GE's forpligtelser om at beskytte personlige oplysninger

 

Indledning

GE respekterer retten til privatlivets fred og er forpligtet til at håndtere personlige oplysninger ansvarligt i overensstemmelse med gældende lovgivning, kontraktlige forpligtelser samt GE's forpligtelser om at beskytte personlige oplysninger ("forpligtelserne"), som er beskrevet nedenfor. Forpligtelserne fastsætter GE's principper for behandling af personlige oplysninger af og på vegne af GE.

Forpligtelserne etablerer et retsgrundlag for grænseoverskridende overførsler af personlige oplysninger inden for GE-koncernen (alle helt eller overvejende ejede divisioner i virksomheden GE, herunder Electric Insurance Company og dettes datterselskaber), også hvor medlemmer af GE-koncernen overholder relevante dele af forpligtelserne som databehandlere. Derudover kan GE udføre grænseoverskridende overførsler af personlige oplysninger til tredjeparter uden for GE-koncernen i overensstemmelse med gældende lovgivning. GE håndterer personlige oplysninger i overensstemmelse med forpligtelserne, hvor det er relevant, medmindre det strider mod strengere krav i den lokale lovgivning, i hvilket tilfælde den lokale lovgivning gælder.

Anvendelsesområde

Forpligtelserne er udarbejdet for at sikre beskyttelsen af personlige oplysninger uanset geografisk placering eller teknologi, når disse anvendes i GE-koncernen, og de gælder for GE's behandling af GE-personlige oplysninger og GE-kunders personlige oplysninger.

Behandling af personlige oplysninger

GE overholder følgende principper ved behandling af personlige oplysninger:

Rimelighed : GE behandler personlige oplysninger rimeligt og i overensstemmelse med loven.

Formål : GE begrænser behandlingen af personlige oplysninger til opfyldelse af GE's specifikke og lovlige formål. GE vil kun udføre behandling, der er kompatibel med disse formål, medmindre GE – eller GE's kunder, hvor GE er databehandler – har indhentet utvetydigt samtykke til ikke-relaterede formål.

Generelt vil GE behandle personlige oplysninger :

  • hvis GE har en legitim interesse, som overordnet set berettiger behandlingen
  • hvis det er nødvendigt for at opretholde eller udøve et juridisk forhold mellem GE og den registrerede
  • hvis det er nødvendigt for at overholde en forpligtelse pålagt GE af gældende lovgivning, forskrifter eller myndigheder
  • hvis der er ekstraordinære situationer, som udgør en trussel mod den registreredes eller en anden persons liv, helbred eller sikkerhed
  • efter at have indhentet den registreredes frit afgivne, udtrykkelige og informerede samtykke, hvor dette måtte være påkrævet i henhold til gældende lovgivning
  • hvis behandlingen sker i forbindelse med en kundeserviceaftale.

Hvis samtykket er indhentet direkte af GE, vil GE tilbyde de registrerede mulighed for at trække deres samtykke tilbage, i det omfang det kræves i henhold til gældende lovgivning, til enhver tid og uden beregning.

Proportionalitet : GE begrænser behandlingen af personlige oplysninger til det, der er fyldestgørende, relevant og ikke overdrevent i forhold til de formål, som GE indsamler og bruger de personlige oplysninger til.

Oplysningernes kvalitet: GE vil træffe rimelige forholdsregler for – og hvor GE er databehandler give kunderne mulighed for – at sikre, at personlige oplysninger er nøjagtige og ajourførte, kun at opbevare personlige oplysninger, så længe det er nødvendigt til det formål, hvortil de indsamles og bruges, samt at slette eller anonymisere oplysningerne, når disse opbevaringskrav er opfyldt.

Gennemsigtighed : Hvor det måtte være påkrævet af gældende lovgivning, vil GE oplyse de registrerede på tidspunktet for indsamlingen, eller inden for en rimelig periode efter indsamlingen, om GE's identitet, formålene med og retsgrundlaget for behandlingen af deres personlige oplysninger, de tilsigtede modtagere og grænseoverskridende dataoverførsler, kilde(r) til personlige oplysninger, hvordan de registrerede kan udøve deres rettigheder vedrørende personlige oplysninger, kontaktoplysninger til den databeskyttelsesansvarlige, hvis relevant, samt yderligere forklaringer efter behov for at sikre en rimelig behandling. Hvor GE indsamler personlige oplysninger via internettet eller andre elektroniske midler, vil GE offentliggøre en lettilgængelig erklæring om fortrolighed, der opfylder disse krav om gennemsigtighed.

Gennemsigtighed : GE vil sikre fortroligheden af personlige oplysninger, som virksomheden behandler, medmindre videregivelse er påkrævet i medfør af et gældende driftsmæssigt eller lovmæssigt krav. Denne forpligtelse fortsætter, selv efter at forholdet til den registrerede – eller kunden, hvis GE er databehandler – er ophørt.

