爱心奉献

个人资料保护政策

前言

新加坡佛教施诊所尊重个人资料的隐私和保密权力,根据 2012 年新加坡个人资料保护法令(PDPA),制定《个人资料保护政策》,解释本所执行政策的方法和流程。

本所《个人资料保护政策》将说明资料收集的来源,资料的类型,资料的处理,资料使用的目的,以及资料披露的对象,协助您了解本所如何致力于为您所提供的个人资料作周全的保护。

文件控制

机构名称 新加坡佛教施诊所
文件名称 个人资料保护政策
负责单位 资料保护部门
发布日期 2017年7月28日
修订日期 10 April 2018

修订记录

修订版次 修订人 修订日期 批准日期 批准单位
第一版 陈维源 07-06-2017 17-06-2017 董事会
第二版 陈维源 10-04-2018 13-04-2018 董事会

文件分发

资料保护单位 职位
总办事处 人事经理(资料保护主任) 财务总监/高级会计助理/会计助理 行政经理/财务兼行政助理
总所及各分所 经理/助理经理/医师/诊所助理员
本所网站 www.sbfc.org.sg

我们如何收集您的个人资料

“个人资料”的定义是:无论是否真确,只要:

  1. 可以从该资料中识别个人; 或
  2. 从本所已有或可能有的资料及其他信息中识别个人,都可算是个人资料。

我们可能通过以下方法或渠道取得您的个人资料:

  1. 当您申请加入本所为会员时
  2. 当您接受担任本所信托、董事或委员时
  3. 当您捐款给本所时(包括线上/线下)
  4. 当您到本所求诊或接受辅导时
  5. 当您申请本所的工作职位时
  6. 当您向本所申请豁免缴费时
  7. 当您参加本所主办的筹款活动时
  8. 当您报名出席本所主办的讲座时
  9. 当您向本所提供意见时
  10. 当您发送给本所的电邮中含有个人资料时

我们收集的个人资料类型与内容

  1. 个人资料 包括姓名、国籍、身份证(工作准证或护照)、出生日期、性别。
  2. 联系信息 包括住宅地址、电话、电邮地址。
  3. 婚姻状况
  4. 学历与专业资格
  5. 健康信息/医疗病历
  6. 家庭入息(适用于申请豁免缴费者)
  7. 就业履历(适用于申请工作者)
  8. 家庭背景/财务信息(本所员工及求职者)
  9. 银行户口(本所员工)
  10. 个人照片或录像

我们如何使用您的个人资料

我们所收集的关于您的个人数据将可能用于以下一个或多个目的:

  1. 处理捐款的行政工作
  2. 筹集资金的营运活动
  3. 处理志愿者的服务申请
  4. 医疗服务的记录
  5. 心理辅导服务的记录
  6. 处理会员申请及相关事务
  7. 进行招聘与选拔事务
  8. 处理员工薪酬、福利、培训、评估等相关事务
  9. 寄发通讯简报
  10. 履行监管要求和遵守法律义务
  11. 征求有关服务的意见和评论
  12. 更新数据库中的记录
  13. 印发收据或发票
  14. 签订或更新合约
  15. 回应查询和反馈
  16. 调查投诉,索赔和争议
  17. 提供在线服务的使用
  18. 与捐助者、病人、员工、义工、会员和网站访问者沟通
  19. 其他合乎情理的用途

我们向谁披露您的个人资料

在必须遵从宪法规定时,本所可能会将您的个人资料披露予本所以外的其他机构或组织:

A. 政府部门/法定机构

  1. 社团注册局
  2. 慈善总监
  3. 卫生部/医院
  4. 内政部/警察
  5. 国防部/中央人力局
  6. 人力局
  7. 公积金局
  8. 税务局
  9. 建屋发展局
  10. 婚姻注册局
  11. 国家福利理事会
  12. 或其他政府部门

B. 私营机构

  1. 专业顾问(如:审计师和律师)
  2. 银行或金融机构
  3. 信息技术服务供应商
  4. 保险公司(员工福利保险)
  5. 邮局,货运和快递服务
  6. 受本所委托的印刷公司
  7. 节目制作公司
  8. 多媒体

我们如何管理您的个人资料的收集,使用和披露

本所认真对待遵守“个人资料保护法令”的职责,致力于实施与个人资料保护法令相关的保护政策,政策的实践与流程在本文件的其余部分已有详细阐述。

1. 个人数据的安全和存储

数据记录可以是纸质形式,应该由个别负责职员锁定。保存在服务器中的数据:

