约束性企业规则:TDCX
导言
TDCX集团公司致力于保护其客户、员工、供应商和商业伙伴的个人数据,特别是在遵守《欧盟通用数据保护条例》的规定方面。
因此,本文件制定了对以下TDCX("TDCX")公司("TDCX集团 "或 "TDCX实体")具有法律约束力的约束性公司规则("BCR"),即:。
- (1) Singapore: TDCX Holdings Pte. Ltd.;
- (2) Spain: Gascaquen Teledirect, S.A.;
- (3) Singapore: TDCX (SG) Pte. Ltd.;
- (4) Singapore: Comparexpress Pte Ltd;
- (5) Philippines: TDCX (PH) Inc.;
- (6) Thailand: Teledirect Telecommerce (Thailand) Limited;
- (7) Thailand: Comparexpress Insurance Broker (Thailand) Ltd;
- (8) Malaysia: TDCX (MY) Sdn. Bhd.;
- (9) Japan: TDCX Japan K.K.;
- (10) China (Beijing): Agorae Information Consulting (Beijing) Co., Ltd;
- (11) China (Shanghai): TDCX Information Consulting (Shanghai) Co., Ltd.;
- (12) Hong Kong: Teledirect Hong Kong Limited;
- (13) Colombia: TDCX (CO) PTE. S.A.S.;
- (14) India: TDCX Digilab India Private Limited;
- (15) Cayman Islands: TDCX (KY) Pte Ltd;
以及后来成为TDCX集团成员的任何公司。
所有与本BCRs相关的TDCX实体都可以通过以下地址联系:750D Chai Chee Road, #06-01/06 ESR BizPark @ Chai Chee, Singapore 469004
BCR的目的是为TDCX员工和TDCX集团内的实体、其公司、子公司、附属公司以及其所有权或控制下的任何其他实体转移和处理个人数据提供充分保护。
BCR 解释了 TDCX 集团如何在其整个运营过程中履行这一承诺。它们具体规定了 TDCX 集团内各实体之间转移个人数据的方法,并适用于 TDCX 的全球业务。
BCRs 将传达给所有TDCX员工,并发布在外部TDCX网站上,网址为www.tdcx.com。
在收集用于处理的个人数据时,TDCX将向数据主体提供与处理其数据有关的所有信息,特别是GDPR第13、14和47条所指明的信息。特别是,该信息将通过提供相关的隐私政策(根据数据主体是TDCX员工还是求职者而有所不同)来提供。如有必要,TDCX将以更详细的方式和更适当的媒介发送可能导致申请的额外信息,以便数据主体更好地展示、理解或存档。
第1条:BCR的范围、生效日期和实施
1.1
范围
BCRs适用于TDCX收集和使用的员工、求职者、客户、供应商、承包商、商业伙伴和欧洲经济区("EEA")其他自然人的所有个人数据。
他们特别阐述了TDCX在TDCX集团各实体之间传输个人数据的方法。从这个意义上讲,本 BCRs 对所有 TDCX 实体(包括其员工)都具有法律约束力。
有关适用于TDCX员工个人资料的隐私规则,请参阅员工隐私声明。有关适用于求职者个人资料的隐私规则,请参阅[求职者隐私通知]
1.2
生效日期
