您的资金存在风险。您的投资可能会亏损。

请点击查看完整的风险免责声明

登录
开户

数据保护政策

    本数据保护政策阐明了 Mondeum Capital (UK) Limited(”本公司”)如何处理我们的客户、供应商、员工、工人及其他第三方(”数据主体”)的个人数据。我们是与数据主体相关的所有个人数据以及我们在业务中为自身商业目的使用的个人数据的数据控制者。

    本政策适用于本公司处理的所有个人数据(任何识别数据主体的信息或与数据主体相关的信息,我们可以单独或结合我们拥有或可合理获取的其他标识符从该数据中(直接或间接地)识别该数据主体),无论该数据存储于何种媒介,也无论其是否涉及过去或现在的员工、工人、客户、委托人或供应商联系人、股东、网站用户或任何其他数据主体。

    本政策适用于所有员工、工人、承包商、派遣工人、顾问、董事、成员及其他人员。

    您在代表本公司处理个人数据时,必须阅读、理解并遵守本政策,并参加相关要求的培训。本政策规定了我们对您的期望,以使本公司遵守适用法律。您遵守本政策是强制性要求。任何违反本政策的行为可能导致纪律处分。

    本政策是内部文件,未经合规经理事先授权,不得与第三方、客户或监管机构共享。

    本政策不构成任何雇佣合同或服务合同的一部分,我们可随时在不另行通知的情况下修订本政策。

    本政策不凌驾于本公司运营所在国家的任何适用国家数据隐私法律法规之上。

    范围

    我们认识到,正确、合法地处理个人数据将维护组织的信誉,并为成功的业务运营提供保障。保护个人数据的机密性和完整性是我们始终认真对待的重要责任。本公司若未能遵守 GDPR 的规定,可能面临潜在罚款。

    各级管理层均有责任确保您遵守本政策,并需实施适当的实践、流程、控制和培训以确保合规。

    如您对本政策的执行或《通用数据保护条例》或其他数据保护法律(”GDPR”)有任何疑问,或如您担忧本政策未被或未曾被遵守,请联系合规经理。特别是,在以下情况下您必须始终联系合规经理:

    • 如果您不确定处理个人数据所依据的合法基础(包括本公司使用的合法权益)(见下文”合法性与公平性”部分);
    • 如果您需要依赖同意和/或需要获取明确同意;
    • 如果您需要起草隐私声明(见下文”透明度”部分);
    • 如果发生了个人数据泄露(见下文”报告个人数据泄露”部分);
    • 如果您需要任何协助处理数据主体援引的任何权利(见”数据主体的权利与请求”部分);
    • 每当您正在从事可能需要进行数据保护影响评估(”DPIA”)的重大新处理活动或处理活动的重大变更时(见下文”设计中的隐私与 DPIA”部分),或计划将个人数据用于收集时以外的其他目的;
    • 如果您在开展直接营销活动时需要遵守适用法律的帮助(见下文”直接营销”部分)。

    个人数据保护原则

    我们遵守 GDPR 中规定的个人数据处理相关原则,这些原则已在本政策中列明。我们对这些原则的合规性负责,并必须能够证明合规。

    个人数据必须以合法、公平和透明的方式处理,并与数据主体相关。

    您只能出于特定目的公平、合法地收集、处理和共享个人数据。GDPR 将我们处理个人数据的行为限制在特定合法目的范围内。这些限制并非旨在阻止处理,而是确保我们公平处理个人数据且不对数据主体造成不利影响。

    • GDPR 允许出于特定目的进行处理,其中一些目的如下:
    • 数据主体已给予同意;
    • 处理对于履行与数据主体的合同是必要的;
    • 为履行我们的法律合规义务;
    • 保护数据主体的切身利益;
    • 为实现我们的合法利益,且该处理不会损害数据主体的利益或基本权利与自由,因而不被凌驾于合法利益之上。我们出于合法利益处理个人数据的目的需在适用的隐私声明中说明。

    您必须识别并记录每项处理活动所依据的法律基础。

    同意

    数据控制者只能基于 GDPR 中规定的一项或多项合法基础处理个人数据,其中包括同意。

    如果数据主体通过声明或积极行动明确表示同意处理,则视为其同意处理其个人数据。同意需要肯定性行动,因此沉默、预先勾选的方框或不作为不太可能构成充分同意。如果同意是在涉及其他事项的文件中给予的,则同意必须与其他事项分开保存。

