您的資金有風險。您的投資可能會虧損。

請點擊查看完整的風險免責聲明

登入
開戶

數據保護政策

    本數據保護政策闡明了 Mondeum Capital (UK) Limited(”本公司”)如何處理我們的客戶、供應商、員工、工人及其他第三方(”數據主體”)的個人數據。我們是與數據主體相關的所有個人數據以及我們在業務中為自身商業目的使用的個人數據的數據控制者。

    本政策適用於本公司處理的所有個人數據(任何識別數據主體的信息或與數據主體相關的信息,我們可以單獨或結合我們擁有或可合理獲取的其他標識符從該數據中(直接或間接地)識別該數據主體),無論該數據存儲於何種媒介,也無論其是否涉及過去或現在的員工、工人、客戶、委託人或供應商聯繫人、股東、網站用戶或任何其他數據主體。

    本政策適用於所有員工、工人、承包商、派遣工人、顧問、董事、成員及其他人員。

    您在代表本公司處理個人數據時,必須閱讀、理解並遵守本政策,並參加相關要求的培訓。本政策規定了我們對您的期望,以使本公司遵守適用法律。您遵守本政策是強制性要求。任何違反本政策的行為可能導致紀律處分。

    本政策是內部文件,未經合規經理事先授權,不得與第三方、客戶或監管機構共享。

    本政策不構成任何僱傭合同或服務合同的一部分,我們可隨時在不另行通知的情況下修訂本政策。

    本政策不凌駕於本公司運營所在國家的任何適用國家數據隱私法律法規之上。

    範圍

    我們認識到,正確、合法地處理個人數據將維護組織的信譽,並為成功的業務運營提供保障。保護個人數據的機密性和完整性是我們始終認真對待的重要責任。本公司若未能遵守 GDPR 的規定,可能面臨潛在罰款。

    各級管理層均有責任確保您遵守本政策,並需實施適當的實踐、流程、控制和培訓以確保合規。

    如您對本政策的執行或《通用數據保護條例》或其他數據保護法律(”GDPR”)有任何疑問,或如您擔憂本政策未被或未曾被遵守,請聯繫合規經理。特別是,在以下情況下您必須始終聯繫合規經理:

    • 如果您不確定處理個人數據所依據的合法基礎(包括本公司使用的合法權益)(見下文”合法性與公平性”部分);
    • 如果您需要依賴同意和/或需要獲取明確同意;
    • 如果您需要起草隱私聲明(見下文”透明度”部分);
    • 如果發生了個人數據泄露(見下文”報告個人數據泄露”部分);
    • 如果您需要任何協助處理數據主體援引的任何權利(見”數據主體的權利與請求”部分);
    • 每當您正在從事可能需要進行數據保護影響評估(”DPIA”)的重大新處理活動或處理活動的重大變更時(見下文”設計中的隱私與 DPIA”部分),或計劃將個人數據用於收集時以外的其他目的;
    • 如果您在開展直接營銷活動時需要遵守適用法律的幫助(見下文”直接營銷”部分)。

    個人數據保護原則

    我們遵守 GDPR 中規定的個人數據處理相關原則,這些原則已在本政策中列明。我們對這些原則的合規性負責,並必須能夠證明合規。

    個人數據必須以合法、公平和透明的方式處理,並與數據主體相關。

    您只能出於特定目的公平、合法地收集、處理和共享個人數據。GDPR 將我們處理個人數據的行為限制在特定合法目的範圍內。這些限制並非旨在阻止處理,而是確保我們公平處理個人數據且不對數據主體造成不利影響。

    • GDPR 允許出於特定目的進行處理,其中一些目的如下:
    • 數據主體已給予同意;
    • 處理對於履行與數據主體的合同是必要的;
    • 為履行我們的法律合規義務;
    • 保護數據主體的切身利益;
    • 為實現我們的合法利益,且該處理不會損害數據主體的利益或基本權利與自由,因而不被凌駕於合法利益之上。我們出於合法利益處理個人數據的目的需在適用的隱私聲明中說明。

    您必須識別並記錄每項處理活動所依據的法律基礎。

    同意

    數據控制者只能基於 GDPR 中規定的一項或多項合法基礎處理個人數據,其中包括同意。

    如果數據主體通過聲明或積極行動明確表示同意處理,則視為其同意處理其個人數據。同意需要肯定性行動,因此沉默、預先勾選的方框或不作為不太可能構成充分同意。如果同意是在涉及其他事項的文件中給予的,則同意必須與其他事項分開保存。

