《通用数据保护条例》声明

TMF Group致力于确保遵守GDPR

为了确保公平、透明地处理个人资料，并且将处理个人资料的特定情况和环境纳入考量后，我们已经强化并引入新的技术和组织措施，确保减轻导致个人数据的潜在风险。

为了确保遵守GDPR，我们草拟了全新并更新了现有的内部政策和手册，同时实施了一些特别为保护隐私和默认隐私原则的措施。此类措施的其他作用包括：（i）最小化个人资料的处理；（ii）增强处理的安全性；（iii）资料处理后的透明度；（iv）对资料主体的请求做出充分及时回应，（v ）支持及时回应突发事件的程序，以及（vi）监督合规的个人资料处理活动，以确保处理合法和妥当。

在开发、设计、选择和使用业务应用程序，或为客户提供服务以及交付产品，包括处理个人数据的产品时，我们确保履行与GDPR有关的法律义务。TMF Group在整个过程中遵循以下设计隐私和默认隐私原则，并且将持续评估和改进。

GDPR相关的组织措施

• 隐私治理框架已经建立，推介了首席隐私官和全球隐私团队的职责，他们将确保我们运营所在的司法管辖区遵守GDPR和当地隐私法律。
• 外部和内部隐私政策和声明已更新，以反映GDPR要求。
• 我们已经实施流程、程序和指南来支持客户、潜在客户和员工所谓的GDPR第三章权利的要求：资料可携带性、删除权（“被遗忘权”）、信息权和透明度、访问权和更正权、限制处理权以及反对（自动）个人资料处理权。
• 资料清单（处理活动的记录，“ RoPA”）是由信誉良好且行业领先的专家根据金融行业的最佳做法设置。其遵循GDPR进行维护，并提供整个组织中数据流的视图。RoPA所需的更新乃起源于组织过程中。
• 数据保护影响评估（“ DPIA”）可以根据要求和要求进行，以支持客户实现合规。内部流程在开始任何高风险的处理活动之前，将进行DPIA快速扫描和数据保护影响评估。
• 制定指南、程序和流程来处理涉及个人资料的事件。这些程序和事件解决由我们的隐私和安全高层负责。
• 我们与客户和供应商（分处理方）的服务协议反映GDPR的要求。我们致力于仅聘请提供充分保证的分处理方，尤其是在专业知识、可靠性和资源方面，并要求他们采取符合GDPR和我们客户要求的技术和组织措施，包括处理个人资料的安全性。
• 荷兰（TMF Group领先）的监管机构批准了TMF Group的《企业约束规则》（BCR），以让控制方和处理方可以在欧盟内与保护级别不足的司法管辖区转移个人资料。
• 每个地方办事处的GDPR合规性应在首席隐私官的监督下进行定期内部审核。
• 对所有员工进行培训和提升意识的活动，所有员工都必须完成强制性的GDPR培训。培训每年将更新一次。
• TMF Group的直接营销活动已完成GDPR的准备，这意味着，活动在事先已经得到隐私评估，并且是在受GDPR培训营销专业人员的监督下所展开。

GDPR相关的技术和安全措施

• 所有员工均已签署保密声明，且必须遵守内部政策。
• 确保员工在IT系统和物理个人数据存储设施上的活动和访问的安全、符合（多个）身份验证要求并且是可分离的。
• 对员工角色和职责进行划分，以降低个人破坏关键流程的可能性。
• 每位员工仅履行与其各自职位和职位相关的授权职责。
• 员工在IT系统和存储的访问权限符合预定义和记录在案的业务需求，且工作要求与用户身份相连。
• 员工账户管理仅限于授权人员定期进行审核。

我们鼓励客户、供应商和合作伙伴阅读我们符合GDPR要求的《个人资料保护政策》和支持《连续性声明》，当中包含对TMF Group技术和安全措施的说明，以及具有约束力的《企业约束规则》，这些规则让我们能够在集团内部不受进一步法律或技术限制的情况下转移个人资料。

若您有任何疑问，欢迎联系您所在地的办事处或我们的专属团队dataprotection@tmf-group.com。