Aboitiz Foods 特此采用此政策以：

1. 特别遵守《数据隐私法》和国家隐私委员会的规定所规定的法定义务。
2. 确保公平、合法地处理数据主体的个人数据，
3. 包括员工、客户、顾客、股东和其他个人。
4. 为团队成员提供正确处理个人数据的指南。
5. 确保个人信息的保密性、完整性和可用性
6. 本公司的控制权。
7. 确保个人信息的保密性、完整性和可用性
8. 本公司的控制权。

2.0 范围

该政策应涵盖 Aboitiz Foods、其董事、高级职员和员工以任何形式（例如物理或数字）处理的所有个人数据，以及以任何方式（例如手动或自动）处理个人数据。

3.0 政策声明

A. 定义

1. “Aboitiz Foods” 指的是 Aboitiz Foods Holding Inc.；
2. “数据主体”是指其个人信息、敏感个人信息或特权信息被处理的个人；
3. “数据处理系统”是指信息和通信系统或相关归档系统中收集和进一步处理个人数据的结构和程序，包括处理的目的和预期输出；
4. “数据共享”是指公司保管的个人数据向其他实体披露或转移。该术语不包括外包，即公司向承包商披露或转移个人数据；
5. “直接营销”是指通过任何方式向特定个人传播任何广告或营销材料；
6. “个人信息”是指包括敏感个人信息和特权信息在内的所有类型的个人信息；
7. “个人数据泄露”是指安全漏洞，导致传输、存储或以其他方式处理的个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问。个人数据泄露可能具有以下性质：
   1. 由于个人数据丢失、意外或非法破坏而导致的可用性破坏；
   2. 因个人数据更改而导致的完整性受损；和/或
   3. 未经授权披露或访问个人数据而导致的保密性泄露。
8. 个人信息，是指能够明显识别个人身份或者合理、直接确定个人身份的，或者与其他信息结合能够直接、肯定地识别个人身份的信息；
9. “处理”是指对个人数据执行的任何操作或任何一组操作，包括数据的收集、记录、组织、存储、更新或修改、检索、查阅、使用、合并、阻止、删除或销毁。处理可以是自动的，也可以是手动的；
10. “分析”是指对个人数据进行任何形式的自动化处理，包括使用个人数据评估个人的某些个人方面，特别是分析或预测个人的工作表现、经济状况、健康状况、个人喜好、兴趣、可靠性、行为、位置或动作等方面；
11. “特权信息”是指根据相关法律被视为特权通信的任何和所有形式的数据，包括配偶通信、律师与客户通信和医患通信；
12. “安全事件”是指影响或可能影响数据保护，或可能损害个人数据可用性、完整性和保密性的事件或情况。它包括若未采取保护措施，可能导致个人数据泄露的事件；
13. 敏感个人信息是指有关个人的种族、民族、婚姻状况、年龄、肤色、宗教、哲学或政治立场等的个人信息；
    1. 关于个人的健康、教育、遗传或性生活，或因该个人所犯或被指控犯下的任何罪行而提起的任何诉讼，该等诉讼的处理，或
    2. 任何法院在该等诉讼中的判决；
    3. 政府机构颁发的个人特有信息，包括社会保障号码、以前或当前的健康记录、执照或执照拒发、暂停或撤销以及纳税申报表；以及
    4. 法律专门规定必须保密。

B. 数据隐私治理

1. 监督。Aboitiz Foods 董事会应全面监督《数据隐私法》的遵守情况以及本政策和公司其他相关政策的实施情况。
2. 数据隐私官。数据隐私官 (DPO) 应由首席执行官 (CEO) 任命，该职位应为 Aboitiz Foods 的有机员工。DPO 应直接向 CEO 汇报。如果 DPO 有其他工作职能，需要向其他高级官员汇报，则他/她应直接向 CEO 汇报其 DPO 职能。
3. DPO 应履行以下职责：
   1. 确保遵守数据隐私法和法规以及本政策和公司其他相关政策；
   2. 确保定期（至少每年一次）审查公司的隐私相关政策、指南和程序；
   3. 与 Aboitiz Foods 负责信息安全管理的相关官员协调，在公司有效实施信息安全措施，确保个人数据的机密性、完整性和可用性；
   4. 组织隐私和信息安全培训；
   5. 与 Aboitiz Foods 的数据泄露响应团队协调管理安全事件和个人数据泄露；
   6. 监督和协调隐私影响评估的开展，以识别 Aboitiz Foods 的隐私风险；
   7. 与信息安全官和流程所有者协调制定并实施隐私和信息安全风险的补救计划；
   8. 监控第三方提供商和其他在 Aboitiz Foods 控制下可访问个人数据的实体是否遵守 Aboitiz Foods 的隐私和信息安全标准；
   9. 确保 Aboitiz Foods 遵守国家隐私委员会的报告、注册和其他监管要求；以及
4. 团队负责人。处理个人数据的任何部门的团队负责人应履行以下职责：
   1. 了解 Aboitiz Foods 根据《数据隐私法》和相关法规所承担的合规义务；
   2. 确保实施为遵守《数据隐私法》和相关法规以及本政策和 Aboitiz Foods 的其他隐私和信息安全相关政策而制定的政策和指南，将这些政策和指南嵌入部门的日常流程和程序中；
   3. 根据需要进行隐私影响评估；
   4. 与 DPO 和信息安全官协调制定控制和缓解计划，以解决已发现的隐私风险。
   5. 确保部门风险控制和缓解计划的实施；
   6. 在部门内弘扬隐私文化；
   7. 确保团队成员有能力遵守法律、法规或公司内部政策和指南规定的隐私和信息安全要求；以及
   8. 根据公司的事件响应政策和程序，立即向 DPO 报告任何安全事件或数据泄露。
5. 团队负责人。处理个人数据的任何部门的团队负责人应履行以下职责：
   1. 了解公司在《数据隐私法》和相关法规下的合规义务；
   2. 了解并遵守处理个人数据时的隐私和信息安全政策和程序；
   3. 根据公司的事件响应政策和程序，立即向其各自的 TL 报告任何安全事件或数据泄露；
   4. 实施控制和缓解计划以应对隐私风险；以及
   5. 定期参加或接受隐私培训和其他学习活动。

