数据保护政策

Façade Creations Ltd 数据保护政策

介绍

Façade Creations Ltd 致力于保护个人数据的隐私和安全，并遵守英国《通用数据保护条例》(UK GDPR) 《2018 年数据保护法》以及所有其他适用的数据保护法律。我们也遵守《2006 年公司法》，尤其是在公司记录的妥善保存和安全方面。本政策概述了 Façade Creations 如何收集、使用、存储和保护个人数据，以符合我们作为一家专注于定制铝制幕墙设计、制造和安装的公司的业务运营。本政策涵盖与我们的员工、客户、供应商、网站用户和其他利益相关者相关的个人数据，并解释了个人对其数据享有的权利。

数据控制器

Façade Creations Ltd 是“数据控制者”，负责决定我们组织如何处理个人数据以及处理原因。如有任何关于个人数据或本政策的疑问、请求或疑虑，请联系我们的数据保护代表：

• 电子邮件： info@facadecreations.co.uk
• 邮政地址： Façade Creations Ltd, 124 City Road, London, England, EC1V 2NX find-and-update.company-information.service.gov.uk

角色与职责

Façade Creations 的数据保护合规最终责任由我们的总监Hashim Choksi，他负责监督和执行本数据保护政策。鉴于我们数据处理的性质和规模，目前我们尚未正式任命数据保护官 (DPO)，因为法律并未要求我们这样做。然而，数据保护责任由高级管理层在内部承担。所有员工在入职培训和持续培训计划中都会接受基本的 GDPR 和数据保护培训。员工应理解并遵守本政策，并向管理层报告任何潜在的数据保护问题。我们会定期进行审查和审计（详见“审查与更新”），以确保合规并解决任何漏洞。

定义

就本政策而言，以下定义适用：

• 个人数据：指与已识别或可识别的自然人（称为“数据主体”）相关的任何信息。这包括显而易见的标识符，例如姓名、联系方式（电子邮件、电话、地址），以及诸如员工 ID、IP 地址或任何可以与个人关联的信息。
• 处理：对个人数据进行的任何操作，无论是自动的还是手动的。处理包括收集、记录、组织、存储、更改、检索、使用、披露、传输、组合、限制、删除或销毁个人数据。
• 数据主体：指个人数据所涉及的个人。例如，根据本政策，我们的员工、客户和网站用户均可被视为数据主体。
• 数据控制者：决定处理个人数据的目的和方式的实体（在本例中为 Façade Creations Ltd）。
• 数据处理者：指根据数据控制者的指示，代表数据控制者处理个人数据的第三方（不包括我方员工）。（例如，托管我们数据的云服务提供商可能充当数据处理者。）

