Хувийн мэдээллийн нууцлалын бодлого

Рио Тинто бол Их Британид төвтэй олон улсын уул уурхайн тэргүүлэх групп бөгөөд Лондон, Нью- Йоркийн хөрөнгийн биржид бүртгэлтэй Рио Тинто хувьцаат компани, Австралийн үнэт цаасны биржид бүртгэлтэй Рио Тинто Лимитэд компанийг нэгтгэсэн групп юм.  Энэ хоёр компани давхар бүртгэлтэй компанийн бүтэц бүхий Рио Тинто Групп хэмээх нэг аж ахуйн нэгж болж нэгдсэн байдаг. 

Энэхүү Хувийн мэдээллийн нууцлалын бодлого нь Рио Тинтогийн бүх ажилтнуудын болон Рио Тинто группийн бүх компаниудын хэмжээнд (үүнийг энэхүү Хувийн мэдээллийн нууцлалын бодлогод “Рио Тинто”, “Группийн үйл ажиллагаа”, “бид” эсхүл “биднийг” гэх мэтээр тодорхойлсон байж болно) хувийн мэдээлэл боловсруулахад үйлчилнэ. 

Бүтэц

Энэхүү Хувийн мэдээллийн нууцлалын бодлого хоёр хэсэгтэй. Үүнд:

Гол нэр томьёог тодорхойлсон Нэр томьёоны тайлбарыг уг Стандартын төгсгөлд (тод хараар) оруулав. 

Асуулт ба холбоо барих мэдээлэл

Хэрэв танд хувийн мэдээллийн нууцлалын талаар асуулт, гомдол байвал эсхүл уг мэдээллийн эзний хувьд өөрийн эрхийг эдлэхийг хүсвэл Хувийн мэдээлэл нууцлалын стандартын (дор үзүүлсэн) Хувийн мэдээлэл нууцлалын 8 дугаар зарчмыг үзнэ үү. Түүнчлэн:

Энэхүү нууцлалыг бодлогыг үе үе шинэчилж болно. Хамгийн сүүлд уг бодлогыг 2022 оны 6 дугаар сард шинэчилсэн байна. 

Нэгдүгээр хэсэг

Хувийн мэдээлэл нууцлалын стандарт

Оршил

ЭНЭ СТАНДАРТ ЮУ ХИЙДЭГ ВЭ?

Хувийн мэдээлэл нууцлалын стандарт нь Рио Тинто компани аливаа хувь хүний аливаа мэдээллийг ямар нэг хэлбэрээр, түүний дотор цахим ба цаасан хэлбэрээр цуглуулах, боловсруулах бүрд баримтлах наад захын дүрмийг (Хувийн мэдээлэл нууцлалын зарчмууд) тогтоодог. Хувийн мэдээлэл нууцлалын зарчмууд нь Рио Тинто группийн хэмжээнд хувь хүний мэдээлэл боловсруулах жишгийг тодорхойлдог. Үүнд:

• Хувийн мэдээл гэж аливаа хувь хүнтэй холбоотой бүх мэдээллийг хэлнэ.

o Жишээлбэл, хувийн мэдээлэлд аливаа хүний ажил мэргэжлийн холбоо барих хаягийн мэдээлэл, фото зураг, тухайн хүний үйл ажиллагаа, тэдгээрийн онцлог шинжийн тухайн мэдээлэл орно. Харин хувийн мэдээлэлд аливаа нэр бүхий хувь хүнтэй шууд эсвэл шууд бусаар холбож болохгүй мэдээлэл (ийнхүү холбоход ашиглаж болох арга хэрэгсэл болон шаардагдах зардал, цаг хугацаа, ашиглагдах технологиудыг харгалзан үзнэ) орохгүй.

• Боловсруулах ба боловсруулалт гэдэгт хувийн мэдээллээр хийж болзошгүй бүх зүйл орно.

Энэхүү стандартын төгсгөлд буй Нэр томьёоны тайлбарт уг стандартад ашигласан эдгээр болон бусад нэр томьёог (тод хараар) тодорхойлсон байгаа.

ЭНЭ СТАНДАРТ ХЭНД ҮЙЛЧЛЭХ ВЭ?

Энэхүү стандарт нь Рио Тинтогийн байгууллагын хэмжээний мэдээллийн нууцлалын бодлого учраас Рио Тинтод ажиллаж байгаа хүн бүрд болон Рио Тинто группийн бизнесийн үйл ажиллагаа бүрд үйлчилнэ. 

ЯАГААД ЭНЭХҮҮ СТАНДАРТЫГ ДАГАЖ МӨРДӨХ НЬ ЧУХАЛ ВЭ?

Үүнийг дараах байдлаар тайлбарлана. Рио Тинтогийн хувьд хувийн мэдээлэлтэй хуулийн дагуу зөв харьцах нь чухал ач холбогдолтой. Хамгийн энгийнээр хэлэхэд хүмүүс тэдний хувийн нууцлалыг хүндэтгэж, бидэнтэй ажиллах, бидэнтэй хамт бизнес эрхлэхдээ тэдний хувийн мэдээлэлд хэрхэн хандаж байгаад маань итгэдэг байх хэрэгтэй. 

Түүнчлэн бид дэлхийн эргэн тойронд хэрэгжиж буй хувийн мэдээллийн нууцлал, мэдээлэл хамгаалалтын хуулиудыг дагаж мөрдөх шаардлагатай. Энэхүү Хувийн мэдээлэл нууцлалын стандартад заасан Хувийн мэдээлэл нууцлалын зарчмуудыг баримтлах нь үүнийг хийхэд бидэнд тусалдаг. Эдгээр зарчмуудыг баримталж чадахгүй бол Рио Тинто компанид санхүүгийн болон нэр хүндийн хохирол учруулах, улмаар бидний ажиллуулж, харилцаж, хамтран бизнес эрхэлж буй хувь хүмүүсийн итгэлийг алдахад хүргэж болох юм. 

ҮҮНИЙГ ДАГАЖ МӨРДӨХИЙН ТУЛД БИД ЮУ ХИЙХ ХЭРЭГТЭЙ ВЭ?

Энэхүү Хувийн мэдээлэл нууцлалын зарчмууд нь бидний дэлхий нийтийн хэмжээнд баримтлах стандарт болдог бөгөөд бид дэлхийн улс орнуудын олон янзын дотоодын хууль тогтоомжийн дагуу хүлээсэн үүргээ тууштай биелүүлж ажиллахад Рио Тинтод тусалдаг. 

Рио Тинтогийн хувьд бид дор дурдсан Хувийн мэдээлэл нууцлалын зарчмуудыг болон хувийн мэдээлэл боловсруулахад баримталдаг хувийн мэдээлэл нууцлалын дотоодын хууль тогтоомжийн аливаа нэмэлт шаардлагыг дагаж мөрдөх нь чухал байдаг. Хэрэв манай Хувийн мэдээлэл нууцлалын зарчмууд болон хувийн мэдээлэл нууцлалын дотоодын хуульд заасан шаардлагууд зөрчилдвөл бид аль хатуу шаардлагыг нь дагаж мөрдөх болно. 

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ХЯНАЛТ

Мэдээллийн эзэн субъектийн гомдол, зохицуулагч байгууллагын мөрдөн шалгалт, хууль сахиулах ажиллагаанд хүргэх эсвэл Рио Тинтогийн нэр хүндэд хохирол учруулж болзошгүй тохиолдолд аливаа санал болгосон хувийн мэдээлэл боловсруулах ажиллагааг Ёс зүй, дагаж мөрдөлтийн хэлтсийн Нууцлалын нөлөөллийн үнэлгээнд (ННҮ) оруулах ёстой. Ёс зүй, дүрэм журмын хэлтсийн үнэлгээгээр гомдол гарах магадлалтай, зохицуулагч байгууллагын мөрдөн шалгалт, хууль сахиулах ажиллагаанд хүргэх эсвэл Рио Тинтогийн нэр хүндэд хохирол учруулах өндөр эрсдэлтэй гэж үзсэн тохиолдолд уг хувийн мэдээлэл боловсруулах ажиллагааг Ёс зүй, дүрэм журмын хэлтсийн даргын зүгээс түдгэлзүүлж эсвэл хориг тавьж болно. 

Хувийн мэдээлэл нууцлалын зарчмууд

Дараах Хувийн мэдээлэл нууцлалын зарчмуудад Рио Тинтогийн хэмжээнд хувийн мэдээлэл боловсруулахад баримтлах наад захын дүрмүүдийг тусгасан байна.

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 1

БИДНИЙ ХУВИЙН МЭДЭЭЛЭЛ БОЛОВСРУУЛАХ АЖИЛЛАГАА ХУУЛЬ ЁСНЫ, ШУДАРГА БӨГӨӨД ИЛ ТОД БАЙНА 

• Боловсруулалтын хууль ёсны байдал: Бид зөвхөн дараах тохиолдолд хувийн мэдээлэл боловсруулна:

o хувийн мэдээллийн мэдэгдэлд тайлбарласан хууль ёсны бизнесийн зорилгоор цуглуулсан тохиолдолд;

o мэдээллийн эзний (тухайн мэдээлэлд холбоотой хүн) зөвшөөрсөн бусад зорилгоор ашиглах тохиолдолд;

o мэдээллийн эзэнтэй байгуулсан гэрээг хэрэгжүүлэхэд зайлшгүй шаардлагатай тохиолдолд;

o бид хуулиар хүлээсэн үүргээ биелүүлэхийн тулд боловсруулалт хийх шаардлагатай тохиолдолд; эсвэл

o хувийн мэдээлэл нууцлалын дотоодын хууль тогтоомжийн дагуу болон  шүүх эрх мэдлийн хүрээнд холбогдох хувь хүний мэдээлэлд зохих боловсруулалт хийхийг илт зөвшөөрсөн тохиолдолд.

• Боловсруулалтын тухай мэдэгдэл: Бид хувийн мэдээлэл цуглуулах үедээ болон цуглуулахаас өмнө хувийн мэдээлэл нууцлалын мэдэгдэл өгөх замаар тухайн мэдээллийн эзэнд түүний хувийн мэдээллийг цуглуулж байгаа талаараа мэдэгдэнэ.

• Гуравдагч талын мэдээлэл цуглуулалт: Бид хувийн мэдээллийг гуравдагч талд өгсөн, гуравдагч талаас авсан тохиолдолд тухайн хувийн мэдээллийг бидэнд хууль ёсны дагуу задруулах нөхцөл бүрдүүлнэ. Үүнд мэдээллийн эзэнд мэдэгдэл өгсөн эсэх, ил болгож задруулах хууль ёсны үндэслэл байгаа эсэхийг баталгаажуулах ажил орно.  Бид зөвхөн хувийн мэдээлэл нууцлалын холбогдох хууль тогтоомжоор зөвшөөрсөн хувийн мэдээллийг л боловсруулна. 