BCR于[2019年6月8日](“生效日期”)生效。TDCX BCR取代生效日期之前存在的所有TDCX隐私政策和通知,只要它们涉及与BCR相同的问题或冲突。
1.3
BCR的实施
(a)
数据保护专员
BCR的运行由数据保护官员负责。如果对BCR的解释、实施或适用性有疑问,TDCX员工应在进行任何相关处理之前征求数据保护专员的意见。
(b)
数据保护局
为了遵守《全球发展政策报告》,TDCX选择西班牙政府的一个机构Española de Protección de Datos(“AEPD”)作为其监督机构。
(c)
BCR正在实施的适用法律
BCRs履行欧洲议会和理事会2016年4月27日关于在处理个人数据和自由移动方面保护自然人的第2016/679号条例(欧盟)规定的义务,并废除第95/46/EC号指令(“一般数据保护条例”或“GDPR”)。
TDCX致力于根据GDPR以及欧洲数据保护委员会和AEPD的相关指导解释BCR的条款。
第2条:定义
数据主体的“同意”是指他或她通过陈述或明确的平权行动自由地、具体地、知情地和明确地表明其意愿,表示同意处理与他或她有关的个人数据;
“控制人”是指自然人或法人、公共当局、机构或其他单独或与他人共同确定个人数据处理目的和方式的机构
“数据保护专员”是指TDCX指定的人员,负责监督员工(包括处理者)遵守适用数据法的情况,并监督TDCX数据合规政策的执行情况
“数据主体”是指确定的或可确定的自然人
“欧洲经济区”是指适用1994年1月1日《欧洲经济区条约》的欧洲联盟成员国以及冰岛、列支敦士登和挪威的地区
“GDPR”是指欧洲议会和理事会2016年4月27日关于在处理个人数据和自由移动方面保护自然人的第2016/679号条例(欧盟),以及废除不时修订或修改的第95/46/EC号指令(“一般数据保护条例”)
“合法目的”是指本BCR第5条中规定的收集和处理个人数据的授权目的
“个人数据”是指与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是指可以直接或间接识别的自然人,特别是通过提及诸如姓名、识别号码、位置数据等标识符,一个在线标识符或一个或多个特定于该自然人的生理、生理、遗传、心理、经济、文化或社会特性的因素
“处理或处理”是指对个人数据或对个人数据集执行的任何操作或操作集,无论是否通过自动化手段,如收集、记录、组织、结构、存储、改编或更改、检索、咨询、使用、传输披露,传播或以其他方式提供、排列或组合、限制、删除或销毁和处理手段,以执行这些操作或操作集
“处理人”是指代表控制人处理个人数据的自然人或法人、公共当局、机构或其他机构
“TDCX集团”是指BCR导言第2段中列出的TDCX实体名单,以及随后成为集团公司的任何实体
“敏感个人数据”是指显示数据主体的种族或族裔出身的个人数据;政党或组织的政治观点或成员资格;宗教或哲学信仰;专业或贸易组织或工会的成员资格;身心健康或状况,包括残疾;性取向;犯罪记录;或国家或公共当局发布的社会保险号码。[注:请查阅西班牙关于最后两类的法律]。
“员工”是指截至生效日期,使用TDCX数据系统或主要在TDCX经营场所工作的TDCX员工(包括顾问、临时或永久员工),将个人数据作为其职责或职责的一部分进行处理。就这些业务连续性审查而言,受雇为TDCX工作的顾问是工作人员。
“第三方”是指除数据主体、控制者、处理者和在控制者或处理者的直接授权下被授权处理个人数据的人以外的自然人或法人、公共当局、代理或机构
第3条:数据安全
3.1
员工应采取适当的、商业上合理的措施,保护个人数据不被滥用或意外、非法或未经授权的销毁、擦除、丢失、更改、修改、披露、获取或访问
(a)
工作人员通道
工作人员只有在为实现适用的合法目的和执行其任务所必需的范围内,才可查阅个人资料。
