索迪斯数据保护政策（中国大陆地区）

最后更新日期：2021年10月28日

 

我们非常重视保护您的隐私。为了便于您了解我们以怎样的方式收集、使用、存储、共享、传输、转移、删除或以其它方式处理（以下简称为“处理”）您的个人信息，我们特编制了本《索迪斯数据保护政策（中国大陆地区）》。本《索迪斯数据保护政策（中国大陆地区）》介绍了我们采取的各种旨在保护您的个人信息的措施。同时我们还向您告知我们的联系方式，如您对数据保护事宜存有任何疑问，可与我们联系。

适用范围

《索迪斯数据保护政策 （中国大陆地区）》适用于索迪斯中国大陆地区各法人公司（以下简称为“索迪斯”）。

本政策适用于索迪斯直接或间接地从所有个体收集的个人信息的处理事宜。个体包括但不限于索迪斯当前、先前或潜在的求职者、员工、客户、消费者、儿童、供应商/供货商、承包商/分包商、股东或任何第三方。“个人信息”指的是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等，不包括匿名化处理后的信息。

在本政策中，“您”和“您的”系指涵盖的所有个体。“我们”、“我们的”和“索迪斯”指的是索迪斯中国大陆地区各个实体。

您的个人信息的收集和处理利用

遵守所有适用的法律法规

我们承诺遵守与个人信息相关的所有适用的法律。

合法性、公平性和透明性

如无合法的理由，我们不会收集或处理个人信息。为履行您作为一方当事人的合同所必需，或为了履行我们必须履行的法定职责或者法定义务，或（如有必要）在您事先同意的情况下，我们可能需要收集和处理您的个人信息。我们也可能为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全，或在合理范围内为公共利益实施新闻报道、舆论监督等行为而收集或处理您的个人信息。此外，我们也会在合理的范围内，处理或收集您自行公开或其他已经公开的您的个人信息。

收集和处理您的个人信息前，我们将向您发送一份清晰、全面的信息通知或隐私声明，向您说明谁将负责处理您的个人信息、处理您的个人信息的目的、接收人是谁、您享有哪些权利以及怎样行使这些权利等等，并征得您的事先同意，但根据相关规定无需征得您同意的情况除外。

当适用法律要求时，我们会寻求您的事先同意（比如：在收集任何敏感个人信息前）。

合法目的、限制和数据最小化

您的个人信息系将用于具体、明确和合法的目的，且不会以与该等目的不符的方式进行进一步的处理。

在索迪斯为了其自身的利益行事的情况下，您的个人信息将主要用于（但不限于）以下目的：招聘管理，人力资源管理，会计与财务管理以及相关控制与报告，财务，财务与税务管理，风险管理，员工安全管理，活动目录、IT工具或内部网站以及任何其它数字解决方案或协作平台的提供，IT支持管理，包括基础设施管理，系统管理，应用、健康与安全管理，信息安全管理，客户关系管理，投标，销售和营销管理，供应管理，内部和外部沟通和事件管理，遵守反洗钱义务或任何其它法律要求，数据分析操作，合法企业管理和合规流程的实施。

数据准确性和存储限制

索迪斯将确保经过处理的个人信息准确无误，并在必要时随时更新数据。此外，只有在为了实现收集目的而有必要的情况下我们才会保留个人信息，包括为了满足任何法律、会计或报告要求，或索迪斯需保存该等信息以对可能的法律主张进行回应或辩护，直至相关诉讼时效届满，或此类主张彻底解决。索迪斯将按照其客户的指示行事，以便协助客户遵守本项义务。如果您想了解更多我们数据保留政策中列明的关于您个人信息的特定保留期限，您可以发邮件至dpo.china@sodexo.com与我们联系。

