Ball

欧美隐私保护政策

引言

Ball Corporation、Ball Metal Beverage Container Corp.、Ball Metal Food Container LLC和Ball Packaging LLC(“波尔”或“公司”)遵守美国商务部 针对收集、使用和保留 欧盟成员国境内个人信息而制定的《欧盟-美国隐私护盾框架》。波尔已证明其遵守 通知、选择、前向传输、安全性、数据完整性、访问和 认证的隐私原则。如果本政策与“隐私护盾原则”之间有任何冲突, 则应当适用“隐私护盾原则”。欲了解关于“隐私护盾”计划的更多信息 和查看我们的认证,请访问https://www.privacyshield.gov/US-Businesses/。  为了对从欧盟收到的个人数据提供充分的保护水平,波尔遵守《欧盟-美国隐私护盾框架》,该框架包括由美国商务部和欧洲委员会制定的16 条补充原则以及 来自于国际贸易局、 美国联邦贸易委员会(FTC)和美国交通部 (DOT)的附函。波尔应服从FTC的调查和执行权力。该“隐私 政策”(“政策”)阐述波尔在处理从欧盟收到的个人数据时 所遵循的隐私原则。本政策中的隐私原则基于如下所述的七条“隐私 护盾原则”和16条“补充原则”。


隐私护盾原则

1.注意:我们收集的个人数据;收集方式和收集原因

波尔从欧盟收到的有关应聘人员、雇员、潜在 客户和客户(合称为“数据当事人”)的个人数据,以帮助其外国子公司和 附属公司管理招募过程、与位于成员国的雇员 的雇佣关系及其对前雇员的义务(如有),并促进 客户关系管理。对于人力资源数据,个人数据储存于波尔 的人力资源管理系统(HRMS)数据库中;对于 客户数据,个人数据储存于客户关系管理(CRM)系统中。
 
波尔收集和使用个人数据的目的示例包括但不 限于:招募;员工管理;管理薪酬、工资和 福利;评估工作表现,参与继任计划;管理物理 系统和信息系统安全以及帮助台支持;用于紧急联系; 履行与雇佣关系有关的各种法律义务,包括 民事证据开示义务;执行培训;联系潜在客户和客户, 管理客户关系,管理公司的合规热线; 执行内部审计。

波尔从欧盟收到的个人数据主要由应聘 人员和雇员提供的信息组成,例如:简历和完整的工作申请、个人联系 信息和出生日期。此外,波尔还可能收到由 其某一家附属公司创建的有关应聘人员或雇员的个人信息,例如:面试记录、业务 联系信息、职位名称、工作类型、工作状态、报酬和福利信息 以及绩效审核。收到的有关潜在客户和客户的个人数据 由这些数据当事人提供,通常限于名片 上的信息,例如:姓名、职位和业务邮政地址、电子邮件地址和电话 号码。

对居住于欧盟成员国境内的所有雇员,在处理其个人数据之前,波尔 向该雇员提供有关处理其个人数据的通知。波尔将 不会使用或披露从欧盟成员国传输到美国的个人数据,用于 之前未向雇员公布的任何目的,以下情况除外:(a)对于此等使用或披露, 雇员已经收到了通知,有机会行使如下所述的选择权;或(b)适用法律允许使用或披露,不要求 波尔事先遵守通知和选择原则。

2.选择:如何拒绝波尔对您个人数据的收集,并拒绝传输给 第三方

波尔将向个人数据已传输到美国的欧盟雇员或客户 提供机会,以便他们拒绝:(a)将个人数据披露给非 代理第三方;及(b)使用或披露个人数据,所用目的并非 最初收集信息时的目的或个人后续批准的 目的或者一致的目的。如果波尔将收到“敏感个人信息” (举例而言,包括说明医疗状况或健康状态、 种族或民族起源或工会会员资格的个人信息),波尔将先征求并获得肯定性 同意,才会将此等信息披露给非代理第三方, 将此等信息用于最初公布目的或一致目的以外的其他 目的。如果出现此等情况,波尔将向雇员或客户提供行使其 选择权的合理机制。

3.前向传输:我们可能对其披露您个人数据的第三方

波尔对向第三方前向传输承担责任,在将个人数据传输给并非波 尔代理人的第三方之前,将遵守通知和选择原则。将 个人数据传输给第三方代理人之前,波尔将要求该代理人保证其将以 与本政策一致的方式保护数据当事人个人数据。如果 波尔了解到代理人正以违反本政策的方式使用或披露个人数据, 波尔将采取合理措施,以阻止此等使用或披露。

对第三方(无论是否为波尔的代理人)进行披露,只能用于 本政策标题为“通知”的章节下所述目的、一致目的或者 数据当事人后续批准的目的。波尔可将人力资源相关信息(如以上第1节所述)披露给在以下方面辅助波尔的第三方: 管理雇员福利计划、工资计划、养老金和其他退休 计划、信息技术计划和安全。 

