GEs forpliktelse til å beskytte personopplysninger

Innledning

GE respekterer personvernrettigheter og er forpliktet til å behandle personopplysninger på en ansvarlig måte, i samsvar med gjeldende lovgivning, relevante kontraktsforpliktelser og GEs forpliktelse til vern av personopplysninger (Forpliktelsen), som beskrives nedenfor. Forpliktelsen legger frem GEs prinsipper for behandling av personopplysninger av fysiske personer, av og på vegne av GE.

Forpliktelsen danner et juridisk grunnlag for internasjonal overføring av personlig informasjon innenfor GE-gruppen (alle heleide eller majoritetseide virksomheter innenfor GE Company, inkludert Electric Insurance Company og dets underordnede selskaper), inkludert der medlemmer av GE-gruppen følger de relevante delene av forpliktelsen som databehandlere. I tillegg kan GE overføre personlig informasjon internasjonalt til tredjeparter utenfor GE-gruppen i samsvar med gjeldende lovgivning. GE vil håndtere personopplysninger i samsvar med forpliktelsen der dette er relevant, bortsett fra hvis dette er i konflikt med strengere krav i lokal lovgivning. I slike tilfeller har lokal lovgivning forrang.

Omfang

Forpliktelsen er utformet for å sikre at personopplysninger blir beskyttet, uavhengig av geografi eller teknologi, når den benyttes innenfor GE-gruppen, og gjelder GEs behandling av personlig GE-informasjon og personlig informasjon om GE-kunder.

Behandling av personopplysninger

GE følger de følgende prinsippene ved behandling av personopplysninger:

Rettferdighet : GE skal behandle personopplysninger på en rettferdig og lovlig måte.

Formål : GE skal begrense behandlingen av personopplysninger til det som er nødvendig for å oppfylle GEs spesifikke, legitime formål. GE skal bare utføre behandling som er kompatibel med slike formål, med mindre GE eller GEs kunder, der GE er behandler, har gitt utvetydig samtykke til ikke-relaterte formål.

Generelt skal GE behandle personopplysninger:

  • der GE har en legitim interesse som i sum berettiger behandlingen,
  • der det er nødvendig for å opprettholde eller oppfylle et juridisk forhold mellom GE og enkeltpersonen,
  • der det er nødvendig for å oppfylle en forpliktelse som er pålagt GE av gjeldende lovgivning, regelverk eller offentlige myndigheter,
  • der eksepsjonelle omstendigheter truer enkeltpersonens eller en annen persons liv, helse eller sikkerhet,
  • etter å ha innhentet enkeltpersonens frivillige, uttrykte og informerte samtykke der dette kreves av gjeldende lovgivning,
  • der behandlingen skjer i forbindelse med en tjenesteavtale med en kunde

Der GE direkte har innhentet samtykke, skal GE sørge for en prosess som gir enkeltpersoner muligheten til å trekke tilbake sitt samtykke, i den grad dette kreves av gjeldende lovgivning, når som helst og uten kostnad.

Proporsjonalitet : GE skal begrense behandlingen av personopplysninger til det som er adekvat, relevant og ikke overdreven i forhold til de formålene som GE samler inn og bruker informasjonen til.

Informasjonskvalitet : GE skal, der GE er behandler av personopplysninger, iverksette rimelige tiltak for å gi kundene mulighet til å sikre at personlig informasjon er korrekt og oppdatert. Slike personopplyninger skal bare oppbevares så lenge det er nødvendig for de formålene de samles inn og brukes til, og skal slettes eller anonymiseres når slike behov for oppbevaring ikke lenger er til stede.

Transparens : Der det gjeldende lovverket krever det, skal GE ved innsamlingstidspunktet, eller innen rimelig tid fra innsamlingstidspunktet, gi enkeltpersoner informasjon om GEs identitet, formålene og det juridiske grunnlaget for behandlingen av personopplysningene deres, om tiltenkte mottakere og internasjonal overføring av data, om kilder til personopplysningene, om hvordan enkeltpersoner kan utøve sine rettigheter vedrørende personlig informasjon, kontaktinformasjon til den ansvarlige for databeskyttelse der dette er aktuelt, og ytterligere forklaringer ved behov, for å sikre rettferdig behandling. Der GE samler inn personopplysninger via Internett eller andre elektroniske metoder, skal GE legge ut en enkelt tilgjengelig personvernerklæring som oppfyller disse kravene til transparens.

Konfidensialitet : GE skal holde personopplysninger som behandles, konfidensielle, bortsett fra der videreformidling er nødvendig på grunn av relevante driftsmessige eller juridiske krav. Denne forpliktelsen vedvarer også etter at forholdet til enkeltpersonen, eller kunden der GE er databehandler, er avsluttet.