在适用的保留期限届满时，我们将根据相关法律法规安全地删除您的个人信息。

您的个人信息的安全保障

我们将按照我们的《集团信息与系统安全政策》的规定，采取适当的技术和组织措施来保护个人信息，防止意外或非法修改或丢失个人信息，或未经授权使用、披露或访问个人信息。

在适当的情况下，我们按照“通过设计保护隐私（Privacy by design）”和“默认保护隐私（Privacy by default)”原则采用一切合理的措施，执行必要的保护措施并保护个人信息的处理。另外，我们还将开展隐私影响评估（具体视数据处理带来的风险等级而定），以便于采取适当的保护措施并保护个人信息。对于那些属于敏感个人信息的，我们还提供额外的安全保护措施。

您的个人信息的披露

在下列情况下，我们会共享您的个人信息：

• 为本政策所述之目的而与索迪斯实体共享；
• 为本政策所述之目的及我们所提供的服务，与第三方包括某些特定供应商共享；
• 为洗钱、恐怖主义融资检查以及其他欺诈和犯罪预防目的提供服务的公司，以及提供类似服务的公司，包括与之共享此类个人信息的金融机构和监管机构；
• 除法律法规强制性规定外，为确定、行使或对一项司法主张进行辩护，或为进行一项保密的争议解决流程，而与法院、执法机构、监管机构、政府部门或律师或其他各方共享；
• 与我们在索迪斯集团内部或外部、国内或国外的服务供应商（例如共享服务中心）共享，此类供应商将仅为上述目的且经根据我们的指示，代表我们处理个人信息；

如果我们出售或购买任何业务或资产，在这种情况下，我们可能会向此类业务或资产的潜在卖方或买方披露您的个人数据，我们将向其转让或更新我们的任何权利和义务。

 

个人信息的国际转移

如果我们向境外转移您的个人信息，我们将根据相关法律法规的要求，采取适当的措施，确保合法合规。

 

我们的某些网站使用“Cookies”，Cookies指的是在您访问特定网站时存储到您的电脑的硬盘驱动器上的小文本文件。我们可能使用Cookies来了解（例如）您以前是否曾经访问我们的网站或您是否属于新访客，以便于我们找出可以让您实现最大利益的特性。Cookies可以保存您在访问某些网站时的偏好设置，改善您的在线体验。

在访问我们的网站时，我们将告知您我们使用哪些类型的Cookies以及怎样禁用这些Cookies。如果法律提出了相关要求，那么您可以在访问我们的网站同时，随时拒绝在您的电脑上使用Cookies。如需了解更多内容，请详见我们的相关《Cookie政策》。

 

您的权利

索迪斯承诺保护您在适用法律下的各项权利。下表概述了您的各种权利。下表并非详尽的清单。适用法律法规和相关强制性文件中列明的其他权利（经不时修订）亦可能适用。

访问、更正和补充权	您可以请求访问我们所持有的您的个人信息，也可以请求更正不准确的个人信息，同时也可以将不完整的个人信息补充完整。
复制权	您可以合理要求我们提供我们所掌握的关于您的个人信息的副本，如技术允许，我们将会尽可能地向您提供该等副本。
提出异议的权利	如果拥有合法的理由，那么您可就您个人信息的处理向我们提出反对，但个人信息系按照适用法律的强制规定、或为履行特定合同之目的而必须处理的情况除外。
删除权	您可以请求删除我们所持有的您的个人信息。
改变授权范围	您可以通过本政策中列明的联系方式联系我们以改变或者撤回我们收集和处理您的个人信息的范围，当您撤回授权时，我们将不再处理相应的个人信息。请注意，您撤回授权的决定不会影响我们此前基于您的授权而开展的个人信息处理活动。如果您撤回的个人信息范围包含了我们为向您提供产品和/或服务而必须收集的个人信息，可能会影响您对相应产品和/或服务的正常使用。另外，对于我们为履行法律法规规定的义务而收集的个人信息，如果您要求改变您的授权范围，我们可能无法响应您的该项请求。
向监管机构投诉的权利	无论您是否受到损害，您都可以选择向相关监管机构提出投诉。 您还有权向索迪斯实体设有营业场所或您常住地所在的法院提出投诉。
不受自动化决策约束的权利	您有权不受仅基于对您有法律影响或有重要影响的自动化决策（包括分析）的约束。

