個人資料收集聲明 - 瑞士

個人資料收集聲明 - 瑞士

本個人資料收集聲明(“PICS”) 描述IPG Howden Asia Holdings, Ltd.(以下簡稱“Howden Private Wealth”)及其子公司(以下統稱“本公司”)如何處理貴方的個人資料,尤其是《歐盟通用數據保護條例》(“GDPR”)和《瑞士聯邦數據保護法》(“SFADP”)所指的貴方個人資料。與貴方聯繫的該公司系貴方個人資料的控制方(也稱爲“資料控制方”)。作爲貴方個人資料之資料控制方的相關公司聯繫信息載於下文第 10 條。一般情況下:若貴方爲歐盟居民,則適用對 GDPR 的引用。若貴方爲瑞士居民,則適用對 SFADP 的引用。

本公司確認在收集、持有、處理、使用和/或轉移個人資料方面的責任。個人資料將僅用於合法和相關目的,且本公司將採取一切實際步驟確保所持有的個人資料準確無誤。此外,本公司也將採取一切實際步驟確保個人資料的安全,並避免未經授權或意外的讀取、刪除或其他未經授權或非法的使用。

爲向貴方提供下文“目的”文段中所述的保險經紀和其他服務,本公司可能直接從貴方或其他第三方收集個人資料。敬請留意,如果貴方不向本公司提供個人資料,本公司可能無法提供貴方所需的信息、產品或服務或處理貴方的請求。

目的:本公司不時有必要收集貴方的個人資料,且因以下目的(“目的”)可使用、儲存、處理、轉移、披露或分享該等個人資料,包括:

  1. 爲貴方提供保險經紀服務,包括衡量和評估貴方在保險、財富管理、遺產規劃、業務規劃或其他財務事宜方面的需求;
  2. 就與保險、財富管理、遺產規劃、業務或財務規劃有關的事宜爲貴方提供建議、協助或代表貴方行事,或代表貴方安排保險合同;
  3. 爲貴方準備任何保險產品/服務的申請。這將需要向保險公司提供貴方的個人資料,以獲得承保;
  4. 向貴方提供後續服務,包括但不限於爲評估或管理目的進行面對面的會議或電話討論:無論就貴方購買的任何產品/服務提出的,或針對貴方提出的或以其他方式涉及貴方的任何索賠有關的任何目的,包括對索賠的調查;
  5. 與本公司提供的經紀服務有關的任何其他目的;
  6. 爲客戶設計產品/服務的目的;
  7. 爲統計或其他目的進行市場研究;
  8. 爲此處列出的任何目的不時對與貴方相關的任何資料進行匹配;
  9. 根據任何適用法律、規則、法規、業務守則或指南的要求進行披露,或爲協助執法,協助警方或其他政府、全球各地的監管或稅務機關執行調查而進行披露;
  10. 爲進行身份驗證;
  11. 爲遵守任何適用司法管轄區的法律;
  12. 爲開展與公司業務運營有關的其他服務;和
  13. 與上述任何一項直接相關的其他目的。

法律依據:處理該等個人資料的法律依據是 GDPR 第 6(1)(b) 條或該法第 6(1)(f)條規定的優先性私人或公共利益(該兩條規定相等於SFADP 第 13(1)條和第 13(2) 條),同時也依據所簽署的客戶轉介函。此外,在無其他法律依據的情況下,本公司也通常以貴方根據GDPR 第 6(1)(a) 條(相等於 SFADP 第 13(1)條)給予的同意作爲後備立場。

處理特殊類別個人資料和敏感個人資料的法律依據(有關更多信息,請參閱下文“特殊類別個人資料的處理”和“敏感個人資料”)系GDPR 第 9(1)(g) 條(出於根據歐盟或成員國法律系屬於重大公共利益的原因)(相等於SFADP 第 13(1)和第(13)(2)條)),同時也依據所簽署的客戶轉介函。此外,本公司也以貴方根據GDPR 第 9(2)(a)條和第10條(相等於SFADP第 13 (1)條)的同意作爲依據。

向國外轉移資料以及讓第三方將貴方的資料用於自身目的的法律依據系貴方的同意、 GDPR  第 6(1)(a) 條和第 49(1)(a)條(相等於 SFADP 第 13(1) 條和第 6 (2)(b)條)(請見下文)。敬請留意,在某些情況下,本公司可能會補充性/替代性地基於另一法律以貴方的同意作爲依據進行資料的國際轉移。