有权接触个人资料的工作人员,须履行合约及TDCX工作人员指引及政策所规定的保密义务。
第4条:数据质量和相称性
4.1
个人资料的处理应限于合理地足以及与适用的合法目的有关的资料。它应准确、完整,并在适用合法目的的合理必要范围内保持最新
TDCX应采取合理措施,安全删除或销毁为适用的合法目的不需要(或不再需要)的个人数据。
个人资料只应保存在:
(b)
只要有必要为适用的合法目的服务;
(c)
只要有必要遵守适用的法律要求;或
(d)
根据任何适用的诉讼时效,只要有必要。
在有关的保留期结束后,个人资料应立即以下列替代方式处理
(a)
应安全删除或销毁;或
(b)
应以笔名化的方式,在不使用附加信息的情况下,个人数据不能再归属于特定的数据主体,并且此类附加信息应单独保存,并受技术和组织措施的约束,以确保个人数据不归属于或归属于确定或确定的自然人;或
(c)
应将其转移至档案馆(除非适用的当地法律或适用的TDCX记录保留时间表禁止)。
如果数据主体提供的个人数据不准确、不完整或过时,应要求其通知TDCX,TDCX应按照第10条的规定更正数据。
第5条:处理个人数据的授权用途
个人资料的收集、使用、转移或以其他方式处理,应达到下列一项或多项目的:
(a)
TDCX业务目的;或
(b)
TDCX管理目的。
5.1
TDCX商业目的
处理TDCX业务所需个人数据的合法目的包括:
(a)
与客户、供应商和商业伙伴签订和执行协议(包括提供客户服务和采购货物和/或服务);
(b)
记录和财务结算TDCX之间的服务、产品和材料交付;
(c)
开展营销活动和促销活动;
(d)
财务会计管理;
(e)
研发;
(f)
内部管理和控制;
(g)
履行法律法规规定的义务,包括与政府和监管机构建立关系
(h)
公司交易,包括涉及合资、合并、收购和剥离的交易。
5.2
TDCX管理目的
处理TDCX管理所需个人数据的合法目的包括:
(a)
内部管理,如管理公司资产、进行内部审计和调查以及实施业务控制所需的处理;
(b)
内部管理,如执行TDCX健康、安全和安保政策所需的处理,包括保护TDCX和TDCX员工资产;验证客户、供应商或业务合作伙伴的状态和访问权限
(c)
内部管理,如履行法律义务所需的处理;以及
(d)
内部管理,如为保护数据主体或其他自然人的切身利益而进行的必要处理;
(e)
实施和管理员工与相关TDCX实体之间合同关系所需的内部人力资源管理
5.3
同意
TDCX应确保在处理个人数据时,至少有以下一项适用:
(a)
数据主体同意为一个或多个特定目的处理其个人数据;
(b)
处理是履行数据主体作为缔约方的合同所必需的,或是在订立合同前应数据主体的要求采取步骤所必需的;
(c)
为遵守TDCX所承担的法律义务,必须进行处理;
(d)
为了保护数据主体或者其他自然人的切身利益,必须进行处理;
(e)
为了TDCX追求的合法利益,处理是必要的,除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒。
5.4
拒绝或撤回同意
由于数据主体可以在任何时候拒绝或撤回同意,只有当TDCX采取了依赖于先前给予的同意的行动时,TDCX才会进行处理。如果撤回该同意,TDCX应在合理可行的情况下尽快停止处理。
第6条:处理敏感个人数据的法律依据
TDCX应仅在适用法律允许的合法目的所需的范围内处理敏感个人数据。
如果敏感数据是根据除适用于处理的当地法律以外的法律要求或基于数据主体的明确同意而处理的,则处理将仅在以下情况下进行:(i)获得数据保护官员的事先批准;或(ii)根据管辖处理的隐私子政策。
6.1
敏感数据可在下列一种或多种情况下处理
(a)
数据主体明确同意处理的,包括“选择加入”;
(b)
