艾杰飞睿识人才服务(上海)有限公司

个人信息处理规则

 

1章 总则

 

11 目的

本规则是为了适当的处理艾杰飞睿识人才服务(上海)有限公司(以下简称 "RGF PR")持有的所有个人信息而规定所必需的事项。RGF PR认知到涉及个人信息的价值和风险,以维护和发展为目的,建立RGF PR持有的所有个人信息得到适当的处理状态。本规则适用于RGF PR全体员工。RGF PR的所有董事和员工都应遵守本规则,适当地处理个人信息,并尽最大努力防止RGF PR持有的所有个人信息的泄露。 这些规定也应比照适用于临时员工(也包括小时工、实习生)、派遣人员和分包商(包括与RGF PR签订分包协议的公司的员工),他们参与的工作涉及处理RGF PR持有的个人信息。(本规则中,RGF PR的董事和员工、参与RGF PR业务的临时员工、派遣人员以及承包商统称为 "员工")。

 

12 用语和定义

121 个人信息

以下个人信息以及RGF PR得的所有个人信息均受规则约束。个人信息包括以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,但是不包括被匿名化(是指通过对个人信息进行处理从而无法识别特定的自然人,且不能复原的处理过程)处理的信息。

(a) 者的个人信息

规则适用的求者个人信息(以下 "者信息")的范RGF PR在其业务过程中理的所有求者信息。

(b) 伙伴的员工的个人信息

规则所适用的商伙伴员工的个人信息(以下 "伙伴员工信息")的范围仅限于招聘公司和商伙伴的员工信息。是指与RGF PR业务往来或考业务往来的公司和组织的员工的个人信息。

(c) 员工等的个人信息。

规则适用的RGF PR工等的个人信息(以下 "工信息")的范是所有董事和工的个人信息,临时员工及承包商的个人信息,以及RGF PR在用工管理程中理的派遣人的个人信息。 但是,派遣人本来就以《劳动合同法》等,由派遣方来筹派遣人的个人信息,所以RGF PR将以适当的方式理派遣工的个人信息。

 

122 个人

个人被定义为由个人信息所标识或者关联的自然人。

 

123 个人的同意

个人的同意是指个人在得到有关理个人信息的信息后,表示同意理与自己有关的个人信息的意向。如果当事人缺乏行能力,须获得法定代理人或其他人的同意。

 

124 求职者

求职者是指在职业转换方面接受RGF PR和具体支持的个人。

 

125 个人信息的处理

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

 

126 个人信息保护管理系统

个人信息保护管理系统是以保护RGF PR在自身业务中使用的个人信息的个人权益,同时考虑到其有用性为目的,是一个包括政策、制度、计划、实施、检查和审查的管理系统。

 

127 不适用

不适用是指不符合中华人民共和国的《民法典》,《个人信息保护法》及《网络安全法》等有关个人信息保的法律法的要求。

 

13 个人信息保护管理系统的运用

131 操作程序的明确化

RGF PR明确以保其信息保管理系为目的的操作程序。

 

132 适用法律等

(1) 理个人信息RGF PR将遵守包括《民法典》、《个人信息保法》及《网络安全法》等相关法律、法规、规章、政策。

(2) 合规管理部个人信息处理负责人批准,将保存最新版本的RGF PR的个人信息保相关法律法,以便董事、工和外部人在必要参考。

 

133 个人信息保护方针

(1)个人信息安全责任人(总经理)根据明确的个人信息保理念,制定施和维护与以下目有关的个人信息保政策

(a) 业务的内容和模的适当的对个人信息的处理

(b) 防止个人信息的非法访问、个人信息的泄漏、失或

(c) 、商和咨作出回

(d)遵守有关理个人信息的法律和法、国家准和其他准。不断完善个人信息保管理制度

2RGF PR将本规则以面形式向员工进行公示,并向客进行公示。

 

134 内部管理制度及操作规程

(1) RGF PR制定和实施包括以下事项的内部管理制度及操作规定。

(a) 关于RGF PR处理个人信息的权责规

(b)关于收集、告知及取得同意的相关规

(c)关于存储、使用、加工、传输个人信息的相关

(d)关于提供、公开个人信息的相关

(e)关于删除个人信息等的相关

(f) 关于个人信息的风险评估的规定

(g) 关于理投

(h) 关于个人信息保教育的

(i) 关于对违反内部规则处罚的规

(j) 关于急准和反的规定

 