營銷的法律依據系貴方根據 GDPR 第 6(1)(a) 條(相等於 SFADP 第 13(1)條)所給予的同意。

個人資料的轉移:客戶已被明確告知,本公司向國外轉移的資料不再受瑞士和歐洲法律的保護。貴方的資料可能受外國法律的約束,這些法律也可能提供較低級別的保護。外國法律和官方命令也可能要求向當局或其他第三方披露該等資料。因此,貴方的個人資料將被保密,但貴方的該等資料將受到任何適用法律規定的約束。爲此,貴方同意根據 GDPR 第 6(1)(a) 條和第 49(1)(a)(相等於 SFADP 第 13(1) 條和第 6(2)(b) 條)將貴方的資料轉移給下列類別的資料接收者(敬請留意,在某些情況下,本公司可能會補充性/替代性地基於另一法律以貴方的同意作爲依據):

  1. 本公司在世界各地的關聯公司、與本公司有關聯的人士、保險或任何再保險公司、索賠調查公司、行業協會或聯合會或金融機構(包括轉介銀行合作伙伴);
  2. 在世界各地向本公司和/或向本公司的關聯公司提供行政、技術或其他服務(包括直接促銷服務)並負有保密責任的任何代理人、承包商或第三方;
  3. 本公司在世界各地的權利或業務的任何實際或建議的受讓方、受轉讓方、參與者或子參與者;
  4. 世界各地的任何政府部門或其他適當的政府或監管機構。

 
在直接營銷中使用及提供個人資料:本公司僅出於以下指定的一個或多個目的爲營銷理由轉移貴方的個人資料。

本公司及/或關聯公司擬:

  1. 向貴方推薦、提供和推廣本地或離岸保險公司或其他保險服務供應商的保險產品/服務。
  2. 使用本公司不時持有的貴方的姓名、聯繫方式、產品和服務組合信息、交易形態和行爲、財務背景和統計數據,以進行直接促銷和提供額外保險諮詢活動;
  3. 爲獲得人壽保險的目的向保險公司和/或再保險公司提供貴方的個人資料;
  4. 爲獲得融資而向金融機構提供有關貴方的保險單和/或申請的信息;
  5. 向保險公司和/或再保險公司提供貴方的個人資料,以獲得額外的人壽保險以及健康、保健、年金和其他保險產品。
  6. 按照貴方的指示,向保單持有人(可能是貴方或關聯實體)提供有關貴方的保單的信息。
  7. 使用貴方的資料提供“售後”服務,包括面對面會議和電話討論,以爲貴方的單個或多個保單提供建議、評估和管理。

處理該等個人資料的法律依據系貴方根據GDPR 第 6(1)(a) 條(相等於 SFADP 第 13(1)條)所給予的同意。

處理特殊類別的個人資料和敏感個人資料:公司爲身份驗證或覈保目的可能會分別從貴方收集或從其他第三方(例如背景和資歷調查服務提供商)接收特殊類別的個人資料或敏感個人資料。“特殊類別”的個人資料是指(直接或間接)揭示或涉及種族或民族血統、社區原籍、政治派別或觀點、宗教或哲學信仰、犯罪記錄、工會成員身份、健康,包括用於獨特識別自然人身份的遺傳數據和生物特徵數據等個人資料。( GDPR 第 9(1) 條和第 10 條)。“敏感個人資料”是指與宗教、意識形態、政治或工會相關的觀點或活動、健康、私密領域或種族血統、社會保障措施、行政或刑事訴訟和制裁有關的個人資料( SFADP 第 3(c)條)。

本公司處理以下種類的特殊類別的個人資料和敏感個人資料:

  • 犯罪記錄 
  • 政治派別或觀點 
  • 健康資料
  • 通用數據和生物識別數據

爲上述目的轉移給第三方的資料:特此明確告知客戶,資料一旦轉移給全球各地的某些第三方(例如保險公司、背景/資歷調查服務提供商等)後就可能不受本公司的控制。該等第三方可能會將貴方的資料用於其自身目的。如果貴方不同意該等第三方使用貴方的資料,則必須直接與其聯繫。

通過簽署客戶轉介函,貴方瞭解這一事實,並同意本公司根據上述“個人資料的轉移”第 1 點至第 4 點的內容在全球各地向第三方轉移資料,且同意第三方將該等資料用於上述目的。

此外,通過簽署客戶轉介函,貴方確認並同意將貴方的資料用於上述目的。

撤回資料保護同意聲明的權利:貴方日後可以隨時撤回對處理和披露貴方個人資料的同意。撤回同意不影響自同意後至撤回時所進行的處理活動的合法性。敬請留意,對於某些資料處理,本公司使用貴方的同意作爲後備措施。若有其他法律依據,本公司可根據此替代法律依據繼續使用貴方的個人資料。

若貴方擬撤回所給予的同意,請以書面形式致函“資料控制方”(第 10 條)註明的地址。本公司應確保不再對需要貴方同意方可處理的資料進行該操作。

有關貴方權利的其他信息:作爲相關人士,貴方可能有權對資料控制方享有以下權利 - 貴方的具體權利和該等權利的範圍取決於貴方案件的適用法律:

