瑞生国际律师事务所全球隐私标准
View in English.
简介
本文档载明了适用于瑞生国际律师事务所内处理欧洲个人数据(定义见下文)的标准(“本标准”)。瑞生国际律师事务所是一家全球律师事务所,办事处遍布全球 15个国家。本所运作不存在内部界限,业务的国际性决定了在本所内传输个人数据的重要性。
瑞生国际律师事务所通过本所执行委员会郑重承诺,保护在本所处理的个人数据。本所制定本标准,尤其旨在根据欧盟第 2016/679 号条例促进欧洲个人数据在瑞生国际律师事务所的传输。
定义
“适用法律” 指瑞生实体所在司法管辖区的法律和管辖该实体的任何其他法律;
“BCR协议”指约定全体瑞生实体承诺遵守本标准来处理欧洲个人数据的协议。
“数据保护机构”(或“DPA”)指负责监控和强制他人遵守具体国家数据保护法律的监管机构。
“数据保护影响评估”指GDPR第35条定义的数据保护影响评估。
“欧洲经济区” 指欧洲经济区。
“欧盟隐私法” 指执行欧洲第 2016/679 号条例、第 2002/58号指令(以及任何修订或替代条例或指令)的欧盟国家国内法律和相关欧洲隐私法律。
“欧洲个人数据” 指 (i) 就招聘和人力资源管理收集和处理的员工、律师、合作伙伴、顾问、承包商及任何上述人士的潜在应聘者;(ii) 就提供法律服务和/或营销和通信目的处理的客户、潜在客户及前员工;及 (iii) 受适用欧盟隐私法管辖的任何瑞生实体,以数据控制者的身份,鉴于其与瑞生国际律师事务所的关系处理的供应商、销售商、承包商及咨询师(详细信息参见内部数据隐私声明或客户和第三方数据隐私声明)的个人数据。
“GDPR”指第2016/679号欧盟条例,即《通用数据保护条例》。
瑞生及本所均指瑞生国际律师事务所,作为根据特拉华州(美国)法律组建的有限责任合伙企业(特拉华州有限责任合伙企业)在全球范围内开展业务,其联营有限责任合伙企业在法国、意大利、香港、新加坡、沙特阿拉伯王国和英国执业,并以联营合伙企业的形式在日本执业。瑞生国际律师事务所作为外国法律顾问办公室在韩国开展业务,此外,本所还包括由特拉华州有限责任合伙企业全资拥有的任何及一切实体。
“本地法律” 指管辖瑞生实体的任何国家的法律和/或法规,或该等国家施加的任何其他法律义务(适用欧盟隐私法除外)。
“瑞生实体” 指构成本所的各有限责任合伙企业、合伙企业及有限公司。
“瑞生德国”指瑞生国际律师事务所的法兰克福办公室。
“示范条款” 指不时由欧洲委员会发布和批准以向在第三方国家成立的处理者或控制者传输个人数据的标准合同条款。
“个人数据” 指与一个被确定或可被确定身份的自然人(“数据主体”)有关的信息;一个可被确定身份的人是指一个可通过标识符(如姓名、身份证号码、位置数据和在线标识符),或一个或多个因素(包括身体、生理、基因、精神、经济、文化或社会特征),可直接或间接被确定身份的人。此外,根据适用欧盟隐私法的相关规定,“个人数据”一词还将包括与非自然人之人士有关的任何信息。
“人员” 指瑞生国际律师事务所的合作伙伴、律师及员工。
“安全破坏事件”任何导致意外或非法损毁、丢失、变更、未经授权披露或访问由瑞生实体处理的欧洲个人数据的安全破坏事件。
“特殊类别数据” 指涉及适用欧盟隐私法涵盖的有关民族或种族、政治观点、宗教或哲学信仰、工会会员、罪行、刑事定罪、健康、性取向或性生活、基因和生物统计数据及任何其他特殊类别信息的欧洲个人数据。
“处理”、“数据控制者” 和 “处理者” 应具有欧盟第 2016/679 号条例所赋予的涵义。
范围
瑞生目前在下述国家开展业务(欧洲经济区内的国家以粗体标示):
