最後更新日期:2022年1月4日
您的私隱對我們很重要。我們制定《索迪斯數據保障政策(中國香港地區)》,目的是讓您了解我們如何收集、使用、存儲、共享、傳送、轉移或以其他方式處理(統稱為「處理」)您的個人資料。《索迪斯數據保障政策(中國香港地區)》概述我們為確保您的個人資料得到保護而採取的措施。我們亦會告知您我們的聯絡方式,以解答您任何有關數據保障方面的問題。
適用範圍
《索迪斯數據保障政策(中國香港地區)》適用於所有在香港的索迪斯實體。
本政策適用於索迪斯從所有人士直接或間接收集的個人資料的處理,包括但不限於索迪斯目前、過去或未來的求職者、員工、客戶、消費者、兒童、供應商/供貨商、承包商/分包商、股東或任何第三方,而「個人資料」被定義為(a)直接或間接與一名在世的個人有關的;(b)從該資料直接或間接地確定有關的個人的身份是切實可行的;及(c)該資料的存在形式令予以查閱及處理均是切實可行的。
在本政策中,「您」及「您的」指的是任何在適用範圍內的人士。「我們」、「我們的」及「索迪斯」是指在香港的索迪斯實體。
個人資料的收集及處理
遵守數據保障條例及任何其他適用數據保障法律
我們致力遵守《數據保障條例》及任何與個人資料相關的適用法律,確保按照《數據保障條例》及其他適用的法律條文收集及處理個人資料(如有)。
合法、公平及透明
我們不會在沒有合法理由的情況下收集或處理個人資料。在我們為履行您作為其中一方的合約所必需的範圍內,或我們須要遵守我們受制於或被要求的法律義務,我們可能會收集及處理您的個人資料,並會事先徵求您的同意,以及適用數據保障法下列明的其它合法理由。
在收集及處理您的個人資料時,我們將向您提供公平及完整的資料通知或私隱聲明,以交代負責處理您的個人資料的人士、處理您的個人資料的目的、資料接收者、您的權利及此等行使權利的方式等,除非此等行動實屬不可行或需要不相稱的努力,則作別論。
在適用法律要求下,我們將事先徵得您的同意(例如在收集我們認為敏感的任何個人資料之前)。
合法目的、限制及最低限度資料
您的個人資料是為特定、明確及合法的目的而收集,我們不會以與這些目的不相符的方式作出進一步處理。
當索迪斯為其本身目的行事時,處理您的個人資料主要是為了但不限於以下目的:招聘管理、人力資源管理、會計及財務管理及有關監控及報告、財務、庫務及稅務管理、風險管理、員工安全管理、提供活動目錄、IT工具或內部網站及任何其他數碼解決方案或協作平台、IT支援管理(包括基礎設施管理、系統管理、應用程式、健康及安全管理、資料安全管理)、客戶關係管理、投標、銷售及營銷管理、供應管理、內部及外部通訊及活動管理、遵守反洗黑錢義務或任何其他法律要求、資料分析操作、合法的公司管理及合規流程的實施。
資料準確性及存儲限制
索迪斯會維持須處理的個人資料的準確性,並在必要時確保資料是最新。此外,我們只會在為達到收集個人資料目的所需時間內保留該等資料,包括為符合任何法律、會計或報告要求的目的,以及為索迪斯提出或抗辯法律索償所需,直至有關保留期結束或有關索償得以解決為止。如想了解更多有關我們在數據保留政策中為您的個人資料規定的特定保留期的詳情,請電郵至dpo.hk@sodexo.com與我們聯絡。
在適用的保留期過後,我們將根據適用的法律及規定安全地銷毀您的個人資料。
保障個人資料的安全
根據我們的「集團資料及系統安全政策」,我們實施適當的技術及組織措施,以免個人資料遭意外或非法更改或遺失,或防止未經授權的使用、披露或查閱。
在適當的情況下,我們會根據「貫徹私隱設計」及「預設私隱」原則採取一切合理措施,以實行必需的保障行動及保護個人資料的處理。視乎處理資料涉及的風險程度而定,我們亦會進行私隱影響評估,以採取適當的保障措施,確保個人資料得到保護。我們亦會為我們認為敏感的個人資料提供額外的安全保障。
個人資料的披露
在以下情況,我們會分享您的個人資料:
- 為本政策所述目的與索迪斯實體合作;
- 與索迪斯客戶或潛在客戶(主要是學校、醫院及銀行)就本政策中描述的目的進行招標;
- 與第三方(包括我們保留的若干服務供應商)就本政策所述目的及我們提供的服務進行合作;
- 與為洗黑錢及恐怖分子融資檢查及其他欺詐及預防犯罪目的提供服務的公司以及提供類似服務的公司合作,包括與之分享有關個人資料的金融機構及監管機構;
- 與法院、執法機構、監管機構、政府官員或律師或其他方合作,分享資料屬建立、行使或抗辯法律或衡平法的索償所必需及合理之舉,或為了進行機密的替代爭議解決程序;
