GEs Selbstverpflichtung zum Schutz personenbezogener Daten

 

Einleitung

GE respektiert die Datenschutzrechte von Personen und verpflichtet sich zum verantwortungsvollen Umgang mit personenbezogenen Daten in Übereinstimmung mit dem geltenden Recht, den geltenden vertraglichen Verpflichtungen und der Selbstverpflichtung von GE zum Schutz personenbezogener Daten (die Selbstverpflichtung), die im Folgenden beschrieben wird. Die Selbstverpflichtung legt die Grundsätze von GE für die Verarbeitung personenbezogener Daten durch und im Namen von GE fest.

Die Selbstverpflichtung stellt eine rechtliche Grundlage für die grenzüberschreitende Übermittlung personenbezogener Daten innerhalb der GE-Gruppe dar (alle ganz oder mehrheitlich im Besitz von GE befindlichen Unternehmensbereiche, einschließlich der Electric Insurance Company und ihrer Tochtergesellschaften), einschließlich der Fälle, in denen Mitglieder der GE-Gruppe relevante Bestandteile der Selbstverpflichtung als Datenverarbeiter einhalten. Darüber hinaus ist GE berechtigt, grenzüberschreitende Übertragungen personenbezogener Daten an Dritte außerhalb der GE-Gruppe gemäß geltendem Recht durchzuführen. GE handhabt personenbezogene Daten in Übereinstimmung mit der Selbstverpflichtung, sofern dies nicht im Widerspruch zu strengeren Anforderungen des lokalen Rechts steht. In diesem Fall gilt das lokale Recht.

Geltungsbereich

Die Selbstverpflichtung soll sicherstellen, dass personenbezogene Daten unabhängig von Standort oder Technologie geschützt werden, wenn sie innerhalb der GE-Gruppe verwendet werden. Sie gilt für die Verarbeitung personenbezogener Daten von GE und personenbezogene Daten von GE-Kunden durch GE.

Verarbeitung personenbezogener Daten

GE beachtet bei der Verarbeitung personenbezogener Daten die folgenden Prinzipien:

Fairness : GE verarbeitet personenbezogene Daten fair und rechtmäßig.

Zweck : GE beschränkt die Verarbeitung personenbezogener Daten auf die Erfüllung der spezifischen, legitimen Zwecke von GE. GE führt nur die Verarbeitung durch, die mit diesen Zwecken vereinbar ist, es sei denn, GE oder der Kunde, für den GE die Daten verarbeitet, hat zweifelsfrei der Verarbeitung für nicht in Zusammenhang stehende Zwecke zugestimmt.

Im Allgemeinen verarbeitet GE personenbezogene Daten:

  • wenn GE ein rechtmäßiges Interesse hat, das die Verarbeitung billigerweise rechtfertigt ;
  • soweit erforderlich, für die Aufrechterhaltung oder die Leistung eines Rechtsverhältnisses zwischen GE und der Person ;
  • soweit erforderlich, um eine Verpflichtung zu erfüllen, die GE durch geltendes Recht, Bestimmungen oder staatliche Behörden auferlegt wird ;
  • in Ausnahmesituationen, in denen das Leben, die Gesundheit oder die Sicherheit der Person oder einer anderen Person gefährdet sind ;
  • nach Erhalt der freiwillig erteilten und ausdrücklichen Einwilligungserklärung der Person, sofern dies nach geltendem Recht erforderlich ist ;
  • wenn die Verarbeitung in Verbindung mit einem Kundendienstleistungsvertrag erfolgt.

Wenn die Zustimmung direkt von GE eingeholt wurde, wird GE ein Verfahren einrichten, das es Personen ermöglicht, ihre Zustimmung in dem nach geltendem Recht erforderlichen Umfang jederzeit und kostenlos zu widerrufen.

Verhältnismäßigkeit : GE beschränkt die Verarbeitung personenbezogener Daten auf solche, die in Bezug auf die Zwecke, für die GE diese erfasst und verwendet, angemessen, relevant und nicht übermäßig sind.

