GE:n Sitoumus Henkilötietojen suojaamiseen

Johdanto

GE kunnioittaa henkilöiden oikeutta yksityisyyteen ja on sitoutunut käsittelemään Henkilötietoja vastuullisesti noudattaen sovellettavaa lainsäädäntöä, sovellettavia sopimusvelvoitteita ja GE:n sitoumusta Henkilötietojen suojaamiseen (”Sitoumus”), joka kuvaillaan alla. Sitoumuksessa määritellään GE:n periaatteet, joiden mukaisesti GE ja GE:n puolesta toimivat tahot käsittelevät Henkilötietoja.

Sitoumuksessa määritellään oikeusperuste, jonka mukaan Henkilötietoja siirretään valtionrajojen yli GE-konsernin sisällä (kaikki kokonaan tai enemmistöomistuksessa olevat GE-konsernin yksiköt, mukaan lukien Electric Insurance Company ja sen tytäryhtiöt), mukaan lukien tilanteet, joissa GE-konsernin jäsenet noudattavat tietojen käsittelijöinä Sitoumuksen asiaankuuluvia osia . Lisäksi GE saattaa siirtää Henkilötietoja valtionrajojen yli GE-konsernin ulkopuolisille kolmansille osapuolille sovellettavan lainsäädännön mukaisesti. GE käsittelee Henkilötietoja soveltuvin osin Sitoumuksen mukaisesti, ellei se ole ristiriidassa paikallisen lain tiukempien vaatimusten kanssa, missä tapauksessa noudatetaan paikallista lakia.

Laajuus

Sitoumuksen tarkoitus on varmistaa, että Henkilötietoja suojataan riippumatta maantieteellisestä alueesta tai tekniikasta, kun niitä käytetään GE-konsernin sisällä. Sitoumus koskee sitä, miten GE käsittelee GE:n Henkilötietoja ja GE:n Asiakkaiden Henkilötietoja.

Henkilötietojen käsitteleminen

GE noudattaa seuraavia periaatteita käsitellessään Henkilötietoja:

Kohtuullisuus : GE käsittelee henkilötietoja oikeudenmukaisesti ja laillisesti.

Tarkoitus : GE rajoittaa Henkilötietojen käsittelyn ainoastaan GE:n nimenomaisten, lainmukaisten tarkoitusten toteuttamiseen. GE käsittelee tietoja ainoastaan kyseisten tarkoitusten mukaisesti, ellei GE:lle tai sen asiakkaalle, kun GE on tietojen käsittelijä, ole annettu yksiselitteistä suostumusta muihin tarkoituksiin.

Yleisesti GE käsittelee Henkilötietoja:

  • kun GE:llä on oikeutettu tarkoitus, joka oikeuttaa tietojen käsittelyn;
  • kun se on tarpeellista GE:n ja henkilön välisen oikeudellisen suhteen ylläpidon tai toteuttamisen kannalta;
  • kun se on tarpeellista GE:lle asetetun velvoitteen noudattamiseksi, joka johtuu sovellettavasta lainsäädännöstä, asetuksesta tai valtion viranomaisen asettamasta velvollisuudesta;
  • kun kyse on poikkeuksellisista tilanteista, jotka uhkaavat kyseisen henkilön tai jonkun toisen henkeä, terveyttä tai turvallisuutta;
  • kun henkilöltä on saatu vapaaehtoisesti annettu, nimenomainen ja tietoinen suostumus tilanteessa, jossa sovellettava lainsäädäntö sitä edellyttää;
  • kun käsitteleminen liittyy Asiakkaan palvelusopimukseen.

Kun GE on hankkinut suostumuksen suoraan, GE tarjoaa prosessin, jonka avulla henkilöt voivat peruuttaa antamansa suostumuksen sovellettavan lainsäädännön laajuudessa, milloin tahansa ja maksutta.

Suhteellisuus : GE rajoittaa Henkilötietojen käsittelyä siihen, mikä on riittävää, asianmukaista ja sopivalla tavalla suhteessa tarkoituksiin, joita varten GE on kerännyt tietoja ja joihin GE niitä käyttää.