数据收集与处理

我们仅出于业务运营所必需的特定、明确且合法的目的收集和处理个人数据。以下概述了我们处理的个人数据类型以及处理每种数据类型的目的和法律依据：

1. 员工（人力资源）数据–用途：用于招聘、雇用和管理员工，并履行作为雇主的法律义务。这包括处理人力资源管理、薪资、福利、绩效考核以及工作场所健康与安全合规所需的数据。
   数据类别：员工个人信息（姓名、联系方式、出生日期、国民保险号码）、求职申请材料和雇佣记录（简历、推荐信、雇佣合同、职位和雇佣日期）、用于支付工资的工资单和银行账户信息，以及任何必要的证明文件或工作许可文件。我们可能还会根据需要保留培训、绩效评估和纪律处分记录。
   法律依据： 合同必要性（履行雇佣合同，例如支付工资）；法律义务（遵守劳动法、税务要求和法定记录保存规定，例如英国税务海关总署的工资记录和《2006年公司法》的要求）；以及合法权益（高效管理员工队伍并确保业务连续性，同时平衡这些权益与员工权利）。
2. 客户和项目数据–目的：管理与客户的关系，并提供幕墙设计和安装服务。这包括回复咨询、提供报价、签订合同、执行项目以及履行法律和合同义务（例如健康与安全法规、建筑法规）。
   数据类别：客户联系方式（姓名、职务、公司地址、电话号码、电子邮件地址）；客户提供的项目相关信息（项目要求、规格、现场地址）；与客户的沟通记录；以及合同和财务详情（报价单、合同、发票、付款记录）。
   法律依据： 合同必要性（在签订合同前应客户要求采取措施，并履行我们关于幕墙设计、供应和安装的合同）；法律义务（遵守与客户交易相关的法律，例如建筑法规、建筑规范、税法）；以及合法权益（确保有效的项目管理、维护客户关系，并以客户合理预期的方式与客户沟通，例如提供项目更新）。在有限的情况下，我们也可以依赖同意——例如，如果潜在客户注册接收营销简讯（见下文“营销传播”）。
3. 供应商和承包商数据–用途：管理货物和服务的采购，与我们的分包商和供应商协调，并履行我们支付和记录这些交易的义务。这涵盖与我们的供应商、分包商、顾问以及我们在项目中合作的其他第三方相关的数据。
   数据类别：供应商或承包商的联系方式（联系人姓名、公司名称、地址、电子邮件、电话）；合同和协议；付款所需的银行和支付信息（账号、银行代码或IBAN、增值税号或公司编号）；以及相关的资质或保险详情（例如，根据我们承包商审查流程的要求，提供专业责任保险证明或相关认证）。
   法律依据： 合同必要性（与我们的供应商和分包商签订和履行合同，例如，发出采购订单、支付发票）；法律义务（例如，出于税务和审计目的保留交易记录，在适用情况下遵守反欺诈或反贿赂法律）；以及合法权益（例如，审查供应商的质量和可靠性，确保项目供应链效率，以及维持业务连续性）。这些利益与任何隐私影响之间需要权衡，通常我们在此背景下收集的数据是面向业务的，而不是过于私人的。
4. 营销通讯数据–用途：向选择接收此类信息的个人发送关于我们服务的更新、新闻或营销通讯。这有助于我们推广业务，并让感兴趣的各方了解我们的产品和服务（例如，新的外立面解决方案、项目案例研究或活动）。
   数据类别：已表示对我们的服务感兴趣或订阅我们邮件列表的客户或潜在客户的姓名和联系方式（例如，电子邮件地址和公司名称）。我们还可能记录沟通偏好（例如，选择加入的同意记录、首选联系方式）和互动历史（例如，电子邮件打开率或活动参与情况，以汇总形式呈现）。
   法律依据： 同意– 我们所有电子邮件营销通讯均依赖于明确的选择加入同意。只有在个人明确同意的情况下（例如，在表格上勾选选择加入框或通过我们的网站订阅），我们才会将其添加到我们的营销邮件列表中。未经同意，我们不会发送大量营销电子邮件。数据主体有权随时撤回同意。我们发送的每封营销电子邮件都包含一个取消订阅链接，个人也可以随时联系我们，要求将其从营销列表中移除。我们将立即响应您的退出请求。
5. 网站用户数据和 Cookie –用途：运营和改进我们的公司网站，并了解用户如何与网站互动。当您访问我们的网站 (www.facadecreations.co.uk) 时，我们会通过 Cookie 和类似技术收集某些数据，以实现网站功能和进行数据分析。
   数据类别：我们使用Cookie来实现网站的基本功能（例如会话管理，用于记住您的偏好或在您登录的情况下保持您的登录状态）以及进行基本数据分析。分析数据（例如通过 Google Analytics）通常会进行汇总和匿名化处理，这有助于我们跟踪网站流量和使用模式，而不会直接识别单个访问者。我们不会通过分析 Cookie 收集个人身份信息，也不会将 Cookie 用于广告目的。如果我们的网站包含联系表单或咨询表单，您提供的个人数据（例如姓名、电子邮件地址、电话号码和咨询详情）将仅用于回复您的请求（如上文“客户数据”部分所述），并按照本政策进行处理。
   法律依据： 合法权益——确保网站良好运行并了解用户使用情况以进行改进符合我们的利益，同时尊重用户隐私（分析数据已匿名化）。我们也会在法律要求的情况下征得您的同意（首次访问时，我们会显示 Cookie 通知，征求您对非必要 Cookie 的同意）。您可以随时通过浏览器设置禁用非必要 Cookie；但请注意，这可能会影响网站的某些功能。

