Bevezetés
A GE tiszteletben tartja az egyének adatvédelmi jogait és elkötelezett a Személyes Adatok felelős kezelése iránt, az alkalmazandó jogszabályokkal, az alkalmazandó szerződéses kötelezettségekkel és a GE Személyes Adatok Védelmére Vonatkozó Kötelezettségvállalásával (a Kötelezettségvállalás) összhangban, az alábbiakban bemutatottak szerint. A Kötelezettségvállalás meghatározza az GE irányelveit a személyes adatok GE által vagy a GE nevében történő kezelésére vonatkozóan.
A Kötelezettségvállalás megteremti a jogalapot a Személyes Adatok GE Csoporton (a GE vállalat összes teljes vagy többségi tulajdonú leányvállalata, ide értve az Electric Insurance Company vállalatot és annak leányvállalatait) belüli, határokon átívelő továbbításához, valamint ideértve azokat az eseteket is, amikor a GE Csoport tagjai a Kötelezettségvállalás vonatkozó részeit adatfeldolgozóként tartják be. Ezenkívül a GE a Személyes Adatokat határokon átívelő módon továbbíthatja a GE Csoporton kívüli harmadik felek számára az alkalmazandó jogszabályokkal összhangban. A GE a Személyes Adatokat a Kötelezettségvállalással összhangban kezeli, kivéve, ha az ütközik a helyi jogszabályok szigorúbb követelményeivel, amely esetben a helyi jogszabályok az alkalmazandók.
Hatály
A Kötelezettségvállalás célja annak biztosítása, hogy a Személyes Adatok a földrajzi helytől és technológiától függetlenül védelmet élvezzenek, amikor azokat a GE Csoporton belül használják fel, valamint a GE Személyes Adatok és GE Ügyfelek Személyes Adatai kezelésére alkalmazandó.
Személyes Adatok Kezelése
A GE a Személyes Adatok kezelése során betartja az alábbi alapelveket:
Tisztességesség : A GE a Személyes Adatokat tisztességesen és jogszerűen kezeli.
Cél : A GE a Személyes Adatok kezelését a GE konkrét, jogszerű céljainak teljesítéséhez szükséges mértékre korlátozza. A GE olyan adatkezelést folytat, amely megfelel az ilyen céloknak, kivéve, ha a GE vagy a GE Ügyfele (amennyiben a GE az adatfeldolgozó) egyértelmű hozzájárulással rendelkezik a nem kapcsolódó célok tekintetében történő adatkezelésre.
Általánosságban a GE akkor kezeli a Személyes Adatokat:
- amennyiben a GE jogszerű érdekkel bír, ami az adott esetet mérlegelve, indokolja az adatkezelést;
- amennyiben az szükséges a GE és az egyén közötti jogviszony fenntartásához vagy teljesítéséhez;
- amennyiben az szükséges a GE számára alkalmazandó törvény, jogszabály vagy hatóság által előírt kötelezettségnek való megfeleléshez;
- amennyiben az egyén vagy másik személy életét, egészségét vagy biztonságát fenyegető kivételes helyzet áll fenn;
- az egyén szabad akaratából adott, kifejezett és tájékoztatáson alapuló beleegyezésének megszerzését követően, ahol azt az alkalmazandó jogszabályok előírják;
- amennyiben az adatkezelés az Ügyféllel kötött szolgáltatási szerződéssel kapcsolatban történik.
Amennyiben a hozzájárulást közvetlenül a GE szerezte meg, a GE az egyének rendelkezésére bocsátja a beleegyezésük visszavonására szolgáló folyamatot az alkalmazandó jogszabályok által előírt mértékben, amely visszavonást bármikor és díj felszámítása nélkül tehetik meg.
Arányosság : A GE a Személyes Adatok kezelését a megfelelő, releváns és nem túlzott mértékűre korlátozza azon célokat figyelembe véve, amelyekre a GE az adatokat gyűjti és felhasználja.
Adatminőség : A GE észszerű lépéseket tesz – és amennyiben a GE az adatfeldolgozó az Ügyfél számára eszközöket biztosít – annak biztosítására, hogy a Személyes Adatok pontosak és naprakészek legyenek, hogy a Személyes Adatokat csak addig őrizzék meg, ameddig az szükséges arra a célra, amelyre azokat gyűjtötték és felhasználták, és miután teljesültek a vonatkozó megőrzési követelmények azok törlésére vagy névtelenné tételére.
