本集團重視對閣下個人資料的保障。力都私隱政策(「本政策」)列明我們如何管理所持有的個人資料,並適用於力都集團的所有部門及業務。

力都尊重個人資料的機密及個人私隱,致力遵從現有的數據保障條例。

本私隱政策說明本集團將如何處理由閣下向我們提供、我們獲發或在閣下瀏覽本集團網站時由我們收集的個人資料 。請細閱本政策,以便掌握及了解本集團收集、使用及披露閣下個人資料的目的。

  1. 引言

    1.1 力都有限公司採用本資料保障政策,以履行現有數據保障法例所規定責任;而在向身處歐聯人士提供貨品或服務時,則要遵從《通用數據保障條例》(條例2016/679)(下文稱之為”DPL”)所引進的歐盟數據保障機制。
    1.2 本政策說明收集、處置、儲存、披露及「處理」個人資料的方法,以履行本公司的數據保障責任及遵從DPL的規定。
    1.3 本政策旨在確保所有參與個人資料處理過程的人士均了解及遵從DPL的規定。
    1.4 在擬備本政策時,本公司已考慮其業務性質、規模及複雜程度。由於本公司並無定期及有系統地大規模監察數據主體,因此沒有委任資料保障主任。本公司的董事將承擔最終責任,確保本公司履行其法律責任,並完全按照DPL的規定營運。

  2. 定義

    2.1 「數據控制者」是指任何在獨自或與他人合作的情況下,就處理個人資料之目的及方法作出決定的自然人或法人(在本情況下,即是由力都管理的投資公司﹙「投資公司﹚,即Sniper Macau Heritage Properties I Limited、Sniper Macau Heritage Properties II Limited、Sniper Macau Heritage Properties III Limited及Macau Property Opportunities Fund Limited)。
    2.2 「數據處理者」是指代表數據控制者(例如行政管理人、分銷商及/或其他接收個人資料的代表)處理個人資料的自然人或法人。
    2.3 「數據主體」是指屬於個人資料主體的已識別或可識別自然人。
    2.4 「個人資料」是指任何與數據主體有關的個人資料,例如:姓名、住址、電郵地址、聯絡詳情、企業聯絡資料、簽名、國籍、出生地點、出生日期、稅務編號、信貸紀錄、通信紀錄、護照編號、銀行帳戶資料、當閣下對本集團感興趣,並透過我們的網站註冊時向我們披露的任何其他資料、閣下的IP地址、閣下的瀏覽器種類、語言和其他有關閣下瀏覽我們網站的資料、cookie及網上識別資料。
    2.5 「私隱須知」是指為投資公司而擬備的數據保障披露聲明,當中概述投資公司的數據保障責任,以及在DPL的規定下數據主體所享有的數據保障權利。
    2.6 「處理」是指對個人資料的任何一項或多項操作(不論是否以自動方式進行),包括:收集、記錄、組織、儲存、修改、使用、檢索、披露、除或銷毀。不論以上活動是否在歐洲聯盟(「歐盟」)進行,只要處理活動關乎(i)向身處歐盟的數據主體提供貨品和服務;或(ii)監察其行為的程序於歐盟之內進行,有關處理個人資料程序的規則便可適用。

  3. 力都作為數據處理者

    3.1 力都是一名數據處理者,並將遵從DPL的規定履行其責任。
    3.2 在處理個人資料時,本公司的其他服務供應商有時可能在某個程度上自行決定處理的目的和方法,而它們亦可能具備DPL所述的數據控制者或數據處理者的特性。然而,這並不代表本公司可以免除其責任及職責。如果出現本公司與服務供應商共同行動的風險,基於管治和法律原因必須全面考慮檢討合約安排,以決定數據處理的目的和方法,以及兩者的責任歸屬。

  4. 數據保障原則

    4.1 個人資料將:
    (a) 以公平、合法和具透明度的方式處理;
    (b) 為具體、明確和合法的用途而收集,並且不會在有違該等用途的情況下作進一步處理;
    (c) 僅限於指明的一個或多個用途所需;
    (d) 準確、完整及最新;
    (e) 保存時間不會長於指明的一個或多個用途所需要;
    (f) 以安全和妥善的方式保存;
    (g) 可按要求向數據主體提供(請參閱第5部份);及
    (h) 不會向身處保護不足國家的人士或機構轉移。