  1. 必须有硬体安全措施才允许授权人员进入。
  2. 服务器中的数据应定期备份,备份数据应至少每季度恢复一次,以确保备份成功。
  3. 进入数据必须通过登录代号和密码进行保护。
  4. 必须有防火墙保护,以免受到网络攻击。

2. 获得同意

在收集,使用或披露您的个人资料前,我们将通过本所网页发布的《个人资料保护政策》,通知您政策的使用范围和目的,并请您书面确认同意。除了必须用到的资料外,我们不会收集更多的其他个人资料。 此外,在某些情况下,当您自愿提供个人资料时,将被视为已经得到您的默许,同意本所使用您的个人资料。例如当您到本所求诊或要求辅导时,或当您捐款给本所提供个人资料以获得税务回扣时。

3. 第三方同意

如果您与我们进行一对一的会议,或代表另一个人与我们进行交易,您必须首先获得第三方的同意,以便我们收集,使用或披露他/她的个人资料。

4. 退出本所通讯录

如果您希望退出本所的通讯录,不再接收本所信息,您应提前通知我们。但您需要了解退出之后,由于没有得到您的同意,我们将不会再提供本所的最新讯息给您。您退出本所通讯录的要求可以通过电子邮件或信件通知我们。

询问和更正您的个人资料

在合理的情况下,您可以来函询问本所如何使用或披露您的个人资料。我们有义务根据本政策条款,允许您查询过去一年的个人资料,如有任何错误或遗漏,我们将进行更正。

在接受您的要求前,我们可能需要检查您的身份证(或其他法定证件)来证实您的身份。我们将在30天内回复您的要求。如果估计要花更多长时间来检索所有相关数据,我们会给予通知。

个人资料的准确性

我们将采取合理的预防措施和验证检查,确保我们所收集的您的个人资料是准确、完整和最新的。我们会不定期进行查询,以便及时更新您的个人资料。如果您是本所会员、员工、求诊者、捐款人或义工等,当您的个人资料(例如住家地址,电话等)有任何更改时,您应该通知我们进行更新。

个人资料的保护

本所实施以下信息安全措施,管理与保护您的个人资料和机密信息:

  1. 我们会采取必要的安全措施来保护您的个人资料,以防止发生未经授权的查询、收集、使用、披露或类似的风险。
  2. 我们要求所有员工采取适当的方式,让您的个人资料得到保密处理,只有在“需要知情”的基础上,本所才会与获得授权的员工分享您的资料。
  3. 为了维护您的个人资料,我们与可以进入您的个人资料库的外部中介公司签订“信息保密合约”。

个人资料的保留期限

我们不会在没有任何必要的情况下,继续保留任何个人资料。我们根据文件保留政策所规定的时限,保留各种类型机密文件或个人资料,某些保留期限是基于法定的要求。

我们将确保所有不再具有任何用途(包括法定用途)的个人资料,会以安全的方式销毁。这适用于存储在数据库中的电子数据,以及各种纸质文档的资料。

丢弃不需要个人资料

对不再需要的个人资料,必须按照以下方式处理:

  1. 通过参考数据保留政策需要确认数据不再需要,可以销毁。
  2. Need to confirm data are due for disposal/destruction by referring to data retention policy.
  3. 所有个人资料必须以安全的方式进行处理,例如:删除, 销毁, 焚化,或由具有认证的安全处置公司。
  4. 执行安全删除,删除记录在媒体的数据,以便重新使用媒体,或交换媒体,
  5. 销毁个人资料记录-记录销毁日期,销毁文件的简要说明,处理方法,负责人员姓名。

个人资料的转移

请注意,如果我们需要将您的个人资料转移到国外(如业务设在其他国家的电脑伺服器),您的个人数据可能会转移并保留在新加坡以外的电脑,而不同的国家的“资料保护法令”可能会与新加坡不同。 当您置身在新加坡以外向我们提供您的个人资料时,我们会将信息转移到新加坡处理。

如果您有疑虑如何投诉

如果您对我们处理您的个人资料方式存在任何疑虑或问题,请犮电邮到 dpo@sbfc.org.sg 与我们的数据保护主管联系。 为协助我们处理您的投诉,请提供以下信息:

  1. 提出投诉的人的全名和身份证或护照号码;
  2. 投诉人的身份证或护照的复印件;
  3. 联系方式;
  4. 收集个人资料的部门及其职员姓名;
  5. 投诉详情;
  6. 发生疑似不法行为的日期和时间;以及
  7. 支持投诉的文件证据。

