个人资料收集声明 - 瑞士

个人资料收集声明 

本个人资料收集声明(“PICS”) 描述IPG Howden Asia Holdings, Ltd.(以下简称“Howden Private Wealth”)及其子公司(以下统称“本公司”)如何处理贵方的个人资料,尤其是《欧盟通用数据保护条例》(“GDPR”)和《瑞士联邦数据保护法》(“SFADP”)所指的贵方个人资料。与贵方联系的该公司系贵方个人资料的控制方(也称为“资料控制方”)。作为贵方个人资料之资料控制方的相关公司联系信息载于下文第 10 条。一般情况下:若贵方为欧盟居民,则适用对 GDPR 的引用。若贵方为瑞士居民,则适用对 SFADP 的引用。

本公司确认在收集、持有、处理、使用和/或转移个人资料方面的责任。个人资料将仅用于合法和相关目的,且本公司将采取一切实际步骤确保所持有的个人资料准确无误。此外,本公司也将采取一切实际步骤确保个人资料的安全,并避免未经授权或意外的读取、删除或其他未经授权或非法的使用。

为向贵方提供下文“目的”文段中所述的保险经纪和其他服务,本公司可能直接从贵方或其他第三方收集个人资料。敬请留意,如果贵方不向本公司提供个人资料,本公司可能无法提供贵方所需的信息、产品或服务或处理贵方的请求。

目的:本公司不时有必要收集贵方的个人资料,且因以下目的(“目的”)可使用、储存、处理、转移、披露或分享该等个人资料,包括:

  1. 为贵方提供保险经纪服务,包括衡量和评估贵方在保险、财富管理、遗产规划、业务规划或其他财务事宜方面的需求;
  2. 就与保险、财富管理、遗产规划、业务或财务规划有关的事宜为贵方提供建议、协助或代表贵方行事,或代表贵方安排保险合同;
  3. 为贵方准备任何保险产品/服务的申请。这将需要向保险公司提供贵方的个人资料,以获得承保;
  4. 向贵方提供后续服务,包括但不限于为评估或管理目的进行面对面的会议或电话讨论:无论就贵方购买的任何产品/服务提出的,或针对贵方提出的或以其他方式涉及贵方的任何索赔有关的任何目的,包括对索赔的调查;
  5. 与本公司提供的经纪服务有关的任何其他目的;
  6. 为客户设计产品/服务的目的;
  7. 为统计或其他目的进行市场研究;
  8. 为此处列出的任何目的不时对与贵方相关的任何资料进行匹配;
  9. 根据任何适用法律、规则、法规、业务守则或指南的要求进行披露,或为协助执法,协助警方或其他政府、全球各地的监管或税务机关执行调查而进行披露;
  10. 为进行身份验证;
  11. 为遵守任何适用司法管辖区的法律;
  12. 为开展与公司业务运营有关的其他服务;和
  13. 与上述任何一项直接相关的其他目的。

法律依据:处理该等个人资料的法律依据是 GDPR 第 6(1)(b) 条或该法第 6(1)(f)条规定的优先性私人或公共利益(该两条规定相等于SFADP 第 13(1)条和第 13(2) 条),同时也依据所签署的客户转介函。此外,在无其他法律依据的情况下,本公司也通常以贵方根据GDPR 第 6(1)(a) 条(相等于 SFADP 第 13(1)条)给予的同意作为后备立场。

处理特殊类别个人资料和敏感个人资料的法律依据(有关更多信息,请参阅下文“特殊类别个人资料的处理”和“敏感个人资料”)系GDPR 第 9(1)(g) 条(出于根据欧盟或成员国法律系属于重大公共利益的原因)(相等于SFADP 第 13(1)和第(13)(2)条)),同时也依据所签署的客户转介函。此外,本公司也以贵方根据GDPR 第 9(2)(a)条和第10条(相等于SFADP第 13 (1)条)的同意作为依据。

向国外转移资料以及让第三方将贵方的资料用于自身目的的法律依据系贵方的同意、 GDPR  第 6(1)(a) 条和第 49(1)(a)条(相等于 SFADP 第 13(1) 条和第 6 (2)(b)条)(请见下文)。敬请留意,在某些情况下,本公司可能会补充性/替代性地基于另一法律以贵方的同意作为依据进行资料的国际转移。