    4.2 公平和具透明度的處理方式
    為確保以公平的方式取得個人資料,數據控制者必須在收集個人資料之前或期間協助數據主體了解以下事項:
    (a) 數據控制者的身份及聯絡資料;
    (b) 收集個人資料的用途及處理資料的法律基礎;
    (c) 該等法律基礎是否屬於數據控制者的合法權益、數據控制者或第三方的合法權益,以及說明該等權益(即處理數據的理據);
    (d) 可能向之披露個人資料的人士或類別;
    (e) 在歐洲經濟區之外地區轉移數據的詳情,以及說明已採取的安全措施和取得其副本的方法;
    (f) 儲存個人資料的時期;
    (g) 數據主體存取個人資料的權利;
    (h) 數據主體更正錯誤個人資料的權利;
    (i) 數據主體除個人資料的權利;
    (j) 數據主體對其個人資料的可攜權;
    (k) 數據主體就處理程序提出限制的權利;
    (l) 數據主體撤回同意書的權利;
    (m) 數據主體在某些情況下就處理程序提出反對的權利;及
    (n) 數據主體向數據保障專員辦事處提出投訴的權利。

    本公司將確保全部與個人資料處理程序有關的資料和通訊均清晰、準確、具透明度、易於理解、易於存取,並且使用簡單明確的語言以便易於明白。本公司將確保在收集及處理個人資料的所有階段均遵守以上的透明度規定。

    若以上資料在向數據主體提供之後有所變動,數據主體將獲發更新後的資料。

    4.3 合法處理
    在以下至少一項適用情況下,本公司可以合法處理個人資料:
    (a) 數據主體已就處理程序發出同意書(雖然最理想的是在可行的情況下,以其他原因作為處理程序的依據,而本公司只會把同意書視作展開處理程序的最後方法);
    (b) 為履行合約而必須進行處理程序;
    (c) 為保障數據主體或其他自然人的重要權益而必須進行處理程序;
    (d) 為履行本公司應有的法律責任而必須進行處理程序;及/或
    (e) 為本公司或第三方的合法權益而必須進行處理程序,且數據主體的權益、基本權利或自由不能凌駕該等合法權益。

    4.4 用途限制
    本公司只會為具體、明確和合法的用途而收集及處理個人資料。作為一家基金管理公司,本公司將基於以下用途而處理個人資料:
    (a) 釐定及反映投資者在任何管理基金的持股情況(即:為履行合約以購買基金股份或處理贖回、轉換、轉移及額外認購申請或支付分派時的必要程序);
    (b) 核實投資者(以及實益擁有人,如適用)的身份,以解除其反洗錢及恐怖份子籌資/資金來源的責任、或作預防欺詐或監管或報稅的用途、或回應法律要求或監管部門提出的要求(即:為履行法律責任的必要程序);及/或
    (c) 作直接推廣用途(即是向數據主體提供產品及服務的資料)或作品質控制、商業和數據統計、或作追蹤費用和成本、或作客戶服務、培訓及相關用途(即:為本公司或第三方合法權益而必須進行的程序,且數據主體的權益、基本權利或自由不能凌駕該等合法權益,惟本公司應以公平、具透明度及盡責的方式行動,並已採取適當措施避免該等活動對數據主體造成不當影響,因為如下文所述,數據主體有權就該等用途提出反對)。
    在首先就任何其他用途及進行處理程序的適用基礎向數據主體諮詢前,本公司不會以有違數據主體已獲悉的用途處理個人資料。

    4.5 收集最低程度的個人資料
    所收集的個人資料將足以供其處理程序之用,並與之相關及僅限於該用途。

    4.6 準確的記錄
    本公司將確保所擁有的個人資料準確及最新。我們將在收集時檢查個人資料的準確性,其後亦會定期或於出現觸發事件時進行檢查。本公司將採取所有合理措施,以修正失實或過時的個人資料。

    4.7 儲存限制
    本公司保存個人資料的時間不會長於其收集用途所須,並將採取所有合理措施以除所有不再需要的個人資料。本公司將明確通知數據主體保存個人資料的時間長度或決定時間長度的準則,以及保存資料的原因。

