处理者义务常见问题

1

常见问题

  1. 贵公司是否有公布的隐私须知/声明可供我们审查?
    • HP 的官方《隐私声明》可在所有 hp.com 网页上查看。可在此处查看带有几种语言选项的声明列表。 .

  1. 您是否保存了所有已开展活动的处处理记录?
    • HP 保存并不断更新其活动处理记录。我们采用了隐私管理和记录工具,以实施和保存许多合规活动的记录,包括处理记录、数据保护影响评估和隐私设计。

  1. 您会从哪些地理位置提供服务?您是否会将个人数据转移到欧洲经济区以外的任何国家?
    • HP 是一家全球性公司,我们的许多业务流程都采用全球运营模式。为了数据整合、存储和简化客户信息管理的目的,HP 可能会将收集到的个人数据进行跨州和跨国转移 。任何跨州或跨国的个人数据访问或转移都必须符合当地法律和合同要求。HP 参与了多项计划,可以将个人数据转移到 HP 在全球各地的实体。您可以通过访问《HP 隐私声明》了解更多关于我们参与这些计划的信息。 .

  1. 您的数据传输机制是否合法?
    • 与 GDPR 一致,HP 依靠经批准的机制进行数据转移。
      • 作为数据管理者,HP 已经批准了“约束性公司规章”,它旨在确保 HP 员工、供应商和消费者客户的个人数据在转移到任何 HP 公司时的安全性。HP 因其具有约束性公司规章,依然保持在欧盟数据保护局认可的全球不到 100 家公司之列。您可以在此处查看更多信息并验证 HP BCR。 .
      • 由 21 个经济体组成的亚太经济合作组织 (APEC) 实施了跨境隐私规则 (CBPR) 体系,该体系为整个地区的个人数据转移提供隐私保护。HP 隐私实践符合 APEC CBPR 体系,包括透明度、可靠性以及有关收集和使用个人数据的选择。您可以在此处查看有关 CBPR 的更多信息,并验证 HP 的参与。 .
      • HP 还根据欧盟/美国隐私盾进行了自我认证。您可以在此处查看有关隐私盾的更多信息,并验证 HP 的参与。 .
      • 您可以通过访问《HP 隐私声明》了解更多关于我们参与这些计划的信息。 .

  1. 您是否有指定的数据保护及隐私办公室主任或同等职位?
    • HP 隐私及数据保护办公室主任在隐私办公室的支持下,专门负责确保遵守 GDPR 以及全球其他隐私和数据保护法律。HP 隐私办公室的代表常驻欧盟,作为数据主体与欧盟数据保护局的联系点。

  1. 您是否拥有正式的安全事件管理计划,包括个人数据泄露?
    • HP 已建立并维持促进信息安全、物理安全和隐私意识的安全和隐私程序。
    • 安全事件 - 无论是物理、技术还是基于信息的安全事件 - 主要通过全球事件报告流程进行处理。在收到事件报告后,团队将其转交给 HP 内部的责任方,并且所有相关方均按照事故类型执行既定程序。这些程序提取自每份合同中的行业最佳实践、法律要求和基于客户的规范。
    • 网络安全事件的所有实例都将通过全天候在线支持流程向 HP 网络安全机构报告。HP 有正式的的上报流程来管理安全事件,但是,一般来说,一旦发生事件报告,HP 立即执行纠正措施协议,并开展彻底调查,确定是否发生了任何未经授权的访问。如果发现未经授权擅自访问个人数据,则事件将上报给 HP 隐私办公室、全球法律事务部和其他 HP 内部利益相关方,由他们就解决方案和通知作出决定。

  1. 您是否有能力协助您的客户处理任何数据主体请求,并且您是否拥有正式的流程来应对数据主体要求行使权力的状况?
    • 个人可以通过联系 HP 隐私办公室行使权利,提交隐私查询或发起投诉。 .
    • HP 在代表客户处理个人数据时会受到某些限制,HP 将协助其客户履行其义务,响应数据主体根据合同要求行使权力的请求。

  1. 贵公司是否有遵循贵公司运营所在管辖区的数据保护法律的数据隐私标准/政策?
    • HP 在隐私和数据保护方面长期处于行业领先地位;借助我们强大的产品、软件和安全服务组合,我们可以为客户提供个人数据保护并支持其合规性。HP 有解决个人数据安全性、访问和准确性问题的内部政策,并禁止在未采取适当措施的情况下共享个人数据。HP 将理解其客户的隐私和安全需求并建立以有助于满足合规需求的方式交付其产品和服务的流程视为重中之重。

  1. 贵公司是否为员工提供隐私培训?
    • HP 员工和临时工会接受年度商业道德培训,此类培训将隐私和数据保护作为关键组成部分。对于定期处理个人数据或“按需”为特定业务活动提供支持的某些工作职能,也可能需要额外的强制性培训。

  1. 在代表 HP 处理时,HP 的供应商是否有义务保护个人数据?
    • HP 要求包括供应商和合作伙伴在内的代表 HP 处理个人数据的第三方必须根据合同要求,保护其从 HP 收到的任何个人数据,并不得出于履行 HP 指示的服务以外的任何目的使用此类个人数据。HP 还为处理 HP 或 HP 客户数据的供应商实施了基于风险的合规性评估。

  1. 您是否在开发系统和产品的过程中实施了隐私设计和数据隐私影响评估?
    • 我们在运营中加强了隐私设计,确保所有 HP 产品、服务、网站、系统和应用程序仅在仔细考虑隐私影响后才设计和实施。另一个至关重要的流程是数据保护影响评估,通过数据保护影响评估,我们可以评估个人权利的风险并记录某些处理活动的决策。

  1. HP 正采取什么样的行动来为我们的客户提供个人数据保护并解决他们的合规问题?
    • 我们针对我们为客户处理的数据应用安全措施。作为印刷和个人系统的管理和技术服务提供商,HP 致力于履行我们的义务并保护我们为客户处理的任何个人数据。我们正致力于使我们的几件客户服务产品达到 ISO 27001 认证标准,包括扩大我们的认证范围到纳入“文印管理服务”和“设备即服务”产品。
    • HP 还实施了一个隐私控制框架,其中包含 100 多起与 GDPR 合规性相关的独立活动。该控制框架为我们隐私和数据保护计划的核心。控制框架已由独立第三方根据法律要求和行业标准进行审查。

5

相关链接: