Add to collection(s) Add to saved
  1. Biznes
  2. Zarządzanie
  3. Prawo handlowe

Wytyczne koncernu. Ochrona danych klientów i - Mercedes-Benz

advertisement 
Wytyczne koncernu.
Ochrona danych klientów i partnerów.
02
Przedmowa
Szanowni Państwo!
Drodzy Pracownicy!
Ze względu na daleko idącą elektroniczną realizację procesów sprzedaży, Internet i coraz
więcej przepisów ustawowych ochrona danych przy obchodzeniu się z informacjami na temat
naszych interesantów i klientów stawia coraz wyższe wymagania, którym pragniemy sprostać.
Jako firma działająca na arenie międzynarodowej Daimler AG i jej spółki-córki muszą sprostać
bardzo różnym na całym świecie wymaganiom prawnym w odniesieniu do gromadzenia
i przetwarzania danych osobowych. Chcielibyśmy zaoferować naszym klientom i partnerom
biznesowym z całego świata wysoki, jednolity standard postępowania z ich danymi osobowych.
Należyte obchodzenie się z tymi danymi jest zgodne z oczekiwaniami naszych klientów
i partnerów biznesowych i stanowi podstawę opartej na zaufaniu relacji biznesowej.
Niniejsze Wytyczne koncernu ustanawiają międzynarodowy standard postępowania z danymi
osobowymi naszych interesantów, klientów i partnerów biznesowych w spółkach koncernu,
w oparciu o wymagania ustawowe i ogólnie przyjęte zasady ochrony danych osobowych.
W przypadku transgranicznej wymiany danych osobowych między poszczególnymi spółkami
należącymi do koncernu muszą być spełnione szczególne wymogi prawne. Transgraniczne
przekazywanie danych osobowych jest często dozwolone tylko wtedy, gdy odbiorca danych
zagwarantuje odpowiedni poziom ochrony danych. Ten odpowiedni poziom ochrony danych
określają Wytyczne koncernu pt. „Ochrona danych klientów i partnerów” oraz „Ochrona danych
osobowych”.
Realizacja zobowiązań wynikających z Wytycznych dotyczących ochrony danych i zapewnienie
zgodności z przepisami krajowymi w zakresie ochrony danych leży w gestii kierownictwa
i pracowników przedsiębiorstwa.
Obowiązkiem Pełnomocnika koncernu ds. ochrony danych jest zadbanie o to, aby Wytyczne
dotyczące ochrony danych i przepisy ustawowe były realizowane. W razie pytań dotyczących
ochrony danych moi pracownicy i ja jesteśmy do Państwa dyspozycji.
dr Joachim Rieß
Pełnomocnik koncernu ds. ochrony danych
03
Spis treści
I. Cel Wytycznych dotyczących ochrony danych
4
II. Definicje
4
III. Zakres obowiązywania i zmiana Wytycznych
6
IV. Obowiązywanie prawa państwowego
6
V. Zasady przetwarzania danych osobowych
1. Rzetelność i zgodność z prawem
2. Cele
3. Przejrzystość
4. Ograniczenie do niezbędnego minimum danych osobowych
5. Poprawność merytoryczna, aktualność danych
6. Szczególnie wrażliwe dane
7. Zasada ograniczonego dostępu („need-to–know”)
8. Zautomatyzowane decyzje indywidualne
7
7
7
7
7
7
7
8
8
VI. Dopuszczalność przetwarzania danych
1. Przetwarzanie danych do celów umowy
2. Przetwarzanie danych do celów reklamowych
3. Wyrażenie zgody na przetwarzanie danych
4. Przetwarzanie danych wynikające z wymogów ustawowych
5. Przetwarzanie danych ze względu na słuszny interes
8
8
8
9
9
9
VII. Przekazywanie danych osobowych
9
VIII. Przekazywanie danych w ramach koncernu
10
IX. Zlecanie przetwarzania danych
10
X. Telekomunikacja i Internet
11
XI. Prawa podmiotu danych
11
XII. Poufność przetwarzania danych
12
XIII. Bezpieczeństwo przetwarzania danych
12
XIV. Odpowiedzialność i sankcje
12
XV. Pełnomocnik koncernu ds. ochrony danych
13
04
I.