135 责任和权限

1351 个人信息安全责任人(总经理)

(1)  个人信息安全责任人(总经理)将妥善理个人信息定位为业务中的重要问题有效施个人信息保管理制度,建立、记录并向工和其他人公布相关职责、任和力。

(2) 个人信息安全责任人(总经理)可将其有关个人信息保护管理系统的权力下放给个人信息处理负责人。

(3) 个人信息安全责任人(总经理)指定一名了解个人信息保管理制度的内容、《个人信息保护法》等要求等的人,并能从公正、客的角度RGF PR的个人信息是否在此基上得到妥善核。

(4) 个人信息安全责任人(总经理)从员工中任命一人负责信息系的安全。

 

1352 个人信息处理负责人

(1)个人信息处理负责人个人信息保管理系施和运行任和力,应实施个人信息保管理系并向个人信息安全责任人(总经理)告其运行状况。

 

(2) 个人信息处理负责人以必要和适当的方式督员工等,确保个人信息的安全管理。

 

(3) 个人信息处理负责人有以下事,并作出决定或向批人提出建

(a) 制定、修改和除与理个人信息有关的规则和条例

(b) 个人信息的审计时间和方法

(c) 关于理个人信息的教育和培时间和方法。

(d) 个人信息规则的例外情况的

(e) 得新型的个人信息。

 

(4) 个人信息处理负责人接受有关下列事告,并作出改的指示。

(a)关于个人信息理的实际操作和自查结

(b)个人信息理的任何审计结

(c)个人信息处理负责人认为必要的其他事

 

1353 信息系统安全负责人

信息系安全负责个人信息保管理体系中信息系安全的施和运行任和力。

 

136  个人信息的特定

RGF PR特定其持有的所有个人信息,了解特定的个人信息的风险并采取必要的对策

 

1361 个人信息的管理

合规管理部应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取对个人信息实行分类管理、通过加密、去标识化(是指通过对个人信息进行处理从而如果不依据进一步的信息无法识别特定自然人的处理程序)等相应的安全技术措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。

 

137 风险的识别、分析和控制

(1)合规管理部建立一个业务流程总结出个人信息的业务流程图

(2)合规管理部应对个人信息的取、使用、提供、存置等各个段的风险进调查,并在 "风险分析表 "各个景的承担风险、安全措施、相关定和剩余风险进行描述,同附上业务流程,由个人信息处理负责人批。

(3)理个人信息有关的风险应根据风险的内容、害程度以及施措施的情况,从组织、人力、技和物理方面估。

(4)合规管理部采取合理措施应对明的与个人信息有关的风险

(5)合规管理部将在每年的第三季度对业务流程中描述的个人信息相关风险进审查

 

138 应对与处理个人信息有关的事件

(1)RGF PR制定并组织实施发生或可能发生个人信息泄露、篡改、失时等个人信息安全事件(以下 "事件")的应急预案。 RGF将制定识别应对事件的程序,并采取适当的行,防止害的散,避免似事件的生。

(2)RGF PR应当按照1.3.8.11.3.8.3的事件特定及应对程序,立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

a)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;

bRGF PR采取的补救措施和个人可以采取的减轻危害的措施;

cRGF PR的联系方式。

(3)RGF PR采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人。

 

1381 了解事件并决定如何处理

(1)知悉事件发生的员工等(知悉的手段包括公司内外的报告、咨询或投诉等)应当迅速向合规管理部报告事实,合规管理部向个人信息处理负责人及个人信息安全责任人(总经理)报告。

(2)个人信息处理负责人通过构建可以迅速准确应对的机制实现信息一元化,并作出防止扩大被害的指示等。

(3)个人信息处理负责人的指示应优先于日常业务执行。

 

1382 通知公示

(1)收到个人信息处理负责人指示之人应迅速将事件发生的事实及发生泄露、灭失或损毁的个人信息的内容通知本人,或置于本人易于知悉的状态下。

(2)个人信息处理负责人从防止二次被害、避免发生类似事件的观点出发认为有必要时,应尽可能迅速地公布事实关系、发生原因及应对方案。

(3)个人信息处理负责人收到个人信息保护职责部门关于事件的要求时,应根据该要求采取措施,予以纠正,清除潜在的危险性。

 