当[TDCX]向提供敏感个人数据的数据主体提供服务时;
(c)
提供敏感个人数据的数据主体自愿参加研究项目或者服务、产品测试的;
(d)
防止、发现或起诉(包括与公共当局合作)涉嫌欺诈、违约、违法或其他违反TDCX网站或资产使用条款的行为;
(e)
确立、行使或辩护法律要求;
(f)
为保护数据主体或另一自然人的切身利益,但仅在不可能或不切实可行的情况下(如需要紧急行动的事故);
(g)
如果需要或必须遵守适用法律
6.2
敏感数据只能在下文第7条规定的条件下用于次要目的。
第7条:为原目的以外的其他目的进行处理的法律依据
7.1
TDCX通常只处理最初收集的个人数据(“原始目的”)。
7.2
在原始目的和次要目的紧密相连的情况下,这些数据可用于次要目的,而不是原始目的(“次要目的”)。
7.3
本条规定适用于为次要目的处理敏感数据。
7.4
在为次要目的处理数据时,TDCX应对因为紧密相关的次要目的处理而可能对数据主体造成的损害进行影响评估,评估是否需要:
(a)
限制对个人资料的访问;
(b)
实施额外的保密和安全措施;
(c)
告知数据主体次要目的,包括提供退出的机会;以及
(d)
获得数据主体的同意。
7.5
经资料保护主任批准,为第二目的处理个人资料的容许理由如下:
(a)
进行内部审计或调查;
(b)
进行统计、历史或科学研究;
(c)
争议解决管理和使用法律或商业咨询服务;
(d)
保险问题的管理;或
(e)
存档。
第8条:个人资料的合理使用、范围和保留
TDCX应将个人数据的处理限制在合理适合并与适用的合法目的相关的数据范围内。
8.1
TDCX只保留个人资料:
(a)
在处理适用的合法目的所需的期间内;
(b)
在符合适用法律义务或要求的合理必要范围内;
(c)
根据适用的诉讼时效,只要是合理的;以及
(d)
在不影响上述规定的情况下,TDCX可指定特定类别的个人数据的保存期限(在TDCX通知或TDCX记录保留协议中)。
TDCX应采取合理的技术和物理措施,安全地删除或销毁不需要或不再需要用于适用合法目的的个人数据。
第9条:直销
只有在目标个人同意的情况下,TDCX方可对现有或潜在客户进行直接营销。
9.1
为解决现有或潜在客户的直接营销沟通问题,TDCX应采取以下措施:
(a)
获得目标个人的事先肯定同意(在法律要求的范围内);
(b)
向个人提供选择不接收此类通信的机会;以及
(c)
在随后的每一次直接营销沟通中,向这些个人提供选择退出进一步营销沟通的机会。
TDCX应尊重对营销的反对意见,如果目标个人反对从TDCX接收营销传播,或撤回接受此类传播的同意,TDCX应停止发送个人特别要求的进一步营销材料,并应从营销数据中删除个人的个人数据基础(第8条规定的条件除外)。
第10条:向收集和处理个人数据的个人提供信息,并尊重数据主体的权利
TDCX应通过发布隐私声明通知其个人数据被收集和处理的数据主体,隐私声明应解释并提供以下信息:
10.1
处理个人数据的合法目的应传达给数据主体,包括以下信息:
(a)
TDCX实体负责处理处理处理的个人数据和DPO的联系方式(如适用);
(b)
有关已处理个人数据的性质和类别、披露个人数据的第三方类别(如有)以及提供个人数据的数据主体如何根据适用法律行使权利的信息。
(c)
在合理可得的情况下,有关个人资料的来源、类型、用途及接受者类别。
(d)
数据主体访问、更正、删除或限制访问所提供的个人数据的权利,以及如何行使这些权利(例如,通过联系数据保护官员或TDCX网站上的适当页面)。向监管机构提出投诉的权利。
(e)
数据主体有权为TDCX或第三方的合法利益反对处理其个人数据,或TDCX为公众利益执行任务,或基于与个人情况有关的令人信服的理由和关于如何行使这项权利的信息(例如,通过联系数据保护官员或TDCX网站上的适当页面)行使TDCX的官方权力。