Cel Wytycznych dotyczących ochrony danych
Dane klientów i partnerów są ważnym czynnikiem konkurencyjności i przyczyniają się w znacznym
stopniu do tworzenia wartości koncernu Daimler. Dane te muszą być chronione przed zagrożeniami
związanymi z nieuprawnionym dostępem. Oprócz ochrony technicznej, klienci i partnerzy oczekują
jednak również zasadniczo należytego obchodzenia się z ich danymi. Długotrwałe relacje
biznesowe, bez opartej na zaufaniu relacji z naszymi klientami i partnerami, nie są możliwe do
zrealizowania. Daimler jest świadomy tego wyzwania i uznaje w ramach swojej odpowiedzialności
korporacyjnej obowiązek odpowiedzialnego obchodzenia się z danymi. Daimler ustanawia
w niniejszych Wytycznych oparty na ogólnie przyjętych zasadach podstawowych, jednolity i ogólnie
obowiązujący standard ochrony i bezpieczeństwa przetwarzania danych osobowych klientów
i partnerów. Wytyczne wspierają konkurencyjność koncernu i stanowią podstawę dla stworzenia
trwałej i opartej na zaufaniu relacji biznesowej.
Wytyczne ustanawiają również jeden z niezbędnych warunków ramowych w odniesieniu do globalnej wymiany danych pomiędzy jednostkami koncernu, ponieważ gwarantują one wymagany przez
europejską dyrektywę o ochronie danych i inne ustawy krajowe odpowiedni poziom ochrony
danych w ruchu transgranicznym, także w tych krajach, gdzie obecnie nadal nie ma odpowiednich
przepisów prawnych dotyczących ochrony danych.
II. Definicje
» Odpowiedni poziom ochrony danych w państwach trzecich zostanie przez Komisję Europejską
uznany wtedy, gdy główny element prywatności, tak jak jest on rozumiany w państwach członkowskich UE, będzie zasadniczo chroniony. Przy podejmowaniu decyzji Komisja Europejska uwzględnia wszystkie okoliczności, które odgrywają istotną rolę przy przekazywaniu danych lub kategorii
przekazywania danych. Obejmuje to ocenę prawa państwowego oraz każdorazowo obowiązujących
zasad regulaminów zawodowych i środków bezpieczeństwa.
» Dane mają anonimowy charakter, gdy tożsamość osoby nie może być trwale i przez nikogo
ustalona lub gdy ustalenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu i działań.
» Szczególnie wrażliwe dane to dane ujawniające pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych lub
dotyczące zdrowia lub życia seksualnego podmiotu danych. Ze względu na prawo państwowe,
jako szczególnie wrażliwe mogą zostać zakwalifikowane inne kategorie danych lub treść kategorii
danych może być zróżnicowana. Również dane dotyczące przestępstw często mogą być
przetwarzane tylko pod specjalnymi warunkami ustanowionymi przez prawo.
» Podmiotem danych w rozumieniu niniejszych Wytycznych jest każda osoba fizyczna, której dane
są przetwarzane. W niektórych krajach podmiotami danych mogą być również osoby prawne.
1
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych
osobowych i swobodnego przepływu tych danych, dostępna na stronie http://ec.europa.eu/justice_home/fsj/privacy/law/
index_de.htm#richtlinie
05
» Stroną trzecią jest każdy z wyjątkiem podmiotu danych i podmiotu odpowiedzialnego za
przetwarzanie danych. Stroną trzecią nie są również osoby zajmujące się przetwarzaniem danych
ustawowo przypisane do podmiotu odpowiedzialnego.
» Państwami trzecimi w rozumieniu niniejszych Wytycznych są wszystkie państwa poza Unią
Europejską/ EOG. Wyłączone są kraje, których poziom ochrony danych został uznany przez
Komisję UE za właściwy.
» Zgoda oznacza dobrowolne, wiążące prawnie oświadczenie o wyrażeniu zgody na przetwarzanie
danych.
» Przetwarzanie danych osobowych jest wymagane, jeśli dozwolony cel lub słuszny interes nie mogą
zostać osiągnięte bez odpowiednich danych osobowych lub gdy jest to związane z nieproporcjonalnie dużym nakładem.
» EOG to obszar gospodarczy związany z UE, który obejmuje Norwegię, Islandię i Liechtenstein.
» Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to przykładowo osoba, której tożsamość
można ustalić poprzez powiązanie informacji z przypadkowo dostępną wiedzą dodatkową.
» Przekazanie to jakiekolwiek ujawnienie danych chronionych przez podmiot odpowiedzialny wobec
stron trzecich.
» Przetwarzanie danych osobowych oznacza każdą operację dokonywaną - także metodami
automatycznej obróbki danych - mającą na celu gromadzenie, zapis, porządkowanie, przechowywanie, przekształcanie, przeglądanie, wykorzystywanie, ujawnianie przez przekazywanie,
rozpowszechnianie lub zestawianie i porównywanie danych; Obejmuje to również niszczenie,
usuwanie i blokowanie danych i nośników danych.
» Podmiotem odpowiedzialnym jest samodzielna pod względem prawnym spółka koncernu
Daimler, której działalność gospodarcza wymaga dokonania danej operacji przetwarzania danych.
06
III. Zakres obowiązywania i zmiana Wytycznych
Niniejsze Wytyczne koncernu odnoszą się do wszystkich spółek koncernu Daimler, tj. spółki Daimler
AG i wszystkich zależnych od niej spółek koncernu oraz jednostek powiązanych i ich pracowników.
Zależne oznacza w niniejszych Wytycznych, że Daimler AG może bezpośrednio lub pośrednio - na
podstawie posiadanej większości praw głosu, większości w kierownictwie przedsiębiorstwa lub
w umowie - zażądać, aby niniejsze Wytyczne zostały wdrożone. Wytyczne koncernu odnoszą się do
wszystkich operacji przetwarzania danych osobowych klientów i partnerów. Obejmuje to również
dane dotyczące interesantów, dostawców i akcjonariuszy. Niniejsze Wytyczne mają również
zastosowanie do danych osób prawnych, jeżeli zgodnie z odpowiednim prawem państwowym osoby
są objęte zakresem ochrony prawa o ochronie danych.
Poszczególne spółki koncernu nie są upoważnione do wprowadzania odstępstw od niniejszych
Wytycznych. Zmiany niniejszych Wytycznych są dokonywane wyłącznie przez Pełnomocnika
koncernu ds. ochrony danych w ramach określonej procedury zmiany Wytycznych.
Spółki należące do koncernu muszą przestrzegać postanowień niniejszych Wytycznych w aktualnie
obowiązującej wersji. Tylko w przypadku, gdyby wiązało się to z pogorszeniem sytuacji podmiotu
danych, stosuje się tę wersję, która obowiązywała w momencie przetwarzania jego danych.
W przypadku utraty mocy obowiązującej przez Wytyczne i nieustanowienia nowych przepisów, spółki
należące do koncernu są zobowiązane do stosowania niniejszych Wytycznych w ostatnio obowiązującej wersji w odniesieniu do danych, które zostały do tego momentu przetworzone.
IV. Obowiązywanie prawa państwowego
Niniejsze Wytyczne dotyczące ochrony danych zawierają ogólnie przyjęte zasady ochrony danych,
przy czym nie zastępują one istniejącego prawa państwowego. Wytyczne mają zawsze zastosowanie,
o ile nie pozostają w sprzeczności z obowiązującym w danym przypadku prawem państwowym;
ponadto należy stosować prawo państwowe, jeśli nakłada ono dodatkowe wymagania. Należy
przestrzegać właściwego prawa państwowego, jeśli zawiera ono istotne odstępstwa od niniejszych
Wytycznych lub dodatkowe przepisy. Treści niniejszych Wytycznych muszą być przestrzegane
również wtedy, gdy nie istnieją odpowiednie przepisy prawa państwowego.
W przypadku przekazywania danych z Unii Europejskiej/ EOG oraz z państw, które w przypadku
przekazywania danych do innych krajów wymagają odpowiedniego standardu ochrony danych,
podmioty importujące dane, przy przetwarzaniu przekazanych danych osobowych, muszą stosować
właściwe prawo krajowe państwa, z którego dane zostały przekazane. Powyższe nie ma zastosowania do przekazywania danych w obrębie Unii Europejskiej/ EOG lub do przekazywania danych do
krajów poza Unią Europejską/ EOG, których poziom ochrony danych został oceniony przez Komisję
Europejską jako odpowiedni.
Należy przestrzegać obowiązków zgłaszania operacji przetwarzania danych nałożonych przez prawo
państwowe. Każda prawnie niezależna spółka koncernu Daimler musi sprawdzić, czy i w jakim
zakresie istnieje obowiązek zgłaszania. W przypadku wątpliwości można skonsultować się
z Pełnomocnikiem koncernu ds. ochrony danych.
07
V. Zasady przetwarzania danych osobowych
1. Rzetelność i zgodność z prawem
Przy przetwarzaniu danych osobowych należy chronić dobra osobiste podmiotu danych. Dane
muszą być przetwarzane rzetelnie i zgodnie z prawem.
2. Cele
Przetwarzanie danych osobowych może służyć do realizacji jedynie tych celów, które zostały
ustalone, zanim dane zostały zebrane. Późniejsze zmiany celów są możliwe tylko w ograniczonym
zakresie. Mogą one być dokonywane na podstawie porozumień umownych z podmiotem danych,
zgody podmiotu danych lub na mocy prawa państwowego.
