Open Menu

本文件说明有关个人资料的收集、存取、使用、储存、披露及销毁之责任与程序,并确保相关作业符合所有适用的法律及法规要求。

本政策适用于所有受聘于赌场或社区博彩中心的 LAHAL 团队成员、LAHAL 旗下所有子公司及关联机构,以及任何代表 LAHAL 行事的第三方人士或机构。

本公司致力于保护由其保管或控制的个人资料。本公司遵循适用隐私法律所规定的隐私原则,并仅会依据相关原则及法律要求收集、使用、存取、保留、披露及/或销毁个人资料。

《个人资料保护法》(PIPA)

《个人资料保护及电子文件法》(PIPEDA)

《信息自由及隐私保护法》(FIPPA)

《加拿大广播电视及电信委员会法》

《加拿大反垃圾邮件法》(CASL)

第一部分 — 隐私保护

  1. 公司有责任制定相关政策、程序及管控措施,以妥善管理及保护其所持有的个人资料,包括确保遵守 CASL 及所有其他适用法律与法规。

  2. 建立合理的保安程序,以防止隐私事故发生。

  3. 告知个人其个人资料将被收集、使用及披露的目的。

  4. 根据适用隐私法律及 CASL 规定,取得收集、使用及披露个人资料所需的同意。

  5. 将个人资料的收集限制于合理商业运营所需或法律要求的范围内。

  6. 按照所有适用法律管理载有个人资料的记录之保存及销毁。

  7. 合规总监将担任指定隐私专员。

  8. 为团队成员提供适当的隐私培训。

团队成员须:

  1. 保持其个人资料为最新及准确。
  2. 遵守公司及 BCLC 有关个人资料的政策、程序及培训要求。
  3. 保护其所接触个人资料的机密性及安全性。
  4. 发送任何商业电子讯息时遵守 CASL 规定。
  5. 仅基于合法商业目的并依照所有法律及政策收集个人资料。
  6. 不得存取与其职务无直接关联的个人资料。
  7. 立即向其经理或隐私专员报告任何怀疑的隐私事件或资料外泄事故。
  8. 仅于达成收集目的所需期间内保存个人资料,并依照适用记录保存及销毁政策安全处置个人资料。
  9. 离职时交还其持有的所有个人资料。
  10. 完成 BCLC 隐私课程,并于到期前重新修读。

人力资源部须:

    1. 确保在聘用或聘任团队成员时,已取得收集、使用及披露其个人资料所需的适当同意,或在适用法律无需同意的情况下提供适当通知。
    2. 维持相关系统及程序,以确保团队成员资料保密。
    3. 根据适用法律回应团队成员查阅或更正其个人资料的要求。
    4. 对未遵守个人资料处理相关政策、程序或法律的团队成员采取纪律处分。
  1.  

“`

隐私专员须:

    1. 识别并及时通知相关机构任何涉及公共机构个人资料的隐私投诉、资料外泄或涉嫌违规事件。
    2. 根据适用法律,处理 LAHAL 团队成员以外人士提出的个人资料查阅或更正要求。
    3. 回应隐私查询及投诉。
    4. 处理监管机构及执法部门提出的个人资料查阅要求。
    5. 管理公司遵守法院命令及其他要求披露个人资料的法律程序。
    6. 与政府机构及公共机构协调,以依法回应信息公开申请(FOI)。
    7. 支援政府机构及公共机构与隐私专员办公室之间的沟通及调查工作。
    8. 接收隐私事故通报,领导事故应对及控制程序,并指导相关调查工作。
  1.  

第二部分 — 隐私事故

本部分旨在订明怀疑或已确认隐私事故的通报及应对程序。

尽早通报怀疑或已确认的隐私事故,能提供最佳机会有效控制事故、进行调查,并向受影响人士及相关政府机构说明事故的范围及具体情况。

本政策適用於所有受聘於賭場或社區博彩中心的 LAHAL 團隊成員、LAHAL 旗下所有子公司及關聯機構,以及任何代表 LAHAL 行事的第三方人士或機構。

如发生隐私投诉或(怀疑)资料外泄事故,必须遵循以下步骤:

第一步

通报怀疑资料外泄事故

任何知悉可能涉及公司持有或控制之个人资料隐私事故的团队成员,必须立即通知其主管、经理或隐私专员。

当主管或经理接获有关可能发生隐私事故的通知后,须于切实可行情况下尽快通过以下电子邮件通知隐私专员:

[[email protected]](mailto:[email protected])

隐私专员将联系其他有需要知悉相关信息的部门或人员。

在通报事故或怀疑事故时,团队成员应准备回答以下初步问题:

  1. 事故何时被发现?
  2. 事故发生日期为何?
  3. 事故发生地点为何?
  4. 事故是如何被发现的?
  5. 发生了什么事情?
  6. 事故是否已受到控制?
  7. 可能有多少人士受到影响?