    數據主體必須能夠隨時輕鬆撤回對處理的同意,且撤回必須得到及時履行。如果您打算將個人數據用於數據主體首次同意時未披露的不同且不相容的目的,則可能需要重新獲取同意。

    除非我們能依據其他法律基礎,否則處理敏感個人數據、自動決策和跨境數據傳輸通常需要明確同意。通常我們將依據其他法律基礎(而非需要明確同意)處理大多數類型的敏感數據。在需要明確同意(書面形式)的情況下,您必須向數據主體發出同意通知以獲取明確同意。

    您需要記錄所獲取的同意,並保存所有同意記錄,以便本公司能夠證明符合同意要求。

    透明度(通知數據主體)

    GDPR 要求數據控制者根據信息是直接從數據主體處收集還是從其他地方收集,向數據主體提供詳細、具體的信息。此類信息必須通過適當的隱私聲明提供,且隱私聲明必須簡潔、透明、易於理解、易於獲取,並以清晰、簡明的語言表述,使數據主體能夠輕鬆理解。

    每當我們直接從數據主體處收集個人數據時,包括出於人力資源或就業目的,我們必須向數據主體提供 GDPR 要求的所有信息,包括數據控制者的身份、我們將如何以及為何使用、處理、披露、保護和保留該個人數據,並通過在數據主體首次提供個人數據時出示的隱私聲明提供上述信息。

    當間接收集個人數據時(例如,來自第三方或公開來源),您必須在收集/接收數據後盡快向數據主體提供 GDPR 要求的所有信息。您還必須核實該個人數據是由第三方按照 GDPR 以及考慮到我們擬定處理該個人數據的方式收集的。

    目的限制

    個人數據只能出於特定、明確和合法的目的收集,不得以與這些目的不相容的任何方式進一步處理。

    您不能將個人數據用於首次獲取時所披露目的之外的新的、不同的或不相容的目的,除非您已告知數據主體新目的,並在必要時獲得其同意。

    數據最小化

    個人數據必須與處理目的相關,且僅限於處理目的所必需的範圍。

    您只能在履行工作職責需要時處理個人數據,不能出於與工作職責無關的任何原因處理個人數據。

    您只能收集工作職責所需的個人數據:請勿收集過多數據。確保所收集的任何個人數據對預期目的是充分且相關的。

    您必須確保當個人數據不再需要用於特定目的時,按照本公司的數據保留指南將其刪除或匿名化。

    準確性

    個人數據必須準確,並在必要時保持最新。發現不準確時,必須立即更正或刪除。

    您將確保我們使用和持有的個人數據準確、完整、保持最新,並與我們收集它的目的相關。您必須在收集時以及此後定期核查個人數據的準確性。您必須採取一切合理步驟銷毀或修改不準確或過時的個人數據。

    存儲限制

    個人數據不得以可識別形式保存超過數據處理目的所需的時間。

    您不得以允許識別數據主體的形式保存個人數據超過我們最初收集它的合法業務目的或目的所需的時間,包括為滿足任何法律、會計或報告要求的目的。

    本公司將維護保留政策和程序,以確保個人數據在用於保存目的的合理時間後被刪除,除非法律要求將此類數據保存最短時間。

    您將採取一切合理步驟,按照本公司所有適用的記錄保留計劃和政策,銷毀或從我們的系統中刪除我們不再需要的所有個人數據。這包括在適用時要求第三方刪除此類數據。

    您將確保在任何適用的隱私聲明中告知數據主體數據存儲的期限以及該期限的確定方式。

    安全完整性與保密性

    保護個人數據

    個人數據必須通過適當的技術和組織措施加以保護,防止未經授權或非法的處理,以及意外丟失、銷毀或損壞。

    我們將制定、實施和維護適合我們規模、範圍和業務的保障措施,以及我們可用的資源、我們擁有或代表他人維護的個人數據數量,以及已識別的風險(包括在適用時使用加密和假名化)。我們將定期評估和測試這些保障措施的有效性,以確保我們處理個人數據的安全性。您有責任保護我們持有的個人數據。您必須針對個人數據的非法或未經授權的處理以及個人數據的意外丟失或損壞實施合理且適當的安全措施。您必須特別注意保護敏感個人數據免遭丟失以及未經授權的訪問、使用或披露。

    您必須遵守我們為維護從收集到銷毀全程個人數據安全所設置的所有程序和技術。您只能將個人數據轉移給同意遵守所需政策和程序並同意按要求實施充分措施的第三方服務提供商。

    您必須通過保護個人數據的保密性、完整性和可用性來維護數據安全,定義如下:

    1. 保密性是指只有需要知道並被授權使用個人數據的人員才能訪問它。
    2. 完整性是指個人數據準確且適合其處理目的。
    3. 可用性是指授權用戶在需要時能夠為授權目的訪問個人數據。