1383 实施事件应对

(1)员工等通过公司外部投诉或查询知悉事件发生时,该员工应立即向合规管理部报告,合规管理部应自收到该投诉或查询之日起3个工作日以内应对后,向该公司外部人员进行反馈。

(2)员工等发现公司内部的有关个人信息管理的合规问题时,该员工应立即向合规管理部报告,合规管理部应自发现该问题之日起3个工作日以内予以应对并解决。

(3)员工等发现有关个人信息管理的公司内部的机制不完善时,该员工应立即向合规管理部报告,合规管理部应自发现该不完善之日起3个工作日以内制定机制的完善方案,并在10个工作日以内进行应对并予以改善。

 

1384 事后处理

(1)个人信息处理负责人应在制定防止再次发生方案的同时指示实施。

(2)个人信息处理负责人应确认已实施防止再次发生方案,并确保防止再次发生方案的效果。

 

(3)合规管理部应记录自事件发生起至事后处理的一系列应对,并根据需要以相关人员可以参照的状态予以管理。

 

 

2章 有关收集、使用和提供个人信息的措施

 

21 使用目的的说明

(1) 取个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,不得过度收集个人信息。

(2) 获取个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

(3) 者信息的RGF PR向求者提供职业介绍和相关服务为目的。

(4) 收集商伙伴的员工信息是RGF PR提供职业介绍和相关服,以及了在商伙伴和RGF PR建立良好的业务关系。

(5) 工信息的收集是RGF PR行适当的就管理。

 

22 合法取得

个人信息合法和公平的手段得。

 

 

23 对收集、使用和提供敏感个人信息的限制

敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。

(a)     处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

(b)     处理敏感个人信息的,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)RGF PR的名称和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

(c)      处理敏感个人信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照法律规定可以不向个人告知的除外。

(d)     处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

 

24 处理个人信息的措施

1)处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

2)处理个人信息不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

3)符合下列情形之一的,RGF PR方可处理个人信息:

a)取得个人的同意;

b)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

c)为履行法定职责或者法定义务所必需;

d)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

e)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

f)依照法律规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

g)法律、行政法规规定的其他情形。

依照法律有关规定,处理个人信息应当取得个人同意,但是有前款b)至g)规定情形的,不需取得个人同意。

 

25 公开个人信息的措施

RGF PR不得公开其处理的个人信息。但是,取得个人单独同意的除外。

 

26 提供个人信息等的措施

(1) RGF PR向第三方提供个人信息时,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。

(2) RGF PR从第三方接收个人信息时,应当在其处理目的、处理方式和个人信息的种类等范围内处理个人信息。变更原先的处理目的、处理方式的,应当依照《个人信息保护法》的规重新取得个人同意。

 

27 向境外提供个人信息的措施

(1) RGF PR因业务等需要,确需向中国境外提供个人信息的,应当具备下列条件之一:

a) 依照《个人信息保护法》第40条的规定通过国家网信部门组织的安全评估;

b) 按照国家网信部门的规定经专业机构进行个人信息保护认证;

c) 按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

d)法律、行政法规或者国家网信部门规定的其他条件。

(2) RGF PR应当采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。

(3) RGF PR向中国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项,并取得个人的单独同意。

 

 

3 个人信息的妥善管理

3.1 确保准确性

RGF PR在处理个人信息时,应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

 

3.2 确保安全

RGF PR应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

 

3.3员工等的职责

1) 在让员工处理个人信息时,RGF PR 有权在必要和适当的情况下对员工等进行监督,以便安全管理个人信息。

2) 当员工入职或离职时,RGF PR将要求员工提交一份文件,声明他/她在职期间遵守这些规则,即使在退休或合同终止后也不会将个人信息泄露给他人。

3) 从事个人信息的获取、使用或提供的员工等,应根据法律法规、本条例的规定或个人信息安全责任人(总经理)以及个人信息处理负责人指示的事项,在充分注意个人信息的安全管理的同时进行该业务。