    数据主体必须能够随时轻松撤回对处理的同意,且撤回必须得到及时履行。如果您打算将个人数据用于数据主体首次同意时未披露的不同且不相容的目的,则可能需要重新获取同意。

    除非我们能依据其他法律基础,否则处理敏感个人数据、自动决策和跨境数据传输通常需要明确同意。通常我们将依据其他法律基础(而非需要明确同意)处理大多数类型的敏感数据。在需要明确同意(书面形式)的情况下,您必须向数据主体发出同意通知以获取明确同意。

    您需要记录所获取的同意,并保存所有同意记录,以便本公司能够证明符合同意要求。

    透明度(通知数据主体)

    GDPR 要求数据控制者根据信息是直接从数据主体处收集还是从其他地方收集,向数据主体提供详细、具体的信息。此类信息必须通过适当的隐私声明提供,且隐私声明必须简洁、透明、易于理解、易于获取,并以清晰、简明的语言表述,使数据主体能够轻松理解。

    每当我们直接从数据主体处收集个人数据时,包括出于人力资源或就业目的,我们必须向数据主体提供 GDPR 要求的所有信息,包括数据控制者的身份、我们将如何以及为何使用、处理、披露、保护和保留该个人数据,并通过在数据主体首次提供个人数据时出示的隐私声明提供上述信息。

    当间接收集个人数据时(例如,来自第三方或公开来源),您必须在收集/接收数据后尽快向数据主体提供 GDPR 要求的所有信息。您还必须核实该个人数据是由第三方按照 GDPR 以及考虑到我们拟定处理该个人数据的方式收集的。

    目的限制

    个人数据只能出于特定、明确和合法的目的收集,不得以与这些目的不相容的任何方式进一步处理。

    您不能将个人数据用于首次获取时所披露目的之外的新的、不同的或不相容的目的,除非您已告知数据主体新目的,并在必要时获得其同意。

    数据最小化

    个人数据必须与处理目的相关,且仅限于处理目的所必需的范围。

    您只能在履行工作职责需要时处理个人数据,不能出于与工作职责无关的任何原因处理个人数据。

    您只能收集工作职责所需的个人数据:请勿收集过多数据。确保所收集的任何个人数据对预期目的是充分且相关的。

    您必须确保当个人数据不再需要用于特定目的时,按照本公司的数据保留指南将其删除或匿名化。

    准确性

    个人数据必须准确,并在必要时保持最新。发现不准确时,必须立即更正或删除。

    您将确保我们使用和持有的个人数据准确、完整、保持最新,并与我们收集它的目的相关。您必须在收集时以及此后定期核查个人数据的准确性。您必须采取一切合理步骤销毁或修改不准确或过时的个人数据。

    存储限制

    个人数据不得以可识别形式保存超过数据处理目的所需的时间。

    您不得以允许识别数据主体的形式保存个人数据超过我们最初收集它的合法业务目的或目的所需的时间,包括为满足任何法律、会计或报告要求的目的。

    本公司将维护保留政策和程序,以确保个人数据在用于保存目的的合理时间后被删除,除非法律要求将此类数据保存最短时间。

    您将采取一切合理步骤,按照本公司所有适用的记录保留计划和政策,销毁或从我们的系统中删除我们不再需要的所有个人数据。这包括在适用时要求第三方删除此类数据。

    您将确保在任何适用的隐私声明中告知数据主体数据存储的期限以及该期限的确定方式。

    安全完整性与保密性

    保护个人数据

    个人数据必须通过适当的技术和组织措施加以保护,防止未经授权或非法的处理,以及意外丢失、销毁或损坏。

    我们将制定、实施和维护适合我们规模、范围和业务的保障措施,以及我们可用的资源、我们拥有或代表他人维护的个人数据数量,以及已识别的风险(包括在适用时使用加密和假名化)。我们将定期评估和测试这些保障措施的有效性,以确保我们处理个人数据的安全性。您有责任保护我们持有的个人数据。您必须针对个人数据的非法或未经授权的处理以及个人数据的意外丢失或损坏实施合理且适当的安全措施。您必须特别注意保护敏感个人数据免遭丢失以及未经授权的访问、使用或披露。

    您必须遵守我们为维护从收集到销毁全程个人数据安全所设置的所有程序和技术。您只能将个人数据转移给同意遵守所需政策和程序并同意按要求实施充分措施的第三方服务提供商。

    您必须通过保护个人数据的保密性、完整性和可用性来维护数据安全,定义如下:

    1. 保密性是指只有需要知道并被授权使用个人数据的人员才能访问它。
    2. 完整性是指个人数据准确且适合其处理目的。
    3. 可用性是指授权用户在需要时能够为授权目的访问个人数据。