 

您可以在任何时候行使上述权利，或就任何与数据保护相关的问题与我们联系：

填写申请表并将其发送至隐私声明和/或收集您的个人数据时提供给您的隐私政策中规定的通用电子邮件地址，或，

填写并提交专用申请网络表单；

 

有关更多详细信息，请参阅我们的《索迪斯数据保护权利管理政策（中国大陆地区）》。

 

儿童

儿童可能较少意识到与个人信息处理相关的风险、后果和保护措施以及他们与个人信息处理相关的权利，因此在个人信息方面儿童需要特殊的保护。此类特定保护尤其应适用于出于营销或创建个性或用户档案的目的而使用儿童的个人信息，以及在使用直接提供给儿童的服务时收集与儿童有关的个人信息。

索迪斯承诺遵守《儿童个人信息网络保护规定》及其他相关法律法规。未经儿童监护人的同意，我们不会收集和处理儿童的个人信息。特别是，除了经父母或监护人同意的特定服务外，我们不会向儿童推广或营销我们的服务。如果您认为我们错误地收集了儿童的个人信息，请使用下文的联系方式告知我们。

 

更新

随着业务的不断变化或法律要求的不断变化，我们可能不时更新本政策。如果需要对本政策做出任何重大变更，我们将于变更生效时在我们的网站上发布公告。在适当的情况下，我们将直接与您沟通与变更相关的信息。

 

联系我们

如果您对索迪斯收集和处理您的个人信息存有任何疑问，可以发送邮件至您的本地数据保护联系人：dpo.china@sodexo.com.

 

 

定义

 

投诉是指如果数据主体认为其在适用数据保护法律下所享有的权利受到侵犯，则数据主体向监管机构或法院提出的投诉。

个人信息控制者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

可适用的数据保护法是指适用于中国大陆地区的个人信息保护法律、法规和其他规范性文件，包括但不限于：《中华人民共和国民法典》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》 、《中华人民共和国数据安全法》、《中华人民共和国消费者权益保护法》、《儿童个人信息网络保护规定》等适用法律法规。

本地特别数据保护联系人指的是索迪斯实体任命负责处理本地数据隐私问题的人员。该联系人属于全球数据保护网络的组成部分。

个人信息指的是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等，但是不包括匿名化处理后的信息。

处理或个人信息的处理指的是对个人信息或个人信息集执行的任何操作或操作集（无论是否通过自动化方式），例如收集、记录、组织、结构化、存储、改编或更改、检索、查阅、使用、通过传输披露、传播或以其它方式提供、匹配或组合、限制、删除或销毁。

通过设计保护隐私指的是在启动涉及到个人信息处理的新数字项目或新业务机遇时，在定义处理方式和适当的相关技术和定义处理的组织安全措施阶段和执行处理阶段均将数据保护问题考虑在内。如果索迪斯希望与其它公司合并或收购其它公司，那么索迪斯应确保遵守各项数据保护原则，这一原则也同样适用。

默认保护隐私指的是相关人员应接受个人信息处理和流程执行培训，以确保每次处理数据时，均采取了适当的技术和组织措施，通过默认值确保仅处理各个特定目的所必要的个人信息（从处理的数据数量、处理的范围和数据保留角度来看）且仅限于需要知悉的有限数量的人员。

请求指的是可适用数据保护法向个人提供的机制之一，相关个人可以通过这一机制行使自己的各项权利（例如访问权、纠正权、删除权等）。个人可以向处理其个人信息的任何实体提出相应请求。

敏感个人信息指的是一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，包括但不限于身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下（含）未成年人的个人信息等。

索迪斯实体或各索迪斯实体指的是不时接纳为索迪斯集团成员的所有中国区公司、合伙企业或其它实体或组织。

监管机构是指适用的中国大陆法律法规中明确设立的独立公共机构。