(f)
提供个人资料是否为法定或合约规定,或订立合约所必需的规定,以及资料当事人是否有义务提供个人资料及未能提供该等资料可能造成的后果
(g)
自动决策的存在,包括分析,
10.2
在下列情况下,经数据保护专员授权,可免除上述信息要求:(i)无法通知个人;(ii)这将涉及不成比例的工作;或(iii)提供此类信息将导致不成比例的成本。
行使第10.1(d)和(e)条规定的权利
(a)
可要求行使第10.1(d)和(e)条所述权利的数据主体出示身份证明。在要求更正的情况下,应要求数据主体解释个人数据不正确和/或不完整的原因,并提供准确的替换信息(如果请求中没有明确说明)。在要求删除个人资料的情况下,如果要求中没有明确说明,则应询问数据主体适用哪种理由,TDCX将根据哪种理由删除个人资料。如果TDCX持有大量关于数据主题的信息,则应要求他或她详细说明所涉及的个人数据类型和与该请求相关的处理活动。
(b)
数据保护专员应在收到上述第10.1(d)和(e)条所述请求后一个月内对数据主体作出答复。数据保护专员应以书面形式通知数据主体:(i)TDCX对请求或反对的立场,以及TDCX已采取或将采取的任何回应请求的行动;或(ii)数据保护专员将TDCX的立场通知数据主体的最终日期,该日期不得迟于收到请求之日起两个月。
10.3
申诉权
(a)
根据本条提出请求的数据主体,在下列情况下,应有机会根据第十九条提出申诉:
(i)
对请求或反对的答复不符合数据主体的要求;或
(ii)
数据主体未收到第10.2(b)条要求的回复。
(b)
在数据保护专员的指导下,TDCX可拒绝数据主体的请求或反对,如果:
(iii)
尽管TDCX根据第10.2(a)条要求提供进一步信息,但请求或反对不够准确、具体或有证据支持;
(iv)
请求或反对显然是没有根据的或过分的,特别是因为
i)
它的重复性
ii)
它是在事先提出请求或反对后不合理的时间间隔内提出的。
第11条:自动个人决定
TDCX可使用自动化工具对数据主题进行决策,但决策不应仅基于该流程提供的结果。
11.1
此限制不适用于以下情况:
(a)
法律要求或授权使用自动化工具;
(b)
自动工具用于客观评估候选人入围前的计算能力和语言技能,候选人已同意自动评估;
(c)
TDCX作出订立或履行合同的决定,前提是导致TDCX作出决定的请求是由数据主体作出的;或
(d)
已采取适当措施保护数据主体的合法利益(例如,数据主体已提供或有机会表达意见)。
ARTICLE 12: SECURITY AND CONFIDENTIALITY
12.1
TDCX应采取适当且商业上合理的技术、物理和组织措施,保护个人数据不被滥用或意外、非法或未经授权的破坏、丢失、更改、披露、获取或访问。
12.2
员工应被授权仅在必要的范围内访问个人数据,以达到适用的合法目的,并作为TDCX员工执行其任务。相关TDCX员工应遵守合同和TDCX政策规定的适当保密义务。
第13条:与属于TDCX集团成员的处理者的关系
13.1
当向TDCX集团内的各方转让个人数据时,TDCX应仅在为处理个人数据的合法目的(包括数据主体已同意的目的或第5条和第7条规定的次要目的)服务所必需的范围内转让个人数据,分别)。
13.2
TDCX应确保个人数据在TDCX集团内按照BCR的条款进行处理,并确保相关数据主体的数据隐私权益受到BCRs和适用法律的保护
第14条:向外部处理者和控制者(非TDCX集团成员)转让和继续转让的限制
14.1
当向非TDCX集团成员的缔约方传输个人数据时,应区分:
(a)
Third Party数据处理器,即仅代表TDCX并在TDCX的指导下处理个人数据的各方;以及
(b)