Tietojen laatu: GE ryhtyy kohtuullisiin toimiin, ja jos GE toimii tietojen käsittelijänä, se tarjoaa Asiakkaille keinot varmistaa, että Henkilötiedot ovat täsmällisiä ja ajantasaisia ja että Henkilötietoja säilytetään vain niin kauan kuin niitä tarvitaan tarkoituksiin, joita varten ne on kerätty ja käytetään, ja että ne poistetaan tai anonymisoidaan, kun kyseiset säilyttämisvaatimukset ovat täyttyneet.

Läpinäkyvyys : Sovellettavan lainsäädännön velvoittaessa GE tarjoaa henkilöille tietojen keräämisen yhteydessä tai kohtuullisen ajan kuluessa keräämisestä tietoja GE:stä, Henkilötietojen käsittelemisen tarkoituksista ja oikeusperusteesta, aiotuista vastaanottajista ja tiedonsiirrosta valtionrajojen yli, Henkilötietojen lähteistä, henkilöiden mahdollisuuksista käyttää Henkilötietoihinsa liittyviä oikeuksiaan, mikäli käytössä tietosuojavastaavan yhteystiedot ja tarvittaessa lisätietoja, joilla varmistetaan oikeudenmukainen käsittely. Kun GE kerää Henkilötietoja Internetin kautta tai muilla sähköisillä tavoilla, GE julkaisee helposti saatavilla olevan tietosuojailmoituksen, joka on näiden läpinäkyvyysvaatimusten mukainen.

Luottamuksellisuus : GE säilyttää käsittelemiensä Henkilötietojen luottamuksellisuuden, ellei toiminnallinen tai oikeudellinen vaatimus edellytä tietojen luovutusta. Tämä velvollisuus jatkuu senkin jälkeen, kun suhde henkilöön, tai Asiakkaaseen, kun GE on tietojen käsittelijä, on päättynyt.

Turvallisuus : GGE pyrkii suojaamaan Henkilötiedot asianmukaisin teknisin ja organisatorisin toimin, jotta varmistetaan niiden eheys, luottamuksellisuus, turvallisuus ja saatavuus. GE ilmoittaa henkilöille tietoturvarikkomuksesta, joka vaikuttaa heidän GE-Henkilötietoihinsa ja joka voisi aiheuttaa suuren riskin heidän henkilökohtaisille oikeuksilleen ja vapauksilleen. GE tarjoaa sovellettavan lainsäädännön mukaisesti kohtuullista apua Asiakkaille, kun GE toimii tietojen käsittelijänä, jotta voidaan varmistaa tietojen käsittelyn turvallisuus ja ilmoittaa GE:n Asiakkaille GE:n Asiakkaiden Henkilötietoja koskevasta tietoturvarikkomuksesta lain vaatimalla tavalla.

Henkilötietojen jakaminen ja/tai siirtäminen

GE voi jakaa tai siirtää Henkilötietoja seuraavissa tilanteissa:

  • Henkilötietoja voidaan jakaa GE-konsernin sisällä edellä mainittuihin tarkoituksiin, edellyttäen, että Henkilötietoja käsittelevä GE-konsernin yksikkö noudattaa tätä Sitoumusta.
  • GE voi toimittaa Henkilötietoja valituille toimittajille tai palveluntarjoajille, jotka GE on palkannut tekemään puolestaan tiettyjä käsittelytoimia tai muita palveluja. GE pyrkii varmistamaan, että uudet toimittajat sitoutuvat Henkilötietojen käsittelyyn tämän Sitoumuksen ja sovellettavan lainsäädännön mukaisesti joko sopimuksella tai muulla oikeudellisesti sallitulla keinolla. Kyseisten sopimusten mukaisesti toimittajien on toteutettava riittävät turvatoimet, ja voivat käsitellä henkilötietoja ainoastaan GE:n ohjeiden mukaisesti.
  • GE voi toimittaa tiettyjä Henkilötietoja muille kolmansille osapuolille, kun laki edellyttää sitä, GE:n laillisten oikeuksien suojaamiseksi, tai GE:n fuusioitumisen tai yrityshankintojen yhteydessä tai minkä tahansa GE:n osan konkurssin tai uudelleenjärjestelyn yhteydessä.

Arkaluontoisten Henkilötietojen käsitteleminen

Käsitellessään ja/tai siirtäessään Arkaluontoisia Henkilötietoja GE ilmoittaa kyseiselle henkilölle käsittelystä ja/tai siirrosta ja pyytää nimenomaisen suostumuksen kyseiseen käsittelyyn ja/tai siirtoon, kun sovellettava lainsäädäntö niin edellyttää. Asianmukaiset turvatoimet toteutetaan riippuen näiden tietojen luonteesta ja niiden käyttötarkoituksiin liittyvistä riskeistä.