国家 |
办事处 |
联系方式 |
美国 | 波士顿、世纪城、芝加哥、休斯顿、洛杉矶、纽约、橘子郡、圣地亚哥、旧金山、硅谷、华盛顿特区 | 1271 Avenue of the Americas, New York, NY 10020 |
英国 | 伦敦 | 99 Bishopsgate, London EC2M 3XF, United Kingdom |
比利时 | 布鲁塞尔 | Boulevard du Régent, 43-44, B-1000 Brussels, Belgium |
法国 | 巴黎 | 45, rue Saint-Dominique, Paris 75007, France |
意大利 | 米兰 | Corso Matteotti, 22, Milano, 20121, Italy |
荷兰 | 无执业办事处 | 99 Bishopsgate, London EC2M 3XF, United Kingdom |
德国 | 法兰克福、慕尼黑、汉堡、杜塞尔多夫 |
Reuterweg 20, 60323 Frankfurt am Main, Germany |
西班牙 | 马德里 | Plaza de la Independencia 6, Madrid 28001, Spain |
沙特阿拉伯 | 利雅得 | Al-Tatweer Towers, 7th Floor, Tower 1, King Fahad Highway, PO Box 17411, Riyadh 11484, Saudi Arabia |
阿联酋 | 迪拜 | ICD Brookfield Place, Level 16, Dubai International Financial Centre, PO Box 506698, Dubai, United Arab Emirates |
韩国 | 29F One IFC, 10 Gukjegeumyung-ro Yeongdeungpo-gu, Seoul 07326, Korea | |
中国 | 中国北京市建国门外大街1号国贸中心2座2318室(邮编: 100004) | |
香港 | 香港中环康乐广场八号交易广场一期18楼 | |
新加坡 | 9 Raffles Place, #42-02 Republic Plaza, Singapore 048619 | |
日本 | Marunouchi Building, 32nd Floor, 2-4-1 Marunouchi, Chiyoda-ku, Tokyo 100-6332, Japan | |
以色列 | 28 HaArba’a Street, North Tower, 34th floor, Tel Aviv, 6473925, Israel |
本标准适用于适用欧洲隐私法律制约的瑞生实体对欧洲个人数据的处理。
本标准适用于员工、申请人、客户和第三方个人数据的转移。
员工个人数据包括:
- 身份识别信息(例如,姓名、联系信息、紧急联系人、照片、工作资格证明以及身份证号);
- 个人及家庭详情(例如,出生地、婚姻状况、民族、国籍、家庭成员、护照及签证详情);
- 健康状况(例如,残障情况、病假记录、事故报告、健康筛查信息、职业健康信息、用餐偏好和食物过敏情况);
- 与职业管理和发展有关的数据(例如,员工类别、全职/兼职状态、教育和资格、语言能力、偏好、参考建议、背景调查、职业经历);
- 与签署和终止雇佣合同或聘用关系有关的数据(例如,雇佣日期、员工ID、时间记录、工作时间和假期、工作表现评估、培训、纪律程序和投诉、离职访谈);
