全球隐私政策

我们努力确保您的个人数据得到保护并且由Avaya妥善处理和使用。
无论现在还是将来,都始终如一。

本Avaya全球隐私政策(以下简称“政策”)规定了Avaya[1]在““处理””[2]“个人数据”时为遵守数据保护法律而采取的方法。[3]本《政策》无意取代可能适用于业务部门或业务职能的任何特定数据保护要求。若各地法律法规对个人数据的收集、使用和披露做出的其他限制性规定超出了本《政策》中的相关内容,则应以当地法律法规为准。

本政策描述了我们如何根据Avaya的数据保护标准和隐私保护法律法规的要求处理个人数据。有关Avaya的个人数据处理活动的说明和/或指南将在内部政策中提供给Avaya的员工和承包商。

何为《数据保护法》?

《数据保护法》赋予个人与其个人数据处理方式相关的特定权利。若组织不遵守《数据保护法》,该组织可能会受到国家数据保护机构和法院的制裁和处罚。Avaya在处理个人数据时,此活动和相关的个人数据受《数据保护法》的保护和监管。

当组织出于自己的目的处理个人数据时,该组织即为该信息的“数据控制方”,因此须承担遵守数据保护法律项下法律要求的主要责任。

而当组织代表第三方处理个人数据(例如代表Avaya的客户托管的内容)时,该组织即为信息的“数据处理方”。在这种情况下,个人数据的相关数据控制方(即Avaya的客户)需承担遵守法律要求的主要责任。

 

Avaya个人数据处理活动的透明度

本政策与约束性企业规章:控制方和处理方政策(经欧洲数据保护机构批准)描述了在Avaya处理个人数据的一般惯例。

Avaya始终承诺确保所有个人数据处理活动的透明,并遵守所有适用的隐私保护法律法规。由于产品和服务的范围十分广泛,这一工作是通过各种隐私声明/隐私资料册进行的。Avaya根据其承担的角色(数据控制方还是数据处理方),采取分层方法确保其客户和/或数据主体(如适用)对相关个人数据处理活动全面知情。当Avaya是数据控制方时,它通过适用的临时隐私声明履行其透明义务(例如Avaya收集和持有的个人数据类型;Avaya收集和持有个人数据的方式;Avaya收集、持有、使用和披露个人数据的目的等);Avaya是数据处理方时,它将信息提供给客户(数据控制方)以便客户能够履行其透明义务。

除非另有约定或在更具体的隐私声明或隐私资料册中另有规定,否则Avaya将在业务过程中会将个人数据传输至海外,以利用其国际资源(包括关联公司和可信的第三方),以提供所需的解决方案或以其他方式处理我们的业务。这意味着,不论是作为数据控制方还是数据处理方,提供给Avaya的个人数据都将进行国际传输。这包括以下各种类型的个人数据:(i) Avaya为了达成和管理与客户之间的协议而处理的个人数据(例如业务联系人数据和其他信息),以及我们自己员工的个人数据,以及(ii)为了提供我们的解决方案而需要的个人数据(在各种隐私保护法律下通常视为“代为处理”)。后者主要来源于与我们客户的合同安排,尤其客户对Avaya所提供解决方案的个人使用(以及在解决方案中输入的信息)。这些类型的个人数据通常包括姓名、联系方式(公司、职务/职位、电子邮件地址、电话号码、实际地址)、连接数据、位置数据、视频/通话(录音)数据以及相应衍生的元数据等。有关相关Avaya解决方案中隐私保护的进一步信息,请参阅相关的产品/服务描述、产品隐私声明/隐私资料册我们产品内的隐私页面。

《数据保护法》对Avaya的国际发展有何影响?

许多国家/地区都有关于个人数据国际传输方面的立法。例如,欧洲数据保护法律禁止向无法提供充分数据保护的非欧洲国家/地区传输个人数据,除非数据输出实体实施了该法律规定的一种合同或法律机制。[4]Avaya开展业务的某些国家和地区未被欧洲数据保护机构视为在个人隐私和数据保护权利方面提供了充分的保护。

Avaya采取了何种措施?

