个人数据保护政策

I. 引言

在 COFIMAR S.A.（以下简称 "公司 "或 "COFIMAR"），我们认识到隐私的重要性，并将保护个人数据作为一项基本权利。在数字化和信息处理成为我们业务的重要组成部分的环境中，我们致力于确保以最高的安全、合法和透明标准管理我们所负责的个人数据。

本《个人数据保护政策》严格遵守厄瓜多尔《个人数据保护组织法》（LOPDP）及其补充规定，确立了科菲玛尔处理个人信息的原则和指导方针。我们的承诺不仅限于遵守法律：我们力求通过负责任地使用客户、合作者、供应商和其他相关方的数据，赢得他们的信任。

本政策对所有 COFIMAR 人员以及在开展活动过程中接触到我们负责的个人数据的第三方都是强制性的。通过遵守该政策，我们重申了对个人信息和隐私保护的承诺。

II. 目标

本政策的目的是宣传影响 COFIMAR 工作人员履行职责的安全规则，以及在个人数据安全方面违规可能导致的后果。

同样，其目的是制定共同原则和行动指南，在个人数据保护问题上指导 COFIMAR，保证在任何情况下都遵守适用法律，坚决保证所有受 COFIMAR 处理的个人的数据保护权利，从而确保尊重相关方的名誉权和隐私权。

现行个人数据保护法律的一般规定与公司内部可能直接或间接接触个人数据的工作直接相关，因此必须遵循和遵守一系列准则和程序。简而言之，本政策旨在传播一系列基本知识，包括

数据保护和信息保密，以及唤起所有合作者对这些条例的兴趣，因为遵守条例中的规定是 COFIMAR 所有组成部分的责任。

COFIMAR 安全政策的总体目标：

确保信息的保密性、完整性和可用性。
遵守所有适用的法律要求。
对所有员工进行信息安全和个人数据保护方面的培训，提高他们的认识，使所有员工都了解自己在安全和连续性方面的作用和义务，并有责任遵守这些作用和义务。
妥善处理发生的所有事件。
只有经授权的人员才能安全地处理与范围内所述业务流程有关的所有信息。
保证公司管理层对信息安全的承诺。公司管理层致力于本安全政策的长期成功，并将为此提供必要的人力、技术和财政资源，以确保其高效运行和有效维护。

III. 范围

本政策的范围包括 COFIMAR S.A. 进行的所有个人数据处理活动。

本政策对上述公司的所有领域和流程都是强制性的，无一例外，因为任何业务部门都可能涉及个人数据的处理。

因此，本政策对管理人员、员工、合作者、供应商和因与公司的关系而接触到个人数据或参与处理个人数据的第三方具有强制性。

公司承诺在其具体职责范围内执行本政策，确保在整个运营过程中统一执行。

IV. 监管框架

本文件基于以下规定：

个人数据保护组织法》（LOPDP）： 厄瓜多尔关于个人数据保护和处理的法律，规定了数据主体的权利以及数据控制者和数据处理者的义务。
个人数据保护组织法总则》： 对《个人数据保护法》的规定进行了补充和细化，为厄瓜多尔个人数据的处理、交流和安全提供了具体指导。
有关个人数据保护和信息安全的其他适用法规。

V. 定义

为便于理解和有效执行本个人数据保护政策，现对其解释和执行的基本术语进行定义：

同意： 数据当事人对其个人数据处理的事先、明确和知情授权。
个人数据： 与已识别或可识别的自然人相关联的信息，如姓名、身份证号码、地址、财务数据等。
敏感数据： 高度隐私的信息，如果处理不当，可能导致歧视或侵犯基本权利。这些信息包括与种族或民族血统、宗教或哲学信仰、政治派别、健康、性取向、性生活和生物特征相关的数据。
数据保护官： 指定人员就控制者或处理者的法律数据保护义务向其提供建议。监督合规情况，并充当与个人数据保护局的联络人。
个人数据控制员： 代表控制者并在其指示下进行个人数据处理操作的自然人或法人、公共或私人实体。
索赔： 数据主体提出的更正、更新或删除个人数据的请求，以及与违反《个人数据保护组织法》（LOPDP）规定的义务有关的投诉。
数据控制员： 确定处理个人数据的目的和方式的自然人或法人，公共或私人。
个人资料主体： 个人数据由该组织处理的自然人。
个人数据的处理： 对个人数据进行的任何操作，其中可能包括收集、存储、组织、使用、修改、转让、交流、披露、删除或对此类信息的任何其他合法使用。
个人数据保护局： 负责监督和保障公民个人数据保护的机构，确保遵守《个人数据保护组织法》规定的原则、权利和程序。

