GE:s åtagande om skydd av personuppgifter

 

Inledning

GE respekterar individers rätt till integritet och åtar sig att hantera personuppgifter på ett ansvarsfullt sätt i enlighet med tillämpliga lagar, tillämpliga avtalsenliga förpliktelser och GE:s åtagande om skydd av personuppgifter (Åtagandet) som beskrivs nedan. Åtagandet fastställer GE:s principer för hantering av personuppgifter av och på uppdrag av GE.

Åtagandet fastställer en rättslig grund för gränsöverskridande överföringar av personuppgifter inom GE-koncernen (alla helägda eller majoritetsägda divisioner av GE Company, däribland Electric Insurance Company och dess dotterbolag), inklusive fall där medlemmar i GE-koncernen uppfyller relevanta delar av Åtagandet som personuppgiftsbiträden. Dessutom kan GE utföra gränsöverskridande överföringar av personuppgifter till tredje part utanför GE-koncernen i enlighet med tillämpliga lagar. Där så krävs hanterar GE personuppgifter i enlighet med Åtagandet, såvida det inte strider mot strängare krav i lokala lagar, i vilket fall lokala lagar har företräde.

Omfattning

Åtagandet är utformat för att säkerställa att personuppgifter skyddas oavsett plats eller teknik, vid användning inom GE-koncernen och gäller GE:s hantering av GE:s personuppgifter och kundpersonuppgifter.

Hantering av personuppgifter

GE arbetar enligt följande principer vid hantering av personuppgifter:

Rättvisa : GE hanterar personuppgifter på ett rättvist och lagenligt sätt.

Syfte : GE begränsar hanteringen av personuppgifter till uppfyllandet av GE:s särskilda, berättigade syften. GE utför endast hantering som är kompatibel med sådana syften, såvida inte GE eller dennes kund, som GE är personuppgiftsbiträde åt, har otvetydigt samtycke för andra syften än just detta.

I allmänhet hanterar GE personuppgifter:

  • om GE har ett berättigat intresse som på det hela taget motiverar hanteringen ;
  • om det är nödvändigt för underhållet eller fullgörandet av ett rättsförhållande mellan GE och individen ;
  • om det är nödvändigt för att uppfylla en förpliktelse som ålagts GE av tillämplig lag, förordning eller statlig myndighet ;
  • om det finns särskilda situationer som hotar individens eller någon annans liv, hälsa eller säkerhet ;
  • efter individens fria, uttryckliga och informerade samtycke i de fall det krävs enligt tillämpliga lagar ; 
  • om hanteringen sker i samband med ett kundserviceavtal.

Om ett samtycke har erhållits direkt från GE tillhandahåller GE ett förfarande för att tillåta individer att när som helst och utan kostnad återkalla sitt samtycke i den utsträckning som krävs enligt tillämpliga lagar.

Proportionalitet : GE begränsar hanteringen av personuppgifter till det som är adekvat, relevant och inte omfattar mer än nödvändigt för de syften som GE samlar in och använder dem för.

Informationskvalitet : GE vidtar rimliga åtgärder, och tillhandahåller kunder ett medel i de fall GE är personuppgiftsbiträde, för att säkerställa att personuppgifter är riktiga och uppdaterade, endast behålla personuppgifter så länge som krävs för att uppfylla de syften som de samlas in och används för och ta bort eller anonymisera dem efter att sådana bevarandekrav har uppfyllts.

Transparens : Där det krävs enligt tillämpliga lagar ska GE vid insamling, eller inom rimlig tid vid insamling, tillgängliggöra information för individer om GE:s identitet, syften och rättsliga grunder kring hanteringen av individernas personuppgifter, avsedda mottagare och gränsöverskridande dataöverföringar, källan till personuppgifterna, hur individer kan utöva sina rättigheter i fråga om personuppgifter, kontaktuppgifter till personuppgiftsombudet i förekommande fall samt ytterligare förklaringar som behövs för att säkerställa en rättvis hantering. Om GE samlar in personuppgifter via internet eller andra elektroniska medel ska GE publicera lättillgänglig dataskyddsinformation som uppfyller dessa krav på transparens.

