GE:n sitoumus henkilötietojen suojaamiseksi

Johdanto

GE kunnioittaa henkilö tietosuojaa ja on sitoutunut käsittelemään henkilötietoja vastuullisesti sovellettavien lakien ja jäljempänä kuvatun GE:n henkilötietojen turvaamisen sitoumuksen mukaisesti. Sitoumus sisältää Euroopan tietosuojadirektiivin tai vastaavat jäsenvaltion lainsäädännön mukaiset GE:n henkilötietojen käsittelyperiaatteet.

Sitoumus luo oikeusperusteen henkilötietojen siirtämisille yli rajojen GE-konsernissa (kaikki GE:n kokonaan omistamat tai sen enemmistöomistuksessa olevatia yrityksetiä, mukaan lukien Electric Insurance Company ja sen tytäryhtiöt). Lisäksi GE voi siirtää henkilötietoja yli rajojen myös GE-konsernin ulkopuolisille osapuolille sovellettavan lainsäädännön mukaisesti. GE käsittelee henkilötietoja sitoumuksen mukaisesti, ellei sitoumuse ole ristiriidassa paikallisen lain tiukempien vaatimusten kanssa. Tässä tapauksessa sovelletaan paikallista lakia.

Laajuus

Sitoumus sisältää Euroopan tietosuojadirektiivin tai vastaavat jäsenvaltion lainsäädännön mukaiset GE:n henkilötietojen käsittelyvelvoitteet. Tällaiset henkilötiedot suojataan kyseisen lainsäädännön mukaisesti sijainnista tai tekniikasta riippumatta, kun niitä käytetään GE GE-konsernissa.

Henkilötietojen käsittely

GE noudattaa henkilötietojen käsittelyssä seuraavia periaatteita:

Oikeudenmukaisuus: GE käsittelee henkilötietoja oikeudenmukaisesti ja laillisesti.

Tarkoitus: GE rajoittaa henkilötietojen käsittelyn GE:n edellyttämiin ja laillisiin tarkoituksiin. GE käsittelee tietoja ainoastaan tällaisten tarkoitusten mukaisesti, ellei GE:llä ole henkilön yksiselitteistä suostumusta käsitellä tietoja muita tarkoituksia varten.

GE käsittelee henkilötietoja yleensä seuraavasti:

  • GE käsittelee henkilötietoja, kun GE:llä on käsittelyyn oikeuttava laillinen syy.
  • GE käsittelee henkilötietoja, kun se on tarpeen GE:n ja henkilön välisen laillisen suhteen vuoksi.
  • GE käsittelee henkilötietoja tarvittaessa sovellettavan lain, säädöksen tai viranomaisten vaatimusten noudattamiseksi.
  • GE käsittelee henkilötietoja poikkeuksellisissa tilanteissa, jotka uhkaavat jonkun henkeä, terveyttä tai turvallisuutta.
  • GE käsittelee henkilötietoja, kun se on saanut voimassa olevan lain vaatiman vapaaehtoisen, nimenomaisen ja tietoisen suostumuksen käsittelyyn.

Kun suostumus on saatu, GE tarjoaa yksityishenkilöille mahdollisuuden peruuttaa suostumuksensa sovellettavan lain mukaisesti milloin tahansa ja maksutta.

Suhteellisuus: GE rajoittaa henkilötietojen käsittelyn tietojen keräämisen ja käytön kannalta olennaisiin ja kohtuullisiin tarkoituksiin. Lisäksi GE pyrkii kohtuullisin keinoin rajoittamaan henkilötietojen käytön vain näihin tarkoituksiin.

Tiedon laatu: GE ryhtyy kohtuullisiin toimiin varmistaakseen, että henkilötiedot ovat tarkkoja ja ajan tasalla, että henkilötietoja käytetään vain tarpeellisen ajan ja vain siihen tarkoitukseen, mihin ne on kerätty ja käytetty, ja että tiedot poistetaan tai tehdään nimettömiksi, kun tällaiset säilyttämisvaatimukset ovat täyttyneet.