Avaya必须采取适当的措施确保以安全和合法的方式在国际上处理个人数据。Avaya已实施相关流程和控制措施来遵守这些要求。Avaya已获得欧洲数据保护机构的批准,并采纳了全球约束性企业规章:控制方和处理方政策,其中规定了满足数据保护法律要求的框架(通过引用将这些政策纳入本政策,并构成本政策的组成部分,包括这些政策的附录,例如“数据主体权利程序”“投诉处理程序”“合作程序”“执法数据访问程序”等)。这些框架适用于Avaya在全球范围内开展的所有个人数据处理活动。

Avaya约束性企业规章:控制方政策

《Avaya约束性企业规章(控制方政策)》中描述的标准属于全球性标准,适用于为了开展Avaya的业务活动、雇佣关系管理和供应链管理而处理任何个人数据的所有“集团成员”[1]。下面总结了Avaya作为数据控制方对个人数据进行处理时必须遵守的基本数据保护规则和实践承诺。上述政策详细描述了它们。

基本规则

原则1 – 合法处理原则

  • Avaya将确保所有的处理活动均依法进行。

原则2 – 公正透明原则

  • Avaya将在收集个人数据时向有关个人告知并解释将如何处理其个人数据。

原则3 – 符合目的原则

  • Avaya仅应出于有关个人已知或符合其预期且与Avaya相关的目的获取和处理个人数据。
  • Avaya仅应出于具体、明确且合法的目的处理个人数据,且不能以不符合这些目的的方式进一步处理个人数据,但相关的进一步处理符合个人数据收集地国家/地区适用法律的除外。

原则4 – 数据最低必要性和准确性原则

  • Avaya应确保个人数据准确、最新。
  • Avaya将仅处理对处理目的而言充分、相关且必要的个人数据。

原则5 – 有限保留个人数据原则

  • Avaya仅在对于数据收集和进一步处理的目的而言必要的期限内保留个人数据。

原则6 – 安全、完整和保密原则

  • Avaya将实施恰当的技术和组织措施,确保个人数据的安全级别与个人权利和自由所面临的风险相适应。
  • Avaya应确保Avaya的服务提供商同样采取适当和同等的安全措施。
  • Avaya应遵守适用法律规定的数据安全泄密通报要求。

原则7 – 尊重个人权利原则

  • Avaya将遵守数据主体权利程序,并根据适用法律的要求响应个人查阅其个人数据的任何请求。
  • Avaya应根据数据主体权利程序处理有关更正或删除个人数据、行使数据可携带权、限制或反对处理个人数据的请求。 

原则8 – 确保为跨境传输提供充分保护原则

  • 如果无法确保为数据提供充分的保护,Avaya不得将个人数据传输到欧洲以外的第三方。

原则9 – 保护对敏感个人数据的使用原则

  • Avaya将仅在获得有关个人明确同意后才处理敏感个人数据,但个人数据收集地国家/地区的适用法律为Avaya提供了其他合法依据的除外。

原则10 – 合法开展直接营销原则

  • Avaya应允许客户选择停止接收营销信息。

原则11 – 用户画像等自动化个人决策

  • Avaya应确保建立适当的控制机制,以遵守有关个人有权不受仅基于自动化处理(包括用户画像)的决策约束的适用法律和政策,但法律授权的自动化处理除外。

原则12 – 责任明确原则

  • 在处理可能给有关个人带来高风险时,Avaya应进行数据保护影响评估。
  • Avaya应建立由其负责的数据处理活动的记录。
  • Avaya应为新系统和应用程序执行设计隐私和默认隐私。