- 與我們在索迪斯內部或外部、國內或國外(例如共享服務中心)委託的服務供應商合作,代表我們並僅根據我們的指示,為上述目的處理個人資料;
- 如我們出售或購買任何業務或資產,在這種情況下,我們可能會向該業務或資產的潛在賣方或買方披露您的個人資料,且我們向其轉讓或更新我們的任何權利及義務。
個人資料的境外轉移
除非在特定情況,否則《數據保障條例》不允許將個人資料轉移至香港以外地方。如將您的個人資料轉移至香港以外地方, 我們必須採取一切合理預防措施及進行所有調查,以確保有關資料的處理不會被視為違反《數據保障條例》的規定。
對於將您的個人資料傳輸到此類國家或地區,無論是傳輸到索迪斯內部還是外部的實體,索迪斯已經製定了充分的保護措施來保護您的個人數據。 在通過適當的私隱聲明收集您的個人數據時,您將獲得更多有關您的個人數據在香港境外轉移的資訊。
如有意了解詳情,請電郵dpo.hk@sodexo.com與我們聯絡。
COOKIES
我們部分網站可能會使用「Cookies」。Cookies是當您瀏覽某些網站時,將其置於電腦硬件上的文本部分。例如,我們可能會使用Cookies以得知您以前曾經瀏覽我們的網站,或者您是我們網站的新訪客,Cookies可讓我們知道您最感興趣的部分。Cookies可在您瀏覽網站時保存您的選項,從而提升您的網上體驗。
當您瀏覽我們的網站時,我們會告知我們使用的Cookie類型,以及如何禁用其中的Cookies。在法律要求的情況下,您可瀏覽我們的網站並拒絕在任何時候在您的電腦使用Cookies。有關詳情,請參閱我們的Cookies政策。
您的權利
索迪斯致力確保您的權利在適用法律下得到保護。下表概述您的各種權利。下表並非詳盡的清單,其他在適用法律、規例及其他相關文件訂明的其他權利(經不時修訂)亦可能適用。
Right of access and rectification 查閱及更正的權利 |
You have the right to make a “data access request” pursuant to the Data Protection Law. This right enables you to request a copy of the Personal Data we hold about you. You may also request rectification of inaccurate Personal Data after you have been provided with a copy of your Personal Data following a data access request. 根據《數據保障條例》,您有權提出「查閱資料要求」。此權利允許您要求一份由我們持有您的個人資料的副本。在提出查閱資料要求及收取個人資料的副本後, 您亦可要求更正不準確的個人資料。 |
Right to opt out from direct marketing activities 選擇退出直接營銷活動的權利 |
We are required to notify you and obtain your consent before using your Personal Data in any direct marketing activities or transferring your data to a third party for direct marketing activities. 我們在進行任何直接營銷活動或將您的資料轉交第三方以進行直接營銷活動之前,必須事先通知您並獲得您的同意。
We will not provide your personal data to third parties for direct marketing or other unrelated purposes without your consent. 未經您同意,我們不會將您的個人資料提供予第三方以作直接營銷或其他不相關的用途。 |
Right to lodge a Complaint 提出申訴的權利 |
You can choose to lodge a Complaint with the Commissioner, in compliance with the Data Protection Law. A complaint must be in writing in Chinese or English and must specify the act or practice complained of and the data user involved. 根據《數據保障條例》,您可選擇向專員投訴。投訴必須以中文或英文填寫,並應具體說明被投訴的作為或行為,以及所涉及的個人資料使用者。
