Corporate policy Firemní politika ochrany osobních údajů zákazníků a partnerů

Transkript

1 Corporate policy Firemní politika ochrany osobních údajů zákazníků a partnerů Policy Profile Short Title Politika ochrany údajů zákazníků a partnerů Policy Number A 18.0 Purpose of Policy / Summary Scope of Application Tato politika upravuje veškeré zpracování osobních údajů zákazníků a partnerů.představuje jednotný a celosvětově platný standard ochrany a zabezpečení údajů, který vychází z celosvětově uznávaných pravidel. Politika vytváří nezbytné základní podmínky celosvětové výměny údajů mezi společnostmi v rámci skupiny. This policy applies to all companies and employees of the Daimler Group worldwide. Explanation on Scope of Application Period of validity of this version to Last Revision of this version Approval Board of Management: 07/28/2009 Topic (incl. Subtopic) Policy responsible Contact Person Documentation Integrity & Compliance: (Data Protection) Dr. Joachim Riess - Daimler AG (0400) (CDP) Dr. Joachim Riess - Daimler AG (0400) (CDP) This policy is documented in "Company/Policies & Guidelines/Enterprise Regulation Database (ERD)" in the employee portal at Tato politika je publikována v Company/Policys & Guidelines/Enterprise Regulation Databáze (ERD) na zaměstnaneckém portálu Daimler. Documents Documents Pages Politika ochrany údajů zákazníků a partnerů 12 Komunikační dokument 4 Further Applicable Regulations Changes to Previous Version - Prohlášení o soukromí - Prohlášení o cookies - Standardy ochranyosobních údajů a kvality pro aplikace elektronického obchodování - Manuál ochrany osobních údajů MBVD - Prohlášení o souhlasu pro CRM - Kritéria ochrany údajů a zabezpečení informací pro externí partnery - Standardní doložky k zajištění ochrany údajů a bezpečnosti údajů ve smlouvách o zpracování údajů v zastoupení - Doložka o utajení v souvislosti s ochranou údajů - Veškeré politiky o zabezpečení informací Managers of the organizational units affected by this regulation are responsible for ensuring that their employees are aware of this regulation and that they observe it accordingly. Employees are responsible for familiarizing themselves with the provisions of the regulation and observing them. Page 1 of 16 pages (profile + policy + annexes)

2 Obsah I. Cíl zásad ochrany údajů... 3 II. Definice... 3 III. Působnost politiky a její změny... 4 IV. Platnost jednotlivých národních zákonů... 5 V. Pravidla zpracování osobních údajů Poctivost a zákonnost Omezení na konkrétní účel Transparentnost Šetření údajů Faktická přesnost a aktuálnost údajů Citlivé údaje Pravidlo přístupu jen k těm údajům, které jsou potřeba znát Automatická individuální rozhodnutí... 7 VI. Zákonnost zpracování osobních údajů Zpracování osobních údajů pro účely smluvního vztahu Zpracování osobních údajů pro reklamní účely Souhlas se zpracováním osobních údajů Zpracování osobních údajů na základě zákonného zmocnění Zpracování osobních údajů na základě legitimního zájmu... 8 VII. Předávání osobních údajů... 8 VIII. Předávání osobních údajů v rámci skupiny... 8 IX. Zpracování osobních údajů v zastoupení... 9 X. Telekomunikace a internet XI. Práva subjektu údajů XII. Důvěrnost zpracování osobních údajů XIII. Zabezpečení při zpracování osobních údajů XIV. Povinnosti a sankce XV. Vedoucí pracovník pro koncernovou ochranu osobních údajů Page 2 of 16 pages (profile + policy + annexes)