Хавсралт 1-д Рио Тинтогийн зүгээс хувийн мэдээлэл боловсруулахдаа хэрэглэдэг зорилгуудын тоймыг харуулав. 

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 2

БИД ХУВИЙН МЭДЭЭЛЭЛ БОЛОВСРУУЛАЛТАА ХЯЗГААРЛАНА 

• Зорилгын хязгаарлалт: Бидний хувийн мэдээлэл боловсруулах ажиллагаа  мэдээллийн эзэнд мэдэгдсэний дагуу тодорхой, хязгаарлагдмал зорилготой байх ёстой.

• Хэрэв бид мэдэгдэлд дурдсан зорилгоос өөр зорилгоор хувийн мэдээлэл боловсруулах тохиолдолд холбогдох мэдээллийн эзэнд тухайн шинэ зорилгын талаар мэдээлж  (Хувийн мэдээлэл нууцлалын зарчим 1-н дагуу) дараах зүйлсийг баталгаажуулах шаардлагатай:

o Хувийн мэдээллийг нь шинэ зорилгоор боловсруулахыг зөвшөөрсөн мэдээллийн эзний зөвшөөрөл;

o Тухайн боловсруулалт холбогдох хууль тогтоомжид нийцсэн байх шаардлагатай;

o Хувийн мэдээлэл боловсруулах шинэ зорилго нь анхны боловсруулах зорилгод нийцсэн байх; эсвэл

o Тухайн боловсруулалтыг хувийн мэдээлэл нууцлалын холбогдох хууль тогтоомжийн дагуу хууль ёсоор хийсэн байх.

Шинэ зорилгоор боловсруулах ажиллагаа нь зөвхөн холбогдох хууль тогтоомжид заасны дагуу анхны зорилгодоо нийцсэн байна, эсвэл бид үнэлгээ хийж үүнд анхны зорилго ба шинэ зорилгын холбоо, хувийн мэдээлэл цуглуулсан нөхцөл байдал, мэдээллийн эзэнийн хүлээлт, хувийн мэдээллийн мөн чанар, шинэ боловсруулалтаас мэдээллийн эзэнд учрах үр дагавар,  хувийн мэдээлэл нууцлалын хамгаалалт байгаа эсэх гэх мэт хүчин зүйлсийг харгалзан үзсэн талаар дүгнэлт гаргасан байна.

• Хувийн мэдээллийг багасгах: Бид зөвхөн холбогдох боловсруулалтын зорилгод шаардлагатай хэмжээний хувийн мэдээллийг зөвхөн тухайн зорилгод зайлшгүй шаардлагатай хүрэнд боловсруулах ёстой. Бидний хувийн мэдээлэл боловсруулах ажиллагаа хангалттай, холбогдолтой, зохих хэмжээнээс хэтрээгүй байх ёстой.

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 3

БИД МЭДЭЭЛЛИЙН ЧАНАРЫГ АЛДАГДУУЛАХГҮЙ

Бид хувийн мэдээлэл боловсруулахдаа дараах нөхцөл бүрдүүлэх үндэслэлтэй алхмуудыг хийнэ:

• Тухайн хувийн мэдээлэл үнэн зөв, шаардлагатай бол шинэчилсэн байх;

• Хэрэв мэдээллийн эзний тухай шийдвэр гаргахад шаардлагатай хувийн мэдээлэл үнэн зөв биш байвал тухайн хувийн мэдээллийг арилгах, засаж залруулах,  нэмэлт мэдээлэл оруулах (тухайн боловсруулалтын зорилгыг харгалзан) арга хэмжээ авах.

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 4

БИД ХУВИЙН ЭМЗЭГ МЭДЭЭЛЭЛТЭЙ БОЛГООМЖТОЙ ХАРЬЦАНА

Эмзэг мэдээлэл бол онцгой хувийн шинжтэй хувийн мэдээллийн төрөл бөгөөд үүнд аливаа хүний арьс үндэс, угсаа гарал, үйлдвэрчний эвлэлийн гишүүнчлэл, эрүүл мэнд, биометрийн мэдээлэл, гэмт хэргийн бүртгэлийн мэдээлэл болон бусад зүйлс багтдаг. Бид зөвхөн зайлшгүй шаардлагатай үед болон дараах тохиолдолд эмзэг мэдээллийг боловсруулдаг байх нөхцөл бүрдүүлэх ёстой. Үүнд:

• Мэдээллийн эзнээс зөвшөөрөл авсан байх; эсвэл

• Тухайн боловсруулалт нь:

o бидний хуулиар хүлээсэн үүргээ биелүүлэхэд шаардлагатай байх,

o дотоодын хувийн мэдээлэл нууцлалын хуулиуд, хөдөлмөрийн хуулиудын дагуу зөвшөөрөгдсөн, эсвэл холбогдох хувийн мэдээлэл нь шүүх эрх мэдлийн хүрээнд  бий болсон байх; эсвэл

o аливаа хүний амь нас, эрүүл мэнд, аюулгүй байдалд учирч болзошгүй ноцтой, аюулаас урьдчилан сэргийлэх, аюулыг багасгахад зайлшгүй шаардлагатай байх.

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 5

БИД ХУВИЙН МЭДЭЭЛЭЛ ЗАДРУУЛАХ АЖИЛЛАГААГ ХАМГААЛНА 

Бид хувийн мэдээлэл задруулах ажиллагааг (түүний дотор үндэсний хил дамнуулан шилжүүлэх болон үүгээр хязгаарлагдахгүй) дараах байдлаар хамгаална: 

• Рио Тинто группээс гадагш задруулах: Хэрэв бид хувийн мэдээллийг Рио Тинто группээс гадагш задруулах шаардлагатай бол (жишээлбэл, хувийн мэдээлэл авах эрх бүхий гаднын үйлчилгээ үзүүлэгч эсвэл гуравдагч талд), бид дараах нөхцөл бүрдүүлэх ёстой:

o Мэдээлэл задруулах ажиллагааг Ёс зүй, дүрэм журмын хэлтэс эсвэл Рио Тинтогийн Хуулийн хэлтсийн баталсан хувийн мэдээллийн нууцлал хамгаалах гэрээний заалтуудаар хамгаалдаг. Үүнд үндэсний хил дамнуулан шилжүүлэх ажиллагаа нь хувийн мэдээлэл нууцлалын холбогдох хууль тогтоомжид нийцэж байгаа эсэхийг үнэлэх ажиллагаа орох ёстой;

o Холбогдох мэдээллийн эзэн нь задруулахыг зөвшөөрсөн байх; эсвэл

o Мэдээлэл задруулахыг хуулиар шаардсан, хувийн мэдээллийн нууцлалын тухай дотоодын хууль тогтоомжоор зөвшөөрөгдсөн, холбогдох хувийн мэдээлэл нь шүүх эрх мэдлийн хүрээнд үүссэн байх.

• Рио Тинто группийн дотоодод задруулах: Хувийн мэдээллийг түүнийг анх цуглуулсан улсаас гадагш шилжүүлж хуваалцах шаардлагатай тохиолдолд Рио Тинто группийн хүрээнд мэдээлэл задруулах ажиллагааг Рио Тинтогийн Мэдээлэл шилжүүлэх ажиллагааны баримт бичгээр хамгаална. Тус компанийн хэрэг эрхлэх газар болон группийн гишүүн аж ахуйн нэгж бүр нь группт нэгдсэн аливаа шинэ компани Рио Тинтогийн Мэдээлэл шилжүүлэх ажиллагааны баримт бичигт нэгдэн орсон байх нөхцөл бүрдүүлнэ.

Олон улсын хэмжээнд задруулах, шилжүүлэх (Рио Тинто группийн хүрээнд болон гаднын үйлчилгээ үзүүлэгчид) ажиллагааны тоймыг Хавсралт 2a-д оруулав.

Мөн Хавсралт 2б-д олон улсад задруулахын өмнөх үнэлгээнд тавигдах шаардлагуудыг оруулав.

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 6

БИД ХУВИЙН МЭДЭЭЛЛИЙН АЮУЛГҮЙ БАЙДЛЫГ ХАНГАНА

• Мэдээллийн аюулгүй байдлыг хангах ерөнхий үүрэг: Хувийн мэдээллийг аюулгүй байлгаж санамсаргүй, зөвшөөрөлгүй, хууль бус боловсруулалт, түүний дотор мэдээлэл алдах, зөвшөөрөлгүй авах, устгах, буруугаар ашиглах, өөрчлөх, задруулахаас хамгаалах ёстой.  Энэ нь Рио Тинто зохих ёсны техникийн болон зохион байгуулалтын арга хэмжээг авах ёстой гэсэн үг. Хувийн мэдээллийг хэвлэмэл хувь (тухайлбал цаасан) эсвэл цахим (тухайлбал мэдээллийн сан) хэлбэрээр хадгалах эсэхэд мэдээллийн аюулгүй байдлыг хангах үүрэг үйлчилнэ. Гол баримтлах дүрэм нь:

o бусад хүмүүсийн талаарх хувийн мэдээллийг авахдаа зөвхөн “мэдэх шаардлагатай” гэдэг үндэслэлээр авна; 

o Группийн гишүүн аж ахуйн нэгж бүр Мэдээлэл, цахим эх сурвалжийн зөвшөөрөгдөх ашиглалтын тухай Рио Тинто группийн стандарт, тус Группийн Мэдээлэл, кибер аюулгүй байдлын журмыг (Мэдээллийн систем, технологийн газрын Кибер аюулгүй байдлын баг удирддаг) хэрэгжүүлж хувийн мэдээллийн  'амьдралын мөчлөг'-ийн бүхий л үе шатанд зохих аюулгүй байдлыг хангах биет, техникийн болон зохион байгуулалтын зохих арга хэмжээ авсан байна.

• Хувийн мэдээллийн нууцлалын хэргийг дотооддоо мэдээлэх: Хувийн мэдээлэл нууцлалын хэрэг бүрийг  Ёс зүй, дүрэм журмын хэлтэст нэн даруй мэдээлэх ёстой. Хувийн мэдээлэл нууцлалын холбогдох хууль тогтоомжоор шаардсан тохиолдолд Ёс зүй, дүрэм журмын хэлтсээс аливаа мэдээллийн зөрчлийн талаар зохих эрх бүхий байгууллагад болон холбогдох мэдээллийн эзэнд мэдэгдсэн байх нөхцөл бүрдүүлнэ. 

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 7

БИД ХУВИЙН МЭДЭЭЛЛИЙН ХАДГАЛАЛТЫГ ХЯЗГААРЛАНА

Хувийн мэдээллийг зөвхөн түүнийг боловсруулах хууль ёсны зорилгоор (холбогдох хувь хүнд мэдэгдсэний дагуу) шаардлагатай хугацаанд эсхүл дотоодын хууль тогтоомжид шаардсан буюу зөвшөөрөгдсөн хугацаагаар (аль богиныг нь сонгож) хадгалах ёстой.  

