客户第三方隐私政策

更新时间：2023 年 1 月 23 日

部门： 法律与合规

所有者： 隐私官员

1.政策声明

库什曼和韦克菲尔德核心（C&WC）致力于尊重和保护在业务过程中委托给我们的所有信息。这包括个人隐私和客户机密性。客户/第三方隐私和保密政策（“政策”）描述了C&WC为业务相关目的收集、处理、存储和保护机密和个人信息的方法。

2.政策的总体范围

本政策适用于公司所有董事、高级职员、合伙人、员工、通过代理机构雇用的临时员工、经纪专业人员和全球独立承包商 ²（统称 “员工”）³。

3.政策的例外情况

没有。

4.详细程序/指导

A. 定义

1。机密信息 — 客户或第三方在保密情况下提供给Cushman & Wakefield Core的任何和所有信息或数据（无论格式如何），这些信息或数据不公开且与客户参与或其事务有关。这可能包括受其他信息法（例如，内部价格敏感或政府保护）管辖的信息或数据类型。

2。个人信息 — (i) 识别或可用于识别、联系或定位个人，或 (ii) 与个人有关的、可以直接或间接推断其身份的任何和所有信息或数据（无论格式如何），包括与该个人有关或可链接的任何信息。

3.敏感个人信息 — 个人信息的子集，由于其性质，这些信息已被法律、合同或 C&WC 政策归类为需要额外的隐私保护和加强保护。敏感个人信息可能包括：（i）政府签发的身份证号码，（ii）银行和支付信息，（iii）健康、生物识别和医疗信息，（iv）消费者信用信息，（v）揭示种族、民族、政治观点、宗教或哲学信仰、工会成员资格、性生活或性取向、遗传数据、生物识别数据（为唯一识别个人而处理时）以及犯罪记录或指控的数据元素犯罪信息，以及 (vi) 指定的任何其他个人信息由 C&WC 作为敏感个人信息发布。

4。增强保护 — 针对意外或未经授权披露敏感个人信息的风险，实施比通常要求的更严格的物理、技术和管理措施，以防无意中或未经授权披露敏感个人信息的风险，因为无意中或未经授权披露敏感个人信息会给个人带来重大伤害的风险，包括身份盗窃或财务欺诈。

5。数据主体 — 与个人信息相关的人。

B. 治理

1。首席运营官负责监督本政策、应对运营和信息隐私管理风险的企业战略，并支持遵守所有数据保护、隐私和信息安全法律法规。

2。每个业务部门和部门都有责任遵守本政策，以处理其涉及机密和个人信息的收集、使用、披露、销毁、国际转移、权利行使和保护的具体活动。

C. 藏品

1。C&WC 收集机密或个人信息的目的是向客户提供服务、管理支持这些服务的基础设施以及遵守法律和合规义务。

2。收集的机密或个人信息的数量和类型取决于向客户提供服务所需的或相关的内容。C&WC的目标是仅收集最低数量的机密和个人信息，以提供服务。

3.除非另有约定，否则客户有责任确保向C&WC披露的任何机密和个人信息的合法性和公平性（包括确保C&WC对该机密和个人信息的任何处理的合法性和公平性）。这包括获得数据主体的任何必要同意。

4。客户或第三方有义务提供与C&WC收集或使用机密或个人信息有关的任何相关通知（例如向数据主体）或信息。C&WC还依赖客户和第三方提供准确、完整和一致的机密或个人信息。

5。C&WC还可能从公开来源收集个人信息，包括但不限于公共互联网网站和数据库、公共或政府来源，以及新闻或开源报道。

D. 使用

1。C&WC 仅将机密和个人信息用于向客户提供服务、管理支持这些服务的基础设施以及遵守法律和合规义务。

2。在使用机密和个人信息时，C&WC根据客户的指示行事。这些指示可以口头或书面给出，其形式和细节取决于服务以及客户的要求或要求。在适用的隐私法的背景下，C&WC通常充当客户的数据处理器/服务提供商。