第三方数据控制者,即处理个人数据并确定处理目的和方法的第三方(例如,向客户提供自己的商品或服务的TDCX业务合作伙伴)。
14.2
TDCX应仅在为处理个人数据的合法目的(包括为次要目的或数据主体根据第5条同意的目的)服务所必需的范围内向第三方传输个人数据。
14.3
TDCX应确保第三方数据控制人(公共机构除外)仅在第三方数据控制人与TDCX签订第14.7条规定的书面合同的情况下,才能处理与TDCX关系相关的个人数据。
14.4
TDCX应确保此类处理涉及的数据主体的数据隐私权受到合同保护。
14.5
如果TDCX采取合理措施,确保第三方数据控制方将使用该信息联系数据主体,以实现与该数据主体的业务或利益相关的合法业务目的,则可以在无合同的情况下将业务联系信息转让给第三方数据控制方。
14.6
未经同意,TDCX不得向第三方数据控制人批量转让、出售、租赁或要约出租业务联系信息,除非适用法律允许或要求,且此类转让、出售、租赁或租赁服务于业务目的(根据第5.1条)。
14.7
第三方数据处理器合同
只有当第三方数据处理器与TDCX签订了书面合同,其中包括以下条款和条件时,第三方数据处理器才可以处理个人数据:
(a)
第三方数据处理机构应仅按照TDCX的指示和TDCX授权的目的处理个人数据;
(b)
第三方数据处理机构应对个人数据保密;
(c)
第三方数据处理机构应采取适当的技术、物理、行政和组织安全措施保护个人数据;
(d)
未经TDCX事先书面授权,第三方数据处理机构不得允许分包商处理与TDCX义务相关的个人数据;
(e)
TDCX有权审查第三方数据处理机构采取的安全措施,并要求第三方数据处理机构将其相关数据处理设施提交TDCX或任何相关政府机构进行审计和检查
(f)
第三方数据处理机构应及时通知TDCX任何涉及个人数据的事件,包括与GDPR规定的义务有关的黑客攻击或数据泄露。
14.8
在没有欧盟充分性决定或数据条约的情况下向领土转让
只有在满足以下条件的情况下,才可将个人数据转让给位于欧盟委员会认为不足以为《全球数据保护条例》第五章规定的个人数据提供“充分保护”的国家的第三方:
(a)
TDCX与相关第三方签订了一份合同,该合同规定了与BCRs提供的保护水平类似的保障措施;
(b)
合同应符合适用当地法律要求的任何示范合同(如有,包括欧洲数据保护委员会或AEPD的指导所涵盖的合同);
(c)
如果从欧洲经济区向美国传输任何个人数据,则第三方已根据欧盟-美国隐私保护协议(EU-US Privacy Shield)获得认证,经欧盟-美国数据条约或任何其他类似计划或条约修改或继承,该计划或条约被公认为为为全球数据保护计划提供了“适当”级别的数据保护;
(d)
第三方已建立了具有约束力的公司规则或类似的转让控制机制,根据适用法律的要求提供了充分的保障,这些规则或机制已被主管当局视为符合GDPR;
(e)
为履行与客户、供应商或业务伙伴的合同,或应客户、供应商或业务伙伴的要求在签订合同前采取必要步骤,转让是必要的;
(f)
转让是TDCX与第三方订立或履行为个人利益订立的合同所必需的;
(g)
为了保护数据主体或另一自然人的切身利益(例如处理紧急情况),必须进行转移;
(h)
为确立、行使或抗辩法定请求权而必须进行的转让;
(i)
相关TDCX实体所受的任何法律均要求进行转让;或
(j)
数据主体已同意根据第14.9条规定的条件进行此类转让。
14.9
不适当的领土转让同意书
当根据第14.8(j)条寻求同意时,TDCX应向数据主体提供以下信息:
(a)
转让的目的;
(b)
转让TDCX实体的身份;
(c)
个人资料将转移至的第三方的身份或类别;
(d)
将要传输的个人数据的类别;
(e)
个人资料将被转移到的国家;以及
(f)
个人资料将被转移到一个不适当的地区。
14.10
不适当领土之间的转让
