處理商責任常見問題

1

常見問題

  1. 貴公司是否有已公佈的私隱權公告示/聲明可供我們審閱?
    • HP 的官方《私隱權聲明》載於所有 hp.com 的網頁上。你可在這裡找到聲明列表,並提供幾種語言選擇。 .

  1. 你是否為所有進行的活動保存處理記錄?
    • HP 保存並不斷更新其處理活動的記錄。我們實施私隱權管理,並執行記錄保存工具,以開始運作和保存許多合規活動的記錄,包括處理記錄、資料保護影響評估及貫徹私隱權的設計。

  1. 你會從哪些地理位置提供服務?你是否將個人資料轉移至歐洲經濟區以外的任何國家?
    • HP 是一家全球性公司,我們有許多業務程序均利用全球運作模式。為了整合數據、儲存和簡化客戶資料管理的目的,向 HP 提交的個人資料可能會跨越州份和國界轉移。任何跨越州份或國界存取或轉移的個人資料,必須符合適用的當地法律和合約要求。HP 參與了數項計劃,可以將個人資料進行國際轉移,傳輸至全球的 HP 機構。通過瀏覽《HP 私隱權聲明》,你可以了解更多關於我們參與這些計劃的資訊。 .

  1. 你依賴合法的資料轉移機制嗎?
    • HP 依賴認可的資料轉移機制,符合《一般資料保護規例》(GDPR) 規定。
      • HP 作為資料控制者,制定了認可的《企業約束規則》,旨在提供充分保證,確保 HP 員工、供應商及消費者客戶的個人資料在轉移至任何 HP 公司時得到保障。全球只有少於 100 間公司獲歐盟資料保護機構認可,憑著我們的企業約束規則,HP 仍然佔有其中一個席位。你可在這裡找到更多資料並驗證 HP 的《企業約束規則》(BCR)。 .
      • 21個經濟體的亞太經濟合作組織 (APEC) 實施跨境私隱規則 (CBPR) 機制,為整個地區的個人資料轉移提供私隱權保護。HP 的私隱權措施符合 APEC 機制規定,包括有關收集及使用個人資料的透明度、問責性及選擇。你可在這裡找到更多有關 CBPR 的資料,並驗證 HP 的參與。 .
      • HP 更根據歐盟/美國私隱權盾協議進行自我認證。你可在這裡找到更多有關私隱權盾的資料,並驗證 HP 的參與。 .
      • 通過瀏覽《HP 私隱權聲明》,你可以了解更多關於我們參與這些計劃的資訊。 .

  1. 你有沒有指派一名資料保護及私隱權主任或同等職位的人士?
    • HP 私隱權及資料保護總監在私隱權辦公室支持下,專責確保公司遵守全球 GDPR 及其他私隱權和資料保護法。HP 私隱權辦公室的代表位於歐盟,作為資料當事人及以歐盟為基地的資料保護機構的聯絡點。

  1. 你是否有正式記錄的保安事故管理計劃,包括個人資料外洩?
    • HP 建立並維持保安及私隱權程序,用以促進資訊安全、人身安全及私隱意識。
    • 保安事故 - 無論是人身、技術性還是基於資訊方面 – 均主要通過全球事故報告程序處理。在收到事故報告後,團隊將其轉交予 HP 內部的有關負責人,而各方人士均需按照每件事故的既定程序處理。這些程序取自每份合約中的業界良好作業守則、法律要求及基於客戶的規範。
    • 所有網絡安全事故情況都會通過全天候網上支援程序向 HP Cybersecurity 報告。HP 設有一個提供文件記錄的升級處理程序處理安全事故,不過一般來說,一旦接獲事故報告,HP 便會立即執行修正行動規約,並進行徹底調查,以確定是否發生未經授權的存取。如果發現有人未經授權存取個人資料,有關事故便會升級處理,由 HP 私隱權辦公室,全球法律事務部及其他 HP 內部持份者對解決和通知方式作出決定。

  1. 你的職位是否能夠協助客戶處理任何資料當事人的要求,並且有沒有保存正式記錄程序處理資料當事人行使他們的權利?
    • 個人可以行使他們的權利,通過聯絡 HP 私隱權辦公室,提交私隱權查詢或提出投訴。 .
    • 在 HP 代表客戶處理個人資料的情況下,除受某些限制外,HP 將協助客戶履行他們的責任,並根據合約要求,回應尋求行使其權利的資料當事人所提出的訴求。

  1. 貴公司是否制定了符合貴公司營運的司法管轄區所適用資料保護法的私隱權標準/政策?
    • HP 在私隱權和資料保護方面,擁有歷史悠久的行業領導地位;加上我們強大的產品、軟件及保安服務組合,我們可以支援客戶在保護個人資料及處理方面的工作,同時處理公司本身的合規事宜。HP 制定了處理個人資料安全性、存取及準確性的內部政策,並禁止在未採取適當步驟下分享個人資料。HP 將了解其客戶的私隱權及保安要求視為優先處理事項,並建立有助以滿足其合規需要的方式交付產品和服務的程序。

  1. 貴公司是否為你的員工提供私隱權培訓?
    • HP 員工及臨時工每年均會接受商業道德培訓,將私隱權和資料保護作為重要一環。對於某些定期處理個人資料或按需要支援特定業務活動的工作職能,也可能要接受額外的強制性培訓。

  1. HP 的供應商代表 HP 處理個人資料時,是否必須保護這些資料?
    • HP 要求包括供應商和合作夥伴在內,代表 HP 處理個人資料的第三方必須按照合約規定保護從 HP 獲得的任何個人資料,除了執行由 HP 指示的服務外,禁止使用個人資料作任何用途。HP 更為處理 HP 或 HP 客戶資料的供應商執行基於風險的合規性評估。

  1. 你是否在開發系統和產品時執行貫徹私隱權的設計及資料私隱權影響評估?
    • 我們在業務中加強貫徹私隱權的設計,以確保所有 HP 產品、服務、網站、系統及應用程式只會在深思熟慮對私隱權的影響後才會設計和執行。另一個至關重要的程序是資料保護影響評估,我們可以通過它評估對個人權利的風險,並記錄某些處理活動的決策。

  1. HP 如何支援我們的客戶在保護個人資料及處理本身合規問題方面的工作?
    • 我們為客戶處理有關資料時應用保安措施。HP 作為打印及個人系統的管理和技術服務供應商,致力履行我們的責任,並且保護我們為客戶處理的任何個人資料。我們現正推出幾項客戶服務,以符合 ISO 27001認證標準,包括擴大我們認證的範圍,納入託管打印服務及「裝置即服務」。
    • HP 還實施了一個私隱權控制框架,其中包含超過 100 項與 GDPR 合規性相關的獨立活動。這個控制框架是我們私隱權和及資料保護計劃的核心。控制框架已由獨立第三方根據法律要求和行業標準進行審查。

5

相關連結: