GE:s åtagande för skyddande av personuppgifter

Inledning

GE respekterar den enskilde individens integritet och arbetar för att hantera personuppgifter på ett ansvarsfullt sätt, i enlighet med tillämpliga lagar och GE:s åtagande för skyddande av personuppgifter (åtagandet), som beskrivs nedan. Åtagandet innehåller GE:s principer för behandling av personuppgifter som omfattas av det europeiska dataskyddsdirektivet eller motsvarande lagstiftning i medlemsstaterna.

Åtagandet fastställer en juridisk grund för gränsöverskridande överföringar av personuppgifter inom GE-koncernen (alla hel- eller majoritetsägda divisioner i GE Company inklusive Electric Insurance Company och dess dotterbolag). Dessutom kan GE genomföra gränsöverskridande överföringar av personuppgifter till tredje part utanför GE-koncernen i enlighet med tillämplig lag. GE kommer att hantera personuppgifter i enlighet med åtagandet där så är tillämpligt och det inte strider mot striktare krav i nationell lagstiftning, i vilket fall sådan lagstiftning har företräde.

Omfattning

Åtagandet innehåller GE:s skyldigheter i fråga om behandling av personuppgifter som omfattas av det europeiska dataskyddsdirektivet eller motsvarande lagstiftning i medlemsstaterna. Personuppgifterna kommer att skyddas i enlighet med den lagstiftningen när de används inom GE-koncernen, utan hänsyn till geografiska eller tekniska omständigheter.

Hantering av personuppgifter

Vid hantering av personuppgifter följer GE nedanstående principer:

Korrekthet: GE hanterar personuppgifter på ett korrekt och lagligt sätt.

Syfte: GE begränsar hanteringen av personuppgifter till att uppfylla GE:s specifika, legitima syften. GE hanterar inte uppgifter på ett sätt som strider mot dessa syften utan den berörda enskilda individens entydiga samtycke att bearbeta data för andra ändamål.

I allmänhet hanterar GE personuppgifter

  • om GE har ett berättigat intresse som, på det hela taget, motiverar behandling,
  • om hanteringen är nödvändig för att upprätthålla eller fullgöra sina skyldigheter enligt ett rättsförhållande mellan GE och den enskilda individen,
  • om hanteringen är nödvändig för att uppfylla en skyldighet som GE har enligt tillämpliga lagar, bestämmelser eller myndighetskrav,
  • särskilda situationer som utgör ett hot mot den enskilda individens eller någon annan persons liv, hälsa eller säkerhet,
  • efter att ha inhämtat individens fria, uttryckliga och informerade samtycke när så krävs enligt tillämplig lag.

Om samtycke har erhållits tillhandahåller GE en process som gör det möjligt för personer att dra tillbaka sitt samtycke i enlighet med tillämplig lag, när som helst och utan kostnad.

Proportionalitet: GE begränsar hanteringen av personuppgifter till vad som är adekvat, relevant och skäligt i förhållande till de syften för vilka GE samlar in och använder informationen. Dessutom gör GE rimliga ansträngningar för att begränsa de personuppgifter som samlas in så mycket som möjligt

Informationskvalitet: GE vidtar rimliga åtgärder för att se till att personuppgifter är korrekta, hålls aktuella, endast sparas så länge som det behövs för att tillgodose de ändamål som de samlas in och används för samt raderas eller avidentifieras när dessa arkiveringskrav har uppfyllts.

Öppenhet: När så krävs enligt tillämplig lag informerar GE på insamlingsplatsen eller inom rimlig tid efter insamlingen de berörda personerna om GE:s identitet, på vilket sätt och i vilket syfte deras personuppgifter behandlas, avsedda mottagare och gränsöverskridande dataöverföring, personuppgiftskälla(-or), hur de kan utöva sina rättigheter när det gäller personuppgifter och lämnar andra upplysningar som behövs för att säkerställa en korrekt behandling. Om GE samlar in personuppgifter via internet eller på andra elektroniska sätt visas ett lättillgängligt dataskyddsmeddelande med dessa uppgifter.