3. Przejrzystość
Podmiot danych musi zostać poinformowany o wykorzystywaniu jego danych. Dane osobowe
powinny być zasadniczo pozyskiwane od samego podmiotu danych. Przy zbieraniu danych podmiot
danych musi być w stanie rozpoznać lub musi zostać poinformowany o:
» tożsamości podmiotu odpowiedzialnego
» celu przetwarzania danych
» stronach trzecich lub kategoriach stron trzecich, którym dane mogą być przekazywane
Podmiot danych powinien zostać poinformowany o dobrowolności podawania danych do celów
marketingowych.
W standardach koncernu określone są wymagania dotyczące niezbędnych informacji o wykorzystaniu danych podmiotu danych.
W uzupełnieniu do wymogów określonych w standardach koncernu dodatkowe lub inne wymogi co
do treści i zakresu informacji może nakładać również prawo państwowe. Mogą to być na przykład
wymagania dotyczące informacji na temat prawa sprzeciwu podmiotu danych wobec kontaktowania
się z nim w celach marketingowych i reklamowych.
4. Ograniczenie do niezbędnego minimum danych osobowych
Przed każdą operacją przetwarzania danych osobowych należy sprawdzić, czy i w jakim zakresie
jest ona konieczna, aby osiągnąć zamierzony przez nią cel. Jeśli osiągnięcie celu jest możliwe i nie
wiąże się to z nadmiernymi nakładami w stosunku do zamierzonego celu, można wykorzystać dane
anonimowe lub statystyczne. Analizy statystyczne i badania, które są wykonywane na podstawie
anonimowych danych, nie podlegają niniejszym Wytycznym.
Dane osobowe nie mogą być gromadzone na zapas w celu potencjalnego wykorzystania w
przyszłości, o ile nie wymaga tego prawo państwowe.
Dane, które nie są już wymagane, powinny zostać usunięte zgodnie z istniejącymi obowiązkami
przechowywania.
5. Poprawność merytoryczna, aktualność danych
Gromadzone dane muszą być prawidłowe i aktualne. Należy podjąć odpowiednie kroki, aby
zapewnić, że niewłaściwe lub niepełne dane zostaną usunięte, poprawione lub uzupełnione.
6. Szczególnie wrażliwe dane
Szczególnie wrażliwe dane osobowe mogą być przetwarzane tylko pod pewnymi warunkami.
Przetwarzanie musi być wyraźnie dozwolone lub wymagane przez przepisy prawa państwowego lub
jest niezbędne w celu dochodzenia, wykonania lub obrony roszczeń prawnych wobec podmiotu
danych. Podmiot danych może również wyrazić wyraźną zgodę na przetwarzanie.
08
7. Zasada ograniczonego dostępu („need-to–know”)
W obliczu coraz bardziej elastycznej organizacji pracy należy zadbać o to, aby pracownicy mieli dostęp
do danych osobowych zgodnie z zasadą „need-to-know”. Zasada ograniczonego dostępu oznacza,
że pracownicy mogą mieć dostęp do danych osobowych tylko zgodnie z charakterem i zakresem
swoich obowiązków. Wymaga to starannego podziału i rozdziału ról i kompetencji oraz ich realizacji.
8. Zautomatyzowane decyzje indywidualne
Automatyczne przetwarzanie danych osobowych służące do oceny indywidualnych cech osoby
(np. zdolności kredytowej) musi spełniać specjalne wymagania. Nie mogą one być wyłączną podstawą
do podejmowania decyzji mających negatywne skutki lub powodujących poważne utrudnienia dla
podmiotu danych. W celu uniknięcia błędnych decyzji należy zagwarantować kontrolę i ocenę
wiarygodności przez pracownika. Podmiot danych musi zostać również poinformowany o fakcie
i wyniku zautomatyzowanej decyzji indywidualnej. Należy mu również umożliwić zajęcie stanowiska.
Należy przestrzegać bardziej restrykcyjnych przepisów prawa państwowego w zakresie
zautomatyzowanych decyzji indywidualnych.
VI. Dopuszczalność przetwarzania danych
1. Przetwarzanie danych do celów umowy
Dane osobowe podmiotu danych mogą być przetwarzane w celu realizacji umowy. Odnosi się to
również do obsługi partnera umowy po zawarciu umowy, o ile jest to związane z celem umowy.
Nie dotyczy to działań związanych z utrzymaniem klienta lub działań reklamowych.
Przed zawarciem umowy – a więc na etapie jej negocjacji – dozwolone jest przetwarzanie danych
osobowych w celu sporządzenia oferty, przygotowywania wniosku zakupowego lub spełnienia innych
życzeń strony zainteresowanej warunkujących zawarcie umowy (np. jazda testowa). W trakcie negocjacji umowy można kontaktować się ze stroną zainteresowaną, korzystając z podanych przez nią danych.