实践承诺

承诺1 – 人员配备和支持

  • Avaya应配备适当的人员和支持,以确保并监督整个企业的隐私合规性。

承诺2 – 隐私保护培训

  • Avaya应根据其《约束性企业规章(控制方政策)》附录4中规定的隐私培训计划,向会永久或定期访问个人数据、参与个人数据处理或开发个人数据处理工具的员工提供适当的隐私保护培训。

承诺3 – 审计

  • Avaya应检查是否符合上述原则,并应根据其《约束性企业规章(控制方政策)》附录5中规定的审计方案定期开展数据保护审计。

承诺4 – 投诉处理

  • Avaya应确保个人能够行使投诉权利,并将根据其《约束性企业规章(控制方政策)》附录6中规定的投诉处理程序来处理相关投诉。

承诺5 – 与数据保护机构合作

  • Avaya应根据其《约束性企业规章(控制方政策)》附录7中规定的合作程序,就涉及Avaya《约束性企业规章(控制方政策)》的任何问题与数据保护机构开展合作。

承诺6 – 国家法律妨碍遵守Avaya的《约束性企业规章(控制方政策)》时的措施

  • Avaya将确保在其认为对其适用的法律可能妨碍公司履行在《约束性企业规章(控制方政策)》项下的义务或此类法律对其遵守《约束性企业规章(控制方政策)》的能力产生重大影响时,Avaya将立即通知数据隐私保护官和承担数据保护责任的欧盟实体,但被执法机构另行禁止的除外。
  • Avaya将确保适用法律与《约束性企业规章(控制方政策)》之间发生冲突时,数据隐私保护官将就需要采取的措施作出负责任的决定,并在有疑问时向有管辖权的数据保护机构报告。

承诺 7 - 要求披露个人数据的政府请求

  • Avaya集团成员收到任何执法机构或国家安全机构有法律约束力的请求,要求披露受《约束性企业规章(控制方政策)》约束的个人数据的,必须遵守其《约束性企业规章(控制方政策)》附录9中规定的政府数据请求程序。
  • 在任何情况下,任何Avaya集团成员均不得以大规模、不相称和无差别的方式,将超出对于民主社会而言必要的个人数据从任何Avaya集团成员传输给任何执法机构、国家安全机构或其他政府机构。

Avaya约束性企业规章:处理方政策

《Avaya 企业约束规则(处理方)政策》中所述标准是全球性标准,适用于代表不属于集团成员的数据控制方并在后者指导下处理任何个人数据的所有集团成员,例如在向企业客户提供服务的背景下。下面总结了Avaya作为数据处理方对个人数据进行处理时必须遵守的基本数据保护规则和实践承诺。上述政策详细描述了它们。
 

基本规则

原则1 – 合法处理原则

  • Avaya将确保所有的处理活动均依法进行。
  • Avaya应配合并在合理可行的范围内协助数据控制方履行其在适用数据保护法律下的义务,不得无故拖延。 

原则2 – 公正透明原则

  • Avaya应根据适用法律的规定,协助数据控制方遵守向个人告知并解释如何处理个人数据的要求。

原则3 – 符合目的原则

  • Avaya应仅代表并按照数据控制方的指示处理个人数据。 

原则4 – 数据最低必要性和准确性原则

  • Avaya应协助数据控制方确保个人数据准确、最新。

原则5 – 有限保留个人数据原则

  • Avaya应根据合同条款或与数据控制方签订的其他有法律约束力的文件,仅在必要的期限内保留个人数据。 

原则6 – 安全和保密原则

  • Avaya应实施适当的技术和组织措施,以保护代表数据控制方处理的个人数据的安全。
  • Avaya应将影响到其根据合同条款或与数据控制方签订的其他有法律约束力的文件而代表数据控制方处理的个人数据的任何安全漏洞立即通知数据控制方,不得无故拖延。
  • Avaya应遵守数据控制方有关委托任何子处理方的要求。
  • Avaya应确保外部子处理方承诺遵守与有以下要求一致的规定,尤其是有关子处理方将采取适当和同等安全措施的规定:(i)合同条款或与数据控制方签订的其他具有法律约束力的文件;以及(ii) Avaya《约束性企业规章(处理方政策)》。 