Vastuullisuus

GE vastaa Sitoumuksessa määriteltyjen vaatimusten ja sovellettavassa laissa säädettyjen vaatimusten täyttämisestä. Erityisesti GE:

  • huolehtii tarvittavista toimista pystyäkseen noudattamaan Sitoumuksen ja sovellettavan lainsäädännön vaatimuksia ja
  • varmistaa, että käytössä olevilla sisäisillä mekanismeilla voidaan osoittaa kyseinen noudattaminen, mukaan lukien rekisterin ylläpitäminen käsittelytoimista sovellettavan lainsäädännön mukaisesti.

Tietosuojaohjelma

GE:llä on käytössä tietosuojakäytännöt, joilla voidaan taata Sitoumuksen ja sovellettavan lainsäädännön noudattaminen, mukaan lukien tietosuojajohtajien verkoston nimittäminen, koulutus- ja tietoisuusohjelmat, tapahtumien vastausprotokollat, tietosuojan vaikutustenarvioinnit, auditointirutiinit ja Privacy by Design -lähestymistapa prosessien ja järjestelmien kehityksen yhteydessä.

Yksilön oikeudet

Sovellettavan lainsäädännön mukaan henkilö, joka on riittävästi todentanut henkilöllisyytensä GE:lle, voi käyttää seuraavia oikeuksiaan, jotka liittyvät GE:n häneltä suoraan keräämiin Henkilötietoihin; kun GE toimii tietojen käsittelijänä, GE auttaa Asiakasta täyttämään tietosuojavelvoitteensa yksittäisiä henkilöitä kohtaan:

Pääsy : kun sovellettava lainsäädäntö sitä vaatii, GE toimittaa yksittäiselle henkilölle hänestä keräämänsä Henkilötiedot, mukaan lukien tiedot, jotka liittyvät Henkilötietojen lähteeseen, käyttötarkoituksiin, joita varten GE ja tietojen vastaanottajat käsittelevät tietoja tai niiden vastaanottajien luokkiin, joille kyseisiä Henkilötietoja luovutetaan.

Korjaus ja poistaminen : pätevät pyynnöt puutteellisten, epätarkkojen tai liiallisten Henkilötietojen korjaamisesta tai poistosta huomioidaan ja vahvistetaan sellaisenaan, mutta tietoja ei poisteta, jos GE:n ja henkilön välinen sopimussuhde edellyttää tietojen säilyttämistä oikeudellisen kiistan tai muun lainmukaisen säilytysvaatimuksen tai muutoin sovellettavan lainsäädännön vaatimusten vuoksi.

Vastustaminen : GE lakkaa käsittelemästä Henkilötietoja, kun henkilön vastustus on oikeutettua paikallisen lainsäädännön perusteella, esimerkiksi jos tietojen käsitteleminen vaarantaa henkilön hengen tai terveyden. Lisäksi henkilöllä on oikeus vastustaa päätöksiä, jotka perustuvat ainoastaan Henkilötietojen automaattiseen käsittelyyn, ja joiden oikeusseuraamukset vaikuttavat kyseiseen henkilöön merkittävästi, paitsi jos henkilö itse on pyytänyt tietojen käsittelyä tai jos tietojen käsittely on tarpeellista GE:n ja henkilön välisen oikeudellisen suhteen kannalta. Jälkimmäisessä tapauksessa henkilö saa antaa palautetta automaattisesta päätöksestä. Henkilöllä on oikeus vastustaa Henkilötietojen käsittelemistä, jota GE tekee markkinointitarkoituksiin, kun sovellettava lainsäädäntö sen sallii. Tämä vastustamisoikeus voidaan lakkauttaa, jos GE pystyy osoittamaan, että sen pakottava oikeutettu etu käsittelyn jatkamiseen ohittaa yksilön edun tai perusoikeudet ja -vapaudet.