Sekretess : GE upprätthåller sekretessen kring de personuppgifter som hanteras, med undantag för de fall där avslöjande krävs av tillämpliga operativa eller legala krav. Denna förpliktelse kvarstår även efter att relationen till individen, eller kunden som GE är personuppgiftsbiträde åt, har avslutats.

Säkerhet : GE strävar efter att skydda personuppgifter med lämpliga tekniska och organisatoriska åtgärder för att säkerställa deras integritet, sekretess, säkerhet och tillgänglighet. GE informerar individer om säkerhetsöverträdelser som påverkar deras personuppgifter hos GE och kan innebära en hög risk för deras individuella rättigheter och friheter. I enlighet med tillämpliga lagar tillhandahåller GE ett rimligt stöd till de kunder som GE är personuppgiftsbiträde åt för att garantera säker hantering. GE informerar även sina kunder om säkerhetsöverträdelser av GE:s kundpersonuppgifter enligt dessa lagar.

Dela eller överföra personuppgifter

GE kan dela eller överföra personuppgifter under följande omständigheter :

  • Personuppgifter kan delas inom GE-koncernen för ovan angivna syften under förutsättning att GE-enheten som hanterar personuppgifter uppfyller detta Åtagande.
  • GE kan lämna ut personuppgifter till utvalda leverantörer eller tjänsteleverantörer som anställts för att utföra viss hantering eller andra tjänster för företagets räkning. GE strävar efter att säkerställa att nya leverantörsåtaganden gör det möjligt att hantera personuppgifter på ett sätt som är förenligt med detta Åtagande och tillämpliga lagar genom ett rättsförhållande som inrättats i form av ett avtal eller andra rättsligt tillåtna medel. Enligt ett sådant avtal måste leverantörerna vidta lämpliga säkerhetsåtgärder och får bara hantera personuppgifter i enlighet med GE:s instruktioner.
  • GE kan lämna ut vissa personuppgifter till andra tredje parter om det krävs enligt lag, för att skydda GE:s juridiska rättigheter eller i samband med en sammanslagning, förvärv, insolvens eller omorganisation i någon del av GE.

Hantering av känsliga personuppgifter

Om GE hanterar eller överför känsliga personuppgifter informerar GE individen om hanteringen eller överföringen och erhåller uttryckligt samtycke för sådan hantering eller överföring i de fall där GE är skyldig att göra det enligt tillämpliga lagar. Lämpliga säkerhetsåtgärder vidtas beroende på typen av uppgifter och de risker som är förknippade med dess avsedda användning.

Ansvarsskyldighet

GE är ansvarig för att uppfylla kraven i Åtagandet och tillämpliga lagar. I synnerhet ska GE:

  • vidta nödvändiga åtgärder för att beakta kraven i Åtagandet och tillämpliga lagar och ; 
  • ha de nödvändiga interna mekanismer som visar på sådan efterlevnad, bland annat ett register över hanteringen i enlighet med tillämpliga lagar.

Dataskyddsprogram

GE har dataskyddsregler som är utformade för att stödja efterlevnaden av Åtagandet och tillämpliga lagar, bland annat utnämningen av ett nätverk med Privacy Leaders, utbildningsprogram och program för att öka medvetenheten, incidenthanteringsprotokoll, bedömningar av integritetspåverkan, granskningsrutiner och ett anpassat sekretessförfarande för process- och systemutveckling.

Individuella rättigheter

I enlighet med tillämpliga lagar kan en individ som på ett tillfredsställande sätt har fastställt sin identitet för GE utöva följande rättigheter förknippade med personuppgifter som GE har samlat in direkt från individen. I de fall GE är personuppgiftsbiträde bistår GE kunden med dataskyddsförpliktelserna gentemot individer:

Tillgång : Om det krävs enligt tillämpliga lagar ska GE förse en individ med de personuppgifter om individen som GE lagrar, bland annat information om källan till personuppgifterna, GE:s syfte med hanteringen och mottagare, eller mottagarkategorier, som uppgifterna lämnas ut till.

Korrigering och radering : Giltig begäran om korrigering eller radering av uppgifter som är ofullständiga, felaktiga eller överdrivna respekteras och bekräftas som sådana. Däremot utförs inte radering om bevarande krävs enligt avtalsförhållandet mellan GE och individen inom ramen för en rättslig tvist eller andra rättsliga bevarandekrav eller om det krävs enligt tillämpliga lagar.

Invändning : GE upphör att hantera personuppgifter om en individs invändning är berättigad enligt tillämpliga lagar, till exempel om individens liv eller hälsa är i fara på grund av hanteringen. En individ har även rätt att invända mot beslut som enbart grundas på en automatisk hantering av personuppgifter som har rättslig verkan som avsevärt påverkar den berörda individen. Detta gäller däremot inte om individen har begärt hanteringen eller om det behövs för rättsförhållandet mellan GE och individen. I det senare fallet kan individen ge synpunkter på det automatiserade beslutet. En individ har rätt att invända mot GE:s hantering av personuppgifter för marknadsföringssyften där det är tillåtet enligt tillämpliga lagar. Utövandet av rätten att invända kan åsidosättas om GE kan visa att dess avgörande och berättigade intresse av fortsatt hantering har företräde framför individens intressen eller grundläggande rättigheter och friheter.

Begränsning : En individ har även rätt att begära att GE:s hantering av individens personuppgifter begränsas, i den mån rätten gäller enligt tillämpliga lagar, till exempel om riktigheten av GE:s personuppgifter ifrågasätts. GE upphör att hantera sådana uppgifter om begränsningen är berättigad, med undantag för lagring och annan tillåten fortsatt hantering enligt tillämpliga lagar.

Klagomål : Alla individer som påstår sig ha lidit skada till följd av en GE-enhets bristande efterlevnad av Åtagandet kan lämna in ett klagomål till GE-koncernens berörda Privacy Leader eller Compliance Officer. Det går även att lämna in klagomål till GE:s klagomålshantering på GE:s webbplatser om andra kanaler är otillgängliga eller otillräckliga:

Om GE anser att klagomålet är berättigat vidtas rimliga åtgärder för att reda ut klagomålet till individens rimliga tillfredsställelse. GE strävar efter att svara på klagomål inom 30 dagar från mottagandet. En individ med ett olöst klagomål angående GE:s efterlevnad av Åtagandet inom länder som tillämpar APEC Cross Border Privacy Rules kan utan kostnad kontakta GE:s USA-baserade leverantör av lösningar för tredjepartstvister på https://feedback-form.truste.com/watchdog/request

Genomförande : En individ som har lidit skada till följd av en överträdelse av Åtagandet kan vara berättigad ersättning för sådana skador i enlighet med tillämpliga lagar och enligt det som anges i Åtagandet. En individ som är berättigad ersättning kan utöva sina rättigheter enligt Åtagandet genom att direkt vända sig till domstol eller annan rättslig myndighet i enlighet med tillämpliga lagar.

Samarbete med tillsynsmyndigheter

GE samarbetar med behörig nationell eller regional tillsynsmyndighet som ansvarar för tillsynen av tillämpliga dataskyddslagar som har god anledning att ifrågasätta GE:s hantering av personuppgifter. GE följer den behöriga tillsynsmyndighetens beslut om eventuella problem relaterade till Åtagandet.

Ändringar av Åtagandet

GE förbehåller sig rätten att ändra Åtagandet. Eventuella väsentliga ändringar lämnas till GE:s dataskyddsansvarig eller, i förekommande fall, dess ombud och ändringarna tillkännages på GE:s webbplats.

Definitioner

Personuppgifter är all information som är förknippad med en identifierad eller identifierbar fysisk person.

GE:s personuppgifter är alla personuppgifter som erhålls i samband med en individs relation med GE och som GE hanterar för sina egna syften. GE:s personuppgifter kan innefatta till exempel uppgifter om sysselsättning som erhållits i samband med ett anställningsförhållande med GE, kunduppgifter som erhållits i samband med en kundrelation till GE och leverantörsuppgifter som erhållits från GE:s leverantörer.

GE:s kundpersonuppgifter är alla personuppgifter som erhålls i samband med att GE tillhandahåller tjänster till en kund enligt ett serviceavtal och som GE hanterar för kundens räkning.

Kund är en person eller enhet som ingår ett serviceavtal med GE.

Känsliga personuppgifter är en särskild kategori av personuppgifter där uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska data, biometriska data, hälsa, sexualliv eller sexuell läggning ingår.