具有约束力的公司规则：TDCX新加坡

1. 个人数据跨境传输

1.1 TDCX Singapore（以下简称“公司”或“TDCX”）除符合《个人数据保护法》(PDPA) 的规定外，不得将个人数据传输至新加坡境外。 此类传输（传输前）需通过适当的同意条款，获得被传输个人数据的个人和客户的同意。 无论何时，当您将个人的个人数据传输至新加坡境外的其他法律实体（包括集团公司）时，您都必须确保通过使用适当的同意和通知条款获得该个人的同意，附录1中提供了一个示例。 

1.2 如未获得个人的此类同意，请勿将该个人的任何个人数据传输至境外。

 立即联系数据保护官 (DPO)，咨询是否存在任何可能适用的法定例外情况，无需征得同意。

1.3 个人或客户的同意必须是自愿的，并且随后可以由其撤回。

2. 具有法律约束力的文件

2.1 公司将个人数据传输到新加坡境外必须符合公司在《个人数据保护法》(PDPA) 下的义务，并依据具有法律约束力的文件进行，该文件应提供适当的保障措施（例如，公司与第三方接收方之间的合同或集团公司具有约束力的公司规则）。

2.2 将个人数据传输给新加坡境外的第三方必须依据具有法律约束力的文件进行，该文件应为所传输的个人数据提供适当的保障措施。

您不得将个人数据传输给新加坡境外的第三方，除非该第三方已签订并同意受符合上述义务的具有法律约束力的合同约束。有关此类个人数据传输的具体规定，请参阅附录1。请在达成此类安排前联系数据保护官 (DPO)。

2.3 将个人数据传输给新加坡境外的集团公司须遵守我们集团公司关于个人数据传输的具有约束力的公司规则。此类具有约束力的公司规则对我们集团内的每个组织均具有法律约束力，并可由其强制执行。此外，公司集团内部所有公司的数据传输均须遵守 TDCX BCR 附录1中提及的具有约束力的公司规则。

请参阅TDCX BCR附录1中提及的约束性公司规则的使用情况，并参阅数据保护官（DPO）的说明。

附录1

第__NUMBER_19部分 – 约束性公司规则的介绍和范围

1.1 公司珍视员工和客户的信任，并相信我们会妥善处理他们的个人信息。

1.2 公司承诺，当公司在集团公司之间（统称“集团”，其中每个集团公司称为“集团公司”）跨境传输个人信息时，我们将确保遵守有关跨境数据传输限制的适用法律。

1.3 我们的管理层意图本约束性公司规则（“规则”）适用于集团内所有组织（集团内各组织均称为“成员”）之间所有个人数据的国际传输。本规则对所有成员均具有法律约束力。

1.4 各成员负责实施其内部流程，以确保遵守本规则。

1.5 各成员均应完全遵守本规则（包括本规则的各部分）。

本规则第二部分规定了成员之间跨境传输个人数据的最低强制性标准。

第 30 部分 – 遵守数据保护法规

第 31 部分、第 32 部分：所有成员均应遵守适用于其自身的所有隐私和数据保护相关法律法规（主要法律和附属法律），包括但不限于新加坡的《个人数据保护法》（PDPA）及其所有附属法律（统称“数据保护法规”），包括成员之间跨境传输的任何及所有个人数据（定义见数据保护法规），以及成员根据本规则从其他成员处接收的个人数据。

第 33 部分 – 个人数据传输

第 34 部分、第 35 部分：成员同意，个人数据传输仅可在以下情况下进行。在已确定的成员之间，就地域、个人类别和个人数据以及必要目的而言。
 

第 36 部分 – 成员的义务

第 37 部分.第 38 部分 在不限制第 39 部分.第 40 部分一般性的前提下，集团的每个成员（“接收成员”）同意，在处理从另一成员（“披露成员”）收到的个人数据时，应：

(a) 仅根据披露成员披露个人数据的目的，按照披露成员的指示，并在披露成员履行其在数据保护法律项下义务所必需的范围内使用个人数据；

(b) 采取适当的技术和组织措施，保护个人数据免遭意外或非法销毁或意外丢失、更改、未经授权的披露或访问以及所有其他非法形式的处理。此类措施应确保安全级别与处理所代表的风险以及待保护数据的性质相适应，并考虑现有技术水平和实施成本；

(c) 如知悉或有理由怀疑规则 4.1(b) 中所述的任何事件已发生，应在合理可行的范围内尽快以书面形式通知披露成员，并应立即采取一切必要措施补救该事件并防止其再次发生；

(d) 尽合理努力确保其处理的个人数据准确完整；

(e) 不得将个人数据保留超过披露成员披露个人数据之目的所需的时间，且在法律或商业目的不再需要保留的情况下，不得保留个人数据。因此，当接收成员收集个人数据的目的不再相关，且出于法律或商业目的不再需要保留个人数据时，接收成员应停止保留或匿名化个人数据；

(f) 将其内部个人数据保护政策应用于从披露成员处接收的个人数据。就此而言，接收成员向披露成员保证，接收成员已制定适当的内部政策来保护个人数据，并且该等政策提供的保护水平与数据保护法律规定的保护水平相当或可比；