VI. 个人资料控制者

控制器名称： COFIMAR S.A. RUC： 0991329331001 地址 Km 10.5 Via Daule.Parque Industrial Inmaconsa - Eucalyptus between Cedros and Teca.瓜亚基尔 - 厄瓜多尔。邮件 protecciondedatos@cofimar.com.ec

VII. 个人数据保护官

代表姓名 杰斐逊-昆德-贡扎贝地址 Km 10.5 Via Daule.Parque Industrial Inmaconsa - Eucalyptus between Cedros and Teca.瓜亚基尔 - 厄瓜多尔。邮件 jquindeg@cofimar.com.ec Cofimar 收集的数据 COFIMAR 收集以下个人数据： 识别数据：

姓名
身份证。
家庭住址
电话号码
电子邮件。
签名。

就业数据：

职位：
入境日期
工作经历
绩效评估。
学术背景
个人推荐信

银行详情：

账号
银行证书。
薪酬。
社会福利。

敏感数据：

与职业健康证明、残疾或与雇佣关系相关的医疗条件有关的医疗信息。
指纹和/或面部识别。

其他个人数据：

地理位置。
与 COFIMAR 活动需求相关的个人信息。

VIII. 处理 COFIMAR 收集的数据的目的

公司通过自动化和非自动化信息，如电子邮件服务器、计算机应用程序、纸质文件等，处理员工、客户和供应商的个人数据。为了遵守这一点，利益相关者确定了以下目的。 求职者：

根据 COFIMAR 现有的空缺职位，通过不同的搜索渠道，在当前和/或未来的选拔和招聘过程中管理您的申请。
根据 COFIMAR 的要求评估他们的专业简历。
根据现行规定，核实简历中提供的信息是否真实，包括审查公共来源，如司法/犯罪记录，以及您所申请职位的就业证明。
创建并维护包含您个人信息的数字和/或实体文件，用于候选人数据库管理。
通过既定的沟通渠道，与入选和落选的候选人联系，向他们通报遴选工作的情况。
对于行政人员（领导、管理人员），将其个人资料（简历）最多保留两（2）个月，以便在今后有空缺职位时加以考虑。
如果是业务人员，您的个人资料（简历）最多保留一（1）个月，以便在今后的职位空缺中考虑使用。

撰稿人：

管理与员工的雇佣关系，包括招聘流程、履行合同义务。
管理公司为员工及其家属（如配偶、子女和残疾人）提供的社会福利，包括医疗保险，为公司为员工福利管理的医疗和社会保障服务提供商提供支持。
根据劳动部、社保局和其他适用法规的规定，履行工作场所的健康和安全义务。
通过使用指纹和/或面部识别等生物识别系统，控制时间和考勤（签到和签退），并促进内部审计。
协调内部活动，如社会福利（邀请家庭成员和子女在员工工作地点会面）、内部和外部培训、企业计划、合规奖和组织交流。
在雇佣关系存续期间，以及在履行法律或合同义务所需的时间内，保存并保留个人数据（在家庭成员访问公司办公场所的情况下），并在必要且数据得到充分保护的情况下，将其转交给境内或境外的第三方。

供应商：

保存已成为或希望成为供应商的自然人的最新完整信息，以便管理合同签订过程、支付所提供服务的费用并确保商业关系的连续性。
使用供应商的详细联系方式，以管理与订单、交货、合同变更、要求提供补充信息以及与履行合同关系和商业协议有关的其他活动相关的通信。
通过背景调查、核实是否符合法律要求（包括反洗钱和反恐融资法规），以及保持业务关系发展的最新记录，评估供应商的合适性和表现。
与 COFIMAR 有合同关系的第三方共享供应商信息，前提是这是履行合同目的所必需的，并符合适用的法律规定。
在履行合同目的和遵守相关法律规定的必要情况下，向与 COFIMAR 签订了数据处理合同的第三方转让国内外供应商的个人数据。
根据相关合同或商业协议中规定的条款和条件，确保充分执行 COFIMAR 与供应商签订的服务合同。
通过照片和/或音像记录的方式，记录供应商或其代表参加由 COFIMAR 或签约第三方组织的培训、研讨会或其他活动的情况，用于记录、宣传或持续改进的目的。这些资料可用于 COFIMAR 的内部或机构媒体。