营销的法律依据系贵方根据 GDPR 第 6(1)(a) 条(相等于 SFADP 第 13(1)条)所给予的同意。

个人资料的转移:客户已被明确告知,本公司向国外转移的资料不再受瑞士和欧洲法律的保护。贵方的资料可能受外国法律的约束,这些法律也可能提供较低级别的保护。外国法律和官方命令也可能要求向当局或其他第三方披露该等资料。因此,贵方的个人资料将被保密,但贵方的该等资料将受到任何适用法律规定的约束。为此,贵方同意根据 GDPR 第 6(1)(a) 条和第 49(1)(a)(相等于 SFADP 第 13(1) 条和第 6(2)(b) 条)将贵方的资料转移给下列类别的资料接收者(敬请留意,在某些情况下,本公司可能会补充性/替代性地基于另一法律以贵方的同意作为依据):

  1. 本公司在世界各地的关联公司、与本公司有关联的人士、保险或任何再保险公司、索赔调查公司、行业协会或联合会或金融机构(包括转介银行合作伙伴);
  2. 在世界各地向本公司和/或向本公司的关联公司提供行政、技术或其他服务(包括直接促销服务)并负有保密责任的任何代理人、承包商或第三方;
  3. 本公司在世界各地的权利或业务的任何实际或建议的受让方、受转让方、参与者或子参与者;
  4. 世界各地的任何政府部门或其他适当的政府或监管机构。
     

在直接营销中使用及提供个人资料:本公司仅出于以下指定的一个或多个目的为营销理由转移贵方的个人资料。

本公司及/或关联公司拟:

  1. 向贵方推荐、提供和推广本地或离岸保险公司或其他保险服务供应商的保险产品/服务。
  2. 使用本公司不时持有的贵方的姓名、联系方式、产品和服务组合信息、交易形态和行为、财务背景和统计数据,以进行直接促销和提供额外保险咨询活动;
  3. 为获得人寿保险的目的向保险公司和/或再保险公司提供贵方的个人资料;
  4. 为获得融资而向金融机构提供有关贵方的保险单和/或申请的信息;
  5. 向保险公司和/或再保险公司提供贵方的个人资料,以获得额外的人寿保险以及健康、保健、年金和其他保险产品。
  6. 按照贵方的指示,向保单持有人(可能是贵方或关联实体)提供有关贵方的保单的信息。
  7. 使用贵方的资料提供“售后”服务,包括面对面会议和电话讨论,以为贵方的单个或多个保单提供建议、评估和管理。

处理该等个人资料的法律依据系贵方根据GDPR 第 6(1)(a) 条(相等于 SFADP 第 13(1)条)所给予的同意。

处理特殊类别的个人资料和敏感个人资料:公司为身份验证或核保目的可能会分别从贵方收集或从其他第三方(例如背景和资历调查服务提供商)接收特殊类别的个人资料或敏感个人资料。“特殊类别”的个人资料是指(直接或间接)揭示或涉及种族或民族血统、社区原籍、政治派别或观点、宗教或哲学信仰、犯罪记录、工会成员身份、健康,包括用于独特识别自然人身份的遗传数据和生物特征数据等个人资料。( GDPR 第 9(1) 条和第 10 条)。“敏感个人资料”是指与宗教、意识形态、政治或工会相关的观点或活动、健康、私密领域或种族血统、社会保障措施、行政或刑事诉讼和制裁有关的个人资料( SFADP 第 3(c)条)。

本公司处理以下种类的特殊类别的个人资料和敏感个人资料:

  • 犯罪记录 
  • 政治派别或观点 
  • 健康资料
  • 通用数据和生物识别数据

为上述目的转移给第三方的资料:特此明确告知客户,资料一旦转移给全球各地的某些第三方(例如保险公司、背景/资历调查服务提供商等)后就可能不受本公司的控制。该等第三方可能会将贵方的资料用于其自身目的。如果贵方不同意该等第三方使用贵方的资料,则必须直接与其联系。

通过签署客户转介函,贵方了解这一事实,并同意本公司根据上述“个人资料的转移”第 1 点至第 4 点的内容在全球各地向第三方转移资料,且同意第三方将该等资料用于上述目的。

此外,通过签署客户转介函,贵方确认并同意将贵方的资料用于上述目的。

撤回资料保护同意声明的权利:贵方日后可以随时撤回对处理和披露贵方个人资料的同意。撤回同意不影响自同意后至撤回时所进行的处理活动的合法性。敬请留意,对于某些资料处理,本公司使用贵方的同意作为后备措施。若有其他法律依据,本公司可根据此替代法律依据继续使用贵方的个人资料。

若贵方拟撤回所给予的同意,请以书面形式致函“资料控制方”(第 10 条)注明的地址。本公司应确保不再对需要贵方同意方可处理的资料进行该操作。

有关贵方权利的其他信息:作为相关人士,贵方可能有权对资料控制方享有以下权利 - 贵方的具体权利和该等权利的范围取决于贵方案件的适用法律:
 