    您必須遵守並不得試圖規避我們按照 GDPR 和相關標準實施和維護的行政、物理和技術保障措施,以保護個人數據。

    報告個人數據泄露

    GDPR 要求數據控制者向適用的監管機構報告任何個人數據泄露,並在某些情況下向數據主體報告。

    “個人數據泄露”是指任何危害個人數據的安全、保密性、完整性或可用性,或危害我們或我們的第三方服務提供商為保護個人數據而設置的物理、技術、行政或組織保障措施的行為或疏漏。個人數據的丟失、未經授權的訪問、披露或獲取均屬於個人數據泄露。

    我們已制定處理任何疑似個人數據泄露的程序,並將在法律要求時通知數據主體或任何適用的監管機構。

    如果您知道或懷疑發生了個人數據泄露,請勿試圖自行調查該事項。請立即聯繫合規經理報告個人數據泄露。您應保存所有與潛在個人數據泄露相關的證據。

    傳輸限制

    GDPR 限制向歐洲經濟區(EEA)以外的國家傳輸數據,以確保 GDPR 賦予個人的數據保護水平不被削弱。當您在不同國家之間傳輸、發送、查看或訪問數據時,即為跨境傳輸個人數據。

    只有在滿足以下條件之一的情況下,您才可以將個人數據傳輸到 EEA 以外:

    1. 歐洲委員會已發布決定,確認我們傳輸個人數據的目標國為數據主體的權利和自由提供了充分的保護水平;
    2. 已有適當的保障措施,例如有約束力的企業規則(BCR)、歐洲委員會批准的標準合同條款、已批准的行為準則或認證機制,其副本可從合規經理處獲取;
    3. 數據主體在被告知任何潛在風險後,對擬定的傳輸給予了明確同意;或
    4. 傳輸對於 GDPR 中規定的其他原因之一是必要的,包括履行我們與數據主體之間的合同、公共利益原因、建立、行使或捍衛法律主張,或在數據主體在實際上或法律上無法給予同意的情況下保護其切身利益,以及在某些有限情況下為我們的合法利益。

    數據主體的權利與請求

    數據主體在我們處理其個人數據方面享有權利,包括以下權利:

    1. 隨時撤回對處理的同意;
    2. 獲取有關數據控制者處理活動的某些信息;
    3. 請求訪問我們持有的其個人數據;
    4. 阻止我們將其個人數據用於直接營銷目的;
    5. 要求我們在個人數據不再與收集或處理目的相關時刪除該數據,或更正不準確的數據或補全不完整的數據;
    6. 在特定情況下限制處理;
    7. 對基於我們合法利益或公共利益理由的處理提出異議;
    8. 請求獲取在 EEA 以外傳輸個人數據所依據協議的副本;
    9. 對僅基於自動處理(包括分析)的決策提出異議;
    10. 阻止可能對數據主體或任何其他人造成損害或痛苦的處理;
    11. 被告知可能對其權利和自由造成高風險的個人數據泄露;
    12. 向監督機構提出投訴;以及
    13. 在有限情況下,以結構化、常用且機器可讀的格式接收或要求將其個人數據轉移給第三方。

    您必須核實根據上述任何權利請求數據的個人身份(不要允許第三方說服您在未經適當授權的情況下披露個人數據)。

    您必須立即將收到的任何數據主體請求轉發給合規經理。

    問責制

    數據控制者必須以有效的方式實施適當的技術和組織措施,以確保遵守數據保護原則。數據控制者有責任遵守數據保護原則,並必須能夠證明合規。本公司必須擁有充足的資源和控制措施,以確保並記錄 GDPR 合規情況,包括:

    1. 任命負責數據隱私的高級管理人員;
    2. 在處理個人數據時實施設計中的隱私,並在處理對數據主體的權利和自由構成高風險時完成數據保護影響評估(DPIA);
    3. 將數據保護納入內部文件,包括本政策、任何相關文件或隱私聲明;
    4. 定期對您進行 GDPR、內部政策和程序以及數據保護事項的培訓,包括例如數據主體權利、同意、法律基礎、DPIA 和個人數據泄露。本公司必須保存其所有雇用和聘用人員的培訓出勤記錄;以及
    5. 定期測試已實施的隱私措施,並進行定期審查和審計以評估合規情況,包括利用測試結果證明合規改進努力。

    記錄保存

    GDPR 要求我們保存所有數據處理活動的完整且準確的記錄。您必須保存和維護反映我們處理情況的準確企業記錄,包括數據主體同意記錄和獲取同意的程序。

    這些記錄至少應包括數據控制者的名稱和聯繫方式、個人數據類型的清晰描述、數據主體類型、處理活動、處理目的、個人數據的第三方接收方、個人數據存儲位置、個人數據傳輸、個人數據保留期限以及現行安全措施的描述。為創建此類記錄,應創建數據地圖,其中應包括上述詳細信息以及適當的數據流程。