Informationsqualität: GE unternimmt angemessene Schritte, sofern GE ein Verarbeiter ist, um Kunden zu ermöglichen, dass personenbezogene Daten korrekt und auf dem neuesten Stand sind, personenbezogene Daten nur so lange aufzubewahren, wie dies für die Zwecke, für die sie erfasst und verwendet werden, erforderlich ist, und sie zu löschen oder zu anonymisieren, nachdem diese Aufbewahrungsvorschriften erfüllt wurden.

Transparenz : Soweit nach geltendem Recht erforderlich, wird GE betroffenen Personen zum Zeitpunkt der Erhebung oder innerhalb eines angemessenen Zeitraums der Erhebung Informationen über die Identität von GE zur Verfügung stellen sowie diese über den Zweck und die rechtliche Grundlage der Verarbeitung ihrer personenbezogenen Daten informieren; über beabsichtigte Empfänger und grenzüberschreitende Datenübertragungen, Quelle(n) personenbezogener Daten, über die Art und Weise, wie Einzelpersonen ihre Rechte in Bezug auf personenbezogene Daten ausüben können, informieren; Kontaktdaten des Datenschutzbeauftragten, soweit zutreffend, und zusätzliche Erklärungen zur Verfügung stellen, die erforderlich sind, um eine faire Verarbeitung sicherzustellen. Wenn GE personenbezogene Daten über das Internet oder andere elektronische Mittel erhebt, veröffentlicht GE einen leicht zugänglichen Datenschutzhinweis, der diese Transparenzanforderungen erfüllt.

Vertraulichkeit : GE wird die Vertraulichkeit der von GE verarbeiteten personenbezogenen Daten wahren, es sei denn, die Offenlegung ist aufgrund einer geltenden betrieblichen oder gesetzlichen Anforderung erforderlich. Diese Verpflichtung bleibt auch nach Beendigung der Beziehung mit der Person oder dem Kunden bestehen, für den GE personenbezogene Daten verarbeitet.

Sicherheit : GE ist bestrebt, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen, um deren Integrität, Vertraulichkeit, Sicherheit und Verfügbarkeit zu gewährleisten. GE wird Personen über einen Sicherheitsverstoß, der ihre personenbezogenen Daten betrifft und ein hohes Risiko für ihre individuellen Rechte und Freiheiten darstellen könnte, informieren. In Übereinstimmung mit dem geltenden Recht wird GE Kunden, für die GE personenbezogene Daten verarbeitet, angemessen unterstützen, um die Sicherheit bei der Datenverarbeitung zu gewährleisten, und GE wird GE-Kunden über eine Verletzung der Sicherheit personenbezogener Daten von GE-Kunden informieren, wie dies nach den entsprechenden Rechten erforderlich ist.

Weitergabe und/oder Übertragung personenbezogener Daten

GE ist berechtigt, personenbezogene Daten unter den folgenden Umständen weiterzugeben oder zu übertragen :

  • Personenbezogene Daten können innerhalb der GE-Gruppe für die oben genannten Zwecke weitergegeben werden, sofern die GE-Gruppe, die personenbezogene Daten verarbeitet, die Selbstverpflichtung einhält.
  • GE kann ausgewählten Lieferanten oder Dienstleistern, die mit der Erbringung bestimmter Verarbeitungsdienste oder anderer Dienstleistungen in seinem Namen beauftragt wurden, personenbezogene Daten bereitstellen. GE wird sicherstellen, dass neue Lieferantenkontakte die Verarbeitung personenbezogener Daten in einer Weise vorsehen, die mit dieser Selbstverpflichtung und dem anwendbaren Recht vereinbar ist, und zwar durch ein Rechtsverhältnis, das sich auf einen Vertrag oder andere gesetzlich zulässige Mittel begründet. Im Rahmen solcher Verträge müssen Lieferanten angemessene Sicherheitsmaßnahmen ergreifen und dürfen personenbezogene Daten nur gemäß den Anweisungen von GE verarbeiten.
  • • GE kann bestimmte personenbezogene Daten an andere Dritte weitergeben, soweit dies gesetzlich vorgeschrieben ist, um die Rechte von GE zu schützen oder in Verbindung mit einer Fusion oder Übernahme von GE beziehungsweise der Insolvenz oder Neuorganisation eines Teils von GE.