3 I. Cíl zásad ochrany údajů Osobní údaje zákazníků a partnerů představují významný konkurenční faktor a výrazně přispívají k tvorbě hodnot ve skupině Daimler. Tyto údaje se musí chránit před nebezpečím, které představuje neoprávněný přístup k nim. Kromě tohoto aspektu technického zabezpečení od nás zákazníci a partneři obecně očekávají, že s jejich údaji budeme nakládat opatrně. Nemůžeme s našimi zákazníky a partnery budovat dlouhodobé obchodní vztahy, kdyby naše partnerství nebylo založeno na důvěře. Skupina Daimler si je tohoto těžkého úkolu vědoma a také bere na vědomí, že mezi její firemní povinnosti patří zodpovědné zpracování těchto údajů. Ve formě této politiky skupina Daimler přijímá stálý, celosvětově platný standard ochrany a zabezpečení údajů pro účely zpracování osobních údajů zákazníků a partnerů v souladu s celosvětově uznávanými pravidly. Politika zajišťuje konkurenceschopnost skupiny a tvoří základ dlouhodobých obchodních vztahů vybudovaných na důvěře. Tato politika tvoří také jednu z důležitých základních podmínek celosvětové výměny osobních údajů mezi spřízněnými společnostmi ve skupině, protože zaručuje odpovídající úroveň ochrany osobních údajů u přeshraničních toků dat v souladu se směrnicí EU o ochraně osobních údajů 1 a s ostatními národními právními řády, a to včetně zemí, ve kterých dosud není v platnosti žádná odpovídající legislativa na ochranu osobních údajů. II. Definice Komise EU považuje úroveň ochrany osobních údajů ve třetích zemích za dostatečnou, pokud jsou v zásadě chráněny základní prvky soukromí podle ujednání mezi členskými státy EU. Při svém rozhodování Komise EU zohledňuje všechny okolnosti, které hrají nějakou roli při předávání osobních údajů nebo v rámci určité kategorie předávání osobních údajů. Patří sem hodnocení národní legislativy i zásady profesionálního chování a bezpečnostní opatření, která jsou v každém z případů zavedena. Údaje se stávají anonymními, jakmile je již nelze spojit s konkrétní osobou nebo jakmile je jejich spojení s konkrétní osobou možné obnovit pouze s vynaložením neadekvátně velkého množství času, nákladů a práce. Citlivé údaje jsou osobní údaje, které se týkají rasového nebo etnického původu, politických názorů, náboženského nebo filozofického přesvědčení, členství v odborové organizaci, zdraví nebo sexuální orientace subjektu osobních údajů. Osobní údaje lze zařazovat do dalších kategorií, které vyžadují zvláštní ochranu, případně je možné obsah těchto kategorií údajů různě naplňovat podle zákonů jednotlivých národů. Obdobně je možné s údaji, které se týkají trestných činů, často nakládat pouze v souladu se zvláštními požadavky, které stanoví platné národní zákony. Za podmínek této politiky je subjektem údajů jakákoli fyzická osoba, která je subjektem osobních údajů, s nimiž se nakládá. V některých zemích může být subjektem údajů i právnická osoba. Třetí osoba je každá osoba kromě příslušného subjektu údajů, kterou nelze přiřadit ke správci. Poskytovatelé, kteří osobní údaje zpracovávají za správce (viz článek IX), se z hlediska práva nepovažují za třetí osoby. 1 Směrnice 95/46/ES Evropského parlamentu a Rady o ochraně osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů; k dispozici na adrese Page 3 of 16 pages (profile + policy + annexes)

4 Za podmínek této politiky patří mezi třetí země všechny státy, které nejsou členy Evropské unie/ehp. Výjimku představují státy, u kterých Komise EU uznala úroveň ochrany osobních údajů za dostatečnou. Souhlas je právně závazný projev vůle poskytnutý dobrovolně, kterým subjekt údajů deklaruje svůj souhlas se zpracováním osobních údajů. Zpracování osobních údajů se považuje za nezbytné, jestliže by právoplatného účelu nebo legitimního zájmu nebylo možné bez předmětných osobních údajů dosáhnout nebo jestliže by jich bylo možné dosáhnout pouze s vynaložením neadekvátně vysokých výdajů. EHP je hospodářský prostor připojený k EU, ke kterému patří i Norsko, Island a Lichtenštejnsko. Osobní údaje jsou jakékoli informace o konkrétní nebo identifikovatelné fyzické osobě. Osoba se považuje za identifikovatelnou, jestliže je například na základě informací plynoucích z daných údajů ve spojení s dodatečnými vědomostmi možné zjistit vztah k dané osobě, a to i tehdy, jestliže jsou dané znalosti k dispozici pouze na základě shody okolností. Předávání je jakékoli prozrazení osobních údajů třetím osobám ze strany správce osobních údajů. Zpracování osobních údajů je každá činnost provedená s pomocí i bez pomoci automatických postupů, která slouží ke shromažďování, ukládání, uspořádání, uchovávání, změně, přístupu, užívání, předávání, přenášení, šíření, spojování nebo obnově osobních údajů. Patří sem i zničení, vymazání nebo zablokování osobních údajů a médií, na kterých se osobní údaje uchovávají. Správce je právně samostatný subjekt v rámci skupiny Daimler, který v rámci svých obchodních činností inicioval předmětné opatření ohledně ochrany osobních údajů. III. Působnost politiky a její změny Tato politika se vztahuje na všechny společnosti skupiny Daimler, tj. na společnost Daimler AG a všechny její závislé dceřiné společnosti i spřízněné společnosti a jejich zaměstnance. V rámci podmínek této politiky je závislou dceřinou společností společnost, od které může Daimler AG přímo nebo nepřímo požadovat, aby politiku přijala na základě většinového podílu hlasů, většiny ve vedení společnosti nebo dohody. Tato politika se vztahuje na veškerá zpracování osobních údajů, která se týkají zákazníků a partnerů. Patří sem údaje o výhledech do budoucna, dodavatelích a akcionářích. Tato politika se vztahuje také na údaje, které se týkají právnických osob, a to v rozsahu, v jakém právní řád příslušného jednotlivého národa zahrnuje právnické osoby do působnosti práva o ochraně údajů. Page 4 of 16 pages (profile + policy + annexes)