TDCX在欧洲经济区收集并传输给位于不适当领土的第三方的个人数据,只有在满足以下条件的情况下,才能依次传输给位于相同或另一不适当领土的第二第三方:
(a)
为履行相关TDCX实体所承担的法律义务,必须进行转让;
(b)
转让必须符合公共利益;或
(c)
转让必须满足TDCX的合法目的(根据第5条)。
第15条:培训方案
TDCX应就BCR和其他数据隐私和数据安全义务以及最佳做法向有权访问个人数据或负责管理个人数据的员工提供培训。
第16条:审计方案
TDCX应负责审计所有TDCX实体涉及个人数据处理的业务流程和程序,以评估其遵守BCR的情况:
(a)
此类审计应由内部TDCX审计小组或经认可的外部审计小组[每年][定期]进行,或应数据保护官员的具体要求进行。
(b)
此类审计应按照独立、完整和保密的适当专业标准进行。
(c)
数据保护专员应了解审计结果,并向TDCX高级管理层提交报告。
(d)
TDCX应确保采取适当措施,解决在根据本条对合规性进行监测或审计期间发现的BCR的任何缺陷或违反。
(e)
应根据要求向AEPD提供审计结果的副本,AEPD可在需要时进行数据保护审计。
(f)
TDCX集团的每一位成员都确认,他们可能会接受AEPD的审计,并且他们将遵守AEPD对与BCR有关的任何问题的建议。
第17条:遵守和监督遵守,任命一名数据保护官员
17.1
TDCX应任命一名数据保护专员,负责:
(a)
监督BCR的遵守情况;
(b)
就业务连续性审查的实施和GDPR义务的解释提供建议,包括与总顾问的协调,并向TDCX董事会和高级管理层提供建议;
(c)
组织TDCX对公共机构(包括AEPD)处理个人数据的调查或调查作出回应;充当AEPD和其他监管机构的联络点。
(d)
提交关于遵守GDPR义务的年度报告。进行TDCX内部合规审查时,应保持适当的独立性、完整性和保密性专业标准;
(e)
监督TDCX对有关TDCX遵守GDPR义务的任何数据请求或投诉的响应;
(f)
监督TDCX对任何合规问题的回应,包括隐私问题和违反GDPR义务(如果发生);以及
(g)
在适当的情况下,确保采取适当措施,解决在合规性监测或审计过程中发现的违反BCR的行为
(h)
监督职责分配,参与加工操作人员的意识和培训,以及相应的审核。
17.2
不遵守制裁
不遵守业务连续性审查可能导致对工作人员的纪律处分和制裁,包括解雇。
第18条:在国家立法妨碍BCR得到尊重的情况下采取的行动
18.1
转让个人资料时的法律冲突
如果传输个人数据的法律要求与欧洲经济区成员国或其他具有跨境数据传输法律要求的国家的法律相冲突,则任何相关的个人数据传输应事先获得数据保护官员的授权。在适当情况下,应要求AEPD或其他主管公共当局提供指导。
18.2
BCR与当地法律之间的冲突
(a)
如果适用的当地法律与BCR之间存在冲突,TDCX员工必须与数据保护官协商。应获得当地律师的适当法律意见。在适当情况下,应要求AEPD或其他主管公共当局提供指导。
(b)
如果本地法律,包括GDPR和其他欧盟立法,要求对个人数据提供更高级别的保护,它将优先于BCR。
(c)
在任何情况下,TDCX均应根据GDPR、任何其他适用法律或相关当地法律处理个人数据。
第19条:内部申诉机制
19.1
数据主体有权在TDCX内部就BCR的合规性提出投诉:
(a)
按照相关隐私政策或合同规定的投诉程序;或
(b)
通过数据保护专员,该专员应对投诉进行调查,并在必要时就适当的合规措施向TDCX提出建议,监督此类措施,直至其完成。如有需要,数据保护专员应与AEPD协商采取的措施。
19.2
在TDCX收到投诉后的一个月内,数据保护专员应书面通知投诉人:
(a)
TDCX对投诉的回应,以及TDCX已采取或拟采取的任何回应行动;或
(b)