    培訓與審計

    我們有責任確保您接受了充分的培訓,以使其能夠遵守數據隱私法律。我們還必須定期測試我們的系統和流程以評估合規情況。您必須參加所有強制性數據隱私相關培訓,並確保您的團隊參加類似的強制性培訓。

    您必須定期審查您控制下的所有系統和流程,以確保其符合本政策,並檢查是否有充分的治理控制和資源來確保個人數據的正確使用和保護。

    設計中的隱私與 DPIA

    我們在處理個人數據時,必須通過以有效方式實施適當的技術和組織措施(如假名化)來實施設計中的隱私,以確保遵守數據隱私原則。

    您必須評估可在處理個人數據的所有程序/系統/流程中實施的設計中的隱私措施,考慮以下因素:

    1. 技術最新狀態;
    2. 實施成本;
    3. 處理的性質、範圍、背景和目的;以及
    4. 處理對數據主體權利和自由造成的不同可能性和嚴重程度的風險。

    數據控制者還必須針對高風險處理進行 DPIA。

    在實施涉及處理個人數據的重大系統或業務變更計劃時,您應進行 DPIA(並與合規經理討論您的發現),包括:

    1. 使用新技術(程序、系統或流程),或變更技術(程序、系統或流程);
    2. 自動處理,包括分析和自動決策;
    3. 大規模處理敏感數據;以及
    4. 對公開可訪問區域進行大規模、系統性監控。

    DPIA 必須包括:

    1. 處理的描述、其目的以及數據控制者的合法利益(如適用);
    2. 對處理相對於其目的的必要性和相稱性的評估;
    3. 對個人風險的評估;以及
    4. 現行風險緩解措施及合規證明。

    自動處理(包括分析)和自動決策(ADM)

    通常情況下,當決策對個人產生法律上或類似的重大影響時,禁止 ADM,除非:

    1. 數據主體已明確同意;
    2. 處理經法律授權;或
    3. 處理對於履行或訂立合同是必要的。

    如果正在處理某些類型的敏感數據,則不允許使用理由(b)或(c),但在為防止欺詐等重大公共利益而必要(除非可使用侵擾性較小的手段)的情況下,可以處理此類敏感數據。

    如果決策將完全基於自動處理(包括分析),則必須在您與數據主體首次溝通時告知其拒絕權。該權利必須明確引起其注意,並與其他信息明顯分開呈現。此外,必須採取適當措施保障數據主體的權利、自由和合法利益。

    我們還必須向數據主體說明決策或分析中涉及的邏輯、意義和預期後果,並賦予數據主體請求人工干預、表達觀點或對決策提出異議的權利。

    在開展任何自動處理(包括分析)或 ADM 活動之前,必須進行 DPIA。

    直接營銷

    向客戶進行營銷時,我們須遵守某些規則和隱私法律。

    例如,電子直接營銷(如通過電子郵件、短信或自動電話)需要數據主體的事先同意。針對現有客戶的有限例外(即”軟性選擇加入”)允許組織在以下情況下發送營銷短信或電子郵件:他們在向該人銷售過程中獲取了聯繫方式,他們正在營銷類似的產品或服務,以及他們在首次收集詳細信息時以及隨後每封郵件中都給予了該人選擇退出營銷的機會。反對直接營銷的權利必須以可理解的方式明確提供給數據主體,使其與其他信息明顯區分。

    數據主體反對直接營銷必須得到及時履行。如果客戶隨時選擇退出,其詳細信息應盡快被屏蔽。屏蔽涉及保留足夠的信息以確保將來尊重營銷偏好。

    共享個人數據

    通常情況下,除非已建立某些保障措施和合同安排,否則我們不得與第三方共享個人數據。

    您只能在接收方因工作需要了解該信息且轉移符合任何適用的跨境轉移限制的情況下,將我們持有的個人數據與我們集團的另一名員工、代理人或代表共享(我們集團包括我們的子公司和我們的最終控股公司及其子公司)。

    您只能在以下情況下將我們持有的個人數據與第三方(如我們的服務提供商)共享:

    1. 他們出於提供合同服務的目的需要了解該信息;
    2. 共享個人數據符合提供給數據主體的隱私聲明,並在需要時已獲得數據主體的同意;
    3. 第三方已同意遵守所需的數據安全標準、政策和程序,並已採取充分的安全措施;
    4. 轉移符合任何適用的跨境轉移限制;以及已獲得包含 GDPR 批准第三方條款的完整簽署書面合同。

    交易限制較少

    以更少的限制快速進行日內交易。以低費用購買股票和ETF。

    開戶 取得演示

    年齡限制

    請確認您已年滿18歲方可繼續。

    我未滿18歲

    本网站内容不适用于您所在地区的交易者。请选择最适合您所在地区的网站。

    前往美国网站