1.              知情權

貴方有權要求資料控制方(即相關公司)確定其是否處理貴方的個人資料。

在有處理貴方個人資料的情況下,貴方可以根據適用法律要求資料控制方提供以下信息:

(1)    處理個人資料的目的; 

(2)    所處理的個人資料的類別;

(3)    已經或將要向其披露貴方個人資料的接收者或接收者類別; 

(4)    對貴方個人資料的計劃存儲期限,或若無法提供具體詳細信息,則提供確定存儲期限的準則;

(5)    是否存在更正或刪除貴方個人資料的權利,或要求控制方限制處理或反對處理的權利; 

(6)    是否存在向監管機構提出上訴的權利; 

(7)    是否存在有關資料來源的任何可用信息(在個人資料不是從相關人士收集的情況下); 

(8)    是否存在根據 GDPR 第 22(2) 條和第 22(4)條規定的自動決策(包括分析),且在該情況下,是否存在有關所涉及的邏輯和範圍以及該等處理對資料主體的預期影響等信息。
 

2.    更正權

貴方有權要求資料控制方更正和/或補充任何不準確或不完整的資料。資料控制方必須立即更正該等資料。

3.    限制處理權

在以下情況下,貴方可以要求限制處理與貴方有關的個人資料:

(1)   貴方對個人資料的準確性提出了異議,並給予一段時間使控制方能夠覈實該等個人資料的準確性;

(2)   對個人資料的處理是非法的,但貴方反對刪除個人資料,僅要求限制使用該等資料;

(3)   資料控制方不再需要對個人資料進行處理,但貴方爲主張、行使或捍衛合法索賠等還需要該等資料;或

(4)    貴方根據 GDPR 第 21(1) 條對處理提出了異議,但尚未確定資料控制方的合法理由是否優先於貴方的理由。

如果對與貴方有關的個人資料的處理受到限制,則該等資料(除了存儲外)只能在貴方同意的情況下進行處理,或出於主張、行使或捍衛合法索賠或保護其他自然人或法人的權利的目的進行處理,或出於歐盟或成員國的重要公共利益的原因進行處理。

若根據上述條件限制了處理,則資料控制方將在限制解除之前通知貴方。

4.    刪除權(“被遺忘權”)

貴方有權要求資料控制方立即刪除個人資料。在符合以下原因之一,控制方有義務立即刪除貴方的個人資料:

(1)    貴方的個人資料就收集或以其他方式處理的目的不再是必要的;

(2)    貴方根據 GDPR 第 6(1)(a) 條或第 9(2)(a) 條撤回處理所依據的同意,並且沒有其他法律規定能作爲處理的依據;

(3)    若貴方根據 GDPR 第 21(1) 條反對進行處理,並且沒有壓倒性的合法理由能作爲處理的依據,或者資料主體根據 GDPR 第 21(2) 條反對處理;

(4)    若貴方的個人資料被非法處理;

(5)    爲履行管轄控制方的歐盟或成員國法律下的合法義務必須刪除個人資料的;

(6)    個人資料是爲提供 GDPR 第 8(1) 條所述的信息社會服務而收集的。

若資料控制方已公開貴方的個人資料且根據  GDPR 第 17(1)條有義務刪除貴方的個人資料,則控制方在考慮可用技術和實施成本的前提下,必須採取合理步驟(包括技術措施),通知正在處理個人資料的各控制方貴方已要求該等控制方刪除個人資料的任何鏈接、副本或複製本。

例外情況:若基於以下情況有必要處理個人資料,上述刪除權不適用:

(1)    爲行使言論和信息自由權;

(2)    爲履行管轄資料控制方的歐盟或成員國法律下的合法義務,或爲執行公共利益的任務,或爲行使賦予控制方的官方權力而執行的任務;

(3)    爲基於 GDPR 第 9(2)(h) 條、第 9(2)(i)條和第 9(3)條的公共衛生考量;

(4)    爲基於 GDPR 第 89(1) 條的公共利益、科學或歷史研究目的或統計目的而進行的存檔,前提是上述刪除權可能導致該處理目標無法實現或嚴重受到損害;或

(5)    爲確立、行使或辯護合法索賠。
 

5.    關於更正或刪除個人資料或限制處理的通知義務

若貴方已向資料控制方主張更正、刪除或限制處理的權利,則資料控制方有義務向所有已向其披露貴方個人資料的接收者通知此更正、刪除或限制處理的要求,除非此舉確實不可能或涉及不成比例的大量努力。資料控制方有義務根據貴方的要求通知貴方有關該等接收者的信息。