投诉人被告知TDCX立场的最终日期,该日期不得迟于收到投诉之日起两个月。
19.3
申诉的可受理性
只有在申诉人遵守了BCRs中规定的程序后,才可受理申诉。任何个人就其在BCRs项下可能拥有的任何权利提出的投诉,应仅向TDCX提出,并应专门提交给AEPD(欧洲经济区一个国家的数据保护机构的管辖权除外)或西班牙的主管法院。
19.4
违约补救权
根据BCR,数据主体或其他自然人只有权根据适用法律获得补救,其中应包括获得损害赔偿的权利。但是,TDCX仅对个人因违反BCR而遭受的直接损害(不包括但不限于利润或收入损失以及营业额损失)负责。
第20条:TDCX的责任和第三方受益人权利
20.1
TDCX实体和员工应遵守BCR:
(a)
BCR是有约束力的义务,不遵守这些义务可能导致员工受到纪律处分,包括解雇和法律规定的其他处罚。
(b)
TDCX接受并同意监督TDCX集团对BCR的遵守情况,并应帮助确保第三方采取必要行动纠正与BCR有关的任何不遵守行为。如果欧盟以外的BCR成员违反BCR,欧盟法院或其他主管机构将拥有管辖权,数据主体将拥有针对已承担责任和责任的TDCX实体的权利和补救措施
承担责任的BCR成员也将有责任证明欧盟以外的BCR成员不对导致数据主体索赔的任何违反规则的行为承担责任。如果接受赔偿责任的BCR成员国能够证明欧盟以外的BCR成员国对造成损害的事件不负责任,它可以免除自己的任何责任
(c)
数据保护专员应调查不合规的索赔,以确定是否发生了违反BCR的行为。如果违规行为得到确认,数据保护专员和相关TDCX实体应在商业上合理的时间内共同解决违规行为。
20.2
TDCX客户、承包商、雇员和求职者有权要求强制执行BCR或作为BCR中规定的第三方受益人就以下事项承担责任:
(a)
法律适用;
(b)
个人资料处理原则;
(c)
访问、更正、删除、限制、反对处理的权利,不受仅基于自动处理(包括分析)的决定的权利。
(d)
透明和方便地访问BCR。
(e)
安全、保密;
(f)
同意;
(g)
个人资料转让
(h)
直接营销
(i)
投诉处理流程
(j)
责任和第三方权利;以及
(k)
对数据保护机构的义务。
TDCX客户、承包商、员工和求职者有权根据BCRs和适用法律,向AEPD或法院要求TDCX给予适当补偿。本条所述的执行权利和机制是对适用法律规定的其他补救办法或权利的补充。
第21条:对数据保护机构的义务
21.1
对AEPD的义务
(a)
TDCX实体应认真、适当地回应AEPD关于BCR及其遵守隐私法律法规的要求。
(b)
如果任何工作人员收到AEPD的此类请求,他或她应立即通知数据保护官,后者应回复AEPD。
(c)
关于TDCX实体之间的个人数据传输,TDCX实体的进口和出口应配合AEPD的调查和审计,并尊重符合适用法律和正当程序权利的决定。
21.2
与数据保护机构的互助与合作
(a)
TDCX实体应在回应个人的请求或投诉或AEPD或其他相关数据机构的调查或查询时相互合作和协助。
(b)
TDCX实体应遵守AEPD关于解释BCR的任何问题的建议。
第22条:BCR的更新
22.1
只有在数据保护专员事先批准的情况下,才能修改BCR。在适用的情况下,数据保护专员应就BCR的任何相关变更获得AEPD的授权。
22.2
在BCR适当涵盖数据传输并实施相关合规措施之前,不得将数据传输给TDCX实体或员工。
22.3
任何修订只有在数据保护专员批准并在TDCX网站上公布后才能生效。
22.4
数据保护专员应负责[每年[定期]向AEPD通报BCR的重大变化。数据保护专员应将AEPD的建议、指导或回应(如有)告知TDCX董事会。
22.5
涉及BCR的任何请求、投诉或索赔,应参考提出请求、投诉或索赔时有效的BCR版本确定。
最后更新日期: 2019年1月
