版本 2
本數據處理協議(「本協議」)闡釋 Willis Towers Watson 代表其客戶、消費者或被授權人(統稱「客戶」)處理個人資料的方式。
本協議構成 Willis Towers Watson 實體與客戶之間明確達成任何協議的一部分(「協議」)。如本協議使用的術語在本協議相關的亞洲及澳洲國家/地區(「相關國家」)私隱法律中有所定義,則該等私隱法律所載的定義適用。
處理個人資料的 Willis Towers Watson 實體為與客戶簽訂協議的實體(「Willis Towers Watson 相關實體」)。本協議載列 Willis Towers Watson 相關實體的聯絡資料。如需根據相關國家的私隱法律委任數據保護主管,則可透過 Willis Towers Watson 相關實體取得數據保護主管的聯絡資料。
如有任何要求或意見,包括客戶或資料當事人針對相關國家私隱法律所享有的任何權利,請向 Willis Towers Watson 相關實體提出。
在大部分情況下,客戶或資料當事人亦可把意見提交予相關國家的數據保護機構。
數據處理
針對由 Willis Towers Watson 相關實體代表客戶處理的個人資料(見附件 1),Willis Towers Watson 相關實體將遵守下方要求:
有限使用。 Willis Towers Watson 相關實體僅按照客戶不時發出的書面指示或法律另有要求的方式處理個人資料,以提供相關服務。
保密性。 Willis Towers Watson 相關實體將對個人資料保密,並要求 Willis Towers Watson 相關實體人事按照本協議要求處理個人資料,以保護所有個人資料。
資料安全計劃。 Willis Towers Watson 相關實體將保存書面資料安全計劃,當中載列適當的管理、技術及實體保障措施,以保護個人資料免受預期威脅或危害,保護資料安全、保密及完整。該資料安全計劃將定期接受審核。
協助
就數據處理性質及可用資料,Willis Towers Watson 相關實體將:
- I. 提供合理協助幫助客戶履行其義務,回應個別人士根據相關國家私隱法律行使其權利而提出的任何要求。在相關私隱法律允許的範圍內,或不提供此等協助。舉例而言,如果相關協助可能導致披露與另一資料當事人有關的資料,或該披露行為可能妨礙任何調查;及
- II. 相關國家私隱法律明確要求:
- 協助客戶履行其義務,向客戶提供其合理要求取得的所有資料,以協助客戶證明其遵守相關國家私隱法律訂明的義務;
- 如客戶認為某指令違反相關國家的私隱法律,則立即通知客戶。
Willis Towers Watson 相關實體可就上述協助收取合理費用,除因其本身的作為或不作為而需要直接協助,則在此等情況下,此類協助所涉開支將由 Willis Towers Watson 相關實體承擔。
審計。 Willis Towers Watson 相關實體允許客戶或客戶指定的另一名審計員,就協議訂明及/或相關國家私隱法律規定的私隱義務進行審計,並協助審計工作。客戶應提前三十(30)天向 Willis Towers Watson 相關實體提出任何審計要求通知,並且雙方應就雙方可接受的審計時間及範圍達成協議。客戶不得進行會損害 Willis Towers Watson 相關實體對任何其他客戶及消費者保密義務的審計。此外,如客戶希望提名另一名審計員進行審計,則須確保該審計員按 Willis Towers Watson 相關實體合理要求的形式,與 Willis Towers Watson 相關實體達成保密協議。Willis Towers Watson 相關實體可能會就因提供此類協助而產生的所有合理費用及開支徵收費用。
通知。 如出現相關國家私隱法律所定義的已確認資料外洩情況,以及任何其他已確認的違反安全行為,導致本協議範圍內處理的個人資料遭意外或非法銷毀、遺失、更改、未經授權披露或讀取,Willis Towers Watson 相關實體將立即通知客戶。