- 财务数据(例如,薪资、报酬、工资、付立、银行账户详情、税务/社会保险号码);
- 音视频记录(例如,闭路电视录像、网络会议和座谈、活动及出版物);
- 与使用建筑物进入控制系统以及访问和使用办公设备和资源有关的数据;
- 与工作关系目的或作为员工福利计划的一部分的旅行相关数据;
申请人个人数据包括:
- 申请中包含的信息(例如,姓名、联系信息、工作和教育经历及资格、工作资格证明、身份识别信息及简历中的其他信息);
- 敏感信息(例如,种族或族群、残障情况);
- 在面试和评估过程中收集的信息(例如,面试笔记、反馈、通过评估和视频面试收集的信息);
- 关于使用招聘门户网站的信息(例如,通过cookies收集的IP地址信息);
- 从第三方收集的信息,比如推荐人和招聘机构;
- 完成雇佣前背景调查所需的信息(例如,犯罪记录查询、资格及雇佣关系核实);
- 关于建筑物进入、安保摄像记录的信息。
客户及第三方相关信息包括:
- 身份识别信息(例如,姓名、联系信息及身份证号);
- 生物识别信息(例如照片);
- 商业信息;
- 职业或雇佣关系相关信息;
- 可公开获取的社交媒体及新闻报道;
- 受保护的分类特征(例如,民族、政治派别、国籍状况);
- 音视频记录(例如,闭路电视录像、网络会议和座谈);
欧洲个人数据的处理是基于(根据具体情况):
- 同意,GDPR第 6 条第 1 款 a 项和第 9 条第 2 款 a 项;
- 履行合同,GDPR第 6 条第 1 款 b 项;
- 履行法律义务,GDPR第 6 条第 1 款 c 项;
- 合法利益,GDPR第 6 条第 1 款 f 项;
- 履行雇佣领域的义务和行使特定权利,GDPR第 9 条第 2 款 b 项;
- 建立、行使或捍卫法律诉求,GDPR第 9 条第 2 款 f 项。
欧洲个人数据可能在本所全网络中转移到上表所载地点。
本标准也适用于瑞生实体将欧洲个人数据从欧洲经济区转移出境,和欧洲经济区以外的瑞生实体(以数据控制者或数据处理者的身份)对此类出境数据的处理,以及欧洲个人数据向欧洲经济区以外的瑞生实体的后续转移。
就本标准而言,根据GDPR条款,英国被视为第三国。因此,Latham & Watkins (London) LLP(瑞生伦敦)将实施单独的《全球数据隐私标准》,涵盖本所内部的英国数据传输。对于各自的数据传输,瑞生伦敦将完全负责采取行动,对欧洲经济区以外的其他瑞生实体违反英国标准的作为和不作为进行补救,并对欧洲经济区以外的瑞生实体违反英国标准所造成的任何损害进行赔偿。因此,希望就英国数据处理提出投诉的数据主体应联系瑞生伦敦。
规则和原则
1. 数据处理原则
以数据控制者身份行事时,各瑞生实体在根据全体人员公平数据处理声明、招聘隐私政策、前员工隐私政策或客户和第三方数据隐私声明(视情况而定)处理欧洲个人数据时,应遵守以下原则:
1.1 以透明、公平、合法的方式处理欧洲个人数据:在相关数据主体不知悉或未收到有关数据控制者身份信息、其个人数据可能的使用目的(须遵守对相关信息提供的任何许可限制,例如牵涉预防犯罪、法律程序或纳税,或适用法律禁止的情况)、处理的法律依据和适用欧盟隐私法要求的其他相关信息的情况下,应向数据主体提供此类信息。此类信息将包括数据主体根据欧盟隐私法可享有的权利的详细信息。
1.2 收集欧洲个人数据,须有指定、明确、合法的业务目的,而且除非适用欧盟隐私法另行允许,否则不得以不符上述目的的任何方式予以进一步处理。