Хувийн мэдээллийг Бүртгэл хадгалах, устгах хуваарийн (үүнийг Рио Тинтогийн Бүртгэлийн менежментийн стандартын дагуу бий болгож үе үе шинэчилдэг) дагуу хадгалах бөгөөд үүнд шаардлагатай хувийн мэдээлэл агуулсан бүртгэлийн төрөл бүрээр хугацааг тогтоосон байдаг. Энэхүү хугацаа дууссаны дараа хувийн мэдээлэл агуулсан бүртгэлийг Рио Тинтогийн Бүртгэл хадгалах, устгах хуваарийн дагуу эсвэл дотоодын холбогдох хууль тогтоомжийн дагуу (аль хатуу чанга үүрэг хүлээлгэснийг сонгоно) аюулгүйгээр устгах (биет бүртгэлийн хувьд), эсвэл бүрмөсөн арилгах (цахим бүртгэлийн хувьд) ёстой.  Мөн боломжтой тохиолдолд хувийн мэдээлэл агуулсан аливаа бүртгэлийн бүх архивласан хувь, нөөц хувийг эх хувьтай нь хамт нэгэн зэрэг, нэг ижил байдлаар устгах ёстой.  

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 8

БИД МЭДЭЭЛЛИЙН ЭЗНИЙ ЭРХИЙГ ДЭЭДЭЛНЭ

Мэдээллийн эзэн нь дараах эрхтэй. Үүнд:

• Рио Тинтод байгаа өөрийн хувийн мэдээлэлд нэвтрэх хүсэлт гаргах;

• Үнэн зөв биш, бүрэн бус, хуучирсан хувийн мэдээллийг засаж залруулах хүсэлтийг Рио Тинтод гаргах;

• Хувийн мэдээллээ арилгуулах хүсэлт гаргах;

• Хувийн мэдээллийг нь хэрхэн боловсруулж байгаа талаар мэдээлэл авах;

• Хувийн мэдээллийг нь боловсруулах ажиллагааг зогсоохыг хүсэх (нэн ялангуяа уг боловсруулалт нь түүнд хохирол, зовлон учруулах боломжтой эсвэл тухайн боловсруулалт нь шууд маркетингийн зорилготой тохиолдолд);

• Группийн гишүүн аж ахуйн нэгжүүд зөвхөн автоматжуулсан мэдээлэл боловсруулалтад тулгуурлан тухайн мэдээллийн эзний талаар шийдвэр гаргасан эсэх талаар мэдэгдэл хүлээн авах  (улмаар мэдээллийн эзэн нь шаардлагатай бол уг шийдвэрээ эргэн харах хүсэлт гаргаж болно);

• Хувийн мэдээлэл боловсруулалтын талаар гомдол гаргах; эсвэл

• Рио Тинтогоос хувийн мэдээллийг нь боловсруулахад өмнө нь өгсөн зөвшөөрлийг татан авах.

Эдгээр эрхийг эдлэх хуулийн онцгой нөхцөлүүд байдаг бөгөөд Рио Тинтогийн зүгээс хүсэлт бүрийг тухайн мэдээллийн эзний оршин сууж буй улс орны хууль тогтоомжийн дагуу (эсвэл тухайн мэдээллийн эзний байрлаж буй улсад хувийн мэдээлэл нууцлалын тухай хууль байхгүй эсхүл холбогдох эрхийг агуулсан хувийн мэдээллийн нууцлалын хууль байхгүй бол Австрали улсын хувийн мэдээлэл нууцлалын хуулийг мөрдлөг болгоно) нэг бүрчлэн хянаж үзнэ. Мэдээллийн эзний эрхээ эдлэх тухай хүсэлтийг холбогдох бүс нутгийн Хувийн мэдээллийн нууцлал хариуцсан ахлах мэргэжилтэнд гаргах бөгөөд уг мэргэжилтэн хүсэлтэд хэрхэн хариу өгөх талаар зөвлөгөө өгнө. 

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 9

БИД НУУЦЛАЛЫГ ТӨЛӨВЛӨГӨӨТЭЙГӨӨР ХАНГАНА

Хувийн мэдээллийн нууцлалыг хангах асуудлыг бид өөрсдийн хувийн мэдээлэл боловсруулах үйл ажиллагаанд суулгаж өгөх ёстой.

Хувийн нууцлалын суурь үнэлгээ:

Ёс зүй, дүрэм журмын хэлтэс дараах зүйлсийг санал болгосон тохиолдолд Нууцлалын суурь үнэлгээ хийнэ. Үүнд:

• Хувийн мэдээлэл боловсруулалтын шинэ эсвэл өргөтгөсөн технологи, систем нэвтрүүлэх;

• хувийн мэдээлэл боловсруулах чиг үүргийг гэрээгээр гүйцэтгүүлэх; эсвэл

• хувийн мэдээллийн шинэ ангилал бий болгох, мэдээлэл цуглуулах, эсвэл одоо байгаа хувийн мэдээллийг шинэ зорилгоор боловсруулах.

Нууцлалын суурь үнэлгээнд дараах зүйлсийг авч үзнэ:

• тухайн хувийн мэдээллийн мөн чанар;

• санал болгосон боловсруулалтын зорилго;

• санал болгосон хувийн мэдээлэл задруулах ажиллагаа, түүний дотор санал болгосон хил дамнасан мэдээлэл дамжуулах урсгал.

Энэхүү мэдээллийг Кибер аюулгүй байдлын баг эсвэл Ёс зүй, дүрэм журмын хэлтсээс тусдаа хийсэн Аюулгүй байдлын эрсдэлийн үнэлгээний (АБЭҮ) нэг хэсэг болгож цуглуулна.  

Нууцлалын нөлөөллийн үнэлгээ:

Хэрэв Нууцлалын суурь үнэлгээгээр тухайн санал болгож буй боловсруулалт нь мэдээллийн эзний хувийн нууцлалын эрхэд өндөр эрсдэл учруулж болзошгүй байвал Ёс зүй, дүрэм журмын хэлтсээс  Нууцлалын нөлөөллийн үнэлгээ хийнэ. Уг Нууцлалын нөлөөллийн үнэлгээ нь эрсдэлийг бууруулах, Рио Тинто энэхүү Стандартад болон мэдээллийн нууцлалын тухай хууль тогтоомжид заасан үүргээ биелүүлэхийн тулд хийх ёстой алхмуудыг тодорхойлно. 

ХУВИЙН МЭДЭЭЛЭЛ НУУЦЛАЛЫН ЗАРЧИМ 10

БИД СПАМ ҮҮСГЭХГҮЙ

Бид маркетингийн зорилготой мэдээлэл харилцаанд хувийн мэдээлэл ашиглах явдлыг хязгаарлах ёстой. Бүх маркетингийн мэдээлэл харилцаа нь (түгээгдсэн ч) дараах нөхцөлийг хангасан байх ёстой. Үүнд:

• Группийн гишүүн холбогдох аж ахуйн нэгж буюу компанийг илгээгчээр тодорхой зааж , хэрхэн холбоо барих талаар оруулна;

• Санал болгож буй хүлээн авагчийн оршин сууж буй улсад зөвшөөрөл авах шаардлагагүй болохыг Ёс зүй, дүрэм журмын хэлтэс зөвлөснөөс бусад тохиолдолд хүлээн авагч буюу мэдээллийн эзний зөвшөөрөлтэйгөөр илгээх; 

• Захиалгыг цуцлах эсвэл оролцохоос татгалзах боломж агуулсан байх. Оролцохоос татгалзах тохиолдолд нэн даруй арга хэмжээ авч бүртгэлд зохих ёсоор өөрчлөлт оруулах ёстой. 

Нэр томьёоны тайлбар

Зөвшөөрөл гэж мэдээллийн эзний чөлөөтэй өгсөн, тодорхой, мэдээлэлтэй, хоёрдмол утгагүйгээр илэрхийлсэн хүсэлтийг хэлнэ.

Гэмт хэргийн бүртгэлийн мэдээлэл гэж гэмт үйлдэл, зөрчилтэй холбоотой хувийн мэдээллийг хэлнэ. 

Хувийн мэдээллийн зөрчил гэж дамжуулсан, хадгалсан эсвэл өөр байдлаар боловсруулсан хувийн мэдээллийг санамсаргүй байдлаар эсвэл хууль бусаар устгах, алдах, өөрчлөх, зөвшөөрөлгүй задруулах, нэвтрэхэд хүргэсэн аюулгүй байдлын зөрчлийг хэлнэ.

Хувийн мэдээлэл нууцлалын хэрэг гэж мэдээллийн зөрчил эсвэл энэхүү  Хувийн мэдээлэл нууцлалын стандартад заасан Хувийн мэдээлэл нууцлалын зарчмуудын аль нэгийг илт зөрчсөн эсвэл зөрчсөнд сэжиглэж байгаа тохиолдлыг хэлнэ.

Хувийн мэдээллийн нууцлал хариуцсан ахлах мэргэжилтэн нь Ёс зүй, дүрэм журмын хэлтсийн гишүүн байх бөгөөд Элемент дээрх (Рио Тинтогийн интранэт) мэдээллийн нууцлалын хуудасны жагсаалтад орсон аливаа бүс нутгаас ирсэн мэдээллийн нууцлалын асуултад хариулах анхны холбоо барих хүн байна. Хэрэв та Рио Тинтогоос гадна байгаа,  Элементэд нэвтэрч чадахгүй байгаа бөгөөд бүс нутгийнхаа Хувийн мэдээлэл нууцлалын ахлах мэргэжилтэнтэй холбогдохыг хүсэж байвал AskE&C@riotinto.com хаягаар мэйл илгээнэ үү. 

Хувийн мэдээлэл нууцлалын зарчмууд гэдэг нь Рио Тинто группийн компаниуд ба ажилтнууд хувийн мэдээлэл боловсруулахдаа баримтлах ёстой Хувийн мэдээлэл нууцлалын стандартад заасан зарчмуудыг хэлнэ. 

Мэдээллийн эзэн: тухайн хувийн мэдээлэлтэй холбоотой хувь хүн.

Задруулах гэж хувийн мэдээллийг бусад хүн нэвтэрч үзэх боломжтой болгох үйлдлийг хэлнэ. 

Группийн бизнес гэдэгт Рио Тинто группийн бүх компани, бүтээгдэхүүний групп, бизнесийн нэгж, дэлхий нийтийн үйл ажиллагаа, компанийн оффисууд орно.

Хууль ёсны бизнесийн зорилго:  Рио Тинтогийн бизнесийн зорилтуудыг хангахад чиглэсэн, холбогдох бүх хууль тогтоомж, зохицуулалтад болон Рио Тинтогийн бодлого, стандартуудад нийцсэн зорилго.