Läpinäkyvyys: Mikäli sovellettava laki niin vaatii, GE tarjoaa henkilöille keräyshetkellä tai kohtuullisen keräysajan sisällä tietoa GE:n keräämistä henkilötiedoista. Tämä käsittää tiedot henkilötietojen keräämisen tarkoituksesta ja luonteesta, tietojen vastaanottajista ja rajat ylittävästä tiedonsiirrosta, henkilötietojen lähteestä ja siitä, miten yksilöt voivat käyttää henkilötietoihin liittyviä oikeuksiaan. Tarvittaessa GE tarjoaa lisäselvityksiä asianmukaisen käsittelyn varmistamiseksi. GE kerää henkilötietoja Internetin kautta tai muilla sähköisillä menetelmillä. GE julkaisee helposti käytettävissä olevan tietosuojailmoituksen näiden elementtien kanssa.

Luottamuksellisuus: GE säilyttää käsittelemänsä henkilötiedot luottamuksellisina, ellei sovellettava laki tai muu toiminnallinen vaatimus vaadi tietojen luovuttamista. Tämä velvoite jatkuu senkin jälkeen, kun suhde yksilöön on päättynyt.

Turvallisuus: GE pyrkii suojaamaan henkilötiedot asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä sekä varmistamaan tietojen eheyden, luottamuksellisuuden, turvallisuuden ja käytettävyyden.

Henkilötietojen jakaminen ja siirtäminen

GE voi jakaa tai siirtää henkilötietoja seuraavissa tapauksissa:

  • Henkilötietoja voidaan jakaa GE-konsernissa edellä määritettyjä tarkoituksia varten sillä edellytyksellä, että henkilötietoja käsittelevä GE-konsernin yksikkö noudattaa tätä sitoumusta.
  • GE voi siirtää henkilötietoja ulkopuolisille osapuolille, jotka on palkattu suorittamaan palveluja GE:n puolesta sovellettavan lain mukaisesti. Ulkopuoliset osapuolet voivat käyttää henkilötietoja ainoastaan määrättyjen palvelujen suorittamista varten – ja ne voivat siirtää henkilötietoja maailmanlaajuisesti tämän sitoumuksen periaatteiden ja GE:n ohjeiden mukaisesti, mukaan lukien soveltuva tiedonsiirtomekanismi. GE valitsee luotettavat ulkopuoliset osapuolet ja pyrkii varmistamaan, että uudet toimittajat käsittelevät henkilötietoja tämän sitoumuksen ja sovellettavan lain mukaisesti.
  • GE voi siirtää henkilötietoja ulkopuolisille osapuolille, jotka on palkattu suorittamaan palveluja GE:n puolesta sovellettavan lain mukaisesti. Ulkopuoliset osapuolet voivat käyttää henkilötietoja ainoastaan määrättyjen palvelujen suorittamista varten – ja ne voivat siirtää henkilötietoja maailmanlaajuisesti tämän sitoumuksen periaatteiden ja GE:n ohjeiden mukaisesti, mukaan lukien soveltuva tiedonsiirtomekanismi. GE valitsee luotettavat ulkopuoliset osapuolet ja pyrkii varmistamaan, että uudet toimittajat käsittelevät henkilötietoja tämän sitoumuksen ja sovellettavan lain mukaisesti.
  • Henkilötietoja annetaan ulkoisiin tutkimus- ja mainostarkoituksiin vain henkilöiden omalla suostumuksella, mikäli laki sitä vaatii.

Arkaluonteisten henkilötietojen käsittely

Kun GE käsittelee tai siirtää arkaluonteisia henkilötietoja, se ilmoittaa yksittäiselle henkilölle käsittelystä tai siirrosta ja hankkii nimenomaisen suostumuksen tällaiseen käsittelyyn tai siirtoon, kun laki sitä edellyttää.

Tietosuojaohjelma

GE:llä on käytössä tietosuojakäytäntö, joka tukee GE:n sitoumuksen ja sovellettavien lakien noudattamista. Se käsittää muun muassa tietosuojavastaavien nimittämisen, koulutus- ja tietoisuusohjelmat, hätätilannekäytännöt, tietosuojavaikutusten arvioinnit, tarkastusrutiinit ja Privacy by Design -lähestymistavan järjestelmän kehittämistä varten.

Yksilön oikeudet

Henkilöllä, joka on riittävällä tavalla osoittanut henkilöllisyytensä GE:lle, on seuraavat oikeudet GE:n hänestä säilyttämiin henkilötietoihin:

Käyttöoikeus: Jos paikallinen lainsäädäntö sitä edellyttää, GE toimittaa henkilölle GE:n hänestä säilyttämät henkilötiedot, mukaan lukien tiedot, jotka liittyvät henkilötietojen lähteeseen, GE:n ja vastaanottajien tietojen käsittelyn syyhyn tai vastaanottajaryhmiin, joille tällaiset henkilötiedot luovutetaan.