数据共享和传输

我们对个人数据予以保密，不会与第三方共享。在必须共享数据时，我们会遵循数据最小化原则，仅共享必要的信息。我们可能共享个人数据的主要情况包括：

• 分包商和供应商：我们会根据项目执行需要，与分包商、分包顾问和供应商共享相关数据。例如，出于健康与安全考虑，我们可能会向分包商提供现场访问详情或工人姓名；或者与物流合作伙伴共享客户联系信息，以便协调发货。在所有情况下，我们仅向第三方提供其特定任务所需的数据，并期望他们妥善保管这些数据。
• 专业顾问：保险公司、会计师共享数据。例如，保险公司可能会收到包含个人数据的理赔详情，或者我们的会计师在协助进行工资核算或财务审计时可能会看到员工和承包商的付款信息。这些相关方均受职业保密义务或数据保护合同协议的约束。
• 顾问和业务合作伙伴：如果我们在项目中聘请外部顾问或合资伙伴，我们可能需要共享某些数据（例如项目团队联系方式、相关经验概况）以促进合作。此类共享将根据具体情况受保密协议和数据处理协议的约束。
• 监管和法律要求：如法律要求，我们将向政府机构、监管机构、执法部门或法院披露个人数据。例如，我们可能需要出于税务目的向英国税务海关总署 (HMRC) 提供信息，或在信息专员办公室 (ICO) 调查投诉时向其提供信息，或遵守法院命令或传票。在所有情况下，我们都会核实请求的合法性，并且仅共享法律要求的必要数据。

Façade Creations不会将个人数据出售给任何第三方用于营销或其他目的。

国际数据传输：作为一家总部位于英国的企业，我们主要在英国境内存储和处理数据。但是，我们使用一些信誉良好的云服务（例如，用于电子邮件和文档存储的Microsoft 365 Google Analytics 工具以及Xero ），这些服务可能涉及将数据存储在英国境外的服务器上。每当个人数据被传输到英国（或欧洲经济区）以外的地区时——例如，传输到美国或其他地区的数据中心——我们都会确保采取法律保障措施。这些保障措施可能包括标准合同条款 (SCC)或依赖英国政府的充分性决定，并且我们确保我们的服务提供商已获得认证或通过合同承诺遵守与 GDPR 同等的数据保护标准。我们会仔细审查第三方提供商的数据保护合规性，并且只与拥有强大安全实践的国际认可公司合作。我们的目标是确保个人数据无论在何处处理，同等的保护

数据安全

Façade Creations采取适当的技术和组织安全措施，保护个人数据免遭未经授权的访问、丢失、破坏或篡改。我们持续审查并改进安全措施，使其符合行业标准。我们已实施的关键措施包括：