Sikkerhed : GE bestræber sig på at beskytte personlige oplysninger med passende tekniske og organisatoriske foranstaltninger for at sikre deres integritet, fortrolighed, sikkerhed og tilgængelighed. GE vil informere de registrerede om eventuelle brud på sikkerheden, som påvirker deres GE-personlige oplysninger, og som kunne udgøre en stor risiko for deres individuelle rettigheder og friheder. I henhold til gældende lov vil GE yde rimelig bistand til kunderne, hvor GE er databehandler, for at garantere sikkerheden af deres behandling, og vil informere GE-kunder om eventuelle brud på sikkerheden for GE-kunders personlige oplysninger, som påkrævet i henhold til gældende lovgivning.

Udveksling og/eller overførsel af personlige oplysninger

GE kan udveksle eller videregive personlige oplysninger i følgende tilfælde:

  • Personlige oplysninger kan udveksles internt i GE-koncernen til ovennævnte formål, forudsat at den enhed i GE-koncernen, der behandler personlige oplysninger, overholder disse forpligtelser.
  • GE kan videregive personlige oplysninger til udvalgte leverandører eller tjenesteudbydere, der er antaget til at udføre visse behandlingstjenester eller andre tjenester på GE's vegne. GE vil bestræbe sig på at sikre, at nye leverandøraftaler sikrer behandling af personlige oplysninger i overensstemmelse med disse forpligtelser og gældende lovgivning ved at etablere et retsforhold gennem en kontrakt eller med andre lovlige midler. Under sådanne kontrakter skal leverandører indføre tilstrækkelige sikkerhedsforanstaltninger og må kun behandle personlige oplysninger i overensstemmelse med GE's anvisninger.
  • • GE kan videregive visse personlige oplysninger til andre tredjeparter, hvis lovgivningen kræver det, for at beskytte GE's juridiske rettigheder, eller i forbindelse med en fusion eller overtagelse, som GE er involveret i, eller insolvens eller omorganisering af en hvilken som helst del af GE.

Behandling af følsomme personlige oplysninger

Hvor GE behandler og/eller overfører følsomme personlige oplysninger, vil GE informere de registrerede om behandlingen og/eller overførslen og indhente udtrykkeligt samtykke til en sådan behandling og/eller overførsel, når gældende lovgivning kræver, at GE gør dette. Der indføres passende sikkerhedsforanstaltninger alt efter arten af disse oplysninger og de risici, der måtte være i forbindelse med de tilsigtede anvendelsesformål.

Ansvarlighed

GE er ansvarlig for at opfylde kravene i forpligtelserne og i henhold til gældende lovgivning. GE vil især:

  • træffe de nødvendige foranstaltninger for at overholde kravene i forpligtelserne og i gældende lovgivning
  • • iværksætte de nødvendige interne mekanismer til at dokumentere denne overholdelse, idet der blandt andet føres fortegnelser over behandlingsaktiviteter i overensstemmelse med gældende lovgivning.

Fortrolighedsprogram

GE anvender fortrolighedsmetoder, der er udarbejdet til at understøtte overholdelsen af forpligtelserne og gældende lovgivning, herunder udpegning af et netværk af fortrolighedsledere, uddannelses- og oplysningsprogrammer, protokoller for behandling af hændelser, konsekvensanalyser vedrørende fortrolighed, revisionsrutiner samt en tilgang med at indbygge fortrolighed i designet ved udvikling af processer og systemer.

Registreredes rettigheder

I overensstemmelse med gældende lovgivning kan en registreret, der på tilfredsstillende vis har dokumenteret sin identitet over for GE, udøve følgende rettigheder i forbindelse med personlige oplysninger, som GE har indsamlet direkte fra vedkommende. Hvor GE er databehandler, vil GE hjælpe kunden med at opfylde sine fortrolighedsforpligtelser over for registrerede:

Adgang : Hvor det er påkrævet i henhold til gældende lovgivning, vil GE oplyse en registreret om, hvilke personlige oplysninger om vedkommende GE opbevarer, herunder oplysninger om kilden til de personlige oplysninger, formålene med GE's behandling samt de modtagere eller kategorier af modtagere, som sådanne personlige oplysninger videregives til.

Rettelse og sletning : Gyldige anmodninger om at rette eller slette ufuldstændige, unøjagtige eller overkomplette personlige oplysninger vil blive efterkommet med efterfølgende bekræftelse. Dog vil personlige oplysninger ikke blive slettet, hvis GE har pligt til at opbevare oplysningerne i medfør af et kontraktforhold mellem GE og den registrerede, inden for rammerne af en juridisk tvist eller andre retsbaserede krav om opbevaring, eller hvor det ellers måtte være påkrævet i henhold til gældende lovgivning.