1.3 只有本所合法业务目的绝对必需时,方可根据适用欧盟隐私法要求的任何保障措施处理特殊类别数据。
1.4 本所将采取适当措施,以确保所收集和处理的欧洲个人数据属足够而不过度,同时确保数据的相关性、准确性和(如需要)最新性。如发现个人数据不准确,本所也会采取适当措施,迅速更正或删除该等数据。
1.5 除数据处理所需之外,不可在其他时间保留欧洲个人数据,并应根据本所的书面数据保留政策保留(须遵守监管要求和适用欧盟隐私法的要求)。
2. 数据安全性
2.1 鉴于当前发展状况和实施成本,各瑞生实体将采取适当技术性和组织性措施,以防止欧洲个人数据遭到意外或非法破坏或意外遗失、更改、损坏、未经授权的披露或访问(尤其是在数据处理涉及网络传输数据时),以及所有其他非法形式的处理。相关措施将确保提供数据处理风险相应的安全水平,并保护欧洲个人数据的性质,从而加强保护特殊类别信息和其他高度保密信息。此类措施将酌情包括:
- 假名化;
- 加密;
- 系统和服务的机密性、完整性、可用性和复原力
- 备份和灾后恢复设施;
- 测试、评估和评价安全措施有效性的流程。
2.2 各瑞生实体应立即将导致其处理的欧洲个人数据发生意外或非法破坏、遗失、更改、未经授权披露或访问的任何安全破坏事件电邮至GlobalDPO@lw.com。全球数据隐私办公室将保留适当的记录,记录安全破坏事件、对数据主体的任何潜在影响以及采取的任何补救措施。全球数据隐私办公室也应确保按照欧盟隐私法的要求向相关数据保护部门和受影响的数据主体发出通知。如果瑞生实体作为数据控制者处理的欧洲个人数据发生安全破坏事件,且其所在的国家或司法管辖区的数据保护机构有要求,则全球数据隐私办公室应将违规记录与该数据保护机构共享。
2.3 各瑞生实体将采取措施,以确保可访问或负责处理欧洲个人数据人员的可靠性,包括按照本所指示处理欧洲个人数据。
3. 与数据处理者合作
3.1 如果瑞生实体聘请另一个瑞生实体作为数据处理者代表其处理欧洲个人数据,则该数据处理者应遵守本标准的相关要求,必要时,双方将制定并遵守适用的欧盟隐私法可能要求的任何其他协议的条款。
3.2 如果瑞生实体聘用第三方数据处理者代其处理欧洲个人数据,则该实体应选择可就其将采用的待处理欧洲个人数据的安全水平提供适当保证的数据处理者。瑞生实体将确保与第三方数据处理者订立合同,合同列明适用欧盟隐私法的相关要求。
3.3 如果瑞生实体是在欧洲经济区成立,但聘用欧洲经济区以外的第三方数据处理者代其处理欧洲个人数据,则该实体应:
- 确保与数据处理者订立合同,其大体采用数据处理者 示范条款的形式或纳入该示范条款之条款(可作出 适用欧盟隐私法允许的任何修订);或
- 确保依照适用欧盟隐私法落实其他适当的保护措施,以保护欧洲个人数据。
一旦欧盟与英国之间于2020年12月24日签订的《贸易与合作协议》第 FINPROV.10A 条第 1 款和第 4 款规定的过渡期到期,同样的标准适用于在英国设立的第三方数据处理者。过渡期结束后,瑞生实体将严格依据GDPR第 45 条等条款规定的适当法律保障措施,方可将欧洲个人数据传输至英国。相应的保障措施可以是示范条款或欧盟委员会做出的确定英国可以保证与欧盟相当的数据保护水平的充分性决定。
3.4 如果瑞生实体(以数据控制者的身份行事)向本所以外的第三方控制者传输欧洲个人数据,则该实体将确保依照适用欧盟隐私法的要求传输相关数据。倘若适用欧盟隐私法有相关要求,或适用欧盟隐私法另行允许(且被视为适当),瑞生实体将落实保护措施,以保护欧洲个人数据和个人权利。相关保护措施可能会采用合同的形式(以适用于控制者之间进行数据传输的示范条款的形式或可提供足够保护水平的其他形式)。