5 Jednotlivé společnosti skupiny nejsou oprávněny přijímat předpisy, které se od této politiky odchylují. Tuto politiku smí měnit jen vedoucí pracovník pro koncernovou ochranu osobních údajů, a to pouze v souladu s postupem stanoveným pro změny firemních politik. Společnosti skupiny musí tyto zásady dodržovat v jejich aktuálním platném znění. Znění, které platilo v okamžiku zpracování osobních údajů, se uplatní pouze v případě, že znění následné má za následek méně výhodné postavení subjektu údajů. V případě, že by platné znění vypršelo a nenahradilo jej žádné znění nové, společnosti skupiny musejí dodržovat poslední platné znění této politiky, pokud jde o osobní údaje zpracované do daného okamžiku. IV. Platnost jednotlivých národních zákonů Tato politika ochrany údajů zákazníků a partnerů zahrnuje mezinárodně uznávaná pravidla ochrany osobních údajů, přitom ale nenahrazuje národní právní předpisy. Vztahuje se na všechny případy, pokud se nedostanš do rozporu s příslušným národním právním předpisem; kromě toho se národní právní předpis uplatní také tehdy, pokud stanoví náročnější požadavky. Národní právní předpis se uplatní v případě, že má za následek povinné odchýlení se od této politiky ochrany údajů zákazníků a partnerů nebo překračuje její působnost. Tato politika platí také v zemích, kde dosud nebyla přijala žádná odpovídající národní legislativa. Pokud jde o přeshraniční tok osobních údajů pocházejících z Evropské unie/ehp nebo ze zemí, které vyžadují odpovídající standard ochrany přeshraničních toků osobních údajů, strana dovážející osobní údaje musí při zpracování takových osobních údajů zaměstnanců splňovat národní legislativu platnou v zemi, odkud údaje pocházejí. To neplatí pro toky údajů v rámci Evropské unie/ehp ani pro přeshraniční toky údajů do zemí mimo EU/EHP, které Evropská komise prohlásila za země s dostatečnou úrovní ochrany osobních údajů. Je nutné dodržet požadavky na oznámení vztahující se na zpracování osobních údajů, stanovené v jednotlivých národních právních předpisech. Každý právně samostatný subjekt v rámci skupiny Daimler musí prověřit, zda a v jakém rozsahu takové požadavky na oznámení existují. Při pochybnostech je k dispozici vedoucí pracovník pro koncernovou ochranu osobních údajů, který poskytne rady. V. Pravidla zpracování osobních údajů 1. Poctivost a zákonnost Při zpracování osobních údajů se musí chránit jednotlivá práva subjektů údajů. Osobní údaje se musí zpracovávat poctivě a v souladu s ustanoveními právních předpisů. 2. Omezení na konkrétní účel Osobní údaje lze zpracovávat pouze pro účely, pro které byly původně shromážděny. Následné změny účelu jsou možné pouze v omezeném rozsahu. K těmto změnám může dojít na základě smluvní dohody se subjektem údajů, souhlasu uděleného subjektem údajů nebo národní legislativy. 3. Transparentnost Subjekt údajů musí být informován o skutečnosti, že se s jeho osobními údaji nakládá. Je pravidlem, že osobní údaje se musí shromažďovat přímo od příslušného subjektu údajů. Při Page 5 of 16 pages (profile + policy + annexes)