 

隐私专员将对所通报的疑似事故展开调查,并负责指导及监督下列第二至第五步的措施,以控制、评估、应对及补救任何已发生的资料外泄事故。

注意:

根据 BCLC 标准要求,服务供应商于发现任何实际或怀疑未经授权收集、使用、存取、披露、储存或处置玩家个人资料的情况时,必须立即且不得延误地通过电子邮件通知 BCLC 调查部门主管(BCLC Investigations Leadership)及服务供应商合规专员(Service Provider Compliance Officer)。

电子邮件地址:

[[email protected]](mailto:[email protected])

第二步

控制资料外泄事故

应尽快采取措施控制事故,例如:

  1. 停止未经授权的行为;
  2. 取回相关记录或文件;
  3. 中断或关闭遭受影响的系统;
  4. 撤销或更改电脑存取权限及密码;
  5. 修补保安漏洞及加强安全措施。

如事故涉及公共机构持有的个人资料,公司将遵循相关公共机构就事故管理及控制所提供的任何指示。

第三步

评估风险

评估与事故相关的风险,包括:

  1. 受影响人士的数量;
  2. 受影响人士的身份(例如:团队成员、顾客、公众人士等);
  3. 涉及资料的类型、数量及敏感程度;
  4. 个人资料已被滥用、正在被滥用或将被滥用的可能性;
  5. 对个人可能造成的损害类型(例如:身份盗窃、诈骗、安全风险、财务损失、尴尬或声誉受损);
  6. 对公司可能造成的损害(例如:声誉风险、资产损失、法律诉讼、罚款或其他监管处罚);
  7. 事故发生的原因(例如:故意、恶意或意外事件),包括已知或可能的责任人;
  8. 事发前已采取的保安措施(例如:遗失设备是否设有密码保护,以及资料是否已加密);
  9. 事故属个别事件还是系统性问题;
  10. 事故影响范围,包括可能接收资料的人数,以及是否存在持续性外泄或进一步资料暴露的风险。

第四步

在必要或适当情况下作出通知

如发生资料外泄事故,隐私专员将通知相关皇家企业(Crown Corporations)或监管机构,或授权相关人士代为通知。

隐私专员将与相关机构合作,以确定是否有需要或法律要求通知受影响人士。

公司团队成员须积极配合并以合理方式协助相关机构处理事故。

隐私专员将评估:

  1. 公司所签订的其他合约是否要求作出通知;
  2. 根据适用隐私法律是否必须作出通知(例如依据 PIPEDA 通知加拿大隐私专员办公室、受影响人士、相关机构及政府部门)。

此外,隐私专员亦将评估即使法律未有强制规定,是否基于审慎原则而有必要进行通知。

例如,隐私专员可能联系:

  1. 法律顾问,以协助事故应对及评估法律责任;
  2. 执法机关(如事故涉及非法行为或可能构成刑事罪行);
  3. 公司的保险公司(如事故受保险保障);
  4. 受影响人士(如其可能遭受损害);
  5. 信用监察机构(如存在身份盗窃风险);
  6. 相关隐私专员办公室(即使法律未有强制要求)。

隐私专员将采取合理措施,确保通知的方式、内容及时间安排不会对正在进行的调查造成负面影响,亦不会无意中导致进一步个人资料外泄。

同时,隐私专员亦会考虑任何法律规定的通知时限及内容要求。

如涉及公共机构的个人资料,相关公共机构将就向隐私专员及/或受影响人士作出通知提供指引并作出最终决定。

第五步

补救措施

    1. 分析事故发生的原因。
    1. 如有需要,将对实体保安措施、组织管理措施及技术保安措施进行安全审核。
    2. 根据评估结果,如有需要,隐私专员将协助相关部门实施额外的保护措施,以防止类似事故再次发生,并检讨相关政策、程序及培训计划,以确定是否应根据导致事故发生的情况作出相应修订。
    3. 因故意行为、疏忽大意或未遵守公司《隐私政策》而导致资料外泄事故的团队成员,将可能受到纪律处分,最严重可包括终止雇佣关系或终止与公司的合作关系。

“`

在整个调查及事故应对过程中,必须按照隐私专员的指示以及相关政策与程序保存完整且准确的记录。

查询与投诉

LAHAL 保留更正其所持有个人资料的权利。若您希望取消会员注册、更正或更新您的个人资料,或撤回联络同意,请联系 Elements Casino Victoria 或 Casino Nanaimo 的宾客服务部。

如有需要,宾客服务代表可应要求向您提供《LAHAL 隐私声明》的纸本副本。

如果您对 LAHAL 收集您的个人资料、遵守本隐私声明、处理您的个人资料的方式,或我们使用加拿大境外服务供应商的做法有任何疑问或顾虑,您可通过以下方式联系 LAHAL 的隐私专员:

[email protected]