4. 员工培训
4.1 瑞生国际律师事务所坚持实行隐私和安全意识计划,专注于为所有员工、律师和助理律师提供培训,让他们了解本所的隐私和安全政策以及隐私和安全最佳实践。
4.2 本所将运用多种通信渠道传播隐私和安全意识信息。所有人员均可访问专用隐私和安全内部网网站,获取最佳实践及隐私和安全意识提示单和倡议指南。
4.3 各瑞生实体还将确保可访问或负责处理个人数据的人员可得到适当指导和培训。
5. 与适用本地法律的冲突
5.1 倘若本地法律要求的欧洲个人数据保护水平高于本标准所载列的水平,则以本地法律的条款为准。
6. 与数据保护机构相互协助和协作
6.1 各瑞生实体均将遵守其所在国家或司法管辖区的数据保护机构发布的有关本标准或一般处理欧洲个人数据的指示,并将考虑数据保护机构对本标准的释义给予的任何意见。
6.2 瑞生实体将相互协助,应对数据保护机构对本标准进行的任何询问或调查,并向相关数据保护机构提供其合理要求提供的有关处理欧洲个人数据的信息。
6.3 瑞生实体将相互协助,应对数据主体对本标准或其欧洲个人数据的处理事宜作出的询问或投诉。
7. 数据转移
7.1 瑞生实体将欧洲个人数据转移给数据处理者和其他第三方,应遵守 GDPR 第 44 至 46 条或GDPR 第 49 条的减损规定。
7.2 全球数据隐私办公室应代表瑞生实体,在进行欧洲个人数据转移前,执行并记录转移影响评估,同时考虑以下要素:
7.2.1 转移的具体情况,包括处理链的长度、参与方的数量和使用的传输渠道;拟进行的后续转移;接收方的类型;处理目的;转移的个人数据的类别和格式;发生转移的经济部门;转移数据的存储位置;
7.2.2 目的地第三国的法律和实践——包括要求向公共主管机关披露数据或授权公共主管机关查阅数据的法律和实践——与转移的具体情况相关,以及适用的限制和保障措施;
7.2.3 为补充本条款规定的保障措施而实施的任何相关合同、技术或组织保障措施,包括在传输过程中以及在目的地国处理个人数据时实施的措施。
8. 瑞生的政策、职责和隐私职能
8.1 根据欧盟隐私法,瑞生德国已委任了数据保护官。数据保护官的联系详情已在瑞生隐私政策中发布。
9. 合规责任
9.1 所有瑞生人员均须遵守本标准,且必须在其加入本所以及此后每年表明其接受本标准和本所最新制定的通信系统可接受用途政策。
9.2 本所已签立协议(“BCR 协议”)。本所已指定瑞生德国为代理欧洲经济区数据保护责任的瑞生实体。瑞生德国,应采取措施补救任何违反本标准的行为,可通过 BCR 协议以合同方式予以强制执行。
9.3 瑞生德国负责采取措施,对欧洲经济区以外的其他瑞生实体的作为或不作为予以补救,并就因该等实体违反本标准而引致的任何损害赔偿作出赔偿。因此,凡针对欧洲经济区以外的瑞生办事处提出的任何申索,应针对该瑞生德国(但与英国有关的申索除外,应针对Latham & Watkins (London) LLP提起)提出。凡针对欧洲经济区的瑞生办事处的任何申索,应针对该瑞生办事处提出。
10. 验证合规的审核计划
瑞生承诺实施具体措施以评估和验证本所在本标准及适用数据保护法律方面的合规状况。
11. 更新
11.1 隐私委员会将审查本标准,确保定期予以更新,并传达给相关瑞生实体。隐私委员会将确保本标准反映出本所架构的任何变更,且任何瑞生新实体均须接受并遵守本标准的条款。隐私委员会将本标准的任何更新通知瑞生实体。