Należy przestrzegać ograniczeń określonych przez zainteresowanego. W odniesieniu do innych działań
reklamowych obowiązują wymagania określone w rozdziale VI.2..
2. Przetwarzanie danych do celów reklamowych
Przetwarzanie danych osobowych do celów reklamowych jest dozwolone, o ile da się ono pogodzić
z celem, w jakim dane były pierwotnie zgromadzone. W ramach komunikacji z podmiotem danych
należy uzyskać jego zgodę na przetwarzanie danych do celów reklamowych. (zob. VI.3.).
Jeżeli podmiot danych zwróci się do jakiejkolwiek spółki koncernu Daimler z prośbą o udostępnienie
informacji (np. z prośbą o przesłanie materiałów informacyjnych o produkcie), wówczas przetwarzanie
danych w celu realizacji tego zapytania jest zawsze dozwolone bez względu na to, czy została uzyskana
na nie zgoda.
Jeżeli podmiot danych wyrazi sprzeciw wobec wykorzystania jego danych w celach reklamowych,
dalsze przetwarzanie jego danych do tych celów nie jest dozwolone. Należy przestrzegać innych
ograniczeń obowiązujących w niektórych krajach w zakresie wykorzystania danych do celów reklamowych. Mogą one dotyczyć w szczególności reklamy prowadzonej za pośrednictwem poczty
elektronicznej, telefonu i faksu.
09
3. Wyrażenie zgody na przetwarzanie danych
Przetwarzanie danych wymaga zgody podmiotu danych. Zmiana celu przetwarzania jest również
możliwa za zgodą podmiotu danych. Przed wyrażaniem zgody podmiot danych musi zostać
poinformowany zgodnie z rozdziałem V.3. niniejszych Wytycznych. Z przyczyn dowodowych zgoda
powinna być zasadniczo wyrażona na piśmie lub w formie elektronicznej. W pewnych okolicznościach, np. w przypadku konsultacji telefonicznych, zgoda może być również wyrażona ustnie.
Wyrażenie zgody musi być udokumentowane. Należy przestrzegać szczególnych wymagań
dotyczących wyrażenia zgody określonych w prawie państwowym.
4. Przetwarzanie danych wynikające z wymogów ustawowych
Przetwarzanie danych osobowych jest dozwolone również wtedy, gdy państwowe przepisy prawa
tego wymagają, to zakładają lub na to zezwalają. Rodzaj i zakres przetwarzania danych musi
spełniać wymagania dozwolonego zgodnie z prawem przetwarzania danych i opierać się na tych
przepisach prawnych.
5. Przetwarzanie danych ze względu na słuszny interes
Przetwarzanie danych osobowych jest dozwolone również wtedy, gdy jest to konieczne z punktu
widzenia uzasadnionego interesu podmiotu odpowiedzialnego lub strony trzeciej. Uzasadniony
interes ma z reguły charakter prawny (np. egzekwowanie przeterminowanych należności) lub
gospodarczy (np. unikanie naruszeń umowy). Przetwarzanie danych osobowych ze względu na
uzasadniony interes nie jest dozwolone, jeżeli w konkretnym przypadku istnieją przesłanki
wskazujące na to, iż wymagający ochrony interes podmiotu danych przeważa nad interesem
związanym z przetwarzaniem. Należy to sprawdzić przed każdą operacją przetwarzania.
VII. Przekazywanie danych osobowych
W przypadku niektórych procesów biznesowych konieczne jest, aby dane osobowe klientów czy
partnerów były udostępniane stronie trzeciej. Jeśli nie wynika to z obowiązku prawnego, należy za
każdym razem sprawdzić, czy na przeszkodzie nie stoi wymagający ochrony interes podmiotu
danych. W przypadku przekazywania danych osobowych jednostce spoza koncernu Daimler muszą
zostać spełnione wymagania określone w rozdziale VI. Jeśli odbiorca znajduje się w kraju trzecim,
musi zapewnić on odpowiedni poziom ochrony danych zgodnie z wymogami niniejszych
Wytycznych. Powyższe nie ma zastosowania, jeżeli przekazywanie danych wynika z ustawowego lub
innego obowiązku prawnego. Odbiorca musi być zobowiązany na podstawie umowy do wykorzystywania danych tylko do określonych celów.
Ujawnianie danych instytucjom lub organom państwowym jest dozwolone, jeżeli wymagają tego
odpowiednie przepisy prawne.