    您必须遵守并不得试图规避我们按照 GDPR 和相关标准实施和维护的行政、物理和技术保障措施,以保护个人数据。

    报告个人数据泄露

    GDPR 要求数据控制者向适用的监管机构报告任何个人数据泄露,并在某些情况下向数据主体报告。

    “个人数据泄露”是指任何危害个人数据的安全、保密性、完整性或可用性,或危害我们或我们的第三方服务提供商为保护个人数据而设置的物理、技术、行政或组织保障措施的行为或疏漏。个人数据的丢失、未经授权的访问、披露或获取均属于个人数据泄露。

    我们已制定处理任何疑似个人数据泄露的程序,并将在法律要求时通知数据主体或任何适用的监管机构。

    如果您知道或怀疑发生了个人数据泄露,请勿试图自行调查该事项。请立即联系合规经理报告个人数据泄露。您应保存所有与潜在个人数据泄露相关的证据。

    传输限制

    GDPR 限制向欧洲经济区(EEA)以外的国家传输数据,以确保 GDPR 赋予个人的数据保护水平不被削弱。当您在不同国家之间传输、发送、查看或访问数据时,即为跨境传输个人数据。

    只有在满足以下条件之一的情况下,您才可以将个人数据传输到 EEA 以外:

    1. 欧洲委员会已发布决定,确认我们传输个人数据的目标国为数据主体的权利和自由提供了充分的保护水平;
    2. 已有适当的保障措施,例如有约束力的企业规则(BCR)、欧洲委员会批准的标准合同条款、已批准的行为准则或认证机制,其副本可从合规经理处获取;
    3. 数据主体在被告知任何潜在风险后,对拟定的传输给予了明确同意;或
    4. 传输对于 GDPR 中规定的其他原因之一是必要的,包括履行我们与数据主体之间的合同、公共利益原因、建立、行使或捍卫法律主张,或在数据主体在实际上或法律上无法给予同意的情况下保护其切身利益,以及在某些有限情况下为我们的合法利益。

    数据主体的权利与请求

    数据主体在我们处理其个人数据方面享有权利,包括以下权利:

    1. 随时撤回对处理的同意;
    2. 获取有关数据控制者处理活动的某些信息;
    3. 请求访问我们持有的其个人数据;
    4. 阻止我们将其个人数据用于直接营销目的;
    5. 要求我们在个人数据不再与收集或处理目的相关时删除该数据,或更正不准确的数据或补全不完整的数据;
    6. 在特定情况下限制处理;
    7. 对基于我们合法利益或公共利益理由的处理提出异议;
    8. 请求获取在 EEA 以外传输个人数据所依据协议的副本;
    9. 对仅基于自动处理(包括分析)的决策提出异议;
    10. 阻止可能对数据主体或任何其他人造成损害或痛苦的处理;
    11. 被告知可能对其权利和自由造成高风险的个人数据泄露;
    12. 向监督机构提出投诉;以及
    13. 在有限情况下,以结构化、常用且机器可读的格式接收或要求将其个人数据转移给第三方。

    您必须核实根据上述任何权利请求数据的个人身份(不要允许第三方说服您在未经适当授权的情况下披露个人数据)。

    您必须立即将收到的任何数据主体请求转发给合规经理。

    问责制

    数据控制者必须以有效的方式实施适当的技术和组织措施,以确保遵守数据保护原则。数据控制者有责任遵守数据保护原则,并必须能够证明合规。本公司必须拥有充足的资源和控制措施,以确保并记录 GDPR 合规情况,包括:

    1. 任命负责数据隐私的高级管理人员;
    2. 在处理个人数据时实施设计中的隐私,并在处理对数据主体的权利和自由构成高风险时完成数据保护影响评估(DPIA);
    3. 将数据保护纳入内部文件,包括本政策、任何相关文件或隐私声明;
    4. 定期对您进行 GDPR、内部政策和程序以及数据保护事项的培训,包括例如数据主体权利、同意、法律基础、DPIA 和个人数据泄露。本公司必须保存其所有雇用和聘用人员的培训出勤记录;以及
    5. 定期测试已实施的隐私措施,并进行定期审查和审计以评估合规情况,包括利用测试结果证明合规改进努力。

    记录保存

    GDPR 要求我们保存所有数据处理活动的完整且准确的记录。您必须保存和维护反映我们处理情况的准确企业记录,包括数据主体同意记录和获取同意的程序。

    这些记录至少应包括数据控制者的名称和联系方式、个人数据类型的清晰描述、数据主体类型、处理活动、处理目的、个人数据的第三方接收方、个人数据存储位置、个人数据传输、个人数据保留期限以及现行安全措施的描述。为创建此类记录,应创建数据地图,其中应包括上述详细信息以及适当的数据流程。