Átláthatóság : Amennyiben az alkalmazandó jogszabályok előírják, a GE a gyűjtés helyén, vagy a gyűjtéstől számított észszerű időtartamon belül az egyének rendelkezésére bocsátja a GE azonosító adataira; az egyének Személyes Adatai kezelésének céljaira és jogi alapjára; a tervezett címzettekre és határon átívelő adattovábbításra; a Személyes Adatok forrására/forrásaira; az egyéneknek a Személyes Adatokkal kapcsolatban fennálló jogai gyakorlásának módjára; az Adatvédelmi Tisztviselő (ha van) kapcsolattartási adataira vonatkozó információkat; valamint a tisztességes adatkezelés biztosításához szükséges további magyarázatokat. Amennyiben a GE az interneten keresztül vagy egyéb elektronikus úton gyűjti a Személyes Adatokat, a GE könnyen elérhető, ezen átláthatósági követelményeknek megfelelő adatvédelmi tájékoztatót tesz közzé.
Bizalmas kezelés : A GE biztosítja az általa kezelt Személyes Adatok bizalmas kezelését, kivéve, ha azok felfedését alkalmazandó operatív vagy jogi követelmény írja elő. Ez a kötelezettség azt követően is fennmarad, amikor az egyénnel vagy – amennyiben a GE adatfeldolgozó – az Ügyféllel fennálló kapcsolat véget ért.
Biztonság : A GE arra törekszik, hogy a Személyes Adatokat a megfelelő műszaki és szervezeti intézkedések segítségével megvédje, biztosítva azok integritását, bizalmas kezelését, biztonságát és rendelkezésre állását. A GE tájékoztatja az egyéneket a GE Személyes Adataikat érintő olyan biztonsági szabályszegésekről, amelyek magas kockázatot jelenthetnek az egyéni jogaik és szabadságjogaik tekintetében. Az alkalmazandó jogszabályokkal összhangban, a GE észszerű segítséget nyújt az Ügyfeleknek – amennyiben a GE az adatfeldolgozó – az általuk végzett adatkezelés biztonságának garantálása érdekében, és tájékoztatja a GE Ügyfeleit a GE Ügyfelek Személyes Adatai biztonságának megsértéséről, az ilyen jogszabályokban előírtak szerint.
Személyes Adatok megosztása és/vagy továbbítása
A GE a Személyes Adatokat megoszthatja/továbbíthatja az alábbi körülmények között:
- A Személyes Adatok megoszthatók a GE Csoporton belül a fent meghatározott célokra, feltéve, hogy a GE Csoport Személyes Adatokat kezelő egysége betartja a jelen Kötelezettségvállalásban foglaltakat.
- A GE egyes olyan kiválasztott beszállítók vagy szolgáltatók számára rendelkezésre bocsáthat Személyes Adatokat, melyekkel arra szerződött, hogy azok a GE nevében bizonyos adatkezelési vagy egyéb szolgáltatásokat hajtsanak végre. A GE, szerződéssel vagy egyéb jogilag engedélyezett úton annak biztosítására törekszik, hogy az új beszállítói kötelezettségvállalásokban előírják a Személyes Adatoknak a jelen Kötelezettségvállalással és az alkalmazandó jogszabályokkal konzisztens kezelését. Az ilyen szerződések értelmében a beszállítóknak megfelelő biztonsági intézkedéseket kell bevezetniük, és a Személyes Adatokat csak a GE utasításaival összhangban kezelhetik.
- • A GE felfedhet bizonyos Személyes Adatokat egyéb harmadik felek előtt, ha azt jogszabály írja elő, vagy a GE jogainak védelme érdekében, vagy a GE bármely egyesülési vagy felvásárlási tevékenysége, vagy a GE bármely részének fizetésképtelensége vagy átszervezése kapcsán.
Különleges Személyes Adatok kezelése
Amennyiben a GE Különleges Személyes Adatokat kezel és/vagy továbbít, a GE tájékoztatja az egyént a kezelésről és/vagy továbbításról, és kifejezett beleegyezést szerez az ilyen kezeléshez és/vagy továbbításhoz, ha a GE számára ezt alkalmazandó jogszabály írja elő. A megfelelő biztonsági intézkedések megtétele az adatok jellege és a tervezett felhasználáshoz kapcsolódó kockázatok függvényében történik.