C. 个人数据处理

1. 数据主体的权利。数据主体的权利如《1989 年数据保护条例》所规定，
2. 处理个人数据时应遵守数据隐私法。
   1. 知情权。数据主体有权了解以下事项：
      1. 其个人资料是否应被处理、正在被处理或已经被处理；
      2. 需要输入数据处理系统的个人数据类型；
      3. 处理的目的；
      4. 处理的范围和方法；
      5. 可能向其披露个人资料的人士；
      6. 如果数据主体允许，则采用自动访问的方法；
      7. 公司或其代表的联系方式
      8. 个人信息的存储期限；以及
      9. 他们作为数据主体的权利的存在。
   2. 反对权。数据主体有权反对可能对其造成损害或困扰的处理，以及直接营销、自动处理或分析的处理
   3. 访问权。数据主体有权根据要求合理访问以下内容：
      1. 处理的个人数据的内容；
      2. 获取个人信息的来源；
      3. 个人资料接收者的姓名和地址；
      4. 处理个人数据的方式；
      5. 向接收者披露个人信息的原因；
      6. 有关自动化流程的信息，其中个人数据将或可能成为对数据主体产生重大影响或将影响数据主体的任何决策的唯一依据；
      7. 其个人数据上次被访问或修改的日期；以及
      8. 公司或其代表的名称、地址和联系方式。
   4. 获得赔偿的权利。数据主体有权因个人数据不准确、不完整、虚假、非法获取或未经授权使用而造成的任何损失获得赔偿。
   5. 投诉权。数据主体有权向国家隐私委员会投诉任何侵犯其根据《数据隐私法》享有的权利的行为。
   6. 数据可携权。数据主体有权从公司以电子或结构化格式获取其个人数据的副本，以便进一步使用。如果其个人数据以电子或结构化格式处理，则须遵守国家隐私委员会发布的以电子或结构化格式传输此类个人数据的规范、技术标准、模式、程序和其他规则。如果数据主体死亡或丧失行为能力，数据主体的合法继承人或受让人可以行使上述权利。
3. 数据处理系统。为确保有效的隐私合规和风险管理，
4. Aboitiz Foods 应记录以下内容：
   1. 具有与个人数据处理相关职能的部门、员工或第三方。
   2. 数据主体的类别和清单以及正在处理的个人数据类型。
   3. 信息流的描述，从收集到个人数据的处理，包括其间进行的任何处理，以及处理的方式和程度。
   4. 处理的目的包括任何预期的未来处理或数据共享。
   5. 个人资料的接收者或预期接收者。

D.3.3 数据收集。

1. 必须以清晰明了的语言告知数据主体其个人数据正在或将被收集和处理。为此，应在收集点（例如网站、内联网、微型网站、移动应用程序、客户和员工表格）向数据主体提供包含以下信息的隐私声明：
   1. 要处理的个人数据的描述；
   2. 处理的目的；
   3. 处理范围和方法；
   4. 可能向其披露个人资料的人士；
   5. 公司或其数据隐私官的联系方式；
   6. 保留期限；以及
   7. 他作为数据主体的权利。
2. 隐私声明如有修改，应事先通知数据主体。
3. 除法律或法规允许的情况外，在收集数据之前必须获得数据处理对象的同意。在处理敏感或特权信息的情况下，所有各方必须在处理之前给予同意。