Please visit the website of the Office of the Privacy Commissioner for Personal Data, Hong Kong at the following address: https://www.pcpd.org.hk/tc_chi/complaints/introduction/introduction.html for the various complaint channels available. 有關各種投訴渠道,請瀏覽香港個人資料私隱專員公署網頁:https://www.pcpd.org.hk/tc_chi/complaints/introduction/introduction.html。
You have also the right to lodge your Complaint before the courts where the Sodexo entity has an establishment or where you have your habitual residence. 此外,您有權在索迪斯實體所在地或您慣常居住地的法院提出申訴。 |
您可以在任何時候行使上述任何權利,或就任何與數據保障相關的問題與我們聯系:
填寫申請表並將其發送至私隱權聲明和/或收集您的個人數據時提供給您的私隱政策中規定的通用電子郵寄地址或,填寫並提交專用申請網絡表單;
有關更多詳細資訊,請參閱《索迪斯數據保障權利管理政策(中國香港地區)》。
兒童
兒童在個人資料方面應受到特別保護,因為他們對於有關風險、後果及保障措施及他們在處理個人資料方面的權利未必充份了解。這種特殊的保護措施應特別適用於向兒童進行營銷、建立個人或用戶檔案時的個人資料的使用,以及直接向兒童提供服務時的個人資料的收集。
未經負有家長責任人士的同意,我們不會收集或處理兒童的個人資料。尤其是,除非是特定的服務及獲得負有家長責任人士的同意,否則我們不會向兒童進行服務推廣或營銷。如您認為我們錯誤地收集了兒童的個人資料,請以下列聯絡方式通知我們。
更新
隨著我們的業務轉變或法律要求改變,我們可能會不時更新本政策。如我們對本政策有任何重大變更,我們將在有關改變生效時在我們的網站作出通知,並在適當情況下直接通知您有關更改。
聯絡我們
如您對本政策有任何疑問、意見或要求,請通過以下電郵地址聯絡您當地數據保障單一聯絡人:dpo.hk@sodexo.com。
定義
專員是指根據《數據保障條例》第5(1)條設立的個人資料私隱專員。
投訴是指資料當事人根據《數據保障條例》第37條作出的投訴。
資料使用者,即就個人資料而言,指單獨或與其他人聯合或共同控制資料的收集、持有、處理或使用的人士。
數據保障條例是指《個人資料(私隱)條例》(香港法律第486章)及其他適用於香港的數據保障條例及規例。
香港是指香港特別行政區。
當地數據保障聯絡人是指索迪斯機構指定負責處理本地資料私隱問題的人員。該聯絡點是全球數據保護網絡的一部分。
個人資料是指:(A)直接或間接與一名在世人士有關的;(B)從該資料直接或間接地確定有關的個人的身分是切實可行的;以及(C)該資料的存在形式令予以查閱及處理均是切實可行的。
處理或處理個人資料是指就個人資料而言,包括將資料修訂、擴增、刪去或重新排列(不論是否藉自動化方法或其他方法)。
貫徹私隱設計是指,當展開新的數碼項目或新的業務機會時,並涉及到個人資料的處理,就需要在定義處理方法及相關合適的技術及組織安全措施以及進行處理時,考慮數據保障的問題。同樣的原則亦適用於索迪斯計劃併購一家公司時,必須確保數據保障原則得以遵守。
預設私隱是指有關人員應接受處理個人資料及執行程序的培訓,以確保在每一次處理個人資料時,應採取適當的技術及組織措施,以確保(作為預設安排)只有就各特定目的而言屬必需的個人資料才會獲得處理(就處理的資料量、處理的範圍及資料保留而言),並且僅須讓有需要知道的有限數量人士查閱。
要求是指《數據保障條例》向個人提供的一種機制,讓他們可行使自己的權利(如查閱權、更正權等)。他們可向任何處理其個人資料的對象提出要求。