Elszámoltathatóság
A GE elszámoltatható a Kötelezettségvállalásban foglalt követelmények betartásáért, valamint az alkalmazandó jogszabályok értelmében. A GE különösen
- megteszi a szükséges intézkedéseket a Kötelezettségvállalásban és az alkalmazandó jogszabályokban foglalt követelmények betartására; valamint
- rendelkezik a szükséges belső mechanizmusokkal az ilyen megfelelőség igazolására, ideértve nyilvántartás vezetését az adatkezelési tevékenységéről, az alkalmazandó jogszabályokkal összhangban.
Adatvédelmi program
A GE olyan adatvédelmi gyakorlatokat alkalmaz, amelyek a Kötelezettségvállalásának és az alkalmazandó jogszabályoknak való megfelelés elősegítésére lettek tervezve, ideértve az adatvédelmi vezetők hálózatának kinevezését, oktatási és tudatosságnövelő programokat, eseményekre adott válaszlépések protokolljait, adatvédelmi hatásvizsgálatokat, auditrutinokat, valamint egy beépített adatvédelmi (Privacy by Design) megközelítést a folyamatok és a rendszer fejlesztése terén.
Egyéni jogok
Az alkalmazandó jogszabályokkal összhangban bármely olyan egyén, aki kielégítő módon igazolta a személyazonosságát a GE előtt, gyakorolhatja az alábbi jogokat a tőle a GE által közvetlenül gyűjtött Személyes Adatok tekintetében; amennyiben a GE adatfeldolgozó, a GE segítséget nyújt az Ügyfélnek az egyénekkel szembeni adatvédelmi kötelezettségei teljesítéséhez:
Hozzáférés : Amennyiben az alkalmazandó jogszabályok ezt előírják, a GE az egyén számára rendelkezésre bocsátja az általa az adott egyénről birtokolt Személyes Adatokat, ide értve a Személyes Adatok forrását, a GE általi bármely adatkezelés céljait, valamint az adatokhoz hozzáférőket, vagy a hozzáférők kategóriáit, akik számára az ilyen Személyes Adatokat a GE felfedi.
Módosítás és törlés : A hiányos, pontatlan vagy túlzott mértékű Személyes Adatok kijavítására vagy törlésére vonatkozó érvényes kéréseket tiszteletben tartjuk, és ilyen minőségében visszaigazoljuk azokat, kivéve, ha a törlésre nem kerül sor, amennyiben az adatok megőrzését a GE és az egyén közötti szerződéses kapcsolat, valamilyen jogvita körülményei vagy egyéb törvényes megőrzési követelmény teszi szükségessé, vagy azt egyébként alkalmazandó jogszabályok írják elő.
Tiltakozás : A GE beszünteti a Személyes Adatok kezelését, amennyiben az egyén tiltakozása az alkalmazandó jogszabályok értelmében indokolt, például ha az egyén élete vagy egészsége veszélyben van az adatok kezelése miatt. Az egyénnek szintén jogában áll, hogy tiltakozzon a Személyes Adatok pusztán automatikus feldolgozásán alapuló döntések ellen, ha az az érintett egyénre jelentős hatást kifejtő joghatással bír, kivéve, ha az egyén kérte az adatok kezelését, vagy ha az szükséges a GE és az egyén közötti jogviszonyhoz. Ez utóbbi esetben az egyén kifejtheti az automatizált döntéshozatalra vonatkozó véleményét. Az egyénnek jogában áll, hogy tiltakozzon a Személyes Adatok GE általi marketingcélú kezelése ellen, ha azt az alkalmazandó jogszabályok lehetővé teszik. Ezen tiltakozási jog gyakorlását felülírhatja az, ha a GE bizonyítani tudja, hogy az adatkezelés folytatására vonatkozó kényszerítő jogos érdeke elsőbbséget élvez az egyén érdekeivel vagy alapvető jogaival és szabadságjogaival szemben.