客户：

管理与客户的商业和合同关系，包括订单处理、报价管理、采购订单、交付物流、开具发票、产品追踪和售后服务。
处理与我们的产品、出口流程、质量认证和商业条件有关的询问、请求和信息要求，提供及时和个性化的关注。
发送时事通讯、有关我们的产品、认证、质量和可持续性标准的最新信息，以及我们的国内和国际客户可能感兴趣的水产养殖领域的相关新闻。
协调客户参加国际交易会、商业活动、技术访问和企业活动，以加强商业关系，提高我们工作流程的透明度。
根据在商业互动和满意度调查中收集到的信息分析，改进我们的生产、商业和客户服务流程，以提供满足客户需求和期望的产品。
遵守适用于作为食品生产和出口公司的 COFIMAR S.A.的国内和国际法律、法规、财政、卫生和外贸义务。
为内部和外部审计、国际认证（如 BRCGS、ASC、HACCP 等）以及国内或国外监管机构的可追溯性或控制要求保存最新记录。
管理和正式确定与虾的国内和国际商业化有关的合同和流程，包括与客户和主管当局进行物流、海关和监管验证。

股东： 处理股东个人数据的目的是根据《个人数据保护组织法》规定的原则确定的。由于这些目的具有战略性和机密性，因此将其记录在机密附件中，并严格限定只有获得授权的人员才能查阅。 安全摄像头：

COFIMAR 对通过自动视频监控系统获取的图像进行处理，目的是通过对可能危及人员人身安全或财产安全的事件进行持续监控和记录，保障设施的安全并保护进入设施的人员。
必要时，所获得的录音可能会在内部或外部程序中用作证据，如安全事故调查、欺诈侦查、纪律措施或法律诉讼，但必须始终遵守现行的个人数据保护规定。除非为了履行法律义务或记录相关事实而有必要保留更长时间，否则 PC1 和 PC2 中的数据最长分别保留 40 天和 60 天。

IX. 资料当事人的权利

根据厄瓜多尔《个人数据保护组织法》（LOPDP）的规定，COFIMAR重申其保护和尊重个人数据持有者权利的承诺。为了确保有效行使这些权利，COFIMAR 制定了明确、易用和安全的程序，使数据主体能够适当管理自己的数据。 使用权： 数据主体有权知道 COFIMAR 是否处理其个人数据，并有权获取与其处理相关的信息，包括

处理的目的。
个人数据的来源。
处理的数据类别。
与之共享数据的接收者或第三方。

程序

持有人必须以书面或电子方式提交申请，证明自己的身份。
COFIMAR 将在收到申请后 15 个工作日内做出答复。

更正和更新权： 如果个人资料不准确或不完整，资料当事人可要求更正或更新。程序

提交申请并附上更正或更新的证明文件。
COFIMAR 将在最多 15 个工作日内核实信息和更新记录，并将变更情况通知持有人。

搬迁权 在以下情况下，数据当事人可要求删除其个人数据：

处理过程违反现行法规。
如果收集数据的目的不再需要这些数据。
规定的保存期限到期时。

例外情况

在下列情况下，这项权利可能受到限制
保留数据是一项法律义务。
撤职会影响正在进行的行政、法律或监管程序。
为保护数据当事人或第三方的重要利益而需要提供的信息。

反对权 在下列情况下，数据当事人可以反对处理其个人数据

您不希望您的数据被用于特定目的。
考虑治疗可能会影响您的基本权利。

程序

提交书面申请，说明反对的理由。
渔委会将对申请的可行性进行分析，并在 15 个工作日内做出答复。

可携带权 数据当事人有权以结构化和常用格式接收其个人数据，以便将其传输给另一控制者。程序

提交申请，说明所需的交付格式。
COFIMAR 将在 15 个工作日内通过安全传输方式提供数据。

不受自动个人决定影响的权利 除以下情况外，数据主体有权不接受仅基于自动化处理、产生法律效力或对其有重大影响的决定：

履行合同所必需。
持有人明确同意的。
在现行法规允许的情况下。

保证措施如果 COFIMAR 使用自动化系统进行决策，应保证

所用标准的透明度。
人工干预审查决定的可能性。

数字教育权 COFIMAR 认识到数字教育作为负责任地使用个人数据的基本支柱的重要性。从这个意义上讲，它致力于

提高对安全、负责任地使用个人数据的认识。
提供清晰易懂的信息，说明使用数字技术的相关风险。
开展有关个人数据保护和数字隐私的内部宣传和培训。

儿童和青少年权利 只有在以下情况下才能处理未成年人的个人数据：

法定代表人的明确同意。
禁止处理敏感数据，除非涉及重大公共利益。
采取特别保护措施，确保儿童的安全和隐私。

X. 索赔、申请、投诉和申诉管理（RPQR）

公司保证个人数据主体有权提交与其个人信息处理相关的请求、请愿、投诉和索赔 (RPQR)。RPQR 管理流程旨在确保高效处理所有案件，符合现行法规并尊重个人数据主体的权利。 接收和提交申请 RPQR 申请必须以清晰准确的方式提交，包括以下信息：