Rajoittaminen : Lisäksi henkilöllä on oikeus pyytää GE-Henkilötietojensa käsittelyn rajoittamista niin laajasti kuin sovellettava lainsäädäntö sallii, esimerkiksi jos GE-Henkilötietojen täsmällisyys on kiistetty. GE lakkaa käsittelemästä kyseisiä tietoja, jos rajoitus on oikeutettu. Tämä ei kuitenkaan koske tietojen säilyttämistä ja muuta sovellettavan lainsäädännön sallimaa käsittelyn jatkamista.

Valitukset : Jos henkilö väittää, että hänelle on aiheutunut vahinkoa, koska GE-konsernin yksikkö ei ole noudattanut Sitoumusta, voi hän tehdä valituksen asianmukaiselle GE-konsernin tietosuojajohtajalle tai Compliance Officerille tai GE:n valitusten käsittelyprosessien kautta, joka on saatavilla GE:n verkkosivuilla, mikäli muita kanavia ei ole käytettävissä tai niitä on jo käytetty:

Jos GE katsoo valituksen oikeutetuksi, se ryhtyy kohtuullisiin toimenpiteisiin valituksen ratkaisemiseksi yksilön kannalta kohtuullisella tavalla. GE pyrkii vastaamaan valituksiin 30 päivän kuluessa niiden saapumisesta. Jos GE ei ole ratkaissut jotakin GE:n Sitoumuksen noudattamiseen liittyvää valitusta ja henkilö asuu maassa, jossa ovat voimassa APECin rajat ylittävät tietosuojamääräykset (Cross Border Privacy Rules, CBPR), hän voi ottaa yhteyden GE:n Yhdysvalloissa sijaitsevaan kolmannen osapuolen riitoja sovittelevaan tahoon (maksutta) osoitteessa https://feedback-form.truste.com/watchdog/request

Toimeenpano : Henkilöllä, jolle on aiheutunut vahinkoa, koska Sitoumusta ei ole noudatettu, voi olla oikeus vahingonkorvaukseen sovellettavan lainsäädännön ja Sitoumuksen mukaisesti. Henkilö, jolla on oikeus vahingonkorvaukseen, voi käyttää oikeuksiaan Sitoumuksen mukaisesti valittamalla suoraan tuomioistuimiin tai muille oikeusviranomaisille sovellettavan lainsäädännön mukaisesti.

Yhteistyö valvontaviranomaisten kanssa

GE toimii yhteistyössä kaikkien pätevien kansallisten tai alueellisten valvontaviranomaisten kanssa, jotka vastaavat sovellettavan tietosuojalainsäädännön valvonnasta ja joilla on hyvä syy kyseenalaistaa GE:n tekemää henkilötietojen käsittelyä, ja noudattaa kyseisten pätevien valvontaviranomaisten päätöksiä, jotka liittyvät Sitoumukseen liittyviin päätöksiin.

Sitoumuksen muutokset

GE pidättää oikeuden muuttaa Sitoumusta. Mahdolliset olennaiset muutokset lähetetään GE:n johtavalle tietosuojaviranomaiselle ja/tai sen edustajalle, mikäli tarpeellista, ja niistä ilmoitetaan myös GE:n verkkosivuilla.

Määritelmät

Henkilötiedot ovat tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.

GE-Henkilötiedot ovat Henkilötietoja, jotka kerätään henkilön ja GE:n välisen suhteen puitteissa ja joita GE käsittelee omiin tarkoituksiinsa. Kyseiset GE-Henkilötiedot voivat sisältää esimerkiksi työsuhteeseen liittyviä tietoja, joita kerätään henkilön työsuhteen yhteydessä GE:llä, asiakastietoja, jotka on saatu asiakassuhteessa GE:n kanssa, ja toimittajan tietoja, joita kerätään GE:n toimittajilta.

GE:n Asiakkaan Henkilötiedot ovat Henkilötietoja, joita GE kerää toimittaessaan palveluja Asiakkaalle palvelusopimuksen puitteissa ja joita GE käsittelee Asiakkaan puolesta.

Asiakas on henkilö tai taho, joka tekee palvelusopimuksen GE:n kanssa.

Arkaluontoiset Henkilötiedoton henkilötietojen erityisluokka, joka liittyy rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnolliseen tai filosofiseen vakaumukseen, ammattiliiton jäsenyyteen, geneettisiin tietoihin, biometrisiin tietoihin, terveyteen, seksuaaliseen käyttäytymiseen tai seksuaaliseen suuntautumiseen.