• 安全存储：电子形式的个人数据存储在安全且访问受控的系统中。我们对静态和传输中的敏感数据均采用加密技术（例如，我们的数据库和笔记本电脑均采用磁盘加密）。服务器设有密码保护和防火墙保护，云存储（例如 Microsoft 365 中的 SharePoint/OneDrive）也经过加密和监控。包含个人数据的纸质记录保存在上锁的柜子或访问受限的安全办公区域内。
• 访问控制：我们严格限制个人数据的访问权限，仅允许因工作需要而获得授权的人员访问。我们根据员工角色授予不同的访问权限级别（遵循最小权限原则）。例如，人力资源数据仅限获得授权的人力资源和管理人员访问；项目数据仅限项目团队和相关管理员访问。所有员工都必须为公司系统使用强密码和唯一密码，并且在可行的情况下，远程访问将启用多因素身份验证。
• 安全通信：当我们向第三方传输个人数据（例如向我们的会计师发送工资信息或与分包商共享项目数据）时，我们会使用安全渠道。电子邮件默认通过加密的TLS连接发送，对于包含特别敏感数据的文件，我们会使用密码保护或加密。我们不建议使用不安全的渠道传输任何个人信息。
• 实体安全：我们的办公室采取了严格的安全措施，防止未经授权的人员进入——只有员工才能使用钥匙或门禁卡进入办公室和文件存储区域，访客均需由专人陪同。包含个人数据的文件或设备不会无人看管地放置在公共区域。我们还采用碎纸机销毁所有包含个人数据的纸质文件，并实行桌面清洁制度，以最大程度地减少敏感文件的暴露风险。
• 设备和信息安全：公司所有笔记本电脑和设备均已安装最新的防病毒/反恶意软件，并定期更新安全补丁。我们制定了信息技术资产管理流程，用于跟踪公司设备，并确保在设备退役时进行安全处置。存储个人数据的移动硬盘或U盘均已加密，或尽可能避免使用。
• 第三方服务：我们使用值得信赖的云服务和IT服务提供商（例如微软和Xero）来支持我们的业务。在与任何将处理个人数据的服务提供商合作之前，我们会评估其安全认证和隐私政策，以确保其符合GDPR标准。我们会与这些服务提供商签署数据处理协议，以确保他们承诺代表我们保护数据。
• 监控与测试：我们会定期对系统进行安全审计和风险评估。我们会定期审查员工访问权限，确保仅保留必要的访问权限。此外，我们还会为员工提供持续的网络安全最佳实践培训（例如识别网络钓鱼攻击和保护信息安全）。

通过实施上述措施，我们力求保持高水平的安全保障，并降低数据泄露或未经授权的数据披露的风险。.

数据保留

仅在为实现收集目的以及满足任何法律、会计或报告要求所必需的时间内保留个人数据。保留期限取决于数据类型和适用的法律/监管义务。我们的一般保留政策如下：

• 员工（人事）记录：在员工离职后最多保留其个人数据6 年。这包括保留基本身份信息、雇佣合同和工资记录，期限为离职后 6 年。如有需要，某些记录可能会保留更长时间（例如，根据特定法规，养老金计划信息或工伤记录可能会保留更长时间），但我们不会无限期地保留完整的人事档案。
• 财务记录：英国税务海关总署 (HMRC) 的税务法规和《2006 年公司法》的可能包含个人数据的财务记录（例如发票、付款记录、费用报销单）将在财政年度结束后6 年。这确保我们在审计或财务调查时拥有相关文件。6 年后，除非法律要求对特定项目进行更长时间的保存，否则此类记录将被安全销毁。
• 项目和客户文件：项目相关文件（可能包括客户往来函件、合同、项目计划等）的保存期限项目周期，通常在项目完成后保留6 至 10 年。具体期限取决于合同义务和责任考量——例如，合同通常会规定某些记录的保存年限。在建筑行业，6 至 12 年的保存期限较为常见（如果文件加盖印章，则为 12 年）。我们采用 10 年作为主要项目文件的通用保存期限，以涵盖潜在的潜在缺陷责任期。这些文件将被安全存档，仅在需要参考或出于法律原因时才会查阅。
• 咨询及潜在客户数据：如客户提出咨询但最终未与我们签订合同，我们将保留其咨询记录及联系方式，自上次互动起最多保留两年。此举旨在便于我们跟进潜在业务或了解过往沟通情况。若客户两年内未有任何活动（或客户提出要求后立即删除），我们将删除或匿名化其咨询数据。对于已同意接收营销信息的客户，我们将保留其信息，直至其取消订阅或撤回同意。届时，我们将立即将其从活跃邮件列表中移除（同时保留一份屏蔽列表，以确保我们尊重客户的不联系请求）。
• 其他类别：监控录像（如果我们在办公场所安装监控系统）通常会保留较短时间（例如 30 天），除非调查需要。对于我们最终未录用的求职者，招聘（求职申请）数据通常会保留最多 6 个月，除非求职者同意保留更长时间以备将来机会之需。

