GE's beleid omtrent de bescherming van persoonlijke gegevens

 

Inleiding

GE respecteert de privacyrechten van personen en streeft ernaar persoonlijke gegevens op verantwoorde wijze te behandelen, in overeenstemming met de toepasselijke wetgeving, geldende contractuele verplichtingen en GE's beleid omtrent de bescherming van persoonlijke gegevens (het Beleid), zoals hieronder beschreven. Het Beleid beschrijft de principes van GE voor de verwerking van Persoonlijke gegevens door en namens GE.

Het Beleid vormt een juridische basis voor grensoverschrijdende overdracht van persoonlijke gegevens binnen de GE Group (alle afdelingen die geheel of grotendeels eigendom zijn van GE Company, waaronder Electric Insurance Company en haar dochterondernemingen), met inbegrip van waar leden van de GE Group zich als gegevenswerkers houden aan relevante onderdelen van het Beleid. Bovendien mag GE grensoverschrijdende overdracht van persoonlijke gegevens uitvoeren aan derden buiten de GE Group in overeenstemming met de toepasselijke wetgeving. GE verwerkt Persoonlijke gegevens in overeenstemming met het Beleid waar dit van toepassing is, tenzij dit in strijd is met strengere vereisten van de lokale wetgeving, in welk geval de lokale wetgeving voorrang heeft.

Toepassingsgebied

Het Beleid is bedoeld om ervoor te zorgen dat persoonlijke gegevens worden beschermd ongeacht geografische locatie of technologie, wanneer deze worden gebruikt binnen de GE Group, en is van toepassing op GE's verwerking van persoonlijke gegevens van GE en persoonlijke gegevens van GE-klanten.

Verwerking van persoonlijke gegevens

GE houdt zich aan de volgende principes bij het verwerken van persoonlijke gegevens:

Eerlijkheid : GE verwerkt persoonlijke gegevens eerlijk en rechtmatig.

Doel : GE zal de verwerking van persoonlijke gegevens beperken tot de uitvoering van de specifieke, legitieme doeleinden van GE. GE zal alleen verwerking uitvoeren die compatibel is met dergelijke doeleinden, tenzij GE, of de klant waarvoor GE een verwerker is, ondubbelzinnige toestemming heeft voor ongerelateerde doeleinden.

In het algemeen zal GE persoonlijke gegevens verwerken:

  • indien GE een legitiem belang heeft dat de verwerking per saldo rechtvaardigt;
  • indien nodig voor het onderhoud of de uitvoering van een wettelijke relatie tussen GE en de persoon;
  • indien nodig voor het naleven van een verplichting die door toepasselijke wet- of regelgeving of door een overheidsinstantie aan GE is opgelegd;
  • in uitzonderlijke situaties die het leven, de gezondheid of de veiligheid van de persoon of van iemand anders bedreigen;
  • na het verkrijgen van de vrijelijk verstrekte, expliciete en geïnformeerde toestemming van de persoon, indien vereist door de toepasselijke wetgeving;
  • indien de verwerking verband houdt met een serviceovereenkomst voor Klanten.

Indien GE rechtstreeks toestemming heeft verkregen, zal GE een proces bieden waarmee personen op elk gewenst moment en zonder kosten hun toestemming kunnen intrekken voor zover dit volgens de toepasselijke wetgeving vereist is.

Evenredigheid : GE beperkt de verwerking van Persoonlijke gegevens tot de doeleinden waarvoor GE deze verzamelt en gebruikt. Dit zal voldoende, relevant en niet overmatig zijn.

Kwaliteit van gegevens : GE zal redelijke stappen ondernemen om Klanten een manier te bieden om ervoor te zorgen dat persoonlijke gegevens correct zijn en up-to-date worden gehouden, om persoonlijke gegevens alleen te bewaren voor de doeleinden waarvoor deze worden verzameld en gebruikt, en om deze te verwijderen of anoniem te maken nadat aan deze behoudvereisten is voldaan. Dit zal ook het geval zijn wanneer GE verwerker is voor een klant.

Transparantie : Indien vereist door toepasselijke wetgeving, zal GE op het moment van verzamelen, of binnen een redelijke termijn na verzamelen, het volgende beschikbaar stellen aan personen: informatie over de identiteit van GE; de doeleinden en juridische basis van de verwerking van hun Persoonlijke gegevens; beoogde ontvangers en grensoverschrijdende gegevensoverdracht; bron(nen) van persoonlijke gegevens; hoe personen hun rechten met betrekking tot Persoonlijke gegevens kunnen uitoefenen; contactgegevens voor de Gegevensbeschermingfunctionaris, indien van toepassing; en aanvullende uitleg indien nodig om voor een eerlijke verwerking te zorgen. Wanneer GE Persoonlijke gegevens verzamelt via het internet of andere elektronische middelen, zal GE een gemakkelijk toegankelijke privacyverklaring plaatsen die aan deze transparantievereisten voldoet.

