措施，以确保个人数据的安全性与适用的数据保护法所要求的风险相称，并且，如果处理涉及欧盟居民的个人资料，则应采取GDPR第32条所要求的所有措施。在评估适当的安全级别时，TMF应特别考虑到处理过程带来的风险，尤其是意外或非法销毁、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人资料。TMF网站（https://www.tmf-group.com/en/legal/data-protection/）上发布的“连续性声明”进一步描述和详细说明了安全措施，并构成本政策的部分之一。

7. 配合客户要求

TMF应根据《数据保护法》的要求并在其要求的范围内，与处理个人数据有关的客户请求合作。TMF尤其应与以下所述的客户资料主体权利、资料保护影响评估和审计权利有关的请求进行协作。

客户资料主体权力：TMF应按照客户的要求进行合作，让客户能够遵守客户数据主体对个人资料的任何权利行使，并遵守《数据保护法》的任何评估、查询、通知或调查。在每种情况下，客户应全额偿补偿TMF在履行本节中规定的义务，所合理产生的所有费用（包括内部资源和任何第三方费用）。

资料保护影响评估：在TMF代表客户处理个人资料并考量到处理的性质和可用信息时，根据GDPR第35条要求，TMF应向客户提供任何数据保护影响评估的合理协助，以及事先咨询客户的任何监管机构。

审计权力：在合理的要求和通知下，TMF将合作进行任何必要的审核或检查，以证明TMF遵守了《数据保护法》和与《服务协议》相关的本政策中规定的处理方义务，但此要求不会强迫TMF提供或允许访问有关以下方面的信息：（i）TMF内部定价信息；（ii）与TMF其他客户有关的信息；（iii）TMF的任何非公开外部报告，或（iv）TMF内部审计人员准备的任何内部报告。客户应避免在此类审核或检查过程中对TMF的设备、人员和业务造成任何损害、伤害或破坏。根据本节的规定，《数据保护法》合规性审计或审查最多可以在任何十二个月内激活一次，除非该审查是在同一时期内，因TMF造成的个人数据泄露后而进行。任何进一步的《数据保护法》审核开销应由客户承担。

在第7节中提供的客户要求将在TMF首席信息安全官、TMF首席隐私官或类似的TMF当地高层的密切合作和监督下完成。

8. 删除或归还客户个人资料

在与处理相关的服务结束时，TMF将根据客户的选择删除或归还个人资料，除非（i）《数据保护法》；（ii）在提供服务的国家/地区，适用于该服务的任何政府、监管机构或自律组织的任何法律、法规、命令、法规、规则、要求、惯例和指南；或（iii）管辖法院和监管机构要求TMF保留该个人资料。

9. 突发事件管理

TMF在得知违反个人资料后应立即通知客户，并向客户提供足够的信息，使客户能够根据《数据保护法》履行举报个人数据违规的义务。根据客户的要求，TMF应与客户充分合作，并采取客户指示的合理步骤以协助调查，缓解和补救个人数据泄露的情况，使客户能够（i）对个人数据泄露行为进行彻底调查，并根据《数据保护法》【例如GDPR第33条（3）】提供事件详细信息，（ii）制定正确的回应，以及（iii）针对个人数据泄露采取进一步的适当措施，以满足《数据保护法》（“补救措施”）的任何要求。假设在一定程度上，由客户指示的TMF补救措施相关费用，与客户造成的个人数据泄露有关，则客户应合理赔偿TMF采取的补救措施的费用。补救措施应：（i）立即启动，（ii）在TMF意识到个人数据泄露后的合理期限内完成，以及（iii）在当地办事处的正常工作时间内进行需要采取补救措施。

10. 个人资料的国际转移

始终以本政策的第4条为准，在服务要求在TMF、TMF关联公司和/或任何子处理方之间国际转移个人资料，则应应用以下规定（相关规定如下）：

a. 转移到欧盟内或从欧盟转移到TMF关联公司。 根据《数据保护法》，可以将个人数据转移给（i）欧洲经济区（“ EEA”）一个或多个成员国或瑞士中的一个或多个TMF关联公司，或（ii）根据《企业约束规则》，在一个或多个第三国家中的一个或多个TMF关联公司，这些规则已发布在TMF Group网站（https://www.tmf-group.com/en/legal/data-protection/ ）。客户或相关TMF关联公司应应客户数据主体的要求，向客户资料主体提供《企业约束规则》和本政策的副本（无任何业务敏感或机密信息）。在《数据保护法》允许的情况下，TMF应根据《企业约束规则》获得所有有关个人数据传输的授权或许可。如果《数据保护法》不允许TMF自行获得此类授权或许可，则客户应及时向相关TMF关联公司发出所需的授权。

b. 转移到欧盟内或从欧盟转移到分处理方。根据本政策第5条的客户许可和《数据保护法》，个人资料可转移至（i）一个或多个欧洲经济区或瑞士的一个或多个分处理方（TMF的关联公司除外）， 或（ii）根据《数据保护法》的例外情况，将其转移至一个或多个第三国家的一个或多个此类分处理方，或（iii）在TMF添加了适当保护措施的基础上，或在《数据保护法》允许的范围内确保保护个人资料，在这种情况下，TMF应与客户合作，为将个人资料跨境转移至该分处理方寻求适当的依据。应客户要求，TMF应将交叉转移个人资料的适用依据告知客户。

c. 其他转移。在欧洲经济区或瑞士以外的任何国家/地区的数据保护或隐私法适用于个人数据的情况下，客户应根据《数据保护法》或《数据保护法》允许的其他措施，通过实施附加保护措施，确保TMF将个人资料跨境转移到分处理方一事得到允许。

11. 义务

客户保证，TMF代表客户处理的所有个人数据已经并且应由客户根据《数据保护法》进行处理，包括但不限于：（a）确保客户制定和保持《数据保护法》所要求的监管机构通知和批准；（b）确保公平、合法地处理所有个人资料，确保个人资料准确且即时，并向客户资料主体提供正式通知，当中描述TMF根据服务合约签订的服务进行处理。

只有在TMF不遵守《数据保护法》针对处理方的义务，或其行为超出或违反了服务合约中客户的合法指示时，TMF才应对处理造成的损失负责。客户应对其因违反《数据保护法》而造成的损害负责。如果客户或处理方能证明对其无需对造成损害的事件承担任何责任，则应豁免此第11条的责任。

当超过一个控制方或处理方，或控制方和处理方两者涉及同一个处理过程，并且根据服务合约，在处理过程中对客户资料主体造成任何损失负责任的情况下，为了确保对客户资料主体的有效赔偿，每个控制方或处理方应对全部损失负责。根据前段所列条件，如果控制方或处理方已就损害全额赔偿，该控制方或处理方应有权向参与同一处理的其他控制方或处理方要求赔偿其相应部分的赔偿。

除了第11条第3段，服务合约中规定的赔偿、责任、例外或限制，也应适用于本政策和服务合约的承担义务，并且在发生任何冲突时均概以此条为准 。

个人资料保护政策 – TMF Group – 2019年4月版本

个人资料保护政策 – TMF Group – 2018年3月29日版本