Sekretess: GE ansvarar håller de hanterade personuppgifterna konfidentiella, förutom om de måste lämnas ut enligt tillämpliga operativa eller rättsliga krav. Denna skyldighet fortlever även efter det att relationen med den enskilda individen har upphört.

Säkerhet: GE strävar efter att skydda personuppgifter med lämpliga tekniska och organisatoriska åtgärder för att garantera deras integritet, sekretess, säkerhet och tillgänglighet.

Spridning och/eller överföring av personuppgifter

GE får sprida eller överföra personuppgifter i följande fall:

  • Personuppgifter får spridas inom GE-koncernen för de ändamål som anges ovan, förutsatt att den enhet inom GE-koncernen som behandlar personuppgifterna följer detta åtagande.
  • GE får överföra personuppgifter till tredje part som anlitats för att utföra tjänster på uppdrag av GE i enlighet med tillämplig lag. Tredje part får tillgång till personuppgifter enbart i syfte att utföra de specificerade tjänsterna och kan överföra personuppgifter globalt i enlighet med de principer som anges i detta åtagande och med GE:s anvisningar, bland annat en relevant dataöverföringsmekanism. GE väljer pålitliga tredje parter och strävar efter att se till att nya leverantörsavtal innehåller bestämmelser om behandling och skydd av personuppgifter i enlighet med åtagandet och tillämplig lag.
  • GE kan lämna ut vissa personuppgifter till andra tredje parter om det krävs enligt lag, för att skydda GE:s juridiska rättigheter eller i en nödsituation där någon persons hälsa eller säkerhet hotas.
  • Personuppgifter får endast spridas för en tredje parts forsknings- och/eller reklamsyften med samtycke av de berörda personerna där så krävs enligt lag.

Hantering av känsliga personuppgifter

När GE behandlar och/eller överför känsliga personuppgifter informerar GE den enskilda individen om sådan behandling och/eller överföring och inhämtar ett uttryckligt medgivande för sådan behandling och/eller överföring när GE är skyldigt att göra det enligt lag.

Integritets- och dataskyddsprogram

GE har dataskyddsrutiner för att stödja efterlevnaden av åtagandet och tillämplig lag, inklusive upprättandet av ett nätverk av huvudansvariga för integritet och dataskydd, utbildnings- och informationsprogram, rutiner för hantering av incidenter, bedömningar av integritetskonsekvenser, granskningsrutiner och ett synsätt som baseras på ett inbyggt integritetsskydd när det gäller bearbetning och utveckling av systemet.

Enskilda individers rättigheter

En enskild individ som på ett tillfredsställande sätt har styrkt sin identitet för GE har följande rättigheter när det gäller personuppgifter som GE innehar om honom eller henne:

GE får sprida eller överföra personuppgifter i följande fall:

  • Personuppgifter får spridas inom GE-koncernen för de ändamål som anges ovan, förutsatt att den enhet inom GE-koncernen som behandlar personuppgifterna följer detta åtagande.
  • •GE får överföra personuppgifter till tredje part som anlitats för att utföra tjänster på uppdrag av GE i enlighet med tillämplig lag. Tredje part får tillgång till personuppgifter enbart i syfte att utföra de specificerade tjänsterna och kan överföra personuppgifter globalt i enlighet med de principer som anges i detta åtagande och med GE:s anvisningar, bland annat en relevant dataöverföringsmekanism. GE väljer pålitliga tredje parter och strävar efter att se till att nya leverantörsavtal innehåller bestämmelser om behandling och skydd av personuppgifter i enlighet med åtagandet och tillämplig lag.
  • GE kan lämna ut vissa personuppgifter till andra tredje parter om det krävs enligt lag, för att skydda GE:s juridiska rättigheter eller i en nödsituation där någon persons hälsa eller säkerhet hotas.
  • Personuppgifter får endast spridas för en tredje parts forsknings- och/eller reklamsyften med samtycke av de berörda personerna där så krävs enligt lag.