在任何情况下，当数据保留期限届满后，我们将安全地删除个人数据或进行匿名化处理（使其不再与特定个人关联）。安全删除可能包括使用适当的软件工具永久擦除电子文件以及销毁纸质文件。我们制定了数据保留计划，并定期审查所持有的数据，以确保我们不会将个人数据保留超过必要的期限。

个人权利

根据英国《通用数据保护条例》(GDPR)，数据主体（即我们持有其数据的个人）享有多项权利。Façade Creations 尊重并维护这些权利。简而言之，个人享有以下权利：

• 访问权：您可以要求确认我们是否正在处理您的个人数据，如果正在处理，您可以要求获取我们持有的关于您的个人数据副本，以及我们如何使用这些数据的信息。这通常被称为“数据主体访问请求”。我们通常会在收到有效请求后一个月内，以简洁透明的方式提供相关信息。
• 更正权：如果您认为我们持有的任何个人数据不准确或不完整，您有权要求我们更正或更新。经核实后，我们将立即纠正不准确之处。
• 删除权：在某些情况下，您有权要求删除您的个人数据——例如，如果数据不再用于收集目的，或者如果您撤回同意且我们没有其他合法处理依据。这有时被称为“被遗忘权”。请注意，此权利并非绝对；在法律义务或存在凌驾于您权利之上的合法利益的情况下，我们可能需要保留某些信息（如有此情况，我们会通知您）。
• 限制处理权：在特定情况下，您可以要求我们限制对您数据的处理。例如，如果您对数据的准确性提出异议或反对我们处理您的数据（见下文），您可以在问题解决期间要求限制处理。限制处理后，我们将继续存储您的数据，但除少数特殊情况（例如获得您的同意或用于法律诉讼）外，不会使用或共享这些数据。
• 反对权：当我们基于合法利益，您有权反对该处理。如果您提出反对，我们将停止处理相关数据，除非我们能够证明存在凌驾于您的权利之上的令人信服的合法理由，或者该处理是为了确立、行使或捍卫法律主张。您也拥有无条件反对将您的个人数据用于直接营销目的的权利——如果您提出反对，我们将立即停止此类使用。
• 数据可携权：如果您已向我们提供数据，且我们基于您的同意或为履行合同而采用自动化方式处理这些数据，您有权要求以常用机器可读格式获取该数据的副本，和/或将其传输给其他数据控制者（在技术可行的情况下）。此项权利主要适用于您主动提供的数据。我们将尽力协助您提出此类请求。

如需行使上述任何权利，请发送邮件至info@facadecreations.co.uk并提供您的请求详情。我们可能需要验证您的身份，以确保不会将数据泄露给错误的人。在某些情况下，我们可能会要求您澄清请求的范围（例如，如果您曾多次与我们互动）。我们将尽快回复所有有效的请求，最迟不超过收到请求后一个月。如果我们需要更多时间（复杂请求最多可能需要两个月），我们会告知您延期情况及原因。通常情况下，我们不会收取任何处理请求的费用，除非请求明显无理或过分，在这种情况下，我们可能会收取合理的费用或拒绝该请求（并提供理由）。

数据泄露应对程序

尽管我们采取了强有力的安全措施，但数据泄露（导致个人数据意外或非法销毁、丢失、更改、未经授权披露或访问的事件）仍有可能发生。Façade Creations 已制定明确的数据泄露应对计划，以确保此类事件得到迅速有效的处理。我们的流程如下：