6 shromažďování osobních údajů musí subjekt údajů buď znát, nebo být informován o následujícím: totožnost správce údajů; účel, pro který se osobní údaje zpracovávají; třetí osoby nebo kategorie třetích osob, kterým se osobní údaje případně mohou předat. Subjekt údajů by měl být informován o tom, že poskytnutí osobních údajů pro marketingové účely je dobrovolné. Směrnice ohledně informací, které se musejí subjektu údajů poskytnout v souvislosti s nakládáním s jeho osobními údaji, jsou uvedeny v korporátních standardech. Kromě směrnic uvedených v korporátních standardech může národní legislativa ukládat další nebo odlišné požadavky týkající se obsahu a rozsahu těchto informací. Dané požadavky mohou zahrnovat například informace o právu subjektu osobních údajů vznést námitky proti kontaktování pro marketingové a reklamní účely. 4. Šetření údajů Než se podnikne jakýkoli krok směřující ke zpracování osobních údajů, je třeba prověřit, zda a v jakém rozsahu je zpracování osobních údajů nutné k dosažení účelu, pro který se toto zpracování provádí. Pokud to daný účel dovoluje a pokud jsou související výdaje adekvátní sledovanému cíli, musí se použít anonymní nebo statistické údaje. Tato politika se nevztahuje na statistickou analýzu ani na studie založené na anonymních údajích. Osobní údaje se nesmí shromažďovat předem a uchovávat pro potenciální budoucí účely, pokud to nevyžadují jednotlivé národní právní předpisy. Osobní údaje, které již nejsou potřeba, by se měly vymazat v souladu s platnými požadavky na archivaci. 5. Faktická přesnost a aktuálnost údajů Osobní údaje musí být při uchování správné a aktuální. Je třeba přijmout vhodné kroky a zajistit, aby se nepřesné nebo neúplné údaje vymazaly, opravily nebo doplnily. 6. Citlivé údaje Citlivé údaje, které vyžadující zvláštní ochranu, je možné zpracovávat pouze za určitých podmínek. Zpracování těchto údajů musí být výslovně dovoleno nebo požadováno na základě platných národních právních předpisů nebo musí být nezbytné kvůli uplatnění, využití nebo ochraně právních nároků proti subjektu údajů. Subjekt údajů také může udělit svůj výslovný souhlas se zpracováním údajů. 7. Pravidlo přístupu jen k těm údajům, které jsou potřeba znát V rámci stále flexibilnější organizace společnosti je třeba zajistit, aby zaměstnanci měli přístup pouze k těm osobním údajům, které potřebují znát. Pravidlo přístupu jen k těm osobním údajům, které jsou potřeba znát, znamená, že zaměstnanci mohou mít přístup pouze k těm osobním informacím, které jsou vhodné pro daný typ a rozsah předmětného úkolu. To vyžaduje pečlivé rozdělení a oddělení, jakož i výkon funkcí a povinností. Page 6 of 16 pages (profile + policy + annexes)

7 8. Automatická individuální rozhodnutí Automatické zpracování osobních údajů, jehož cílem je vyhodnotit určité osobní stránky subjektu údajů (např. bonitu), musí splňovat zvláštní požadavky. Nesmí představovat jediné východisko pro rozhodnutí, která mají negativní dopad nebo vedou k významnému poškození subjektu údajů. Aby se předešlo nesprávným rozhodnutím, je třeba zajistit, aby zaměstnanec provedl test a kontrolu věrohodnosti. Kromě toho musí být subjekt údajů informován o skutečnosti, že probíhá proces automatického individuálního rozhodování a o jeho výsledcích, a musí dostat příležitost vyjádřit se. Musí se dodržet přísnější požadavky na automatická individuální rozhodnutí, stanovené v národní legislativě. VI. Zákonnost zpracování osobních údajů 1. Zpracování osobních údajů pro účely smluvního vztahu Osobní údaje subjektu údajů je možné zpracovávat výhradně pro účely plnění smlouvy. Patří sem i poradenské služby pro smluvního partnera po uzavření smlouvy v rozsahu, v jakém to odpovídá účelu smlouvy. Nepatří sem opatření přijímaná kvůli věrnosti zákazníků nebo pro reklamní účely. Před uzavřením smlouvy ve fázi přijímání smlouvy je zpracování osobních údajů dovoleno při sestavování námitek, přípravě objednávek nebo při plnění jakýchkoli jiných přání potenciálního klienta vedoucích k uzavření smlouvy (např. zkušební jízda). Ve fázi přijímání smlouvy je dovoleno kontaktovat potenciální klienty pomocí údajů, které poskytli. Je třeba dodržet jakákoli omezení, která mohou potenciální klienti stanovit. U dalších reklamních opatření se musí dodržet požadavky stanovené v článku VI.2. níže. 2. Zpracování osobních údajů pro reklamní účely Zpracování osobních údajů pro reklamní účely je dovoleno, pokud je v souladu s účelem, pro který byly osobní údaje původně shromážděny. Jako součást komunikace se subjektem údajů by se od něj měl získat souhlas s použitím jeho údajů pro reklamní účely (viz článek VI.3.). Jestliže subjekt údajů vznese na společnost skupiny Daimler požadavek týkající se informací (např. požadavek na zaslání informací o produktu), zpracování údajů nezbytné kvůli odpovědi na daný požadavek je vždy dovoleno bez ohledu na to, zda byl souhlas získán. Jestliže má subjekt údajů námitky proti použití svých osobních údajů pro reklamní účely, nelze již tyto osobní údaje pro tyto účely dále používat. Kromě toho se musí dodržovat omezení ohledně užívání osobních údajů pro reklamní účely, která platí v některých zemích. Daná omezení se mohou týkat zejména propagace prostřednictvím u, telefonu a faxu. 3. Souhlas se zpracováním osobních údajů Zpracování osobních údajů může probíhat na základě souhlasu získaného od subjektu údajů. Obdobně se na základě souhlasu uděleného subjektem údajů může změnit účel zpracování osobních údajů. Před udělením souhlasu musí být subjekt údajů informován tak, jak je stanoveno v článku V.3. těchto zásad. Kvůli zdokumentování účelů se prohlášení o souhlasu musí získat v písemné nebo elektronické formě. Za určitých okolností, např. během telefonických konzultací, je možné souhlas udělit ústně, přičemž v takovém případě se souhlas musí zdokumentovat. Musí se dodržet zvláštní požadavky na prohlášení o souhlasu, stanovené v národních právních předpisech. Page 7 of 16 pages (profile + policy + annexes)