Vertrouwelijkheid : GE handhaaft de vertrouwelijkheid van de Persoonlijke gegevens die worden verwerkt, behalve wanneer openbaarmaking vereist wordt door een toepasselijke operationele of wettelijke vereiste. Deze verplichting blijft bestaan, zelfs nadat de relatie met de persoon, of de klant waar GE een verwerker is, is beëindigd.

Beveiliging : GE streeft ernaar Persoonlijke gegevens te beschermen met de juiste technische en organisatorische maatregelen om de integriteit, vertrouwelijkheid, veiligheid en beschikbaarheid te waarborgen. GE informeert personen over een inbreuk op de beveiliging die hun persoonlijke GE-informatie treft die een hoog risico kan vormen voor hun individuele rechten en vrijheden. In overeenstemming met de toepasselijke wetgeving zal GE Klanten redelijke hulp bieden, indien GE een verwerker is, om de veiligheid van hun verwerking te garanderen en zal GE Klanten informeren over een inbreuk op de beveiliging van de Persoonlijke gegevens van GE-klanten zoals vereist volgens deze wetten.

Persoonlijke gegevens delen en/of overdragen

GE mag onder de volgende omstandigheden persoonlijke gegevens delen of overdragen:

  • Persoonlijke gegevens kunnen binnen de GE Group worden gedeeld voor de hierboven gespecificeerde doeleinden, mits de entiteit van de GE Group die Persoonlijke gegevens verwerkt aan deze verplichting voldoet.
  • GE kan Persoonlijke gegevens verstrekken aan geselecteerde leveranciers of dienstverleners die zijn ingehuurd om namens GE bepaalde verwerkings- of andere services uit te voeren. GE zal ernaar streven om ervoor te zorgen dat nieuwe contracten met leveranciers voorschrijven dat de verwerking van Persoonlijke gegevens op een wijze die in overeenstemming is met dit Beleid en toepasselijke wetgeving plaatsvindt, door middel van een wettelijke relatie die is aangegaan via een contract of door middel van andere wettelijk toegestane middelen. Onder dergelijke contracten moeten leveranciers afdoende beveiligingsmaatregelen treffen en mogen Persoonlijke gegevens uitsluitend worden verwerkt in overeenstemming met de instructies van GE.
  • GE kan bepaalde Persoonlijke gegevens openbaar maken aan derden waar dit wettelijk is vereist, om de wettelijke rechten van GE te beschermen, of in verband met fusie- of overnameactiviteiten van GE of de insolventie of reorganisatie van enig onderdeel van GE.

Verwerking van Gevoelige persoonlijke gegevens

Indien GE Gevoelige persoonlijke gegevens verwerkt en/of overdraagt, zal GE de persoon informeren over deze verwerking en/of dit overdracht en uitdrukkelijke toestemming verkrijgen voor dergelijke verwerking en/of overdracht wanneer GE daartoe wettelijk verplicht is. Afhankelijk van de aard van deze gegevens en de risico's die zijn verbonden aan het beoogde gebruik, zullen passende beveiligingsmaatregelen worden getroffen.

Aansprakelijkheid

GE is verantwoordelijk voor het voldoen aan de vereisten die zijn vastgelegd in het Beleid en toepasselijke wetgeving. In het bijzonder zal GE:

  • de noodzakelijke maatregelen nemen om de vereisten van het Beleid en toepasselijke wetgeving in acht te nemen; en
  • zorgen dat de noodzakelijke interne mechanismen aanwezig zijn om deze naleving aan te tonen, inclusief het bijhouden van registratie van de verwerkingsactiviteiten in overeenstemming met de toepasselijke wetgeving.

Privacyprogramma

GE hanteert privacyprocedures die zijn ontworpen om te voldoen aan het Beleid en toepasselijke wetgeving, waaronder de benoeming van een netwerk van privacyleiders, opleidings- en bewustzijnsprogramma's, protocollen voor het reageren op incidenten, privacy-impactbeoordelingen, auditprocedures en een 'privacy by design'-benadering voor proces- en systeemontwikkeling.

Individuele rechten

In overeenstemming met toepasselijke wetgeving mag een persoon die naar tevredenheid zijn of haar identiteit bij GE heeft vastgesteld, de volgende rechten uitoefenen met betrekking tot persoonlijke gegevens die GE rechtstreeks van hem of haar heeft verzameld; of indien GE een verwerker is, zal GE de klant helpen om te voldoen aan zijn privacyverplichtingen jegens personen:

Toegang : Indien door toepasselijke wetgeving vereist, verstrekt GE Persoonlijke gegevens aan een persoon die GE over hem of haar bezit, inclusief informatie over de bron van de Persoonlijke gegevens, het doel van verwerking door GE en de ontvangers of categorieën ontvangers aan wie deze Persoonlijke gegevens worden bekendgemaakt.

Correctie en verwijdering : Geldige verzoeken voor correctie of verwijdering van onvolledige, onnauwkeurige of overmatige Persoonlijke gegevens worden gerespecteerd en als zodanig bevestigd. Verwijdering zal echter worden uitgevoerd indien behoud vereist is wegens de contractuele relatie tussen GE en de persoon, in het kader van een juridisch geschil of andere wettelijke bewaarplicht, of zoals anderszins vereist door toepasselijk recht.