1. 检测与控制：员工接受过培训，一旦发现任何疑似数据泄露事件（例如设备丢失、系统活动可疑或邮件误发给错误收件人），应立即向管理层报告。一旦发现或报告了潜在的数据泄露事件，我们将迅速采取措施加以控制，例如隔离受影响的系统、撤回错误发送的邮件或更改访问凭证，以防止进一步的未经授权访问。我们还会记录事件详情、发生时间以及采取的措施。
2. 评估：负责团队（由高级管理层和IT部门领导，包括我们的数据保护负责人）将调查并评估此次数据泄露的范围和严重程度。我们将确定涉及哪些个人数据、受影响的人数、对这些个人可能造成的影响，以及数据是否已被恢复或仍然暴露。我们会迅速进行风险评估，因为这将为我们下一步的通知工作提供依据。
3. 通知：如果数据泄露可能对个人权利和自由造成风险（例如，身份盗窃风险、经济损失、人身安全风险或其他重大损害），我们将通知英国信息专员办公室(ICO) 。我们向ICO提交的通知将包含泄露事件的性质、涉及的个人和记录的类别和大致数量、可能造成的后果以及已采取或拟采取的应对措施等详细信息。如果72小时期限已过，而我们尚未收集到所有信息，我们将提交初步通知，并在获得更多信息后跟进提供。此外，如果数据泄露可能对受影响的个人造成高风险（例如，泄露的敏感信息可能导致欺诈或损害），我们也将毫不拖延地以清晰易懂的方式告知受影响的个人事件经过以及他们应采取的保护措施。我们将为受影响的个人提供指导，帮助他们减轻任何不利影响（例如，重置密码、留意可疑活动等）。如果数据泄露不会造成重大风险（例如，数据已被加密或及时恢复），我们可能不需要通知个人，但我们仍然会在内部记录该事件。
4. 审查与预防：在处理完紧急事件后，我们将进行事后审查，以全面了解事件原因并找出需要改进的地方。我们将采取一切必要的补救措施，以防止未来发生类似事件，例如修订流程、加强安全措施或提供额外的员工培训。所有违规事件和险些发生的事件，以及我们的应对措施和结果详情，都将按照我们的问责义务记录在内部违规登记册中。

我们严肃对待任何数据泄露事件。通过遵循此流程，我们旨在最大程度地减少对个人的伤害，并从事件中吸取教训，不断加强我们的数据保护措施。.

回顾与更新

定期审查本数据保护政策，以确保其与不断变化的法律法规和业务运营保持同步。该政策至少每年。如果出现重大变更，例如引入新的数据处理活动、监管法规发生变化，或者我们在数据保护审计或违规调查中发现重要结果，我们也会启动审查程序。

政策更新须经公司领导层批准。总监（Hashim Choksi）负责正式批准所有修订，并监督整个组织对该政策的持续遵守情况。政策变更后，修订后的版本将发布在公司网站上，并相应调整“最后更新日期”。对于实质性变更，我们可能还会直接通知员工或其他受影响人员（例如，通过电子邮件或内部备忘录），尤其是在变更影响我们处理其数据的方式或其权利的情况下。

我们还会定期进行数据保护审计和合规性检查（内部进行或借助外部顾问），以确保我们的实际操作符合本政策。此类审计的任何发现都将用于改进我们的流程，并可能导致政策更新或额外培训。

Façade Creations 通过定期审查和更新我们的政策和实践，重申我们对高标准数据保护的承诺，并积极适应新的发展。.

ICO和投诉

我们希望用户对我们处理个人数据的方式充满信心。如果您对我们的数据保护措施有任何疑问或投诉，请直接联系我们，以便我们解决问题。此外，您有权向英国数据保护监管机构——信息专员办公室(ICO)提出投诉。您可以通过 ICO 的网站 (ico.org.uk) 或电话联系他们。

我们在隐私声明中（例如在我们的网站和合同数据保护条款中）包含了个人联系信息专员办公室 (ICO) 的权利信息。如有任何调查，我们将全力配合 ICO。当然，我们也希望通过与您直接沟通解决任何问题——您的信任对我们至关重要。.

联系我们

如果您对本数据保护政策有任何疑问，或希望行使您的任何数据保护权利，请随时与我们联系：

电子邮箱： info@facadecreations.co.uk
邮寄地址：数据保护咨询 – Façade Creations Ltd, 124 City Road, London, EC1V 2NX, United Kingdom

我们将乐意为您提供帮助，并将尽力及时回应所有合理的请求。.

Façade Creations Ltd – 在英格兰和威尔士注册（公司编号：16267073）

最后更新时间： 2025年10月