Oikaiseminen ja poistaminen: Epätäydellisten tai kohtuuttoman laajojen henkilötietojen kelvollisia korjaamis- tai poistamispyyntöjä kunnioitetaan, mutta tietoja ei poisteta, jos tietojen säilyttämistä edellytetään GE:n ja yksilön sopimussuhteen mukaisesti, oikeudenkäyntiasian tai muun oikeudellisen säilyttämisvaatimuksen mukaisesti tai muuten lain edellyttämällä tavalla.

Vastalause: GE lopettaa henkilötietojen käsittelemisen, kun yksilön vastalause on perusteltu sovellettavan lain mukaisesti, esimerkiksi jos henkilön henki tai terveys on vaarassa käsittelyn vuoksi. Henkilöllä on myös oikeus vastustaa päätöksiä, jotka perustuvat ainoastaan automaattiseen henkilötietojen käsittelyyn, joista aiheutuu oikeusvaikutuksia, jotka vaikuttavat merkittävästi kyseiseen henkilöön, ellei henkilö ole pyytänyt käsittelyä tai jos käsittely on tarpeen GE:n ja henkilön välisen laillisen suhteen vuoksi. Jälkimmäisessä tapauksessa henkilö voi antaa oman mielipiteensä automatisoidusta päätöksestä. Henkilöllä on oikeus vastustaa GE:n henkilötietojen käsittelyä markkinointitarkoituksia varten sovellettavan lain salliessa.

Valitukset: Henkilö, joka väittää kärsineensä vahinkoa GE-konsernin (mukaan lukien Euroopan unionin ulkopuolella sijaitsevan GE-konsernin yksikön) sitoumuksen noudattamatta jättämisestä, voi tehdä valituksen asiaankuuluvalle GE-konsernin tietosuojavastaavalle tai GE:n verkkosivuilla olevan valitusprosessin kautta, jos muut kanavat eivät ole käytettävissä:

Täytäntöönpano: Henkilö, joka on kärsinyt vahinkoa laittomasta käsittelystä tai soveltuvien tietosuojalakien tai sitoumuksen rikkomisesta, voi olla oikeutettu korvaukseen tällaisista vahingoista Euroopan unionin (EU) GE-yksiköltä, joka on käsitellyt kyseisiä henkilötietoja. Yksityishenkilö voi vaatia oikeuksiaan sovellettavan lain ja sitoumuksen mukaisesti suoraan tietoja käsitelleeltä GE-yksiköltä kyseisen oikeudenkäyttöalueen tuomioistuimen, muun oikeusviranomaisen tai tietosuojavaltuutetun kautta. Mikäli paikalliset lait sen sallivat, GE voi määrittää erilaisia ristiriitojen ratkaisutapoja.

Yhteistyö valvontaviranomaisten kanssa

GE tekee yhteistyötä valvovien viranomaisten kanssa, jotka valvovat asiaankuuluvia, tietosuojaa koskevia lakeja tai joilla on syytä epäillä mitään GE:n henkilötietojen käsittelyä. GE noudattaa sitoumukseen liittyviä oikeudellisesti sitovia päätöksiä.

Sitoumuksen muutokset

GE pidättää oikeuden muokata sitoumusta. Kaikki muutokset lähetetään tarpeen mukaan asiaankuuluvalle tietosuojaviranomaiselle, ja ne julkaistaan viipymättä GE:n EU-sivustolla, kun ne tulevat voimaan.

Määritelmät

Henkilötiedot ovat mitä tahansa sitoumukseen sisältyviä tietoja, jotka liittyvät tunnistettuun luonnolliseen henkilöön tai henkilöihin, jotka ovat tunnistettavissa kohtuullisin keinoin yksilön suhteesta GE:hen. Tällaisia henkilötietoja voivat olla työ-, asiakas- ja toimittajatiedot.

Arkaluonteiset henkilötiedot (henkilötietojen erikoisluokka) ovat rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnollisiin tai filosofisiin vakaumuksiin, ammattiliittoon kuulumiseen, sukupuolielämään, terveyteen tai potilastietoihin ja rikosrekisteriin liittyviä tietoja.