W przypadku przekazywania danych przez strony trzecie spółkom koncernu Daimler konieczne jest
zapewnienie, aby dane były gromadzone zgodnie z przepisami obowiązującego w danym przypadku
prawa i mogły być wykorzystywane do zamierzonego celu przetwarzania.
10
VIII. Przekazywanie danych w ramach koncernu
Przekazywanie danych osobowych przez prawnie niezależną spółkę koncernu innej spółce koncernu
stanowi w rozumieniu prawa przekazanie danych stronie trzeciej. Taka operacja przekazywania
danych wymaga spełnienia warunków określonych w rozdziale VI.
Jeżeli dane osobowe są przekazywane przez spółki koncernu z siedzibą w Unii Europejskiej/ EOG
do spółki koncernu mającej siedzibę w państwie trzecim, Pełnomocnik ds. ochrony danych i spółka
importująca dane są zobowiązani do współpracy z właściwym organem nadzoru w kraju, w którym
ma siedzibę jednostka eksportujące dane, w przypadku jakichkolwiek zapytań z jego strony,
a także do przestrzegania ustaleń organu nadzoru w odniesieniu do przetwarzania przekazanych
danych.
W przypadku, gdy podmiot danych podejrzewa, że niniejsze Wytyczne zostały naruszone przez
spółkę koncernu importującą dane mającą siedzibę w państwie trzecim, spółka eksportująca dane
mająca siedzibę w Unii Europejskiej/ EOG zobowiązuje się pomóc podmiotowi danych, którego
dane zostały zebrane w Unii Europejskiej/ EOG, w wyjaśnieniu okoliczności, jak również zapewnić
wyegzekwowanie jego praw zgodnie z rozdziałem XI niniejszych Wytycznych wobec jednostki
koncernu importującej dane. Ponadto podmiot danych może dochodzić swoich praw wynikających
z rozdziału XI również od spółki koncernu eksportującej dane.
W przypadku przekazywania danych osobowych przez spółkę koncernu z siedzibą w Unii Europejskiej/ EOG do spółki koncernu mającej siedzibę w państwie trzecim, jednostka przekazująca dane
musi w przypadku naruszenia niniejszych Wytycznych przez spółkę koncernu mającą siedzibę
w państwie trzecim przyjąć z punktu widzenia odpowiedzialności prawnej takie stanowisko wobec
podmiotu danych, którego dane osobowe zostały zebrane w Unii Europejskiej/ EOG, jak gdyby
to naruszenie zostało popełnione przez tę jednostkę przekazującą dane.
Sądem właściwym jest sąd właściwy dla siedziby jednostki eksportującej dane.
IX. Zlecanie przetwarzania danych
W przypadku zlecania przetwarzania danych usługodawca otrzymuje zlecenie przetworzenia
danych, przy czym nie następuje przeniesienie na niego odpowiedzialności za związany z tym
proces biznesowy. W przypadku ujawniania danych osobowych w ramach zlecania przetwarzania
danych, zleceniodawcą pozostaje jednostka odpowiedzialna za przetwarzanie danych, wobec której
podmiot danych może dochodzić wszelkich swoich praw. Ponadto przy zlecaniu przetwarzania
danych należy przestrzegać następujących zasad:
1. Przy wyborze wykonawcy konieczne jest zapewnienie, że jest on w stanie zagwarantować
spełnienie niezbędnych przy przetwarzaniu danych wymagań technicznych i organizacyjnych oraz
zapewnić środki bezpieczeństwa. Przy wyborze należy kierować się kryteriami określonymi przez
Pełnomocnika koncernu ds. ochrony danych.
2. Realizacja zlecenia przetwarzania danych musi być uregulowana w formie pisemnej umowy,
w której należy uzgodnić wymagania w zakresie ochrony danych i bezpieczeństwa informacji.
W szczególności należy ustalić, iż wykonawca może przetwarzać dane wyłącznie zgodnie
z zaleceniami zleceniodawcy.
3. Przy przygotowywaniu umowy należy kierować się Wytycznymi koncernu.
11
4. W przypadku zlecania przetwarzania danych osobowych z Unii Europejskiej/ EOG usługodawcom
spoza Unii Europejskiej/ EOG, usługodawca musi być zapewnić odpowiedni poziom ochrony
danych zgodnie z niniejszymi Wytycznymi, jeżeli chce on przetwarzać dane w państwie trzecim.
Należy również przestrzegać analogicznych przepisów zawartych w ustawach o ochronie danych
innych państw. Ponadto w przypadku zlecania przetwarzania danych usługodawcom spoza Unii
Europejskiej/ EOG muszą być spełnione wymagania określone w rozdziale VII.