4.个人数据安全性

波尔力求保护其从欧盟收到的个人数据。尽管波尔无法 保证其收到的个人数据的安全性,但是波尔会采取合理的预防措施, 防止该公司持有的个人数据丢失、被滥用、 未经授权访问、披露和销毁。 波尔联合运用联机和脱机安全技术、程序和 组织措施,帮助保护个人数据。例如,设施安保旨在 防止未经授权访问公司计算机。电子安全措施 包括:例如,网络访问控制、密码和安全远程访问,可针对黑客和其他未经授权访问提供防护。   此外,波尔还通过 使用防火墙、基于角色的限制以及使用加密 技术(在适当情况下)保护信息。波尔限制个人数据访问权限,只有具有特定业务原因的 波尔雇员以及代理才能访问这些个人数据。若人员获得 访问个人数据的权限,我们将告知其保护此等信息的责任, 并为其提供有关如何保护此等信息的培训和指导。

5.数据完整性、准确性和全面性:我们如何限制收集并 保留个人数据

波尔仅收集为实现本政策中标题为“通知”的章节列明目的 所必要的个人数据。波尔仅会按照收集信息的目的或数据当事人 后续批准的目的或与上述目的一 致的方式处理个人数据。波尔采取合理措施,确保其收集的信息 对于预期用途而言具有准确性、完整性、即时性和可靠性。波尔将在实现 其合法商业目的所必要的期间 或者适用法律允许或要求的期间内保留个人数据。

6.访问和纠正:如何行使权力

根据合理要求,波尔将向数据当事人授予访问其个人数据的合理权限, 并将允许其纠正、修改或删除不准确或 不完整的个人数据。数据当事人若要审查或更新其个人数据, 可通过privacy@ball.com联系波尔的全球数据隐私办公室来执行上述操作。波尔可酌情 收取基于成本的合理访问或影印费用。出于安全目的,波尔 可在提供个人数据访问之前要求验证身份。

7.实施:当您要投诉时该怎么办
 
波尔将对相关实践定期执行自我评估,以验证是否遵守 本政策和“隐私护盾原则”。故意违反本政策的所有雇员 将受到纪律处分,甚至终止雇用。任何数据 当事人若要投诉波尔对其个人数据的处理,应当 通过privacy@ball.com联系波尔的全球数据隐私办公室。波尔将按照本政策 所包含的原则,调查并尝试解决此等投诉。任何数据 当事人若对投诉的内部解决方案不满,可向其 居住国的数据保护国家主管当局或劳动主管机构寻求救济。



补偿原则

1.敏感数据
在以下处理情况下,波尔公司无需获得有关敏感数据的肯 定性明示同意:
a. 事关数据当事人或其他人的重大利益;  
b. 确立合法权利或合法辩护所必需;  
c. 提供医疗或诊断所需;  
d. 由致力于政治、哲学、宗教或工会目标的 基金会、协会或任何其他非营利机构在合法活动过程中执行, 条件是处理仅与该机构成员或  出于该目标经常联系该机构的人士有关,且并非未经数据当事人同意向第三方披露数据;
e. 履行该组织雇佣法领域义务所必需; 或者  
f. 与个人明确公之于众的数据有关。 


2.新闻业例外情况

在隐私和宪法原则冲突的情况下,必须适用美国宪法第一修正案。波尔 公司将仔细审查出现此等冲突的任何情况。

3.间接责任

根据“隐私护盾原则”,互联网服务提供商、电信运营商和其他组织在 代表另一个组织,仅仅传输、传送、交换或缓存信息时, 不承担责任。  

4.执行尽职调查和审计

波尔公司有时会雇佣审计员和投资银行家,他们可能需要 个人数据来执行特定任务。此等审计员或投资银行家根据 法定要求或法规要求履行这些职责, 或者执行与潜在兼并或收购另一个组织
有关的尽职调查的特定情况下,无需个人同意或知悉。提早公布此等活动可能
妨碍此等协商和协议,因此,参加 尽职调查的投资银行家和律师或者执行审计的审计员可
在个人不知情的情况下处理信息,但是仅限于达到法定要求或 公共利益要求所需的范围和期间,以及应用这些原则 将会损害组织合法利益的其他情况。  

5.数据保护机构 (DPA) 的作用

波尔公司承诺采用有效的机制,来保证遵守 “隐私护盾原则”。波尔公司提供以下关于 追索、实施和责任原则的措施:
a. 数据相关人员的追索权;  
b. 实施跟踪程序,验证个人对其隐私 实践作出的证明和声明是真实的;及  
c. 对于未能遵守原则所产生的问题,承担补救义务。

波尔公司将完成以下措施:
a. 选择满足以上第1条和第2条的要求;
b. 与DPA合作,调查并解决根据 “隐私护盾”所提出的投诉;及  
c. 遵守DPA给出的所有建议(关于客户数据和  在雇佣关系背景下从欧盟传输的人力资源数据)  其中,DPA认为组织需要采取特定措施,以遵守“隐私护盾原则”,包括为 不遵守原则所影响的人员的利益采取补救措施或补偿措施,