3.除非另有约定，否则C&WC可能会将某些机密和个人信息用于统计基准、行业情报和研究目的。在此之前，C&WC将采取合理措施对信息进行匿名化或汇总信息。

4。尽管不是提供服务的常见功能，但C&WC遵守客户对使用个人信息进行个人简介或自动决策的任何要求或限制。

E. 留存

1。如果C&WC为客户提供访问和删除代表客户处理的机密和个人信息的便利，则客户有责任在不再需要时删除机密和个人信息。在其他情况下，C&WC将在与客户商定的任何保留期结束时删除机密和个人信息，或者按照客户在履行数据主体权利方面的指示。

2。为了遵守法律要求或出于合规或保存记录的目的，C&WC可能会保留机密和个人信息的副本，在这种情况下，C&WC将在这些法律要求的要求或实现这些目的的时间内保留此类机密和个人信息。

3.对于备份或档案中保存的机密和个人信息，C&WC采用有计划的销毁周期，选择性删除是不可行的。C&WC 继续根据本政策保护信息。备份或存档中保存的机密和个人信息不受任何进一步处理。

F. 披露

1。机密和个人信息在 C&WC 内与需要了解的个人和部门共享。披露取决于所提供的信息和服务的性质。

2。C&WC仅在向客户提供服务的过程中或出于向客户提供服务的目的向外部组织披露机密或个人信息。在法律要求或出于合规目的的情况下，C&WC还可能向第三方披露。

3.此类接收方包括C&WC集团的其他实体和关联公司、C&WC的保险公司和专业顾问、其他顾问或客户指示的其他第三方，或为C&WC提供各种外包业务职能和技术的组织。

4。当C&WC向第三方披露机密或个人信息时，只有在向C&WC提供服务所必需或法律要求时，第三方才有权使用和进一步披露相关的机密或个人信息。

5。C&WC 应采取适当行动，确保第三方保护 C&WC 向其披露的机密和个人信息。这包括使用适当的合同和信息安全措施，为与客户达成的协议提供基本同等水平的保护。

6。在法律和法规允许的情况下，C&WC应告知相关客户或第三方其拟根据法律要求披露机密或个人信息或回应政府要求的地方。

7。C&WC 不出售或共享客户的个人信息。

G. 行使权利

1。如果客户以外的其他人希望根据适用的隐私法律行使有关个人信息的任何权利（例如访问或更正），C&WC将立即通知客户，以便客户做出回应。

2。如果C&WC收到有关收集、处理或共享个人信息的投诉或负责遵守隐私法的监管机构的请求，C&WC将在法律允许的范围内立即通知客户，以便客户做出回应。

H. 保障措施

1。C&WC 以适当限制丢失、被盗、滥用或未经授权访问风险的方式收集、处理、维护、共享（内部和外部）和销毁个人信息。

2。根据合同，所有 C&WC 员工都必须保护机密和个人信息。此外，某些员工可能因遵守法律和保密而承担额外的专业义务。

3.如果个人信息的完整性和保密性遭到严重损失、滥用或其他可能造成严重损害的违规行为，C&WC应按照与客户的协议或适用法律遵守通知客户的要求。

4。C&WC通过沟通和培训提高了对本政策中事项的认识，并采取措施确保访问机密和个人信息的员工的可靠性。

I. 进一步的指导意见

对本政策的解释应提交给首席运营官。首席运营官将负责解释本政策的任何部分，因为这些部分可能适用于特定情况。

J. Languages

虽然本政策在 CONNECT 上有多种语言的版本，但如果对本政策的不同版本的解释存在任何差异，则以英文文本为准。

1 独立承包商是指那些在战略基础上协助公司发展和开展业务的独立供应商。独立承包商应遵守本政策，这是他们根据与公司签订的各自协议承担的义务的一部分。如果独立承包商是法人实体而不是个人，则应公司的要求，该独立承包商应促使和指导与向公司提供的服务相关的关联公司承认并遵守本政策。
2 对本政策的遵守不得解释或解释为在员工与特定公司实体之间建立雇佣关系，除非存在其他雇佣关系。不得将独立承包商或该独立承包商的高级管理人员或合伙人遵守本政策解释或解释为在该独立承包商或该独立承包商的高级管理人员或合伙人与公司之间建立雇佣关系