4) 员工等在发现违反本规定的情况或发现存在违反风险的情况时,应及时向个人信息安全责任人(总经理)以及个人信息处理负责人报告。

 

3.4个人信息的保存及废弃

3.4.1保存及安全管理

(1)个人信息应根据用途规定保存期限。除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

(2)不要将包含个人信息的文件留在办公桌等上

(3)在服务器上保存包含个人信息的电子文件时,设置访问权限,以便只有业务需要的人才能访问。
(4)
未经合规管理部许可,禁止在互联网环境、多功能便携终端、个人所有的电脑或电子媒体等中保存个人信息。

 

3.5信息系统安全

3.5.1计算机设备等的管理(1)在可能带出办公室的个人电脑上安装硬盘加密软件。

(2)为了防止离开时信息被偷看或进行不正当的操作,设定“受密码保护的屏幕保护程序功能”在5分钟内启动。

(3)不得安装与业务无关的软件。

(4)未经合规管理部许可的计算机设备(个人计算机、路由器、调制解调器等)禁止接入本公司计算机设备网络。

(5)标准个人计算机必须按照合规管理部许可的方式接入网络。

 

3.5.2信息系统的逻辑保护

3.5.2.1认证

为了执行对信息系统的访问控制,对利用者提供唯一的固有账号和密码进行管理。

根据信息系统的利用形式和利用者的权限等,对可利用的信息进行适当的限制和分离,抑制因不正当利用造成的损失的扩大等。

 

3.5.2.2密码的利用

为了保护重要信息的机密性,根据需要对数据和通信手段进行加密。

 

3.5.2.3安全监控与维护

(1)获取发行的所有ID的使用日志(登录成功/失败、退出、无法退出时为会话超时),并从记录日起保存6个月。

(2)执行适当的监控以防止未经授权的使用和安全漏洞。 此外,我们将获取维持安全所需的技术,并根据需要及时采取适当的措施。

 

3.5.2.4备份

对于重要的信息和系统,在必要的范围内进行文件数据的备份,进行适当的保存和管理。

 

3.5.2.5病毒检查

(1)在个人电脑上导入病毒检测软件,进行实时的病毒检查。在获取文件或数据的情况下,如接收电子邮件、浏览外部Web网站、通过FTPHTTP获取文件等,自动对这些文件等进行病毒检查。

(2)标准个人计算机根据系统基础设施管理部门制定的日程更新模式文件,根据合规管理部门的指示实施全面扫描。

 

3.5.3网络管理

(1)在链接目标网络和自己管理的网络之间设置、设置、记录管理防火墙(包括具有防火墙功能的路由器)。、

(2)RGF PR网络安装连接端口时,采取限制网络使用/锁定连接端口等措施施加使用限制,使不必要的设备无法连接。

(3) 通过互联网从外部连接时,使用VPN等进行认证,并采取防止窃听和篡改的措施。

 

3.5.4信息系统的废弃

废弃不再使用的信息系统时,为防止信息从废弃物中泄露,应通过销毁、焚烧等物理手段或采取无法恢复信息的措施等逻辑手段进行适当的清除。

 

3.6委托处理个人信息相关措施

委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

 

3.7合规审计

RGF PR应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

 

4 关于个人信息的本人权利

 

4.1个人信息处理行为中的个人权利

4.1.1知情权与决定权

个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

 

4.1.2查阅、复制、转移

1)个人有权向RGF PR查阅、复制其个人信息;有《个人信息保护法》第十八条第一款、第三十五条规定情形的除外。

2)个人请求查阅、复制其个人信息的,RGF PR应当及时提供。

3)个人请求将个人信息转移至其指定的RGF PR,符合国家网信部门规定条件的,RGF PR应当提供转移的途径。

 

4.1.3更正与补充

1)个人发现其个人信息不准确或者不完整的,有权请求RGF PR更正、补充。

2)个人请求更正、补充其个人信息的,RGF PR应当对其个人信息予以核实,并及时更正、补充。

 

4.1.4删除

有下列情形之一的,RGF PR应当主动删除个人信息;RGF PR未删除的,个人有权请求删除:

a处理目的已实现、无法实现或者为实现处理目的不再必要;

b   RGF PR停止提供产品或者服务,或者保存期限已届满;

c个人撤回同意;

c   RGF PR违反法律、行政法规或者违反约定处理个人信息;

d   法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,RGF PR应当停止除存储和采取必要的安全保护措施之外的处理。