X. Telekomunikacja i Internet
Przetwarzanie danych osobowych wynikające z komunikacji telefonicznej z podmiotem danych,
w tym z komunikacji internetowej, musi odbywać się zgodnie z lokalnie obowiązującymi instrukcjami pracy lub zgodnie z każdorazowo obowiązującym prawem.
Należy przestrzegać standardów koncernu w zakresie realizacji wymogów prawnych przy
projektowaniu stron internetowych.
XI. Prawa podmiotu danych
Każdemu podmiotowi danych przysługują następujące prawa. Właściwa jednostka musi
niezwłocznie dokonać ich rozpatrzenia.
1. Podmiot danych może zażądać informacji o tym, jakie dane osobowe, z jakiego źródła i w jakim
celu zostały o nim zebrane.
2. Jeżeli dane osobowe są przekazywane stronom trzecim, należy poinformować podmiot danych
również o tożsamości odbiorcy lub o kategoriach odbiorców.
3. Jeśli dane osobowe są nieprawidłowe lub niepełne, podmiot danych może zażądać ich korekty
lub uzupełnienia.
4. Podmiot danych ma prawo zażądać usunięcia swoich danych, jeżeli brak jest podstawy prawnej
do przetwarzania danych lub podstawa tak już nie istnieje. To samo dotyczy przypadku, w którym
cel przetwarzania danych wskutek upływu czasu lub z innych przyczyn przestał obowiązywać.
Należy przestrzegać obowiązujących wymagań dotyczących przechowywania danych.
5. Podmiot danych może wyrazić sprzeciw wobec przetwarzania swoich danych osobowych do
celów marketingu bezpośredniego lub badań rynku i opinii publicznej. Dane muszą być
zablokowane, aby nie były wykorzystywane do tych celów.
6. Podmiot danych ma zasadnicze prawo do wniesienia sprzeciwu wobec przetwarzania jego
danych, który należy uwzględnić, jeżeli wymagający ochrony interes podmiotu danych ze względu
na jego sytuację osobistą przeważa nad interesem jednostki odpowiedzialnej. Powyższe nie ma
zastosowania, jeżeli przepisy prawne nakładają obowiązek przetwarzania danych.
12
XII. Poufność przetwarzania danych
Dane osobowe klientów i partnerów będą traktowane jako poufne; zabronione jest nieuprawnione
zbieranie, przetwarzanie lub wykorzystywanie tych danych przez pracowników. Nieuprawnione jest
każde przetwarzanie dokonywane przez pracownika, któremu nie powierzono takiego zadania
w ramach wykonywanych przez niego obowiązków i który nie posiada odpowiednich uprawnień.
W szczególności zabrania się wykorzystywania danych osobowych do własnych celów osobistych
lub gospodarczych, ich przekazywania osobom nieuprawnionym lub udostępniania w inny sposób.
XIII. Bezpieczeństwo przetwarzania danych
W celu zapewnienia bezpieczeństwa danych wdrażane są odpowiednie środki techniczne i organizacyjne, które zapewniają ochronę danych osobowych przed nieupoważnionym dostępem, niewłaściwym przetwarzaniem lub ujawnieniem, przypadkową utratą, zmianą lub zniszczeniem. Odnoszą się
one do bezpieczeństwa danych wymagających ochrony zarówno przy przetwarzaniu elektronicznym, jak i w formie papierowej.
Środki techniczne i organizacyjne są częścią zintegrowanego systemu zarządzania bezpieczeństwem informacji i są stale dostosowywane do zmian technologicznych i organizacyjnych.
XIV. Odpowiedzialność i sankcje
Zarządy i kierownictwa spółek koncernu są jako podmioty odpowiedzialne za przetwarzanie danych
zobowiązane zapewnić, aby przestrzegane były wymagania ochrony danych określone w przepisach
prawa oraz w Wytycznych dotyczących ochrony danych. Kierownictwo ma za zadanie w swoim
zakresie odpowiedzialności zapewnić za pomocą środków organizacyjnych, personalnych
i technicznych właściwe przetwarzanie danych z uwzględnieniem ochrony danych. Zgodność
z Wytycznymi i obowiązującymi przepisami o ochronie danych jest weryfikowana w ramach
okresowych audytów w zakresie ochrony danych.
Niewłaściwe przetwarzanie danych osobowych lub inne naruszenia przepisów o ochronie danych są
w wielu państwach ścigane przez prawo karne i mogą prowadzić do roszczeń odszkodowawczych.
Naruszenia prawa, za które mogą być pociągnięci do odpowiedzialności indywidualni pracownicy,
pociągają za sobą zasadniczo sankcje z zakresu prawa pracy zgodnie z obowiązującymi przepisami
danego prawa krajowego (zob. Wytyczne dotyczące działań dyscyplinarnych).