6.    以便捷方式取得資料的權利

貴方可有權以結構化、通用和機器可讀的格式接收貴方提供給資料控制方的個人資料。在滿足以下條件的情況下,貴方還有權要求將該等資料傳達給另一位負責人,而無需接收該等個人資料的負責人的干預:

(1)    該處理系基於 GDPR 第 6(1)(a) 條或 GDPR 第 9(2)(a) 條給予的同意,或基於根據 GDPR 第 6(1)(b)條訂立的合同給予的同意;和
(2)    該處理是通過自動化程序執行的。

在行使此權利時,貴方還有權要求將與貴方有關的個人資料直接從一個資料控制方轉移到另一個資料控制方,前提是該轉移在技術上是可行的。其他人的自由和權利也不得因此而受到影響。

轉移資料的權利不適用於爲執行公共利益或爲行使賦予資料控制方的官方權力而執行的任務所必需的個人資料處理。

7.    反對權

貴方有權基於 GDPR 第 6(1)(e) 條和第6(1)(f) 根據自身情況隨時反對處理與貴方有關的個人資料,包括基於該等條款反對對個人資料進行分析。除非控制方展示具有信服力的合法理由進行處理(且該等理由處於貴方的利益、權利和自由之上),或者該處理是爲了建立、行使或捍衛合法索賠的,否則控制方不得再處理貴方的個人資料。

出於直接促銷目的處理個人資料的,貴方有權隨時反對爲該等營銷處理與貴方有關的個人資料,包括與直接促銷相關的分析。貴方若反對出於直接促銷目的進行的處理,貴方的個人資料將不再出於該目的被處理。

在使用信息社會服務的情況下,儘管有歐盟指令 2002/58/EC,貴方仍可以使用技術規範通過自動化方式行使貴方的反對權。

8.    自動化個人決策和分析

貴方可有權不受僅基於根據自動處理(包括分析)對貴方產生法律效力或類似重大影響的決策產生的約束。

該等決策若符合以下條件,則上述權利將不適用:
(1)    爲訂立或履行資料主體與資料控制方之間的合同所必需的;
(2)    由管轄控制方的歐盟或成員國法律授權的,且該法律規定了適當的措施保護資料主體的權利、自由和合法權益;或 

(3)    根據上述方式做決策系基於資料主體的明確同意的。

但是,除非適用GDPR 第 9(2)(a)條或第 9(2)(g)條,並且採取了適當的措施保障權利、自由和合法權益,否則不得基於 GDPR 第 9(1) 條提及的特殊類別的個人資料作出上述決策。

對於(1)和(3)中列出的情況,資料控制方應採取適當措施保護貴方的權利、自由和合法利益,至少使貴方有權獲得資料控制方的人爲干預、有權表達貴方的觀點和對決策提出異議。
 

9.    向監管機構提出投訴的權利

在不影響任何其他行政或司法補救措施的前提下,若貴方認爲處理與貴方有關的個人資料違反了 GDPR ,貴方可有權向監管機構提出投訴,尤其是在貴方的慣常居住地、工作地點或涉嫌侵權地點的成員國。爲避免誤解,敬請貴方留意,貴方根據 SFADP不享有此權利。


收到投訴的監管機構必須將投訴的進展和結果告知投訴人,包括根據 GDPR 第 78 條尋求司法補救的可能性。

10.    資料控制方

資料控制方是與貴方聯繫的個別公司(請參閱《個人資料收集聲明》的開頭)。資料控制方負責處理貴方的個人資料,並根據 GDPR 、SFADP 和成員國的其他國家資料保護法以及其他資料保護法規任命一名資料保護官。以下列出了貴方個人資料的資料控制方以及由該資料控制方指定的資料保護官:

資料隱私官 
International Planning Group GmbH
Bodmerstrasse 9
CH-8002 Zurich
Switzerland
電子郵件: ComplianceZurich@ipghowden.com

若貴方的請求明顯沒有根據或過度(尤其是由於重複性而過度),資料控制方可以根據適用法律:

(1)    在考慮到提供信息或通信或採取所要求的行動的行政成本的情況下,收取合理的費用;或

(2)    拒絕就該請求採取行動。

11.    貴方個人資料的保留期限

本公司根據履行合同義務和遵守法律義務或處理過程中的其他目的所需的時間處理和保留貴方的個人資料,即在整個業務關係的持續時間內(從業務的開展至履行合同期間直至業務終止)或基於法律的保留和存檔義務在業務終止後處理和保留貴方的個人資料。個人資料可能會在可以向公司提出索賠的期間內保留,或在公司有其他法律義務如此行的情況下保留,或基於合法的商業權益需要進一步保留(例如,用於證據和文件處理等目的)。若貴方的個人資料不再需要用於上述目的,本公司將盡可能將其刪除或匿名化處理。