Bezwaar : GE stopt met het verwerken van Persoonlijke gegevens als het bezwaar van een persoon gerechtvaardigd is volgens de toepasselijke wetgeving, bijvoorbeeld wanneer het leven of de gezondheid van de persoon in gevaar is door de verwerking. Een persoon heeft ook het recht bezwaar te maken tegen beslissingen uitsluitend gebaseerd op geautomatiseerde verwerking van Persoonlijke gegevens die juridische effecten opleveren die de betrokken persoon aanzienlijk beïnvloeden, behalve wanneer de persoon de verwerking heeft aangevraagd of wanneer dit nodig is voor de juridische relatie tussen GE en de persoon. In het laatste geval kan de persoon zijn of haar mening geven over de geautomatiseerde beslissing. Een persoon heeft het recht om bezwaar te maken tegen verwerking van Persoonlijke gegevens door GE voor marketingdoeleinden, indien toegestaan door de toepasselijke wetgeving. De uitoefening van dit recht op bezwaar kan vervallen wanneer GE kan aantonen dat het dwingende legitieme belang van het voortzetten van de verwerking groter is dan de belangen of fundamentele rechten en vrijheden van de persoon.

Beperking : Een persoon heeft ook het recht om de beperking van de verwerking van GE van zijn of haar Persoonlijke gegevens van GE aan te vragen, voor zover een dergelijk recht wordt geboden onder toepasselijke wetgeving, bijvoorbeeld wanneer de nauwkeurigheid van de Persoonlijke gegevens van GE wordt betwist. GE stopt met het verwerken van dergelijke informatie als de beperking gerechtvaardigd is, met uitzondering van opslag en andere toegestane verdere verwerking onder toepasselijk recht.

Klachten : Elke persoon die beweert schade te hebben opgelopen als gevolg van niet-naleving van het Beleid door een entiteit van de GE Group, kan een klacht indienen bij de betreffende Privacyleider of Nalevingsfunctionaris van de GE Group, of via de klachtenafhandelingsprocessen van GE die beschikbaar zijn op de websites van GE als andere kanalen niet beschikbaar zijn:

Als GE van mening is dat de klacht gerechtvaardigd is, zal GE redelijke stappen ondernemen om de klacht naar tevredenheid van de persoon op te lossen. GE probeert binnen dertig dagen na ontvangst op klachten te reageren. Een persoon met een onopgeloste klacht over de naleving door GE van het Beleid in landen die onder de APEC Cross Border Privacy Rules vallen, kan (gratis) contact opnemen met de in de VS gevestigde derde partij voor geschillenbeslechting op https://feedback-form.truste.com/watchdog/request

Handhaving : Een persoon die schade heeft opgelopen als gevolg van een schending van het Beleid, heeft mogelijk recht op vergoeding van dergelijke schade in overeenstemming met de toepasselijke wetgeving en zoals bepaald in het Beleid. Een persoon die recht heeft op het ontvangen van een vergoeding kan zijn of haar rechten afdwingen zoals bepaald in het Beleid door directe gang naar de rechtbank of andere juridische autoriteit in overeenstemming met de toepasselijke wetgeving.

Samenwerking met toezichthouders

GE zal samenwerken met bevoegde nationale of regionale toezichthoudende instanties die verantwoordelijk zijn voor het toezicht op de toepasselijke privacywetgeving die een goede reden heeft om vragen te stellen over de verwerking van Persoonlijke gegevens door GE, en zal de beslissingen van dergelijke bevoegde toezichthouders met betrekking tot het Beleid naleven.

Wijzigingen aan het Beleid

GE behoudt zich het recht voor om het Beleid te wijzigen. Alle belangrijke wijzigingen zullen, indien van toepassing, worden ingediend bij de toonaangevende Gegevensbeschermingsautoriteit van GE en/of de vertrouwensagent, en worden op de website van GE bekendgemaakt.

Definities

Persoonlijke gegevens zijn alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon.

Persoonlijke gegevens van GE zijn alle Persoonlijke gegevens die worden verkregen in de context van de relatie van een persoon met GE en die GE voor eigen doeleinden verwerkt. Dergelijke Persoonlijke gegevens van GE kunnen bijvoorbeeld betrekking hebben op arbeidsgegevens die zijn verkregen in de context van een arbeidsrelatie met GE, klantgegevens die zijn verkregen in de context van een klantrelatie met GE en leveranciersgegevens die zijn verkregen van de leveranciers van GE.

Persoonlijke gegevens van GE-klanten zijn Persoonlijke gegevens die worden verkregen in het kader van de levering van diensten door GE aan een Klant onder een serviceovereenkomst en die GE namens de Klant verwerkt.

Klant is een persoon of entiteit die een serviceovereenkomst aangaat met GE.

Gevoelige persoonlijke gegevens , een speciale categorie Persoonlijke gegevens, zijn informatie over ras of etnische afkomst, politieke meningen, religieuze of filosofische overtuigingen, lidmaatschap van vakbonden, genetische gegevens, biometrische gegevens, en gegevens over gezondheid, seksleven of seksuele geaardheid.