投诉程序

在收到您的投诉后,我们的数据保护专员将在三个工作日内进行调查,并向您提供估计您应该等待多长时间才能收到完整的回复。虽然本所尽可能及时做出回应,但回复时间有可能会因投诉的性质而异。

我们的数据保护专员将联络有关部门调查您的投诉。在合理的时间内以书面向您通知调查结果,并通知您的投诉得到认可或否, 以及我们所采取的措施或采取的行动。

上诉程序

如果您认为您的投诉未得到我们的数据保护专员的满意解决,您可以在收到我们的数据保护专员的书面通知的十四天内向本所的董事会主席提出上诉,告知您対调查结果的不满。 本所高级管理人员将会以书面通知您重新调查的结果。

如何处理数据泄露(如果有)

  1. 报告方将填写一份事故报告,提供尽可能详细的信息(附录 1)
  2. 数据保护专员将分析违规事件并将其分类为:
    1. 恶意活动
    2. 员工的错误
    3. 供应商的错误
    4. 硬体安全漏洞
    5. 软体安全漏洞
    6. 网络攻击
  3. 遏制违约
    1. 关闭导致数据泄露的受损系统
    2. 杜绝导致数据泄露的做法
    3. 隔离系统中数据泄露的原因,并在适用的情况下更改对受损系统的访问权限并删除系统的外部连接
    4. 确定是否可以采取步骤恢复丢失的数据并限制因违规造成的任何损害
    5. 马上解决导致数据泄露中的失效流程
    6. 防止未经授权进入系统。如果帐户和密码已被泄露,必须重置密码。
  4. 评估风险和影响
    1. 风险和对个人的影响
      1. 有多少人受到影响?
      2. 谁的个人资料被偷或被破坏?
      3. 涉及哪些类型的个人数据?
      4. 有无任何其他措施来尽量减少数据泄露的影响
    2. 评估风险和对组织的影响
      1. 什么导致了数据泄露?
      2. 违规事件发生的时间和频率如何?
      3. 谁可能访问受损的个人数据?
      4. 受损数据是否会影响与其他第三方的交易?
  5. 报道事件
    1. 通知那一方?
      1. 个人资料已被泄漏的个人。包括监护人或其个人数据受到损害的幼儿的父母。
      2. 其他各方,如银行,信用卡公司或警方,在相关的情况下。
      3. 特别是当数据泄露涉及敏感的个人数据时,详细要求:
        • 数据泄露的程度
        • 涉及的个人数据的类型和数量
        • 违规的原因或疑似原因
        • 违规是否已被纠正
        • 该组织在违约时实施的措施和程序
        • 是否通知受影响个人的数据泄露的信息,
        • 个人资料保护委员会可以联系的人员的详细联系信息以获得进一步的信息 或澄清
      4. 有关数据泄露的详细信息(在上面 iii 项中列出)可以发送到 PDPC info@pdpc.gov.sg。如需紧急通知重大案件,本所也可以通过电话+65 63773131
    2. 何时通知?
      1. 如果数据泄露涉及敏感的个人数据,则立即受到影响的个人。这使他们能够尽早采取必要行动,以避免个人数据可能被滥用。
      2. 数据泄露得到解决时通知受影响的个人。
    3. 如何通知?
      1. 考虑到受影响个人的紧急情况和人数,采取最有效的方式与受影响个人联系。(如媒体发布,社交媒体,电子邮件,电话,传真和信件)
    4. 要通知什么?
      1. 数据泄露发生的方式和时间,数据泄露涉及的个人数据类型。
      2. 本所为应付数据泄露带来的风险,已经或将要做的事情。
      3. 在适用的情况下针对数据泄露的具体事实以及建议个人为防止数据被滥用或滥用可以采取的行动。
      4. 联系方式以及受影响的个人如何获得组织的进一步信息或帮助。(如帮助热线 号码,电子邮件地址或网站)

对此资料保护政策的修改

我们会在必要时更新本所的个人资料保护政策,我们会通过在本所网页公告最新的政策。请访问本所网站以得知政策的最新更改,在本网页发布的更新政策将是有效的。

联系我们

如果您对我们收集,使用和/或披露您的个人资料有任何疑问,以及对于本政策的意见,或对于我们如何管理您的个人资料有任何投诉,您可以联系我们的资料保护主任。

联系电话:  63090599  
电邮地址:  dpo@sbfc.org.sg  

任何查询或投诉应至少包括以下详细信息: :

  1. 查询者的全名和电邮地址
  2. 查询或投诉的主题与简要说明

我们认真对待这些查询和投诉,并在合理的时间内保密地处理。