1.              知情权

贵方有权要求资料控制方(即相关公司)确定其是否处理贵方的个人资料。

在有处理贵方个人资料的情况下,贵方可以根据适用法律要求资料控制方提供以下信息:

(1)    处理个人资料的目的; 

(2)    所处理的个人资料的类别;

(3)    已经或将要向其披露贵方个人资料的接收者或接收者类别; 

(4)    对贵方个人资料的计划存储期限,或若无法提供具体详细信息,则提供确定存储期限的准则;

(5)    是否存在更正或删除贵方个人资料的权利,或要求控制方限制处理或反对处理的权利; 

(6)    是否存在向监管机构提出上诉的权利; 

(7)    是否存在有关资料来源的任何可用信息(在个人资料不是从相关人士收集的情况下); 

(8)    是否存在根据 GDPR 第 22(2) 条和第 22(4)条规定的自动决策(包括分析),且在该情况下,是否存在有关所涉及的逻辑和范围以及该等处理对资料主体的预期影响等信息。
 

2.    更正权

贵方有权要求资料控制方更正和/或补充任何不准确或不完整的资料。资料控制方必须立即更正该等资料。

3.    限制处理权

在以下情况下,贵方可以要求限制处理与贵方有关的个人资料:

(1)   贵方对个人资料的准确性提出了异议,并给予一段时间使控制方能够核实该等个人资料的准确性;

(2)   对个人资料的处理是非法的,但贵方反对删除个人资料,仅要求限制使用该等资料;

(3)   资料控制方不再需要对个人资料进行处理,但贵方为主张、行使或捍卫合法索赔等还需要该等资料;或

(4)    贵方根据 GDPR 第 21(1) 条对处理提出了异议,但尚未确定资料控制方的合法理由是否优先于贵方的理由。

如果对与贵方有关的个人资料的处理受到限制,则该等资料(除了存储外)只能在贵方同意的情况下进行处理,或出于主张、行使或捍卫合法索赔或保护其他自然人或法人的权利的目的进行处理,或出于欧盟或成员国的重要公共利益的原因进行处理。

若根据上述条件限制了处理,则资料控制方将在限制解除之前通知贵方。

4.    删除权(“被遗忘权”)

贵方有权要求资料控制方立即删除个人资料。在符合以下原因之一,控制方有义务立即删除贵方的个人资料:

(1)    贵方的个人资料就收集或以其他方式处理的目的不再是必要的;

(2)    贵方根据 GDPR 第 6(1)(a) 条或第 9(2)(a) 条撤回处理所依据的同意,并且没有其他法律规定能作为处理的依据;

(3)    若贵方根据 GDPR 第 21(1) 条反对进行处理,并且没有压倒性的合法理由能作为处理的依据,或者资料主体根据 GDPR 第 21(2) 条反对处理;

(4)    若贵方的个人资料被非法处理;

(5)    为履行管辖控制方的欧盟或成员国法律下的合法义务必须删除个人资料的;

(6)    个人资料是为提供 GDPR 第 8(1) 条所述的信息社会服务而收集的。

若资料控制方已公开贵方的个人资料且根据  GDPR 第 17(1)条有义务删除贵方的个人资料,则控制方在考虑可用技术和实施成本的前提下,必须采取合理步骤(包括技术措施),通知正在处理个人资料的各控制方贵方已要求该等控制方删除个人资料的任何链接、副本或复制本。

例外情况:若基于以下情况有必要处理个人资料,上述删除权不适用:

(1)    为行使言论和信息自由权;

(2)    为履行管辖资料控制方的欧盟或成员国法律下的合法义务,或为执行公共利益的任务,或为行使赋予控制方的官方权力而执行的任务;

(3)    为基于 GDPR 第 9(2)(h) 条、第 9(2)(i)条和第 9(3)条的公共卫生考量;

(4)    为基于 GDPR 第 89(1) 条的公共利益、科学或历史研究目的或统计目的而进行的存档,前提是上述删除权可能导致该处理目标无法实现或严重受到损害;或

(5)    为确立、行使或辩护合法索赔。
 

5.    关于更正或删除个人资料或限制处理的通知义务

若贵方已向资料控制方主张更正、删除或限制处理的权利,则资料控制方有义务向所有已向其披露贵方个人资料的接收者通知此更正、删除或限制处理的要求,除非此举确实不可能或涉及不成比例的大量努力。资料控制方有义务根据贵方的要求通知贵方有关该等接收者的信息。