Маркетингийн мэдээлэл харилцаа гэдэг нь Рио Тинто, түүний бүтээгдэхүүнүүдийг борлуулах, сурталчлах зорилготой мэдээ, мэдээлэл, нийтлэлийг хэлэх бөгөөд үүнд хөдөлмөрийн харилцааг удирдахтай холбоотой асуудлаар Рио Тинтогоос ажилтнууддаа өгдөг мэдээлэл харилцааг оруулдаггүй. 

Хувийн мэдээлэл: аливаа нэр бүхий хувь хүнтэй холбоотой бүхий л мэдээлэл.

Нууцлалын нөлөөллийн үнэлгээ гэж санал болгож буй боловсруулалтын үйл ажиллагааны үр нөлөөг мэдээллийн эзний эрх, эрх чөлөө, хувийн мэдээллийн хамгаалалт талаас үнэлэх үнэлгээг хэлнэ. 

Хувийн мэдээллийн нууцлалын мэдэгдэл: бид хувийн мэдээллийг нь цуглуулах үедээ мэдээллийн эзэнд өгөх шаардлагатай байдаг мэдэгдэл.

Боловсруулалт: Хувийн мэдээлэлтэй холбоотой хийсэн бүхий л үйлдэл, түүний дотор цуглуулах, ашиглах, задруулах, бүртгэх, зохион байгуулах, хадгалах, шилжүүлэх, өөрчлөх, арилгах, устгах, сэргээх, нэвтрэх, байршуулах болон бусад байдлаар харьцах үйлдэл.

Рио Тинтогийн Мэдээлэл шилжүүлэх ажиллагааны баримт бичиг: Рио Тинто Лимитед ба Рио Тинто хувьцаат компанийн хооронд 2009 оны 7 дугаар сарын 1-нд гэрээ байгуулж гарын үсэг зурсан (үе үе нэмэлт өөрчлөлт оруулдаг) баримт бичиг бөгөөд энэхүү баримт бичгийг Рио Тинто группийн компаниуд дагаж мөрдөх үүрэгтэй.

Рио Тинто групп: Рио Тинто хувьцаат компани ба Рио Тинто Лимитэд компаниуд бүхэлд нь эсвэл дийлэх хэсгийг нь  эзэмшдэг эсвэл (шууд ба шууд бусаар) удирддаг бүх бизнесийн байгууллагыг хэлнэ.

Эмзэг мэдээлэл:  аливаа хувь хүний арьс үндэс, угсаа гарал, улс төрийн үзэл баримтлал, гишүүнчлэл, шашны болон философийн итгэл үнэмшил, эвсэл холбоо, үйлдвэрчний эвлэлийн гишүүнчлэл, гэмт хэргийн бүртгэлийн мэдээлэл, гений мэдээлэл, биометрийн мэдээлэл (аливаа бие хүнийг онцгойлон ялгаж таних зорилгоор боловсруулдаг), эрүүл мэндийн байдал, авсан эрүүл мэндийн үйлчилгээ, бэлгийн амьдралын дэлгэрэнгүй зэргийн тухай хувийн мэдээлэл (түүний дотор эдгээрийн тухай мэдээлэл эсвэл үзэл бодол орно).

Хавсралт 1

ХУВИЙН МЭДЭЭЛЭЛ ЦУГЛУУЛАХ, БОЛОВСРУУЛАХ АЖИЛЛАГААНЫ ТОЙМ 

Рио Тинто нь дараах ангиллын хувийн мэдээллийг төрөл бүрийн бизнесийн зорилгоо цуглуулж боловсруулдаг. Үүнд:

• Хүмүүсийн мэдээллийг удирдах: Ажилтнууд, ирээдүйн ажилтнууд, гэрээлэгчдийн хувийн мэдээллийг (Хүний нөөцийн хувийн мэдээлэл) хөдөлмөрийн гэрээ, хамтын ажиллагааны гэрээг удирдан зохион байгуулах, хөдөлмөр эрхлэлттэй холбоотой бусад хууль ёсны бизнесийн харилцааг зохицуулах, хууль тогтоомж, зохицуулалт, дүрэм журам дагаж мөрдөх үүргийг биелүүлэх гэх мэт хүний нөөцийн удирдлагын зорилгоор цуглуулдаг. Энэ зорилгоор боловсруулах хувийн мэдээлэлд биеийн байцаалт, холбоо барих мэдээлэл, ажил эрхлэлтийн түүх, сургалт, боловсролын мэдээлэл, гүйцэтгэлийн мэдээлэл, цалин хөлс, бусад хангамж олгоход шаардлагатай мэдээлэл, хөдөлмөр эрхлэлт, хамтын гэрээг удирдах, ажилтан шинээр элсүүлэхтэй холбоотой мэдээлэл ордог.

• Бизнесийн харилцааг удирдах: Үйлчлүүлэгчид, ханган нийлүүлэгчид болон төрийн байгууллага, хамтарсан үйлдвэрийн түншүүд гэх мэт гаднын бусад талуудын хүрээнд хувь хүмүүстэй хийх бизнесийн харилцааг удирдана. Гаднын байгууллагын хүмүүсийн талаарх хувийн мэдээллийг үйлчлүүлэгчдэд бараа бүтээгдэхүүн нийлүүлэх, нийлүүлэгчдээс үйлчилгээ авах, гэрээ байгуулж хэрэгжүүлэх, мэдээлэл харилцаа, гадаадад харилцааны үйл ажиллагаа гэх мэт төрөл бүрийн бизнесийн зорилгоор цуглуулдаг. Энэ нь гол төлөв компаниуд, агентлагуудын холбоо барих хүмүүсийн талаарх “бизнесийн хэлхээ холбооны”  мэдээлэл, Рио Тинтотой тогтоосон харилцааны мэдээллээр хязгаарлагддаг. 

• Хувьцаа эзэмшигчийн харилцааг удирдах: Хувьцаа эзэмшигчдээс авах хувийн мэдээллийг  (Хувьцаа эзэмшигчийн хувийн мэдээлэл) тэдний Рио Тинто дахь хувьцаа эзэмшилтэй холбоотой зорилгоор, түүний дотор хувьцаа гаргах, хувьцааны гүйлгээ хийх, ноогдол ашиг олгох, зохицуулах эрх бүхий байгууллагад тайлагнах, хувьцаа эзэмшигчтэй харилцах зорилгоор цуглуулдаг. Хувьцаа эзэмшигчийн хувийн мэдээлэлд хувьцаа эзэмшигчийн нэр, хаяг,  хувьцаа эзэмшлийн мэдээлэл, татварын дугаар, банкны дансны мэдээлэл орж болно. Хувьцаа эзэмшигчийн хувийн мэдээллийг Рио Тинто компани өөрөө болон бидний өмнөөс хувьцааны бүртгэл хариуцсан гаднын менежерүүд цуглуулдаг.  Энэ мэдээллийг үе үе гаднын үйлчилгээ үзүүлэгчдэд ноогдол ашиг хуваарилах, хувьцаа эзэмшигчид мэдээлэл илгээх зорилгоор эсвэл хуулиар зөвшөөрөгдсөн хэмжээгээр үнэт цаасны эрх бүхий брокерууд, бүртгэлийн хяналт шалгалтын хүмүүс, Рио Тинтогийн үнэт цаасны арилжаанд оролцогчид, эсвэл Австралийн татварын газар гэх мэт тодорхой зохицуулагч байгууллагуудад өгч болно.  

• Аюулгүй ажиллагаа, аюулгүй байдал, хуулиар хүлээсэн үүргүүд: Манай үйл ажиллагааны талбаруудад хүрэлцэн ирсэн зочдын (ажилтан ба ажилтан бус зочид) хувийн мэдээллийг аюулгүй ажиллагаа, аюулгүй байдлын зорилгоор цуглуулдаг (ЭМААБОА-ны хувийн мэдээлэл).  Үүнд биеийн байцаалтыг шалгах мэдээлэл, хяналтын камерын (CCTV) зургийн цуглуулга орж болно. Мөн Рио Тинто нь өөрийн хууль ёсны үүргийг биелүүлэх явцад (жишээлбэл, мөнгө угаалтын эсрэг хууль тогтоомж, шүгэл үлээлтийн хуулиар хүлээсэн үүргээ биелүүлэх зорилгоор) хувийн мэдээлэл цуглуулдаг.  Түүнчлэн Рио Тинто нь интернэтийн нээлттэй эх сурвалжаас нэгтгэсэн мэдээллийг цуглуулдаг. Үүнд нийтийн цахим хуудас хэрэглэгчдийн зүгээс аюулгүй байдлын болзошгүй эрсдэл, аюул заналын дохио өгөх, сэрэмжлүүлэх зорилгоор нийтэлсэн хэрэглэгчийн нэр болон бусад хувийн мэдээлэл орж болно. 

• Олон нийтийн харилцааг удирдах: Рио Тинтогоос уул уурхайн болон бусад үйл ажиллагаа явуулж буй газруудынхаа нутгийн иргэдийн хувийн мэдээллийг тэдэнтэй харилцах, тэднийг татан оролцуулах зорилгоор цуглуулдаг (Ард иргэдийн хувийн мэдээлэл).  Үүнд ард иргэдийн бүлгийн гишүүдийн нэр, харилцах хаяг, Рио Тинтотой харилцсан харилцааны мэдээлэл багтах бөгөөд  санал хүсэлтэд хариу өгөх, олон нийтийн харилцааг зорилгоор хэрэглэдэг. 

Рио Тинто нь хувийн мэдээллийг аль болох мэдээллийн эзнээс нь шууд цуглуулж байна. 

Рио Тинто нь хувийн мэдээллийг худалдан борлуулдаггүй, худалдахыг санал болгодоггүй. 

Дээр дурдсан (өөрөөр хэлбэл Хувьцаа эзэмшигчийн хувийн мэдээлэлтэй холбоотой) хуулиар шаардсан, эсвэл хууль шүүхийн үйл явцын зорилгоор ашигласнаас бусад тохиолдолд хувийн мэдээлэл задруулах ажиллагааг ерөнхийдөө Рио Тинто группийн бусад гишүүнээр (тухайлбал Рио Тинтогийн нийтлэг үйлчилгээний компаниуд) эсвэл Рио Тинтод бизнесээ эрхлэхэд нь тусалдаг  гаднын үйлчилгээ үзүүлэгчдээр хязгаарладаг. Үүнд заримдаа мэдээллийг хил дамнуулан шилжүүлэх ажиллагаа ордог бөгөөд олон улсын шилжүүлгийн тухай дэлгэрэнгүй мэдээллийг Хавсралт 2-т оруулсан байгаа. 