Tillgång: Om det krävs enligt lokal lagstiftning ska GE förse en enskild individ med de personuppgifter som GE har om honom eller henne, inklusive uppgifter om källan till informationen och syftet med att GE, och de mottagare – eller kategorier av mottagare – som informationen lämnas ut till, hanterar den.

Korrigering och radering: Giltiga framställningar om korrigering eller radering av personuppgifter som är ofullständiga, felaktiga eller överdrivna ska respekteras. Dock ska inga uppgifter raderas när avtalsförhållandet mellan GE och individen kräver att de bevaras, i samband med en rättstvist eller annat juridiskt krav på bevarande, eller när det på annat sätt krävs enligt lag att de bevaras.

Invändning: GE ska sluta behandla personuppgifter om en enskild persons invändning är berättigad enligt gällande lag, till exempel om personens liv eller hälsa är i fara på grund av behandlingen. En person har också rätt att motsätta sig beslut som grundas enbart på automatiserad behandling av personuppgifter med rättsverkan som väsentligt påverkar den enskilde personen, utom när denne begärt behandlingen, eller när den är nödvändig för det rättsliga förhållandet mellan GE och individen. I det senare fallet äger den enskilda individen rätt att uttrycka sin åsikt om det automatiska beslutet. En individ har rätt att motsätta sig att GE behandlar personuppgifter för marknadsföringsändamål där så är tillåtet enligt tillämplig lag.

Klagomål: En enskild individ som påstår sig ha lidit skada till följd av att en GE-enhet, även en enhet utanför EU, inte följer detta åtagande kan lämna in ett klagomål till GE-enhetens huvudansvarige för integritet och dataskydd eller efterlevnadsansvarige, eller agera enligt GE:s interna rutiner för hantering av klagomål som finns på GE:s webbplatser om andra kanaler inte är tillgängliga eller är uttömda:

Individens rätt:En individ som har lidit skada till följd av olagliga bearbetningsåtgärder eller brott mot tillämplig dataskyddslag eller detta åtagande kan ha rätt till ersättning för den uppkomna skadan från den GE-enhet i Europeiska unionen (EU) som exporterat personuppgifter. Enskilda individer kan hävda sin rätt enligt tillämplig lag och i enlighet med åtagandet genom att vända sig direkt till domstol eller annan rättslig myndighet inom den jurisdiktion som den GE-enhet i EU som har exporterat personuppgifterna tillhör eller inleda ett administrativt förfarande vid behörig dataskyddsmyndighet. Om det är tillåtet enligt nationell lagstiftning kan GE ange alternativa mekanismer för biläggande av tvister.

Samarbete med tillsynsmyndigheter

GE förbinder sig att samarbeta med alla myndigheter som ansvarar för övervakning av tillämplig dataskyddslagstiftning och har goda skäl att ifrågasätta GE:s hantering av personuppgifter. GE förbinder sig att efterleva deras rättsligt bindande beslut i alla frågor som rör detta åtagande.

Förändringar i åtagandet

GE förbehåller sig rätten att ändra åtagandet. Eventuella ändringar kommer att lämnas in till berörd dataskyddsmyndighet när så krävs, och kommer omedelbart att publiceras på GE:s webbsidor i EU.

Definitioner

Personuppgifter definieras som all information om en identifierad fysisk person eller en person som på ett rimligt sätt kan identifieras som har inhämtats i samband med personens förbindelser med GE och som faller inom ramen för åtagandet. Sådana personuppgifter kan till exempel inkludera anställningsdata, kunddata samt leverantörsdata.

Känsliga personuppgifter, en särskild typ av personuppgifter, är information om ras eller etnisk tillhörighet, politiska åsikter, religiös eller politisk övertygelse, medlemskap i fackföreningar, sexliv, uppgifter i läkar- eller patientjournaler samt uppgifter i belastningsregister.