11.2 本标准的非保密条款(包括附录 1(数据隐私投诉程序)的内容)将发布在瑞生国际律师事务所的互联网网站和内部网网站上。本标准如有任何更新,将会立即公布。本标准的全文将应要求(须遵守保密协议)提供予希望行使附录 1 数据隐私投诉程序所述的救济权的任何数据主体。
12. 访问、纠正和拒绝(包括营销和数据画像)的权利
各瑞生实体均确认,数据主体对于以欧洲个人数据的数据控制者身份行事的瑞士国际律师事务所实体作为第三方受益人具有下列权利:
12.1 有权获得有关瑞生实体以欧洲个人数据数据控制者的身份处理其个人数据的方式的信息,包括本标准和数据隐私投诉程序的副本;
12.2 有权在期限内和适用欧盟隐私法指定的时段收取瑞生国际律师事务所持有的欧洲个人数据副本(包括处理的目的和方式),但须支付瑞生实体根据适用欧盟隐私法获允许征收的任何费用,且瑞生实体根据适用欧盟隐私法可能有权拒绝全部或部分相关请求。
12.3 有权更新、纠正或补充他们的欧洲个人数据(尤其是在数据不完整或不准确时),但须遵守适用欧盟隐私法的条款;
12.4 有权根据适用的欧盟隐私法的规定删除欧洲个人数据;
12.5 有权根据适用的欧盟隐私法的规定限制对其欧洲个人数据数据的处理;
12.6 根据适用欧盟隐私法的规定,有权以结构化、常用和机器可读的格式接收欧洲个人数据(数据主体提供给瑞生实体(作为欧洲个人数据的数据控制者)的)并将该等个人数据传输给其他数据控制者;
12.7 根据适用欧盟隐私法条款的要求,有权拒绝收取直接营销材料,而无须获得事先同意,且在所有情况下均有权随时拒绝因直接营销目的处理他们的个人数据(包括数据画像);
12.8 有权根据适用的欧盟隐私法的规定随时拒绝对其欧洲个人数据数据的处理以及;
12.9 有权反对仅基于自动方式处理(包括数据画像)作出与其欧洲个人数据有关并用于评估其个人特征或行为并产生牵涉或重大影响他们的法律效力的决定(适用欧盟隐私法允许的范围除外,但须遵守适用欧盟隐私法所载的保障措施)。
13. 违反本标准
瑞生确认,数据主体有权以第三方受益人的身份就欧洲个人数据针对本所强制执行下列权利:
13.1 有权根据请求获取本标准的副本(须作出本所或处理请求的瑞生实体合理要求的任何保密承诺);
13.2 有权在提出请求后的合理时间,不迟于 1 个月内(就复杂请求而言,不吃鱼三个月),对涉及在欧洲经济区以外地区处理数据主体的欧洲个人数据的任何咨询获得回复;
13.3 有权投诉并获取因任何瑞生实体违反本标准(不包括任何违反与员工培训、瑞生政策和隐私职能、审核计划和本标准的更新有关的条款)而引致的适当救济(包括在适当情况下就所蒙受损害获得赔偿);
13.4 有权向数据主体的常住地、工作所在国或据称违反本标准所在地的欧洲经济区数据保护机构提出投诉;和
13.5 有权在欧洲经济区的适当法院寻求有效司法救济,该法院可位于相关瑞生实体成立所在的司法管辖区或数据主体的常住地。
14. 数据主体权利的强制执行
14.1 行使第 14条所述权利的流程详细载列于本标准附录 1 瑞生国际律师事务所数据隐私投诉程序中。
14.2 如数据主体希望强制执行其权利,则应当联系全球数据隐私办公室,或向位于法兰克福的隐私委员会主席或者在相关瑞生实体所在地区的数据保护机构或法院提起投诉。
14.3 如任何数据主体寻求强制执行其在本标准下的权利,则必须出示证据,证明已发生相关违反行为,从而在形式上成立案件。
14.4 瑞生实体承认,数据主体可按照欧盟隐私法并在适当授权委托书的限定下由非盈利机构、组织或协会代表。
15. 终止
本标准终止或者转移暂停时,相关瑞生实体可按照数据出境方的选择,保留、返还或者删除欧洲个人数据及其副本。
附录 1
瑞生国际律师事务所数据隐私投诉程序