Хувийн мэдээллийг Рио Тинтогийн дотоодын систем, мэдээллийн сангууд, Рио Тинтогийн Бизнесийн шийдэл (одоогоор SAP системийг Австрали улсад байршуулж байна) эсвэл Рио Тинтотой гэрээ байгуулсан гаднын үйлчилгээ үзүүлэгч компаниудын эзэмшиж ажиллуулж буй дэд бүтцүүдэд хадгалж болно. Гаднын үйлчилгээ үзүүлэгчид хувийн мэдээлэл боловсруулах чиглэлээр Рио Тинтод туслах гэрээ байгуулсан тохиолдолд тухайн үйлчилгээ үзүүлэгчдээс хувийн нууцлал, мэдээлэл хамгаалах гэрээт үүргээ биелүүлэх, хувийн мэдээлэл нууцлалын холбогдох хууль тогтоомжийг мөрдөж ажиллахыг Рио Тинто шаарддаг. Рио Тинтогийн дотоодод мэдээлэл задруулах ажиллагааг  Рио Тинтогийн дотоодын Мэдээлэл шилжүүлэх ажиллагааны баримт бичгээр зохицуулдаг. Хувийн мэдээлэл боловсруулахтай холбоотой дэлгэрэнгүй мэдээллийг Рио Тинтогоос хувийн мэдээлэл цуглуулах үедээ гаргадаг Хувийн мэдээллийн нууцлалын мэдэгдлээс үзэж болно. (Дор Хавсралт 3-т байгаа мэдээллээс үзнэ үү). 

[Хувийн нууцлалын тухай хууль 1988 он: Австрали улсын Хувийн нууцлалын зарчим 1.4(a), (b), (c); мөн Калифорний мужийн Хэрэглэгчийн нууцлалын тухай хууль]

Хавсралт 2

ОЛОН УЛСАД МЭДЭЭЛЭЛ ЗАДРУУЛАХ

A. ОЛОН УЛСАД МЭДЭЭЛЭЛ ЗАДРУУЛАХ АЖИЛЛАГААНЫ ТОЙМ

Рио Тинтогийн дэлхийн хэмжээнд явуулж буй үйл ажиллагаа болон эдгээр үйл ажиллагааг явуулж буй улс орнуудын ерөнхий тойм Рио Тинтогийн вэбсайт дээр бий.  

Энд Рио Тинтогийн бүтээгдэхүүний групп бүр хаана үйл ажиллагаа явуулдаг болохыг “улс орон бүрээр” гаргаж тайлбарласан байгаа.

Хэрэв та Рио Тинтогийн тодорхой нэг бүтээгдэхүүний группт ажилладаг, гэрээ байгуулсан эсвэл бизнесийн харилцаатай бол таны хувийн мэдээллийг уг бүтээгдэхүүний группийн жагсаалтад орсон улс орнуудад буй Рио Тинто группийн компаниудын хооронд солилцож болно. 

Мөн таны хувийн мэдээллийг  дараах нэг буюу түүнээс дээш улс оронд Рио Тинто группт үйлчилгээ үзүүлдэг Рио Тинтогийн нийтлэг үйлчилгээний компаниуд, гаднын үйлчилгээ үзүүлэгчид боловсруулж байж болно:

• “Нийтлэг үйлчилгээ” үзүүлдэг Рио Тинтогийн компаниуд дараах улсад бий: Австрали, Канад, Энэтхэг, Монгол, Сингапур, Өмнөд Африк, Их Британи, Америкийн Нэгдсэн Улс.

• Хүний нөөц болон бусад нийтлэг үйлчилгээний чиг үүргийг гүйцэтгэхэд Рио Тинто группт тусалдаг, Рио Тинто группийн нэг буюу түүнээс дээш компанийн нэрийн өмнөөс хувийн мэдээлэл боловсруулдаг  Гадны үйлчилгээ үзүүлэгчид  дараах улс оронд байрладаг: Австрали, Канад, Европын Холбоо, Энэтхэг, Малайз, Филиппин, Польш, Их Британи, Америкийн Нэгдсэн Улс.

Хувьцаа эзэмшигчдийн хувийн мэдээллийг Рио тинто компани болон манай хувьцааны бүртгэл хариуцсан гаднын менежер Австрали, Их Британи улсад боловсруулдаг. 

[Хувийн нууцлалын тухай хууль 1988 он: Австрали улсын Хувийн нууцлалын зарчим 1.4(f) ба (g)]

B. ОЛОН УЛСАД ЗАДРУУЛАХЫН ӨМНӨХ ҮНЭЛГЭЭ

Хувийн мэдээллийг анх цуглуулсан улсаас гадагш шилжүүлэхийн өмнө Группийн холбогдох бизнесээс дараах үнэлгээг хэрэгжүүлнэ (Ёс зүй, дүрэм журмын хэлтсийн туслалцаатайгаар):

• Хувийн мэдээллийг нь шилжүүлэх талаар мэдээллийн эзэнд мэдэгдсэн эсэхийг бид магадална.

• Уг шилжүүлэг нь Рио Тинтогийн компани хоорондын гэрээний (Рио Тинтогийн Мэдээлэл шилжүүлэх ажиллагааны баримт бичиг) цааш шилжүүлэх тухай заалтууд эсвэл бусад заалтуудад хамрагдсан, эсвэл нэмэлт заалтууд шаардлагатай эсэхийг бид шалгаж магадална. 

• Эмзэг мэдээллийг олон улсад шилжүүлэхдээ Ёс зүй, дүрэм журмын хэлтсээр хянуулах шаардлагатай.

• Рио Тинто Группээс гадагш мэдээлэл задруулах тохиолдолд бид тухайн гуравдагч тал хувийн мэдээллийн аюулгүй байдал, нууцлалыг хангаж чадах нөхцөл бүрдүүлнэ. Бид мөн тухайн гуравдагч талаас хувийн мэдээлэл хамгаалах талаар авч буй техникийн болон зохион байгуулалтын арга хэмжээнүүдийг танилцуулахыг шаардаж болно.  Эдгээр арга хэмжээ хангалттай эсэхийг Рио Тинтогийн Кибер аюулгүй байдлын баг (Аюулгүй байдлын эрсдэлийн үнэлгээнийхээ хүрээнд) үнэлнэ. 

Хавсралт 3

МЭДЭЭЛЛИЙН ЭЗНИЙ ЭРХ БА ГОМДОЛ

A. МЭДЭЭЛЛИЙН ЭЗНИЙ ЕРӨНХИЙ ЭРХҮҮД

Хэрэв та Хувийн мэдээлэл нууцлалын 8 дугаар зарчмын дагуу эрхээ эдлэхийг хүсэж байвал Мэдээллийн эзний өргөдлийн маягт бөглөж дараах зүйлсийг оруулна уу. Үүнд:

• Таны талаар Рио Тинтод хадгалагдаж байгаа хувийн мэдээллийг авахыг хүсэх;

• Үнэн зөв биш, бүрэн бус, хуучирсан хувийн мэдээллийг засаж залруулах, арилгахыг хүсэх;

• Таны хувийн мэдээллийг хэрхэн боловсруулж байгаа талаар мэдээллээр хангах;

• Танай улсын хувийн мэдээллийн нууцлалын хуулиудад “мэдээллийн авсаархан байдлын” эрхийг зааж өгсөн эсэхээс хамаарч өөрийн хувийн мэдээллийн хуулбарыг эмх цэгцтэй, нийтлэг хэрэглэгддэг, машинд уншигдах хэлбэрээр авах, бид таны өгсөн хувийн мэдээллийг гуравдагч талд өгөхийг хүсэх;

• Танай улсын хувийн мэдээллийн нууцлалын хуулиудад мэдээлэл боловсруулахыг зогсоох эрхийг зааж өгсөн эсэхээс хамаарч хувийн мэдээллээ боловсруулахыг түр эсвэл бүр зогсоохыг хүсэх (тухайлбал, тухайн хувийн мэдээллийн үнэн зөв байдал эргэлзээтэй,  таны бодлоор боловсруулах нь хууль бус гэж үзсэн, ийнхүү боловсруулах нь танд хохирол, зовлон учруулах магадлалтай  эсвэл шууд маркетингийн зорилготой бол);

• Таны хувийн мэдээллийг шилжүүлэхэд ашиглаж буй механизмуудын талаарх мэдээлэл эсвэл хуулбарыг авахыг хүсэх;

• Таны хувийн мэдээллийг боловсруулахаа зогсоохыг хүсэх (тухайлбал, ийнхүү боловсруулах нь танд хохирол, зовлон учруулах магадлалтай эсвэл шууд маркетингийн зорилготой бол); 

• Таны хувийн мэдээллийг Рио Тинтод боловсруулахтай холбоотой  өмнө нь өгсөн зөвшөөрлөө татаж авах.

Таны хүсэлтийг танай бүс нутгийн Хувийн мэдээллийн нууцлал хариуцсан ахлах мэргэжилтэнд дамжуулах бөгөөд тэрээр танд Мэдээллийн эзний хүсэлтийн маягт өгч болно. Рио Тинто таныг хүсэлт гаргасны дараа эсвэл тухайн хүсэлтийг боловсруулахад шаардлагатай мэдээллийг хүлээж авсан цагаас хойш  тодорхой үндэслэл бүхий хугацааны дотор (эсвэл дотоодын хуулиар шаардсан хугацаанд) хариу өгөхийг зорих болно.

Хувийн мэдээлэл нууцлалын 8 дугаар зарчимд тайлбарласанчлан дээр дурдсан эрхүүдийг эдлэх хууль эрх зүйн онцгой нөхцөлүүд байдаг бөгөөд Рио Тинтогийн зүгээс хүсэлт бүрийг нэг бүрчлэн хянаж мэдээллийн эзний оршин сууж буй улсын хууль тогтоомжийн дагуу шийдвэрлэнэ.

B. АСУУЛТ БА ГОМДОЛ

Хэрэв та таны хувийн мэдээллийг боловсруулж буй талаар асуулт асуух, гомдол гаргахыг хүсвэл эсвэл мэдээллийн эзний эрхээ эдлэх таны хүсэлтэд өгч буй Рио Тинтогийн хариуны талаар гомдол гаргахыг хүсвэл, AskE&C@riotinto.com хаягаар мэйл илгээх буюу Ёс зүй, дүрэм журмын хэлтэст хандаж Хувийн мэдээлэл нууцлалын хэрэг үүсгэж болно.

Хувийн мэдээллийн нууцлал хариуцсан ахлах мэргэжилтэн нь түүний өөрийнх нь боловсруулсан хувийн мэдээлэлтэй холбоотой гомдол биш тохиолдолд уг гомдлыг шалгаж хариу өгөх үүрэгтэй. Харин өөртэй нь холбоотой тохиолдолд холбогдох гомдлыг шалгаж хариу өгөх өөр хүн томилно. 