8 4. Zpracování osobních údajů na základě zákonného zmocnění Zpracování osobních údajů je také dovoleno tehdy, pokud se vyžaduje, požaduje nebo povoluje podle platných národních právních předpisů. Druh a rozsah zpracování osobních údajů musí být nezbytný pro právními předpisy dovolenou činnost spočívající ve zpracování osobních údajů a musí splňovat příslušná ustanovení právních předpisů. 5. Zpracování osobních údajů na základě legitimního zájmu Zpracování osobních údajů je možné provést také tehdy, pokud je nezbytné kvůli realizaci legitimního zájmu správce údajů nebo třetí osoby. Legitimní zájmy jsou obvykle právní (např. vymáhání splatných pohledávek) nebo obchodní povahy (např. zamezení porušení smlouvy). Osobní údaje se nesmí zpracovávat pro účely legitimního zájmu, pokud v jednotlivých případech existují důkazy o tom, že zájmy subjektu údajů zasluhují ochranu a že tyto zájmy mají přednost před zájmem sledovaným při zpracování daných osobních údajů. Tyto skutečnosti je třeba před jakýmkoli zpracováním osobních údajů prověřit. VII. Předávání osobních údajů U některých obchodních procesů je nezbytné předávat osobní údaje zákazníků nebo partnerů třetím stranám. Pokud tomu tak není na základě zákonné povinnosti, je třeba v každém případě prověřit, zda takové předání není v rozporu se zájmy subjektu údajů, které si zasluhují ochranu. Při předávání osobních údajů osobě mimo skupinu Daimler musí být splněny podmínky stanovené v článku VI. Pokud se příjemce nachází ve třetí zemi, musí zaručit odpovídající úroveň ochrany osobních údajů v souladu s touto politikou. To neplatí, pokud k předání osobních údajů dochází na základě zákonné povinnosti nebo jakékoli jiné dovolené právní povinnosti. Příjemce musí být smluvně zavázán k tomu, aby osobní údaje využíval jen pro stanovený účel. Osobní údaje se budou předávat státním institucím nebo úřadům v rozsahu, v jakém to v každém z případů vyžadují příslušná ustanovení právních předpisů. V případě, že osobní údaje společnostem skupiny Daimler předají třetí osoby, je třeba zajistit, aby se osobní údaje shromažďovaly právoplatně v souladu s příslušnými ustanoveními právních předpisů a aby využití těchto osobních údajů pro plánované činnosti spojené se zpracováním osobních údajů bylo dovolené. VIII. Předávání osobních údajů v rámci skupiny Pokud právně samostatný subjekt v rámci skupiny Daimler předá osobní údaje jiné společnosti v rámci skupiny, z právního hlediska tato skutečnost představuje předání osobních údajů třetí osobě. U předávání osobních údajů tohoto druhu musejí být zavedeny podmínky stanovené v článku VI. Pokud osobní údaje předá společnost skupiny se sídlem v Evropské unii/ehp společnosti skupiny se sídlem ve třetí zemi, jsou jak vedoucí pracovník pro korporátní ochranu osobních údajů, tak společnost importující osobní údaje povinni spolupracovat v případě jakéhokoli šetření ze strany příslušného dozorčího orgánu v zemi, kde má sídlo strana exportující osobní údaje, a dodržet jakákoli doporučení dozorčího orgánu ohledně zpracování poskytnutých osobních údajů. Page 8 of 16 pages (profile + policy + annexes)