13
XV. Pełnomocnik koncernu ds. ochrony danych
Pełnomocnik ds. ochrony danych nadzoruje jako wewnętrzny i autonomiczny organ przestrzeganie
krajowych i międzynarodowymi przepisów dotyczących ochrony danych. Jest on odpowiedzialny za
wytyczne obowiązujące w zakresie ochrony danych oraz nadzoruje ich przestrzeganie. Przeprowadza on
kontrole i audyty w zakresie ochrony danych. Pełnomocnik ds. ochrony danych jest powoływany przez
zarząd Daimler AG.
Dyrektorzy i kierownicy poszczególnych zakładów muszą wyznaczyć koordynatora ds. ochrony danych,
który będzie współpracował z Pełnomocnikiem ds. ochrony danych. Organizacyjnie zadania te mogą być
wykonywane przez koordynatora ds. ochrony danych w porozumieniu z Pełnomocnikiem ds. ochrony
danych również dla kilku spółek i zakładów. Koordynatorzy ds. ochrony danych pełnią lokalnie funkcję
osób kontaktowych w sprawach dotyczących ochrony danych. Mogą oni przeprowadzać kontrole i muszą
przekazywać pracownikom treści Wytycznych dotyczących ochrony danych. Dyrektorzy poszczególnych
spółek są zobowiązani do wspierania Pełnomocnika koncernu ds. ochrony danych i koordynatorów
ds. ochrony danych w ich działalności.
Działy muszą informować koordynatorów ds. ochrony danych o nowych operacjach przetwarzania danych
osobowych. Koordynatorzy ds. ochrony danych informują Pełnomocnika koncernu ds. ochrony danych
odpowiednio wcześnie o zagrożeniach związanych z ochroną danych. W przypadku operacji przetwarzania
danych, które mogą być źródłem szczególnego ryzyka dla dóbr osobistych podmiotu danych, Pełnomocnik
koncernu ds. ochrony danych musi być włączony w dany proces jeszcze przed rozpoczęciem przetwarzania. Dotyczy to zwłaszcza szczególnie wrażliwych danych osobowych.
Działy mają obowiązek zapewnić przeszkolenie swoich pracowników w niezbędnym zakresie w kwestii
obchodzenia się z danymi osobowymi. Pełnomocnik koncernu ds. ochrony danych udostępnia internetowe
narzędzie szkoleniowe.
W przypadku naruszenia ochrony danych i skarg odpowiedzialna kadra kierownicza jest zobowiązana do
niezwłocznego poinformowania właściwego koordynatora ds. ochrony danych lub Pełnomocnika koncernu
ds. ochrony danych. Ponadto każdy podmiot danych może w każdym momencie zwrócić się do Pełnomocnika koncernu ds. ochrony danych z uwagami, pytaniami, wnioskami lub skargami dotyczących kwestii
ochrony i bezpieczeństwa danych. Zapytania i skargi będą – na życzenie - traktowane jako poufne.
Dyrektorzy muszą respektować decyzje Pełnomocnika koncernu ds. ochrony danych, których celem jest
zapobieganie naruszeniom ochrony danych.
Dane kontaktowe Pełnomocnika i jego pracowników:
Daimler AG,
Pełnomocnik koncernu ds. ochrony danych,
HPC 0624,
D-70546 Stuttgart, Niemcy
Tel. +49 711 17 97 727,
Fax +49 711 17 97 699,
e-mail: [email protected]
W intranecie pod http://intra.corpintra.net/cdp
Daimler AG
Stuttgart, Niemcy
www.daimler.com
www.daimler.mobi
Related documents
Polityka bezpieczeństwa pracy i ochrony zdrowia
Polityka bezpieczeństwa pracy i ochrony zdrowia
ZAD - E-SGH
ZAD - E-SGH
Kodeks postępowania dla partnerów biznesowych
Kodeks postępowania dla partnerów biznesowych
Salon Fryzjersko
Salon Fryzjersko
PROPOZYCJA SZKOLENIA WEWNĘTRZNEGO
PROPOZYCJA SZKOLENIA WEWNĘTRZNEGO
Wytyczne dot. wizualizacji
Wytyczne dot. wizualizacji
Polityka zarządzania ryzykiem
Polityka zarządzania ryzykiem
Wymagania Koncernu Volkswagen w zakresie zrównoważonego
Wymagania Koncernu Volkswagen w zakresie zrównoważonego
Zadanie 1 - E-SGH
Zadanie 1 - E-SGH
Zadanie 1 - E-SGH
Zadanie 1 - E-SGH
Download
advertisement