Хэрэв та таны гомдлыг хэрхэн шийдвэрлэсэнд сэтгэл ханамжтай бус байвал өөрийн улсад байгаа хувийн мэдээллийн нууцлал зохицуулагч эсвэл мэдээлэл хамгаалах эрх бүхий байгууллагын аль байгаад нь гомдол гаргаж болно. Таны гомдлын хариуд энэ талаар тайлбарлаж өгөх бөгөөд өөрийн бүс нутгийн хувийн мэдээллийн нууцлал зохицуулагч эсвэл мэдээлэл хамгаалах эрх бүхий байгууллагад хэрхэн гомдол гаргах тухай дэлгэрэнгүй мэдээллийг Хувийн мэдээллийн нууцлал хариуцсан ахлах мэргэжилтнээс эсхүл  AskE&C@riotinto.com хаягаар авч болно.  

[Хувийн нууцлалын тухай хууль 1988 он: Австрали улсын Хувийн нууцлалын зарчим 1.4(d) ба (e)]

Канад улсын хувьд Кюбек мужийн хувийн мэдээлэл нууцлалын тухай хуулийн дагуу ‘хувийн мэдээлэл хамгаалалт хариуцсан ажилтан’-ы тодорхой чиг үүргийг Хувийн мэдээллийн нууцлал хариуцсан ахлах мэргэжилтэнд хариуцуулсан байдаг (тэрээр энэхүү чиг үүргийг гүйцэтгэхдээ Ёс зүй, дүрэм журмын хэлтсийн мэдээллийн нууцлалын багаас дэмжлэг авна). Хэрэв та Кюбект байгаа бол AskE&C@riotinto.com хаягаар мэйл бичиж тэдэнтэй холбогдож болно.

[Хувийн хэвшилд хүний хувийн мэдээллийн хамгаалалтыг хүндэтгэх тухай  Кюбек мужийн хууль, 3.1 дүгээр хэсэг]

Хоёрдугаар хэсэг

Онлайн хувийн мэдээллийн нууцлал ба күүки

Хувийн нууцын бодлогын энэ хэсэгт Рио Тинто компани энэхүү вэбсайтаар дамжуулан цуглуулсан буюу олж авсан хувийн нууцын болон бусад мэдээллийг хэрхэн боловсруулдаг талаар дүрсэлнэ.

Энэхүү вэбсайтаар дамжуулан цуглуулсан эсхүл олж авсан хувийн мэдээлэлд Англи улсад бүртгэлтэй Рио Тинто хувьцаат компани хяналт тавьдаг.

Онлайн хувийн мэдээллийн нууцлал

БИД ЭНЭХҮҮ ВЭБСАЙТААР ДАМЖУУЛЖ ГАРГАСАН, ОЛЖ АВСАН ХУВИЙН МЭДЭЭЛЛИЙГ ХЭРХЭН БОЛОВСРУУЛДАГ ВЭ

Ерөнхийдөө Рио Тинто нь Күүки ашиглах онцгой тохиолдлоос (дор тайлбарласан) бусад тохиолдолд энэхүү вэбсайтаар дамжуулан хувийн мэдээлэл цуглуулахыг эрмэлздэггүй. 

Гэхдээ хэрвээ та энэхүү вэбсайтаар дамжуулан Рио Тинтод хувийн мэдээллээ өгөхөөр шийдсэн тохиолдолд (тухайлбал, бидэнд и-мэйл илгээх замаар),бид таны санал хүсэлтэд хариулах, шаардлагатай бол тантай эсхүл танай компанитай холбоотой бизнесийн харилцаагаа удирдах зорилгоор таны хувийн мэдээллийг боловсруулна. Бид хууль ёсны үүргээ биелүүлэхэд шаардлагатай тохиолдолд буюу хуулиар эрх олгосон, танд мэдэгдсэнээс бусад зорилгоор таны хувийн мэдээллийг боловсруулахгүй. 

Энэхүү Хувийн мэдээлэл нууцлалын бодлогын 1 дүгээр хэсэг Рио Тинтогийн Хувийн мэдээлэл нууцлалын стандартыг агуулдаг бөгөөд үүнд хувь хүний мэдээлэл боловсруулах Рио Тинтогийн арга барилыг тоймлон оруулсан байна. Хувийн мэдээлэл нууцлалын стандартын хавсралтуудад бусад нэмэлт мэдээлэл, түүний дотор мэдээллийг ил болгож задруулах, хил дамнуулан шилжүүлэх, мэдээллийн эзний  эдлэх эрх, Рио Тинто таны таны хувийн мэдээллийг боловсруулахтай холбоотой гомдол хэрхэн гаргах, нэмэлт мэдээлэл хэрхэн олж авах талаар орсон байна.

Күүки нууцлалын бодлого

БИД КҮҮКИ ХЭРХЭН АШИГЛАДАГ ТУХАЙ МЭДЭЭЛЭЛ

Манай вэбсайт таныг бусад хэрэглэгчдээс ялгаж таних зорилгоор таны зөвшөөрөлтэйгөөр күүки ашигладаг.  Энэ нь таныг манай вэбсайтаар зочилж хэрэгцээт мэдээллээ төвөггүй авахад туслахын зэрэгцээ вэбсайтаа сайжруулах боломжийг бидэнд олгодог. 

Күүки гэдэг бол үсэг, тоо агуулсан жижиг файл бөгөөд бид түүнийг таны зөвшөөрөлтэйгөөр таны браузерт эсвэл хатуу дискт хадгалдаг. Күүки нь таны компьютерын хард дискт шилжүүлэх мэдээллийг агуулдаг. 

Хувийн мэдээлэл нууцлалын зарим хуульд күүкийг хувийн мэдээлэл болгон ашиглах замаар IP хаяг болон бусад мэдээлэл цуглуулах явдлыг зохицуулдгийн нэг адилаар Рио Тинтогийн хувийн мэдээлэл боловсруулах ажиллагаа ч түүний Хувийн мэдээлэл нууцлалын стандартад (Хувийн мэдээлэл нууцлалын бодлогын 1 дүгээр хэсгээс үзнэ үү) болон холбогдох хууль тогтоомжид нийцсэн байх хэрэгтэй байдаг. 

Бид дараах күүкиг ашигладаг:

Эдгээр нь манай вэбсайтад зочилсон хүмүүсийг таних, тоолох, тэд вэбсайт ашиглахдаа гол төлөв хаагуур эргэлдэж байгааг харах боломжийг бидэнд олгодог. Энэ нь хэрэглэгчид хайсан мэдээлэл хялбар олж авах боломж бүрдүүлэх зэргээр вэбсайтынхаа ажиллагааг сайжруулахад бидэнд тусалдаг.

Та бүхэн өөрийн браузерын зохих тохируулгыг идэвхжүүлэх замаар күүкиг хааж болох бөгөөд ингэснээр зарим эсхүл бүх күүкийг нэвтрүүлэхээс татгалзах боломж олгодог. Харин та өөрийн браузер дээр бүх күүкиг (түүний дотор зарим онцгой күүкиг) хаах тохируулга хийсэн бол манай вэбсайтын бүх эсвэл зарим хэсэгт нэвтрэх боломжгүй болж болно.

Privacy Policy

Rio Tinto is a leading international mining group headquartered in the UK, combining Rio Tinto plc, a London and New York Stock Exchange listed company, and Rio Tinto Limited, which is listed on the Australian Securities Exchange. The two companies are joined in a dual listed companies structure as a single economic entity, called the Rio Tinto Group.

This Privacy Policy applies to the processing of personal data by all Rio Tinto staff and all the companies in the Rio Tinto Group (which may be described as "Rio Tinto", "Group businesses", "we" or "us" in this Privacy Policy also). 

Structure

This Privacy Policy is in two parts. It contains:

A Glossary has been included at the end of the Standard which defines key terms (in bold).

Questions and contact information

If you have any questions or complaints about your privacy or wish to exercise your rights as a data subject, please refer to Data Privacy Principle 8 in the Data Privacy Standard (below) and:

This Privacy Policy may be updated from time to time. This Privacy Policy was last updated in June 2022.

PART 1

Data privacy standard

Introduction

WHAT DOES THIS STANDARD DO?

The Data Privacy Standard sets out the minimum rules (Data Privacy Principles) that apply whenever and wherever Rio Tinto collects and processes personal data in any format, including electronic and paper. The Data Privacy Principles reflect the benchmark for processing personal data across the Rio Tinto Group. Note that:

• personal data means all information relating to any identifiable individual.

O For example, personal data includes professional contact details, photographs, information about an individual’s activities or their characteristics. However, personal data does not include information that cannot be associated to an identifiable individual either directly or indirectly (taking into account the means reasonably likely to be used to make such an association, as well as the costs and the amount of time required and the available technologies).

• process and processing covers everything we might do with personal data.

The Glossary at the end of the Standard defines these and other terms used in this Standard (in bold).

WHO DOES THIS STANDARD APPLY TO?

As Rio Tinto’s organisation-wide privacy policy, this Standard applies to everyone who works for Rio Tinto, and to each Rio Tinto Group business.

WHY IS COMPLIANCE WITH THIS STANDARD IMPORTANT?

The following explains this. At Rio Tinto, the lawful and correct handling of personal data is critical. At its simplest, people need to be able to trust us to respect their privacy and how we handle their personal data when working with us or doing business with us.

In addition, we need to comply with privacy and data protection laws around the world. Applying the Data Privacy Principles in this Data Privacy Standard helps us to do this. Failure to comply with these principles could lead to financial and reputational damage to Rio Tinto, as well as resulting in a loss of trust from the individuals we employ, engage or do business with.

WHAT DO WE NEED TO COMPLY WITH?

The Data Privacy Principles create a global standard which helps Rio Tinto ensure that we act consistently with our obligations under the many different local data privacy laws around the world.

At Rio Tinto, it is important that we comply with the Data Privacy Principles below and with any additional requirements under local data privacy laws that apply to the processing of personal data. If there is a conflict between the requirements under the Data Privacy Principles and local data privacy laws, we comply with the most stringent requirement.

DATA PRIVACY CONTROL

Any proposed personal data processing that can potentially lead to data subject complaints, regulatory investigations, enforcement actions or damage to Rio Tinto’s reputation must be subject to a Privacy Impact Assessment (PIA) from Ethics and Compliance. The Chief Ethics and Compliance Officer may suspend or block proposed personal data processing activities that, as assessed by Ethics and Compliance, represent a high risk of producing complaints, regulatory investigations, enforcement actions or which could damage Rio Tinto’s reputation.

Data privacy principles

The following Data Privacy Principles reflect the minimum rules that apply to the processing of personal data at Rio Tinto.