Verarbeitung sensibler personenbezogener Daten

Wenn GE sensible personenbezogene Daten verarbeitet und/oder überträgt, wird GE die Person über die Verarbeitung und/oder Übermittlung informieren und eine ausdrückliche Zustimmung für diese Verarbeitung und/oder Übermittlung einholen, wenn GE nach geltendem Recht dazu verpflichtet ist. Je nach Art der Informationen und den mit der beabsichtigten Verwendung verbundenen Risiken werden angemessene Sicherheitsmaßnahmen getroffen.

Verantwortlichkeit

GE ist für die Erfüllung der in der Selbstverpflichtung und nach geltendem Recht festgelegten Anforderungen verantwortlich. Insbesondere wird GE:

  • erforderliche Maßnahmen ergreifen, um die Anforderungen aus der Selbstverpflichtung und aus geltendem Recht zu beachten ; und
  • über die erforderlichen internen Mechanismen verfügen, um diese Einhaltung nachzuweisen, einschließlich der Führung eines Protokolls über seine Verarbeitungsmaßnahmen in Übereinstimmung mit dem geltenden Recht.

Datenschutzprogramm

GE verwendet Datenschutzpraktiken, die darauf abzielen, die Einhaltung der Selbstverpflichtung und des geltenden Rechts zu unterstützen, einschließlich der Berufung eines Netzwerks aus Datenschutzbeauftragten, Bildungs- und Sensibilisierungsprogrammen, Vorfallsbearbeitungsprotokollen, Datenschutzfolgenabschätzungen, Prüfungsroutinen und eines Privacy-by-Design-Ansatzes für die Prozess- und Systementwicklung.

Individualrechte

In Übereinstimmung mit dem geltenden Recht kann eine Person, die ihre Identität gegenüber GE zufriedenstellend belegt hat, die folgenden Rechte in Bezug auf personenbezogene Daten ausüben, die GE direkt von ihr erhoben hat; wenn GE ein Verarbeiter ist, wird GE den Kunden bei der Erfüllung seiner Datenschutzverpflichtungen gegenüber Personen unterstützen:

Zugriff : Wenn es das geltende Recht erfordert, stellt GE die individuellen personenbezogenen Daten über die Person, die GE besitzt, zur Verfügung, einschließlich der Daten über die Quelle der personenbezogenen Daten, den Zweck der Verarbeitung durch GE und die Empfänger oder Kategorien von Empfängern, denen diese personenbezogenen Daten offengelegt werden.

Korrektur und Löschung : Gültige Korrektur- oder Löschanforderungen für personenbezogene Daten, die unvollständig, ungenau oder übermäßig sind, werden ernst genommen und als solche bestätigt. Es besteht jedoch die Ausnahme, dass die Löschung nicht durchgeführt werden kann, wenn die Aufbewahrung aufgrund des Vertragsverhältnisses zwischen GE und der Person, im Rahmen eines Rechtsstreits, einer anderen gesetzlichen Aufbewahrungspflicht oder anderweitig nach geltendem Recht erforderlich ist.

Einwand : GE wird die Verarbeitung personenbezogener Daten einstellen, wenn der Widerspruch einer Person nach geltendem Recht gerechtfertigt ist, zum Beispiel wenn das Leben oder die Gesundheit der Person durch die Verarbeitung gefährdet wird. Eine Person hat auch das Recht, gegen Entscheidungen Einspruch zu erheben, die ausschließlich auf einer automatisierten Verarbeitung personenbezogener Daten beruhen, die rechtliche Auswirkungen haben, die für die betroffene Person von erheblicher Bedeutung sind. Es sei denn, die Person hat die Verarbeitung beantragt oder dies ist für das Rechtsverhältnis zwischen GE und der Person erforderlich. Im letzteren Fall kann die Person ihre Meinung zur automatisierten Entscheidung äußern. Eine Person hat das Recht, der Verarbeitung personenbezogener Daten durch GE zu Marketingzwecken zu widersprechen, sofern dies nach geltendem Recht zulässig ist. Die Ausübung dieses Widerspruchsrechts kann aufgehoben werden, wenn GE nachweisen kann, dass sein zwingendes berechtigtes Interesse an der Fortsetzung der Verarbeitung die Interessen oder Grundrechte und -freiheiten des Einzelnen überlagert.