Indsigelse : GE vil ophøre med at behandle personlige oplysninger, hvis en registrerets indsigelse er berettiget i henhold til gældende lovgivning, for eksempel i tilfælde hvor den registreredes liv eller helbred er i fare som følge af behandlingen. En registreret har ret til at gøre indsigelse mod beslutninger baseret udelukkende på automatiseret behandling af personlige oplysninger, som medfører retsvirkninger, der i væsentlig grad har betydning for vedkommende, medmindre den registrerede selv har anmodet om behandlingen, eller hvor det måtte være nødvendigt for retsforholdet mellem GE og den registrerede. I sidstnævnte tilfælde kan den registrerede fremsætte sine synspunkter om den automatiske afgørelse. En registreret har ret til at gøre indsigelse mod GE's behandling af personlige oplysninger til markedsføringsformål, hvor det er tilladt i henhold til gældende lovgivning. Retten til at udøve denne ret til indsigelse kan bortfalde, hvis GE kan påvise, at virksomhedens vægtige legitime interesse i at fortsætte behandlingen tilsidesætter den registreredes interesser eller grundlæggende rettigheder og friheder.

Begrænsning : En registreret har også ret til at anmode om begrænsning af enhver behandling fra GE's side af vedkommendes GE-personlige oplysninger, i det omfang en sådan ret bunder i gældende lovgivning, for eksempel i tilfælde hvor nøjagtigheden af disse GE-personlige oplysninger anfægtes. GE vil ophøre med at behandle sådanne oplysninger, hvis begrænsningen er berettiget, med undtagelse af opbevaring og anden tilladt fortsat behandling i henhold til gældende lovgivning.

Klager : Enhver registreret, som hævder at have lidt skade som følge af en GE-koncernvirksomheds manglende overholdelse af forpligtelserne, kan indgive en klage til den relevante fortrolighedsleder i GE-koncernen eller via GE's klagehåndteringsprocesser, som kan tilgås via GE's websteder, hvis andre kanalmuligheder er utilgængelige eller udtømte:

Hvis GE finder klagen berettiget, vil virksomheden træffe rimelige foranstaltninger til at afhjælpe problemet til den registreredes rimelige tilfredshed. GE bestræber sig på at reagere på klager inden for tredive dage efter modtagelse. En registreret med en ikke-håndteret klage om GE's overholdelse af forpligtelserne i lande, der er underlagt APEC's grænseoverskridende fortrolighedsregler, kan kontakte GE's eksterne tvistbilæggelsesudbyder i USA (uden beregning) på https://feedback-form.truste.com/watchdog/request

Håndhævelse : En registreret, der har lidt skade som følge af manglende overholdelse af forpligtelserne, kan være berettiget til erstatning for sådanne skader i overensstemmelse med gældende lovgivning og i henhold til forpligtelserne. En registreret, der er berettiget til erstatning, kan håndhæve sine rettigheder i henhold til forpligtelserne direkte hos domstolen eller en anden retslig myndighed i overensstemmelse med gældende lovgivning.

Samarbejde med tilsynsmyndigheder

GE vil samarbejde med alle kompetente nationale eller regionale tilsynsmyndigheder med ansvar for tilsyn med gældende lovgivning om fortrolighed, som velbegrundet sætter spørgsmålstegn ved en hvilken som helst behandling af GE-personlige oplysninger, og vil overholde sådanne kompetente tilsynsmyndigheders afgørelser i alle spørgsmål i forbindelse med forpligtelserne.

Ændringer af forpligtelserne

GE forbeholder sig retten til at ændre forpligtelserne. Eventuelle væsentlige ændringer sendes til den databeskyttelsesmyndighed, som GE er underlagt, og/eller GE's garantimærkeagent, hvor det måtte være relevant, og de vil blive meddelt på GE's websted.

Definitioner

Personlige oplysninger er oplysninger om en identificeret eller identificerbar fysisk person.

GE-personlige oplysninger Alle personlige oplysninger, der indhentes i forbindelse med en registrerets forhold til GE, og som GE behandler til egne formål. Sådanne GE-personlige oplysninger kan for eksempel omfatte beskæftigelsesoplysninger indhentet i forbindelse med et GE-ansættelsesforhold, kundedata indhentet som led i et GE-kundeforhold eller leverandøroplysninger indhentet fra GE's leverandører.

GE-kunders personlige oplysninger er alle personlige oplysninger, der indhentes i forbindelse med levering af tjenester fra GE til en kunde under en serviceaftale, og som GE behandler på vegne af kunden.

Kunde er en fysisk eller juridisk person, der indgår en serviceaftale med GE.

Følsomme personlige oplysninger er en særlig kategori af personlige oplysninger, som for eksempel oplysninger om race eller etnisk oprindelse, politisk, religiøst eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data, helbredsoplysninger, seksuelle forhold eller seksuel orientering.