DATA PRIVACY PRINCIPLE 1

OUR PROCESSING OF PERSONAL DATA IS LAWFUL, FAIR AND TRANSPARENT 

• Lawful basis for processing: We will only process personal data:

O for the legitimate business purpose we collected it for, as explained in a privacy statement;

O for other purposes that the data subject (the person that the data relates to) consents to;

O where necessary for the performance of a contract with the data subject;

O if the processing is required in order to comply with our legal obligations; or

O if the processing is expressly permitted under local data privacy laws and the relevant personal data originates in that jurisdiction.

• Notification of processing: We will notify data subjects that we're collecting their personal data, by providing a privacy statement at or before the time we collect personal data from them.

• Collections by or from third parties: Where personal data has been collected by or from third parties, we will ensure that the personal data is lawfully disclosed to us. This includes confirming that data subjects were notified and that a lawful basis exists for the disclosure. We will only process the personal data as permitted by applicable data privacy laws.

Appendix 1 provides an overview of the purposes for which Rio Tinto undertakes personal data processing.

DATA PRIVACY PRINCIPLE 2

WE LIMIT OUR PERSONAL DATA PROCESSING

• Purpose limitation: Our personal data processing must be for specific and limited purposes, as notified to the data subject.

• If we process personal data for a different purpose than that notified, we need to inform the relevant data subject(s) of that new purpose (in accordance with Data Privacy Principle 1), and confirm that:

O the data subject consents to the processing of his or her personal data for this new purpose;

O the processing is required to comply with an applicable law;

O the new purposes for processing the personal data are compatible with the original processing purposes; or

O the processing otherwise is lawful under applicable data privacy laws.

Processing for a new purpose will only be found to be compatible with the original purpose where applicable law so provides, or we have assessed and concluded that it is taking into account such factors as the relationship between the initial purposes and the new purpose; the context in which the personal data was collected and expectations of data subjects; the nature of the personal data; the consequences of the new processing for data subjects; and whether there are privacy safeguards in place.

• Data minimisation: We must process only that amount of personal data that we need for the relevant processing purpose, and only to the extent necessary for that purpose. Our personal data processing must be adequate, relevant and not excessive.

DATA PRIVACY PRINCIPLE 3

WE MAINTAIN DATA QUALITY

When we process personal data, we take reasonable steps to ensure that:

• the personal data is accurate and where necessary, is kept up to date; and

• if personal data is needed to make decisions about a data subject but is inaccurate, such personal data is erased, rectified or supplemented (having regard to the processing purpose).

DATA PRIVACY PRINCIPLE 4

WE ARE CAREFUL WITH SENSITIVE INFORMATION

Sensitive information is a type of personal data that is of a particularly private nature and includes (among other things) personal data about a person's race, ethnic origins, trade union membership and health and biometric information, as well as criminal record information. We must ensure that sensitive information is processed only when necessary and only if:

• the data subject consents; or

• if processing is:

O required in order to comply with our legal obligations,

O is expressly permitted under local data privacy laws or local labour laws and the relevant personal data originates in that jurisdiction; or

O necessary to prevent or lessen a serious and imminent threat to the life, health or safety of any person.

DATA PRIVACY PRINCIPLE 5

WE PROTECT OUR DISCLOSURES OF PERSONAL DATA

We protect disclosures of personal data (including but not limited to when it is transferred across national borders) as follows: 

• Disclosures outside the Rio Tinto Group: If we need to disclose personal data outside the Rio Tinto Group (for example, to an external service provider or to a third party who is authorised to receive the personal data), we must ensure that:

O the disclosure is protected by contractual data privacy clauses approved by Ethics & Compliance or Rio Tinto Legal. This must include an assessment of whether any transfers across national borders comply with applicable data privacy laws;

O the relevant data subjects have consented to the disclosure; or

O the disclosure is otherwise required by law or is or is expressly permitted under local data privacy laws and the relevant personal data originates in that jurisdiction.

• Disclosures within the Rio Tinto Group: Disclosures within the Rio Tinto Group are protected by the Rio Tinto Data Transfer Deed if it is necessary to share personal data outside of the jurisdiction where the personal data was first collected. Company secretarial and each Group business will ensure that any new Group companies sign up to the Rio Tinto Data Transfer Deed.

An overview of international disclosures/transfers (both within the Rio Tinto Group and to external service providers) is at Appendix 2a.

Also, Appendix 2b outlines requirements for assessments prior to international disclosures.

DATA PRIVACY PRINCIPLE 6

WE MUST SECURE PERSONAL DATA

• General data security obligations: Personal data must be kept secure and protected against accidental, unauthorised or unlawful processing, including against loss and unauthorised access, destruction, misuse, modification or disclosure. This means ensuring that Rio Tinto has appropriate technical and organisational measures in place. Data security obligations apply whether personal data is stored in hard copy form (eg paper) or in electronic form (eg in databases). The key rules are:

O access to personal data about other people should be on a "need to know" basis only; and

O each Group business must implement the Rio Tinto Group Standard on Acceptable Use of Information and Electronic Resources and the Group Procedure on Information and Cyber Security (administered by Cyber Security in IS&T) to ensure that appropriate physical, technical and organisational security measures are in place at all stages of the personal data 'life cycle'.

• Internal reporting of Data Privacy Incidents: Each Data Privacy Incident must be immediately reported to Ethics and Compliance. Where required by applicable data privacy laws, Ethics & Compliance will ensure that a data breach is notified to the competent authority(ies) and affected data subjects.

DATA PRIVACY PRINCIPLE 7

WE LIMIT RETENTION OF PERSONAL DATA

Personal data must be kept only for as long as necessary for the lawful purpose for which it is processed (as notified to the relevant individuals), or for the time required or permitted under local laws (whichever is the shorter).

Personal data will be retained in accordance with the Records Retention and Disposition Schedule (made under the Rio Tinto Records Management Standard and as updated from time to time), which sets out periods for which different types of records containing personal data are needed. After such time, records containing personal data must be securely destroyed (in the case of physical records) or permanently deleted (in the case of electronic records) in accordance with Rio Tinto’s Records Retention and Disposition Schedule or applicable local laws (whichever imposes the strictest obligations). To the extent possible, all archived copies and back- up copies should be destroyed at the same time and in the same manner as any original records that contain the personal data.

DATA PRIVACY PRINCIPLE 8

WE RESPECT DATA SUBJECT RIGHTS

Data subjects have the right to:

• seek access to personal data that Rio Tinto holds about them;

• seek correction of inaccurate, incomplete or out of date personal data;

• seek erasure of their personal data;

• be provided with information about how their personal data is processed;

• ask for processing of their personal data to cease (particularly if the processing is likely to cause damage or distress, or if the processing is for direct marketing purposes);

• be notified if the Group business has made a decision about the data subject that is based on automated data processing alone (so that the data subject can ask for a review of the decision, if necessary);

• complain about the processing of their personal data; or

• withdraw previously given consent regarding Rio Tinto's processing of their personal data

There are legal exceptions to the exercise of these rights, and Rio Tinto will review each request on a case by case basis, by reference to the laws of the country where the data subject is located (or if the country where the data subject is located has no data privacy laws, or no data privacy laws containing the relevant right, by reference to the data privacy laws in Australia). Requests from data subjects to access their rights should be referred to the Data Privacy Lead for the relevant region who will advise on how the request needs to be responded to.

Appendix 3 contains more information about how to exercise data privacy rights.

DATA PRIVACY PRINCIPLE 9

WE APPLY PRIVACY BY DESIGN

We must ensure that data privacy compliance is integrated into our personal data processing activities.

Threshold Privacy Assessment:

Ethics & Compliance will undertake a Threshold Privacy Assessment if it is proposed to:

• introduce a new or expanded personal data processing technology or system;

• outsource personal data processing functions; or

• collect or generate new personal data categories, or to process existing personal data for a new purpose.

The Threshold Privacy Assessment will consider:

• the nature of the personal data;

• the proposed processing purpose;

• proposed disclosures of the personal data, including any proposed trans-border data flows.

This information will be collected as part of the Security Risk Assessment (SRA) process undertaken by Cyber Security, or separately by Ethics & Compliance.

Privacy Impact Assessment:

If the Threshold Privacy Assessment indicates that the proposed processing is likely to result in a high risk to the privacy rights of data subjects, Ethics & Compliance will conduct a Privacy Impact Assessment. The Privacy Impact Assessment will identify steps that must be taken to mitigate the risk and to ensure that Rio Tinto complies with its obligations under this Standard and applicable data privacy laws.

DATA PRIVACY PRINCIPLE 10

WE DON'T SPAM

We must limit our use of personal data to send marketing communications. All marketing communications (however distributed) must:

• clearly identify the relevant Group business or Group company as the sender, and how it can be contacted;

• be sent with the consent of the recipient/data subject, unless Ethics & Compliance has advised that consent is not required in the relevant country where the proposed recipients are located; and

• contain an unsubscribe or opt out facility. Opt outs must be acted upon and records amended accordingly.

Glossary

Consent of a data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes.

Criminal record information means personal data relating to criminal convictions and offences.

Data breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.

Data Privacy Incident means a data breach or a known or suspected breach of any of the other Data Privacy Principles in this Data Privacy Standard.

Data Privacy Lead means a member of Ethics & Compliance who is the first point of contact for data privacy questions from a region, as listed on the data privacy page on Element (the Rio Tinto intranet). If you are outside Rio Tinto and cannot access Element, email AskE&C@riotinto.com if you wish to contact the Data Privacy Lead for your region.

Data Privacy Principles: the principles in the Data Privacy Standard that Rio Tinto Group companies and staff must apply when processing personal data.

Data subject: the individual to whom personal data relates.

Disclosure means the act by which personal data is made accessible to others.

Group business: includes all companies, product groups, business units, global functions and corporate offices in the Rio Tinto Group.

Legitimate business purpose: a purpose that is directed at Rio Tinto achieving its business objectives and that complies with all relevant laws and regulations, and with . Rio Tinto’s policies and standards.

Marketing communications: means communications and publications that have a purpose of marketing or promoting Rio Tinto or its products, but does not include communications from Rio Tinto to its employees that relate to the administration of the employment relationship.

Personal data: all information relating to any identifiable individual.

Privacy Impact Assessment means an assessment of the impact of proposed processing operations on the rights and freedoms of data subjects, and the protection of personal data.

Privacy Statement: a notice that needs to be provided to data subjects when we collect their personal data.

Processing: all actions taken in relation to personal data including collecting, using, disclosing, recording, organising, storing, transferring, amending, deleting, destroying, retrieving, accessing, hosting or otherwise handling.

Rio Tinto Data Transfer Deed: the deed executed between Rio Tinto Limited and Rio Tinto plc on 1 July 2009 (as amended from time to time) and to which Rio Tinto Group companies are bound under executed Deeds of Accession.

Rio Tinto Group: all the businesses which are wholly or majority owned or managed by Rio Tinto plc or Rio Tinto Limited (whether directly or indirectly).