退還或棄置。 客戶可指示 Willis Towers Watson 相關實體在處理客戶個人資料期限結束時,刪除或退還個人資料,如附件 1 所述。惟在某些情況下,Willis Towers Watson 相關實體在合法業務及/或合法目的必要範圍內,把個人資料存檔。
次處理
客戶明白 Willis Towers Watson 相關實體可根據本協議使用次處理服務供應商來提供服務。Willis Towers Watson 相關實體將維持主要負責履行其在本協議中的義務。
匿名及假名數據
客戶知悉,出於整合資料報告及(趨勢)研究目的,服務涉及假名化及匿名化資料處理程序,並且同意 Willis Towers Watson 相關實體可出於自身業務目的而使用假名及匿名數據;Willis Towers Watson 相關實體亦將遵守有關此類資料處理之所有適用的數據保護法律。
資料傳輸
客戶確認 Willis Towers Watson 相關實體可把客戶個人資料傳輸至其在相關國家內外的關聯機構及次處理服務供應商,作提供支持及備份目的。相關關聯機構及次處理服務供應商名單可向 Willis Towers Watson 相關實體取得,並且在可行範圍內,Willis Towers Watson 相關實體將告知客戶此等數據接收者可能所在的國家/地區。Willis Towers Watson 相關實體已制定保護措施,以最少與相關國家法律相當的水平來保護相關的個人資料傳輸。
附件 1——個人資料處理說明
1. 主要內容、性質及目的
所有資料處理活動(包括收集、組織及分析個人資料)均為合理必要,以促進或支持本協議所述之服務供應。
如客戶/資料當事人拒絕允許 Willis Towers Watson 相關實體處理個人資料,則此等拒絕行為可能對本協議所述之服務供應構成不利或阻礙。此外,不論客戶/資料當事人的意願如何,Willis Towers Watson 相關實體可能會在法律容許/要求的情況下處理個人資料。
2. 處理及保留個人資料期限
只要 Willis Towers Watson 相關實體為客戶提供服務,便會處理個人資料,並且在該日期過後,在合法業務及/或合法目的必要範圍內,把個人資料存檔。
3. 個人類別
資料當事人或包括在 Willis Towers Watson 相關實體提供服務的任何保單或計劃中指定的個人及/或該等保單或計劃的受益人、提出索償者或以其他方式涉及其中的人士。最常見的資料當事人包括:(1) 員工、承辦商及客戶的其他僱員(「僱員」)及/或其家屬、代表和其他與僱員有關的人士;(2) 客戶過去、現有及潛在客戶及/或其員工或其他與之有關的人士,及/或其家屬、代表和其他與之有關的人士;及/或(3) 與任何保單有關的過去、現有或潛在投訴人或索賠人,及/或其家屬、代表和其他與之有關的人士。
4. 個人資料種類
本協議所述之服務可能涉及處理以下種類的個人資料:
- 姓名及聯絡方式,包括但不限於住址和電話號碼;
- 人口統計資料(例如性別、年齡、出生日期、婚姻狀況、國籍、教育/工作經歷、學歷/專業資格、職業詳情、興趣、家庭結構及受養人);
- 員工身份證號碼;
- 與服務供應有關的資料,例如保單資料及索賠資料,包括與引起索賠及相關損失事件有關的資料;
- 系統用戶憑證,包括但不限於電郵地址、用戶名稱及密碼;及
- 人力資源資料,例如職位及職務;福利和薪酬資料;受養人/受益人資料;教育、學術及專業資格資料;緊急聯絡資料;以及績效管理資料。
5. 較敏感的資料種類:
Willis Towers Watson 相關實體處理的個人資料可能包括以下數個種類:性質敏感的個人特徵及情況資料,例如種族或族裔、性生活或性取向、心理和身體健康、基因遺傳資料、受傷詳情、所接受的藥物/治療、生活方式(例如吸煙和飲酒習慣),以及犯罪記錄、罰款及其他類似的刑事記錄、個人身份證明文件和相關資料(例如護照號碼)、財務和款項資料(例如銀行帳號及交易資料)。