9 Pokud subjekt údajů tvrdí, že společnost skupiny se sídlem ve třetí zemi, která importuje osobní údaje, porušila tuto politiku, společnost skupiny se sídlem v Evropské unii/ehp, která data exportuje, se zavazuje podpořit příslušný subjekt údajů, jehož osobní údaje byly shromážděny v Evropské unii/ehp, při zjišťování skutečností ohledně dané věci a také při uplatnění jeho práv v souladu s článkem XI. této politiky proti společnosti skupiny, která osobní údaje importuje. Kromě toho je subjekt údajů oprávněn uplatnit svá práva stanovená v článku XI. proti společnosti ze skupiny, která osobní údaje exportuje. Pokud osobní údaje předává společnost skupiny se sídlem v Evropské unii/ehs společnosti ze skupiny se sídlem ve třetí zemi, bude správce údajů, který osobní údaje poskytuje, odpovídat za jakákoli porušení této politiky, jichž se dopustí společnost skupiny se sídlem ve třetí zemi, pokud jde o subjekt údajů, jehož osobní údaje se shromažďují v Evropské unii/ehp, jako kdyby se porušení dopustil správce údajů, který osobní údaje poskytuje. Místně příslušný bude soud v místě sídla společnosti, která osobní údaje exportuje. IX. Zpracování osobních údajů v zastoupení Když se osobní údaje zpracovávají v zastoupení správce údajů, najímá se ke zpracování osobních údajů poskytovatel služby, který neodpovídá za související obchodní proces. V případě, že během zpracování osobních údajů v zastoupení dojde k prozrazení osobních údajů, zůstává správce i nadále odpovědný za zpracování osobních údajů. Jakékoli nároky subjektu údajů se musí uplatnit proti správci. Kromě toho se při zadávání zakázek musí uplatnit následující opatření: 1. Při výběru zpracovatele osobních údajů je třeba zajistit, aby kandidát byl schopen zaručit nezbytné technické a organizační požadavky a bezpečnostní opatření. Při výběru se zohlední kritéria stanovená vedoucím pracovníkem pro koncernovou ochranu osobních údajů. 2. Podmínky realizace zpracování osobních údajů v zastoupení musejí být stanoveny v písemné smlouvě, ve které se strany dohodnou na ochraně osobních údajů a na požadavcích na zabezpečení informací. Zejména je třeba určit, kdy zpracovatel může osobních údaje zpracovávat jen na základě pokynů správce. 3. Při sepisování smlouvy je třeba zohlednit firemní politiky. 4. Při jmenování poskytovatele služeb mimo Evropskou unii/ehp pro zpracování osobních údajů z Evropské unie/ehp musí poskytovatel služeb zaručit odpovídající úroveň ochrany osobních údajů v souladu s touto politikou, pokud plánuje zpracování osobních údajů ve třetí zemi. Obdobně se musí dodržet i srovnatelné předpisy stanovené v zákonech o ochraně osobních údajů jednotlivých národů. Kromě toho se při jmenování poskytovatelů služeb mimo Evropskou unii/ehp musí dodržet požadavky stanovené v článku VII. Page 9 of 16 pages (profile + policy + annexes)

10 X. Telekomunikace a internet Zpracování osobních údajů, které byly shromážděny výlučně prostřednictvím telekomunikace se subjektem údajů, včetně komunikace prostřednictvím internetu, se řídí příslušnými místními pokyny nebo příslušnými právními předpisy. Při navrhování webových stránek se musí dodržet koncernové standardy, které se týkají plnění právních povinností. XI. Práva subjektu údajů Každý subjekt údajů má následující práva. Uplatnění těchto práv bude řešit přímo zodpovědné oddělení. 1. Subjekt údajů může požadovat informace o tom, jaké osobní údaje se o něm uchovávají, jak byly tyto osobní údaje shromážděny a pro jaký účel. 2. Pokud se osobní údaje předávají třetím osobám, subjekt údajů musí být informován také o totožnosti příjemce nebo o kategorii příjemců. 3. Pokud jsou osobní údaje nesprávné nebo neúplné, může subjekt údajů požadovat jejich opravu. 4. Subjekt údajů může požadovat vymazání svých osobních údajů, jestliže zpracování těchto osobních údajů nemá žádný právní podklad nebo jestliže se takový právní podklad na dané údaje již nevztahuje. Totéž platí, jestliže účel zpracování údajů zanikl nebo přestal platit z jiných důvodů. Musejí se dodržovat platné požadavky na archivaci. 5. Subjekt údajů může podat námitky proti použití svých osobních údajů pro účely přímého marketingu, průzkumu trhu nebo průzkumu názorů. V takovém případě se přístup k těmto údajům musí zablokovat. 6. Subjekt údajů má obecně právo podat námitky proti zpracování svých údajů a tuto skutečnost je třeba zohlednit, jestliže má ochrana jeho zájmů přednost před zájmem správce údajů v konkrétní osobní situaci. To neplatí, jestliže se údaje mají zpracovat na základě zákonného ustanovení. XII. Důvěrnost zpracování osobních údajů S osobními údaji zákazníků a partnerů se nakládá jako s důvěrnými; jakékoli neoprávněné shromažďování, zpracování nebo užívání těchto osobních údajů ze strany zaměstnanců je zakázáno. Každé zpracování osobních údajů, které provede zaměstnanec, jenž k tomu nebyl oprávněn v rámci plnění svých dovolených úkolů, je neoprávněné. Zejména je zakázáno využívat osobní údaje pro soukromé nebo obchodní účely, sdělovat je neoprávněným osobám nebo je jakýmkoli jiným způsobem zpřístupňovat. Page 10 of 16 pages (profile + policy + annexes)