原则7 – 尊重个人权利原则

  • Avaya应协助数据控制方履行尊重个人权利的责任。

原则8 – 责任明确原则

  • Avaya应向数据控制方展示其合规性。
  • Avaya应保留其代表数据控制方开展的数据处理活动的记录。
  • Avaya应协助数据控制方执行设计隐私和默认隐私工具。

实践承诺

承诺1 – 人员配备和支持

  • Avaya应配备适当的人员和支持,以确保并监督整个企业的隐私合规性。

承诺2 – 隐私保护培训

  • Avaya应根据其《约束性企业规章(处理方政策)》附录4中规定的隐私培训计划,向会永久或定期访问个人数据、参与个人数据处理或开发个人数据处理工具的员工提供适当的隐私保护培训。

承诺3 – 审计

  • Avaya应检查是否符合上述原则,并应根据其《约束性企业规章(处理方政策)》附录5中规定的审计方案定期开展数据保护审计。

承诺4 – 投诉处理

  • Avaya应确保个人能够行使投诉权利,并将根据其《约束性企业规章(处理方政策)》附录6中规定的投诉处理程序来处理相关投诉。

承诺5 – 与数据保护机构合作

  • Avaya将根据其《约束性企业规章(处理方政策)》附录7中列出的合作程序,就与Avaya企业约束规则处理方政策相关的任何问题与数据保护机构开展合作。

承诺6 – 国家法律妨碍遵守Avaya的《约束性企业规章(处理方政策)》时的措施

  • Avaya将确保在其认为对其适用的法律可能妨碍其履行在《约束性企业规章(处理方政策)》或与客户的合同项下的义务或此类法律对其遵守《约束性企业规章(处理方政策)》的能力产生重大影响时,Avaya将立即通知以下当事方,但法律另行禁止的除外:
    • 上文原则2规定的数据控制方(但执法机构另行禁止的除外);
    • 数据隐私保护官和负责数据保护的欧盟实体;以及
    • 负责数据控制方和Avaya的适当数据保护的主管机构。
  • Avaya将确保,在其收到来自执法机构或国家安全机构的,依照企业约束规则处理方政策规定,具有法律约束力的个人数据披露请求的情况下,Avaya将:
    • 除非执法机构禁止,否则立即通知数据控制方;和
    • 搁置该请求,并通知首席数据保护机构和主管数据处理方的适当数据保护机构,除非执法机构或国家安全机构禁止这么做。

政策更新程序

Avaya保留随时更改、修改或更新本《政策》的权利。请经常查看本《政策》,以便了解任何更新的内容。

更多信息

如果您对本政策的规定、您在本政策下的权利或任何其他数据保护事宜有任何疑问,请联系 Avaya 全球隐私办公室

修订日期:2023 年 3 月。

[1]“Avaya”包括 Avaya LLC(地址:350 Mt. Kemble Avenue, Morristown, NJ 07960, USA)及其指定关联公司(以下简称“集团成员”)。相关指定关联公司的详细名单已通过引用纳入Avaya约束性企业规章(控制方和处理方政策)中。

[2]“处理”指对个人数据或个人数据集执行的任意操作或一组操作(如收集、记录、整理、结构化、存储、改编或修改、检索、咨询、使用、传输披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁),无论是否通过自动方式。

[3]“个人数据”是指与已识别或可识别的自然人(以下简称“数据主体”)有关的任何信息;可识别的自然人是可直接或间接识别的自然人,特别是通过参考特定的标识符(例如姓名、身份证号码、位置数据、网络标识符),或参考该自然人的物理、生理、遗传、心理、经济、文化或社会身份等一个或多个特定因素。

[4]本政策中所称欧洲是指欧洲经济区和瑞士。

AvayaTop