D.3.4 公平合法的处理。

1. 处理目的不得违反法律、道德或公共政策。不得滥用个人数据，处理必须符合声明和指定的目的。应采取适当措施防止滥用个人数据而损害数据主体的利益。
2. 数据质量。处理个人数据时必须确保数据质量。个人数据必须准确、相关，并且根据其用途需要保持最新状态。
3. 必须更正、补充、销毁不准确或不完整的数据或限制其进一步处理。
4. 处理的比例。处理必须充分，且与收集和处理信息的目的相称，不得过度。
5. 保留。个人数据的保留期限仅限于为实现获取数据的目的，或为建立、行使或辩护法律索赔，或为合法商业目的，或根据法律规定所必需的期限。
6. 数据共享。
   1. 即使要与公司的母公司、子公司或附属公司共享数据，也必须获得数据主体对数据共享的同意。
   2. 任何数据共享安排都必须涵盖数据共享协议，该协议应规定需遵守的数据隐私和安全标准等。
7. 安全措施。考虑到其风险状况，公司应实施适当的组织、物理和技术安全措施，以确保隐私和数据保护。
   1. 通过培训和定期沟通，在公司内部提升隐私和数据保护意识。
   2. 为处理个人数据的员工建立熟练技能发展和培训，以确保个人数据得到保护。数据隐私和信息安全政策和程序培训应成为处理个人数据的新员工入职流程的一部分。
   3. 员工、服务提供商和其他有权访问不打算公开披露的个人数据的第三方应被要求即使在终止雇佣或合同关系后也对个人数据进行严格保密。此项要求应通过保密协议或服务协议中的保密条款来执行。
   4. 应采取信息安全措施。在这方面，信息安全管理政策被视为已纳入本政策。
8. 外包。Aboitiz Foods 在外包涉及处理个人数据的活动时应确保个人数据的保护。承包商或服务提供商可以采取以下措施来确保数据保护：
   1. 制定适当的隐私和安全标准（组织、物理和技术措施），供承包商或服务提供商在处理个人数据时遵守。
   2. 在认证、聘用和绩效评估过程中考虑承包商或服务提供商是否能够满足 Aboitiz Foods 设定的隐私和安全标准。
   3. 嵌入隐私要求、安全标准、数据泄露管理
   4. 协议以及公司审计与承包商或服务提供商达成的协议中上述要求的遵守情况的权利。
   5. 在适当情况下进行合规审计。

D.3.3 数据收集。

1. 作为其信息安全管理系统的一部分，Aboitiz Foods 应建立侦探控制（根据公司的风险状况，可能是流程、人力资本、物理和技术控制的组合），以检测潜在或实际的安全事件或数据泄露以及与隐私和数据保护有关的投诉、不合规或不当行为。
2. Aboitiz Foods 应制定并实施安全事件管理政策，其中应包括以下内容：
   1. 成立数据泄露应对小组，确保在发生安全事件或个人数据泄露时及时采取适当的行动。
   2. 实施事件响应程序，包括执行纠正措施和控制措施以：
      1. 控制或减轻安全事件、数据泄露、投诉、不合规或不当行为造成的负面影响；
      2. 恢复信息和通信系统的完整性；以及
      3. 提高对未来事故的预防和发现能力。
   3. 进行内部调查以了解事实、情况、根本原因和适当的解决方案。
   4. 发生可能的犯罪行为时联系执法部门的程序。
   5. 当发生个人数据泄露或安全事件时，遵守国家隐私委员会的通知和报告要求。

F. 注册和其他合规要求

1. 数据处理系统的注册。
   1. 如果 Aboitiz Foods 拥有至少二百五十 (250) 名员工，则该公司必须向国家隐私委员会注册其个人数据处理系统。
   2. 即使其员工人数少于二百五十（250）人，如果其进行以下处理，仍可能需要向国家隐私委员会注册其个人数据处理系统：
      1. 涉及至少一千（1,000）人的个人敏感信息；
      2. 可能对数据主体的权利和自由构成风险；或
      3. 并非偶然。
2. 如果 Aboitiz Foods 拥有至少二百五十 (250) 名员工，则该公司必须向国家隐私委员会注册其个人数据处理系统。
3. 即使其员工人数少于二百五十（250）人，如果其进行以下处理，仍可能需要向国家隐私委员会注册其个人数据处理系统：
   1. 涉及至少一千（1,000）人的个人敏感信息；
   2. 可能对数据主体的权利和自由构成风险；或
   3. 并非偶然。
4. 自动处理系统通知。如果出现以下情况，Aboitiz Foods 必须通知国家隐私委员会：
   1. 它进行自动化数据处理，并成为公司对数据主体做出决策的唯一依据，并且
   2. 该决定将对数据主体产生重大影响。
5. 年度报告。本条例所指的安全事件及数据泄露的总体情况应按照国家隐私委员会的规定，每年向该委员会提交。

G. 纪律处分

• 违反本政策、数据隐私法及其实施规则和条例的行为，包括数据泄露，将根据既定的纪律处分和对潜在法律行动（包括民事和刑事行动）的适当回应进行处理。

4.0 生成的文件信息

5.0 参考