11 XIII. Zabezpečení při zpracování osobních údajů Zavedena jsou technická a organizační opatření, která zaručují bezpečnost osobních údajů. Tato opatření chrání osobní údaje před neoprávněným přístupem, nezákonným zpracováním nebo prozrazením a před náhodnou ztrátou, změnou nebo zničením. Týkají se zabezpečení osobních údajů, které si zasluhují ochranu, ať se zpracovávají elektronicky nebo ve formě dokumentů. Tato technická a organizační opatření tvoří součást jednotného plánu pro řízení bezpečnosti informací a průběžně se revidují podle technologického vývoje a organizačních změn. XIV. Povinnosti a sankce Správní rada a vedoucí pracovníci společností skupiny, kteří v každém jednotlivém případě odpovídají za činnosti spojené se zpracováním osobních údajů, jsou povinni zajistit splnění zákonných požadavků na ochranu osobních údajů a požadavků stanovených v těchto zásadách ohledně ochrany osobních údajů. Vedoucí pracovníci jsou povinni zajistit zavedení takových organizačních, personálních a technických opatření, aby každé zpracování osobních údajů, které proběhne na jejich oddělení, bylo v souladu s předpisy a řádně zohledňovalo ochranu osobních údajů. Dodržování této politiky ochrany osobních údajů zákazníků a partnerů a platných zákonů o ochraně osobních údajů se kontroluje prostřednictvím běžných auditů ochrany osobních údajů. V mnoha zemích může nepatřičné zpracování osobních údajů nebo jiné porušení zákonů o ochraně osobních údajů vést k trestnímu stíhání a ke vzniku nároku na náhradu škody. Porušení, za která odpovídají jednotliví zaměstnanci, v zásadě podléhají pracovněprávním sankcím v souladu s platnými národními právními předpisy v dané zemi (viz politika o disciplinárních opatřeních). XV. Vedoucí pracovník pro koncernovou ochranu osobních údajů Vedoucí pracovník pro koncernovou ochranu osobních údajů, který je v rámci interní organizace nezávislý na služebních příkazech, kontroluje dodržování národních a mezinárodních předpisů o ochraně osobních údajů. Odpovídá za politiky o ochraně osobních údajů a dohlíží na jejich dodržování. Provádí kontroly a audity ochrany osobních údajů. Vedoucího pracovníka pro koncernovou ochranu osobních údajů jmenuje správní rada Daimler AG. Obchodní vedení nebo vedení závodu musí vedoucího pracovníka pro koncernovou ochranu osobních údajů informovat, že byl jmenován koordinátor ochrany osobních údajů. Z hlediska organizace a na základě souhlasu vedoucího pracovníka pro koncernovou ochranu osobních údajů může být také jmenován jeden koordinátor ochrany osobních údajů, který bude tuto funkci vykonávat v několika společnostech nebo závodech. Koordinátoři ochrany osobních údajů působí jako poradci pro otázky ochrany osobních údajů na pracovišti. Provádějí kontroly a jsou povinni zajistit, aby zaměstnanci byli seznámeni s obsahem politik o ochraně osobních údajů. Vedení předmětné společnosti je povinno podporovat vedoucího pracovníka pro koncernovou ochranu osobních údajů a koordinátory ochrany osobních údajů v rámci jejich činností. Page 11 of 16 pages (profile + policy + annexes)