申请人的个人信息：
全名、身份证明（身份证或护照）和联系方式（地址或电子邮件）。
申请说明：
具体说明申请类型（查阅、更正、删除或反对）。包括所涉个人数据的详细信息（如果相关）。
补充文件：
如有必要，必须附上申请人或法定代表人的身份证件副本。

提交申请的渠道：

亲自前往我们的办事处：Km 10.5 Vía Daule.Inmaconsa 工业园区 - 塞德罗斯和特卡之间的桉树林。
电子邮件： protecciondedatos@cofimar.com.ec
门户网站：www.cofimar.ec

管理驻地代表办公室的责任 招标方应任命一名申请经理，其职责如下： 1：

接收和验证申请，确保符合既定要求。
记录和跟踪每项请求，确保根据请求的类型和紧急程度进行处理。
与注册人的沟通：注册人将在相关期限内被告知其申请的收悉情况和处理状态。
申请的解决：负责人应确保在法定时限内提供解决方案，或通知任何延误并说明理由。

响应和解决时间 公司承诺在以下期限内对所有请求做出答复：

标准期限：收到申请后 15 个工作日内做出答复。
延长期限：在复杂情况下，如果需要更多时间调查或解决申请，将通知申请持有人，并说明新的预计解决时间。

例外和限制 在特殊情况下，公司可能无法满足某些要求。这种情况可能发生在

遵守要求会违反其他规定或侵犯第三方权利。
有法律或技术限制，无法提供数据的访问或更正。

在这种情况下，公司将告知持有人拒绝的原因和可能采取的进一步措施。 国内和国际数据传输

公司可能会将个人数据传输给国内外的第三方，但始终保证保护数据主体的权利，并遵守《个人数据保护组织法》（LOPDP）。

如果是国际传输，公司将核实目的地国家是否有适当的数据保护法规，如果没有，则将建立合同保障，以确保遵守安全、保密和合法的原则。

任何数据传输都应符合以下标准：

合法目的：仅为允许的目的并根据本政策传输数据。
安全和保密：应采取措施保护信息，防止未经授权的访问。
转让协议：在与第三方共享数据时，将签订协议以确保遵守相关规定。
数据主体的权利：应确保数据主体能够对其个人数据行使权利，即使数据被转移到国外。
在 LOPDP 允许的例外情况下，如遵守合同义务或法律要求，进行数据传输时，无需征得数据当事人的同意。

公司将对这些传输进行监控，以确保适当的合规性并保护数据主体的隐私。

XI. 安全漏洞通知

公司 "致力于保护个人数据，并已实施技术、组织和管理措施，以防止未经授权的访问、丢失、篡改或任何其他可能危及信息安全的事件。一旦发生影响个人数据的安全漏洞，"本公司 "将启动安全事件管理程序，其中包括

事件检测和分析：确定漏洞的影响和范围。
控制和缓解措施：降低风险和防止进一步损害的即时行动。
通知数据保护机构：如果违规行为对数据主体的权利构成风险，将在法规规定的时限内通知主管机构。
通知受影响的数据当事人：如果外泄事件可能对数据当事人产生重大影响，公司将及时通知他们，并说明： 1：
- 承诺数据。
- 可能的后果
- 为减轻影响而采取的措施。
- 持有人可以采取的保护措施。
- 记录和评估：将事件记录在案，并实施改进措施以加强安全。

通知的例外情况，包括主管当局在调查或法律诉讼框架内提出的要求，应遵守《保密法》的规定。

公司将定期审查和更新其安全控制措施，以最大限度地降低风险，确保个人数据得到保护。

XII. 个人资料的保存时间

公司将根据《个人数据保护组织法》第 10 条及其规定，仅在必要时保留个人数据，以满足收集数据的特定目的。保存期限可由以下方面决定

适用的法律义务，如劳动、税务、商业、企业、社会保障和其他法规。
合同要求，即数据处理与履行与客户、供应商或合作伙伴的合同有关。
合法利益，前提是不侵犯持有人的基本权利和自由。
在没有具体规定的情况下，数据保护机构的建议（例如，收到简历后保留 2 年）。

在相关期限结束后，数据将被删除、匿名化或安全存档，除非有法律义务将数据保留更长的时间。

公司根据个人数据的处理类型和类别制定了保存期限清单：
现行国家法律（《商法》、《劳动法》、《公司法》等）、
适用的部门法规、
以及欧洲当局对未受特别监管的治疗方法的建议。

XIII. 政策的更新和修改

本《个人数据保护政策》将于 2025 年 7 月 1 日生效，只要 COFIMAR 继续与合作者、客户、供应商等利益相关者开展个人数据处理活动，该政策就将一直有效。该政策每年至少审查一次，或在认为相关时进行审查，以确保其与现行法规和国际最佳实践保持一致。

XIV. 附件

附件 I - 保护隐私政策--目的股东