Korlátozás : Az egyén jogosult továbbá a GE Személyes Adatainak GE általi bárminemű kezelésének korlátozását kérni, amennyiben az ilyen jog az alkalmazandó jogszabályok értelmében rendelkezésre áll, például amennyiben vitatott a GE Személyes Adatok pontossága. A GE beszünteti az ilyen adatok kezelését, ha korlátozás indokolt, kivéve a tárolást és az alkalmazandó jogszabályok értelmében engedélyezett egyéb adatkezelést.
Panasztétel : Bármely egyén, aki azt állítja, hogy a GE Csoport valamely egysége a Kötelezettségvállalásoknak való meg nem felelése miatt kárt szenvedett el, panaszt nyújthat be a megfelelő GE Csoport Adatvédelmi Vezetőhöz vagy Compliance Vezetőhöz, vagy a GE panaszkezelési folyamatain keresztül, amelyek a GE weboldalain érhetők le, ha egyéb panasztételi utak nem érhetők el, vagy azokat már kimerítették:
- Az aggályok belső jelentése : integrity.ge.com vagy security.ge.com
- Az aggályok külső jelentése : [email protected], [email protected] vagy [email protected]
Amennyiben a GE valamely aggályt indokoltnak talál, megteszi az észszerű lépéseket a panasz megoldására, az egyén észszerű megelégedésére. A GE arra törekszik, hogy a kézhezvételtől számított 30 napon belül válaszoljon a panaszokra. Azok az egyének, akik a GE-nek a Kötelezettségvállalásnak való megfelelésével kapcsolatos panaszuk van az APEC Cross Border Privacy Rules (CBPR) rendszer által szabályozott országokban, a GE Egyesült Államokban található harmadik fél vitarendezési szolgáltatójához fordulhatnak (ingyenesen) az alábbi címen: https://feedback-form.truste.com/watchdog/request
Érvényesítés : A Kötelezettségvállalás megszegése eredményeképpen kárt elszenvedő egyén jogosult lehet kártérítésre az ilyen károk után, az alkalmazandó jogszabályokban foglaltakkal összhangban és a Kötelezettségvállalásban meghatározottak szerint. A kártérítésre jogosult egyén az alkalmazandó jogszabályokkal összhangban a Kötelezettségvállalásban előírt jogait érvényesítheti közvetlenül a bíróságokhoz vagy egyéb igazságügyi hatósághoz fordulva.
Együttműködés a felügyeleti hatóságokkal
A GE minden olyan illetékes nemzeti vagy regionális felügyeleti hatósággal együttműködik, amely az alkalmazandó adatvédelmi jogszabályok felügyeletéért felel és megfelelő indoka van a Személyes Adatok GE általi kezelése bármely folyamatának megkérdőjelezésére, valamint betartja az ilyen illetékes felügyeleti hatóságok Kötelezettségvállalással kapcsolatos kérdésben hozott határozataiban foglaltakat.
A Kötelezettségvállalás módosítása
A GE fenntartja a jogot a Kötelezettségvállalás módosítására. Minden jelentős változtatás benyújtásra kerül a GE fő Adatvédelmi Hatóságához és/vagy megbízhatóságijel-ügynökéhez (ha van), valamint értesítést tesznek közzé róla a GE honlapján.
Fogalommeghatározások
Személyes Adatok: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ.
GE Személyes Adatok: bármely olyan Személyes Adat, amelyet az egyénnek a GE-vel fennálló kapcsolata körében szereznek be, és amelyet a GE a saját céljaira kezel. Ilyen GE Személyes Adat lehet például a GE-vel fennálló munkaviszony kapcsán szerzett munkavállalási adatok, a GE-vel fennálló ügyfélkapcsolat kapcsán szerzett ügyféladatok, valamint a GE beszállítóitól szerzett beszállítói adatok.
GE Ügyfelek Személyes Adatai: olyan Személyes Adatok, amelyeket a GE általi valamely Ügyfélnek szolgáltatási megállapodás keretében nyújtott szolgáltatások során szereznek be, és amelyeket a GE az Ügyfél nevében dolgoz fel.
Ügyfél: természetes vagy jogi személy, aki/amely szolgáltatási megállapodást köt a GE-vel.
Különleges Személyes Adatok: a Személyes Adatok egy speciális kategóriája, faji vagy etnikai hovatartozásra, politikai nézetekre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra, genetikai adatokra, biometrikus adatokra, egészségi állapotra, szexuális életre vagy szexuális beállítottságra vonatkozó adatok.