    4.8 保安
    在處理個人資料時,本公司將執行適當的技術及機構措施,確保保安水平與風險相稱,並考慮現有技術、執行成本及處理程序的性質、範圍、狀況和用途,以及不同可能性的風險和對自然人的權利與自由的損害程度。具體來說,本公司將採取所有適當的保安、技術安全和機構措施,以應對所傳送、儲存或處理的個人資料遭意外或不法破壞、損失、更改、未經授權披露或存取的風險。

    本公司將向作為數據處理者的服務供應商取得保證,確保它們採取適當的資料保安措施,以符合DPL的相關條件。

    4.9 把個人資料轉移至歐洲經濟區以外的國家
    數據處理者只能在以下情況把個人資料轉移至歐洲經濟區以外:(a)取得本公司的書面同意(只會在若干情況下提供);(b)根據歐盟或歐盟成員國的法例要求,而相關的數據處理者必須遵守該法例或(c)在DPL列明的若干有限情況,例如:根據旨在提升轄區履行國際責任的國際協議,遵從該轄區公共當局的決定。
    數據處理者須在符合DPL規定的情況下提供適當的保護措施,並為數據主體提供權利和有效的法律補救措施,否則應遵從DPL的要求規定。

  5. 數據主體的權利

    5.1 存取資料權
    數據主體有權取得本公司證實有否處理其個人資料。
    若本公司正處理其個人資料,數據主體有權存取該等個人資料及以下資料(不受限制):
    (a) 處理程序之目的;
    (b) 有關個人資料的類別;
    (c) 可能向之披露個人資料的人士或類別,特別是第三國家或國際機構的收受者;
    (d) 預計儲存個人資料的時期,如無法透露,則為決定該時期的準則;
    (e) 有權要求本公司更正或除個人資料,或限制處理與數據主體有關的個人資料或就該等處理程序提出反對;
    (f) 有權向數據保障專員提出投訴;
    (g) 在沒有為數據主體收集個人資料時,可以獲得與來源有關的資料;及
    (h) 有否使用自動化決策機制,包括第22(1) 條及第(4)條所指的自動化剖析,而至少在該等個案中,必須披露所涉及的邏輯、該等處理程序對數據主體的重要性和所造成的預期後果等重要資料。

    當個人資料轉移至第三國家或國際機構,數據主體有權得知與轉移有關的適合保護措施。.

    索取正在處理的個人資料副本的權利不會對其他人士的權利及自由造成不利影響,換言之,相關資料可於必要時加以選錄修訂。

    遵照數據主體的存取要求時,本公司將不會收費,除非從數據主體提出的要求次數可見其要求屬過多性質。在該等情況下,本公司可能根據行政成本收取合理費用。

    有關資料必須在沒有延誤的情況下,以及至少於一個月內提供。在遇到複雜的要求時,本公司將可把提供資料的限期延長至三個月。不過,本公司必須在一個月內就要求作出回應,說明為何必須延期。

    本公司可能拒絕就明顯無理或屬過多性質的要求採取行動,在該等情況下,本公司將在切實可行的範圍內,儘快以書面通知數據主體其拒絕原因,並告之其有權向監督部門提出投訴。
    該等要求可由個人(例如:投資者或董事),以及透過電子形式和書要請求的方式提出。

    5.2 被遺忘權/除個人資料權
    在若干情況下,數據主體有權在沒有不當延遲的情況下除其個人資料,包括(但不限於):當個人資料遭不法處理或個人資料與其收集用途再無必須關係。
    鑑於本公司使用所收集個人資料的特別性質,本項條文未必適用於本公司的數據主體。

    5.3 限制處理程序權
    在若干情況下,數據主體有權要求本公司限制處理個人資料的程序,包括(但不限於):當個人資料失實、處理程序不再需要該等資料或數據主體行使反對權(尚待核實本公司的合法理據,該等理據將凌駕數據主體的合法理據)。
    當處理程序受限制時,該等個人資料只會在數據主體同意下進行處理,惟儲存除外。在取消對處理程序的限制前,本公司將通知數據主體。

    5.4 反對權
    在處理其個人資料的任何時間內,數據主體有權就其特定情況提出反對,而該等處理程序是以本公司的合法權益為基礎。
    除非本公司能夠就處理程序提出有力的合法理據證明,足以凌駕數據主體的權益、權利和自由,或用以確立、行使或辯護法律申訴,否則本公司將不會繼續處理該等個人資料。
    數據主體有權隨時就以個人資料程序作直接推廣用途提出反對。當數據主體反對以處理程序作直接推廣用途時,該等個人資料將不再作該等用途處理。