Sensitive information: personal data (including information or an opinion) about an individual’s racial or ethnic origin, political opinions and memberships, religious or philosophical beliefs or associations, trade union membership, criminal record information, genetic data, biometric data (processed for the purpose of uniquely identifying a natural person), health or the health services they have received or details of sexual life.

Appendix 1

OVERVIEW OF PERSONAL DATA COLLECTIONS AND PROCESSING

Rio Tinto collects and processes the following categories of personal data for a range of business purposes, including:

• Managing people data: Personal data about employees, prospective employees and contractors (HR Personal Data) is collected for human resources (HR) purposes, such as administering and managing employment contacts and contracts of engagement, for other legitimate business reasons relating to employment and to meet legal, regulatory and compliance obligations. The personal data that is processed  includes identity and contact information, data about employment history, training and qualifications, performance information and information needed to pay salaries and other benefits and to manage the employment or engagement process or for the purposes of recruitment;

• Managing business relationships with individuals within customers, suppliers and other external parties such as public sector agencies and joint venture partners. Personal data about individuals within external organisations is collected for business purposes such as supplying goods to corporate customers or acquiring services from corporate suppliers, entering into and fulfilling contracts, for communications and external relations purposes. This is often limited to 'business contact' information about contact people within companies and agencies, and information about interactions with Rio Tinto;

• Managing shareholder relationships: Personal data from shareholders (Shareholder Personal Data) is collected for purposes related to their shareholding in Rio Tinto, including for the purposes of issuing or transacting in shares, paying dividends, regulatory reporting and shareholder communications. Shareholder Personal Data may include a shareholder's name, address, shareholding details, tax file number, and bank account details. Shareholder Personal Data is collected by Rio Tinto and our behalf by the external manager of our share register. From time to time this data may be provided to other external service providers for the purposes of paying distributions or mailing shareholder communications, or to the extent permitted by legislation to authorised securities brokers, persons inspecting the register, bidders for Rio Tinto's securities, or certain regulatory bodies including the Australian Taxation Office;

• Safety, security and legal obligations: Personal data is collected from visitors to our sites (staff and non-staff) for safety and security purposes (HSES Personal Data). This can include information to verify identity and collection of images by closed circuit television (CCTV). Rio Tinto also collects personal data in the course of complying with its legal obligations (for example, to meet obligations under anti-money laundering legislation and whistleblowing legislation). In addition, Rio Tinto collects aggregated data from the open-source internet that might contain user names and other personal data published by users of public pages, to alert or signal potential security risks and threats; and

• Managing community relationships: Personal data is collected from members of communities where Rio Tinto conducts mining and other operations, for the purposes of engaging and interacting with those communities (Communities Personal Data). This will include names, contact details and information about the interactions of individual community members with Rio Tinto, where needed to respond to correspondence and to manage community relationships.

Rio Tinto collects personal data directly from data subjects wherever possible.

Rio Tinto does not sell and does not propose to sell personal data. 

Unless described above (ie in relation to Shareholder Personal Data) or unless required by law or for the purposes of legal  proceedings, disclosures of personal data are generally limited to other members of the Rio Tinto Group (eg Rio Tinto shared services companies) or to external service providers that help Rio Tinto to conduct its business.  Sometimes this involves transfers across national borders - more information about international disclosures is contained in Appendix 2. 

Personal data may be stored in Rio Tinto's local systems or databases, in the Rio Tinto Business Solution (currently a SAP system that is hosted in Australia), or on infrastructure owned and operated by external service providers engaged by Rio Tinto. Where external service providers are engaged to assist Rio Tinto to process personal data, Rio Tinto requires such service providers to comply with contractual privacy and data protection obligations and applicable data privacy laws. Disclosures within the Rio Tinto Group are governed by Rio Tinto’s internal Data Transfer Deed.  More information about personal data processing can also be located in Privacy Statements that Rio Tinto makes available when personal data is collected (see references in Appendix 3 below). 

[Privacy Act 1988: Australian Privacy Principle 1.4(a) and (b) and (c); also California Consumer Privacy Act]

Appendix 2

INTERNATIONAL DISCLOSURES

A. OVERVIEW OF INTERNATIONAL DISCLOSURES

An overview of Rio Tinto's global operations and the countries where it operates is on the Rio Tinto website.

This explains where each of the Rio Tinto product groups operates, on a "country by country" basis.

If you are employed or engaged by or have business dealings with a particular Rio Tinto product group, your personal data may be exchanged between Rio Tinto Group companies that are in the countries listed for that product group.

Also, your personal data may be processed by Rio Tinto "shared services companies and external service providers that provide services to the Rio Tinto Group in one or more of the following countries:

• Rio Tinto companies performing “"shared services" are located in the following countries: Australia, Canada, India, Mongolia, Singapore, South Africa, the United Kingdom and the United States.

• External service providers that assist the Rio Tinto Group to perform HR and other shared service functions, and which process personal data on behalf of one or more companies in the Rio Tinto Group are located in: Australia, Canada, the European Union, India, Malaysia, the Philippines, Poland, the United Kingdom and the United States.

Shareholder personal data is processed in Australia and the United Kingdom by Rio Tinto and by the external manager of our share register.

[Privacy Act 1988: Australian Privacy Principle 1.4(f) and (g)]

B. ASSESSMENT PRIOR TO INTERNATIONAL DISCLOSURES

Prior to transferring personal data outside the country where it was collected, the relevant Group business will carry out the following assessment (with assistance from Ethics & Compliance):

• We will verify whether the data subjects were informed that their personal data will be transferred.

• We will verify whether the transfer is covered by onward transfer provisions or other provisions in Rio Tinto’s inter-company agreement (the Rio Tinto Data Transfer Deed), or whether additional clauses are required.

• International transfers of sensitive information require review from Ethics & Compliance.

• For disclosures outside the Rio Tinto Group, we will ensure that the third party can ensure the security and privacy of the personal data. We may ask the third party to provide a description of the technical and organisational measures in place to protect the personal data. Rio Tinto’s Cyber Security team will assess whether these measures are sufficient (eg as part of its Security Risk Assessment).

Appendix 3

DATA SUBJECT RIGHTS AND COMPLAINTS

A. GENERAL DATA SUBJECT RIGHTS

Please complete a Data subject request form if you wish to exercise your rights under Data Privacy Principle 8, including to:

• seek access to personal data that Rio Tinto holds about you;

• seek correction or erasure of inaccurate, incomplete or out of date personal data;

• be provided with information about how your personal data is processed;

• subject to whether the right of ‘data portability’ is a right under the data privacy laws of your country, receive a copy of your personal data in a structured, commonly used and machine-readable format and request that we transmit personal data you provide to us to a third party;

• subject to whether the right to request cessation of processing is a right under the data privacy laws of your country, request processing of your personal data to cease on a temporary or permanent basis (e.g., if the accuracy of the personal data is contested or the processing is unlawful in your opinion, or if the processing is likely to cause damage or distress, or if the processing is for direct marketing purposes);

• seek information about or a copy of the mechanisms we use to transfer your personal data

• request processing of your personal data to cease (eg if the processing is likely to cause; damage or distress, or if the processing is for direct marketing purposes); or

• withdraw consent you have previously provided in relation to Rio Tinto's processing of your personal data.

Your request will be forwarded to the Data Privacy Lead for your region, who can also provide you with the Data subject request form. Rio Tinto will aim to respond within a reasonable period after the request is made or from when information required to process the request is received (or otherwise as required under local laws).

As explained in Data Privacy Principle 8, there are legal exceptions to the exercise of the rights listed above, and Rio Tinto will review each request on a case by case basis, by reference to the laws of the country where the data subject is located.

B. QUESTIONS OR COMPLAINTS

If you have any questions or wish to make a complaint about the processing of your personal data or a complaint about Rio Tinto’s response to your request to exercise your data subject rights, you can do so by emailing AskE&C@riotinto.com or by reporting this as a Data Privacy Incident to Ethics & Compliance.

Data Privacy Leads are responsible for investigating and responding to complaints, unless the complaint is about the Data Privacy Lead's processing of personal data. In such circumstances, another person will be appointed to investigate and respond to the relevant complaint. 

If you are not satisfied with how your complaint has been addressed, complaints may be made to, where available, the relevant data privacy regulator or data protection authority in your country. This will be explained in the response to your complaint or you can find out more information about how to complain to the data privacy regulator or data protection authority in your region from your Data Privacy Lead or by contacting AskE&C@riotinto.com

[Privacy Act 1988: Australian Privacy Principle 1.4(d) and (e)]

Certain functions of the ‘person in charge of the protection of personal information’ under Quebec data privacy law are delegated to the Data Privacy Lead for Canada (who is supported by the Ethics & Compliance data privacy team in undertaking such functions). If you are in Quebec, you can contact them by emailing AskE&C@riotinto.com.

[Act Respecting the Protection of Personal Information in the Private Sector, Quebec, section 3.1]

PART 2

Online privacy & cookies

This section of the Privacy Policy describes how Rio Tinto processes personal data and other data that is collected or obtained through this website.

Rio Tinto plc, a company registered in England, controls the personal data that is collected or obtained through this website.

Online privacy statement

HOW WE PROCESS PERSONAL DATA PROVIDED OR OBTAINED THROUGH THIS WEBSITE

With the exception of the use of cookies (explained below), Rio Tinto generally does not seek to collect personal data through this website.  

However if you choose to provide personal data to Rio Tinto through this website, we will process that personal data to answer your query and if relevant, to manage our business relationship with you or your company. We won't process that personal data for other purposes except where required to meet our legal obligations or otherwise as authorised by law and notified to you.

Part 1 of this Privacy Policy contains the Rio Tinto Data Privacy Standard, which provides an overview of Rio Tinto’s approach to personal data processing. There is additional information in the appendices to the Data Privacy Standard, including information about disclosures, trans-border data transfers, the exercise of data subject rights and how to make complaints or obtain further information relating to Rio Tinto’s processing of your personal data.

Cookie privacy

INFORMATION ABOUT OUR USE OF COOKIES

With your consent, our website uses cookies to distinguish you from other users of our website. This helps us to provide you with a good experience when you browse our website and also allows us to improve our site.

A cookie is a small file of letters and numbers that we store on your browser or the hard drive of your computer if you agree. Cookies contain information that is transferred to your computer's hard drive.

As some data privacy laws regulate IP addresses and other information collected through the use of cookies as personal data, Rio Tinto’s processing of such personal data needs to comply with its Data Privacy Standard (see Part 1 of this Privacy Policy), and also applicable data privacy laws.

We use the following cookies:

They allow us to recognise and count the number of visitors and to see how visitors move around our website when they are using it. This helps us to improve the way our website works, for example, by ensuring that users are finding what they are looking for easily.

You can block cookies by activating the setting on your browser that allows you to refuse the setting of all or some cookies. However, if you use your browser settings to block all cookies (including essential cookies) you may not be able to access all or parts of our site.