6.    以便捷方式取得资料的权利

贵方可有权以结构化、通用和机器可读的格式接收贵方提供给资料控制方的个人资料。在满足以下条件的情况下,贵方还有权要求将该等资料传达给另一位负责人,而无需接收该等个人资料的负责人的干预:

(1)    该处理系基于 GDPR 第 6(1)(a) 条或 GDPR 第 9(2)(a) 条给予的同意,或基于根据 GDPR 第 6(1)(b)条订立的合同给予的同意;和
(2)    该处理是通过自动化程序执行的。

在行使此权利时,贵方还有权要求将与贵方有关的个人资料直接从一个资料控制方转移到另一个资料控制方,前提是该转移在技术上是可行的。其他人的自由和权利也不得因此而受到影响。

转移资料的权利不适用于为执行公共利益或为行使赋予资料控制方的官方权力而执行的任务所必需的个人资料处理。

7.    反对权

贵方有权基于 GDPR 第 6(1)(e) 条和第6(1)(f) 根据自身情况随时反对处理与贵方有关的个人资料,包括基于该等条款反对对个人资料进行分析。除非控制方展示具有信服力的合法理由进行处理(且该等理由处于贵方的利益、权利和自由之上),或者该处理是为了建立、行使或捍卫合法索赔的,否则控制方不得再处理贵方的个人资料。

出于直接促销目的处理个人资料的,贵方有权随时反对为该等营销处理与贵方有关的个人资料,包括与直接促销相关的分析。贵方若反对出于直接促销目的进行的处理,贵方的个人资料将不再出于该目的被处理。

在使用信息社会服务的情况下,尽管有欧盟指令 2002/58/EC,贵方仍可以使用技术规范通过自动化方式行使贵方的反对权。

8.    自动化个人决策和分析

贵方可有权不受仅基于根据自动处理(包括分析)对贵方产生法律效力或类似重大影响的决策产生的约束。

该等决策若符合以下条件,则上述权利将不适用:
(1)    为订立或履行资料主体与资料控制方之间的合同所必需的;
(2)    由管辖控制方的欧盟或成员国法律授权的,且该法律规定了适当的措施保护资料主体的权利、自由和合法权益;或 

(3)    根据上述方式做决策系基于资料主体的明确同意的。

但是,除非适用GDPR 第 9(2)(a)条或第 9(2)(g)条,并且采取了适当的措施保障权利、自由和合法权益,否则不得基于 GDPR 第 9(1) 条提及的特殊类别的个人资料作出上述决策。

对于(1)和(3)中列出的情况,资料控制方应采取适当措施保护贵方的权利、自由和合法利益,至少使贵方有权获得资料控制方的人为干预、有权表达贵方的观点和对决策提出异议。
 

9.    向监管机构提出投诉的权利

在不影响任何其他行政或司法补救措施的前提下,若贵方认为处理与贵方有关的个人资料违反了 GDPR ,贵方可有权向监管机构提出投诉,尤其是在贵方的惯常居住地、工作地点或涉嫌侵权地点的成员国。为避免误解,敬请贵方留意,贵方根据 SFADP不享有此权利。


收到投诉的监管机构必须将投诉的进展和结果告知投诉人,包括根据 GDPR 第 78 条寻求司法补救的可能性。

10.    资料控制方

资料控制方是与贵方联系的个别公司(请参阅《个人资料收集声明》的开头)。资料控制方负责处理贵方的个人资料,并根据 GDPR 、SFADP 和成员国的其他国家资料保护法以及其他资料保护法规任命一名资料保护官。以下列出了贵方个人资料的资料控制方以及由该资料控制方指定的资料保护官:
 

资料隐私官 
International Planning Group GmbH
Bodmerstrasse 9
CH-8002 Zurich
Switzerland
电子邮件:ComplianceZurich@ipghowden.com

若贵方的请求明显没有根据或过度(尤其是由于重复性而过度),资料控制方可以根据适用法律:

(1)    在考虑到提供信息或通信或采取所要求的行动的行政成本的情况下,收取合理的费用;或

(2)    拒绝就该请求采取行动。

11.    贵方个人资料的保留期限

本公司根据履行合同义务和遵守法律义务或处理过程中的其他目的所需的时间处理和保留贵方的个人资料,即在整个业务关系的持续时间内(从业务的开展至履行合同期间直至业务终止)或基于法律的保留和存档义务在业务终止后处理和保留贵方的个人资料。个人资料可能会在可以向公司提出索赔的期间内保留,或在公司有其他法律义务如此行的情况下保留,或基于合法的商业权益需要进一步保留(例如,用于证据和文件处理等目的)。若贵方的个人资料不再需要用于上述目的,本公司将尽可能将其删除或匿名化处理。