    培训与审计

    我们有责任确保您接受了充分的培训,以使其能够遵守数据隐私法律。我们还必须定期测试我们的系统和流程以评估合规情况。您必须参加所有强制性数据隐私相关培训,并确保您的团队参加类似的强制性培训。

    您必须定期审查您控制下的所有系统和流程,以确保其符合本政策,并检查是否有充分的治理控制和资源来确保个人数据的正确使用和保护。

    设计中的隐私与 DPIA

    我们在处理个人数据时,必须通过以有效方式实施适当的技术和组织措施(如假名化)来实施设计中的隐私,以确保遵守数据隐私原则。

    您必须评估可在处理个人数据的所有程序/系统/流程中实施的设计中的隐私措施,考虑以下因素:

    1. 技术最新状态;
    2. 实施成本;
    3. 处理的性质、范围、背景和目的;以及
    4. 处理对数据主体权利和自由造成的不同可能性和严重程度的风险。

    数据控制者还必须针对高风险处理进行 DPIA。

    在实施涉及处理个人数据的重大系统或业务变更计划时,您应进行 DPIA(并与合规经理讨论您的发现),包括:

    1. 使用新技术(程序、系统或流程),或变更技术(程序、系统或流程);
    2. 自动处理,包括分析和自动决策;
    3. 大规模处理敏感数据;以及
    4. 对公开可访问区域进行大规模、系统性监控。

    DPIA 必须包括:

    1. 处理的描述、其目的以及数据控制者的合法利益(如适用);
    2. 对处理相对于其目的的必要性和相称性的评估;
    3. 对个人风险的评估;以及
    4. 现行风险缓解措施及合规证明。

    自动处理(包括分析)和自动决策(ADM)

    通常情况下,当决策对个人产生法律上或类似的重大影响时,禁止 ADM,除非:

    1. 数据主体已明确同意;
    2. 处理经法律授权;或
    3. 处理对于履行或订立合同是必要的。

    如果正在处理某些类型的敏感数据,则不允许使用理由(b)或(c),但在为防止欺诈等重大公共利益而必要(除非可使用侵扰性较小的手段)的情况下,可以处理此类敏感数据。

    如果决策将完全基于自动处理(包括分析),则必须在您与数据主体首次沟通时告知其拒绝权。该权利必须明确引起其注意,并与其他信息明显分开呈现。此外,必须采取适当措施保障数据主体的权利、自由和合法利益。

    我们还必须向数据主体说明决策或分析中涉及的逻辑、意义和预期后果,并赋予数据主体请求人工干预、表达观点或对决策提出异议的权利。

    在开展任何自动处理(包括分析)或 ADM 活动之前,必须进行 DPIA。

    直接营销

    向客户进行营销时,我们须遵守某些规则和隐私法律。

    例如,电子直接营销(如通过电子邮件、短信或自动电话)需要数据主体的事先同意。针对现有客户的有限例外(即”软性选择加入”)允许组织在以下情况下发送营销短信或电子邮件:他们在向该人销售过程中获取了联系方式,他们正在营销类似的产品或服务,以及他们在首次收集详细信息时以及随后每封邮件中都给予了该人选择退出营销的机会。反对直接营销的权利必须以可理解的方式明确提供给数据主体,使其与其他信息明显区分。

    数据主体反对直接营销必须得到及时履行。如果客户随时选择退出,其详细信息应尽快被屏蔽。屏蔽涉及保留足够的信息以确保将来尊重营销偏好。

    共享个人数据

    通常情况下,除非已建立某些保障措施和合同安排,否则我们不得与第三方共享个人数据。

    您只能在接收方因工作需要了解该信息且转移符合任何适用的跨境转移限制的情况下,将我们持有的个人数据与我们集团的另一名员工、代理人或代表共享(我们集团包括我们的子公司和我们的最终控股公司及其子公司)。

    您只能在以下情况下将我们持有的个人数据与第三方(如我们的服务提供商)共享:

    1. 他们出于提供合同服务的目的需要了解该信息;
    2. 共享个人数据符合提供给数据主体的隐私声明,并在需要时已获得数据主体的同意;
    3. 第三方已同意遵守所需的数据安全标准、政策和程序,并已采取充分的安全措施;
    4. 转移符合任何适用的跨境转移限制;以及已获得包含 GDPR 批准第三方条款的完整签署书面合同。

    交易限制更少

    以更少的限制快速进行日内交易。以低费用购买股票和ETF。

    开户 获取演示

    年龄限制

    请确认您已年满18周岁方可继续。

    我未满18岁

    本网站内容不适用于您所在地区的交易者。请选择最适合您所在地区的网站。

    前往美国网站