    5.5 可攜權
    當符合DPL第14(1) (b) 部份的條件時,數據主體有權要求傳送其個人資料。不過,若傳送該等資料將對其他人士的權利和自由造成不良影響,這項權利將受限制。

  6. 第三方服務供應商

    6.1 當本公司指示第三方代其處理個人資料時(第三方數據處理者),數據處理者必須與本公司簽訂書面協議:
    (a) 提供它們按照指示處理個人資料的詳情;
    (b) 要求第三方只根據本公司的書面指示處理個人資料,並在必要的範圍內履行與本公司所訂協議內列明的責任;
    (c) 要求第三方執行適當的技術及機構措施和管控,確保個人資料的保密性和安全性;及
    (d) 施行DPL規定的其他數據處理責任。

    6.2 在向數據處理者轉移任何個人資料前,雙方應簽署數據處理協議。

    6.3 若任何一方修訂或未能依循數據處理協議,必須在簽署協議前向董事會轉介。

    6.4 與數據處理者簽訂合約時,本公司必須在開始合作關係時及定期進行適合的盡職審查。盡職審查應要確保數據處理者能夠遵從上述書面協議的規定。

  7. 與監督部門合作

    7.1 本公司應按照要求與相關的監督部門合作,以履行其職責。

    7.2 數據主體可以就其居住地司法管轄區的數據保障事宜,向監督部門提出投訴。

  8. 保存所有處理程序的記錄與監督部門合作

    8.1 本公司應為其直接承辦的所有資料處理活動保存準確和完整的記錄,因此本公司需要決定所擁有的個人資料種類、來源及共用對象。同樣,每名數據處理者必須為其直接承辦的所有資料處理活動保存準確和完整的記錄。

    8.2 本公司的資料處理活動記錄刊載於附件I。

    8.3 在數據主體從本公司撤回投資或終止與本公司的業務關係後,本公司將保存個人資料最多七年。為履行法律責任或用以確立、行使或辯護法律申訴時,該等資料可能必須保存較長時間。本公司及其正式授權代表將避免進一步收集個人資料,並將在運作可行及適合的情況下,採取適當措施處置載有個人資料的記錄。

  9. 匯報個人資料違規事件

    9.1 如果本公司發現及記錄個人資料違規事件,定將沒有延誤地通知監督部門,而在任何情況下不得遲於72小時作出通報,除非該等違規事件不會對數據主體的權利造成風險。通知書範本列載於附件II。

    9.2 在發現個人資料違規事件後,所有數據處理者應沒有延誤地通知本公司,而該等通知書應包括參考DPL的適用資料(如附件II所列),並應就任何該等個人資料違規事件向本公司提供所有合理協助,包括在必要時協助本公司與相關數據主體溝通,以了解個人資料違規事件的詳情(正如分段第9.4項所述)。

    9.3 本公司將記錄所有個人資料違規事件,包括與個人資料違規事件的事實、其影響及所採取的補救行動。

    9.4 如果個人資料違規事件可能為數據主體的權利和自由帶來高風險,必須沒有延誤地通知數據主體,除非符合以下第(a)至(c)分段所述的其中一個情況。該等通知必須以簡單明確的語言說明違規事件、提供聯絡人姓名以便取得更多資料、可能出現的後果,以及為減輕或處理違規事件而採取的措施。

    在以下情況則無須通知數據主體:
    (a) 當相關個人數據已經加密/保護,使未經授權人士無法理解;
    (b) 當本公司已採取後續措施,確保違規事件可能為數據主體的權利和自由帶來高風險的情況不太可能實現;
    (c) 發出個別通知將涉及不相稱的努力(即:發出公眾通訊或同類公佈已經足夠)。

  10. Cookie

    10.1 本公司與第三方合作,代表我們就網站的個別使用情況及活動進行研究。在研究的過程中,該等第三方可能在閣下的瀏覽器加入獨有的‘cookie’。Cookie是一些小型的文字檔,網站通常將之儲存於瀏覽其網站的訪客之電腦硬盤或流動裝置。它們的用途廣泛,以協助網站正常運作、或提升其運作效益,以及向網站持有人提供資料。