12 Obchodní jednotky musejí koordinátory ochrany údajů informovat o všech nových činnostech, které zahrnují zpracování osobních údajů. Koordinátoři ochrany osobních údajů okamžitě vyrozumějí vedoucího pracovníka pro koncernovou ochranu osobních údajů o všech rizicích spojených s ochranou osobních údajů. Pokud se plánují činnosti spojené se zpracováním osobních údajů, které by mohly mít za následek konkrétní rizika pro osobní práva subjektů údajů, vedoucí pracovník pro koncernouvou ochranu osobních údajů se musí do každé činnosti spojené se zpracováním osobních údajů zapojit předem. To platí zejména pro citlivé údaje, které vyžadují zvláštní ochranu. Obchodní jednotky zajistí, aby jejich zaměstnanci byli patřičně proškoleni ohledně ochrany osobních údajů. Vedoucí pracovník pro koncernovou ochranu osobních údajů zajistí školicí nástroj dostupný na webu. V případě porušení ochrany osobních údajů nebo stížností spojených s ochranou osobních údajů jsou vedoucí pracovníci povinni okamžitě informovat zodpovědného koordinátora ochrany údajů nebo vedoucího pracovníka pro koncernovou ochranu osobních údajů. Kromě toho může vedoucího pracovníka pro koncernovou ochranu osobních údajů kdykoli kontaktovat kterýkoli subjekt údajů a informovat ho o svých obavách, požádat ho o informace nebo uplatnit stížnosti týkající se problémů s ochranou osobních údajů nebo se zabezpečením osobních údajů. Starosti a stížnosti se budou vyřizovat důvěrně, pokud se o důvěrnost požádá. Rozhodnutí přijatá vedoucím pracovníkem pro koncernovou ochranu osobních údajů za účelem nápravy porušení ochrany osobních údajů musí vedení příslušné společnosti respektovat. Kontaktní údaje na vedoucího pracovníka pro koncernovou ochranu osobních údajů a jeho zaměstnance jsou následující: Daimler AG, Chief Officer Corporate Data Protection, HPC 0624, D Stuttgart, tel.: +49 (0) ; fax: +49 (0) joachim.riess@daimler.com Intranet: Page 12 of 16 pages (profile + policy + annexes)

13 Optimization within Policy Project Policy Project regarding volume, structure and comprehensibility Komunikační dokument pro Politiku A 18.0 Politika ochrany osobních údajů zákazníků a partnerů Page 13 of 16 pages (profile + policy + annexes)

14 Účel politiky Kromě technického zabezpečení od nás zákazníci a partneři obecně očekávají, že s jejich údaji budeme nakládat opatrně. Nemůžeme s našimi zákazníky a partnery budovat dlouhodobé obchodní vztahy, pokud naše partnerství nebude založeno na důvěře. Daimler si je tohoto těžkého úkolu vědom a také bere na vědomí, že mezi jeho firemní povinnosti patří zodpovědné zpracování těchto údajů. Ve formě této Politiky Daimler přijímá stálý, celosvětově platný standard ochrany a zabezpečení údajů pro účely zpracování osobních údajů zákazníků a partnerů v souladu s celosvětově uznávanými pravidly. Cílová skupina Tato politika se vztahuje na všechny společnosti a zaměstnance Skupiny Daimler po celém světě. Týká se zejména těch zaměstnanců, kteří navrhují procesy a shromažďují, zpracovávají a užívají osobní údaje zákazníků a partnerů. Page 14 of 16 pages (profile + policy + annexes)

15 Hlavní témata politiky Při zpracování osobních údajů zákazníků a partnerů musí být chráněna osobní práva subjektů údajů. Proto tato Politika upravuje podmínky, za kterých je takové zpracování osobních údajů legitimní. To může být například za účelem řádného plnění smlouvy či na základě souhlasu daného subjektem údajů. Povšimněte si, prosím, také principů zpracování osobních údajů zákazníků a partnerů definovaných v této Politice, jako jsou poctivost a zákonnost, omezení zpracování na konkrétní účel, transparentnost a šetření údajů. Page 15 of 16 pages (profile + policy + annexes)

16 Změny oproti předchozí verzi - Schváleno Board of Management Daimler AG Platná od: Platná do: Požadavky na činnost Statutární orgány, jejich členové a vedoucí zaměstnanci společností Skupiny, kteří v jednotlivých případech nesou odpovědnost za aktivity zahrnující zpracování osobních údajů, jsou povinni zajistit dodržování právních požadavků na ochranu osobních údajů a požadavků této Politiky. Nicméně ochrana osobních údajů je stejnou měrou úkolem každého zaměstnance, který pracuje s osobními údaji, a vedení. Kontakt pro otázky týkající se obsahu Dr. Joachim Rieß (CDP, Tel. 0711/ ) Kde mohu najít více informací? Informace týkající se ochrany osobních údajů lze nalézt na intranetové stránce CDP: Page 16 of 16 pages (profile + policy + annexes)