 

4.2个人行使权利

RGF PR应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

 

5章 有关个人信息处理的教育及研修

 

51 教育及研修的实施

1RGF PR应以员工等为对象,定期实施有关个人信息处理的安全教育和研修。

2RGF PR制定相关教育、研修、测评计划并实施。

3)合规管理部将有关安全教育、研修、测评的实施结果报告给RGF PR相关负责人,并进行业务改善和调整。

 

6章 个人信息保护影响评估的实施、记录制作、保存

61个人信息保护影响评估的实施、记录制作

有下列情形之一的,RGF PR应当事前进行个人信息保护影响评估,并对处理情况进行记录:

a) 处理敏感个人信息;

b) 利用个人信息进行自动化决策;

c) 委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

d) 向境外提供个人信息;

e) 其他对个人权益有重大影响的个人信息处理活动。

 

62个人信息保护影响评估的内容

个人信息保护影响评估应当包括下列内容:

a) 个人信息的处理目的、处理方式等是否合法、正当、必要;

b) 对个人权益的影响及安全风险;

c) 所采取的保护措施是否合法、有效并与风险程度相适应。

 

63个人信息保护影响评估报告及处理情况的保存

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

 

7章 投诉的处理

 

71 设置投诉受理的窗口

1RGF PR将设立受理有关个人信息处理及个人信息保护管理系统的投诉的窗口,并在主页上向顾客公布联系方式。

2)受理窗口设置在合规管理部,会及时对投诉作出答复。

3)投诉的受理,将通过网站的咨询表单进行。

4)在合规管理部以外的单位受理的投诉,应及时向合规管理部报告相关内容,在协商确定答复内容和答复负责人后予以答复。

 

72 投诉内容的记录和报告

1)合规管理部记录并保存投诉的内容和对应结果。

2)合规管理部定期向信息管理负责人和个人信息安全责任人(总经理)报告有关投诉的记录。

 

73 重大案件的应对

合规管理部门在判断投诉内容重大时,应立即向信息管理负责人报告。召集信息管理负责人与相关人员及个人信息安全责任人(总经理)进行协商,决定应对措施。

 

8章 其他

 

81 违规处分

1)员工因一般过失违反包括本规定在内的个人信息保护相关的规章制度、操作流程等的,予以警告处分;

2)员工因故意或重大过失违反包括本规定在内的个人信息保护相关的规章制度、操作流程等的,予以严重警告处分;

3)员工因一般过失、重大过失或故意违反包括本规定在内的个人信息保护相关的规章制度、操作流程的,造成严重后果的,予以解除劳动合同。如该行为构成违法或犯罪的交有关部门处理。

4)违反上述规定,未给RGF PR造成经济损失,或造成损失为5000元以下,但非出于故意的行为;或者未产生违规所得,或违规所得在500元以下,经RGF PR指出以后,能够积极认错、退还违规所得,赔偿RGF PR损失的。某些违反上述规定的行为虽未给RGF PR造成经济损失,或未产生违规所得,但是在员工中产生一定程度的不良影响,或一定程度上影响正常工作开展,或不听劝阻,不悔改的。构成上述情形的,RGF PR将视具体情形给予警告或严重警告的处理。

5)违反上述规定,造成RGF PR经济损失5000元以上的,或者虽未达到5000元的经济损失但拒不赔偿的,或者严重影响RGF PR正常经营秩序,或者影响RGF PR社会声誉以及品牌形象的,或产生违规所得500元以上的,予以解除劳动合同。

6)违反上述规定给RGF PR造成经济损失的,RGF PR可要求该员工承担赔偿责任。具体规定参照劳动规则执行。

 

82 规程的改废

本规程的修订和废除由个人信息处理负责人起草或提议,由总经理批准。

 

83 疑义处理

对本规程规定的事项有疑义或对其处理没有规定时,应根据个人信息处理负责人的意见,由个人信息安全责任人(总经理)随时加以规定。

 

9章 附则

 

本规程自2021111 日起施行。