并将向DPA提供已采取此等措施的 书面确认。  

6.自我认证

波尔公司将遵守该部门的所有自我认证呈交材料 要求。波尔将确保遵守“隐私原则”,并将在波尔公司通过 “隐私护盾”认证之日起九个月内尽快处理其与 第三方的现有商业关系,以确保符合性。

7.验证

波尔公司将对其隐私实践完成自我评估方案,以验证 是否符合根据“隐私护盾”规范所作出 的证明和声明。   

8.访问

波尔公司将遵守规范中的访问原则,允许个人验证 其相关信息的准确性。此外,波尔公司还将做出善意的努力来 提供访问途径。如果授予完全访问权限将 泄漏其自身的商业机密信息,波尔可拒绝或限制访问。  

9.人力资源数据

波尔公司会将在雇佣关系背景下收集的有关其雇员的个人信息传输给 母公司、附属公司或 参加“隐私护盾”、在美国提供的非附属服务。传输之前信息的收集和处理 应遵循收集所在地欧盟国家的国家法律,并将遵守这些法律有关该信息传输的 任何条件或限制。波尔公司将遵守通知和选择原则以及关于 人力资源数据的访问原则。   

10.前向传输的义务合同

波尔公司通过运用符合欧盟数据传输标准和要求 的模型或其他合同条款,遵守与受保护数据前向 传输有关的要求。这些原则适用于在公司和实体的受控群体内传输数据,以及 向第三方控制者和处理者 传输数据。 

11.争议解决和执行

波尔公司将通过以下措施满足本原则的要求:
a. 遵守私营部门制定的包含  “隐私护盾原则”的隐私计划;  
b. 遵守规定个人投诉处理和争议解决  的法律或法规监督管理机构的要求;或  
c. 承诺与位于欧盟或其授权代表  的数据保护机构合作。

按照“隐私护盾原则”,波尔承诺解决有关 收集或使用个人信息的投诉。来自于欧盟的个人如需 提出有关我们“隐私护盾政策”的询问或投诉,请先通过信件、传真 或电子邮件联系波尔,联系方式如下:  

波尔全球数据隐私办公室  
10 Longs Peak Drive
Broomfield, Colorado  80021-2510 USA
传真:+1-303-484-6041
电子邮件:privacy@ball.com。  
 
波尔进一步承诺将未解决的“隐私护盾”投诉提交给美国 仲裁协会国际争议解决中心(AAA/ICDR),这是位于美国的另一个争议解决提供机构。如果您未收到波尔对投诉的 及时确认,或者您的投诉未得到满意解决, 请联系AAA/ICDR或访问www.icdr.org,以了解更多信息或 提交投诉。AAA/ICDR将为您提供免费服务。  
在与客户有关的个人数据方面,在特定情况下, 个人客户可提出约束仲裁。

12.拒绝的选择时间

波尔公司受制于“隐私护盾框架”的数据主要是人力 资源数据。波尔公司持有的消费者数据(如有)主要与 业务联系有关,因为波尔公司及其附属公司一般不销售给最终消费者。 因此,拒绝政策一般不适用于波尔公司的活动和数据。 如果任何拒绝政策或要求当时或后来适用,波尔 公司同意遵守此等要求。  

13.出行信息

波尔公司理解在数种不同的情况下,诸如频飞乘客或 酒店预订信息之类的出行信息和特殊处理需求可能会传输给 位于欧盟境外的组织。  

14.药品和医疗产品

波尔公司不持有与药品或医疗产品有关的数据以及 与该行业有关的数据。  

15.公共记录和公开信息

通过公共记录可以获得的信息或者通过其他方式向普通公众公开的信息 在有些情况下不受制于通知、选择和前向传输责任原则, 但此等信息不得与非公开信息结合在一起。此 外,访问原则不适用于此等信息,除非在此等 信息与非公开信息结合在一起的情况下。   

16.公共机构的访问要求

波尔可能被要求披露您的个人信息,以回应公共机构的合法要求, 包括满足国家安全或法律实施的要求。在 法律允许的情况下,波尔公司可选择发布有关数据隐私查询 的报告。



其他信息

其他问题

按照“隐私护盾原则”,波尔承诺解决有关 收集或使用个人信息的投诉。来自于欧盟的个人如需 提出有关我们“隐私护盾政策”的询问或投诉,请先通过信件、 传真或电子邮件联系波尔,联系方式如下:  

波尔全球数据隐私办公室  
10 Longs Peak Drive
Broomfield, Colorado  80021-2510 USA
传真:+1-303-484-6041
电子邮件:privacy@ball.com。   

请在所有通信中注明您的姓名、地址和电子邮件地址,并清楚说明 您的请求的性质。

本隐私政策的变更

波尔可随时修改本政策。如果我们决定对本政策做出实质性变更,我们将 在该位置发布修改后的政策。如果我们在任何时候决定实质性变更我们处理 您的个人数据的方式,我们将通过在该站点发布 通知提供该信息;如果这种不同的方式与 以上标题为“通知”的章节所述目的不一致,我们将向数据当事人提供是否同意我们以这种不同方式处理其信息的选择。

生效日期:2016年9月30日