Einschränkung : Eine Person hat auch das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten durch GE zu verlangen, soweit dies nach geltendem Recht vorgesehen ist, zum Beispiel, wenn die Richtigkeit der von GE gesammelten personenbezogenen Daten angefochten wird. GE wird die Verarbeitung solcher Daten einstellen, sofern die Einschränkung gerechtfertigt ist, mit Ausnahme der Speicherung und anderer zulässiger Weiterverarbeitung nach geltendem Recht.

Beschwerden : Jede Person, die behauptet, durch die Nichteinhaltung der Selbstverpflichtung durch ein Unternehmen der GE-Gruppe Schaden erlitten zu haben, kann eine Beschwerde beim zuständigen Datenschutzleiter beziehungsweise Compliance Officer der GE-Gruppe oder im Rahmen der Beschwerdemanagementsverfahren von GE einreichen, die auf den Websites von GE verfügbar sind, wenn andere Kanäle nicht zugänglich oder ausgelastet sind:

Wenn GE die Beschwerde als gerechtfertigt erachtet, unternimmt GE zumutbare Schritte, um die Beschwerde zur angemessenen Zufriedenheit der betreffenden Person zu lösen. GE beantwortet Beschwerden in der Regel innerhalb von dreißig Tagen nach Erhalt der Beschwerde. Eine Person mit einer ungelösten Beschwerde über die Einhaltung der Selbstverpflichtung durch GE in Ländern, die der grenzüberschreitenden Datenschutzregulierung der APEC unterliegen, kann sich unter https://feedback-form.truste.com/watchdog/request (kostenlos) an den in den USA ansässigen Drittanbieter von GE zur Streitbeilegung wenden.

Durchsetzung : Eine Person, die infolge einer Verletzung der Selbstverpflichtung einen Schaden erlitten hat, kann Anspruch auf eine Entschädigung für diesen Schaden in Übereinstimmung mit dem geltenden Recht und den Bestimmungen der Selbstverpflichtung haben. Eine Person, die Anspruch auf Entschädigung hat, kann ihre in der Verpflichtung vorgesehenen Rechte durch direkten Rechtsbehelf bei Gerichten oder anderen Justizbehörden in Übereinstimmung mit dem geltenden Recht geltend machen.

Zusammenarbeit mit Aufsichtsbehörden

GE wird mit jeder zuständigen nationalen oder regionalen Aufsichtsbehörde zusammenarbeiten, die für die Überwachung des anwendbaren Datenschutzrechts zuständig ist, die berechtigten Grund zur Infragestellung der Verarbeitung personenbezogener Daten durch GE vorweist, und GE wird die Entscheidungen dieser zuständigen Aufsichtsbehörde in allen Fragen im Zusammenhang mit der Selbstverpflichtung befolgen.

Änderungen an der Selbstverpflichtung

GE behält sich das Recht vor, die Selbstverpflichtung zu ändern. Alle wesentlichen Änderungen werden der leitenden Datenschutzbehörde von GE und/oder ihrem Trustmark-Vertreter, sofern zutreffend, vorgelegt und auf der Website von GE mitgeteilt.

Definitionen

Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

Personenbezogene Daten von GE sind personenbezogene Daten, die im Rahmen der Beziehung einer Person zu GE erhoben werden und die GE für eigene Zwecke verarbeitet. Zu diesen personenbezogenen Daten von GE gehören beispielsweise Mitarbeiterdaten, die im Rahmen eines Beschäftigungsverhältnisses mit GE erfasst wurden, Kundendaten, die im Zusammenhang mit einem Kundenverhältnis mit GE erhoben wurden, sowie Lieferantendaten, die von den Lieferanten von GE bezogen wurden.

Personenbezogene Daten von GE-Kunden sind personenbezogene Daten, die im Rahmen der Erbringung von Dienstleistungen durch GE an einen Kunden im Rahmen eines Dienstleistungsvertrags erhoben werden und die GE im Namen des Kunden verarbeitet.

Der Kunde ist eine Person oder Einheit, die einen Dienstleistungsvertrag mit GE abschließt.

Sensible personenbezogene Daten, eine spezielle Kategorie personenbezogener Daten, sind Daten über Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheit, Sexualleben oder sexuelle Orientierung.