(g) 应接收成员从披露成员处收到其个人数据的个人的请求，接收成员应根据《个人数据保护法》的相关条件和要求，向该个人提供其个人数据的访问权和更正权；

(h) 在不限制第(g)款一般性的前提下，就访问权而言，除其他事项外，接收成员应在根据《个人数据保护法》享有权利的个人提出请求后，尽快向该个人提供：

(i) 接收成员所持有或控制的关于该个人的个人数据；以及
(ii) 接收成员在请求日期前一年内使用或可能使用或披露该个人数据的方式的信息；
(iii) 符合《个人数据保护法》及其中规定的其他有关个人访问权的规定；

(i) 在不限制第 (g) 款一般性的前提下，就更正权而言，除其他事项外，根据《个人数据保护法》享有更正其个人数据中错误或遗漏权利的个人提出请求时，接收成员应：

(i) 在切实可行的情况下尽快更正个人数据；以及
(ii) 将更正后的个人数据发送给接收成员在更正日期前一年内向其披露过该个人数据的所有其他组织，除非该其他组织出于任何法律或商业目的不需要更正后的个人数据；
(iii) 遵守《个人数据保护法》及其中规定的其他有关个人更正权的规定；

(j) 将此类个人数据的披露限制在其员工、代理人和专业顾问范围内：

(i) 仅在必要知情的基础上，且仅用于披露成员披露此类个人数据时所指定的处理目的；以及
(ii) 已被告知本规则规定的义务并同意遵守该等义务；

(k) 在不影响第 43 条和第 44 条(e) 款规定的前提下，未经披露成员事先书面批准，不得向任何其他第三方披露或转移从披露成员处收到的任何个人数据，且该等披露应与披露成员披露该等个人数据的能力相一致，并应遵守披露成员可能就该等披露或转移对其施加的附加条款和条件； (l) 不得将个人数据或其任何部分传输至其他国家/地区（无论出于数据存储、备份或其他目的），除非已获得拟将个人数据传输至其他国家/地区的个人的同意（除非数据保护法规规定了无需获得该个人同意的例外情况），且披露成员已书面批准。此外，在遵守上述规定的前提下，如需将个人数据传输至其他国家/地区，则应采取任何必要的额外措施，以确保个人数据的传输符合数据保护法规的要求。  在适当情况下或法律要求的情况下，将个人数据传输给其他国家的第三方（传输给其他成员除外，其他成员适用本规则），应依据双方之间的书面协议，以确保个人数据得到充分保护。

4.2 如果接收成员收到任何关于其从披露成员处接收的个人数据处理方面的投诉，接收成员应立即通知披露成员。接收方不得作出任何可能不利于此类投诉的辩护或和解的承认或采取任何行动，并应向披露方提供其可能要求的与此类投诉相关的合理协助。

4.3 各接收方向其接收个人数据的各披露方承诺，其受本规则的法律约束并遵守本规则，且接收方如违反本规则，则披露方有权就其因该违约行为而遭受的损失和损害向接收方索赔。

 根据本规则，所有成员同意，每个披露成员均有权依据本规则对接收成员强制执行本规则，并就接收成员违反本规则而造成的损失和损害向接收成员提出索赔。
 

第 49 部分 – 员工承诺

第 50 部分.第 51 部分 接收成员在从披露成员处接收个人数据之前，应要求其所有员工和代理人（包括将接收成员从披露成员处接收的任何个人数据披露给其或可能以任何方式获取此类个人数据的员工和代理人）作出具有法律约束力的承诺，该承诺的约束力至少应与接收成员根据本规则对披露成员所作出的承诺的约束力相同。

第 52 部分.第 53 部分 接收成员应采取一切合理措施确保接收成员所有员工和代理人的可靠性，无论其是否被披露个人数据或可能访问个人数据。

5.3 接收成员应确保所有参与处理个人数据的员工和代理人均已接受过合理充分的个人数据保管和处理方面的培训和考核。

5.4 为避免疑义，接收成员应且始终对其员工和代理人就其从披露成员处接收的个人数据的访问和/或处理所承担的义务负责。

第 6 部分 – 个人数据返还

6.1 接收成员应在任何时候收到披露成员的书面请求后，立即停止所有个人数据的处理，并根据披露成员的要求，返还个人数据。

会员应安全销毁个人数据，或安排接收会员或接收会员根据本规则向其披露个人数据的任何第三方以任何形式持有的所有个人数据副本，通过合适的介质及时安全地返还给披露会员。如披露成员提出要求，接收成员应证明已完成销毁。

第 61 部分 – 集团及其成员的结构和联系方式

第 62 部分、第 63 部分：请联系数据保护官 (DPO) 获取集团及其成员的结构和联系方式信息。

第 64 部分 – 本规则的例外情况

第 65 部分、第 66 部分：成员不得采取任何与本规则不符的行动，除非事先获得[集团合规]的书面许可。此类书面许可应通过各成员的数据保护官 (DPO) 获取。

第 67 部分 – 报告违规行为

9.1 每位成员均须完全遵守这些具有法律约束力的规则。

9.2 鼓励成员及其员工向指定负责管理各自成员合规事宜的员工举报违反这些规则的行为。

9.3 管理层禁止对任何出于善意举报实际或疑似违反这些规则、适用法律和/或任何其他集团政策的行为的员工进行报复。
 

第 10 部分 – 审计 

10.1 集团内部审计部门将在对成员进行审计期间审查其对这些规则的遵守情况。

审计的目标是审查和评估成员的内部控制、治理流程、内部政策和程序的遵守程度以及相关监管要求的有效性和充分性。

第 77 部分 – 更多信息

如需了解有关这些规则和/或其他个人数据保护政策的更多信息，请咨询您的数据保护官 (DPO)。