    10.2 本網站使用Google Analytics(http://www.google.com/analytics/)作網站分析的用途-換言之,我們以此了解瀏覽本網站的訪客數目、訪客感興趣的網頁和他們最常點擊的連結(以及其他數據)。有鑑於此,Google Analytics以cookie作網站分析之用。閣下可按此選擇不再接收 Google Analytics的cookie。

    10.3 此外,我們可能在本網站使用兩種特定的cookie:
    • Session cookie屬暫時性質,在閣下關閉瀏覽器之前,這類cookie將保存在閣下電腦的cookies檔之內(屆時便會除)。
    • Persistent cookie(又稱stored cookie)將永久儲存在閣下電腦的cookie檔之內。

    10.4 大部份電腦的網站瀏覽器在最初都設定為接受cookie。閣下可自行設定網站瀏覽器,以禁用cookie或在網站嘗試加入cookie時通知閣下。另外,閣下亦可除過往加入電腦cookie檔 的cookie。

    10.5 閣下可設定瀏覽器以禁用persistent cookie及/或session cookie,但如果禁用session cookie,雖然閣下仍可瀏覽本網站的沒有保安措施的網頁,但將無法登入需要驗證的網頁。如要了解如何禁用及除cookie,請瀏覽http://www.allaboutcookies.org/manage-cookies/。

  11. 網絡信標及焦點標記

    本網站亦可能包含稱為網絡信標(web beacon)或焦點標記(spotlight tag)的電子圖像,我們以此點算本網站某些網頁的瀏覽人數。網絡信標和焦點標記是用以取得瀏覽網頁一般資料的簡單工具。

  12. 查詢

    如對我們使用閣下個人資料、保存資料程序、保安程序或一般私隱問題有任何疑問,請聯絡:

    力都冇限公司
    電郵: info@snipercapital.com
    電話: +65 6222 1440

  13. 公司董事監督及更新本政策

13.1 本公司的董事將負責監督我們遵從本政策的情形。他們將每年檢討本政策的適合性,確保按期原定目標執行。此外,他們亦會檢討本政策,確保其內容持續符合適用的國家和國際規例、原則和標準。

13.2 本政策將至少每年檢視及更新一次,或於本公司要求或認為必要時進行檢視和更新。本政策的重大變動須獲得董事的批准。

 

附件 I – 根據數據保障法例第30條的資料處理活動記錄

數據控制者

  • 數據控制者的名稱及聯絡資料: 力都有限公司 (info@snipercapital.com)
  • 數據主體的類別: 瀏覽公司網站,並向本公司提供個人資料的公眾人士。
  • 個人資料的類別: 姓名、住址、電郵地址、聯絡詳情、企業聯絡資料、簽名、國籍、出生地點、出生日期、稅務編號、信貸紀錄、通信紀錄、護照編號、銀行帳戶資料、公司資料來源及與投資活動有關的資料、當閣下對本集團感興趣,並透過我們的網站註冊時向我們披露的任何其他資料、閣下的IP地址、閣下的瀏覽器種類、語言和其他有關閣下瀏覽我們網站的資料、cookie及網上識別資料。
  • 根據數據保障法例第49(1)條轉移資料時所採取的合適保護措施: 與市場標準一致

 

附件II – 通知書範本(數據保障法例第33條所規定的資料)

Data Protection Commissioner(數據保障專員)
The Office of the Data Protection Commissioner(數據保障專員辦事處)
Guernsey Information Centre,
North Esplanade,
St Peter’s Port,
Guernsey
GY1 2LQ

 

[請填寫日期]

敬啟者:

違規通知書

[請說明個人資料違規事件的性質,在可能的情況下包括所涉的數據主體類別和大約數目,以及所涉的個人資料記錄類別和大約數目]。

[請填寫資料保障主任的姓名和聯絡資料或可以取得更多資料的聯絡人] 。

[請說明個人資料違規事件可能造成的後果] 。

[請說明數據控制者已經採取或建議採取的措施,以應對是次個人資料違規事件,包括有助減輕可能造成不良影響的措施(如適用)]。

此致

數據保障專員

This website uses cookies to understand visitors’ use of our website and to improve browsing experience. By continuing on this website, you give your consent to the use of cookies. For more information, including how to change your cookies preferences, please refer to the “Cookie” section in our Privacy Policy