Sikkerhet : GE arbeider for å beskytte personopplysninger med egnede tekniske og organisasjonsmessige midler for å sikre informasjonens integritet, konfidensialitet, sikkerhet og tilgjengelighet. GE skal informere enkeltpersoner om sikkerhetsbrudd som berører deres personopplysninger, der dette kan utsette deres rettigheter og friheter for høy risiko. I samsvar med gjeldende lovgivning skal GE, der GE er databehandler, gi kunder rimelig assistanse for å sørge for at behandlingen er sikker. GE skal informere GE-kunder om sikkerhetsbrudd som berører deres personopplysninger, i samsvar med gjeldende lovgivning.

Deling og/eller overføring av personopplysninger

GE kan dele eller overføre personopplysninger i følgende situasjoner :

  • Personopplysninger kan deles innenfor GE-gruppen for de formålene som er spesifisert ovenfor, så lenge den enheten i GE-gruppen som behandler personopplysninger, overholder denne forpliktelsen.
  • GE kan gi utvalgte leverandører eller tjenesteleverandører som utfører visse behandlingstjenester eller andre tjenester på GEs vegne, tilgang til personopplysninger. GE skal ved inngåelse av nye leverandørengasjementer bestrebe seg for å sikre at deres behandling av personopplysninger er i samsvar med denne forpliktelsen og gjeldende lovgivning, gjennom en juridisk relasjon opprettet gjennom kontrakt eller andre juridisk tillatte metoder. I henhold til slike kontrakter må leverandører iverksette tilstrekkelige sikkerhetstiltak og får bare behandle personopplysninger i samsvar med GEs instruksjoner.
  • • GE kan videreformidle bestemte personopplysninger til andre tredjeparter, dersom loven krever det, for å beskytte GEs juridiske rettigheter, eller i forbindelse med eventuelle GE-fusjons eller -oppkjøpsaktiviteter eller i tilfelle insolvens eller omorganisering av noen del av GE.

Behandling av sensitive personopplysninger

Der GE behandler og/eller overfører sensitive personopplysninger, skal GE informere enkeltpersonen om behandlingen og/eller overføringen og innhente uttrykkelig samtykke til slik behandlingen og/eller overføring når gjeldende lovgivning krever at GE gjør dette. Egnede sikkerhetstiltak skal iverksettes avhengig av opplysningenes art og risikoen knyttet til deres tiltenkte bruk.

Ansvarlighet

GE er ansvarlig for å oppfylle kravene fra forpliktelsen og gjeldende lovgivning. Spesielt skal GE

  • iverksette nødvendige tiltak for å overholde kravene fra denne forpliktelsen og gjeldende lovgivning og
  • ha nødvendige interne mekanismer på plass for å dokumentere slik overholdelse, inkludert loggføring av behandlingsaktiviteter i samsvar med gjeldende lovgivning

Personvernprogram

GE følger rutiner for personvern som er utformet for å støtte GEs overholdelse av denne forpliktelsen og gjeldende lovgivning, inkludert utnevnelse av et nettverk av personvernledere, opplæring og bevisstgjøringsprogrammer, protokoller for respons ved hendelser, evalueringer av konsekvenser ved manglende personvern, revisjonsrutiner og en tilnærming til prosess- og systemutvikling der personvern er integrert i utformingen.

Enkeltpersoners rettigheter

I samsvar med gjeldende lovgivning kan en enkeltperson som i tilfredsstillende grad har identifisert seg overfor GE, utøve følgende rettigheter i forbindelse med personopplysninger som GE har samlet inn direkte fra personen. Der GE er behandler, skal GE assistere kunden i å oppfylle sine personvernforpliktelser overfor enkeltpersoner:

Tilgang : Der det kreves av gjeldende lovgivning, skal GE gi en enkeltperson de personopplysninger som GE besitter om vedkommende, inkludert informasjon om kilden til denne personlige informasjonen, formålet ved eventuell behandling som GE eller mottakerne utfører, eller kategorier av mottakere som mottar slike personopplysninger.

Retting og sletting : Gyldige forespørsler om retting eller sletting av personopplysninger som er ufullstendige, feil eller overflødige, skal respekteres og bekreftes. Slik sletting blir ikke utført dersom oppbevaring av opplysningene kreves av kontraktsforholdet mellom GE og enkeltpersonen, i sammenheng med en juridisk konflikt eller annet juridisk krav om oppbevaring, eller der det av andre årsaker kreves av gjeldende lovgivning.

Innsigelse : GE skal slutte å behandle personopplysninger der en enkeltpersons innsigelser er berettiget i henhold til gjeldende lovgivning, for eksempel hvis behandlingen setter en enkeltpersons liv eller helse i fare. En enkeltperson har også rett til å motsette seg avgjørelser basert ene og alene på automatisert behandling av personopplysninger som har juridiske konsekvenser som i betydelig grad påvirker den berørte enkeltpersonen, unntatt der enkeltpersonen har bedt om behandlingen, eller der det er nødvendig i forbindelse med det juridiske forholdet mellom GE og enkeltpersonen. I det siste tilfellet kan enkeltpersonen uttrykke sin mening om den automatiserte avgjørelsen. En enkeltperson har rett til å motsette seg at GE behandler personopplysninger for markedsføringsformål der dette er tillatt i henhold til gjeldende lovgivning. Utøvelsen av denne rettigheten til å motsette seg behandlingen kan overstyres der GE kan dokumentere at GEs overbevisende, legitime interesse i å fortsette behandlingen overskygger enkeltpersonens interesse eller grunnleggende rettigheter og friheter.

Begrensning : En enkeltperson har også rett til å be om begrensning av all behandling GE foretar av vedkommendes personlige GE-informasjon, i den grad gjeldende lovgivning gir slike rettigheter, for eksempel der det er uenighet om hvorvidt den personlige GE-informasjonen er riktig. GE skal slutte å behandle slike opplysninger der begrensningen er berettiget, med unntak av oppbevaring og annen fortsatt behandling som er tillatt i henhold til gjeldende lovgivning.

Klager : Alle enkeltpersoner som hevder å ha lidd tap som resultat av at en enhet innenfor GE-gruppen ikke har overholdt denne forpliktelsen, kan sende en klage til den relevante personvernlederen eller den ansvarlige for overholdelse i GE-gruppen. De kan også benytte GEs klagehåndteringsprosesser, som er tilgjengelige på GEs webområder, hvis andre kanaler er utilgjengelige eller oppbrukt :

Hvis GE anser klagen som berettiget, skal GE iverksette rimelige tiltak for å løse klagen slik at enkeltpersonen blir rimelig tilfreds. GE forsøker å besvare klager innen 30 dager fra mottak. En enkeltperson med en uløst klage på GEs overholdelse av forpliktelsen i land som er underlagt APEC Cross Border Privacy Rules, kan kontakte GEs USA-baserte leverandør av konfliktløsning (uten kostnad) på https://feedback-form.truste.com/watchdog/request

Håndhevelse : En enkeltperson som har lidd tap som resultat av brudd på forpliktelsen, kan ha rett til erstatning for slikt tap i henhold til gjeldende lovgivning og forpliktelsen. En enkeltperson som har rett til erstatning, kan utøve denne rettigheten i henhold til denne forpliktelsen ved å henvende seg direkte til domstoler eller andre juridiske myndigheter i henhold til gjeldende lovgivning.

Samarbeid med tilsynsmyndigheter

GE vil samarbeide med alle kompetente tilsynsmyndigheter på nasjonalt eller regionalt nivå som har ansvar for tilsyn med relevant lovgivning vedrørende personvern, og som har rimelig grunn til å stille spørsmål ved GEs behandling av personlig informasjon, og vil etterkomme avgjørelsene til slike kompetente tilsynsmyndigheter med hensyn til saker knyttet til denne forpliktelsen.

Endringer av forpliktelsen

GE forbeholder seg retten til å endre forpliktelsen. Alle vesentlige endringer vil bli sendt til GEs overordnede databeskyttelsesmyndighet og/eller trustmark-representanten, der dette er relevant, og vil bli kunngjort på GEs webområde.

Definisjoner

Personopplysninger er all informasjon om en identifisert eller identifiserbar person.

Personlig GE-informasjon er alle personopplysninger som innhentes i forbindelse med en persons forhold til GE, og som GE behandler for sine egne formål. Slik personlig GE-informasjon kan for eksempel inkludere ansettelsesdata innhentet i forbindelse med et ansettelsesforhold hos GE, kundedata innhentet i forbindelse med et kundeforhold til GE eller leverandørdata innhentet fra GEs leverandører.

Personopplysninger om GE-kunder er all personlig informasjon som innhentes i sammenheng med levering av tjenester fra GE til en kunde under en tjenesteavtale, og som GE behandler på vegne av kunden.

Kunde er en person eller enhet som inngår en tjenesteavtale med GE.

Sensitive personopplysninger er en spesiell kategori av personlig informasjon om etnisk opprinnelse, politisk oppfatning, religiøs eller filosofisk tro, fagforeningsmedlemskap, genetiske data, biometriske data, helse, sexliv eller seksuell orientering.